Protection contre les cyberattaques

Cyber-Defence

Aperçu

La Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) constitue la base de la protection contre les cyberattaques au Département fédéral de la défense, de la protection de la population et des sports (DDPS). Le but de cette stratégie est de réduire les cyberrisques grâce à la collaboration entre les autorités, le monde économique, les hautes écoles et les exploitants d’infrastructures critiques.

La stratégie cite plusieurs facteurs essentiels permettant de réduire les cyberrisques :

  • la responsabilité individuelle (l’Etat n’intervient que si l’intérêt public est en jeu, ou agit en accord avec le principe de subsidiarité),
  • la collaboration entre l’économie, les hautes écoles et les autorités,
  • et la coopération internationale.


La SNPC 2012–2017 comprend 16 mesures. Le 18 avril 2018, le Conseil fédéral a adopté la SNPC 2018–2023. Elle repose sur les travaux réalisés dans le cadre de la première stratégie en l'étendant si nécessaire et en la complétant par de nouvelles mesures.

Service de renseignement de la Confédération : centrale d’enregistrement et d’analyse

Conformément à la stratégie, la protection de la Suisse contre les cyberrisques est organisée de manière décentralisée. La Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) joue un rôle important. Dirigée conjointement par l’Unité de pilotage informatique de la Confédération rattachée au DFF et le Service de renseignement de la Confédération (SRC) du DDPS, elle vise la prévention et la gestion des risques principalement par la détection précoce et le soutien aux exploitants d’infrastructures critiques (p. ex. entreprises d’approvisionnement en énergie ou de télécommunication, banques).
Le SRC gère également depuis 2004 le programme Prophylax dans un but de sensibilisation du secteur industriel et de la place scientifique suisses contre les risques de fuites de données et d’espionnage.

Armée : priorité à la protection de ses propres infrastructures

L’armée joue un rôle essentiel en matière de dispositions préventives contre les cyberrisques. Comme c’est le cas de la société en général, son fonctionnement dépend aujourd’hui fortement des technologies de l’information et de la communication. Elle peut devenir la cible de cyberattaques et il faut donc qu’elle veille en premier lieu à prendre des mesures pour protéger ses propres moyens et infrastructures. A cette fin, l’armée investit dans des réseaux protégés contre tous types d’attaques. On peut notamment citer des projets tel que le Centre de calcul 2020 du DDPS/de la Confédération, la Télécommunication de l’armée et le Réseau de conduite suisse.

Pour autant que sa propre protection soit assurée, l’armée peut, en cas de nécessité, mettre à titre subsidiaire des capacités à la disposition des autorités civiles. Elle contribue ainsi à assurer le fonctionnement d’infrastructures critiques.

En cas de conflit armé, l’armée engagerait toutes les capacités dont elle dispose dans le domaine cybernétique pour empêcher les attaques, atténuer leur impact et affaiblir l’adversaire.

Office fédéral de la protection de la population : études de risques et de vulnérabilité

La tâche fondamentale de la protection de la population est de protéger la population ainsi que ses conditions d’existence en cas de catastrophe, de situation d’urgence ou de conflits armés. En outre, elle contribue à maîtriser les sinistres et à en limiter l’étendue. L’Office fédéral de la protection de la population (OFPP) effectue, dans le cadre de la SNPC, des analyses des risques liés aux infrastructures critiques et de la vulnérabilité de celles-ci. Ces analyses lui permettent d’élaborer des mesures visant à améliorer la résilience en collaboration avec les autorités chargées de la régulation, les associations et les exploitants d’infrastructures critiques (hôpitaux, etc.).

Les autorités civiles à tous les niveaux ont besoin d’infrastructures de télécommunication et de systèmes d’alarme prêts à fonctionner en toutes situations. En outre, la population doit pouvoir être alarmée par des canaux de communication sécurisés et recevoir des informations fiables. Au niveau fédéral, ceci est du ressort de l’Office fédéral de la protection de la population qui gère plusieurs projets de réseaux de communication capables de résister aux crises et aux pannes de courant.

Sécurité des informations et des objets du DDPS

La Sécurité de informations et des objets (SIO), rattachée au Secrétariat général du DDPS, est responsable de la protection contre les cyberattaques au DDPS. La SIO gère la Sécurité intégrale du DDPS. Les directives relatives à la sécurité des personnes, des informations, de l’informatique ainsi que des biens matériels et immobiliers sont de son ressort.

