Le modèle suivant est actuellement à l’étude : les militaires accomplissent en principe d’abord une instruction de base qui leur permet, en parallèle de leur formation spécialisée, d’acquérir aussi une instruction militaire générale adaptée à leur future fonction. Les exigences techniques très élevées et la matière particulièrement vaste qui caractérisent le domaine spécialisé Cyber ont ceci de particulier que la plupart des militaires ayant suivi cette formation poursuivent quasiment sans exception leur formation pour devenir sous-officier. Ainsi, avec ce modèle, les soldats qui assumeraient des fonctions à hautes responsabilités tant à l’armée que dans la vie civile disposeraient, outre la formation technique, de compétences de conduite. Les tâches accomplies pendant la phase de formation puis plus tard pour remplir les obligations de servir le seraient en étroite collaboration avec la composante professionnelle.

Le modèle susmentionné est élaboré de concert avec la branche informatique (ICTswitzerland/ICT- Berufsbildung Schweiz) pour que cette formation spéciale puisse être sanctionnée par un brevet fédéral. Les spécialistes informatiques nouvellement formés gagneraient ainsi en attractivité sur le marché du travail. Et l’armée fournirait ainsi une contribution importante en matière de cybersécurité à la place économique qu’est la Suisse.

Le choix des candidats pour le stage de formation pilote se fera via les centres de recrutement et les écoles de recrues pendant les premières semaines de service. Une évaluation qui existe déjà et sera développée davantage encore constitue une étape déterminante pour l’admission au stage de formation. Le choix en matière de stages de formation pourrait être complété par d’autres éléments comme des cours ou sélections préparatoires. Il existe déjà des exemples éprouvés de ce type dans l’armée avec la formation des pilotes des Forces aériennes ou celle de la Musique militaire. Par ailleurs, ce modèle de base devrait être élargi plus tard à un modèle pour la carrière d’officier afin que les cadres requis puissent être formés spécifiquement.

Pour l’instant, nous ne pouvons pas encore spécifier les détails. En principe, nous nous appuyons sur les formations qu’une recrue a pu accomplir jusqu’au début de son ER. Une formation de base approfondie en informatique constitue en règle générale un prérequis. Une évaluation approfondie permet cependant dans tous les cas de tester l’aptitude des candidats pour le stage de formation. Cela permet aussi d’admettre des candidats qui auraient acquis des connaissances en autodidacte. Par ailleurs, tous les participants doivent se soumettre à un contrôle approfondi de sécurité relatif aux personnes.

L’armée forme en principe ses forces d’intervention avec son propre personnel professionnel. Nous nous efforçons de confier aux cyberspécialistes de l’armée le soin de former les recrues aux thèmes principaux. Nous voulons ainsi nous assurer que les militaires seront préparés de façon ciblée aux exigences d’un engagement militaire. Pour les contenus de l’instruction générale, une collaboration avec des formateurs civils est en cours d’analyse. 

La planification prévoit pour ces prochaines années la formation d’une cinquantaine de spécialistes par an.

Il est prévu d’effectuer en été 2018 un premier stage de formation pilote. Si ce premier stage s’avère concluant, il sera reconduit deux fois par an. Les stages seront organisés par l’École de la guerre électronique à Jassbach. La planification détaillée et l’approbation du stage de formation par les différentes instances du DDPS, du Secrétariat d’État à la formation, à la recherche et à l’innovation (SEFRI) et de ICT-Berufsbildung Schweiz sont encore en cours.

Vraisemblablement dès l’été 2018, mais le moment précis n’est pas encore connu puisque la planification n’est pas terminée. Toute la mise en place et les travaux de préparation suivront.

Avec le développement de l’armée (DEVA), les militaires seront incorporés dans une cybercompagnie. Ensuite, ils accompliront leurs services obligatoires (CR) dans des détachements d’engagement auprès du personnel professionnel du Groupement Défense et les appuieront sur le plan opérationnel. Grâce aux militaires de milice, l’armée renforcera sa capacité à durer et étendra ses compétences dans le domaine Cyber.

Dans toutes les situations, l’armée doit être en mesure de se prémunir contre des attaques et de protéger de façon indépendante ses propres systèmes d’information et ses réseaux informatiques contre des cyberattaques. L’évolution de la menace montre clairement que la sécurité informatique requiert désormais une approche plus élaborée. Il s’agit de surveiller 24h/24 des systèmes liés à des domaines dynamiques et complexes, et de les défendre. Pour ce faire, nous avons besoin de davantage de spécialistes, de plus de compétences et, en particulier, d’une capacité à durer supérieure à celle dont nous disposons actuellement. Le stage de formation est l’instrument pour atteindre cet objectif.

Depuis 2010 déjà, l’armée organise des stages de formation dans le domaine Cyber à l’École de la guerre électronique. Avec la mise en œuvre du DEVA, il s’agit de développer le contenu de ce stage de formation et d’augmenter le nombre de participants.

