Cyberdéfense Bases légales pour la cyberdéfense

L'armée veut mieux se défendre dans le cyberespace. Les mesures exigeant de pénétrer dans les systèmes informatiques de tiers seront toutefois soumises, en temps de paix, à l'aval du Conseil fédéral. Grâce notamment à l'insistance des parlementaires.

Une nouvelle ordonnance sur la cyberdéfense militaire réglera la question dès le 1er mars. Le Conseil fédéral l'a adoptée mercredi.

Le nombre d’attaques dirigées contre des systèmes d’information et des réseaux informatiques a fortement augmenté et continuera de croître. L’armée peut également devenir la cible de cyberattaques, souligne le gouvernement. Or elle doit pouvoir utiliser en toute sécurité ses propres systèmes et réseaux informatiques pour remplir sa mission.

Autorisation

Seules les mesures qui n’exigent pas de pénétrer dans des systèmes de tiers ne seront pas soumises à autorisation. Les autres demandes devront être déposées par le chef de l'armée auprès du chef du Département fédéral de la défense (DDPS) et recevoir le feu vert du Conseil fédéral.

Lors d'un service actif - soit lorsque l'armée intervient pour défendre la Suisse et sa population ou pour soutenir les autorités civiles en cas de menaces graves contre la sécurité intérieure -, le chef de l'armée pourra néanmoins agit seul, voire déléguer cette compétence.

L'ex-ministre de la défense Guy Parmelin aurait souhaité aller plus loin et pouvoir se passer de l'aval du Conseil fédéral, du moins pendant les premières 24 heures. Mais il a fait marche arrière devant l'opposition de la délégation des commissions de gestion du Parlement.

Selon l'organe de surveillance parlementaire, une telle procédure ne répondait pas à celles prévues pour des mesures similaires dans le renseignement. Le Conseil fédéral risquait en outre de se voir mis devant le fait accompli face à des opérations risquées.

Responsabilité et surveillance

Selon la nouvelle ordonnance, les demandes de mesures soumises à autorisation doivent être motivées par écrit et préciser le but de l'action, sa durée, la cible, le nombre maximal de pénétrations dans les systèmes ou réseaux informatiques concernés ainsi que la preuve de la légalité de l'opération, notamment de sa proportionnalité, ainsi qu'une évaluation des risques.

La Base d'aide au commandement de l'armée sera compétente pour la cyberdéfense militaire. Il lui reviendra de documenter les demandes soumises à autorisation. Le Secrétariat général du DDPS assurera la surveillance au niveau départemental, fera régulièrement rapport au Conseil fédéral et informera les organes chargés de la haute surveillance parlementaire.

La cyberdéfense est régulièrement à l'agenda des parlementaires. Les Chambres ont ainsi exigé que l'armée se dote d'une organisation ad hoc. Réclamée dans une motion, celle-ci devrait compter entre 100 et 150 professionnels spécialisés en informatique et être formée de 400 à 600 militaires de milice.