Postulat David Raedler et consorts - Les pirates sont informatisés et ne se limitent plus au Léman : agissons à tous les échelons face aux cyberattaques
David Raedler
31.08.2021
DCIRH
DJES
21_POS_44
08.03.2023
Pris en considération, 08.03.2022
Texte déposé
Chaque jour apporte malheureusement son lot de nouveaux piratages, ransomwares et failles de sécurité qui mènent à la divulgation ou la perte de nombreuses données personnelles et autres informations sensibles pour les personnes concernées. Loin de se limiter à quelques rares cas, ces incidents touchent l’entier de la société. Multinationales, PME, individus et services étatiques : tous sont des cibles potentielles de telles attaques[1]. Avec à la clé un risque très marqué pour les personnes concernées, qui s’étend non seulement à la violation de leur sphère privée, mais aussi aux risques économiques qui peuvent découler d’une utilisation des informations volées ou des conséquences de leur perte.
Avec une numérisation toujours plus utilisée, et une valeur des informations toujours plus importante, ces incidents vont en croissant. Chaque semaine, le Centre national pour la cybersécurité (NCSC) reçoit plusieurs centaines d’annonces portant sur des incidents touchant au domaine informatique (fraudes, fuites de données, hameçonnage, piratage informatique, etc.)[2]. Dans l’ensemble du panorama économique, près de 40% des entreprises sont visées par des cyberattaques – un chiffre qui, en France, a augmenté de 543% en 2020 par rapport à 2019[3]. C’est dire s’il y a urgence.
Dans ce contexte très inquiétant, les entités et administrations publiques ne sont de loin pas épargnées. Par la sensibilité des informations qu’elles traitent, et le détail de celles qu’elles reçoivent, les administrations publiques sont des cibles privilégiées. Ceci a fortiori en raison du nombre de personnes qu’elles emploient et qui, malheureusement, constituent autant de portes d’entrées d’une cyberattaque. Le cas très récent de la Commune de Rolle n’est qu’un exemple parmi de nombreux autres de l’importance que les administrations publiques revêtent aux yeux des pirates[4]. Et des conséquences très graves qui peuvent en découler pour les personnes dont les données personnelles sont volées.
Le Canton de Vaud déploie des efforts pour protéger au mieux ses moyens et services informatiques à l’aide de la Direction générale du numérique et des systèmes d'information (DGNSI)[5]. Dans le même sens, la Confédération a développé ces dernières années son arsenal de lutte contre les cyberattaques, notamment par le biais du NCSC, ainsi que par une collaboration de principe entre l’administration fédérale d’une part et, notamment, les cantons et communes d’autres part (art. 4 al. 2 de l’Ordonnance sur les cyberrisques [OPCy]). Cela étant, les Communes demeurent souvent laissées à leur propre responsabilité. Quelque chose qui s’avère surtout problématique pour les communes de petite ou moyenne taille, et représente un réel problème compte tenu de l’importance des dangers auxquels elles font face.
Dans l’ensemble, les risques liés à une cyberattaque dépassent largement le seul champ de compétence des communes, en tant qu’elles portent préjudice directement aux habitant.e.s du Canton et peuvent également mener à dévoiler des documents sensibles pour la politique publique. La complexité des attaques exige elle-même des connaissances très poussées dépassant ce cadre, tout comme l’importance de la sensibilité à assurer auprès de toutes les personnes employées au sein des administrations communales.
Pour ces motifs, et compte tenu de l’augmentation exponentielle des cyberattaques qui a été constatée spécialement cette dernière année, il est impératif que le Canton s’aligne sur la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) avalisée par la Confédération dans les 7 domaines recensés tendant à assurer par anticipation une protection contre les failles de sécurité de la télématique.
Dans ce cadre, le rôle de l’Etat doit notamment être :
- de former le personnel dans toutes les couches opérationnelles informatiques de l’apprenti à l’ingénieur reconnus par le système de certification suisse ;
- d’offrir aux administrations communales, ainsi qu'aux associations de Communes, un réseau sécurisé pour ses applications de gestion des registres cantonaux et communaux (bâtiments, personnes, etc.) ; et
- assurer un standard minimum devant être respecté par les Communes et associations de Communes, possiblement en validant les compétences des responsables informatiques des communes.
En conséquence, et par le présent postulat, les signataires demandent au Conseil d’Etat d’élaborer les voies d’action cantonales permettant de faire face aux risques concrets et actuels liés aux cyberattaques, en particulier de façon à :
- favoriser une stratégie identique à celle de la Confédération (SNPC) ;
- assurer un standard minimum devant être respecté par les Communes et associations de Communes, possiblement en validant la formation des responsables communaux en charge de la détection des risques de cyberattaques ainsi que des réponses y apportées, de même qu’en intégrant des exigences en termes de sensibilisation du personnel communal ;
- assurer la continuité et l’essor de la formation des apprentis aux métiers de l’informatique et de la cybersécurité ;
- établir un plan directeur cantonal de cybersécurité pour maintenir les infrastructures et les logiciels jusqu’à l’échelon des communes et assurer un accès des citoyens aux cyber-prestations sécurisées.
[1] Spécifiquement pour les rançongiciels attaquant des entreprises privées et privés : www.rts.ch/info/sciences-tech/12173038-la-cybercriminalite-genere-des-milliards-et-pousse-des-societes-vers-la-faillite.html.
[2]www.ncsc.admin.ch/ncsc/fr/home/aktuell/aktuelle-zahlen.html.
[3]www.nouvelobs.com/societe/20210420.OBS43043/nouvelle-cyberattaque-massive-en-milieu-hospitalier-au-moins-la-sixieme-en-deux-mois.html.
[4]www.letemps.ch/economie/exclusif-piratage-rolle-beaucoup-plus-grave-quannonce.
[5] A ce sujet, voir notamment la réponse du Conseil d’Etat du 22 mai 2019 à l’interpellation de Yann Glayre et consorts, « Cybersécurité - Quelle est la stratégie de l’Etat de Vaud pour traiter la plus grande collection de fuite de données de l’histoire ? », 19_INT_287.
Conclusion
Renvoi à une commission avec au moins 20 signatures
Séances dont l'objet a été à l'ODJ
Date | Décision |
---|---|
08.03.2022 | - |
08.02.2022 | - |
07.09.2021 | - |
31.08.2021 | - |
Liste exhaustive des cosignataires
Signataire | Parti |
---|---|
Didier Lohri | VER |
Josephine Byrne Garelli | PLR |
Carole Dubois | PLR |
Pierre-André Romanens | PLR |
Sylvie Podio | VER |
Graziella Schaller | V'L |
Hadrien Buclin | EP |
Valérie Induni | SOC |
Vincent Keller | EP |
Felix Stürner | VER |
Catherine Labouchère | PLR |
Anne Baehler Bech | - |
Céline Misiego | EP |
Rebecca Joly | VER |
Delphine Probst | SOC |
Serge Melly | - |
Cédric Echenard | SOC |
Sabine Glauser Krug | VER |
Sébastien Cala | SOC |
Yves Paccaud | SOC |
Julien Eggenberger | SOC |
Léonard Studer | - |
Cendrine Cachemaille | SOC |
Florence Bettschart-Narbel | PLR |
Taraneh Aminian | EP |
Muriel Thalmann | SOC |
Werner Riesen | UDC |