Loi sur la sécurité de l’information

Informationssicherheitsgesetz ISG

Aperçu

Dans sa stratégie nationale de protection de la Suisse contre les cyberrisques du 27 juin 2012, le Conseil fédéral décrit les nouvelles menaces issues du développement des technologies de l’information et de la communication. Il y explique aussi comment il entend minimiser ces risques, en collaboration avec les autorités, les milieux économiques et les exploitants des infrastructures indispensables au fonctionnement de la société, de l’économie et de l’État (infrastructures dites critiques).

Les autorités et organes de la Confédération sont également exposés aux dangers évoqués dans la stratégie. Ils exploitent des informations et des infrastructures de communication dont le dysfonctionnement, la défaillance ou la destruction peuvent avoir de graves conséquences pour la société, l’économie ou l’État. De plus, dans l’accomplissement de ses tâches, la Confédération traite quotidiennement d’importants volumes d’informations et de données, dont certaines nécessitent une protection accrue pour diverses raisons: données personnelles, secrets d’affaires et de fabrication, informations classifiées, etc. Plusieurs attaques contre des systèmes d’information de la Confédération ont montré que la sécurité de l’information présente des lacunes, dues entre autres à des bases légales obsolètes.

La loi sur la sécurité de l’information définit les exigences minimales auxquelles toutes les autorités de la Confédération doivent répondre pour protéger leurs informations et infrastructures informatiques. Elle regroupe les principales mesures en une réglementation unique et homogène: gestion des risques, classification des informations, sécurité informatique, contrôles de sécurité relatifs aux personnes, sécurité lors de l’acquisition de biens sensibles et soutien de la Confédération aux exploitants d’infrastructures critiques dans le domaine de la sécurité de l’information.

La loi se fonde sur des normes reconnues au plan international. Pour améliorer de façon durable et rentable la sécurité de l’information auprès de la Confédération et parvenir à un niveau de sécurité si possible uniforme entre les autorités fédérales, elle met l’accent sur les informations et systèmes les plus critiques et sur la normalisation des mesures. En raison notamment de l’évolution rapide des technologies, la loi ne prescrit pas de mesures détaillées. Elle crée simplement un cadre légal formel sur la base duquel les autorités de la Confédération pourront, aux niveaux de l’ordonnance et des directives, concrétiser la sécurité de l’information de la manière la plus homogène possible.

État d’avancement du dossier

Par 39 voix et 4 abstentions, le Conseil des États a adopté, le 4 décembre 2017, la loi sur la sécurité de l’information, après modifications. Ces dernières concernent notamment l’utilisation du numéro AVS et les contrôles de sécurité relatifs aux personnes pour les collaborateurs externes à l’administration fédérale. Le 13 mars 2018, par 117 voix contre 68 et 8 abstentions, le Conseil national a décidé de ne pas entrer en matière. Le 26 septembre 2018, le Conseil des États a confirmé sa volonté d’entrer en matière sans vote dissident. Le dossier est renvoyé au Conseil national. Si ce dernier refuse à nouveau d’entrer en matière, le projet sera définitivement abandonné. Le 9 octobre 2018, la Commission de la politique de sécurité du Conseil national est entrée en matière sur le projet. Elle a cependant décidé de suspendre l’examen de celui-ci et de charger le DDPS de lui montrer, d’ici à la mi-juin 2019, comment il serait possible de l’améliorer en prenant en compte différents éléments qu’elle a elle-même définis.

FAQ

Généralités

La sécurité de l’information englobe l’ensemble des exigences et mesures destinées à protéger la confidentialité, l’intégrité, la disponibilité et la traçabilité des informations, de même que la disponibilité et l’intégrité des moyens informatiques. Implicitement, cette définition s’étend au degré de sécurité visé par ces exigences et mesures.

La sécurité de l’information va au-delà de la simple sécurité informatique (également désignée par sécurité des TIC ou cybersécurité), car elle couvre non seulement les opérations de traitement électronique des informations, mais tous les processus (papier, déclarations orales, etc.).

La loi vise une amélioration durable et rentable de la sécurité de l’information au sein de la Confédération. Elle doit garantir que les autorités fédérales disposent d’une infrastructure informatique fiable leur permettant d’accomplir leurs tâches légales, et qu’elles protègent efficacement les informations et les données dans leur domaine de compétences. Elle protège finalement la capacité d’action et de décision des autorités fédérales, la sécurité intérieure et extérieure de la Suisse, ses intérêts de politique extérieure et ses intérêts dans les domaines économique, financier et monétaire. La loi vise par ailleurs la protection pratique des données personnelles et des informations économiques lorsque la Confédération traite des données de cette nature.

