Le Service de renseignement de la Confédération (SRC) a pour tâche de détecter et d’analyser les cyberattaques relevant de la politique de sécurité qui visent les intérêts de la Suisse et de trouver qui en sont les auteurs. De telles attaques ont notamment pour but de nuire à la crédibilité du pays en sa qualité d’hôte de conférences internationales, d’espionner les entreprises et les organisations internationales qui s’y trouvent et d’accéder aux systèmes bancaires suisses. Le SRC peut prendre des contre-mesures en cas d’attaques visant les infrastructures critiques pour les juguler.

L’une des principales compétences du SRC est d’évaluer les cybermenaces et la situation qui en découle. Les décideurs et les exploitants d’infrastructures critiques peuvent ainsi se faire une idée des risques et des acteurs, et prendre les mesures nécessaires, qui sont définies dans la loi sur le renseignement.

La Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) est dirigée conjointement par le NCSC et le SRC, au DDPS. Elle vise à prévenir et à maîtriser les risques principalement par la détection précoce et le soutien aux exploitants d’infrastructures critiques (p. ex. entreprises d’approvisionnement en énergie ou de télécommunication, banques).

Le SRC gère également depuis 2004 le programme Prophylax dans le but de sensibiliser le secteur industriel et la place scientifique suisses contre les risques de fuites de données et d’espionnage.

L’armée joue un rôle essentiel en matière de dispositions préventives contre les cyberrisques. Comme c’est le cas de la société en général, son fonctionnement dépend fortement des technologies de l’information et de la communication. Elle peut devenir la cible de cyberattaques et il faut donc qu’elle veille en premier lieu à protéger ses propres moyens et infrastructures. À cette fin, l’armée investit par exemple dans des réseaux protégés contre tous types d’attaques. On peut notamment citer des projets tel que la construction de nouveaux centres de calcul, la Télécommunication de l’armée et le réseau de conduite suisse, soit un important investissement de 3,3 milliards de francs.

Eu égard à l’état actuel de la menace, la Base d’aide au commandement (BAC) de l’armée sera transformée en un commandement Cyber pour début 2024. L’organisation de l’armée du 18 mars 2016 doit pour cela être modifiée. Le commandement Cyber devra fournir les capacités militaires clés dans les domaines de l’image de la situation, de la cyberdéfense, des prestations informatiques, de l’aide au commandement, de la cryptologie et de la guerre électronique.

Pour autant que sa propre protection soit garantie, l’armée peut, en cas de nécessité, mettre à titre subsidiaire des capacités à la disposition des autorités civiles. Elle contribue ainsi à assurer le fonctionnement des infrastructures critiques.

En cas de conflit armé, l’armée engagerait toutes ses cybercapacités pour empêcher les attaques, atténuer leur impact et affaiblir l’adversaire.
Tout comme le SRC, l’armée dispose des capacités lui permettant d’agir dans le cyberespace. Le DDPS possède les compétences et les capacités qualitatives et quantitatives lui permettant de perturber, d’écarter ou de ralentir les éventuelles attaques visant les infrastructures de l’armée. La mise en place de telles mesures s’effectue conformément à la loi sur l’armée.

Depuis la concrétisation du DEVA, le domaine cyber est considéré comme étant une sphère d’opération de l’armée à part entière, possédant sa propre base doctrinale pour régler l’engagement des moyens et l’instruction. Le Groupement Défense est en train d’élaborer un nouveau concept global qui définit l’avenir de ce domaine.

Eu égard à l’état actuel de la menace, la Base d’aide au commandement (BAC) de l’armée sera transformée en un commandement Cyber pour début 2024. L’organisation de l’armée du 18 mars 2016 doit dès lors être modifiée. Le commandement Cyber devra fournir les capacités militaires clés dans les domaines de l’image de la situation, de la cyberdéfense, des prestations informatiques, de l’aide au commandement, de la cryptologie et de la guerre électronique.

