Cybersécurité: le Conseil fédéral gaspille ses compétences

Il y a un an, la promesse était claire : le gouvernement fédéral souhaitait utiliser des synergies et unir ses forces dans le domaine de la cybersécurité. Avec ça expliquait début décembre la conseillère fédérale Viola Amherd, pourquoi le nouvel Office fédéral de la cybersécurité (BACS) arrive au ministère de la Défense.

Le BACS est maintenant sur le point de démarrer. Le 1er janvier, le nouvel Office fédéral naîtra de l’actuel Centre national pour la cybersécurité (NCSC). L’actuel délégué à la cybersécurité, Florian Schütz, est aux commandes. Cependant, il ne reste plus grand-chose de la mise en commun des forces promise. Les compétences dans le domaine de la cybersécurité sont en outre divisées.

Le Conseil fédéral a décidé cette semaine de transférer la protection de l’administration fédérale contre les cyberattaques à un nouvel organe. Ce bureau spécialisé dans la sécurité de l’information fera partie du nouveau Secrétariat d’État à la politique de sécurité (Sepos), qui sera également créé au DDPS au début de l’année – mais qui est actuellement sans responsable.

La Confédération n’a pas encore suffisamment surveillé la sécurité informatique

Par exemple, l’office spécialisé est désormais chargé d’émettre les exigences techniques minimales en matière de sécurité informatique pour l’ensemble de l’administration fédérale. Il doit également approuver des exceptions ou organiser des contrôles. Aujourd’hui, un département du NCSC s’occupe de ces tâches.

La raison de la nouvelle réorganisation de la sécurité informatique est une approche holistique. Les services spécialisés pour les contrôles de sécurité des personnes et la sécurité opérationnelle seront également implantés au Secrétariat d’État. Ils contrôlent les personnes autorisées à accéder à des informations classifiées ou les entreprises qui prennent des commandes sensibles pour le gouvernement fédéral.

Il existe aujourd’hui une lacune dans ce domaine, comme l’a montré le cas de la société informatique Xplain en juin. Les criminels ont volé des données de Xplain et les ont publiées sur le dark web. Cela comprenait également des informations sensibles provenant de l’administration fédérale, cliente de Xplain. Selon certaines informations, il y aurait des failles de sécurité dans les systèmes informatiques de Xplain. Contrôlé le gouvernement fédéral ne l’a jamais fait.

Le bureau spécialisé pour la sécurité de l’information s’occupera à l’avenir de la sécurité des fournisseurs. Cependant, il ne s’agit pas seulement de questions techniques liées à la sécurité informatique, mais aussi de précautions organisationnelles, par exemple.

La réorganisation limitera considérablement le champ d’action de l’Office fédéral de la cybersécurité. Il est uniquement chargé de protéger l’économie et en particulier les infrastructures critiques. L’élaboration laborieuse de spécifications internes et les tâches administratives sont supprimées, ce qui peut également présenter des avantages pour l’Office fédéral.

Dans le même temps, il n’existe plus de centre de compétence clair en matière de cybersécurité au sein de l’administration fédérale. La grande question est par exemple de savoir qui se manifestera auprès des médias en cas de cyberattaque contre la Confédération ou contre un fournisseur. Chez Xplain, c’était Schütz. À l’avenir, il pourrait peut-être s’agir du secrétaire d’État à la politique de sécurité – même si la sécurité informatique opérationnelle n’est pas le cœur de métier d’un diplomate comme Thomas Greminger. en tant que candidat au poste doré.

Les départements résistent aux exigences

Cette constellation soulève d’autres inquiétudes. Les exigences en matière de sécurité informatique se heurtent à plusieurs reprises à des résistances dans les départements et bureaux. Ensuite, vous avez besoin de quelqu’un pour travailler sur le sujet sec et technique au sein de l’administration. Un diplomate ayant rang de secrétaire d’État ne semble pas non plus particulièrement approprié ici. On craint donc que la nouvelle configuration n’augmente pas la sécurité informatique de l’administration fédérale.

Le ministère de la Défense est conscient que la mise en place de la nouvelle unité spécialisée prend du temps. Pendant un an et demi, la responsabilité de la protection de l’administration fédérale restera donc du ressort de l’Office fédéral de la cybersécurité. Mais cela signifie également que les autorités responsables doivent continuer à se concentrer fortement sur les questions d’organisation – au lieu de pouvoir finalement se concentrer sereinement sur l’amélioration de la sécurité informatique.

Pour le nouveau Secrétariat d’État, le nouveau bureau spécialisé pour la sécurité de l’information représente un nouvel écart par rapport à la tâche réelle. Officiellement, le nouveau secrétaire d’État est toujours responsable de la politique de sécurité. Mais la majorité des salariés seront confrontés à des problèmes de sécurité opérationnelle.

Le DDPS parle déjà d’un « Secrétariat d’Etat à la Sécurité ». Celui-ci devrait être le centre de compétence en matière de politique de sécurité et garantir une sécurité globale des informations pour la Confédération.