Le rattachement de l’Office fédéral de la cybersécurité au DDPS ne fait pas que des heureux
Pendant longtemps, de nombreux éléments ont laissé penser que l'Office fédéral de la cybersécurité serait rattaché au Département des finances. La décision d’en faire un Office du Département de la défense ne plaît pas à tout le monde.
Le nouvel Office fédéral de la cybersécurité sera rattaché au Département fédéral de la défense, de la protection de la population et des sports (DDPS). Le Conseil fédéral l'a annoncé début décembre 2022. Cette décision en a surpris certains, car pendant longtemps, de nombreux éléments indiquaient que le nouvel office fédéral serait rattaché au Département des finances, selon une enquête du média en ligne alémanique Republik, qui s'appuie sur des documents de l'administration fédérale.
Selon ces documents, en septembre encore, la plupart des agences ayant participé à la consultation se sont prononcées en faveur d'un hébergement au sein du Département fédéral des finances (DFF), alors dirigé par Ueli Maurer. C'est également là que se trouve l'actuel Centre national de cybersécurité (NCSC). La police fédérale a notamment salué le fait qu’une attribution au DFF permette d'équilibrer de manière optimale les trois domaines cyber de la sécurité, de la défense et du pénal au sein de trois départements. Même le service de renseignement s'est prononcé en faveur de l'hébergement au sein du DFF, selon Republik, qui se réfère à une réunion de fin août 2022. Seul le DDPS était favorable à l'hébergement de l'Office fédéral de la cybersécurité en son sein.
Rattachement à la défense controversé
Mais la démission du conseiller fédéral Ueli Maurer a redistribué les cartes, poursuit le média en ligne. Les secrétaires généraux des départements concernés se sont finalement mis d'accord pour intégrer l'Office fédéral de la cybersécurité au sein du Département de la défense, dirigé par la conseillère fédérale Viola Amherd. Ceci à la condition que l'office fédéral soit incorporé dans un domaine civil. Lors d'une nouvelle consultation, plusieurs offices ont soutenu cette décision.
Mais tous sont loin d'approuver le projet. Le fait que la cybersécurité et la cyberdéfense soient rattachées au même département suscite des critiques dans le secteur IT. La République cite par exemple Martin Leuthold, membre de la direction de la fondation Switch et membre du comité de pilotage de la stratégie nationale pour la protection de la Suisse contre les cyberrisques, avec les propos suivants: «La confiance est la monnaie d'échange en matière de cybersécurité. Cette confiance de l'économie et de la société, le NCSC l'a construite pendant bien plus de 10 ans. Et maintenant, elle est sacrifiée à la légère. Personne n'a envie de signaler volontairement des failles de sécurité à une institution rattachée à l'armée et ayant pour voisin le service de renseignement».
Le DDPS rétorque que le risque de transmission illicite de données n'est pas plus important que dans d'autres départements. «Il est clairement réglé (entre autres dans la nouvelle loi sur la sécurité de l'information) quelles informations peuvent être échangées avec quelles institutions», déclare le secrétaire général du DDPS Toni Eder, cité par Republik.
Le DDPS compte annoncer en mars comment il assurera la séparation entre l'Office fédéral de la cybersécurité et le domaine de la cyberdéfense. D'ici là, il souhaite également définir la structure de l’Office et ses interfaces avec d'autres services fédéraux.
