Débuts laborieux pour la nouvelle surveillance cyber de la Confédération
Le nouveau Service spécialisé de la Confédération pour la sécurité de l’information a commencé ses activités, mais la collaboration avec l’Office fédéral de la cybersécurité reste laborieuse. Le Contrôle fédéral des finances critique des processus flous, des frictions et des lacunes dans l’échange d’informations.
Un peu plus de deux ans après la réorganisation des structures de sécurité de la Confédération, la collaboration entre les services compétents reste difficile. Le Service spécialisé de la Confédération pour la sécurité de l’information (SS CSI), rattaché au Secrétariat d’État à la politique de sécurité (SEPOS), a certes commencé ses travaux et repris les tâches prévues. Mais au quotidien, des divergences avec l’Office fédéral de la cybersécurité (OFCS) continuent d’entraîner des retards et une charge de travail supplémentaire, relève le Contrôle fédéral des finances (CDF) dans un rapport.
Le Conseil fédéral avait réorganisé les responsabilités en matière de cybersécurité début 2024. Cette décision répondait à l’augmentation des menaces liées aux cyberattaques, à la désinformation et aux conflits hybrides. Le Secrétariat d’État à la politique de sécurité, l’Office fédéral de la cybersécurité et le commandement Cyber de l’armée ont alors été créés. Tandis que l’OFCS, en tant qu’autorité opérationnelle spécialisée, analyse et traite les cyberincidents, le service spécialisé du SEPOS pilote la sécurité de l’information de la Confédération au niveau stratégique.
Le CDF estime que le nouveau service spécialisé dispose globalement des conditions nécessaires pour remplir son mandat légal. L’audit montre toutefois que la collaboration avec l’OFCS ne fonctionne pas encore sans accroc. Certaines voix ont dès lors suggéré de regrouper à nouveau les tâches au sein de l’OFCS. Le CDF juge toutefois cette option inappropriée. Selon lui, une nouvelle réorganisation créerait surtout de nouvelles incertitudes et de nouveaux retards. Les deux autorités devraient plutôt approfondir leur collaboration et améliorer les processus existants.
La mise en place est achevée, les problèmes demeurent
Le CDF porte un regard particulièrement critique sur la collaboration des deux autorités dans la gestion des directives. Il s’agit ici de développer, coordonner et faire appliquer les prescriptions de sécurité pour l’administration fédérale.
Le SEPOS et l’OFCS ont bien conclu une convention de prestation de services. Dans la pratique, celle-ci ne fonctionne toutefois que partiellement, constate le CDF. Les prestations de soutien convenues ne seraient pas disponibles dans l’ampleur prévue, les processus de travail ne seraient pas encore entièrement établis et les équipes opérationnelles ne seraient pas parvenues à s’entendre à plusieurs reprises sur la répartition des tâches.
Il en résulte des boucles de coordination supplémentaires et des retards. Selon le CDF, cette situation risque de créer des responsabilités floues et de nuire à la mise en œuvre efficace des prescriptions de sécurité. Le Contrôle fédéral des finances demande donc aux deux organisations de définir plus clairement leurs rôles et de régler les divergences existantes au niveau de la direction.
Les signalements ne parviennent pas toujours au bon service
Le CDF relève également des problèmes dans la notification des cyberincidents. L’OFCS exploite, avec le Cyber Security Hub, la plateforme centrale permettant aux autorités, aux entreprises et aux exploitants d’infrastructures critiques de signaler des cyberattaques. Les unités administratives peuvent y choisir si le SEPOS doit aussi être informé d’un incident. Si cette transmission n’est pas activée, seul l’OFCS reçoit le signalement. Comme l’Office fédéral ne dispose pas de la base légale lui permettant de transmettre de sa propre initiative ces informations au SEPOS, il n’est pas garanti que le service spécialisé dispose d’une vue d’ensemble complète de tous les événements pertinents pour la sécurité.
Pour le CDF, cette situation est problématique. Le service spécialisé doit non seulement soutenir la maîtrise des incidents, mais aussi adapter en continu les prescriptions de sécurité de l’ensemble de l’administration fédérale aux nouvelles menaces. Sans informations complètes, il ne peut remplir cette mission que de manière limitée.
Le rapport met aussi en évidence un besoin d’amélioration dans la gestion d’incidents concrets. Si la collaboration a bien fonctionné lors d’un problème de sécurité concernant un outil de collaboration cloud, la coordination s’est révélée insuffisante dans d’autres cas. Les services impliqués ignoraient parfois quelles mesures l’autre autorité avait déjà engagées.
Le CDF relève positivement que le service spécialisé a entre-temps recruté du personnel qualifié supplémentaire et posé les bases nécessaires pour tirer systématiquement les enseignements des cyberincidents.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
