Cet article a été publié pour la première fois sur inside-it.ch (en allemand) dans le cadre de la rubrique #Security de Switch. Cette rubrique paraît six fois par an. Les experts de Switch s'expriment de manière indépendante sur des sujets liés à la politique, à la technique et à la sensibilisation de la sécurité informatique.
NCSC: décision avec potentiels dommages collatéraux
Le vendredi 9 décembre 2022, le Conseil fédéral a décidé de rattacher l’Office fédéral de la cybersécurité, créé à partir du NCSC, au DDPS – une implantation qui s’explique avant tout par les potentiels de synergies, comme l’a souligné la conseillère fédérale Viola Amherd lors de la conférence de presse qui a suivi. Elle n’a fait aucune mention des conflits d’intérêts en résultant. Cette décision est porteuse d’enjeux pour le DDPS, car le bon développement de la cybersécurité dépend de la continuité et de la confiance dans la collaboration entre les centres de compétences et la Confédération, le secteur économique et la société. La confiance est quelque chose qui se perd très vite et qui est encore plus difficile à rétablir ensuite. Le DDPS doit désormais agir rapidement pour faire ses preuves.
La Suisse a fait d’importants progrès dans la réduction des cyberrisques et dans la lutte contre la cybercriminalité. Parmi eux, on peut citer la fondation de MELANI, la première stratégie nationale pour la cybersécurité (SNPC) de 2012, et surtout la SNPC actuelle 2018-22. La création d’une délégation spécifique au sein du Conseil fédéral, le recrutement d’un délégué fédéral à la cybersécurité et la mise en place du NCSC comme centre de compétences ont été des facteurs de succès importants. Ces bases solides pourraient permettre d’accélérer encore la collaboration au sein de la Confédération, la relation de confiance avec l’économie privée et la sensibilisation systématique de la population dans les années à venir. Cela serait d’ailleurs indispensable face à l’évolution rapide des menaces et à la numérisation de la société, de l’économie et de l’administration.
Switch salue l’évolution du NCSC en un office fédéral de la cybersécurité (OFCyber), car elle permet de donner plus de poids à ce sujet au sein de la Confédération. Toutefois, nous partageons le point de vue de Reto Vogt, exprimé dans son commentaire sur la décision du Conseil fédéral: il est inapproprié de faire passer le NCSC dans le département militaire. Si nous voulons éviter les conséquences négatives sur le développement de la cybersécurité en Suisse, le DDPS doit agir maintenant sur différentes thématiques en faisant preuve de crédibilité et indépendamment d’autres intérêts au sein de ce département.
La séparation des responsabilités, pourtant efficace jusqu’ici, a-t-elle été ignorée?
Jusqu’ici, la Confédération organise la thématique des cyberrisques en trois domaines de compétences: la «cybersécurité», la «cyberdéfense» et la «poursuite pénale de la cybercriminalité». Elle tient compte à cet égard de la perception de ce sujet complexe à plusieurs niveaux: social, économique et sécuritaire. La séparation des pouvoirs en trois départements distincts a fait ses preuves. Elle correspond à la vision fondamentale de la démocratie en Suisse et tient compte du principe central inhérent à la cybersécurité, permettant d’éviter les conflits d’intérêts. La collaboration opérationnelle au sein de la Confédération et avec des centres de compétences dans l’économie privée s’est considérablement améliorée dans ce contexte.
Synergies mises en avant et conflits d’intérêts dissimulés
Lors de la conférence de presse, la conseillère fédérale Viola Amherd a mis en avant la suppression des interfaces et souligné les synergies avec les organisations et les missions du DDPS. Quand on regarde de plus près les activités principales du NCSC, ce raisonnement peut encore se comprendre dans le cas du service de renseignement de la Confédération (SRC) qui fournit la présentation de la situation. Les synergies avec l’Office fédéral de la protection de la population (OFPP, analyse sectorielle des risques), armasuisse (approvisionnement, campus CYD) ou le service spécialisé en cryptologie existent également, mais jouent plutôt un rôle de second plan du point de vue du NCSC.
Dans le même temps, aucune mention n’a été faite des conflits d’intérêts dans le domaine de la cybersécurité, et l’importance d’une indépendance relative du NCSC dans ce genre de conflits d’intérêts est passée à la trappe. Et ces conflits d’intérêts existent dans des domaines critiques. Outre la gestion des nouvelles lacunes encore inconnues dans les logiciels et sur les plateformes, dont Reto Vogt a parlé dans son commentaire (correction et divulgation responsable ou utilisation dans la sensibilisation ou l’obtention d’informations), l’accès à des informations de chat fait l’objet d’un débat acharné non seulement en Suisse, mais aussi en Europe. Il s’agit de permettre aux autorités judiciaires et aux services de renseignement d’accéder à des informations cryptées dans des logiciels de messagerie. Une surveillance complète et à grande échelle des photos sur tous les appareils mobiles est même revendiquée, justifiée par la lutte contre la pédopornographie.
Ces thématiques impliquent des atteintes graves aux droits fondamentaux de la population et soulèvent des questions fondamentales en termes de sécurité informatique et de protection des données des internautes. Ce sont là des questions d’une ampleur qui nécessite impérativement de procéder à un examen transparent des intérêts et de prendre des décisions équilibrées. Il s’agit de sujets pour lesquels l’OFCyber doit pouvoir représenter une position fondamentalement différente de celle du SRC ou des autorités judiciaires. Cela sera-t-il toujours possible à l’avenir?
