Point séance
Séance du Grand Conseil du mardi 21 mars 2023, point 40 de l'ordre du jour
Texte déposé
La liste des communes victimes de piratage informatique s'allonge. En 2018, je déposais une interpellation demandant au Conseil d'Etat comment il compte protéger ses collaborateurs, sa population et ses services des attaques informatiques. L'expérience acquise depuis démontre que les communes sont aujourd'hui les principales victimes.
Si le canton est bien préparé, les difficultés financières de certaines communes les empêchent de procéder aux investissements nécessaires. Les conséquences en cas de piratage sont profondes :
Des données communales confidentielles sont publiées, entraînant avec elles les données personnelles de citoyennes et citoyens. En prime, les élus se retrouvent propulsés à la tête d'une importante gestion de crise.
Outre l'aspect technique, le coût de la gestion de l'incident se reporte également sur le canton, qui est appelé à l'aide.
Cette situation ne peut plus durer, une action est impérative afin que les communes se protègent et que cette série noire cesse.
Ainsi, le groupe UDC vous propose que le canton incite financièrement les communes à se doter d'un label de cybersécurité et ainsi puissent moderniser leurs infrastructures en conséquence, grâce à l'introduction de la subvention suivante :
Jusqu'au 31.12.2023, les communes qui ont entrepris par le passé ou vont entreprendre l'obtention d'un label de cybersécurité peuvent obtenir une subvention unique de 10.- par habitant.
Conclusion
Prise en considération immédiate et renvoi au CE
Liste exhaustive des cosignataires
| Signataire | Parti |
|---|---|
| Nicolas Glauser | UDC |
| Sacha Soldini | UDC |
| José Durussel | UDC |
| Yvan Pahud | UDC |
| Werner Riesen | UDC |
| Jean-Marc Sordet | UDC |
| Fabien Deillon | UDC |
| Pierre-André Pernoud | UDC |
| Cédric Weissert | UDC |
| Claude Matter | PLR |
| Céline Baux | UDC |
| Nicolas Bolay | UDC |
| Aliette Rey-Marion | UDC |
| Maurice Treboux | UDC |
| Pierre-Alain Favrod | UDC |
| Dylan Karlen | UDC |
| Sylvain Freymond | UDC |
| Guy Gaudard | PLR |
| Jérôme Christen | LIBRE |
| Philippe Jobin | UDC |
Documents
Rapport de la CTSI-21_MOT_23-M. Neyroud
Transcriptions
Visionner le débat de ce point à l'ordre du jourC’est toujours la même commission, soit la CTSI de la dernière législature, qui s’est réunie le 1er mars dernier pour étudier la motion de Yann Glayre au nom du groupe UDC. Cette motion demande que le canton apporte une aide financière aux communes pour les inciter à se doter d’un label de cybersécurité et les pousser à sécuriser leurs infrastructures informatiques. Cette demande s’appuie sur le fait que les communes sont aujourd’hui souvent victimes de piratage informatique et sont, selon le motionnaire, parfois en difficulté financière, ce qui les empêche de procéder aux investissements nécessaires à la sécurité. Par la voix de Mme la conseillère d’Etat Nuria Gorrite, le Conseil d’Etat est conscient des attaques et des risques encourus par les communes.
La Direction générale du numérique et des systèmes d’information (DGNSI) a mis en place depuis plusieurs années des mesures importantes en matière de sécurité des données pour le canton, ceci en collaboration avec les instances fédérales et les faîtières des entreprises. Une campagne de sensibilisation a été mise en place. Par la DGNSI, le canton a agi en urgence sur plusieurs fronts lors de chaque attaque subie par les communes et les a aidées à isoler les réseaux, à rétablir leur système d’information, les a conseillées en matière de communication et les a aidées dans le choix d’un partenaire privé pour mettre à niveau leur système de sécurité. Le fait est que le Security Operations Center (SOC) dispose de cinq collaborateurs et n’a, par conséquent, pas les ressources nécessaires en cas de fortes demandes, par exemple si plusieurs communes venaient à être piratées en même temps. Le Canton collabore déjà beaucoup avec les communes et met à disposition des compétences, du savoir-faire, et des bonnes pratiques en matière de sécurité, notamment via le site internet www.vd.ch. Le Canton propose aux communes des solutions d’aide et de suivi pour les accompagner et les aider dans la phase d’identification et de réduction des risques, avec une possibilité d’intervention d’urgence en cas de cyberattaque, limitée bien sûr aux capacités du SOC en termes de personnel. Augmenter cette capacité est possible, mais il faudrait que les communes confient la gestion d’un centre d’urgence au Canton, en finançant par exemple l’engagement de postes supplémentaires au SOC.
