(ats) La Suisse doit renforcer sa capacité de résistance aux cyberattaques. Le Parlement s'est accordé sur ce point. Mais, contrairement au National, le Conseil des Etats ne veut pas étendre l'obligation de signalement aux vulnérabilités des systèmes informatiques. Il a maintenu mardi sa position.

Les deux Chambres s'accordent pour que la Suisse renforce sa capacité de résistance aux cyberattaques. Un signalement sera obligatoire si une cyberattaque grave met en péril le fonctionnement de l'infrastructure critique touchée.

La Chambre du peuple voulait également étendre l'obligation d'annonce aux vulnérabilités des équipements informatiques, mais celle des cantons n'en a pas voulu. Le National a ensuite proposé, à titre de compromis, de restreindre cette obligation de signalement en excluant les vulnérabilités résultant de développements internes de l'entreprise concernée.

"Les cyberattaques de demain"

Mathias Zopfi (Vert-e-s/GL) voulait suivre ce compromis tout en allant plus loin. Il proposait d'exclure aussi les vulnérabilités résultant de développements réalisés par des tiers pour le compte de l'entreprise concernée. Il voulait aussi préciser qu'une vulnérabilité doit être signalée quand elle présente un degré de gravité critique.

Alors que le Parlement est d'avis que le signalement d'une cyberattaque doit avoir lieu dans les 24 heures suivant la détection, le délai pour l'annonce d'une vulnérabilité doit se monter à sept jours, a encore ajouté M. Zopfi. Cette annonce peut être anonyme. Les infrastructures critiques ne devraient pas chercher les vulnérabilités mais seulement les signaler quand elles ont été détectées, a-t-il précisé.

"Les vulnérabilités d'aujourd'hui sont les cyberattaques de demain", a appuyé Charles Juillard (Centre/JU), parlant de "prévention" et d'"anticipation". Les sénateurs n'ont rien voulu savoir, par 32 voix contre 12, au grand dam de la gauche et du centriste jurassien.

Trop grande charge administrative

Les vulnérabilités ne sont pas comparables entre les différentes infrastructures informatiques, a avancé Andrea Gmür-Schönenberger (Centre/LU) pour la commission. Et de craindre une trop grande charge administrative et un système qui se verrait affaibli plutôt que renforcé.

C'est disproportionné, a soutenu Hans Wicki (PLR/NW). La ministre de la défense Viola Amherd a plaidé pour une annonce de vulnérabilité sur une base volontaire avant d'inscrire une obligation dans la loi.

Le dossier retourne au National.