Signalement des cyberattaques et aide de la Confédération: le projet de loi se précise
Le projet de loi obligeant les infrastructures critiques à signaler les cyberattaques a été mis en consultation par le Conseil fédéral. Le texte entend aussi formaliser les tâches du Centre national pour la cybersécurité (NCSC), notamment concernant l'accompagnement apporté aux entreprises victimes d’une cyberattaque. Les infrastructures critiques dont il est question regroupe un grand nombre d’acteurs, dont les fournisseurs IT.
Le Conseil fédéral met en consultation un avant-projet de modification de loi dans le domaine de la cybersécurité. Il s’agit non seulement d’obliger les infrastructures critiques à signaler les cyberattaques, mais également de définir au niveau d'une loi les tâches du Centre national pour la cybersécurité (NCSC), notamment concernant son éventuelle aide dans la gestion des cyberincidents. Le Département fédéral des finances (DFF) avait été chargé en décembre 2020 d’élaborer ce projet. A l’heure actuelle, les exploitants d’infrastructures critiques en Suisse ne sont pas obligés de révéler une éventuelle cyberattaque à leur encontre. Le signalement s’effectue sur une base volontaire.
Une aide proposée «en guise de premiers secours»
L'avant-projet définit au niveau de la loi le fait que le NCSC sera chargé de gérer la réception des signalements, de procéder à des analyses et de fournir aux entreprises à l'origine d'un signalement des recommandations sur la manière de procéder. Le NCSC soutiendra en outre les exploitants d'infrastructures critiques en les aidant dans la gestion des cyberincidents. «Cette aide sera proposée en guise de premiers secours et ne devra pas concurrencer les prestations disponibles sur le marché», précise le communiqué du DFF. Rappelons que la question d’une cyber-protection des cantons, communes et PME par la Confédération a récemment été débattue sous la coupole, en réponse à une motion parlementaire. A cette occasion, le Conseil fédéral a jugé que la protection des cantons, communes et PME contre les cyberattaques n’était pas du ressort de la Confédération.
Un large éventail d'entreprises et organisations concernées
A priori, l’avant-projet mis en consultation ne concerne pas les PME. Il s’applique en outre aux cyberattaques recelant un potentiel important de dommages. Le texte indique toutefois qu’un assez large éventail d'entreprises et organisations peuvent être concernées. Le qualificatif d’infrastructures critiques ne regroupant pas uniquement les entreprises d'approvisionnement énergétique, les structures hospitalières, l'aviation civile ou encore les fournisseurs de télécommunications. Le terme inclut aussi, entre autres, les hautes écoles, les autorités de tous les niveaux fédéraux, les banques, assurances et infrastructures de marchés financiers, mais également les fabricants de matériel et de logiciels informatiques, ainsi que les fournisseurs de services numériques «qui proposent sur Internet des services sollicités par un grand nombre d'utilisateurs en Suisse».
