Avec sa Stratégie cyber, le DDPS et ses unités administratives peuvent se focaliser encore davantage et de manière encore plus ciblée sur les défis en constante mutation qui se présentent à la cyberdéfense. Cette dernière comprend toutes les mesures prises par les services de renseignement et l’armée dans le but de protéger les systèmes critiques dont dépend la sécurité du pays, de se défendre contre les cyberattaques, de garantir la disponibilité opérationnelle de l’armée dans toutes les situations ayant trait au cyberespace et de développer ses capacités et compétences afin qu’elle puisse apporter un appui subsidiaire aux autorités civiles. Ce domaine inclut également des mesures visant à identifier les menaces et les attaquants ainsi qu’à entraver et à bloquer les attaques. Le DDPS soutient ses partenaires lorsqu’il s’agit de protéger les infrastructures critiques des cyberattaques et de renforcer leur capacité de résistance. La coopération avec des partenaires nationaux et internationaux est également un élément central de la stratégie.

Les autres aspects cyber, comme la cybersécurité et la cybercriminalité, sont traités dans la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) et d’autres documents de référence.

La stratégie prévoit trente champs d’action concrets, qui sont répartis entre quatre domaines-clés :

• Gouvernance et coordination ; par exemple le développement de l’organisation.
• Sécurité et résilience ; par exemple la mise en place de mesures servant à rétablir les systèmes après un incident.
• Situation et action ; par exemple des mesures défensives en cas d’attaque.
• Monitoring des tendances et soutien ; par exemple la recherche, le développement et l’innovation.

S’agissant de la mise en œuvre, le principe est que tous les acteurs du DDPS ayant des tâches cyber se coordonnent dans le cadre de la Stratégie cyber. Ils collaborent étroitement pour identifier les risques et les chances et pour les maîtriser ensemble. Cela implique que le département axe son développement sur les défis de la cybersécurité pour ce qui est de ses tâches, du matériel, de ses processus et de son personnel. Dès lors, il est notamment essentiel de former et de perfectionner tout le personnel du DDPS et les militaires de carrière et de milice.

En outre, les responsables cyber du DDPS collaborent avec leurs partenaires pour mettre en œuvre les mesures. En plus du Centre national pour la cybersécurité (NCSC), il s’agit des cantons, des communes, des institutions actives dans le domaine de la recherche, de l’économie privée et de partenaires internationaux.

Le Plan d’action Cyberdéfense DDPS pour les années 2017–2020 définissait les tâches, les compétences et les processus des unités administratives du DDPS dans le domaine de la cyberdéfense, lançant ainsi une réorganisation du département dans le domaine cyber qui allait introduire des améliorations considérables. Il a donné lieu à un rapport final exposant les mesures mises en œuvre, les buts atteints et les lacunes qu’il reste à combler.

Parmi les premières mesures concrétisées figurent celles qui visent à transformer la Base d’aide au commandement (BAC) en un commandement Cyber. Le stage de formation cyber a débuté en 2018 et, depuis janvier 2019, le nouveau campus cyberdéfense d’armasuisse fournit des prestations complémentaires dans le cadre de la SNPC. Ces dernières années, le Service de renseignement de la Confédération (SRC) a également augmenté ses capacités cyber.

Tous les objectifs du plan d’action n’ont pas été entièrement atteints. Cela s’explique notamment par la complexité du domaine cyber et les changements rapides qu’il connaît. Ces objectifs et les mesures d’amélioration identifiées ont été intégrés dans le rapport final consacré au plan d’action et pris en considération dans la Stratégie cyber du DDPS.

Le Service de renseignement de la Confédération (SRC) a pour tâche de détecter et d’analyser les cyberattaques relevant de la politique de sécurité qui visent les intérêts de la Suisse et de trouver qui en sont les auteurs. De telles attaques ont notamment pour but de nuire à la crédibilité du pays en sa qualité d’hôte de conférences internationales, d’espionner les entreprises et les organisations internationales qui s’y trouvent et d’accéder aux systèmes bancaires suisses. Le SRC peut prendre des contre-mesures en cas d’attaques visant les infrastructures critiques pour les juguler.

