Sécurité dans les acquisitions de la Confédération : le SEPOS présente des mesures

Le Conseil fédéral a chargé le Secrétariat d’État à la politique de la sécurité (SEPOS) d’établir un état des lieux sur la sécurité de la chaîne d’approvisionnement au regard de la loi sur la sécurité de l’information. Le service spécialisé de la Confédération pour la sécurité de l’information, rattaché au SEPOS, présente aujourd’hui son rapport, élaboré par un groupe de travail composé de services d’achat et d’offices issus de différents départements.

La sécurité de l’information commence dès l’attribution d’un mandat à un prestataire externe

Le rapport montre que la sécurité de l’information chez les fournisseurs ne commence pas avec le contrat, mais en amont, lors de l’évaluation des besoins. Le service demandeur, c’est-à-dire le service administratif qui a besoin d’un service ou d’un produit, fixe à un stade précoce les exigences en matière de sécurité. Le service d’achat, responsable de la mise en œuvre de la procédure d’acquisition, veille à ce que ces exigences se reflètent dans les documents d’appel d’offres. Si la sécurité de l’information n’est pas réglée dès le départ, il sera difficile, voire impossible, de rattraper ce retard sans frais supplémentaires. Une coordination étroite entre le service demandeur et le service d’achat s’impose à cet égard.

Les moyens à disposition pour garantir la surveillance, qui sont limités, doivent avoir le plus grand effet possible. Il faut donc concentrer les contrôles sur les domaines où les risques pour la Suisse sont les plus élevés. Lorsque les risques sont moindres, les contrôles doivent être réduits autant que possible.

Des instruments appropriés pour vérifier la sécurité de l’information

À cette fin, le rapport énumère des instruments de surveillance éprouvés dans la pratique et les évalue en fonction de l’atteinte aux droits du fournisseur et de la charge qu’ils représentent pour la Confédération. Ces instruments vont des autodéclarations des fournisseurs aux contrôles ou audits effectués par la Confédération, en passant par l’exigence de systèmes de management de la sécurité de l’information certifiés et actualisés en permanence chez les fournisseurs.

Le rapport montre en outre que la sécurité de l’information ne doit pas se limiter au fournisseur qui a remporté le marché. Derrière la fourniture d’un service public se cachent souvent des chaînes d’approvisionnement longues et ramifiées, dont les origines se trouvent souvent au-delà des frontières nationales. Les exigences en matière de sécurité doivent être prises en compte pour l’ensemble de la chaîne d’approvisionnement derrière toute prestation contractuelle.

Le service spécialisé de la Confédération pour la sécurité de l’information

Le service spécialisé de la Confédération pour la sécurité de l’information propose dans ce rapport des mesures aux autorités et aux organisations fédérales leur permettant de surveiller leurs fournisseurs de manière efficace, économique et fondée sur les risques, dans le respect des principes de l’État de droit et en utilisant leur marge d’appréciation. Le service spécialisé de la Confédération pour la sécurité de l’information est l’organe de la Confédération chargé de fixer les exigences et de surveiller la sécurité de l’ensemble du système « Confédération », y compris les entreprises qui exécutent des mandats de la Confédération. Il est également chargé de piloter de manière uniforme la sécurité de l’information au sein de la Confédération. Outre le conseil et le soutien aux autorités et organisations fédérales, il peut également procéder à des évaluations juridiques ou techniques dans le cadre de projets importants de la Confédération, comme il le fait dans le présent rapport.

• Communiqué de presse du 1^er mai 2024 : Clôture de l’enquête administrative concernant la cyberattaque contre Xplain SA : le Conseil fédéral adopte des mesures