L'obligation d'annoncer les cyberattaques contre les infrastructures critiques est bien accueillie
Les exploitants d'infrastructures critiques en Suisse devraient à l'avenir être tenus d'annoncer aux autorités les cyberattaques dont ils sont la cible. Le Conseil fédéral avait mis en consultation un projet de loi en ce sens en début d’année. Dans leurs prises de position, les cantons ainsi que les milieux économiques et le monde scientifique approuvent le projet.
Quiconque exploite une infrastructure critique en Suisse pourrait bientôt être tenu de déclarer la survenue de cyberattaques. Le projet de loi correspondant, que le Conseil fédéral a mis en consultation en janvier 2022, bénéficie d'un large soutien des cantons ainsi que des milieux économiques et du monde scientifique, indique le Centre national de cybersécurité (NCSC) dans un communiqué.
Au total, près de 100 prises de position ont été reçues. La majorité approuve la loi proposée. L'obligation de signalement à un service central de la Confédération est considérée comme un instrument judicieux pour renforcer la cybersécurité. Pour les personnes concernées, il est très important que l'obligation d'annonce puisse être réglée de manière non bureaucratique et qu'elle n'entraîne pas de dépenses supplémentaires, résume le NCSC.
Diverses propositions de modification
Dans les prises de position, diverses précisions et modifications sont suggérées. L’exécutif du canton de Berne souhaite par exemple supprimer une disposition selon laquelle les collaborateurs du NCSC ne sont pas soumis à l'obligation de dénonciation s'ils obtiennent des informations sur un éventuel délit dans le cadre de la déclaration d'un cyberincident.
Le canton de Fribourg et celui des Grisons proposent notamment de définir plus précisément l'exigence temporelle «le plus rapidement possible après leur découverte». Compte tenu des nombreux acteurs concernés par l'obligation de déclaration, il conviendrait en outre d'examiner la possibilité d'établir des priorités et d'échelonner les délais en conséquence. L'association Digitalswitzerland propose quelque chose de similaire: dans sa prise de position, elle propose une obligation de notification échelonnée en fonction de la criticité des entreprises.
Le canton de Vaud se montre concerné par l’applicabilité de l'obligation dans le secteur hospitalier. «Toute modification d’un dispositif médical, si elle n’est pas faite
par le fabriquant, lui fait perdre son certificat de conformité. L’hôpital serait, dans les
faits, dans l’impossibilité de suivre les recommandations du Centre national pour la
cybersécurité. Le Conseil d’Etat estime donc nécessaire que le NCSC puisse les
imposer aux fabricants.»
De son côté, la Trust Valley salue également l'effort de vouloir formaliser les devoirs vis-à-vis de ces infrastructures critiques. Précisant toutefois que «la liste précise sur les entités soumises à l’obligation de déclarer convient d’être éclairci ainsi que l’objet de cette déclaration et les phases qui seront mises en place selon les entités concernées».
D'ici l'automne, le NCSC va remanier le projet de loi. Le Conseil fédéral devra alors décider si et quand il soumettra la loi au Parlement pour examen.