(ats) La Suisse doit renforcer sa capacité de résistance aux cyberattaques. Celles-ci devront obligatoirement être signalées, mais pas les vulnérabilités. Le National a rejoint jeudi par 98 voix contre 59 le Conseil des Etats sur ce dernier point, au grand dam de la gauche et de quelques élus PVL.

Les deux Chambres s'étaient déjà accordées pour que la Suisse renforce sa capacité de résistance aux cyberattaques. Un signalement sera obligatoire si une cyberattaque grave met en péril le fonctionnement de l'infrastructure critique touchée.

La Chambre du peuple voulait également étendre l'obligation d'annonce aux vulnérabilités des équipements informatiques sous conditions, mais celle des cantons n'en a pas voulu.

Le National a finalement plié. Il est trop tôt pour passer à une telle obligation, une période d'observation est nécessaire, a concédé François Pointet (PVL/VD) pour la commission. Cela va trop loin alors que les infrastructures concernées n'ont pas pu se prononcer sur ce point, a complété David Zuberbühler (UDC/AR).

Il faut travailler ensemble avec le monde de l'économie, a abondé la ministre de la défense Viola Amherd. Une telle obligation affaiblirait cette collaboration basée sur la confiance. Et de plaider pour des annonces sur une base volontaire en premier lieu.

Les vulnérabilités sont au coeur du problème, si elles ne sont pas corrigées, c'est une porte ouverte aux cyberattaques, a contré Fabien Fivaz (Vert-e-s/NE). "C'est un compromis du compromis, seules les vulnérabilités critiques doivent être signalées lorsqu'elles concernent des éléments essentiels", a-t-il déclaré. En vain.

Le NCSC guichet unique

Le Ncsc, créé en 2019, devra fonctionner comme guichet unique pour les annonces de cyberattaques. Afin que les signalements soient aussi simples que possible, il mettra à disposition un formulaire électronique qui pourra être rempli facilement.

En outre, le NCSC devra offrir une évaluation technique et apporter un soutien subsidiaire dans la gestion de l'attaque, comme un "premier secours". Si un exploitant enfreint l'obligation d'annonce, il est passible d'une amende de 100'000 francs au maximum. Cette disposition est prévue seulement si une entreprise refuse activement de signaler un problème grave.

Pour garantir une alerte précoce, le signalement devra être fait dans les 24 heures suivant la détection de la cyberattaque ou de la vulnérabilité numérique.

Centrales nucléaires, transports, hôpitaux

Les domaines d'activité soumis à l'obligation d'annoncer sont vastes. Par infrastructures critiques, le projet liste les autorités, les hôpitaux, les entreprises actives dans l'énergie, les hautes écoles, les organisations ayant des tâches publiques (sauvetage, traitement des eaux), les banques et les assurances.

Il y a aussi les services informatiques et de télécommunications, la SSR et les agences de presse, les fournisseurs de médicaments, les services postaux et les transports publics, l'aviation, l'approvisionnement en biens alimentaires, les registres de domaines Internet, les services numériques et fabricants informatiques.