Au niveau de l’armée également, il est prévu d’augmenter ces prochaines années les effectifs dans le domaine par la mise sur pied, le 1er janvier 2022, d’un cyberbataillon et d’un état-major spécialisé, ce qui fera passer l’effectif du personnel de milice de 206 militaires actuellement à 575. Pour accroître également la qualité de l’instruction dispensée à ces cyberspécialistes au sein de l’armée, celle-ci sera complétée par un stage auprès de partenaires externes, permettant ainsi d’approfondir et d’étendre les capacités acquises et, au final, d’en faire bénéficier l’armée.

Oui, les moyens de l’armée peuvent aussi être engagés pour aider des tiers dans ce domaine, aux conditions suivantes :

• les moyens civils doivent être épuisés, c’est-à-dire qu’ils ne soient pas ou plus disponibles en quantité ou en qualité requise, ou que le temps manque pour les engager ;
• une demande des autorités civiles compétentes a été adressée au Conseil fédéral ;
• l’armée doit disposer, au moment donné, des moyens adéquats ;
• l’engagement est placé sous la responsabilité des autorités civiles.

Ces règles, valables pour tous les engagements subsidiaires de l’armée, le sont également dans le domaine cyber (cf. art. 67 de la loi sur l’armée).

L’armée dispose actuellement de 210 militaires environ pouvant être convoqués et engagés pour renforcer les effectifs des unités administratives du Groupement Défense durant toute l’année. L’augmentation des moyens demandée dans la motion Dittli Création d'un commandement de cyberdéfense dans l'armée suisse (17.3507) permettra à l’armée de disposer de quelque 570 militaires de milice à compter de 2025 environ, qui viendront soutenir les formations militaires.

Depuis l’été 2018, avec le stage de formation cyber, l’armée dispose de son propre module d’instruction, qui forme pour l’heure une vingtaine de militaires deux fois par an. Pour le suivre, les militaires de milice passent une procédure de sélection vérifiant leur formation et connaissances préalables. Ils seront engagés pour renforcer les éléments professionnels et non en tant qu’unités militaires indépendantes. Il est également possible de recruter des militaires de milice disposant d’autres connaissances spécifiques.

Parallèlement à la transformation de la Base d’aide au commandement (BAC) en commandement Cyber, il est en outre prévu de créer, le 1er janvier 2022, un cyberbataillon et un état-major spécialisé, si bien que l’effectif du personnel de milice passera de 210 militaires actuellement à 575. Pour accroître également la qualité de l’instruction dispensée à ces cyberspécialistes au sein de l’armée, celle-ci sera complétée par un stage auprès de partenaires externes, permettant ainsi d’approfondir et d’étendre les capacités acquises et, au final, d’en faire bénéficier l’armée.

Sa tâche fondamentale est de protéger la population et ses conditions d’existence en cas de catastrophe, de situation d’urgence ou de conflit armé. Il contribue aussi à maîtriser les sinistres et à en limiter l’étendue. Dans le cadre de la SNPC, il analyse les risques auxquels sont exposées les infrastructures critiques et de la vulnérabilité de celles-ci. Se fondant sur ces analyses, il élabore, en collaboration avec les autorités chargées de la régulation, les associations et les exploitants d’infrastructures critiques (hôpitaux, etc.), des mesures visant à augmenter leur résistance et à réduire les risques.

Les autorités civiles ont besoin d’infrastructures de télécommunication et de systèmes d’alarme capables de fonctionner en toute situation. En outre, la population doit pouvoir être alarmée par des canaux de communication sécurisés et recevoir des informations fiables. Au niveau fédéral, ceci est du ressort de l’OFPP, qui gère plusieurs projets de réseaux de communication capables de résister aux crises et aux pannes de courant.

www.infraprotection.ch

Au DDPS, c’est le domaine Numérisation et cybersécurité DDPS, rattaché au Secrétariat général (SG-DDPS), qui pilote et coordonne le développement stratégique et les cyberactivités pour le département. Ce domaine assure la disponibilité de l’infrastructure nécessaire aux technologies de l’information et de la communication au niveau du département et au SG-DDPS, et dirige les tâches de gestion de la sécurité pour le compte du DDPS et de l’armée dans le domaine de la sécurité intégrale. Les domaines Cyberdéfense DDPS, Informatique DDPS et SG-DDPS et Sécurité de l’information DDPS sont subordonnés au domaine Numérisation et cybersécurité DDPS.

