Depuis plus de dix ans, le DDPS développe ses capacités en la matière, par exemple avec l’unité milCERT (military Computer Emergency Response Team) ou par des compétences-clés dans le domaine des opérations sur les réseaux informatiques. Le développement de l’armée (DEVA) et la nouvelle loi sur le renseignement (LRens) posent à présent les fondements qui permettront de renforcer substantiellement les capacités et les moyens du DDPS dans le domaine de la cyberdéfense.

Selon le plan d’action, le DDPS doit travailler en étroite collaboration avec ses partenaires de l’économie et des hautes écoles, et disposer de moyens en quantité et en qualité suffisantes afin d’être en mesure

• de protéger en permanence et en toutes situations ses propres systèmes et infrastructures informatiques contre les cyberattaques, et d’améliorer leur résistance ;
• de permettre et, le cas échéant, de soutenir des opérations militaires et de renseignement dans le cyberespace, conformément aux nouvelles bases légales ;
• d’apporter une aide subsidiaire aux autorités civiles en cas de cyberattaques contre des infrastructures critiques.

Le plan d’action préconise

• de renforcer les moyens propres, y compris ceux de milice ;
• d’optimiser continuellement les processus afin d’atteindre la meilleure efficacité possible avec les moyens à disposition ;
• de développer les compétences nécessaires par une étroite collaboration avec les exploitants d’infrastructures critiques, l’économie privée et les hautes écoles.

Concrètement, voici ce qui est prévu :

• instauration d’un organe de coordination stratégique au DDPS – un délégué à la cyberdéfense chargé de cette tâche a été nommé ;
• création de fonctions supplémentaires au DDPS – selon la planification actuelle, il s’agit de pourvoir 100 postes supplémentaires dans le domaine cyber, l’exercice devant être financièrement neutre par rapport aux ressources en personnel actuelles et ne pas mettre en péril le DEVA ou d’autres projets importants ;
• test des fonctions et processus en organisant un exercice à la fin de l’automne 2017 ;
• renforcement du travail opérationnel avec nos partenaires au niveau national et international – une participation suisse au Centre d’excellence de l’OTAN pour la cyberdéfense en coopération (NATO Cooperative Cyber Defence Centre of Excellence), à Tallinn en Estonie, est notamment envisagée ;
• collaboration accrue avec le monde académique et élaboration des cours de formation nécessaires – notamment le CAMPUS pour la cyberdéfense, qui doit entrer en activité début 2018.

Le plan d’action du DDPS est conforme à la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC), qu’il vient compléter.

Cette nouvelle unité doit coordonner et promouvoir l’ensemble des activités du domaine cybernétique au DDPS. Son action se concentrera dans cinq domaines : l’acquisition d’une vue d’ensemble des défis liés à la cyberdéfense, la disponibilité des moyens de cyberdéfense du DDPS, l’assistance à la direction du département lors de crises se manifestant dans le domaine cybernétique, la défense des intérêts du DDPS auprès des instances concernées et la mise sur pied d’un CAMPUS pour la cyberdéfense destiné à former des spécialistes, notamment en partenariat avec les hautes écoles et les exploitants d’infrastructures critiques.

Le domaine de la cyberdéfense comprend aujourd’hui environ 50 postes pour l’ensemble du DDPS. Le plan d’action est entré en vigueur dans le département début juin 2017. Sa mise en œuvre prévoit une centaine de postes supplémentaires dans le domaine cyber d’ici la fin 2020. Un délégué du DDPS à la cyberdéfense a été nommé et quelques postes ont déjà été pourvus. L’augmentation substantielle prévue est un objectif ambitieux qui demandera un certain temps, ceci d’autant plus que la Confédération doit à nouveau faire des économies comme l’a décidé le Parlement – rien qu’au DDPS, cela représente 300 postes en moins. Les postes prévus pour la cyberdéfense devront donc être créés dans le cadre de la dotation en personnel actuelle, en revoyant la composition du catalogue des fonctions (exercice financièrement neutre au sein du DDPS). Il faudra également veiller à ce que le développement de l’armée et d’autres projets importants en cours n’aient pas à en souffrir. Le DDPS devrait ainsi disposer globalement de plus de 150 postes (renforcés par les militaires de milice) d’ici la fin 2020.

Il est difficile de donner un chiffre précis. Les comparaisons et les premières expériences pratiques permettent d’estimer que l’organisation prévue dans le domaine de la cyberdéfense pourrait nécessiter environ 2 % des ressources du DDPS.

Pour atteindre si possible rapidement des résultats, des moyens seront dans un premier temps dégagés par redistribution interne. Toutefois, il faudra se poser la question d’élargir les moyens mis la disposition de la cyberdéfense si l’on compte développer ce domaine sans compromettre les autres prestations du DDPS. Cette discussion devra être menée en tenant compte des ressources générales de la Confédération et du DDPS.

