La Suisse serre la vis en matière de sécurité informatique et oblige désormais les entreprises à signaler tout hacking. Pour le moment, il n’est pas obligatoire d’annoncer les vulnérabilités des équipements informatiques
La Suisse doit renforcer sa capacité de résistance aux cyberattaques. Celles-ci devront obligatoirement être signalées, mais pas les vulnérabilités. Le National a rejoint jeudi par 98 voix contre 59 le Conseil des Etats sur ce dernier point, au grand dam de la gauche et de quelques élus PVL. Les deux Chambres s’étaient déjà accordées pour que la Suisse renforce sa capacité de résistance aux cyberattaques. Un signalement sera obligatoire si une cyberattaque grave met en péril le fonctionnement de l’infrastructure critique touchée.
La Chambre du peuple voulait également étendre l’obligation d’annonce aux vulnérabilités des équipements informatiques sous conditions, mais celle des cantons n’en a pas voulu. Le National a finalement plié. Il est trop tôt pour passer à une telle obligation, une période d’observation est nécessaire, a concédé François Pointet (PVL/VD) pour la commission. Cela va trop loin alors que les infrastructures concernées n’ont pas pu se prononcer sur ce point, a complété David Zuberbühler (UDC/AR).
Il faut travailler ensemble avec le monde de l’économie, a abondé la ministre de la défense Viola Amherd. Une telle obligation affaiblirait cette collaboration basée sur la confiance. Et de plaider pour des annonces sur une base volontaire en premier lieu. Les vulnérabilités sont au cœur du problème, si elles ne sont pas corrigées, c’est une porte ouverte aux cyberattaques, a contré Fabien Fivaz (Vert·e·s/NE). «C’est un compromis du compromis, seules les vulnérabilités critiques doivent être signalées lorsqu’elles concernent des éléments essentiels», a-t-il déclaré. En vain.