Les infrastructures critiques, les autorités et l’économie dépendent beaucoup des fournisseurs de logiciels et de matériel informatique. Or, il n’est pas rare que les produits de ces fournisseurs présentent de graves failles de sécurité.

La Suisse est un pays stable sur les plans social, économique et géopolitique. Il est dès lors inacceptable que les acteurs qui achètent et utilisent des composantes critiques ne puissent pas demander à une organisation nationale fiable et indépendante si ces composantes répondent aux exigences de cybersécurité.

Dans ce contexte, le canton de Zoug porte un projet visant à créer un institut national de de test pour la cybersécurité (NTC).

La démarche est soutenue par le Centre national pour la cybersécurité. Pour donner une assise nationale à l’institut, il faudrait toutefois que la Confédération s’engage sur le plan juridique, et de manière contraignante, à le soutenir à long terme.

Le Conseil fédéral est chargé de préparer des bases juridiques encadrant la participation de la Confédération à la création et au fonctionnement du NTC. Ces bases fixeront notamment les moyens que la Confédération mettra à disposition.

Comme l’industrie, les autorités, la police et l’armée recourent toujours plus à l’informatique, elles s’exposent à des risques de plus en plus importants lorsque les produits utilisés sont peu fiables. La menace est particulièrement palpable lorsque des infrastructures critiques utilisent des composantes connectées. Les dégâts pour l’économie et la société ne doivent pas être sous-estimés.

La difficulté de faire tester les produits informatiques a déjà été abordée dans plusieurs interventions (interpellations 18.4197 Wasserfallen et 19.3602 Vonlanthen, postulat 19.3136 Dobler). Dans sa réponse à l’interpellation 18.4197, le Conseil fédéral a approuvé l’idée de créer un service national chargé de tester les produits informatiques.

Pour augmenter les capacités de testage, le canton de Zoug a accordé un financement de départ à un projet visant à créer un institut national de test pour la cybersécurité (NTC). Les entreprises et les organisations publiques pourront demander à celui-ci de vérifier si les composantes connectées qu’elles utilisent sont sûres. Tous les produits, qu’il s’agisse de matériel ou de logiciels, indépendamment de leur fournisseur et de leur origine géographique, pourront être testés.

Les travaux en sont déjà à un stade avancé. Un sondage réalisé en octobre 2020 auprès d’exploitants d’infrastructures critiques a confirmé l’utilité d’un tel institut. 85 % des sondés aimeraient faire tester des produits et seraient prêts à confier cette tâche au NTC.

L’association  » Institut national de test pour la cybersécurité NTC  » (National Test Institute for Cyber Security, Nationales Testinstitut für Cybersicherheit, Istituto nazionale di test per la cibersicurezza) a été fondée en novembre 2020.

Plusieurs aspects seront définis en 2021 : les premiers essais de test, les questions de responsabilités et les modèles d’affaires concernant les prestations offertes, les coûts et les recettes.

Jusqu’à présent, la Confédération n’a accompagné le projet que sur le plan technique. En s’engageant à long terme pour le projet et en assurant une partie importante de son financement, la Confédération permettrait au NTC d’offrir ses services à toute la Suisse. Cette participation rejoindrait et renforcerait les efforts entrepris dans le cadre de la Stratégie nationale de protection de la Suisse contre les cyberrisques.

Le Conseil fédéral partage l’avis selon lequel la Suisse devrait se doter de capacités de test pour la cybersécurité. Par conséquent, il accueille favorablement les initiatives privées telles que celles visant à créer un institut national de test pour la cybersécurité (NTC) et est prêt à les soutenir à l’aide de connaissances techniques. Toutefois, le Conseil fédéral estime qu’il n’est pas nécessaire que la Confédération participe au projet du NTC au-delà d’un soutien technique, en particulier par un soutien financier direct. L’industrie des technologies de l’information et de la communication s’est fortement développée en Suisse ces dernières années. Elle devrait pouvoir s’organiser de manière indépendante pour créer des capacités de test et développer des solutions. L’exemple de l’association allemande pour le contrôle technique (TÜV) montre que des analyses techniques approfondies peuvent également être réalisées dans le domaine informatique par le secteur privé lui-même ou par un organisme indépendant qu’il a mis en place.

En outre, il existe déjà en Suisse divers fournisseurs d’analyses de vulnérabilité et de tests d’intrusion. Leur modèle d’affaires ne doit pas être mis en concurrence avec des institutions bénéficiant d’un soutien public. Un soutien financier de la Confédération au NTC irait à l’encontre du principe de l’égalité de traitement et de la neutralité concurrentielle de l’Etat.

Au moyen d’une collaboration sur le plan technique, pour laquelle aucune nouvelle base légale ne doit être créée, la Confédération peut continuer à soutenir efficacement le NTC et ainsi contribuer à augmenter les capacités de test pour la cybersécurité en Suisse.

Le Conseil fédéral propose de rejeter la motion.