Sécurité informatique: nouveau processus de protection contre l’espionnage
Berne, 01.07.2015 - Lors de sa séance d’aujourd’hui, le Conseil fédéral a approuvé la révision des directives concernant la sécurité informatique dans l’administration fédérale. Un processus d’audit sera désormais appliqué dans le cadre des achats de prestations informatiques par l’administration fédérale. Le but est de réduire le risque d’une instrumentalisation à des fins d’espionnage de fournisseurs de prestations informatiques par des services de renseignement étrangers. Les nouvelles directives entreront en vigueur le 1er janvier 2016.
Les services de renseignement de plusieurs Etats mettent en œuvre une stratégie globale visant la collecte de renseignements. Ils peuvent contraindre les entreprises informatiques de leur pays à enfreindre les obligations de confidentialité fixées par contrat et prescrites par la loi. Compte tenu de cette menace, les entreprises informatiques dont le siège n’est pas situé en Suisse ou dont la dépendance vis-à-vis de l’étranger représente un danger ne peuvent plus, comme jusqu’ici, être considérées comme des partenaires fiables. Elles devront désormais faire l’objet d’un examen approfondi et pourront même, si nécessaire, être totalement exclues du marché si les prestations à acquérir revêtent une importance vitale.
Inscription des processus d’audit dans les directives concernant la sécurité informatique
Dans ce contexte, le Conseil fédéral a donc chargé, le 29 janvier 2014, le Département fédéral des finances (DFF) d’élaborer, en collaboration avec les autres départements et la Chancellerie fédérale, des principes applicables à l’administration fédérale en matière de fourniture de prestations informatiques, d’analyser le besoin de protection contre les fournisseurs qui pourraient être instrumentalisés par des services de renseignement étrangers, de définir d’éventuelles mesures de protection et d’intégrer de telles mesures dans les procédures d’acquisition. Au sein du DFF, l’Unité de pilotage informatique de la Confédération (UPIC) a mis au point un processus d’audit pour atteindre ces objectifs. Conçu comme une nouvelle prescription de sécurité, ce processus sera intégré dans les directives concernant la sécurité informatique dans l’administration fédérale et appliqué dès le 1er janvier 2016.
Examen d’éventuelles mesures relevant du droit des marchés publics
Le processus d’audit définit des critères qui permettent de déterminer quelles acquisitions de prestations informatiques présentent des risques. Il fixe également les modalités d’application des mesures de protection techniques et organisationnelles dont la mise en œuvre pose problème au regard du droit des marchés publics. En outre, le Conseil fédéral a chargé l’Office fédéral des constructions et de la logistique (OFCL) d’examiner, dans le cadre de la révision de la loi fédérale sur les marchés publics (LMP), l’opportunité d’instaurer un régime d’exception pour l’acquisition, par la Confédération et dans le domaine civil, de prestations informatiques d’importance vitale. Un tel régime d’exception devra prendre en compte les possibilités d’assurer la protection de l’Etat, comme le prévoit l’accord international sur les marchés publics.
Adresse pour l'envoi de questions
Roland Meier, porte-parole du DFF
tél. +41 58 462 60 86, roland.meier@gs-efd.admin.ch
Documents
Auteur
Conseil fédéral
https://www.admin.ch/gov/fr/accueil.html
Département fédéral des finances
http://www.dff.admin.ch
