En raison de l’augmentation de cybe­rat­taques, le Conseil fédé­ral désire octroyer au Centre natio­nal suisse pour la cyber­sé­cu­rité (NCSC) une vue d’ensemble des cyber­me­naces en Suisse. Avec une telle connais­sance, le NCSC pour­rait aver­tir les victimes poten­tielles et leur recom­man­der les mesures qui s’imposent (art. 74a al. 4 du projet de Loi sur la sécu­rité de l’in­for­ma­tion [P‑LSI]).

À l’heure actuelle, le NCSC ne reçoit des infor­ma­tions que sur une base volon­taire. Or, une vue d’ensemble n’est possible que si toutes les infra­struc­tures critiques lui annoncent les cybe­rat­taques d’une certaine impor­tance (art. 74d P‑LSI). L’obligation s’appliquerait ainsi à certaines infra­struc­tures critiques, dont feraient partie notam­ment les hautes écoles, l’administration tant fédé­rale, canto­nale que commu­nale, les entre­prises éner­gé­tiques, les banques, assu­rances et infra­struc­tures des marchés finan­ciers, ou encore les hôpi­taux, la SSR, la Poste, les CFF, ainsi que les pres­ta­taires cloud sis en Suisse, voire encore certains fabri­cants de logi­ciels (art. 74b P‑LSI). En raison de cette large liste, le Conseil fédé­ral pour­rait exemp­ter certaines infra­struc­tures critiques de l’obligation de signa­ler, lorsque les cybe­rat­taques n’auraient qu’un effet limité sur le fonc­tion­ne­ment de l’économie ou sur le bien-être de la popu­la­tion (art. 74c P‑LSI).

La cybe­rat­taque devrait être annon­cée unique­ment si l’une des quatre condi­tions suivantes est remplie (condi­tions alter­na­tives, art. 74d P‑LSI) :

1. la cybe­rat­taque met en péril le fonc­tion­ne­ment de l’infrastructure critique concernée ;
2. la cybe­rat­taque a entraîné une mani­pu­la­tion ou une fuite d’informations ;
3. la cybe­rat­taque n’a pas été détec­tée pendant une période prolon­gée, en parti­cu­lier si des indices laissent penser qu’elle a été exécu­tée en vue de prépa­rer d’autres cybe­rat­taques, ou
4. la cybe­rat­taque s’accompagne d’actes de chan­tage, de menaces ou de contrainte.

L’infrastructure critique devrait infor­mer le NCSC dans les 24 heures suivant la détec­tion de la cybe­rat­taque (art. 74e al. 1 P‑LSI). L’information devrait comprendre des infor­ma­tions sur l’autorité ou l’organisation assu­jet­ties à l’obligation de signa­ler, sur le type et l’exécution de la cybe­rat­taque, sur ses effets, sur les mesures prises et, si elles sont connues, sur les mesures prévues (art. 74e al. 2 P‑LSI).

Afin de respec­ter le prin­cipe nemo tene­tur (nul n’est tenu de s’auto-incriminer), l’infrastructure critique ne serait pas obli­gée de commu­ni­quer au NCSC des infor­ma­tions qui l’exposeraient à des pour­suites pénales (art. 74e al. 4 P‑LSI). Par ailleurs, les infor­ma­tions remises au NCSC seront expres­sé­ment exclues du champ de la Loi sur la trans­pa­rence (art. 4 al. 1^bis P‑LSI).

Afin que cette future obli­ga­tion d’annonce soit respec­tée, le Conseil fédé­ral propose tant une inci­ta­tion posi­tive que néga­tive. La première consis­te­rait dans le soutien que le NCSC appor­tera aux infra­struc­tures critiques suite à une cybe­rat­taque (art. 74 P‑LSI). La seconde consis­te­rait en une poten­tielle amende de CHF 100’000. Celle-ci ne s’appliquerait que lorsque l’assujetti persiste à ne pas respec­ter son devoir, après avoir (1) été rendu atten­tif à son devoir de signa­ler la cybe­rat­taque et (2) s’être vu octroyer un ultime délai pour le respec­ter (art. 74g cum art. 74h P‑LSI). Malgré certaines critiques lors de la procé­dure de consul­ta­tion, cette mesure ultima ratio nous semble néces­saire. Elle corres­pond d’ailleurs à la pratique géné­rale qu’une déci­sion d’une auto­rité admi­nis­tra­tive peut être rendue avec la menace d’une amende pénale.

Ce projet de loi consti­tue-t-il un premier pas vers une loi plus géné­rale impo­sant aux infra­struc­tures critiques des exigences mini­males en matière de cyber­sé­cu­rité ? Le Conseil fédé­ral ne l’indique pas expres­sé­ment, mais vu l’importance gran­dis­sante de la cyber­sé­cu­rité depuis quelques années, une telle évolu­tion ne nous semble pas exclue. Tel est d’ailleurs déjà le cas dans l’Union euro­péenne depuis 2018 avec la direc­tive NIS, dont la version révi­sée (NIS2) a été adop­tée le 14 décembre 2022.