L’une des principales compétences du SRC est d’évaluer les cybermenaces et la situation qui en découle. Les décideurs et les exploitants d’infrastructures critiques peuvent ainsi se faire une idée des risques et des acteurs, et prendre les mesures nécessaires, qui sont définies dans la loi sur le renseignement.

La Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) est dirigée conjointement par le NCSC et le SRC, au DDPS. Elle vise à prévenir et à maîtriser les risques principalement par la détection précoce et le soutien aux exploitants d’infrastructures critiques (p. ex. entreprises d’approvisionnement en énergie ou de télécommunication, banques).

Le SRC gère également depuis 2004 le programme Prophylax dans le but de sensibiliser le secteur industriel et la place scientifique suisses contre les risques de fuites de données et d’espionnage.

L’armée joue un rôle essentiel en matière de dispositions préventives contre les cyberrisques. Comme c’est le cas de la société en général, son fonctionnement dépend fortement des technologies de l’information et de la communication. Elle peut devenir la cible de cyberattaques et il faut donc qu’elle veille en premier lieu à protéger ses propres moyens et infrastructures. À cette fin, l’armée investit par exemple dans des réseaux protégés contre tous types d’attaques. On peut notamment citer des projets tel que la construction de nouveaux centres de calcul, la Télécommunication de l’armée et le réseau de conduite suisse, soit un important investissement de 3,3 milliards de francs.

Eu égard à l’état actuel de la menace, la Base d’aide au commandement (BAC) de l’armée sera transformée en un commandement Cyber pour début 2024. L’organisation de l’armée du 18 mars 2016 doit pour cela être modifiée. Le commandement Cyber devra fournir les capacités militaires clés dans les domaines de l’image de la situation, de la cyberdéfense, des prestations informatiques, de l’aide au commandement, de la cryptologie et de la guerre électronique.

Pour autant que sa propre protection soit garantie, l’armée peut, en cas de nécessité, mettre à titre subsidiaire des capacités à la disposition des autorités civiles. Elle contribue ainsi à assurer le fonctionnement des infrastructures critiques.

En cas de conflit armé, l’armée engagerait toutes ses cybercapacités pour empêcher les attaques, atténuer leur impact et affaiblir l’adversaire.
Tout comme le SRC, l’armée dispose des capacités lui permettant d’agir dans le cyberespace. Le DDPS possède les compétences et les capacités qualitatives et quantitatives lui permettant de perturber, d’écarter ou de ralentir les éventuelles attaques visant les infrastructures de l’armée. La mise en place de telles mesures s’effectue conformément à la loi sur l’armée.

Depuis la concrétisation du DEVA, le domaine cyber est considéré comme étant une sphère d’opération de l’armée à part entière, possédant sa propre base doctrinale pour régler l’engagement des moyens et l’instruction. Le Groupement Défense est en train d’élaborer un nouveau concept global qui définit l’avenir de ce domaine.

Eu égard à l’état actuel de la menace, la Base d’aide au commandement (BAC) de l’armée sera transformée en un commandement Cyber pour début 2024. L’organisation de l’armée du 18 mars 2016 doit dès lors être modifiée. Le commandement Cyber devra fournir les capacités militaires clés dans les domaines de l’image de la situation, de la cyberdéfense, des prestations informatiques, de l’aide au commandement, de la cryptologie et de la guerre électronique.

