La Confédération doit-elle se charger de la cyber-protection des cantons, communes et PME?
En réponse à une motion parlementaire, le Conseil fédéral juge que la protection des cantons, communes et PME contre les cyberattaques n’est pas du ressort de la Confédération et que cela constituerait une atteinte à la souveraineté des uns et à la liberté économique des autres.
La Confédération doit étendre ses mesures de protection aux cantons, aux communes et aux PME. C’est ce que demande la conseillère aux États fribourgeoise Johanna Gapany et huit autres parlementaires dans une motion déposée fin septembre. Seule la Confédération dispose des ressources et des compétences pour assurer cette protection, peut-on lire dans l'exposé des motifs. Or, actuellement, seules les infrastructures critiques sont protégées au niveau national.
Dans leur texte, les parlementaires se réfèrent notamment à la cyberattaque contre la commune de Rolle, à la suite de laquelle des données sensibles de milliers de citoyens se sont retrouvées sur le Darknet. Selon la motion, les administrations publiques et les PME n'ont pas les moyens de se protéger efficacement contre les cyberattaques et sont donc vulnérables. En outre, le risque de cyberattaques se serait renforcé au cours de la pandémie.
Collaboration oui, responsabilité non
Dans sa réponse du 17 novembre, le Conseil fédéral recommande toutefois de rejeter la motion. Il partage certes l'avis que la protection des autorités cantonales et communales ainsi que des PME contre les cyberattaques est très importante. L’exécutif souligne que des mesures ont d'ailleurs déjà été prises, comme la création du Centre national de cybersécurité en 2019. Le Conseil fédéral se dit prêt à développer ses prestations en fonction des besoins, mais se refuse à une responsabilité étendue mettant contraire au principe de subsidiarité: «Imposer à la Confédération de garantir cette protection aux administrations et aux PME nécessiterait notamment de lui accorder la compétence d’ordonner des mesures de protection et d’en contrôler l’application. Cette compétence constituerait une atteinte considérable à la souveraineté des cantons et à la liberté économique des PME».
Nouveau secrétariat d'État?
Formée récemment, l’association CH++ qui plaide pour plus de compétences numériques dans et de l’Etat, juge quant à elle qu’il faut créer un secrétariat renforcé dédié à la question. «Les compétences en matière de cybersécurité des différents offices et départements doivent être regroupées au sein d’un nouveau secrétariat d’État à la cybersécurité doté de ressources suffisantes pour faire face à la menace croissante», réclame CH++ dans une prise de position. Contrairement à la motion parlementaire, la proposition n’évoque cependant pas de protection des entreprises privées.