21_MOT_23 - Motion Yann Glayre et consorts au nom du groupe UDC - Soutien financier urgent aux communes pour la sécurité de leurs infrastructures informatiques (Développement et demande de prise en considération immédiate).
Séance du Grand Conseil du mardi 16 novembre 2021, point 7 de l'ordre du jour
Texte déposé
La liste des communes victimes de piratage informatique s'allonge. En 2018, je déposais une interpellation demandant au Conseil d'Etat comment il compte protéger ses collaborateurs, sa population et ses services des attaques informatiques. L'expérience acquise depuis démontre que les communes sont aujourd'hui les principales victimes.
Si le canton est bien préparé, les difficultés financières de certaines communes les empêchent de procéder aux investissements nécessaires. Les conséquences en cas de piratage sont profondes :
Des données communales confidentielles sont publiées, entraînant avec elles les données personnelles de citoyennes et citoyens. En prime, les élus se retrouvent propulsés à la tête d'une importante gestion de crise.
Outre l'aspect technique, le coût de la gestion de l'incident se reporte également sur le canton, qui est appelé à l'aide.
Cette situation ne peut plus durer, une action est impérative afin que les communes se protègent et que cette série noire cesse.
Ainsi, le groupe UDC vous propose que le canton incite financièrement les communes à se doter d'un label de cybersécurité et ainsi puissent moderniser leurs infrastructures en conséquence, grâce à l'introduction de la subvention suivante :
Jusqu'au 31.12.2023, les communes qui ont entrepris par le passé ou vont entreprendre l'obtention d'un label de cybersécurité peuvent obtenir une subvention unique de 10.- par habitant.
Conclusion
Prise en considération immédiate et renvoi au CE
Liste exhaustive des cosignataires
| Signataire | Parti |
|---|---|
| Nicolas Glauser | UDC |
| Sacha Soldini | UDC |
| José Durussel | UDC |
| Yvan Pahud | UDC |
| Werner Riesen | UDC |
| Jean-Marc Sordet | UDC |
| Fabien Deillon | UDC |
| Pierre-André Pernoud | UDC |
| Cédric Weissert | UDC |
| Claude Matter | PLR |
| Céline Baux | UDC |
| Nicolas Bolay | UDC |
| Aliette Rey-Marion | UDC |
| Maurice Treboux | UDC |
| Pierre-Alain Favrod | UDC |
| Dylan Karlen | UDC |
| Sylvain Freymond | UDC |
| Guy Gaudard | PLR |
| Jérôme Christen | LIBRE |
| Philippe Jobin | UDC |
Documents
Transcriptions
Visionner le débat de ce point à l'ordre du jourLe texte discuté aujourd’hui vous propose de subventionner les communes afin de faciliter leurs investissements visant à se protéger des attaques informatiques. Il m’apparaît essentiel que le canton fasse rapidement un geste, pour plusieurs raisons, outre le fait que la série de piratages devient embarrassante. Le canton fait un gros travail d’aide et d’information auprès des communes, parfois démunies en matière de connaissances techniques. Le canton intervient également en réaction aux incidents, en venant en aide aux communes victimes. Cela a des conséquences, puisque cela conduit à une diminution des ressources à disposition pour les affaires courantes.
Si l’on souhaite que le travail du canton porte ses fruits et ne soit pas vain, il convient que les communes aient les moyens financiers de mettre en place leur stratégie et d’agir maintenant. La méthode de calcul de la subvention fera grincer les dents de certains, mais elle a le mérite de pouvoir calculer le coût que cela représente pour le canton et de pouvoir être mise en place rapidement. On parle donc d’un coût d’environ 8 millions de francs d’ici à la fin 2023, soit sur deux ans. Je rappelle que les communes vaudoises cumulent 7 milliards de dettes, qui ont augmenté de 40 % ces dernières années. S’il est un moment opportun pour leur venir en aide, c’est maintenant !
Concernant le rabais de 20 % proposé par l’Union des communes vaudoises (UCV) en partenariat avec Cyber-safe, je rappelle qu’il ne s’agit en aucun cas d’une subvention, mais d’un accord demandant au prestataire de facturer moins. Ce rabais s’interrompt dans un mois et demi. Les actions préventives étant à prendre maintenant et non dans deux ans, je vous invite à donner un coup de pouce aux communes en soutenant ce texte, et vous en remercie.
La discussion est ouverte.
