Des inconvénients du fédéralisme en matière de cybersécurité
Le fédéralisme est-il un obstacle à une stratégie de cyberdéfense et de cybersécurité efficace pour la Suisse? Hannes Lubich, membre de l'Advisory Board Cybersecurity de l’Académie suisse des sciences techniques (SATW), partage son analyse.
En Suisse, les cantons et les communes sont en première ligne quand il s’agit de faire face aux cyberattaques. Fédéralisme oblige, la Confédération n’intervient que si ces collectivités ne maîtrisent plus la situation et demandent de l’aide. Un mode d’organisation qui a quelques avantages mais beaucoup d'inconvénients, à en croire Hannes Lubich. Membre de l'Advisory Board Cybersecurity de l’Académie suisse des sciences techniques (SATW), l’expert s’est confié sur ces questions à notre rédaction alémanique.
Plusieurs instances de contrôle
Pour Hannes Lubich, fédéralisme et cybersécurité font bon ménage sur un point: il existe ainsi plusieurs instances de contrôle. Mais pour lui, l’échelon communal est de trop dans ce domaine. «Il se peut que certaines petites communes surestiment leurs propres capacités. Ces communes ont-elles déjà essayé de mobiliser un spécialiste en cybersécurité en deux heures un dimanche matin à la place de leur fournisseur informatique local, de rédiger un rapport à l'attention du NCSC et disposent-elles d'un plan de reprise documenté et éprouvé après une panne totale due à une attaque?», s’interroge l’expert.
Cantons et communes: des rôles et une collaboration à revoir
A l'échelon des cantons, qui s’organisent de façon autonome, l'exécutif et les administrations préfèrent tout gérer avec leurs propres ressources et ne pas dépendre d'un prestataire de services externe. Le hic? Le travail est souvent fait à double et les cantons se font concurrence sur un marché du travail tendu, en recherchant les mêmes spécialistes. «Les petits cantons vont particulièrement souffrir de cette lutte pour les mêmes ressources limitées», note Hannes Lubich.
La mauvaise collaboration entre cantons et communes est également pointée du doigt par le membre de l'Advisory Board Cybersecurity de la SATW. A ses yeux, les cantons devraient davantage accompagner et conseiller les communes dans la mise en œuvre de leurs stratégies de numérisation. Les cantons devraient par exemple identifier quels services utilisés par les communes bénéficieraient, dans une optique de sécurité IT, à être hébergés de manière centralisée au niveau cantonal. L'expert cite comme exemple l'archivage à long terme, la sauvegarde, le chiffrement des données ou encore les accès VPN.
Revoir les tâches qui incombent à la Confédération
Il serait ainsi grand temps de revoir et clarifier la répartition des tâches en matière de sécurité, entre la Confédération et les collectivités. Hannes Lubich concède que la «Stratégie nationale pour la protection de la Suisse contre les cyberrisques» (NCS), en cours de révision, donne certaines directives. Mais il ajoute que celles-ci sont formulées de manière très générale.
Lubich estime que, dans l’idéal, la Confédération devrait s’occuper de tout ce qui a trait à la législation et à la stratégie nationale de défense dans le domaine cyber. «La Confédération est en outre là pour créer les conditions-cadres et les normes minimales afin que les services électroniques puissent être introduits de manière sûre et stable. En fin de compte, ceux-ci offrent à chaque fois une nouvelle surface d'attaque. Je ne pense pas que chaque canton doit bricoler ses propres systèmes pour le vote électronique ou les dossiers médicaux numériques», confie encore l'expert. Il ajoute que le service de renseignement, les contacts avec l'étranger et la coordination devraient également être centralisés au niveau fédéral: «C'est pourquoi le NCSC devient maintenant un office fédéral, afin de conserver et de développer les compétences et les ressources nécessaires à la coordination requise.»