Pour l’accomplissement de leurs tâches, les autorités fédérales échangent des informations entre elles et avec des tiers. Cet échange se fait de plus en plus par voie électronique. Simultanément, la mise en réseau des systèmes informatiques des autorités de la Confédération gagne constamment en importance, d’où un risque accru que les menaces et les attaques contre une autorité se propagent à d’autres autorités participantes. Il faut donc que les autorités concernées soient tenues d’harmoniser leurs mesures de protection des informations et des moyens informatiques, tant sur les plans organisationnel, technique et physique que vis-à-vis du personnel, et que les tiers qui traitent des informations de la Confédération respectent les exigences de la Confédération: c’est la seule manière de garantir la sécurité requise et la confiance mutuelle.

L’évolution vers une société de l’information accentue la complexité et le caractère dynamique des menaces: ces dernières doivent être abordées globalement, en réseau et avec professionnalisme. Or, la plupart des instruments de la sécurité de l’information restent sectoriels, manquent de coordination et ne répondent pas aux besoins d’une société de l’information. La Confédération a donc mis en place des structures organisationnelles parallèles pour chacun des secteurs de la sécurité de l’information. La pratique a montré que l’approche sectorielle au sein de la Confédération n’est plus adaptée et n’est plus efficace. Il faut dès lors regrouper les mesures principales de sécurité de l’information dans un seul cadre réglementaire moderne afin de pouvoir les gérer de façon globale, ce qui correspond aux normes internationales, ces dernières réglant aussi la sécurité de l’information dans une perspective globale.

En vertu de la Constitution, toute restriction des droits constitutionnels doit être fondée sur une base légale au sens formel. Son degré de détail dépend de l’importance de la restriction. De plus, en vertu de la loi sur la protection des données, les organes de la Confédération ne peuvent traiter des données sensibles ou des profils de la personnalité que si une loi au sens formel le prévoit expressément. Des bases légales au sens formel sont notamment nécessaires pour recourir à des systèmes d’information pour le contrôle central des données d’identification, car des données sensibles sont traitées dans ce cadre, pour le contrôle de sécurité relatif aux personnes, pour la procédure de sécurité relative aux entreprises et pour l’échange des données dans le cadre du soutien aux infrastructures critiques.

Dans sa stratégie nationale de protection de la Suisse contre les cyberrisques du 27 juin 2012, le Conseil fédéral décrit les menaces auxquelles sont exposées les infrastructures critiques, l’économie, la population et les autorités. Il a établi le principe de la responsabilité de chacun des acteurs. Bien que la stratégie concerne l’ensemble de la Suisse et des cyberrisques, le Conseil fédéral a mis l’accent sur la protection des infrastructures critiques et sur le renforcement de leur capacité de résistance. Les autorités de la Confédération, par ailleurs également réputées infrastructures critiques, sont responsables de leurs propres mesures de protection.

D’une part, la loi sur la sécurité de l’information dépasse le cadre de la stratégie nationale: elle ne se limite pas aux cyberrisques et englobe également les menaces qui pèsent sur des informations qui n’émanent pas d’Internet. Ainsi, la loi sur la sécurité de l’information règle aussi les contrôles de sécurité relatifs aux personnes et la procédure de sécurité relative aux entreprises en tant que mesures particulières de sécurité de l’information. D’autre part, la loi a une portée plus restreinte que la stratégie, car son champ d’application se limite aux autorités et organes de la Confédération et ne concerne pas la Suisse dans son ensemble. Le caractère normatif de la loi sur la sécurité de l’information est plus important pour le but visé: lorsque la collaboration et la sécurité doivent répondre à certaines exigences, la loi les définit.

La loi 

  • Elle définit des exigences minimales de sécurité auxquelles toutes les autorités de la Confédération devront répondre. Ces prescriptions ne s’appliquent que partiellement aux cantons.
  • Elle regroupe en une réglementation unique les mesures les plus importantes de sécurité de l’information et exige des autorités fédérales qu’elles mettent intégralement en œuvre et réexaminent leur sécurité de l’information conformément à des normes reconnues au plan international.
  • Elle exige du Conseil fédéral qu’il définisse une norme technique de sécurité.
  • Elle règle l’échange d’informations et de données entre les unités responsables du soutien aux infrastructures critiques, entre les infrastructures critiques elles-mêmes et avec les partenaires internationaux de la Suisse en matière de sécurité technique de l’information.
  • Elle remédie à nombre de lacunes et de faiblesses du droit en vigueur et modernise l’organisation spécialisée des autorités fédérales pour la sécurité de l’information.
  • Elle institue un service spécialisé de la Confédération pour la sécurité de l’information qui assistera les autorités fédérales, mènera des analyses de risques et des audits et assumera certaines tâches dans le contexte international.
     

