Il est bien connu que la cybersécurité n’est pas le fort de certains secteurs. Dans le domaine de la santé, notamment, on voit se multiplier les rapports faisant état de manquements à la sécurité parfois très graves. Nous avons tous en mémoire la récente affaire du vol de données médicales personnelles sensibles de dizaines de milliers de patients et le chantage qui a pu ainsi être exercé sur certains cabinets médicaux de Suisse romande. Ou, pour prendre un autre exemple particulièrement préoccupant, le fiasco de la plate-forme mesvaccins.ch.

Par ailleurs, l’utilisation de systèmes de décision automatisés (dits  » ADM « , pour automated decision machine, et souvent basés sur des méthodes d’apprentissage automatique) constitue un nouveau sujet d’inquiétude en matière de cybersécurité. D’une part en raison d’effets non voulus, comme des diagnostics erronés concernant des patients atteints d’un cancer. D’autre part en raison des détournements auxquels ces systèmes peuvent donner lieu, comme la réalisation de faux enregistrements vidéo, les fameux deepfakes. Notons que dans l’ordonnance sur les cyberrisques, la définition du cyberincident, qui, contrairement à la cyberattaque, ne nécessite pas d’attaquant extérieur et peut être dû à un dysfonctionnement involontaire, tient déjà compte de la réalité de l’intelligence artificielle (IA).

Si une cybersécurité insuffisante qui fait face à une complexité croissante est un problème général, la sensibilité aux incidents n’est pas la même partout. Et certains secteurs sont apparemment moins touchés par des attaques réussies. Tel est ainsi le cas du secteur financier, qui, à en croire les rapports du Centre national pour la cybersécurité (NCSC), semble moins vulnérable que, par exemple, les secteurs de la santé ou de la formation.

Mais si le secteur financier s’en sort si bien, c’est aussi pour une raison bien particulière. Il n’est pas seulement l’un des secteurs à avoir fait le plus rapidement et le plus complètement le choix du numérique tout en consentant spontanément des efforts considérables sur le plan de la cybersécurité, il est aussi étroitement surveillé par l’Autorité fédérale de surveillance des marchés financiers (FINMA), qui depuis déjà plusieurs années demande systématiquement aux établissements financiers d’être attentifs aux cyberrisques.

C’est dans ce contexte que je prie le Conseil fédéral de bien vouloir répondre aux questions suivantes :

1. Que pense-t-il des différences considérables que l’on peut observer en matière de cybersécurité entre les secteurs économiques et qu’a-t-il l’intention de faire à cet égard dans le cadre des compétences qui lui sont dévolues ?

2. Quels sont pour lui les secteurs auxquels il y aurait lieu d’appliquer rapidement et rigoureusement des exigences de cybersécurité plus élevées qu’ailleurs, compte tenu des menaces qui pèsent sur les individus et sur les entreprises ?

3. Quelles sont les autorités de contrôle en place qui pourraient agir en ce sens dans les secteurs concernés, comme la FINMA le fait pour le marché financier ?

4. Le NCSC enregistre-t-il déjà des cyberattaques menées de manière ciblée contre des systèmes d’IA, dans les domaines par exemple de l’énergie ou de la finance ?

5. Le Conseil fédéral serait-il disposé à éclairer cette problématique en y consacrant un rapport ?

Question 1: Le Conseil fédéral estime qu’il existe de grandes différences entre les branches, tant en ce qui concerne le degré de maturité de la cybersécurité que l’importance de la menace. C’est pourquoi la Confédération a développé, sous la direction de l’Office fédéral pour l’approvisionnement économique du pays (OFAE), des normes minimales sectorielles en matière de technologies informatiques. En s’appuyant sur ces normes, le Conseil fédéral envisage d’introduire des prescriptions sectorielles en matière de cybersécurité dans les bases légales correspondantes.

Question 2: Le Conseil fédéral a relevé qu’il était nécessaire d’intervenir dans les secteurs de l’énergie, de la santé, des finances ainsi que des télécommunications.

Dans le secteur de l’énergie, le Conseil fédéral propose d’introduire une obligation pour les opérateurs de réseau, les producteurs ainsi que les prestataires de services de stockage, de prendre des mesures de protection contre les cyberrisques. Cette proposition s’inscrit dans le cadre du projet d’introduction dans la loi fédérale sur la sécurité de l’information (LSI) de l’obligation de signaler les cyberattaques pour les exploitants d’infrastructures critiques.

Dans le secteur de la santé, la Conférence suisse des directrices et directeurs cantonaux de la santé (CDS) a élaboré, en collaboration directe avec le Centre national pour la cybersécurité (NCSC), une liste exhaustive de recommandations en matière de cybersécurité destinées à l’ensemble des prestataires de services du secteur.

Dans le secteur des finances, la cybersécurité a été renforcée, d’une part par l’Autorité fédérale de surveillance des marchés financiers (FINMA) et, d’autre part, grâce à la collaboration entre le NCSC et l’association « Swiss Financial Sector Cyber Security Centre » (Swiss FS-CSC).

Enfin, en vue de renforcer la cybersecurité dans le secteur des télécommunications, le Conseil fédéral examine les dispositions d’exécution révisées de l’ordonnance sur les services de télécommunication (OST) en vue d’obliger les fournisseurs d’accès à Internet à prendre des mesures de sécurité. Il est également prévu de prendre des mesures visant à renforcer la cybersécurité de certains appareils sans fil disponibles sur le marché suisse. Ces mesures s’alignent sur celles adoptées dans l’Union européenne.

Question 3: Les responsabilités en matière de contrôle et de surveillance sont conçues de manière à répondre au mieux aux exigences spécifiques de chaque secteur. Ces responsabilités sont souvent partagées entre la Confédération et les cantons.

C’est pourquoi le Conseil fédéral encourage les échanges entre toutes les instances compétentes. Le NCSC, quant à lui, collabore directement avec ces instances afin de renforcer la cybersécurité dans tous les secteurs.

Question 4: Le NCSC n’a jusqu’ici pas enregistré de cyberattaques spécifiquement dirigées contre des systèmes d’intelligence artificielle.

Question 5: Le Conseil fédéral examine le sujet dans le cadre de la mise en oeuvre de la nouvelle stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) et en lien avec la création d’un nouvel office fédéral. Il informe régulièrement le Parlement sur l’avancement des travaux.