Plan d’action pour la cyberdéfense au DDPS

Vu l’augmentation des risques, l’expérience d’attaques concrètes et les nouvelles bases légales, le chef du DDPS a décidé en 2016 de revoir le dispositif de protection contre les cyberattaques du DDPS. Le plan d’action pour la cyberdéfense en découle. Sa mise en œuvre d’ici 2020 s’effectuera en tenant compte des dispositions supérieures de la SNPC.

FAQ

Cyberdéfense au DDPS

Stage de formation dans le domaine Cyber

Le modèle suivant est actuellement à l’étude : les militaires accomplissent en principe d’abord une instruction de base qui leur permet, en parallèle de leur formation spécialisée, d’acquérir aussi une instruction militaire générale adaptée à leur future fonction. Les exigences techniques très élevées et la matière particulièrement vaste qui caractérisent le domaine spécialisé Cyber ont ceci de particulier que la plupart des militaires ayant suivi cette formation poursuivent quasiment sans exception leur formation pour devenir sous-officier. Ainsi, avec ce modèle, les soldats qui assumeraient des fonctions à hautes responsabilités tant à l’armée que dans la vie civile disposeraient, outre la formation technique, de compétences de conduite. Les tâches accomplies pendant la phase de formation puis plus tard pour remplir les obligations de servir le seraient en étroite collaboration avec la composante professionnelle.

Le modèle susmentionné est élaboré de concert avec la branche informatique (ICTswitzerland/ICT- Berufsbildung Schweiz) pour que cette formation spéciale puisse être sanctionnée par un brevet fédéral. Les spécialistes informatiques nouvellement formés gagneraient ainsi en attractivité sur le marché du travail. Et l’armée fournirait ainsi une contribution importante en matière de cybersécurité à la place économique qu’est la Suisse.

Le choix des candidats pour le stage de formation pilote se fera via les centres de recrutement et les écoles de recrues pendant les premières semaines de service. Une évaluation qui existe déjà et sera développée davantage encore constitue une étape déterminante pour l’admission au stage de formation. Le choix en matière de stages de formation pourrait être complété par d’autres éléments comme des cours ou sélections préparatoires. Il existe déjà des exemples éprouvés de ce type dans l’armée avec la formation des pilotes des Forces aériennes ou celle de la Musique militaire. Par ailleurs, ce modèle de base devrait être élargi plus tard à un modèle pour la carrière d’officier afin que les cadres requis puissent être formés spécifiquement.

Pour l’instant, nous ne pouvons pas encore spécifier les détails. En principe, nous nous appuyons sur les formations qu’une recrue a pu accomplir jusqu’au début de son ER. Une formation de base approfondie en informatique constitue en règle générale un prérequis. Une évaluation approfondie permet cependant dans tous les cas de tester l’aptitude des candidats pour le stage de formation. Cela permet aussi d’admettre des candidats qui auraient acquis des connaissances en autodidacte. Par ailleurs, tous les participants doivent se soumettre à un contrôle approfondi de sécurité relatif aux personnes.

L’armée forme en principe ses forces d’intervention avec son propre personnel professionnel. Nous nous efforçons de confier aux cyberspécialistes de l’armée le soin de former les recrues aux thèmes principaux. Nous voulons ainsi nous assurer que les militaires seront préparés de façon ciblée aux exigences d’un engagement militaire. Pour les contenus de l’instruction générale, une collaboration avec des formateurs civils est en cours d’analyse. 

La planification prévoit pour ces prochaines années la formation d’une cinquantaine de spécialistes par an.

Il est prévu d’effectuer en été 2018 un premier stage de formation pilote. Si ce premier stage s’avère concluant, il sera reconduit deux fois par an. Les stages seront organisés par l’École de la guerre électronique à Jassbach. La planification détaillée et l’approbation du stage de formation par les différentes instances du DDPS, du Secrétariat d’État à la formation, à la recherche et à l’innovation (SEFRI) et de ICT-Berufsbildung Schweiz sont encore en cours.

Vraisemblablement dès l’été 2018, mais le moment précis n’est pas encore connu puisque la planification n’est pas terminée. Toute la mise en place et les travaux de préparation suivront.

Avec le développement de l’armée (DEVA), les militaires seront incorporés dans une cybercompagnie. Ensuite, ils accompliront leurs services obligatoires (CR) dans des détachements d’engagement auprès du personnel professionnel du Groupement Défense et les appuieront sur le plan opérationnel. Grâce aux militaires de milice, l’armée renforcera sa capacité à durer et étendra ses compétences dans le domaine Cyber.

