Avec sa Stratégie cyber, le DDPS et ses unités administratives peuvent se focaliser encore davantage et de manière encore plus ciblée sur les défis en constante mutation qui se présentent à la cyberdéfense. Cette dernière comprend toutes les mesures prises par les services de renseignement et l’armée dans le but de protéger les systèmes critiques dont dépend la sécurité du pays, de se défendre contre les cyberattaques, de garantir la disponibilité opérationnelle de l’armée dans toutes les situations ayant trait au cyberespace et de développer ses capacités et compétences afin qu’elle puisse apporter un appui subsidiaire aux autorités civiles. Ce domaine inclut également des mesures visant à identifier les menaces et les attaquants ainsi qu’à entraver et à bloquer les attaques. Le DDPS soutient ses partenaires lorsqu’il s’agit de protéger les infrastructures critiques des cyberattaques et de renforcer leur capacité de résistance. La coopération avec des partenaires nationaux et internationaux est également un élément central de la stratégie.

Les autres aspects cyber, comme la cybersécurité et la cybercriminalité, sont traités dans la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) et d’autres documents de référence.

La stratégie prévoit trente champs d’action concrets, qui sont répartis entre quatre domaines-clés :

• Gouvernance et coordination ; par exemple le développement de l’organisation.
• Sécurité et résilience ; par exemple la mise en place de mesures servant à rétablir les systèmes après un incident.
• Situation et action ; par exemple des mesures défensives en cas d’attaque.
• Monitoring des tendances et soutien ; par exemple la recherche, le développement et l’innovation.

S’agissant de la mise en œuvre, le principe est que tous les acteurs du DDPS ayant des tâches cyber se coordonnent dans le cadre de la Stratégie cyber. Ils collaborent étroitement pour identifier les risques et les chances et pour les maîtriser ensemble. Cela implique que le département axe son développement sur les défis de la cybersécurité pour ce qui est de ses tâches, du matériel, de ses processus et de son personnel. Dès lors, il est notamment essentiel de former et de perfectionner tout le personnel du DDPS et les militaires de carrière et de milice.

En outre, les responsables cyber du DDPS collaborent avec leurs partenaires pour mettre en œuvre les mesures. En plus du Centre national pour la cybersécurité (NCSC), il s’agit des cantons, des communes, des institutions actives dans le domaine de la recherche, de l’économie privée et de partenaires internationaux.

Le Plan d’action Cyberdéfense DDPS pour les années 2017–2020 définissait les tâches, les compétences et les processus des unités administratives du DDPS dans le domaine de la cyberdéfense, lançant ainsi une réorganisation du département dans le domaine cyber qui allait introduire des améliorations considérables. Il a donné lieu à un rapport final exposant les mesures mises en œuvre, les buts atteints et les lacunes qu’il reste à combler.

Parmi les premières mesures concrétisées figurent celles qui visent à transformer la Base d’aide au commandement (BAC) en un commandement Cyber. Le stage de formation cyber a débuté en 2018 et, depuis janvier 2019, le nouveau campus cyberdéfense d’armasuisse fournit des prestations complémentaires dans le cadre de la SNPC. Ces dernières années, le Service de renseignement de la Confédération (SRC) a également augmenté ses capacités cyber.

Tous les objectifs du plan d’action n’ont pas été entièrement atteints. Cela s’explique notamment par la complexité du domaine cyber et les changements rapides qu’il connaît. Ces objectifs et les mesures d’amélioration identifiées ont été intégrés dans le rapport final consacré au plan d’action et pris en considération dans la Stratégie cyber du DDPS.

Le Service de renseignement de la Confédération (SRC) a pour tâche de détecter et d’analyser les cyberattaques relevant de la politique de sécurité qui visent les intérêts de la Suisse et de trouver qui en sont les auteurs. De telles attaques ont notamment pour but de nuire à la crédibilité du pays en sa qualité d’hôte de conférences internationales, d’espionner les entreprises et les organisations internationales qui s’y trouvent et d’accéder aux systèmes bancaires suisses. Le SRC peut prendre des contre-mesures en cas d’attaques visant les infrastructures critiques pour les juguler.