Comme vous, je découvre la motion de mon collègue de la Commission thématique des systèmes d’information, Yann Glayre, et je m’étonne que nous n’en ayons pas discuté en commission. Sans vouloir dévoiler de secrets de commission, je crois pouvoir vous dire qu’au travers de la Direction générale du numérique et des systèmes d’information (DGNSI), nous avons abordé les questions des cyberattaques et de la manière dont elles sont gérées. Nous avons d’ailleurs reçu certaines réponses intéressantes sur ce sujet. J’aurais donc jugé intéressant que nous puissions discuter de cette proposition en commission, d’autant que la demande de renvoi immédiat au Conseil d’Etat pour un montant aussi élevé me semble être un procédé hasardeux. Je demande donc que la motion soit, pour le moins, renvoyée à la Commission thématique des systèmes d’information pour que nous puissions en discuter dans ce cadre.
J’ai entendu que vous demandiez un renvoi en commission, monsieur le député.
Comme mon collègue Stéphane Balet, je fais aussi partie de la Commission thématique des systèmes d’information. Je ne suis pas choqué par une motion venant directement en plénum, mais celle-ci pose un problème de fond. En effet, le montant de 10 francs est un arrosage sur toutes les communes sans aucune garantie que le label reconnu ou à admettre soit vraiment un signe de fiabilité en matière de cybersécurité. Il y a longtemps que nous avons des problèmes avec cette question et malgré l’argument de M. Glayre consistant à dire que nous allons perdre deux ans, je pense qu’il vaut mieux perdre deux ans tout en continuant d’être attentif à la cybersécurité, mais ne pas arroser toutes les communes avec 10 francs par habitant. Vous savez combien je m’oppose à ce principe, il est donc inutile de me lancer dans une théorie sur la valeur du point d’impôt.
Cette motion doit absolument passer par la Commission thématique des systèmes d’information, parce que le but est réellement de protéger les machines et les réseaux. Comme l’ont dit nos collègues Balet et Glayre, il est plutôt intéressant d’étudier un pourcentage sur les licences qui assurent la protection et les antivirus par poste informatique – soit justement la porte d’entrée des cyberattaques – et par équivalents plein temps (EPT), pour limiter les dépenses. En effet, à l’Etat ou dans les communes, de nombreuses personnes travaillent à 30, à 40 ou à 50 %. Il faut tenir compte de cette subvention pour assurer la bonne fiabilité et la mise à jour des logiciels d’antivirus et autres dispositifs. Je demande donc un renvoi rapide de la motion à la Commission thématique des systèmes d’information.
Le groupe PLR souhaite aussi pouvoir réfléchir tranquillement à la proposition qui nous est faite et propose donc le renvoi de cette motion en commission. Toutes les communes n’ont pas la même approche et ne vont pas à la même vitesse, mais évidemment, elles ont toutes le même problème à résoudre en ligne de mire. Je ne suis pas sûr que dix francs par habitant soit la bonne formule, mais toujours est-il qu’il y a là un vrai problème. Pour pouvoir en débattre tranquillement, le groupe PLR vous invite à renvoyer ce texte en commission, qu’elle soit ad hoc ou une commission thématique ; je laisse le Bureau choisir la meilleure destination pour cette motion.
Le groupe Ensemble à gauche et POP est plutôt favorable à un soutien de l’Etat à la cybersécurité des communes. En effet, ainsi que cela a été dit, il y a une grande disparité des investissements dans les différentes communes de notre canton en matière de cybersécurité. Certaines investissent beaucoup dans les services informatiques, d’autres un peu moins. Parfois, même celles qui investissent beaucoup se retrouvent ciblées par les « cybertraqueurs ». Je fais une grande différence entre un traqueur et un hacker, et je revendique d’ailleurs ce dernier titre pour moi-même. Je cherche à comprendre – et parfois à détourner – les fonctionnements d’outils technologiques, et cela de manière totalement ouverte qui puisse être reproduite par d’autres. C’est le monde de l’opensource – que vous connaissez par ailleurs – dans toute sa splendeur, avec une logique de démarche scientifique. Le terme de traqueur est réservé à celui qui a des desseins nuisibles, la plupart du temps pour des raisons financières.
En matière de sécurité, le maillon faible est toujours celui qui sera attaqué en premier. La plupart du temps, en informatique, c’est celui ou celle qui se trouve entre la chaise et le clavier. Au-delà de l’investissement financier, ce sont de compétences en ingénierie et en sécurité dont les communes qui disposent d’un service informatique ont besoin, en amont – soit avant une attaque – puisque nous avons appris, après les attaques de Montreux et de Rolle, que les services cantonaux ont prêté main forte à ces deux communes, après coup. Ce n’est donc pas d’un label, mais bien de compétences, dont nous avons besoin et cela maintenant. Ainsi, notre groupe se demande si une motion, contraignante par défaut, qui demande 8 millions de dépenses sous la forme d’un arrosoir aux communes, c’est-à-dire à celles qui en ont peut-être besoin comme à celles qui n’en ont pas besoin, est bien la bonne approche. Je m’approche ainsi des propos de M. Lohri.