 

La loi sur la sécurité de l’information vaut en premier lieu pour toutes les autorités de la Confédération: Parlement, tribunaux fédéraux, Conseil fédéral et administration fédérale, armée, Ministère public de la Confédération et son autorité de surveillance, Banque nationale. Les unités décentralisées de l’administration fédérale et les organisations de droit public ou privé chargées de tâches de l’administration peuvent être soumises à la loi lorsqu’elles assument des tâches sensibles de la Confédération. Pour les cantons, le champ d’application se limite en principe aux cas dans lesquels ils traitent des données protégées de la Confédération ou lorsqu’ils utilisent ses moyens informatiques. Les milieux économiques et les particuliers ne sont touchés que lorsqu’ils assument des mandats sensibles pour le compte de la Confédération.

Les coûts de mise en œuvre dépendent largement du niveau de sécurité voulu par les autorités fédérales et de la législation d’exécution correspondante. Les ressources en personnel supplémentaire nécessaires à l’amélioration de la sécurité de l’information seront majoritairement compensées sur le plan interne. Globalement, selon les prévisions les plus récentes, les besoins supplémentaires seront de quatre à onze postes à moyen terme.

La loi sur la sécurité de l’information est une loi exhaustive pour deux raisons. D’une part, elle regroupe plusieurs domaines réglés jusqu’ici séparément (classification, sécurité informatique, sécurité physique, contrôles de sécurité relatifs aux personnes, etc.), insuffisamment (contrôles de sécurité relatifs aux personnes et procédures de sécurité relatives aux entreprises), voire pas du tout sur le plan formel (gestion de la sécurité de l’information, sécurité informatique, gestion des identités et des accès, soutien aux infrastructures critiques, etc.). Ne serait-ce qu’en raison de l’objet de la réglementation, la loi ne pouvait être que volumineuse.

D’autre part, la forte densité réglementaire résulte du champ d’application de la loi. Ni le Parlement, ni les tribunaux fédéraux, ni le Ministère public de la Confédération, ni encore la Banque nationale ne sont soumis aux directives du Conseil fédéral. Pour protéger l’autonomie et l’indépendance de ces institutions, il faut que toutes les mesures contraignantes pour l’ensemble des autorités fédérales soient inscrites dans la loi sur la sécurité de l’information. Les autorités en question exécuteront la loi de manière autonome, dans le cadre d’une harmonisation avec les autres autorités.

La classification est une mesure appliquée de tout temps pour protéger les informations qui, si elles étaient portées à la connaissance de personnes non autorisées, pourraient nuire aux intérêts de sécurité de l’État ou lui causer un préjudice. La classification sert ainsi à protéger la confidentialité des secrets d’État. La LSI prévoit un système de classification à trois niveaux: INTERNE, CONFIDENTIEL et SECRET. Les valeurs seuils de la classification sont rehaussées, de sorte qu’à l’avenir, on classifiera moins d’informations. Les personnes chargées de traiter des informations classifiées CONFIDENTIEL ou SECRET seront soumises à un contrôle de sécurité relatif aux personnes.

La loi ne remet nullement en question le principe de la transparence de l’administration. Les critères de classification ont été définis de façon à correspondre sur le fond au catalogue d’exceptions de l’art. 7 de la loi du 17 décembre 2004 sur la transparence. De plus, la loi sur la sécurité de l’information établit la primauté de la loi sur la transparence.

Étant donné que le réseautage transversal des autorités et les échanges électroniques d’informations entre elles ne cesseront de se développer, il s’agit de trouver davantage de solutions et de processus transversaux. Certains paramètres de la sécurité informatique doivent être réglés au niveau de la loi lorsqu’ils touchent l’autonomie des autorités ou les droits individuels. La loi sur la sécurité de l’information ne prescrit aucune mesure technique en matière de sécurité informatique. Elle se concentre sur l’uniformisation des processus les plus importants garantissant la sécurité de l’information lors du recours aux moyens informatiques.

