(ats) Non seulement les cyberattaques mais aussi les vulnérabilités des systèmes informatiques doivent être obligatoirement signalées. Le National a maintenu lundi, par 102 voix contre 80, cette divergence dans ce projet gouvernemental visant à mieux signaler les incidents contre les infrastructures critiques.

Les deux Chambres s'accordent pour que la Suisse renforce sa capacité de résistance aux cyberattaques. Un signalement sera obligatoire si une cyberattaque grave met en péril le fonctionnement de l'infrastructure critique touchée.

La Chambre du peuple voulait également étendre l'obligation d'annonce aux vulnérabilités des équipements informatiques, mais celle des cantons n'en a pas voulu. Le National propose désormais, à titre de compromis, de restreindre cette obligation de signalement en excluant les vulnérabilités résultant de développements internes de l'entreprise concernée.

La sécurité informatique est l'affaire de toutes et tous, a avancé Fabien Fivaz (Vert-e-s/NE). Cet effort supplémentaire est justifié pour une meilleure sécurité, a abondé Ida Glanzmann-Hunkeler (Centre/LU). Il ne représente pas une augmentation inconsidérée des coûts, a relevé François Pointet (PVL/VD) pour la commission.

Les mesures prévues sont suffisantes, a opposé Doris Fiala (PLR/ZH). David Zuberbühler (UDC/AR) a rejeté une trop grande charge administrative pour les entreprises et l'Etat. La disposition n'est pas clairement définie et n'apporte pas assez de plus-value, selon la cheffe du Département fédéral de la défense Viola Amherd. Sans succès.

Guichet unique

Le Centre national pour la cybersécurité (NCSC), créé en 2019, devra fonctionner comme guichet unique pour les annonces de cyberattaques. Afin que les signalements soient aussi simples que possible, il mettra à disposition un formulaire électronique qui pourra être rempli facilement. Pour garantir une alerte précoce, le signalement devra être fait dans les 24 heures suivant la détection de la cyberattaque ou de la vulnérabilité numérique.

En outre, le NCSC devra offrir une évaluation technique et apporter un soutien subsidiaire dans la gestion de l'attaque, comme un "premier secours". Si un exploitant enfreint l'obligation d'annonce, il est passible d'une amende de 100'000 francs au maximum.

Les domaines d'activité soumis à l'obligation d'annoncer sont vastes. Par infrastructures critiques, le projet liste les autorités, les hôpitaux, les entreprises actives dans l'énergie, les hautes écoles, les organisations ayant des tâches publiques (sauvetage, traitement des eaux), les banques et les assurances.

Il y a aussi les services informatiques et de télécommunications, la SSR et les agences de presse, les fournisseurs de médicaments, les services postaux et les transports publics, l'aviation, l'approvisionnement en biens alimentaires, les registres de domaines Internet, ainsi que les services numériques et fabricants informatiques.

Le dossier retourne au Conseil des Etats.