Depuis 2005, le DDPS développe ses capacités en la matière, par exemple avec l’unité Military Computer Emergency Response Team ou par des compétences-clés dans le domaine des opérations sur les réseaux informatiques. Depuis la création du Service de renseignement de la Confédération (SRC) en 2010, une partie de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) est rattachée au DDPS. Le SRC a été doté de moyens analytiques supplémentaires dans le cadre de la première Stratégie nationale de protection de la Suisse contre les cyberrisques 2012-2017. Le développement de l’armée (DEVA) et la nouvelle loi sur le renseignement (LRens) donnent au DDPS les bases légales qui permettront d’empêcher que des cyberattaques visant les infrastructures critiques du pays et l’armée ne soient commises et de prendre au besoin des contre-mesures dans le cyberespace.

Selon ce plan d’action, le DDPS doit collaborer étroitement avec ses partenaires de l’économie et des hautes écoles et disposer de moyens en quantité et en qualité suffisantes afin d’être en mesure

• de protéger en permanence et en toute circonstance ses propres systèmes et infrastructures informatiques contre les cyberattaques et d’améliorer leur résistance ;
• de permettre et, le cas échéant, de soutenir des opérations militaires et de renseignement dans le cyberespace, conformément aux bases légales ;
• d’apporter une aide subsidiaire aux autorités civiles en cas de cyberattaques visant les infrastructures critiques.

Le plan d’action a déjà été remanié fin 2018 en raison de l’évolution de la menace et de la technologie. Il sera remplacé en 2021 par une stratégie sur le même thème.

Le plan d’action préconise

• de renforcer les moyens, y compris ceux de milice ;
• d’optimiser régulièrement les processus afin d’atteindre la meilleure efficacité possible avec les moyens disponibles ;
• de développer les cybercompétences nécessaires, en étroite collaboration avec les exploitants d’infrastructures critiques, l’économie privée et les hautes écoles.

Liste non exhaustive des mesures prises :

• instauration d’un organe de coordination stratégique au DDPS ;
• renforcement des effectifs dans le domaine, essentiellement par des transferts internes en provenance du Groupement Défense, sans mettre en péril le DEVA ou d’autres projets importants ; 
• test des fonctions et processus en organisant des exercices au sein du DDPS et avec ses partenaires (renforcement de l’interopérabilité) ; 
• renforcement du travail opérationnel avec les partenaires du DDPS en Suisse et au niveau international, par exemple par la participation (en cours de préparation) de la Suisse au Centre d’excellence de l’OTAN pour la cyberdéfense en coopération (NATO Cooperative Cyber Defence Centre of Excellence) à Tallinn ;
• collaboration accrue avec le monde académique et élaboration des cours de formation nécessaires, dont notamment la création du campus cyberdéfense début 2019 à Thoune (armasuisse, Sciences et technologies) et celle de laboratoires à l’EPFZ et à l’EPFL.

Cette unité doit coordonner et promouvoir l’ensemble des activités du domaine cyber au DDPS sur le plan stratégique. Son action se concentre sur les domaines suivants : la vue d’ensemble intégrale des cyberdéfis dans son champ d’activités, la préparation des moyens de cyberdéfense du DDPS, l’assistance à la direction du département lors de cybercrises et la défense des intérêts du DDPS auprès des organes concernés..