En raison de toutes ces nouvelles exigences (nécessité d’une formation plus longue et spécialisée, développement d’une carrière d’officier, développement d’offres d’instruction prémilitaire, etc.), il serait donc trop restrictif de parler de « cyber-ER ». Il est en effet impossible de former un cyberspécialiste en seulement quatre mois d’ER.

Depuis plus de dix ans, le DDPS développe ses capacités en la matière, par exemple avec l’unité milCERT (military Computer Emergency Response Team) ou par des compétences-clés dans le domaine des opérations sur les réseaux informatiques. Le développement de l’armée (DEVA) et la nouvelle loi sur le renseignement (LRens) posent à présent les fondements qui permettront de renforcer substantiellement les capacités et les moyens du DDPS dans le domaine de la cyberdéfense.

Selon le plan d’action, le DDPS doit travailler en étroite collaboration avec ses partenaires de l’économie et des hautes écoles, et disposer de moyens en quantité et en qualité suffisantes afin d’être en mesure

• de protéger en permanence et en toutes situations ses propres systèmes et infrastructures informatiques contre les cyberattaques, et d’améliorer leur résistance ;
• de permettre et, le cas échéant, de soutenir des opérations militaires et de renseignement dans le cyberespace, conformément aux nouvelles bases légales ;
• d’apporter une aide subsidiaire aux autorités civiles en cas de cyberattaques contre des infrastructures critiques.

Le plan d’action préconise

• de renforcer les moyens propres, y compris ceux de milice ;
• d’optimiser continuellement les processus afin d’atteindre la meilleure efficacité possible avec les moyens à disposition ;
• de développer les compétences nécessaires par une étroite collaboration avec les exploitants d’infrastructures critiques, l’économie privée et les hautes écoles.

Concrètement, voici ce qui est prévu :

• instauration d’un organe de coordination stratégique au DDPS – un délégué à la cyberdéfense chargé de cette tâche a été nommé ;
• création de fonctions supplémentaires au DDPS – selon la planification actuelle, il s’agit de pourvoir 100 postes supplémentaires dans le domaine cyber, l’exercice devant être financièrement neutre par rapport aux ressources en personnel actuelles et ne pas mettre en péril le DEVA ou d’autres projets importants ;
• test des fonctions et processus en organisant un exercice à la fin de l’automne 2017 ;
• renforcement du travail opérationnel avec nos partenaires au niveau national et international – une participation suisse au Centre d’excellence de l’OTAN pour la cyberdéfense en coopération (NATO Cooperative Cyber Defence Centre of Excellence), à Tallinn en Estonie, est notamment envisagée ;
• collaboration accrue avec le monde académique et élaboration des cours de formation nécessaires – notamment le CAMPUS pour la cyberdéfense, qui doit entrer en activité début 2018.

Le plan d’action du DDPS est conforme à la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC), qu’il vient compléter.

Cette nouvelle unité doit coordonner et promouvoir l’ensemble des activités du domaine cybernétique au DDPS. Son action se concentrera dans cinq domaines : l’acquisition d’une vue d’ensemble des défis liés à la cyberdéfense, la disponibilité des moyens de cyberdéfense du DDPS, l’assistance à la direction du département lors de crises se manifestant dans le domaine cybernétique, la défense des intérêts du DDPS auprès des instances concernées et la mise sur pied d’un CAMPUS pour la cyberdéfense destiné à former des spécialistes, notamment en partenariat avec les hautes écoles et les exploitants d’infrastructures critiques.

Le domaine de la cyberdéfense comprend aujourd’hui environ 50 postes pour l’ensemble du DDPS. Le plan d’action est entré en vigueur dans le département début juin 2017. Sa mise en œuvre prévoit une centaine de postes supplémentaires dans le domaine cyber d’ici la fin 2020. Un délégué du DDPS à la cyberdéfense a été nommé et quelques postes ont déjà été pourvus. L’augmentation substantielle prévue est un objectif ambitieux qui demandera un certain temps, ceci d’autant plus que la Confédération doit à nouveau faire des économies comme l’a décidé le Parlement – rien qu’au DDPS, cela représente 300 postes en moins. Les postes prévus pour la cyberdéfense devront donc être créés dans le cadre de la dotation en personnel actuelle, en revoyant la composition du catalogue des fonctions (exercice financièrement neutre au sein du DDPS). Il faudra également veiller à ce que le développement de l’armée et d’autres projets importants en cours n’aient pas à en souffrir. Le DDPS devrait ainsi disposer globalement de plus de 150 postes (renforcés par les militaires de milice) d’ici la fin 2020.

Le domaine cybernétique sera désormais une sphère d’opération de l’armée à part entière, avec sa propre base doctrinale pour régler l’engagement des moyens et l’instruction.

L’armée doit en premier lieu protéger ses propres infrastructures. En cas de besoin et si les moyens dont elle dispose sont appropriés, elle peut apporter un appui à titre subsidiaire à des acteurs civils. En cas de conflit armé, elle peut engager toutes les capacités dont elle dispose dans le domaine cybernétique pour empêcher les attaques, atténuer leur impact et affaiblir l’adversaire.