Dans toutes les situations, l’armée doit être en mesure de se prémunir contre des attaques et de protéger de façon indépendante ses propres systèmes d’information et ses réseaux informatiques contre des cyberattaques. L’évolution de la menace montre clairement que la sécurité informatique requiert désormais une approche plus élaborée. Il s’agit de surveiller 24h/24 des systèmes liés à des domaines dynamiques et complexes, et de les défendre. Pour ce faire, nous avons besoin de davantage de spécialistes, de plus de compétences et, en particulier, d’une capacité à durer supérieure à celle dont nous disposons actuellement. Le stage de formation est l’instrument pour atteindre cet objectif.

Depuis 2010 déjà, l’armée organise des stages de formation dans le domaine Cyber à l’École de la guerre électronique. Avec la mise en œuvre du DEVA, il s’agit de développer le contenu de ce stage de formation et d’augmenter le nombre de participants.

En raison de toutes ces nouvelles exigences (nécessité d’une formation plus longue et spécialisée, développement d’une carrière d’officier, développement d’offres d’instruction prémilitaire, etc.), il serait donc trop restrictif de parler de « cyber-ER ». Il est en effet impossible de former un cyberspécialiste en seulement quatre mois d’ER.

Autres thèmes

Depuis plus de dix ans, le DDPS développe ses capacités en la matière, par exemple avec l’unité milCERT (military Computer Emergency Response Team) ou par des compétences-clés dans le domaine des opérations sur les réseaux informatiques. Le développement de l’armée (DEVA) et la nouvelle loi sur le renseignement (LRens) posent à présent les fondements qui permettront de renforcer substantiellement les capacités et les moyens du DDPS dans le domaine de la cyberdéfense.

Selon le plan d’action, le DDPS doit travailler en étroite collaboration avec ses partenaires de l’économie et des hautes écoles, et disposer de moyens en quantité et en qualité suffisantes afin d’être en mesure

  • de protéger en permanence et en toutes situations ses propres systèmes et infrastructures informatiques contre les cyberattaques, et d’améliorer leur résistance ;
  • de permettre et, le cas échéant, de soutenir des opérations militaires et de renseignement dans le cyberespace, conformément aux nouvelles bases légales ;
  • d’apporter une aide subsidiaire aux autorités civiles en cas de cyberattaques contre des infrastructures critiques.

Le plan d’action préconise

  • de renforcer les moyens propres, y compris ceux de milice ;
  • d’optimiser continuellement les processus afin d’atteindre la meilleure efficacité possible avec les moyens à disposition ;
  • de développer les compétences nécessaires par une étroite collaboration avec les exploitants d’infrastructures critiques, l’économie privée et les hautes écoles.

Concrètement, voici ce qui est prévu :

  • instauration d’un organe de coordination stratégique au DDPS – un délégué à la cyberdéfense chargé de cette tâche a été nommé ;
  • création de fonctions supplémentaires au DDPS – selon la planification actuelle, il s’agit de pourvoir 100 postes supplémentaires dans le domaine cyber, l’exercice devant être financièrement neutre par rapport aux ressources en personnel actuelles et ne pas mettre en péril le DEVA ou d’autres projets importants ;
  • test des fonctions et processus en organisant un exercice à la fin de l’automne 2017 ;
  • renforcement du travail opérationnel avec nos partenaires au niveau national et international – une participation suisse au Centre d’excellence de l’OTAN pour la cyberdéfense en coopération (NATO Cooperative Cyber Defence Centre of Excellence), à Tallinn en Estonie, est notamment envisagée ;
  • collaboration accrue avec le monde académique et élaboration des cours de formation nécessaires – notamment le CAMPUS pour la cyberdéfense, qui doit entrer en activité début 2018.

Le plan d’action du DDPS est conforme à la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC), qu’il vient compléter.

Cette nouvelle unité doit coordonner et promouvoir l’ensemble des activités du domaine cybernétique au DDPS. Son action se concentrera dans cinq domaines : l’acquisition d’une vue d’ensemble des défis liés à la cyberdéfense, la disponibilité des moyens de cyberdéfense du DDPS, l’assistance à la direction du département lors de crises se manifestant dans le domaine cybernétique, la défense des intérêts du DDPS auprès des instances concernées et la mise sur pied d’un CAMPUS pour la cyberdéfense destiné à former des spécialistes, notamment en partenariat avec les hautes écoles et les exploitants d’infrastructures critiques.