L’une des principales compétences du SRC est d’évaluer les cybermenaces et la situation qui en découle. Les décideurs et les exploitants d’infrastructures critiques peuvent ainsi se faire une idée des risques et des acteurs, et prendre les mesures nécessaires, qui sont définies dans la loi sur le renseignement.

La Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) est dirigée conjointement par le NCSC et le SRC, au DDPS. Elle vise à prévenir et à maîtriser les risques principalement par la détection précoce et le soutien aux exploitants d’infrastructures critiques (p. ex. entreprises d’approvisionnement en énergie ou de télécommunication, banques).

Le SRC gère également depuis 2004 le programme Prophylax dans le but de sensibiliser le secteur industriel et la place scientifique suisses contre les risques de fuites de données et d’espionnage.

L’armée joue un rôle essentiel en matière de dispositions préventives contre les cyberrisques. Comme c’est le cas de la société en général, son fonctionnement dépend fortement des technologies de l’information et de la communication. Elle peut devenir la cible de cyberattaques et il faut donc qu’elle veille en premier lieu à protéger ses propres moyens et infrastructures. À cette fin, l’armée investit par exemple dans des réseaux protégés contre tous types d’attaques. On peut notamment citer des projets tel que la construction de nouveaux centres de calcul, la Télécommunication de l’armée et le réseau de conduite suisse, soit un important investissement de 3,3 milliards de francs.

Eu égard à l’état actuel de la menace, la Base d’aide au commandement (BAC) de l’armée sera transformée en un commandement Cyber pour début 2024. Le commandement Cyber fournira les capacités militaires clés dans les domaines de l’image de la situation, de la cyberdéfense, des prestations informatiques, de l’aide au commandement, de la cryptologie et de la guerre électronique. Les autres éléments de la BAC seront intégrés à l'État-major de l’armée après la mise en place du commandement Cyber.

Pour autant que sa propre protection soit garantie, l’armée peut, en cas de nécessité, mettre à titre subsidiaire des capacités à la disposition des autorités civiles. Elle contribue ainsi à assurer le fonctionnement des infrastructures critiques.

En cas de conflit armé, l’armée engagerait toutes ses cybercapacités pour empêcher les attaques, atténuer leur impact et affaiblir l’adversaire.

Tout comme le SRC, l’armée dispose des capacités lui permettant d’agir dans le cyberespace. Le DDPS possède les compétences et les capacités qualitatives et quantitatives lui permettant de perturber, d’écarter ou de ralentir les éventuelles attaques visant les infrastructures de l’armée. La mise en place de telles mesures s’effectue conformément à la loi sur l’armée.

Le 13 avril 2022, le Conseil fédéral a pris acte du rapport Conception générale cyber. Le rapport vient compléter les rapports Avenir de la défense aérienne (2017) et Avenir des forces terrestres (2019) et contribue ainsi au développement de l’armée à moyen et long terme et présente le développement prospectif des capacités dans le cyberespace et l’espace électromagnétique. La Conception générale se base sur la forme de conflit hybride décrite dans le rapport sur la politique de sécurité 2021.

Pour mener des opérations militaires de façon globale, toute armée a besoin du cyberespace et de l’espace électromagnétique. Pour ce faire, la mise en réseau numérique et flexible des capteurs, des moyens d’action et des organes de conduite est un prérequis indispensable. En situation de conflit, une armée a plus de chance de mener à bien ses missions si elle a la possibilité d’agir dans le cyberespace et l’espace électromagnétique.

Le rapport Conception générale cyber détaille les capacités nécessaires dans le cyberespace et l’espace électromagnétique ainsi que les technologies de l’information et de la communication dont l’armée doit disposer. Le rapport présente trois options de développement prospectif. Celles-ci s’appuient toutes sur la forme de conflit hybride décrite dans le rapport sur la politique de sécurité 2021, mais se distinguent par l’accent porté sur les aspects qualitatifs et quantitatifs desdites capacités. Le Conseil fédéral a chargé le DDPS de poursuivre l'option 3 du rapport.