Une bonne gestion et un bon contrôle des identités et des accès font partie des mesures opérationnelles les plus efficaces pour la sécurité de l’information. L’utilisation croissante, au-delà des limites de l’organisation, d’informations de diverses sources implique que l’on ne puisse plus répondre efficacement aux exigences de protection et de fonctionnalité que par des systèmes coordonnés au niveau transversal. L’administration fédérale se dote d’un système de ce type dans le cadre du programme IAM Confédération. De fait, le Conseil fédéral et les autres autorités de la Confédération ont déjà la compétence d’introduire ces systèmes de gestion des identités (également connus sous le nom de systèmes IAM), mais certains aspects du traitement des données personnelles exigent une réglementation légale formelle pour des raisons de protection des données.

Contrôles de sécurité relatifs aux personnes

En tant que mesure étatique de sécurité de l’information, les contrôles de sécurité relatifs aux personnes (CSP) doivent rester proportionnés au risque et rentables. Étant donné que, par la force des choses, un CSP engendre une atteinte importante aux droits individuels, il doit répondre à des exigences sévères quant au respect du principe de la proportionnalité. Depuis 2000, le nombre annuel des CSP n’a cessé d’augmenter. De nombreuses personnes sont aujourd’hui contrôlées alors qu’elles n’assument aucune tâche particulièrement sensible pour le compte de la Confédération (p. ex. le personnel de nettoyage). Les effectifs des services chargés des contrôles ont dû être régulièrement renforcés. Au vu de cette évolution, le Conseil fédéral juge que les CSP ne sont aujourd’hui plus en phase avec le risque et qu’ils ne respectent plus le principe de la proportionnalité. Il veut par conséquent réduire le recours aux CSP au strict minimum nécessaire à l’identification et à la maîtrise des risques importants pour la sécurité de l’information au sein de la Confédération. La nouvelle réglementation proposée doit permettre une réduction sensible du nombre des CSP.

Le contrôle de sécurité relatif aux personnes est une mesure préventive de protection de l’État contre les délinquants internes. Il vise à déterminer si l’exercice d’une activité sensible par une personne donnée dans le cadre de sa fonction ou d’un mandat présente un risque pour la sécurité de l’information. En fin de compte, la décision d’assumer un risque aggravé, de le réduire par certaines conditions, de renoncer à l’engagement de la personne ou de résilier le contrat de travail relève de la compétence exclusive de l’autorité en tant qu’employeur ou de mandant. Le contrôle de sécurité relatif aux personnes ressemble dès lors à une évaluation semblable à celle que l’employeur ordonne souvent avant d’engager un cadre ou une personne clé.

Un contrôle de sécurité relatif aux personnes est mené pour des personnes chargées d’exercer une activité sensible. Sont réputés sensibles le traitement d’informations classifiées CONFIDENTIEL ou SECRET, la gestion et l’exploitation de moyens informatiques critiques et l’accès à certaines zones de sécurité. Un contrôle peut également être mené lorsqu’il est exigé par un traité international. Des cadres supérieurs et le personnel diplomatique du Département fédéral des affaires étrangères peuvent être évalués quant à leur loyauté en vertu de la loi du 24 mars 2000 sur le personnel de la Confédération. Les employés de la Confédération et les militaires ne peuvent être contrôlés que si le Conseil fédéral inscrit leur fonction dans la liste des fonctions à contrôler.

Le contrôle de sécurité relatif aux personnes ne peut avoir lieu qu’avec le consentement de la personne concernée. Font exception à cette règle les conscrits, les militaires et les membres de la protection civile, qui peuvent être contrôlés sans leur assentiment. La personne contrôlée est informée exhaustivement de ses droits, de la procédure et des données qui seront collectées. Elle est également tenue de collaborer à l’établissement des faits. Le consentement vaut jusqu’à la clôture de la procédure de contrôle mais peut être révoqué en tout temps par la personne contrôlée auprès de l’autorité de contrôle. Lorsque la personne concernée s’oppose au contrôle de sécurité ou qu’elle révoque son consentement, la fonction ou le mandat ne peut lui être confié ou doit lui être retiré.

Dans le cadre du contrôle de sécurité relatif aux personnes, on collecte et on évalue des données pertinentes pour la sécurité concernant le mode de vie de la personne contrôlée, notamment ses relations personnelles étroites, sa situation familiale et financière, et ses relations avec l’étranger. On ne peut traiter des données concernant l’exercice des droits constitutionnels que s’il existe un soupçon fondé que la personne concernée s’en sert pour agir contre les intérêts de sécurité de la Suisse.

