« Il faut rendre l’annonce de piratage obligatoire »

Votre motion, déposée à la fin de l’an dernier après une série d’attaques informatiques contre des communes, des institutions et des entreprises, a été transmise en commission. Est-ce un bon ou un mauvais signe ?

C’est un bon signe. Actuellement, seules les infrastructures critiques font l’objet d’une protection fédérale contre les cyberattaques. Je demandais l’extension de cette protection aux Cantons, aux Communes et aux petites et moyennes entreprises. Le cambriolage numérique et le vol de données, même dans le cadre privé d’une PME, sont parfois d’importance nationale et peuvent mettre à mal la sécurité des citoyens. Je vous donne un exemple qui s’est passé chez nos voisins français : des informations sensibles sur le dossier Charlie Hebdo se sont retrouvées sur le dark web. Cela incite à prendre des mesures tant qu’il est encore temps.

Jugez-vous la situation actuelle alarmante ?

Elle l’est et c’est la raison pour laquelle la commission compétente doit prendre en main cette question au plus vite. L’un des freins actuels étant l’isolement des entreprises concernées, nous pouvons saisir l’occasion qu’offre la révision de la loi fédérale sur la sécurité de l’information pour, notamment, rendre l’annonce de piratage obligatoire. Cela ne signifie pas la publication de cette dernière, mais un signalement aux services de police pour que les victimes soient soutenues. Pour lutter efficacement contre les hackers, il est nécessaire d’avoir le plus d’informations possible. Le Centre national pour la cybersécurité (NCSC) doit également en être conscient afin d’étendre ses prestations et conseiller au mieux les pouvoirs publics et les entreprises.

La création d’un Secrétariat d’État à la cybersécurité vous paraît-elle une bonne idée ?

Davantage que le nom ou le statut, c’est la mission et l’organisation qui comptent. Le développement de la protection doit être coordonné et les prestations doivent découler de synergies entre les Communes, les Cantons et la Confédération, entre les secteurs privés et publics et les différents offices fédéraux. Nous avons dans ce pays suffisamment de gens compétents pour développer une protection efficace afin d’anticiper les menaces. Une clarification me semble essentielle quand on parle du rôle de l’État qui est chargé de la protection des citoyens et doit la garantir. Cela ne signifie pas que la Confédération doit tout financer. Certaines prestations, par exemple fournies aux entreprises, aux Communes ou aux Cantons, peuvent être payantes.

Justement, les grands groupes passent pour être mieux protégés grâce à leurs propres dispositifs que les administrations et les services publics. Ne devrait-on pas les laisser faire ?

Vu l’actualité, il ne semble pas y avoir de système sans faille. Certes, certaines entreprises sont conscientes des risques et prennent toutes les précautions possibles, mais ce n’est pas le cas de toutes celles qui détiennent des données privées, voire sensibles, de leurs clients. Pour ma part, je comprends bien que personne n’ait envie de rendre public un vol de données, mais une annonce à la police (qui ne signifie pas qu’elle est rendue publique) est nécessaire si on veut pouvoir anticiper d’autres attaques et adapter la protection à l’évolution des techniques utilisées par les hackers.

À lire aussi