Le domaine de la cyberdéfense comprend aujourd’hui environ 50 postes pour l’ensemble du DDPS. Le plan d’action est entré en vigueur dans le département début juin 2017. Sa mise en œuvre prévoit une centaine de postes supplémentaires dans le domaine cyber d’ici la fin 2020. Un délégué du DDPS à la cyberdéfense a été nommé et quelques postes ont déjà été pourvus. L’augmentation substantielle prévue est un objectif ambitieux qui demandera un certain temps, ceci d’autant plus que la Confédération doit à nouveau faire des économies comme l’a décidé le Parlement – rien qu’au DDPS, cela représente 300 postes en moins. Les postes prévus pour la cyberdéfense devront donc être créés dans le cadre de la dotation en personnel actuelle, en revoyant la composition du catalogue des fonctions (exercice financièrement neutre au sein du DDPS). Il faudra également veiller à ce que le développement de l’armée et d’autres projets importants en cours n’aient pas à en souffrir. Le DDPS devrait ainsi disposer globalement de plus de 150 postes (renforcés par les militaires de milice) d’ici la fin 2020.

Le domaine cybernétique sera désormais une sphère d’opération de l’armée à part entière, avec sa propre base doctrinale pour régler l’engagement des moyens et l’instruction.

L’armée doit en premier lieu protéger ses propres infrastructures. En cas de besoin et si les moyens dont elle dispose sont appropriés, elle peut apporter un appui à titre subsidiaire à des acteurs civils. En cas de conflit armé, elle peut engager toutes les capacités dont elle dispose dans le domaine cybernétique pour empêcher les attaques, atténuer leur impact et affaiblir l’adversaire.

Oui, les moyens de l’armée peuvent aussi être engagés pour aider des tiers dans le domaine cybernétique, aux conditions suivantes :

  • les moyens civils doivent être épuisés, c’est-à-dire qu’ils ne sont pas ou plus disponibles en quantité ou en qualité requise, ou que le temps manque pour les engager ;
  • une demande des autorités civiles compétentes a été faite au Conseil fédéral ;
  • l’armée doit disposer, au moment donné, des moyens adéquats ;
  • l’engagement est placé sous la responsabilité des autorités civiles.

Ces règles, valables pour tous les engagements subsidiaires de l’armée, le sont également dans le domaine cybernétique. 

L’armée dispose actuellement d’une centaine de militaires pouvant être convoqués et engagés dans ce domaine.

Les militaires ont été formés et ont acquis leurs connaissances au civil. L’armée n’a pas les moyens de proposer une école de recrues « cyber » proprement dite. Cependant, les militaires engagés dans la cyberdéfense reçoivent une instruction spécifique afin que leur engagement réponde aux besoins de l’armée. Ils viennent renforcer les éléments professionnels et ne sont pas engagés en tant qu’unités militaires indépendantes.

Le modèle envisagé actuellement est le suivant : pendant les premières semaines de l’instruction militaire de base, des spécialistes en informatique seraient recherchés dans toutes les écoles de recrues de l’Armée suisse et sélectionnés au moyen d’évaluations. Il faudrait examiner les activités prémilitaires et la procédure de sélection, à l’instar de ce qui se fait déjà dans d’autres fonctions spéciales comme la musique militaire ou les pilotes. Une première collaboration dans ce domaine a eu lieu lors du Challenge Swiss Cyber Storm. Les conscrits sélectionnés suivraient ensuite une formation spécifique adaptée à leur future fonction militaire et accompliraient leur service avec des modèles d’engagement spéciaux aux côtés du personnel professionnel de l’armée. La formation spécialisée pourrait être sanctionnée par un CFC. Les spécialistes en informatique gagneraient en attractivité sur le marché du travail et l’armée contribuerait indirectement à la cybersécurité de la place économique suisse.

Une étroite collaboration existe déjà avec certaines hautes écoles et il est prévu d’intensifier la coopération avec nos partenaires également dans le domaine de la formation. Plusieurs propositions sont examinées actuellement. Des filières dans le domaine de la cyberdéfense devraient être mises sur pied, conformément au plan d’action pour la cyberdéfense.

Le plan d’action prévoit de renforcer la collaboration. Comment et avec qui sont des questions qui restent ouvertes à l’heure actuelle.

Il est difficile de donner un chiffre précis. Les comparaisons et les premières expériences pratiques permettent d’estimer que l’organisation prévue dans le domaine de la cyberdéfense pourrait nécessiter environ 2 % des ressources du DDPS.

