21_POS_44 - Postulat David Raedler et consorts - Les pirates sont informatisés et ne se limitent plus au Léman : agissons à tous les échelons face aux cyberattaques (Développement et demande de renvoi à commission avec au moins 20 signatures).

Séance du Grand Conseil du mardi 7 septembre 2021, point 8 de l'ordre du jour

Texte déposé

Chaque jour apporte malheureusement son lot de nouveaux piratages, ransomwares et failles de sécurité qui mènent à la divulgation ou la perte de nombreuses données personnelles et autres informations sensibles pour les personnes concernées. Loin de se limiter à quelques rares cas, ces incidents touchent l’entier de la société. Multinationales, PME, individus et services étatiques : tous sont des cibles potentielles de telles attaques[1]. Avec à la clé un risque très marqué pour les personnes concernées, qui s’étend non seulement à la violation de leur sphère privée, mais aussi aux risques économiques qui peuvent découler d’une utilisation des informations volées ou des conséquences de leur perte.

 

Avec une numérisation toujours plus utilisée, et une valeur des informations toujours plus importante, ces incidents vont en croissant. Chaque semaine, le Centre national pour la cybersécurité (NCSC) reçoit plusieurs centaines d’annonces portant sur des incidents touchant au domaine informatique (fraudes, fuites de données, hameçonnage, piratage informatique, etc.)[2]. Dans l’ensemble du panorama économique, près de 40% des entreprises sont visées par des cyberattaques – un chiffre qui, en France, a augmenté de 543% en 2020 par rapport à 2019[3]. C’est dire s’il y a urgence.

 

Dans ce contexte très inquiétant, les entités et administrations publiques ne sont de loin pas épargnées. Par la sensibilité des informations qu’elles traitent, et le détail de celles qu’elles reçoivent, les administrations publiques sont des cibles privilégiées. Ceci a fortiori en raison du nombre de personnes qu’elles emploient et qui, malheureusement, constituent autant de portes d’entrées d’une cyberattaque. Le cas très récent de la Commune de Rolle n’est qu’un exemple parmi de nombreux autres de l’importance que les administrations publiques revêtent aux yeux des pirates[4]. Et des conséquences très graves qui peuvent en découler pour les personnes dont les données personnelles sont volées.

 

Le Canton de Vaud déploie des efforts pour protéger au mieux ses moyens et services informatiques à l’aide de la Direction générale du numérique et des systèmes d'information (DGNSI)[5]. Dans le même sens, la Confédération a développé ces dernières années son arsenal de lutte contre les cyberattaques, notamment par le biais du NCSC, ainsi que par une collaboration de principe entre l’administration fédérale d’une part et, notamment, les cantons et communes d’autres part (art. 4 al. 2 de l’Ordonnance sur les cyberrisques [OPCy]). Cela étant, les Communes demeurent souvent laissées à leur propre responsabilité. Quelque chose qui s’avère surtout problématique pour les communes de petite ou moyenne taille, et représente un réel problème compte tenu de l’importance des dangers auxquels elles font face.

 

Dans l’ensemble, les risques liés à une cyberattaque dépassent largement le seul champ de compétence des communes, en tant qu’elles portent préjudice directement aux habitant.e.s du Canton et peuvent également mener à dévoiler des documents sensibles pour la politique publique. La complexité des attaques exige elle-même des connaissances très poussées dépassant ce cadre, tout comme l’importance de la sensibilité à assurer auprès de toutes les personnes employées au sein des administrations communales.  

 

Pour ces motifs, et compte tenu de l’augmentation exponentielle des cyberattaques qui a été constatée spécialement cette dernière année, il est impératif que le Canton s’aligne sur la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) avalisée par la Confédération dans les 7 domaines recensés tendant à assurer par anticipation une protection contre les failles de sécurité de la télématique.

 

Dans ce cadre, le rôle de l’Etat doit notamment être :

  • de former le personnel dans toutes les couches opérationnelles informatiques de l’apprenti à l’ingénieur reconnus par le système de certification suisse ;
  • d’offrir aux administrations communales, ainsi qu'aux associations de Communes, un réseau sécurisé pour ses applications de gestion des registres cantonaux et communaux (bâtiments, personnes, etc.) ; et
  • assurer un standard minimum devant être respecté par les Communes et associations de Communes, possiblement en validant les compétences des responsables informatiques des communes.

