Le pouvoir du Centre national de cybersécurité s’affaiblit
Le 1er janvier 2024, la nouvelle loi sur la sécurité de l'information entrera en vigueur. Dans les ordonnances qui l'accompagnent, le Conseil fédéral transfère sans surprise la responsabilité de la sécurité informatique de l'administration fédérale à un nouveau service spécialisé. Jusqu'à présent, cette responsabilité incombait au NCSC. En outre, l'obligation de déclarer les cyberattaques sera introduite plus tard.
En Suisse, la nouvelle loi sur la sécurité de l'information (LSI) entrera en vigueur début 2024. Selon un post Linkedin du journaliste de la NZZ Lukas Mäder qui se réfère aux ordonnances associées, le changement va affaiblir le Centre national de cybersécurité (NCSC). Les textes définissent un nouveau service spécialisé dans la sécurité de l'information, qui sera responsable de la sécurité informatique de l'administration fédérale. «[Le service] édicte des directives en matière de sécurité informatique pour l'ensemble de l'administration fédérale, peut ordonner des audits sur la sécurité de l'information et est responsable de la gestion des cyber-attaques majeures», résume le journaliste. Jusqu'à présent, les tâches et compétences correspondantes relevaient du NCSC, qui deviendra l'Office fédéral de la cybersécurité en 2024.
Le service spécialisé de la Confédération pour la sécurité de l’information fait partie du Secrétariat d’Etat à la politique de sécurité (SEPOS) du DDPS. Il reprend les tâches de l’Office fédéral de la cybersécurité (OFCS) pour ce qui est de l’autoprotection de la Confédération (directives et conseils), lit-on dans les explications de la Confédération concernant la législation d’exécution relative à la loi sur la sécurité de l’information. Etant donné que ce service spécialisé ne sera pas encore opérationnel au moment où la LSI entrera en vigueur, l’OFCS continuera d’assumer ses tâches jusqu’à l’été 2025 pour ce qui est de l’autoprotection de la Confédération (sécurité informatique de la Confédération). En cas de fuite de données au sein de la Confédération, ce n'est plus le chef du NCSC Florian Schütz, mais le nouveau secrétaire d'Etat qui devra fournir des informations, commente Lukas Mäder. De son côté, le NCSC serait uniquement responsable de la protection des infrastructures critiques de la Suisse.
Pas encore d’obligation d'annoncer les cyberattaques contre les infrastructures critiques
Dans son communiqué consacré à la nouvelle loi sur la sécurité de l'information, le Conseil fédéral mentionne et met en lien les ordonnances en question, sans toutefois aborder la question de la perte partielle des pouvoirs du NCSC. L'exécutif mentionne en revanche que les offices fédéraux seront désormais tenus d'introduire un système de management de la sécurité de l’information (SMSI). Si les cantons traitent des informations classifiées de la Confédération, ils sont également concernés par l'ordonnance sur la sécurité de l'information.
Une autre ordonnance règle la procédure de contrôle que les autorités fédérales effectuent en collaboration avec le service de renseignement lorsqu'elles souhaitent attribuer des mandats sensibles à des entreprises. L'objectif est d'éviter que d’éviter «que des entreprises contrôlées par des services de renseignement étrangers aient accès à des informations classifiées ou à des systèmes informatiques critiques de la Confédération».
L'obligation d'annoncer les cyberattaques contre les infrastructures critiques n'est pas encore introduite. Le Parlement a certes approuvé une telle obligation en septembre 2023. Mais elle nécessiterait une révision complète d'un chapitre de la LSI, explique le Conseil fédéral. C'est pourquoi les dispositions d'exécution seront édictées ultérieurement.