La commission a largement discuté des problèmes de cybersécurité, tant au Canton que dans les communes. Elle est convaincue que les communes ont pris conscience de l’importance de la sécurité informatique, notamment de la formation du personnel sur les bonnes pratiques à adopter. Beaucoup d’entre elles ont déjà mandaté des spécialistes afin de réaliser un audit en matière de sécurité pour identifier les failles de leur système et mettre en place les correctifs nécessaires. En revanche, la majorité de la commission se déclare sceptique face à une subvention arrosoir, avec un montant par habitant qui poserait le problème de contrôle, d’exigences en termes de cybersécurité et, en finalité, d’autonomie communale. De plus, le coût de la cybersécurité n’est pas proportionnel au nombre d’habitant. La commission estime donc que le Canton propose et met à disposition des compétences, des bonnes pratiques et des outils de formation et que les communes doivent pouvoir décider elles-mêmes de la manière de gérer leur système d’information. Au terme de la discussion, par 11 voix et 3 abstentions la commission vous recommande de classer cette motion.
La discussion est ouverte.
Lorsque j’ai déposé cette motion, j’étais ouvert à toute proposition visant à aider les communes et à renforcer leur sécurité, notamment celle de leur infrastructure informatique. En ce qui concerne la méthode de calcul, il est décevant que la commission n’ait pas songé à aider financièrement les communes sur la base d’un calcul différent. La subvention par habitant a le mérite de traiter toutes les communes de manière égale, le calcul permet également d’avoir un chiffre clair, à savoir au maximum 8 millions sur deux ans. Nous aurions pu imaginer un plafond et un plancher, afin de rendre le calcul acceptable pour la plupart des communes. Tout était ouvert. Si l’on souhaite que le travail du canton porte ses fruits et ne soit pas vain, il convient que les communes aient les moyens financiers de mettre en place leur stratégie d’action. Lorsque les données sont volées et que le mal est fait, les actions préventives ne sont plus possibles. Je vous invite donc à renvoyer cette motion au Conseil d’Etat, sachant que ce dernier aura tout loisir de proposer un contre-projet.
Je souhaite dresser un état de situation entre le canton et les communes. Je déclare mes intérêts : je suis présidente de l’Union des communes vaudoises (UCV). Nous avons avancé de manière conséquente grâce à une convention sur le travail qui pourrait être réalisé entre le Canton et les communes, notamment en matière d’intervention à la suite d’une cyberattaque. Cette démarche est à bout touchant. En revanche, il a été clairement défini que les communes doivent rester maîtresses sur le plan de la prévention et de ce qui est mis en place par rapport aux cyberattaques. Il y a une collaboration avec le SOC, mais les communes doivent rester maîtresses de leur parc informatique.
À la suite de mon interpellation sur ce problème et pour les communes ayant externalisé leur solution informatique, je serai enclin à suivre cette motion pour agir en amont et trouver des solutions. Actuellement, la plupart des entreprises et prestataires ne répondent pas à la checklist pour les contrats de sous-traitance. Une checklist se suit du point A au point B. Travaillant dans l’aviation, je sais de quoi je parle. Cette motion traite plus de l’emergency checklist qui, la plupart du temps, ne finit pas par un crash – heureusement – mais souvent par d’importants problèmes. Je vous encourage à suivre le motionnaire afin de mener une discussion claire de qui fait quoi. L’UCV propose de financer un poste au canton et on parle toujours de ce qui va se passer après le piratage, mais nous n’avons pas de vision claire sur ce qui se fait avant. Lorsque le canton et la protection des données nous fournissent une checklist et que nous sommes incapables de l’appliquer, les prestataires ne répondant pas, que faire ? Tout a tourné autour de cette question et cela passera peut-être par un registre des prestataires répondant aux exigences du canton, en particulier de la loi.
Comme la députée Weidmann Yenny, je serai brève. Je vous confirme que le Conseil d’Etat, par sa délégation composée de Mme Luisier Brodard et moi-même, a bien avancé dans ces discussions avec les communes. Nous sommes à bout touchant, voire frôlant, pour trouver une solution de soutien qui – pour rassurer M. Dumartheray – ne tient pas compte exclusivement de la dimension de la cyberintervention lors d’attaque, mais bien des trois moments concernés par cette collaboration entre le Canton et les communes, à savoir :
- la cyberprévention : le Canton compte mettre en avant plusieurs propositions pour accompagner les communes dans la prévention des cyberrisques ;
- une solution d’intervention en cas d’attaque ;
- tout le domaine de la cyberrésilience afin que les communes puissent être en mesure de se doter d’un système de résilience pour adapter leur système informatique à la nouvelle réalité des cyberrisques.
La solution aujourd’hui préconisée part le motionnaire, M. Glayre, ne semble dès lors pas obtenir les faveurs du Conseil d’Etat et des représentantes et représentants des communes. Nous lui avons préféré un autre système, raison pour laquelle je vous invite à suivre votre commission et à classer la motion.
Retour à l'ordre du jourLa discussion est close.
Le Grand Conseil refuse la prise en considération de la motion par 76 voix contre 18 et 8 abstentions.