• L’option renforce l’autoprotection de l’armée et retenue crée les bases techniques pour la transformation numérique de la troupe, qui sera équipée de systèmes TIC modernes. Le programme FITANIA en constitue le fondement. Il permet notamment une conduite intégrée de l’armée, alliant numérisation et flexibilité, et tenant compte des partenaires. L’armée répond ainsi à une exigence, et non des moindres, de la Stratégie nationale de protection de la Suisse contre les cyberrisques, selon laquelle tous les acteurs du domaine cyber doivent être en mesure de répondre de leur propre protection.
• L’armée doit aussi pouvoir prendre des mesures actives et appropriées pour assurer la défense contre les menaces dans le domaine cyber, dont celles générées par des systèmes d’armes adverses comme des systèmes de conduite et de pilotage de l’artillerie à longue portée ou des systèmes de défense sol-air. La majorité des bataillons et des compagnies doivent être capables de garantir un engagement autonome dans ce domaine, et donc être équipés de systèmes faciles à utiliser. Ils pourront ainsi eux-mêmes empêcher l’échange de données radio et restreindre la capacité de conduite de l’adversaire à l’échelon tactique.
• Dans le futur, l’armée doit être en mesure d’appuyer les autorités civiles à titre subsidiaire également dans le cyberespace et l’espace électromagnétique. La loi sur l’armée constitue la base légale de tous les engagements subsidiaires, y compris ceux-ci. Grâce au développement du domaine cyber, il y aura de nouvelles possibilités aussi en ce qui concerne les prestations d’appui. Aujourd’hui, l’armée coopère déjà avec des partenaires civils, en particulier avec le Réseau national de sécurité, dans le cyberespace et l’espace électromagnétique. Des offices fédéraux peuvent, par exemple en cas de crise, partager les réseaux et les centres de calcul sécurisés et robustes de l’armée lorsque les moyens civils viennent à faillir. La qualité de ces prestations sera encore améliorée sur le plan de la protection contre les cybermenaces et celui de la capacité de coopération (interopérabilité). L’armée profite, elle aussi, de ces appuis, notamment grâce à l’échange d’informations au sujet des menaces dans le cyberespace.

La mise en œuvre aura lieu par étapes jusque dans les années 2030. Il faut compter sur des investissements pour un montant estimé entre 1,6 et 2,4 milliards de francs. Les demandes seront soumises au Parlement et le financement traité dans le cadre du budget ordinaire de l’armée.

Pour ce faire, environ 15 pour cent des postes devront être redistribués au commandement Cyber au cours des 12 à 15 prochaines années. Il ne s’agit donc pas forcément d’augmenter le nombre de postes, mais plutôt de transformer ceux qui existent déjà en profitant des fluctuations naturelles.

Depuis quelques année, le domaine cyber est considéré comme étant une sphère d’opération de l’armée à part entière, possédant sa propre base doctrinale pour régler l’engagement des moyens et l’instruction.

Eu égard à l’état actuel de la menace, la Base d’aide au commandement (BAC) de l’armée sera transformée en un commandement Cyber pour début 2024. Le commandement Cyber fournira les capacités militaires clés dans les domaines de l’image de la situation, de la cyberdéfense, des prestations informatiques, de l’aide au commandement, de la cryptologie et de la guerre électronique. Les autres éléments de la BAC seront intégrés à l'État-major de l’armée après la mise en place du commandement Cyber.

En outre, l'armée prévoit d'augmenter ses effectifs dans le domaine cyber au cours des prochaines années. Au 1er janvier 2022, un cyberbataillon et un état-major spécialisé correspondant ont été mis sur pied. L'effectif de la milice passera ainsi de 206 à 575 militaires. Pour accroître également la qualité de l’instruction dispensée à ces cyberspécialistes au sein de l’armée, celle-ci sera complétée par un stage auprès de partenaires externes, permettant ainsi d’approfondir et d’étendre les capacités acquises et, au final, d’en faire bénéficier l’armée.

Oui, les moyens de l’armée peuvent aussi être engagés pour aider des tiers dans ce domaine, aux conditions suivantes :

• les moyens civils doivent être épuisés, c’est-à-dire qu’ils ne soient pas ou plus disponibles en quantité ou en qualité requise, ou que le temps manque pour les engager ;
• une demande des autorités civiles compétentes a été adressée au Conseil fédéral ;
• l’armée doit disposer, au moment donné, des moyens adéquats ;
• l’engagement est placé sous la responsabilité des autorités civiles.

Ces règles, valables pour tous les engagements subsidiaires de l’armée, le sont également dans le domaine cyber (cf. art. 67 de la loi sur l’armée).

