(ats) La Suisse doit renforcer sa capacité de résistance aux cyberattaques. Après le National, le Conseil des Etats a approuvé jeudi à l'unanimité l'obligation de signaler des incidents contre les infrastructures critiques. Le projet ne doit toutefois pas être étendu aux vulnérabilités des systèmes informatiques.

Les cyberattaques sont devenues l'une des principales menaces pour la sécurité et l'économie de la Suisse. Entre 2020 et 2022, leur nombre a triplé, passant de près de 11'000 à plus de 34'000. Elles touchent indifféremment des entreprises comme des administrations publiques.

Actuellement, iI manque une vue d'ensemble, car les signalements au Centre national pour la cybersécurité (NCSC) se font sur une base volontaire. Une obligation de signaler permettra de connaître rapidement les nouveaux modes opératoires, a indiqué la ministre de la défense Viola Amherd. "Il s'agit de renforcer l'échange d'informations."

Le signalement sera obligatoire si une cyberattaque grave met en péril le fonctionnement de l'infrastructure critique touchée. Le National a étendu cette obligation d'annonce aux vulnérabilités des équipements informatiques.

Le Conseil des Etats n'a pas suivi, par 31 voix contre 13. Cette disposition n'est pas assez précise et amènerait davantage de charge administrative, a estimé Hans Wicki (PLR/NW). Seulement la gauche et quelques centristes ne l'ont pas entendu.

Le NCSC guichet unique

Le Ncsc, créé en 2019, devra fonctionner comme guichet unique pour les annonces de cyberattaques. Afin que les signalements soient aussi simples que possible, il mettra à disposition un formulaire électronique qui pourra être rempli facilement.

En outre, le NCSC devra offrir une évaluation technique et apporter un soutien subsidiaire dans la gestion de l'attaque, comme un "premier secours". Si un exploitant enfreint l'obligation d'annonce, il est passible d'une amende de 100'000 francs au maximum. Cette disposition est prévue seulement si une entreprise refuse activement de signaler un problème grave.

Pour garantir une alerte précoce, le signalement devra être fait dans les 24 heures suivant la détection de la cyberattaque ou de la vulnérabilité numérique, a précisé Andrea Gmür-Schönenberger (Centre/LU).

Centrales nucléaires, transports, hôpitaux

Les domaines d'activité soumis à l'obligation d'annoncer sont vastes. Par infrastructures critiques, le projet liste les autorités, les hôpitaux, les entreprises actives dans l'énergie, les hautes écoles, les organisations ayant des tâches publiques (sauvetage, traitement des eaux), les banques et les assurances.

Il y a aussi les services informatiques et de télécommunications, la SSR et les agences de presse, les fournisseurs de médicaments, les services postaux et les transports publics, l'aviation, l'approvisionnement en biens alimentaires, les registres de domaines Internet, les services numériques et fabricants informatiques.

Le dossier retourne au National.