La nouvelle cybers­tra­té­gie natio­nale (CSN), qui remplace la stra­té­gie natio­nale pour la protec­tion de la Suisse contre les cyber­risques (SNPC) de 2018, est adop­tée en avril 2023 et pose les grandes lignes des mesures à prendre pour faire face aux prin­ci­pales cyber­me­naces en Suisse.  

La CSN fait état des prin­ci­pales cyber­me­naces, au premier rang desquelles figurent les menaces liées aux cybe­rat­taques liées à la cyber­cri­mi­na­lité (notam­ment à visée patri­mo­niale), au cybe­res­pion­nage, au cyber­sa­bo­tage, à la cyber­sub­ver­sion et aux cybe­ro­pé­ra­tions dans des contextes de conflits armés. Viennent ensuite les cyber­me­naces liées aux erreurs humaines et aux défaillances tech­niques et fina­le­ment les facteurs géné­raux ayant un impact sur les cyber­me­naces, à l’instar des déve­lop­pe­ment tech­no­lo­giques (en lien notam­ment avec l’intelligence arti­fi­cielle ou l’Internet des objets) ou des tensions géopo­li­tiques.   

Après avoir rappelé le contexte dans lequel la CSN est adop­tée, cette dernière pose la vision, les objec­tifs stra­té­giques et les prin­cipes gouver­nant celle-ci. La stra­té­gie met un accent sur la respon­sa­bi­li­sa­tion de la Suisse et des diffé­rentes parties prenantes, sur la fiabi­lité des services numé­riques, sur la gestion de cybe­rin­ci­dents, la pour­suite de la cyber­cri­mi­na­lité et enfin le rôle de la Suisse sur le plan inter­na­tio­nal.  

La protec­tion de la Suisse contre les cyber­me­naces préco­nise une approche fondée sur les risques, permet­tant de s’adapter et d’être cohé­rente avec la réalité selon laquelle tous les risques ne peuvent être évités. Un accent est main­tenu sur la respon­sa­bi­lité et la coopé­ra­tion de toutes les parties prenantes, avec une limi­ta­tion du rôle de l’État à une inter­ven­tion subsi­diaire et parte­na­riale.  

Le premier lot de mesures de la CSN vise la respon­sa­bi­li­sa­tion de toutes les parties prenantes, qui est un objec­tif. Il s’agit de mesures rela­tives à la forma­tion, la sensi­bi­li­sa­tion et l’analyse et l’état de la situa­tion, en impli­quant diffé­rentes enti­tés et méca­nismes de coopé­ra­tion.  

Ensuite, des mesures visent la réali­sa­tion de l’objectif de la CSN cher­chant à garan­tir la fiabi­lité et la dispo­ni­bi­lité de l’infrastructure et des services numé­riques. Ces mesures doivent servir à l’identification des vulné­ra­bi­li­tés et leur gestion, à la coopé­ra­tion entre auto­ri­tés pour accroître la cyber­sé­cu­rité et à une régle­men­ta­tion effi­cace. Cette dernière mesure comprend des analyses des besoins secto­riels en termes de régle­men­ta­tions et d’incitations au respect de ces dernières.  

L’objectif de détec­tion, préven­tion, gestion et défense effi­caces contre les cybe­rat­taques mobi­lise notam­ment des compé­tences privées (équipes de gestion de cybe­rin­ci­dents) et étatiques (Centre natio­nal pour la cyber­sé­cu­rité) dans la gestion tech­nique des cybe­rin­ci­dents, les compé­tences du Service de rensei­gne­ment (SRC) et des auto­ri­tés de pour­suite pénale pour l’attribution de cybe­rat­taques, les compé­tences de l’armée (et du SRC) pour la cyber­dé­fense et un ensemble de compé­tence pour la gestion de crise. 

La CSN prévoit que, pour amélio­rer la pour­suite pénale de la cyber­cri­mi­na­lité, il convient d’accroître la colla­bo­ra­tion entre auto­ri­tés de pour­suite pénale, amélio­rer la vue d’ensemble des cas et former les auto­ri­tés compé­tentes.  

Finalement, l’objectif de renfor­ce­ment du rôle de la Suisse sur le plan inter­na­tio­nal passe par la « Genève inter­na­tio­nale » et plus large­ment par l’implication de la Suisse dans la régle­men­ta­tion inter­na­tio­nale du cybe­res­pace et par la coopé­ra­tion bila­té­rale.   

Cette nouvelle stra­té­gie devrait permettre à la Suisse de conti­nuer ses progrès dans sa cyber­ré­si­lience, notam­ment par la créa­tion et la réor­ga­ni­sa­tion de struc­tures dispo­sant de compé­tences dans le domaine de la cyber­sé­cu­rité. Parmi ces nouveau­tés, la trans­for­ma­tion du NCSC devrait permettre plusieurs amélio­ra­tions, notam­ment en termes de compé­tences et de ressources, bien qu’elle apporte vrai­sem­bla­ble­ment plusieurs défis. En outre, la créa­tion de nouvelles struc­tures, telles que l’Institut natio­nal de test pour la cyber­sé­cu­rité (NTC) déte­nant des compé­tences en lien avec l’appréhension des attaques contre les produits infor­ma­tiques, devrait être à l’origine de progrès.  

De manière géné­rale, la nouvelle CSN consacre des prio­ri­tés aujourd’hui essen­tielles dans la gestion de diffé­rentes cyber­me­naces. La stra­té­gie ayant une portée géné­rale et devant être détaillée par un plan de mise en œuvre, l’adoption de ce dernier permet­tra en prin­cipe de mieux appré­hen­der chaque étape concrète permet­tant de proté­ger la Suisse des cyber­me­naces.