Au niveau de l’armée également, il est prévu d’augmenter ces prochaines années les effectifs dans le domaine par la mise sur pied, le 1er janvier 2022, d’un cyberbataillon et d’un état-major spécialisé, ce qui fera passer l’effectif du personnel de milice de 206 militaires actuellement à 575. Pour accroître également la qualité de l’instruction dispensée à ces cyberspécialistes au sein de l’armée, celle-ci sera complétée par un stage auprès de partenaires externes, permettant ainsi d’approfondir et d’étendre les capacités acquises et, au final, d’en faire bénéficier l’armée.

Oui, les moyens de l’armée peuvent aussi être engagés pour aider des tiers dans ce domaine, aux conditions suivantes :

• les moyens civils doivent être épuisés, c’est-à-dire qu’ils ne soient pas ou plus disponibles en quantité ou en qualité requise, ou que le temps manque pour les engager ;
• une demande des autorités civiles compétentes a été adressée au Conseil fédéral ;
• l’armée doit disposer, au moment donné, des moyens adéquats ;
• l’engagement est placé sous la responsabilité des autorités civiles.

Ces règles, valables pour tous les engagements subsidiaires de l’armée, le sont également dans le domaine cyber (cf. art. 67 de la loi sur l’armée).

L’armée dispose actuellement de 210 militaires environ pouvant être convoqués et engagés pour renforcer les effectifs des unités administratives du Groupement Défense durant toute l’année. L’augmentation des moyens demandée dans la motion Dittli Création d'un commandement de cyberdéfense dans l'armée suisse (17.3507) permettra à l’armée de disposer de quelque 570 militaires de milice à compter de 2025 environ, qui viendront soutenir les formations militaires.

Depuis l’été 2018, avec le stage de formation cyber, l’armée dispose de son propre module d’instruction, qui forme pour l’heure une vingtaine de militaires deux fois par an. Pour le suivre, les militaires de milice passent une procédure de sélection vérifiant leur formation et connaissances préalables. Ils seront engagés pour renforcer les éléments professionnels et non en tant qu’unités militaires indépendantes. Il est également possible de recruter des militaires de milice disposant d’autres connaissances spécifiques.

Parallèlement à la transformation de la Base d’aide au commandement (BAC) en commandement Cyber, il est en outre prévu de créer, le 1er janvier 2022, un cyberbataillon et un état-major spécialisé, si bien que l’effectif du personnel de milice passera de 210 militaires actuellement à 575. Pour accroître également la qualité de l’instruction dispensée à ces cyberspécialistes au sein de l’armée, celle-ci sera complétée par un stage auprès de partenaires externes, permettant ainsi d’approfondir et d’étendre les capacités acquises et, au final, d’en faire bénéficier l’armée.

Sa tâche fondamentale est de protéger la population et ses conditions d’existence en cas de catastrophe, de situation d’urgence ou de conflit armé. Il contribue aussi à maîtriser les sinistres et à en limiter l’étendue. Dans le cadre de la SNPC, il analyse les risques auxquels sont exposées les infrastructures critiques et de la vulnérabilité de celles-ci. Se fondant sur ces analyses, il élabore, en collaboration avec les autorités chargées de la régulation, les associations et les exploitants d’infrastructures critiques (hôpitaux, etc.), des mesures visant à augmenter leur résistance et à réduire les risques.

Les autorités civiles ont besoin d’infrastructures de télécommunication et de systèmes d’alarme capables de fonctionner en toute situation. En outre, la population doit pouvoir être alarmée par des canaux de communication sécurisés et recevoir des informations fiables. Au niveau fédéral, ceci est du ressort de l’OFPP, qui gère plusieurs projets de réseaux de communication capables de résister aux crises et aux pannes de courant.

www.infraprotection.ch

Les tâches de l’office comprennent l’acquisition et le développement. En collaboration avec les hautes écoles et l’industrie, le campus cyberdéfense assure le monitoring des tendances et anticipe les évolutions.