L’armée dispose actuellement de 210 militaires environ pouvant être convoqués et engagés pour renforcer les effectifs des unités administratives du Groupement Défense durant toute l’année. L’augmentation des moyens demandée dans la motion Dittli Création d'un commandement de cyberdéfense dans l'armée suisse (17.3507) permettra à l’armée de disposer de quelque 570 militaires de milice à compter de 2025 environ, qui viendront soutenir les formations militaires.

Depuis l’été 2018, avec le stage de formation cyber, l’armée dispose de son propre module d’instruction, qui forme pour l’heure une vingtaine de militaires deux fois par an. Pour le suivre, les militaires de milice passent une procédure de sélection vérifiant leur formation et connaissances préalables. Ils seront engagés pour renforcer les éléments professionnels et non en tant qu’unités militaires indépendantes. Il est également possible de recruter des militaires de milice disposant d’autres connaissances spécifiques.

Parallèlement à la transformation de la Base d’aide au commandement (BAC) en commandement Cyber, le 1er janvier 2022, un cyberbataillon et un état-major spécialisé ont été mis sur pied. L'effectif de la milice passera ainsi de 206 à 575 militaires. Pour accroître également la qualité de l’instruction dispensée à ces cyberspécialistes au sein de l’armée, celle-ci sera complétée par un stage auprès de partenaires externes, permettant ainsi d’approfondir et d’étendre les capacités acquises et, au final, d’en faire bénéficier l’armée.

Sa tâche fondamentale est de protéger la population et ses conditions d’existence en cas de catastrophe, de situation d’urgence ou de conflit armé. Il contribue aussi à maîtriser les sinistres et à en limiter l’étendue. Dans le cadre de la SNPC, il analyse les risques auxquels sont exposées les infrastructures critiques et de la vulnérabilité de celles-ci. Se fondant sur ces analyses, il élabore, en collaboration avec les autorités chargées de la régulation, les associations et les exploitants d’infrastructures critiques (hôpitaux, etc.), des mesures visant à augmenter leur résistance et à réduire les risques.

Les autorités civiles ont besoin d’infrastructures de télécommunication et de systèmes d’alarme capables de fonctionner en toute situation. En outre, la population doit pouvoir être alarmée par des canaux de communication sécurisés et recevoir des informations fiables. Au niveau fédéral, ceci est du ressort de l’OFPP, qui gère plusieurs projets de réseaux de communication capables de résister aux crises et aux pannes de courant.

www.infraprotection.ch

Les tâches de l’office comprennent l’acquisition et le développement. En collaboration avec les hautes écoles et l’industrie, le campus cyberdéfense assure le monitoring des tendances et anticipe les évolutions.

Au DDPS, c’est le domaine Numérisation et cybersécurité DDPS, rattaché au Secrétariat général (SG-DDPS), qui pilote et coordonne le développement stratégique et les cyberactivités pour le département. Ce domaine assure la disponibilité de l’infrastructure nécessaire aux technologies de l’information et de la communication au niveau du département et au SG-DDPS, et dirige les tâches de gestion de la sécurité pour le compte du DDPS et de l’armée dans le domaine de la sécurité intégrale. Les domaines Cyberdéfense DDPS, Informatique DDPS et SG-DDPS et Sécurité de l’information DDPS sont subordonnés au domaine Numérisation et cybersécurité DDPS.

Cette unité doit coordonner et promouvoir l’ensemble des activités du domaine cyber au DDPS sur le plan stratégique. Son action se concentre sur les domaines suivants : la vue d’ensemble intégrale des cyberdéfis dans son champ d’activités, la préparation des moyens de cyberdéfense du DDPS, l’assistance à la direction du département lors de cybercrises et la défense des intérêts du DDPS auprès des organes concernés.

Le domaine Cyberdéfense DDPS comprend, à l’heure actuelle, quelque 175 postes répartis dans cinq domaines départementaux : Secrétariat général, Groupement Défense (armée comprise), Service de renseignement de la Confédération, armasuisse et Office fédéral de la protection de la population. La création de ces postes en 2017 s’est effectuée sans incidence sur le budget du DDPS. Le concept global Cyber (Groupement Défense) et la stratégie nouvellement élaborée permettront d’acquérir les moyens requis au niveau administratif et dans le domaine de la milice.

