Objectif: Fiabilité et disponibilité de l'infrastructure et des services numériques

Description

L'utilisation des technologies numériques conduit à l'automatisation des processus et à l'interconnexion. Il en résulte des systèmes complexes qui présentent potentiellement une grande surface d'attaque. Cette complexité, de même que la fréquente pression sur les coûts et les délais lors du développement et de l'utilisation de telles technologies accroissent le risque de failles de sécurité dans les systèmes. Or, il est essentiel pour la cybersécurité de prévenir autant que possible l'apparition de ce genre de vulnérabilités, de les repérer à temps et d'y remédier rapidement. Il importe aussi de ne publier les vulnérabilités qu'après avoir identifié et dûment mis en œuvre les contre-mesures à prendre (coordinated vulnerability disclosure), car en annonçant les failles trop tôt, on renforce la position des agresseurs.

Contexte et actions requises

La Suisse possède d'importantes compétences spécialisées pour identifier les vulnérabilités et en analyser les causes. Le potentiel disponible est cependant trop peu exploité. Les chercheurs en sécurité ne sont guère incités à rechercher activement et à signaler les vulnérabilités, dont l'analyse n'est pas coordonnée sur le plan suisse. Il importe aussi de collaborer étroitement avec les services spécialisés d'autres pays et les organisations internationales compétentes. Une gestion plus efficace des vulnérabilités nécessite la création de bases juridiques obligeant à les examiner, à les signaler et à les publier.

Enfin, il importe d'agir pour garantir que les vulnérabilités soient rapidement annoncées et comblées. De trop nombreuses entreprises et organisations continuent de s'exposer à des risques parce qu'elles ne corrigent pas les vulnérabilités, alors que des correctifs (patches) existent depuis longtemps. 

Priorités

• Institutionnaliser le piratage éthique:
  Réaliser des programmes de primes aux bogues. Encourager le piratage éthique en améliorant la sécurité juridique au profit des pirates éthiques.
• Divulgation coordonnée des vulnérabilités:
  Promouvoir une approche coordonnée en cas de découverte de vulnérabilités afin d'accroître la sécurité et la confiance en misant sur la transparence. Définir et diffuser des directives standardisées et créer des incitations pour que les vulnérabilités soient annoncées.
• Centraliser la communication relative aux vulnérabilités:
  Positionner le NCSC comme la principale plateforme chargée de coordonner la publication des annonces de vulnérabilités et de diffuser des informations et des mises en garde sur les nouvelles failles ainsi que sur les solutions techniques et organisationnelles permettant d'y remédier.
• Détection automatisée des vulnérabilités:
  Mettre au point et utiliser des solutions en vue de l'identification et de la résolution automatisées des vulnérabilités.
• Écosystème de logiciels:
  Soutenir le développement de logiciels sûrs (en particulier dans le domaine des logiciels open source) en collaboration avec les organisations et les initiatives pertinentes. Le but étant de créer des incitations à prendre très tôt en compte la sécurité dans le développement de logiciels. Il s'agit de définir, pour le développement des composantes informatiques, des caractéristiques de sécurité formellement vérifiables.
• Cybersécurité des appareils sans fil connectés à Internet:
  Faire respecter, au moyen d'une surveillance efficace du marché, les exigences de l'ordonnance révisée de l'OFCOM sur les installations de télécommunication.

Acteurs principaux

• Confédération:
  OFCOM, CYD Campus, NCSC
• Cantons:
  offices informatiques, centres de compétence en matière de cybersécurité
• Hautes écoles:
  instituts de recherche en sécurité informatique
• Économie / société:
  Alliance Sécurité Digitale Suisse, NTC; entreprises de services de sécurité

Description

De nombreuses mesures techniques et organisationnelles permettent déjà de se protéger contre les cybermenaces. L'application rigoureuse de mesures fondamentales (protection de base) serait à même d'éviter la majeure partie des cyberincidents. Les décisions relatives aux mesures adéquates reposent sur des analyses approfondies de l'exposition aux risques des cybermenaces. À condition de comprendre comment ces risques se manifestent dans les divers secteurs, il devient possible de définir des mesures permettant d'améliorer la résilience.

Les mesures s’appuient sur des normes internationales. Ces dernières constituent dès lors un instrument essentiel pour la mise en œuvre des mesures de protection. Diverses approches permettent d'encourager le respect des normes. Au-delà de la possibilité d'imposer des normes pour les mesures réglementaires, il convient surtout de prévoir des incitations à leur mise en œuvre. La transparence peut être ici une forte incitation, notamment grâce aux labels signalant qui respecte quelles normes: grâce à une telle transparence, les investissements consacrés à la cybersécurité renforcent la confiance des clients.

Contexte et actions requises

Les analyses des risques et des vulnérabilités des secteurs critiques faisaient déjà partie intégrante des deux premières stratégies en matière de cybersécurité. Il faut toutefois vérifier et adapter régulièrement les évaluations disponibles et les mesures de résilience identifiées. Des normes de cybersécurité bien établies existent par ailleurs déjà au niveau international et sont appliquées en Suisse aussi. L'OFAE a élaboré avec les milieux économiques et les offices compétents une norme minimale pour les secteurs critiques, d'où ont été tirées des normes minimales par secteur. Le respect de ces normes n'est généralement pas obligatoire. La nouvelle loi sur la protection des données, qui entrera en vigueur en septembre 2023, comporte toutefois des exigences minimales pour la sécurité des données en cas de traitement de données personnelles. Par ailleurs, certains secteurs ont entrepris des travaux pour déterminer quelles normes devraient avoir une valeur contraignante et pour quelles organisations.

