Le Conseil fédéral veut obliger les infrastructures critiques à signaler les cyberattaques
Le Conseil fédéral a proposé un projet de loi obligeant les infrastructures critiques du pays à signaler les cyberattaques dont elles sont victimes. Les partis ont jusqu'au 14 avril pour se prononcer. La définition des infrastructures qui seraient soumises à cette nouvelles règle ne fait pas l'unanimité. Pour certains, elle est considérée comme trop large alors que d'autres l'estiment parfaitement calibrée.
Selon le projet de loi, les hôpitaux, les entreprises de communication, les centrales électriques, mais aussi le commerce de détail, les laboratoires médicaux, les hautes écoles ou encore les assurances sociales devraient annoncer tous les incidents dus à une cyberattaque.
Une obligation qui va trop loin
Pour la conseillère nationale Judith Bellaïche (Vert'libéral/ZH), interrogée dans La Matinale de lundi, il ne faut pas aller trop loin: "Je trouve qu'un privé et ainsi une société privée qui n'a pas de fonction publique devrait avoir le droit de garder les attaques pour lui. C'est la même chose si je perds ma carte de crédit ou si je me fais cambrioler, je ne suis pas obligée d'annoncer cela à la police. Une obligation irait trop loin."
En revanche, pour la conseillère nationale Doris Fiala (PLR/ZH), il est tout à fait normal d'inclure autant d'entités: "Si on est victime d'une attaque, il est très important que l'Etat le sache. Il faut arrêter d'avoir une gêne. Je pense qu'il faut lutter ensemble et c'est pour ça que je ne peux qu'encourager le Conseil fédéral à faire cette obligation."
Ce dernier avis est partagé par la gauche. Ainsi, "même si la question se pose de savoir ce qu'est une infrastructure critique, cette notion doit être comprise au sens large", a expliqué le conseiller national Gerhard Andrey (Vert/FR). "On pense d'abord aux centrales électriques et aux hôpitaux mais un simple cabinet médical peut aussi être critique comme l'a montré l'incident à Neuchâtel la semaine dernière. Il ne faut pas essayer d'obliger toutes les entreprises suisses, car c'est impossible, mais il faut toutes les sensibiliser."
>> Lire : Des milliers de données médicales neuchâteloises publiées sur le darkweb
Quant aux milieux économiques, ils n'ont pas encore arrêté leur position. Mais tout laisse à penser que le champ d'application de cette obligation d'annonce pourrait ne pas leur convenir.
mm/lan