Cy­ber­risques: ap­por­ter une ré­ponse com­mune aux risques

Positions16 septembre 2019

Le Conseil fédéral entend lutter activement contre les cyberrisques et prendre les mesures qui s'imposent afin de préserver la sécurité nationale des menaces venant du cyberespace. A cet effet, il a adopté le 18 avril 2018 la nouvelle Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC 2.0) pour les années 2018 à 2022. La stratégie définit sept objectifs devant être atteints au travers de dix champs d’action.

L’ASA soutient les sept objectifs stratégiques de la SNPC 2.0.

Exposé de la situation

La stratégie repose sur les travaux réalisés dans le cadre de la première stratégie (qui concernait les années 2012 à 2017) en l'étendant si nécessaire et en la complétant par de nouvelles mesures afin qu'elle réponde aux menaces actuelles. Élaborée ces derniers mois en collaboration avec les milieux économiques, les cantons et les hautes écoles, cette deuxième SNPC constitue la base permettant les efforts communs requis afin de réduire les cyberrisques. Le plan de mise en œuvre doit être soumis au Conseil fédéral pour approbation en 2019.

En parallèle, le secteur de l’assurance a rédigé un document de principe et une prise de position sur les cyberrisques dans lequel il présente un catalogue de mesures pour la branche et les politiques. Par ces mesures, il s’agit de renforcer la protection contre les cyberrisques.

Objectifs stratégiques pertinents et importants

L’Association Suisse d’Assurances soutient les sept objectifs stratégiques de la SNPC. Les trois objectifs suivants sont particulièrement importants à nos yeux.

  • La Suisse élabore des mesures efficaces de réduction des cyberrisques et les met en œuvre dans le cadre de la prévention.
  • La protection de la Suisse contre les cyberrisques est perçue comme une tâche commune de la société, des milieux économiques et de l’État; les responsabilités et compétences respectives sont clairement définies et sont assumées par toutes les parties prenantes.
  • La Suisse tire des leçons des cyberincidents survenus en Suisse et à l’étranger. Ceux-ci sont soigneusement analysés, et des mesures appropriées sont prises sur la base des constats dressés.

Nous prenons acte avec plaisir du fait que le Conseil fédéral s’adresse explicitement aux acteurs économiques. L'instauration de conditions d’exercice les plus sûres possibles pour les entreprises en Suisse est une condition préalable à la compétitivité de l’économie suisse. Nous saluons le soutien ciblé ainsi apporté subsidiairement aux offres existant sur le marché en matière de lutte contre les cyberrisques.

Mesures communes

Parmi l’ensemble des mesures identifiées par la Confédération, les quatre suivantes se prêtent particulièrement bien à une mise en œuvre commune:

  • définition et introduction de normes minimales,
  • examen d’une obligation de notifier les cyberincidents et décision quant à son introduction,
  • offre par la Confédération de services destinés à tous les types d’entreprises (par ex. conseils, renseignements, etc.),
  • sensibilisation du public aux cyberrisques (awareness).

Ces quatre mesures figurent déjà dans le document de principe et la position de l’ASA. Nous saluons aussi les mesures suivantes qui sont également importantes pour l’économie:

  • Détection précoce des tendances ou technologies et acquisition des connaissances utiles ainsi que communication des résultats obtenus aux acteurs scientifiques, économiques, politiques et sociaux.
  • La mise à disposition des découvertes faites sur la situation de la menace qui ne seront plus réservées aux autorités et aux exploitants d’infrastructures critiques, mais seront également mises à la disposition, sous une forme adéquate, d’autres entreprises suisses ainsi que de la population.

Des mesures complémentaires sont nécessaires

Pour l’essentiel, les mesures prônées par l’ASA dans son document de principe sont reprises dans la stratégie fédérale. Or, d’autres mesures encore seraient importantes pour les assureurs:

  • Il faut introduire ou optimiser la gestion de la résilience au niveau de l’entreprise, en particulier dans un souci de prévenir le risque économique d’accumulation et, par voie de conséquence, de préserver l’assurabilité future des cyberrisques.
  • Une coopération s’impose à l’échelle nationale comme internationale (par ex. statistique commune sur les dommages, gestion de crise bien organisée, identification des menaces, poursuite pénale, etc.), y compris dans le secteur de l'assurance.
  • L’industrie de l’assurance doit promouvoir le rassemblement de connaissances dans le domaine du cyberconseil et du règlement des dommages.

Collaboration requise pour la mise en œuvre

La Confédération élabore actuellement un plan de mise en œuvre. Concernant les mesures ressortant à la fois de la SNPC 2.0 et du document de principe, l’ASA collabore activement avec la Confédération et veille à défendre les intérêts de l’industrie de l’assurance. Pour certaines thématiques, la collaboration est également étendue aux associations nationales et internationales ayant la même vision.