Pourquoi ces sujets ne sont-ils pas mis explicitement sur la table? Et pourquoi ne sont-ils pas abordés lorsque le Conseil fédéral prend la décision d’implanter l’OFCyber dans le même département que le SRC? La question qui se pose ici n’est pas celle d’un Office fédéral civil ou militaire. Il s’agit plutôt du fait que la gouvernance sera assurée par le même secrétariat général et les mêmes dirigeants que ceux qui s’engageaient jusqu’ici (pour des raisons compréhensibles) exclusivement pour les intérêts du SRC et de l’armée.
L’autre décision prise ce vendredi de faire passer des sujets critiques liés à la cybersécurité sous l’égide de la Délégation du Conseil fédéral pour la sécurité (Délséc) est recevable sur le fond. Toutefois, cette délégation est présidée par la représentante du DDPS et nomme le directeur du SRC comme participant permanent (présentation de la situation). Les directeurs de fedpol et du SRC siègent au Comité de sécurité (politique de sécurité), qui a une influence sur la Délséc. Le NCSC, ou futur OFCyber, n’interviendra que ponctuellement, ce qui signifie que les questions de cybersécurité seront à l’avenir fortement dominées de manière unilatérale par les intérêts du SRC et des autorités judiciaires. Avec en outre l’intégration de l’OFCyber au DDPS, les conflits d’intérêts mentionnés plus haut s’intensifient davantage.
Une collaboration basée sur la confiance est la clé pour la cybersécurité
D’un point de vue de spécialiste, la combinaison des décisions prises vendredi par le Conseil fédéral est préoccupante pour les raisons citées ci-dessus, car pour être crédible, l’OFCyber doit impérativement se positionner indépendamment du SRC et des autorités judiciaires, et faire preuve d’objectivité. Ce qui est mis en jeu ici, c’est la confiance du secteur économique et de la population, bâtie sur plus de dix ans par MELANI et le NCSC, ainsi que la bonne collaboration qui repose sur cette confiance. Sa disparition compromettrait également la collaboration opérationnelle avec les centres de compétences nationaux et internationaux, parfaitement établie et absolument indispensable pour la cybersécurité en Suisse.
Et la perte de cette confiance remettrait aussi en question la plus-value de l’application d’une obligation de signalement des cyberincidents par les organisations des infrastructures critiques, qui a fait l’objet d’une troisième décision du Conseil fédéral ce vendredi. Un projet élaboré avec la participation exemplaire des entreprises et organisations concernées. Si la confiance se perd en ce qui concerne la gestion des informations signalées, les organisations concernées restreindront la coopération au niveau minimal légal.
Il existe par ailleurs un risque élevé que de nombreux collaborateurs refusent de participer à ce changement de département car il serait contraire à leurs valeurs, précisément à cause des questions mentionnées ci-dessus relatives aux conflits d’intérêts, à la gouvernance et aux probables conséquences sur la crédibilité et la confiance. Ce sont eux, par leur engagement pour cette cause, qui ont fait du NCSC le centre de compétences largement accepté qu’il est aujourd’hui. Étant donné la situation actuelle sur le marché du travail, il serait difficile, voire impossible de remplacer ces collaborateurs. Si ce scénario devait se produire, le sujet de la cybersécurité ferait un immense bond en arrière, aux dépens de la population et de l’économie.
Il faut maintenant des preuves par l’action!
Le DDPS doit à présent tout faire pour assurer la transparence quant à la gestion des risques cités plus haut. Il doit prouver que c’est un OFCyber indépendant et crédible qui est mis en place en son sein, capable de poursuivre le travail de renforcement de la cybersécurité en Suisse sur la base de la confiance existante. Les questions et attentes majeures sont les suivantes:
- Quelles mesures sont prises par la Délégation du Conseil fédéral pour la sécurité pour éviter que les intérêts du SRC, des autorités judiciaires et de la politique sécuritaire ne pèsent trop lourd sur les décisions relatives à la cybersécurité?
- Comment le DDPS résout-il les conflits d’intérêts qui apparaissent au niveau du secrétariat général et de la direction générale, et comment peut-il garantir que l’OFCyber puisse représenter les enjeux et les positions de l’économie et de la société de manière appropriée et indépendamment du SRC et de l’armée?
- Les postes clés au sein du nouvel OFCyber doivent impérativement être occupés par des personnes du NCSC qui ont gagné la confiance du secteur économique et des centres de compétences nationaux et internationaux au cours des dernières années par leur travail efficace, leur implication et leur communication transparente. La continuité doit être un critère central. De mauvaises décisions prises au niveau du management pourraient avoir de lourdes conséquences sur la fidélisation des collaborateurs et la confiance dans l’organisation.
- Comment le DDPS peut-il convaincre les collaborateurs du NCSC que les activités pourront se poursuivre et évoluer de manière crédible au sein du DDPS, et comment peut-il les faire rester? Il va devoir communiquer rapidement ses perspectives en ce sens, étroitement liées à des réponses aux questions posées ici.
- Le développement de la stratégie nationale de cybersécurité est pratiquement terminé et s’est bien déroulé avec la participation exemplaire des parties prenantes. Le Conseil fédéral doit l’adopter rapidement, car la stratégie actuelle s’achèvera fin 2022. L’important sera de renforcer l’indépendance de son pilotage vis-à-vis des administrations, comme cela était prévu, en impliquant des experts économiques et scientifiques.
- Une communication rapide, transparente et ouverte avec les parties prenantes au sujet des questions posées ici revêtira une importance critique.
Des groupes d’experts et des représentants de l’économie ICT, du secteur scientifique et de la société civile examineront en détail les décisions qui seront prises au DDPS, afin de ne pas mettre en péril le développement nécessaire de la cybersécurité et de réduire les conséquences négatives de ces décisions.
Cyber Security