Au DDPS, c’est le domaine Numérisation et cybersécurité DDPS, rattaché au Secrétariat général (SG-DDPS), qui pilote et coordonne le développement stratégique et les cyberactivités pour le département. Ce domaine assure la disponibilité de l’infrastructure nécessaire aux technologies de l’information et de la communication au niveau du département et au SG-DDPS, et dirige les tâches de gestion de la sécurité pour le compte du DDPS et de l’armée dans le domaine de la sécurité intégrale. Les domaines Cyberdéfense DDPS, Informatique DDPS et SG-DDPS et Sécurité de l’information DDPS sont subordonnés au domaine Numérisation et cybersécurité DDPS.

Depuis 2005, le DDPS développe ses capacités en la matière, par exemple avec l’unité Military Computer Emergency Response Team ou par des compétences-clés dans le domaine des opérations sur les réseaux informatiques. Depuis la création du Service de renseignement de la Confédération (SRC) en 2010, une partie de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) est rattachée au DDPS. Le SRC a été doté de moyens analytiques supplémentaires dans le cadre de la première Stratégie nationale de protection de la Suisse contre les cyberrisques 2012-2017. Le développement de l’armée (DEVA) et la nouvelle loi sur le renseignement (LRens) donnent au DDPS les bases légales qui permettront d’empêcher que des cyberattaques visant les infrastructures critiques du pays et l’armée ne soient commises et de prendre au besoin des contre-mesures dans le cyberespace.

Selon ce plan d’action, le DDPS doit collaborer étroitement avec ses partenaires de l’économie et des hautes écoles et disposer de moyens en quantité et en qualité suffisantes afin d’être en mesure

• de protéger en permanence et en toute circonstance ses propres systèmes et infrastructures informatiques contre les cyberattaques et d’améliorer leur résistance ;
• de permettre et, le cas échéant, de soutenir des opérations militaires et de renseignement dans le cyberespace, conformément aux bases légales ;
• d’apporter une aide subsidiaire aux autorités civiles en cas de cyberattaques visant les infrastructures critiques.

Le plan d’action a déjà été remanié fin 2018 en raison de l’évolution de la menace et de la technologie e été remplacé en 2021 par la stratégie cyber du DDPS.

Le plan d’action préconise

• de renforcer les moyens, y compris ceux de milice ;
• d’optimiser régulièrement les processus afin d’atteindre la meilleure efficacité possible avec les moyens disponibles ;
• de développer les cybercompétences nécessaires, en étroite collaboration avec les exploitants d’infrastructures critiques, l’économie privée et les hautes écoles.

Liste non exhaustive des mesures prises :

• instauration d’un organe de coordination stratégique au DDPS ;
• renforcement des effectifs dans le domaine, essentiellement par des transferts internes en provenance du Groupement Défense, sans mettre en péril le DEVA ou d’autres projets importants ; 
• test des fonctions et processus en organisant des exercices au sein du DDPS et avec ses partenaires (renforcement de l’interopérabilité) ; 
• renforcement du travail opérationnel avec les partenaires du DDPS en Suisse et au niveau international, par exemple par la participation (en cours de préparation) de la Suisse au Centre d’excellence de l’OTAN pour la cyberdéfense en coopération (NATO Cooperative Cyber Defence Centre of Excellence) à Tallinn ;
• collaboration accrue avec le monde académique et élaboration des cours de formation nécessaires, dont notamment la création du campus cyberdéfense début 2019 à Thoune (armasuisse, Sciences et technologies) et celle de laboratoires à l’EPFZ et à l’EPFL.

Cette unité doit coordonner et promouvoir l’ensemble des activités du domaine cyber au DDPS sur le plan stratégique. Son action se concentre sur les domaines suivants : la vue d’ensemble intégrale des cyberdéfis dans son champ d’activités, la préparation des moyens de cyberdéfense du DDPS, l’assistance à la direction du département lors de cybercrises et la défense des intérêts du DDPS auprès des organes concernés..