 

En conséquence, et par le présent postulat, les signataires demandent au Conseil d’Etat d’élaborer les voies d’action cantonales permettant de faire face aux risques concrets et actuels liés aux cyberattaques, en particulier de façon à :

  • favoriser une stratégie identique à celle de la Confédération (SNPC) ;
  • assurer un standard minimum devant être respecté par les Communes et associations de Communes, possiblement en validant la formation des responsables communaux en charge de la détection des risques de cyberattaques ainsi que des réponses y apportées, de même qu’en intégrant des exigences en termes de sensibilisation du personnel communal ;
  • assurer la continuité et l’essor de la formation des apprentis aux métiers de l’informatique et de la cybersécurité ;
  • établir un plan directeur cantonal de cybersécurité pour maintenir les infrastructures et les logiciels jusqu’à l’échelon des communes et assurer un accès des citoyens aux cyber-prestations sécurisées.

 

[1] Spécifiquement pour les rançongiciels attaquant des entreprises privées et privés : https://www.rts.ch/info/sciences-tech/12173038-la-cybercriminalite-genere-des-milliards-et-pousse-des-societes-vers-la-faillite.html

[2] https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/aktuelle-zahlen.html.

[3] https://www.nouvelobs.com/societe/20210420.OBS43043/nouvelle-cyberattaque-massive-en-milieu-hospitalier-au-moins-la-sixieme-en-deux-mois.html.

[4] https://www.letemps.ch/economie/exclusif-piratage-rolle-beaucoup-plus-grave-quannonce.

[5] A ce sujet, voir notamment la réponse du Conseil d’Etat du 22 mai 2019 à l’interpellation de Yann Glayre et consorts, « Cybersécurité - Quelle est la stratégie de l’Etat de Vaud pour traiter la plus grande collection de fuite de données de l’histoire ? », 19_INT_287.

Conclusion

Renvoi à une commission avec au moins 20 signatures

Liste exhaustive des cosignataires

Signataire Parti
Didier Lohri VER
Josephine Byrne Garelli PLR
Carole Dubois PLR
Felix Stürner VER
Pierre-André Romanens PLR
Sylvie Podio VER
Graziella Schaller V'L
Hadrien Buclin EP
Valérie Induni SOC
Vincent Keller EP
Catherine Labouchère PLR
Anne Baehler Bech VER
Céline Misiego EP
Yves Paccaud SOC
Rebecca Joly VER
Delphine Probst SOC
Serge Melly LIBRE
Cédric Echenard SOC
Sabine Glauser Krug VER
Sébastien Cala SOC
Florence Bettschart-Narbel PLR
Julien Eggenberger SOC
Léonard Studer VER
Cendrine Cachemaille SOC
Taraneh Aminian EP
Werner Riesen UDC
Muriel Thalmann SOC

Document

21_POS_44-Texte déposé

Transcriptions

Visionner le débat de ce point à l'ordre du jour
M. David Raedler (VER) —

Ce sujet a déjà été abordé par Mme Byrne Garelli dans son interpellation (21_INT_106) et il fait également l’objet de mon postulat : la cyberattaque dont a été victime Rolle et, plus généralement, les risques de cyberattaques très marqués qui continuent et caractérisent l’environnement informatique actuel. Sans entrer dans les détails du postulat lui-même, que vous avez pu lire, remarquons quelques chiffres pertinents : actuellement, en Suisse, 40 % des entreprises privées ont fait l’objet d’une cyberattaque et le nombre de cyberattaque par le biais de rançongiciels a augmenté de 543 % sur l’année 2020 ! Un tel nombre de cyberattaques supplémentaires doit nous inquiéter fortement, notamment en ce qui concerne les communes et les administrations communales et cantonale, qui détiennent des informations très sensibles. Il est donc extrêmement important d’assurer la sécurité de leurs systèmes.

Dans ce contexte, le canton a un rôle central à jouer par le biais de la Direction générale du numérique et des systèmes d’information (DGNSI) qui constitue un pôle de compétences sur lequel il faut pouvoir s’appuyer. En conséquence, le postulat demande au Conseil d’Etat d’élaborer des voies d’action cantonales permettant de faire face aux risques concrets et actuels liés aux cyberattaques, par différents processus dont notamment : favoriser une stratégie identique à celle mise en place par la Confédération ; assurer un standard minimal que les communes et associations de communes devraient respecter ; assurer la continuité et l’essor de la formation des apprentis aux métiers de l’informatique et de la cybersécurité ; et enfin établir un Plan directeur cantonal de cybersécurité pour maintenir la sécurité des infrastructures et des logiciels. Il est urgent d’agir et de traiter rapidement cet objet en commission.

Mme Laurence Cretegny (PLR) — Président-e

Le postulat, cosigné par au moins 20 députés, est renvoyé à l’examen d'une commission.

Retour à l'ordre du jour

Partager la page