Depuis 2005, le DDPS développe ses capacités en la matière, par exemple avec l’unité Military Computer Emergency Response Team ou par des compétences-clés dans le domaine des opérations sur les réseaux informatiques. Depuis la création du Service de renseignement de la Confédération (SRC) en 2010, une partie de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) est rattachée au DDPS. Le SRC a été doté de moyens analytiques supplémentaires dans le cadre de la première Stratégie nationale de protection de la Suisse contre les cyberrisques 2012-2017. La loi sur l’armée, la loi sur le renseignement et l’ordonnance sur l’organisation de l’armée donnent au DDPS les bases légales qui permettront d’empêcher que des cyberattaques visant les infrastructures critiques du pays et l’armée ne soient commises et de prendre au besoin des contre-mesures dans le cyberespace.

Il n’est pour l’heure pas possible d’avancer des chiffres précis, car sa mise en place ne concerne pas que les coûts de personnel des cyberservices, mais aussi tous les besoins relatifs aux systèmes, aux acquisitions de matériel et à l’organisation. Les efforts considérables consentis peuvent être illustrés par deux projets de grande ampleur :

• 3,3 milliards destinés au programme FITANIA (d’ici 2035 environ) pour l’infrastructure de conduite, la technologie de l’information et le raccordement à l’infrastructure de réseau de l’armée ;
• 150 millions pour le Système national d’échange sécurisé de données (d’ici 2028).

Il existe déjà diverses activités menées avec les hautes écoles. S’agissant de la cyberdéfense, le DDPS collabore étroitement avec les EPF. Les deux écoles polytechniques sont par exemple représentées au sein du groupe d’experts du DDPS consacré à la cyberdéfense et jouent un rôle important dans le cadre du campus cyberdéfense et du stage de cyberformation de l’armée. L’entreprise armasuisse, pour sa part, est aussi en partenariat depuis 2005 avec le Zürich Information Security and Privacy Center avec lequel elle a mené de nombreux projets de recherche ces dernières années.

Conformément aux objectifs fixés dans le plan d’action, la collaboration avec l’économie privée a été renforcée dans le cadre du campus cyberdéfense.

Le 22 mai 2019, le Conseil fédéral a approuvé la participation de la Suisse au Centre d'excellence pour la cyberdéfense en coopération (CCDCoE) basé à Tallinn, en Estonie. Ce centre vise à stimuler la coopération dans le domaine de la recherche et de l’entraînement en matière de cyberdéfense et de cybersécurité. La Suisse y est associée depuis le 13 octobre 2020 comme partenaire contributeur. Cette coopération lui permet notamment d’accéder aux connaissances, aux informations, et aux diverses activités de recherche et d'entraînement du CCDCoE. La Suisse a également noué des coopérations bilatérales, par exemple avec la France.

Le Service de renseignement de la Confédération entretient pour sa part des liens étroits avec d’autres organisations de sécurité.

La stratégie cite plusieurs facteurs essentiels permettant de réduire les cyberrisques :

• la responsabilité individuelle (l’État n’intervient que si l’intérêt public est en jeu ou agit en accord avec le principe de subsidiarité) ;
• la collaboration entre l’économie, les hautes écoles et les autorités ;
• la coopération internationale.

La stratégie 2018-2022 repose sur les travaux réalisés dans le cadre de la première stratégie (qui concernait les années 2012 à 2017) en l'étendant si nécessaire et en la complétant par de nouvelles mesures. Elle définit sept objectifs qui devront être atteints dans dix champs d'action. Très variées, ces mesures vont de l'acquisition de compétences ou de connaissances et de la promotion de la coopération internationale aux mesures de cyberdéfense mises en œuvre par l'armée et le Service de renseignement de la Confédération, en passant par le renforcement de la gestion des incidents et des crises et par la collaboration en matière de poursuite pénale des cyberattaques.

Dans le cadre du nouveau champ d'action concernant la normalisation et la réglementation, la Confédération collaborera avec les milieux économiques afin de développer des normes minimales en matière de cybersécurité et d'évaluer l'opportunité d'introduire des obligations d'annoncer les cyberincidents.

D’ici la fin 2022 au plus tard.

Un rapport annuel donne des informations sur l’état de la mise en œuvre des mesures.