Oui, les moyens de l’armée peuvent aussi être engagés pour aider des tiers dans le domaine cybernétique, aux conditions suivantes :

• les moyens civils doivent être épuisés, c’est-à-dire qu’ils ne sont pas ou plus disponibles en quantité ou en qualité requise, ou que le temps manque pour les engager ;
• une demande des autorités civiles compétentes a été faite au Conseil fédéral ;
• l’armée doit disposer, au moment donné, des moyens adéquats ;
• l’engagement est placé sous la responsabilité des autorités civiles.

Ces règles, valables pour tous les engagements subsidiaires de l’armée, le sont également dans le domaine cybernétique. 

L’armée dispose actuellement d’une centaine de militaires pouvant être convoqués et engagés dans ce domaine.

Les militaires ont été formés et ont acquis leurs connaissances au civil. L’armée n’a pas les moyens de proposer une école de recrues « cyber » proprement dite. Cependant, les militaires engagés dans la cyberdéfense reçoivent une instruction spécifique afin que leur engagement réponde aux besoins de l’armée. Ils viennent renforcer les éléments professionnels et ne sont pas engagés en tant qu’unités militaires indépendantes.

Le modèle envisagé actuellement est le suivant : pendant les premières semaines de l’instruction militaire de base, des spécialistes en informatique seraient recherchés dans toutes les écoles de recrues de l’Armée suisse et sélectionnés au moyen d’évaluations. Il faudrait examiner les activités prémilitaires et la procédure de sélection, à l’instar de ce qui se fait déjà dans d’autres fonctions spéciales comme la musique militaire ou les pilotes. Une première collaboration dans ce domaine a eu lieu lors du Challenge Swiss Cyber Storm. Les conscrits sélectionnés suivraient ensuite une formation spécifique adaptée à leur future fonction militaire et accompliraient leur service avec des modèles d’engagement spéciaux aux côtés du personnel professionnel de l’armée. La formation spécialisée pourrait être sanctionnée par un CFC. Les spécialistes en informatique gagneraient en attractivité sur le marché du travail et l’armée contribuerait indirectement à la cybersécurité de la place économique suisse.

Une étroite collaboration existe déjà avec certaines hautes écoles et il est prévu d’intensifier la coopération avec nos partenaires également dans le domaine de la formation. Plusieurs propositions sont examinées actuellement. Des filières dans le domaine de la cyberdéfense devraient être mises sur pied, conformément au plan d’action pour la cyberdéfense.

Le plan d’action prévoit de renforcer la collaboration. Comment et avec qui sont des questions qui restent ouvertes à l’heure actuelle.

Il est difficile de donner un chiffre précis. Les comparaisons et les premières expériences pratiques permettent d’estimer que l’organisation prévue dans le domaine de la cyberdéfense pourrait nécessiter environ 2 % des ressources du DDPS.

Pour atteindre si possible rapidement des résultats, des moyens seront dans un premier temps dégagés par redistribution interne. Toutefois, il faudra se poser la question d’élargir les moyens mis la disposition de la cyberdéfense si l’on compte développer ce domaine sans compromettre les autres prestations du DDPS. Cette discussion devra être menée en tenant compte des ressources générales de la Confédération et du DDPS.

Les discussions sont actuellement en cours pour régler les détails de cette collaboration. La Suisse participe aujourd’hui déjà à un projet pilote pour lequel deux experts ont été envoyés à Tallin et prend part aux exercices de cyberdéfense internationaux.

La stratégie cite plusieurs facteurs essentiels permettant de réduire les cyberrisques :

• la responsabilité individuelle (l’Etat n’intervient que si l’intérêt public est en jeu, ou agit en accord avec le principe de subsidiarité),
• la collaboration entre l’économie, les hautes écoles et les autorités,
• et la coopération internationale.
   

La stratégie repose sur les travaux réalisés dans le cadre de la première stratégie en l'étendant si nécessaire et en la complétant par de nouvelles mesures. Elle définit sept objectifs qui devront être atteints dans dix champs d'action. Très variées, ces mesures vont de l'acquisition de compétences ou de connaissances et de la promotion de la coopération internationale aux mesures de cyberdéfense mises en œuvre par l'armée et le Service de renseignement de la Confédération, en passant par le renforcement de la gestion des incidents et des crises ainsi que par la collaboration en matière de poursuite pénale des cyberattaques.

Dans le cadre du nouveau champ d'action concernant la normalisation et la réglementation, la Confédération collaborera avec les milieux économiques afin de développer des normes minimales en matière de cybersécurité et d'évaluer l'opportunité d'introduire des obligations d'annoncer les cyberincidents.

Pour mettre en œuvre les mesures prévues de la manière la plus rapide et efficace possible, la Confédération examine actuellement ses structures dans le domaine des cyberrisques. Sur la base de cet examen, la Confédération établira, en collaboration avec les cantons, les milieux économiques et les hautes écoles, un plan de mise en œuvre de la SNPC, dans lequel elle déterminera les responsabilités pour les différentes mesures, les fonds à utiliser et les délais à respecter.

D’ici la fin 2023 au plus tard.

Un rapport annuel donne des informations sur l’état de la mise en œuvre des mesures.