A contrario, dans le groupe Ensemble à Gauche et POP, nous pensons que le canton a plutôt besoin d’une augmentation du personnel à la DGNSI, à l’endroit des communes et ciblée pour les communes ; ce service devrait être en liaison étroite avec les services compétents de la Confédération. La cybersécurité se gausse en effet complètement de l’autonomie communale. Vous l’aurez compris : nous ne nous opposons pas à l’idée proposée par le groupe UDC et le député Yann Glayre, mais nous estimons que la motion ne propose pas la bonne solution. Le groupe Ensemble à Gauche et POP est donc favorable à la transformation en postulat, dans un premier temps, mais surtout à ce que le texte soit discuté à la Commission thématique des systèmes d’information, au pire, c’est-à-dire dans une commission dont je rappelle que mon groupe n’est pas membre, mais où nous viendrions avec grand plaisir apporter notre expertise lors de ses discussions.
Comme vous le savez certainement, je suis très attaché à l’autonomie communale. Or, les systèmes informatiques dépendent directement des communes. Aujourd’hui, l’Etat n’intervient pas dans les systèmes informatiques communaux. Ainsi, le subventionnement de 10 francs par habitant, qui ne va strictement rien changer au niveau de la sécurité, est un pied dans la porte au niveau de l’autonomie communale, puisque l’Etat s’ingérerait directement dans les systèmes informatiques communaux. Cela ne me semble donc pas être une très bonne idée. L’Etat dispose déjà de la DGNSI, qui peut intervenir auprès des communes pour donner des conseils. Dans ma commune, nous lui avons demandé conseil et une personne s’est déplacée et a instruit le personnel de l’administration communale pour qu’il sache quelles erreurs ne pas commettre afin d’éviter tout incident.
Je crois donc que nous avons déjà un service à disposition et qu’un arrosage financier ne va pas y changer quoi que ce soit. Je tiens à ce que ces systèmes informatiques continuent à faire partie de l’autonomie communale et dépendent directement des communes, mais qu’ils ne tombent pas sous la tutelle de l’Etat. C’est pourquoi, afin de ne pas m’opposer à la motion, je demande qu’elle soit en tout cas renvoyée en commission.
Je partage les propos de mon préopinant. Je vous fais part de mes intérêts en tant que présidente de l’UCV. Il est vrai que nous avons déjà eu des rencontres avec le Conseil d’Etat, par rapport à trois axes : la cyberprévention, la cyberréaction et la cyberdéfense. Il est vrai que cela nécessitera plus de temps qu’un renvoi direct au Conseil d’Etat, mais je suis favorable au renvoi à une commission, justement pour pouvoir décortiquer les différents éléments. Les faitières des communes ont un rôle de prévention et ensuite viennent toutes les problématiques de cyberréaction et de cyberdéfense. Il est vrai que l’Etat a été d’un grand support dans le cas des communes dont la problématique a été diffusée par la presse, mais effectivement la proportion d’EPT n’est pas énorme dans le cas de ce centre opérationnel en cas d’attaque. Par conséquent, il y aura toute une question au niveau des communes, au cas où l’on souhaiterait étoffer ce centre opérationnel en cas d’attaque, par le biais d’un financement, ou examiner si cela devrait être déterminé entre les communes. Tout cela nécessite des discussions plus longues, aussi entre communes, et pas uniquement en termes de propositions du Conseil d’Etat. Je vous propose ainsi de renvoyer le texte en commission.
Décidément, c’est le monde à l’envers, cet après-midi ! En effet, nous avons un membre de la droite de l’hémicycle qui propose que l’Etat vienne s’immiscer dans les affaires communales au détriment de la sacro-sainte autonomie, alors qu’un membre de la gauche de l’hémicycle se bat contre l’arrosage systématique ! Tout cela pour dire que je partage les propos de mes préopinants. En tant que membre de la Commission thématique des systèmes d’information, j’aimerais moi aussi que l’on puisse débattre de cet objet dans le cadre de cette commission.
Compte tenu des nombreuses sollicitations demandant que le texte soit renvoyé en commission, j’accepte cette proposition.
Retour à l'ordre du jourLa discussion est close.
La motion, cosignée par au moins 20 membres, est renvoyée à l’examen d’une commission.