Lors d’un contrôle de sécurité de base (du niveau CONFIDENTIEL), le service chargé du contrôle collecte des données du casier judiciaire, des autorités pénales, des organes de sécurité de la Confédération, du Service de renseignement de la Confédération, des organes de l’armée, des registres et documents des organes de sécurité des cantons et de la police, des registres des autorités de poursuite et de faillite, et de sources publiques.

Lors d’un contrôle de sécurité élargi (du niveau SECRET), le service de contrôle collecte en outre des données fournies par les autorités fiscales fédérales et cantonales, des établissements financiers et des banques avec lesquels la personne concernée entretient des relations d’affaires, le contrôle des habitants et l’audition de la personne contrôlée.

Un risque pour la sécurité existe lorsque la probabilité est jugée trop forte que, dans l’exercice de son activité sensible, la personne contrôlée nuira aux intérêts essentiels de la Suisse. Cette probabilité ne peut être définie comme pour une assurance par des critères quantitatifs (statistiques) et doit donc se fonder sur une appréciation qualitative. On analyse pour ce faire des facteurs de risque connus comme le manque d’intégrité personnelle et de loyauté, la vulnérabilité au chantage ou à la corruption, ou encore l’insuffisance des capacités de jugement et de décision. Si l’on décèle chez la personne contrôlée des indices de ces défauts, on peut en déduire un risque accru pour la sécurité.

Procédure de sécurité relative aux entreprises

La procédure de sécurité relative aux entreprises vise la sécurité de l’information dans l’accomplissement de mandats sensibles des autorités fédérales par des tiers non soumis à une surveillance directe. D’une part, la procédure sert à évaluer la loyauté de l’entreprise à mandater, et d’autre part elle permet de prendre les mesures de contrôle et de coercition garantissant la sécurité de l’information durant l’accomplissement du mandat. Elle vise entre autres à empêcher que des informations sensibles ou des vecteurs permettant de lancer des attaques contre des moyens informatiques critiques de la Confédération soient accessibles à des entreprises qui pourraient, en raison de leurs rapports de propriété, de leur nature juridique, de leur structure organisationnelle ou de leurs relations d’affaires, être pilotées ou significativement influencées par exemple par des services de renseignement étrangers ou des organisations poursuivant des buts criminels.

La procédure de sécurité relative aux entreprises est menée auprès des entreprises pressenties pour un mandat sensible des autorités fédérales, ou auprès d’entreprises suisses qui soumissionnent pour des mandats étrangers et ont besoin à cet effet d’une déclaration de sécurité nationale. La procédure ne peut être menée qu’avec le consentement de l’entreprise. On peut renoncer à la procédure de sécurité si d’autres mesures permettent de ramener un éventuel risque de sécurité à un niveau acceptable.

L’appréciation du risque est en principe la même que dans le contrôle de sécurité relatif aux personnes. Il existe un risque pour la sécurité lorsque la probabilité est jugée trop forte que, dans l’accomplissement de son mandat sensible, l’entreprise contrôlée nuira aux intérêts essentiels de la Suisse. On analyse pour ce faire des facteurs de risque comme le manque d’intégrité personnelle et de loyauté, ou encore la dépendance marquée vis-à-vis d’États étrangers ou d’organisations criminelles. Si l’on décèle chez l’entreprise contrôlée des indices concrets de ces défauts, on peut en déduire un risque accru pour la sécurité. On peut également constater un risque pour la sécurité lorsque des personnes de l’entreprise indispensables à l’accomplissement du mandat ont été elles-mêmes reconnues comme risque pour la sécurité à l’issue d’un contrôle de sécurité relatif aux personnes.

À cet égard, il importe de préciser que l’appréciation du risque pour la sécurité se fonde toujours sur le degré de sensibilité du mandat et la situation concrète de l’entreprise à contrôler. La procédure de sécurité relative aux entreprises ne peut justifier a priori l’exclusion arbitraire de soumissionnaires étrangers, ce qui constituerait d’ailleurs une distorsion de la concurrence.

Infrastructures critiques

Les infrastructures critiques garantissent la disponibilité de biens et de services essentiels, par exemple l’énergie, la communication ou les transports. Des défaillances de grande ampleur ont des répercussions graves sur la population et l’économie, et elles compromettent la sécurité et la prospérité de l’État. Dans sa stratégie nationale du 27 juin 2012 pour la protection des infrastructures critiques, le Conseil fédéral a défini les principes de leur protection et pris quinze mesures.

