Lors de sa séance du 12 janvier 2022, le Conseil fédéral a ouvert la procédure de consultation sur le l’avant-projet de modification de la loi sur la sécurité de l’information relatif à l’introduction d’une obligation de signaler les cyberattaques contre les infrastructures critiques. Cet avant-projet crée les bases légales nécessaires à l’introduction de l’obligation de signalement et définit les tâches du Centre national pour la cybersécurité (NCSC), qu’il institue comme centrale de signalement des cyberattaques. La consultation durera jusqu’au 14 avril 2022.
Obligation de signalement pour les infrastructures critiques
Les exploitants d’infrastructures critiques en Suisse, c’est-à-dire les infrastructures pour approvisionnement en eau potable et en énergie, les infrastructures d’information, de communication et de transport ainsi que d’autres processus, systèmes et installations essentiels au fonctionnement de l’économie ou au bien-être de la population, ne sont actuellement pas tenus de signaler une éventuelle cyberattaque. Le signalement se fait sur une base volontaire.
L’avant-projet prévoit une obligation de signaler les cyberattaques au NCSC pour exploitants d’infrastructures critiques le plus rapidement possible après leur découverte. Ceci afin que le NCSC puisse reconnaître à temps les modèles d’attaque, avertir les personnes éventuellement concernées et leur recommander des mesures de prévention et de défense appropriées.
L’obligation de signalement pour les exploitants d’infrastructures critiques s’appliquera aux cyberattaques recelant un potentiel important de dommages. Il s’agit, en particulier, des attaques qui mettent en péril le bon fonctionnement des infrastructures critiques ou qui s’accompagnent d’actes de chantage, de menaces ou de contrainte. Le NCSC assumera le rôle de centrale de signalement.
Le NCSC mettra à disposition un formulaire de notification électronique. Cela permettra de saisir facilement les signalements et de les transmettre directement à d’autres services si on le souhaite.
Obligation de la Confédération d’apporter son soutien en cas de cyberattaque
L’avant-projet prévoit également de charger le NCSC de mettre en garde le public contre les cybermenaces et de le sensibiliser aux cyberrisques. Les exploitants d’infrastructures critiques, dont font partie les autorités cantonales et communales, doivent en outre soutenir le NCSC dans la gestion des cyberincidents.
Relation avec d’autres obligations d’annonce et échange d’informations entre les autorités
L’introduction de cette obligation de signaler les cyberattaques touche à des obligations d’annonce déjà existantes, telles que l’obligation d’annonce prévue à l’article 24 de la loi révisée sur la protection des données (LPD) en cas de violation de la sécurité des données personnelles. Car dans la pratique, il est fréquent que les cyberattaques entraînent des violations de la sécurité des données personnelles. Dans ce cas, l’obligation de signaler les cyberattaques ne remplace pas les obligations d’annonce, mais la complète.
Néanmoins, la charge de travail liée à l’exécution des différentes obligations de notification doit être maintenue au minimum. C’est pourquoi les personnes doivent avoir la possibilité de transmettre la notification de la cyberattaque à d’autres services en même temps qu’ils l’envoient au NCSC, afin de remplir d’autres obligations d’annonce. Inversement, le NCSC acceptera également les communications relatives à des cyberattaques qui ont été transmises dans le cadre d’une autre obligation d’annonce. Cela permettra d’éviter que les responsables concernées ne doivent déclarer le même incident à différents services par le biais de procédures différentes.
Modification de la loi révisée sur la protection des données
Afin que le Préposé fédéral à la protection des données et à la transparence (PFPDT) puisse faire appel aux spécialistes techniques du NCSC lors de l’analyse d’une violation de la sécurité des données l’art. 24, al. 5bis LPD sera révisée et reverra que le PFPDT peut transmettre la notification d’une violation de la sécurité des données au NCSC. La condition est que le responsable, qui est tenu d’informer le PFPDT, ait donné son accord préalable à la transmission. En outre, la transmission ne doit pas permettre de contourner l’art. 24, al. 6, LPD révisée, selon lequel la communication ne peut être utilisée dans le cadre d’une procédure pénale qu’avec l’accord de la personne soumise à l’obligation de communiquer.
Application de l’obligation de notification au moyen de sanctions
S’il devait y avoir une violation de l’obligation de signalement ou de fournir des informations, il est possible que le NCSC émette une décision assortie d’une menace d’amende en tant qu’ultima ratio. La limite supérieure de l’amende est de 100’000 francs (contrairement aux 250’000 francs de la révision de la LPD). Est punissable la personne physique qui, au sein de l’infrastructure critique, aurait dû veiller à ce que la décision du NCSC soit respectée (cf. article 29 du Code Pénal), une responsabilité pénale étant adressée à l’échelon de la direction des entreprises, c’est-à-dire aux personnes dirigeantes qui ont le pouvoir de décision et d’instruction. Comme dans la révision de la LPD, une imposition d’amendes aux entreprises a été ajoutée : Jusqu’à un montant de 20 000 francs, l’amende peut être infligée directement à l’infrastructure critique plutôt qu’à la personne physique responsable. Ceci afin d’éviter des enquêtes coûteuses.