Pour atteindre si possible rapidement des résultats, des moyens seront dans un premier temps dégagés par redistribution interne. Toutefois, il faudra se poser la question d’élargir les moyens mis la disposition de la cyberdéfense si l’on compte développer ce domaine sans compromettre les autres prestations du DDPS. Cette discussion devra être menée en tenant compte des ressources générales de la Confédération et du DDPS.

Les discussions sont actuellement en cours pour régler les détails de cette collaboration. La Suisse participe aujourd’hui déjà à un projet pilote pour lequel deux experts ont été envoyés à Tallin et prend part aux exercices de cyberdéfense internationaux.

Stratégie nationale de protection de la Suisse contre les cyberrisques

La stratégie cite plusieurs facteurs essentiels permettant de réduire les cyberrisques :

  • la responsabilité individuelle (l’Etat n’intervient que si l’intérêt public est en jeu, ou agit en accord avec le principe de subsidiarité),
  • la collaboration entre l’économie, les hautes écoles et les autorités,
  • et la coopération internationale.
     

La stratégie repose sur les travaux réalisés dans le cadre de la première stratégie en l'étendant si nécessaire et en la complétant par de nouvelles mesures. Elle définit sept objectifs qui devront être atteints dans dix champs d'action. Très variées, ces mesures vont de l'acquisition de compétences ou de connaissances et de la promotion de la coopération internationale aux mesures de cyberdéfense mises en œuvre par l'armée et le Service de renseignement de la Confédération, en passant par le renforcement de la gestion des incidents et des crises ainsi que par la collaboration en matière de poursuite pénale des cyberattaques.

Dans le cadre du nouveau champ d'action concernant la normalisation et la réglementation, la Confédération collaborera avec les milieux économiques afin de développer des normes minimales en matière de cybersécurité et d'évaluer l'opportunité d'introduire des obligations d'annoncer les cyberincidents.

Pour mettre en œuvre les mesures prévues de la manière la plus rapide et efficace possible, la Confédération examine actuellement ses structures dans le domaine des cyberrisques. Sur la base de cet examen, la Confédération établira, en collaboration avec les cantons, les milieux économiques et les hautes écoles, un plan de mise en œuvre de la SNPC, dans lequel elle déterminera les responsabilités pour les différentes mesures, les fonds à utiliser et les délais à respecter.

Un rapport annuel donne des informations sur l’état de la mise en œuvre des mesures.

Étapes majeures

Plan des étapes majeures

Etat avril 2018
Etape Date
Mise en œuvre du plan d’action du DDPS pour la cyberdéfense D’ici la fin 2020
Approbation de la SNPC 2018–2023 par le Conseil fédéral 18 avril 2018
Mise en œuvre de la SNPC dans les départements et les offices D’ici la fin 2017
Approbation du plan d’action du DDPS pour la cyberdéfense Octobre 2016 (analyse et stratégie) ; juin 2017 (plan de mise en œuvre)
Approbation du plan de mise en œuvre par le CF Octobre 2013
Approbation de la SNPC 2012–2017 par le Conseil fédéral Juin 2012
Création de l’unité milCERT et du laboratoire Computer Network Operations (CNO) 2007
Entrée en service opérationnelle de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) 2004 

News

Articles


Parlement

Titre Type Déposé par
Stratégie globale claire de la Confédération pour la protection contre les cyberrisques Postulat Commission de la politique de sécurité CN
Quelles solutions pour embaucher les spécialistes en cyberdéfense requis? Heure des questions. Question Béglé Claude (Groupe PDC)
Innovation suisse en matière de cyberdéfense. Comment préserver nos avantages? Heure des questions. Question Béglé Claude (Groupe PDC)
Cyberdéfense. Communication stratégique et opérations d'information Heure des questions. Question Seiler Graf Priska (Groupe socialiste)
Fonds non affectés au programme d'armement 2018. Une opportunité pour la cyberdéfense? Heure des questions. Question Derder Fathi (Groupe libéral-radical)
Pour un DDPS qui veille à la cybersécurité de tous, au-delà des seuls aspects militaires Interpellation Graf-Litscher Edith (Groupe socialiste)
Création d'un centre de compétence fédéral pour la cybersécurité Motion Eder Joachim (Groupe libéral-radical)
Création d'un commandement de cyberdéfense dans l'armée suisse Motion Dittli Josef (Groupe libéral-radical)