Le domaine cybernétique sera désormais une sphère d’opération de l’armée à part entière, avec sa propre base doctrinale pour régler l’engagement des moyens et l’instruction.

L’armée doit en premier lieu protéger ses propres infrastructures. En cas de besoin et si les moyens dont elle dispose sont appropriés, elle peut apporter un appui à titre subsidiaire à des acteurs civils. En cas de conflit armé, elle peut engager toutes les capacités dont elle dispose dans le domaine cybernétique pour empêcher les attaques, atténuer leur impact et affaiblir l’adversaire.

Oui, les moyens de l’armée peuvent aussi être engagés pour aider des tiers dans le domaine cybernétique, aux conditions suivantes :

• les moyens civils doivent être épuisés, c’est-à-dire qu’ils ne sont pas ou plus disponibles en quantité ou en qualité requise, ou que le temps manque pour les engager ;
• une demande des autorités civiles compétentes a été faite au Conseil fédéral ;
• l’armée doit disposer, au moment donné, des moyens adéquats ;
• l’engagement est placé sous la responsabilité des autorités civiles.

Ces règles, valables pour tous les engagements subsidiaires de l’armée, le sont également dans le domaine cybernétique. 

L’armée dispose actuellement d’une centaine de militaires pouvant être convoqués et engagés dans ce domaine.

Les militaires ont été formés et ont acquis leurs connaissances au civil. L’armée n’a pas les moyens de proposer une école de recrues « cyber » proprement dite. Cependant, les militaires engagés dans la cyberdéfense reçoivent une instruction spécifique afin que leur engagement réponde aux besoins de l’armée. Ils viennent renforcer les éléments professionnels et ne sont pas engagés en tant qu’unités militaires indépendantes. 

Une étroite collaboration existe déjà avec certaines hautes écoles et il est prévu d’intensifier la coopération avec nos partenaires également dans le domaine de la formation. Plusieurs propositions sont examinées actuellement. Des filières dans le domaine de la cyberdéfense devraient être mises sur pied, conformément au plan d’action pour la cyberdéfense.

Le plan d’action prévoit de renforcer la collaboration. Comment et avec qui sont des questions qui restent ouvertes à l’heure actuelle.

Le 22 mai 2019, le Conseil fédéral a approuvé une participation de la Suisse au Centre d'excellence pour la cyberdéfense en coopération basé à Tallinn en Estonie. Situé à Tallinn en Estonie, le Centre vise à stimuler la coopération dans le domaine de la recherche et de l’entrainement en matière de cyberdéfense et de cybersécurité. Il est financé par 21 pays. Les Etats au sein du Partenariat pour la Paix, comme la Suisse, peuvent s'y associer comme partenaire contributeur. Cette coopération permet notamment à la Suisse un accès aux connaissances et informations, ainsi qu'aux diverses activités du CCD COE, tant de recherche que d'entrainement. La participation contribue ainsi à la mise en œuvre de la Stratégie nationale de protection de la Suisse contre les cyberrisques. La Suisse pourra aussi détacher un à deux experts, civils ou militaires, auprès du CCD COE.

La stratégie cite plusieurs facteurs essentiels permettant de réduire les cyberrisques :

• la responsabilité individuelle (l’Etat n’intervient que si l’intérêt public est en jeu, ou agit en accord avec le principe de subsidiarité),
• la collaboration entre l’économie, les hautes écoles et les autorités,
• et la coopération internationale.
   

La stratégie repose sur les travaux réalisés dans le cadre de la première stratégie en l'étendant si nécessaire et en la complétant par de nouvelles mesures. Elle définit sept objectifs qui devront être atteints dans dix champs d'action. Très variées, ces mesures vont de l'acquisition de compétences ou de connaissances et de la promotion de la coopération internationale aux mesures de cyberdéfense mises en œuvre par l'armée et le Service de renseignement de la Confédération, en passant par le renforcement de la gestion des incidents et des crises ainsi que par la collaboration en matière de poursuite pénale des cyberattaques.

Dans le cadre du nouveau champ d'action concernant la normalisation et la réglementation, la Confédération collaborera avec les milieux économiques afin de développer des normes minimales en matière de cybersécurité et d'évaluer l'opportunité d'introduire des obligations d'annoncer les cyberincidents.

Pour mettre en œuvre les mesures prévues de la manière la plus rapide et efficace possible, la Confédération examine actuellement ses structures dans le domaine des cyberrisques. Sur la base de cet examen, la Confédération établira, en collaboration avec les cantons, les milieux économiques et les hautes écoles, un plan de mise en œuvre de la SNPC, dans lequel elle déterminera les responsabilités pour les différentes mesures, les fonds à utiliser et les délais à respecter.

D’ici la fin 2023 au plus tard.

Un rapport annuel donne des informations sur l’état de la mise en œuvre des mesures.