Le domaine Cyberdéfense DDPS comprend, à l’heure actuelle, quelque 175 postes répartis dans cinq domaines départementaux : Secrétariat général, Groupement Défense (armée comprise), Service de renseignement de la Confédération, armasuisse et Office fédéral de la protection de la population. La création de ces postes en 2017 s’est effectuée sans incidence sur le budget du DDPS. Le concept global Cyber (Groupement Défense) et la nouvelle stratégie à élaborer permettront d’acquérir les moyens requis au niveau administratif et dans le domaine de la milice.

Il n’est pour l’heure pas possible d’avancer des chiffres précis, car sa mise en place ne concerne pas que les coûts de personnel des cyberservices, mais aussi tous les besoins relatifs aux systèmes, aux acquisitions de matériel et à l’organisation. Les efforts considérables consentis peuvent être illustrés par deux projets de grande ampleur :

• 3,3 milliards destinés au programme FITANIA (d’ici 2035 environ) pour l’infrastructure de conduite, la technologie de l’information et le raccordement à l’infrastructure de réseau de l’armée ;
• 150 millions pour le Système national d’échange sécurisé de données (d’ici 2028).

Il existe déjà diverses activités menées avec les hautes écoles. S’agissant de la cyberdéfense, le DDPS collabore étroitement avec les EPF. Les deux écoles polytechniques sont par exemple représentées au sein du groupe d’experts du DDPS consacré à la cyberdéfense et jouent un rôle important dans le cadre du campus cyberdéfense et du stage de cyberformation de l’armée. L’entreprise armasuisse, pour sa part, est aussi en partenariat depuis 2005 avec le Zürich Information Security and Privacy Center avec lequel elle a mené de nombreux projets de recherche ces dernières années.

Conformément aux objectifs fixés dans le plan d’action, la collaboration avec l’économie privée a été renforcée dans le cadre du campus cyberdéfense.

Le 22 mai 2019, le Conseil fédéral a approuvé la participation de la Suisse au Centre d'excellence pour la cyberdéfense en coopération (CCDCoE) basé à Tallinn, en Estonie. Ce centre vise à stimuler la coopération dans le domaine de la recherche et de l’entraînement en matière de cyberdéfense et de cybersécurité. La Suisse y est associée depuis le 13 octobre 2020 comme partenaire contributeur. Cette coopération lui permet notamment d’accéder aux connaissances, aux informations, et aux diverses activités de recherche et d'entraînement du CCDCoE. La Suisse a également noué des coopérations bilatérales, par exemple avec la France.

Le Service de renseignement de la Confédération entretient pour sa part des liens étroits avec d’autres organisations de sécurité.

La stratégie cite plusieurs facteurs essentiels permettant de réduire les cyberrisques :

• la responsabilité individuelle (l’État n’intervient que si l’intérêt public est en jeu ou agit en accord avec le principe de subsidiarité) ;
• la collaboration entre l’économie, les hautes écoles et les autorités ;
• la coopération internationale.

La stratégie 2018-2022 repose sur les travaux réalisés dans le cadre de la première stratégie (qui concernait les années 2012 à 2017) en l'étendant si nécessaire et en la complétant par de nouvelles mesures. Elle définit sept objectifs qui devront être atteints dans dix champs d'action. Très variées, ces mesures vont de l'acquisition de compétences ou de connaissances et de la promotion de la coopération internationale aux mesures de cyberdéfense mises en œuvre par l'armée et le Service de renseignement de la Confédération, en passant par le renforcement de la gestion des incidents et des crises et par la collaboration en matière de poursuite pénale des cyberattaques.

Dans le cadre du nouveau champ d'action concernant la normalisation et la réglementation, la Confédération collaborera avec les milieux économiques afin de développer des normes minimales en matière de cybersécurité et d'évaluer l'opportunité d'introduire des obligations d'annoncer les cyberincidents.

D’ici la fin 2022 au plus tard.

Un rapport annuel donne des informations sur l’état de la mise en œuvre des mesures.