Les cyberattaques sont devenues l'une des principales menaces pour la sécurité et l'économie de la Suisse. Chaque jour, des entreprises et des administrations en sont victimes. Actuellement, iI manque une vue d'ensemble, car les signalements au Centre national pour la cybersécurité (NCSC) se font sur une base volontaire.
Une obligation de signaler permettra d'avoir un meilleur aperçu des cyberattaques survenues en Suisse et des modes opératoires des cyberpirates. Le NCSC sera le guichet unique pour les questions relatives aux cybermenaces et pour le signalement des cyberattaques. Il sera en mesure de mieux apprécier la situation et pourra avertir à temps les exploitants d'infrastructures critiques.
Aide technique
Afin que les signalements soient aussi simples que possible, le NCSC mettra à disposition un formulaire électronique qui pourra être rempli facilement. Au besoin, il pourra être transmis directement à d'autres services.
En outre, le projet n'oblige pas seulement les entreprises à participer à la protection contre les cyberattaques, mais contraint également le NCSC à offrir aux auteurs de signalements, à titre subsidiaire, un soutien pour faire face aux cyberattaques. La loi définit aussi la manière dont le NCSC aide les entreprises et la population à se protéger contre les cybermenaces.
Infrastructures critiques nombreuses
Les domaines d'activité soumis à l'obligation d'annoncer sont vastes. Par infrastructures critiques, le projet liste les autorités, les hôpitaux et laboratoires, les entreprises actives dans l'énergie, les hautes écoles, les organisations ayant des tâches publiques (sauvetage, traitement des eaux), les banques et les assurances.
Il y a aussi les services informatiques et de télécommunications, la SSR et l'agence de presse Keystone-ATS, les fournisseurs de médicaments, les services postaux et les transports publics, l'aviation civile, le port de Bâle et l'approvisionnement en biens alimentaires, les fournisseurs de télécommunication, les registres de domaines Internet, les services numériques et fabricants informatiques.
Le signalement d'une cyberattaque n'est cependant obligatoire que si l’attaque a des conséquences graves, comme la mise en péril du fonctionnement de l'infrastructure critique touchée.
Milieux largement convaincus
Avec cette obligation, le Conseil fédéral entend s'assurer que tous les exploitants d'infrastructures critiques participent à l'échange d'informations et contribuent à l'alerte précoce. Des amendes sont prévues si des exploitants ne jouent pas le jeu. Un montant maximal de 100'000 francs est fixé.
Lors de la consultation, les milieux intéressés se sont montrés largement favorables au projet. La mise en place d'une obligation de signaler et l'institutionnalisation du NCSC sont considérées comme des étapes importantes pour améliorer la cybersécurité en Suisse.
L'une des principales préoccupations formulées est que cette obligation soit mise en ½uvre avec le moins de formalités possible et qu'elle n'entraîne pas de charge administrative supplémentaire importante.