Outre les normes propres à certains secteurs, celles qui sont spécifiques à certaines technologies revêtent également de l'importance. Les normes de sécurité régissant le recours à l'informatique en nuage (cloud computing) ou l'IdO jouent un rôle crucial pour garantir la sécurité des nouvelles applications technologiques. La Suisse a déjà édicté dans l'ordonnance de l'OFCOM sur les installations de télécommunication des prescriptions sur la sécurité des appareils sans fil connectés à Internet. Elle examine désormais quelles exigences s'imposent dans l'informatique en nuage.

Le travail à mener au niveau législatif ne se limite toutefois pas à la question de savoir s'il faut adopter des normes contraignantes. Le projet déjà mis au point sur l'obligation d'annoncer les cyberattaques en est un exemple. Il convient d'examiner en tout temps où il serait nécessaire de mettre en place des bases légales. 

Priorités

• Mettre à jour selon les besoins les analyses des risques et des vulnérabilités dans les sous-secteurs critiques (OFPP et offices compétents). Prendre en compte les risques identifiés dans la gestion de la résilience en définissant des champs d'action adaptés et des mesures visant à améliorer la résilience. Vérifier régulièrement la mise en œuvre des mesures et encourager les échanges entre la Confédération et les cantons à propos des risques, des vulnérabilités et des mesures de résilience.
• Promouvoir la diffusion et le respect des normes. Il convient en particulier d'encourager l’utilisation de normes dans les PME et les communes, en mettant à la disposition des instruments simples et pratiques à cet effet. Lors des marchés publics, il faudra en outre exiger et vérifier le respect des normes de sécurité informatique.
• Encourager la diffusion des labels existants:
  Des labels de cybersécurité ont été introduits avec succès en Suisse. Il est important d'en assurer la coordination au niveau tant national qu'international. Il convient dès lors d'encourager la diffusion des labels existants, en soutenant les échanges d'expériences dans ce contexte.
• Vérifier dans quelle mesure et comment des prescriptions légales pourraient rendre les entreprises davantage responsables de leur propre protection contre les cyberincidents. Dans ce contexte, il convient de préférer les réglementations efficaces à des prescriptions opérationnelles détaillées. Les règlementations devront en outre être harmonisées entre les différents secteurs, pour limiter autant que possible les disparités entre les éventuelles exigences en vigueur.
• Déterminer s'il est nécessaire d'adopter des réglementations par secteur; élaborer au besoin les modèles correspondants.
• L'obligation d'annoncer les cyberattaques subies par les infrastructures critiques est déjà à l'étude. En cas d'adoption, les modalités de sa mise en œuvre seront fixées en étroite collaboration avec les acteurs concernés. 

Acteurs principaux

• Confédération:
  OFPP, OFCOM, OFT, OFDF, OFEN, NCSC, OFAE, PFPDT
• Cantons:
  centres de compétence cantonaux en cybersécurité
• Hautes écoles:
  SSCC
• Économie / société:
  cyber-safe.ch, ITSec4KMU, organisations de normalisation, NTC, prestataires de services de sécurité, associations des secteurs économiques concernés, assurances.

Description

La cybersécurité est devenue un enjeu central pour les autorités à tous les niveaux de l'État. Les prestations administratives en ligne doivent satisfaire un haut degré de disponibilité et être sécurisées. Si les tentatives de cyberespionnage comptent depuis des années parmi les principales cybermenaces, les attaques criminelles dirigées contre les autorités se sont également multipliées ces derniers temps. Leurs auteurs menacent par exemple les autorités de chiffrer ou de publier les données traitées. Il importe de relever ces défis à tous les niveaux de l'État.

Contexte et actions requises

Chaque autorité est responsable de sa propre cybersécurité. La loi sur la sécurité de l'information (LSI) définit le cadre et les procédures de sécurité au sein de la Confédération. Elle s'applique également aux cantons lorsque ceux-ci accèdent aux moyens informatiques de la Confédération ou qu'ils traitent des informations classifiées de la Confédération.

Garantir la cybersécurité dans toutes les structures fédérales représente un défi de taille. Comme le personnel spécialisé et, souvent aussi, les ressources financières font défaut, il importe de miser sur la collaboration entre les autorités de tous les échelons de l'État. Les structures nécessaires à la collaboration existent déjà, mais il reste beaucoup de potentiel à exploiter pour renforcer la collaboration opérationnelle. Il convient par ailleurs de déterminer dans quelle mesure et dans quelles situations la Confédération peut apporter un soutien aux cantons et aux communes. 

Priorités

• Mise en œuvre de la LSI au sein de l'administration fédérale.
• Encourager l'échange d'informations sur la cybersécurité au sein de l'administration fédérale, en particulier entre le NCSC et les offices spécialisés.
• Renforcer la collaboration entre la Confédération et les cantons.
• Déterminer le soutien que la Confédération peut apporter aux cantons, aux villes et aux communes.
• Encourager les échanges avec les autorités internationales.

Acteurs principaux

• Confédération et cantons:
  RNS, TNI, ANS, centres cantonaux de compétence en matière de cybersécurité, organisations de communes (Association des communes suisses, Union des villes suisses, p. ex.), NCSC