Le domaine Cyberdéfense DDPS comprend, à l’heure actuelle, quelque 175 postes répartis dans cinq domaines départementaux : Secrétariat général, Groupement Défense (armée comprise), Service de renseignement de la Confédération, armasuisse et Office fédéral de la protection de la population. La création de ces postes en 2017 s’est effectuée sans incidence sur le budget du DDPS. Le concept global Cyber (Groupement Défense) et la stratégie nouvellement élaborée permettront d’acquérir les moyens requis au niveau administratif et dans le domaine de la milice.

Il n’est pour l’heure pas possible d’avancer des chiffres précis, car sa mise en place ne concerne pas que les coûts de personnel des cyberservices, mais aussi tous les besoins relatifs aux systèmes, aux acquisitions de matériel et à l’organisation. Les efforts considérables consentis peuvent être illustrés par deux projets de grande ampleur :

• 3,3 milliards destinés au programme FITANIA (d’ici 2035 environ) pour l’infrastructure de conduite, la technologie de l’information et le raccordement à l’infrastructure de réseau de l’armée ;
• 150 millions pour le Système national d’échange sécurisé de données (d’ici 2028).

Il existe déjà diverses activités menées avec les hautes écoles. S’agissant de la cyberdéfense, le DDPS collabore étroitement avec les EPF. Les deux écoles polytechniques sont par exemple représentées au sein du groupe d’experts du DDPS consacré à la cyberdéfense et jouent un rôle important dans le cadre du campus cyberdéfense et du stage de cyberformation de l’armée. L’entreprise armasuisse, pour sa part, est aussi en partenariat depuis 2005 avec le Zürich Information Security and Privacy Center avec lequel elle a mené de nombreux projets de recherche ces dernières années.

Conformément aux objectifs fixés dans le plan d’action, la collaboration avec l’économie privée a été renforcée dans le cadre du campus cyberdéfense.

Le 22 mai 2019, le Conseil fédéral a approuvé la participation de la Suisse au Centre d'excellence pour la cyberdéfense en coopération (CCDCoE) basé à Tallinn, en Estonie. Ce centre vise à stimuler la coopération dans le domaine de la recherche et de l’entraînement en matière de cyberdéfense et de cybersécurité. La Suisse y est associée depuis le 13 octobre 2020 comme partenaire contributeur. Cette coopération lui permet notamment d’accéder aux connaissances, aux informations, et aux diverses activités de recherche et d'entraînement du CCDCoE. La Suisse a également noué des coopérations bilatérales, par exemple avec la France.

Le Service de renseignement de la Confédération entretient pour sa part des liens étroits avec d’autres organisations de sécurité.

La stratégie cite plusieurs facteurs essentiels permettant de réduire les cyberrisques :

• la responsabilité individuelle (l’État n’intervient que si l’intérêt public est en jeu ou agit en accord avec le principe de subsidiarité) ;
• la collaboration entre l’économie, les hautes écoles et les autorités ;
• la coopération internationale.

La stratégie 2018-2022 repose sur les travaux réalisés dans le cadre de la première stratégie (qui concernait les années 2012 à 2017) en l'étendant si nécessaire et en la complétant par de nouvelles mesures. Elle définit sept objectifs qui devront être atteints dans dix champs d'action. Très variées, ces mesures vont de l'acquisition de compétences ou de connaissances et de la promotion de la coopération internationale aux mesures de cyberdéfense mises en œuvre par l'armée et le Service de renseignement de la Confédération, en passant par le renforcement de la gestion des incidents et des crises et par la collaboration en matière de poursuite pénale des cyberattaques.

Dans le cadre du nouveau champ d'action concernant la normalisation et la réglementation, la Confédération collaborera avec les milieux économiques afin de développer des normes minimales en matière de cybersécurité et d'évaluer l'opportunité d'introduire des obligations d'annoncer les cyberincidents.

D’ici la fin 2022 au plus tard.

Un rapport annuel donne des informations sur l’état de la mise en œuvre des mesures.