Tant dans sa stratégie nationale pour la protection des infrastructures critiques que dans sa stratégie nationale de protection de la Suisse contre les cyberrisques, le Conseil fédéral a retenu le principe de la responsabilité des exploitants d’infrastructures critiques pour leurs mesures de sécurité: ils répondent de leur propre sécurité, y compris pour les cyberrisques. Néanmoins, la Confédération leur apporte un soutien pour garantir que les défaillances des réseaux et des systèmes de même que leur utilisation abusive restent rares, de courte durée et maîtrisables, et que les dommages causés soient faibles. Cet appui dans le domaine de la sécurité de l’information comprend l’identification et l’appréciation précoces des menaces, dangers, faiblesses et lacunes en matière de sécurité, la détection des incidents, le maintien et le rétablissement de la sécurité de l’information après un incident et l’analyse a posteriori des incidents.

Non. Contrairement à la réglementation européenne ou à la législation allemande, la loi sur la sécurité de l’information n’impose aucune norme aux exploitants d’infrastructures critiques. Le recours aux prestations d’appui de la Confédération est facultatif. La loi sur la sécurité de l’information ne règle que les modalités du soutien, car dans ce cadre, des données personnelles particulièrement sensibles peuvent être échangées, raison pour laquelle leur traitement doit être prévu dans une loi.

Organisation

Oui et non. L’administration fédérale dispose déjà de nombreux organes spécialisés, qui n’assument toutefois que des tâches sectorielles en matière de sécurité de l’information: gestion des risques, protection des informations classifiées, sécurité informatique, contrôles de sécurité relatifs aux personnes, protection des données, etc. Cette orientation sectorielle n’est plus efficace, raison pour laquelle la loi sur la sécurité de l’information regroupe certains organes existants. La loi définit les organes spécialisés suivants:

 

  • Préposés à la sécurité de l’information: chaque autorité et les départements doivent désigner un préposé à la sécurité de l’information. Sur mandat de leur autorité, cette personne et son suppléant pilotent et contrôlent dans leur domaine de compétences la mise en œuvre de la sécurité de l’information. Ce nouveau rôle regroupe des attributions existantes.
  • Conférence des préposés à la sécurité de l’information: elle veille à une mise en œuvre transversale et uniforme de la loi. Elle participe à la normalisation. Les cantons et d’autres domaines spécialisés y sont représentés. La conférence remplace des organes existants, mais se voit également confier de nouvelles tâches et compétences.
  • Service spécialisé de la Confédération pour la sécurité de l’information: il joue un rôle central dans l’exécution de la loi. Bien qu’il ne dispose d’aucune compétence d’édicter des directives pour les autres autorités fédérales, il pilote sur mandat du Conseil fédéral la sécurité de l’information dans l’administration fédérale et l’armée. Ce faisant, il gère non seulement la sécurité de l’information au sens étroit, mais également le recours aux contrôles de sécurité relatifs aux personnes et aux procédures de sécurité relatives aux entreprises. Il regroupe des organes spécialisés de la Confédération et se voit également confier de nouvelles tâches et compétences.
  • Les services spécialisés pour les contrôles de sécurité relatifs aux personnes restent les mêmes que dans le droit en vigueur: un service auprès du Département fédéral de la défense, de la protection de la population et des sports, et un autre auprès de la Chancellerie fédérale.

 

Le service spécialisé de la Confédération pour la sécurité de l’information est un organe du Conseil fédéral. Pour ménager leur autonomie et leur indépendance, les autres autorités fédérales (Parlement, tribunaux fédéraux, Banque nationale, etc.) ne veulent ni directives du Conseil fédéral, ni organe disposant de compétences d’exécution, ce qui correspond aussi à l’esprit de la stratégie nationale de protection de la Suisse contre les cyberrisques.

Étapes majeures

Plan des étapes majeures

Etat octobre 2018
Étape Date
Débats parlementaires 2017–2019
Approbation du message concernant la loi sur la sécurité de l’information 22 février 2017
Mandat concernant la création d’une base légale pour l’IAM de la Confédération 14 janvier 2015
Prise de connaissance par le Conseil fédéral du rapport sur la consultation et mandat relatif à la suite des opérations 5 novembre 2014
Ouverture de la procédure de consultation relative à l’avant-projet 26 mars 2014
Élargissement du mandat du Conseil fédéral à la sécurité de l’information 30 novembre 2011
Mandat de base du Conseil fédéral: création d’une base légale formelle pour la protection des informations 12 mai 2010

Communiqués

Articles


Documents

Tous