21_POS_44 - Postulat David Raedler et consorts - Les pirates sont informatisés et ne se limitent plus au Léman : agissons à tous les échelons face aux cyberattaques.
Séance du Grand Conseil du mardi 8 mars 2022, point 18 de l'ordre du jour
Texte déposé
Chaque jour apporte malheureusement son lot de nouveaux piratages, ransomwares et failles de sécurité qui mènent à la divulgation ou la perte de nombreuses données personnelles et autres informations sensibles pour les personnes concernées. Loin de se limiter à quelques rares cas, ces incidents touchent l’entier de la société. Multinationales, PME, individus et services étatiques : tous sont des cibles potentielles de telles attaques[1]. Avec à la clé un risque très marqué pour les personnes concernées, qui s’étend non seulement à la violation de leur sphère privée, mais aussi aux risques économiques qui peuvent découler d’une utilisation des informations volées ou des conséquences de leur perte.
Avec une numérisation toujours plus utilisée, et une valeur des informations toujours plus importante, ces incidents vont en croissant. Chaque semaine, le Centre national pour la cybersécurité (NCSC) reçoit plusieurs centaines d’annonces portant sur des incidents touchant au domaine informatique (fraudes, fuites de données, hameçonnage, piratage informatique, etc.)[2]. Dans l’ensemble du panorama économique, près de 40% des entreprises sont visées par des cyberattaques – un chiffre qui, en France, a augmenté de 543% en 2020 par rapport à 2019[3]. C’est dire s’il y a urgence.
Dans ce contexte très inquiétant, les entités et administrations publiques ne sont de loin pas épargnées. Par la sensibilité des informations qu’elles traitent, et le détail de celles qu’elles reçoivent, les administrations publiques sont des cibles privilégiées. Ceci a fortiori en raison du nombre de personnes qu’elles emploient et qui, malheureusement, constituent autant de portes d’entrées d’une cyberattaque. Le cas très récent de la Commune de Rolle n’est qu’un exemple parmi de nombreux autres de l’importance que les administrations publiques revêtent aux yeux des pirates[4]. Et des conséquences très graves qui peuvent en découler pour les personnes dont les données personnelles sont volées.
Le Canton de Vaud déploie des efforts pour protéger au mieux ses moyens et services informatiques à l’aide de la Direction générale du numérique et des systèmes d'information (DGNSI)[5]. Dans le même sens, la Confédération a développé ces dernières années son arsenal de lutte contre les cyberattaques, notamment par le biais du NCSC, ainsi que par une collaboration de principe entre l’administration fédérale d’une part et, notamment, les cantons et communes d’autres part (art. 4 al. 2 de l’Ordonnance sur les cyberrisques [OPCy]). Cela étant, les Communes demeurent souvent laissées à leur propre responsabilité. Quelque chose qui s’avère surtout problématique pour les communes de petite ou moyenne taille, et représente un réel problème compte tenu de l’importance des dangers auxquels elles font face.
Dans l’ensemble, les risques liés à une cyberattaque dépassent largement le seul champ de compétence des communes, en tant qu’elles portent préjudice directement aux habitant.e.s du Canton et peuvent également mener à dévoiler des documents sensibles pour la politique publique. La complexité des attaques exige elle-même des connaissances très poussées dépassant ce cadre, tout comme l’importance de la sensibilité à assurer auprès de toutes les personnes employées au sein des administrations communales.
Pour ces motifs, et compte tenu de l’augmentation exponentielle des cyberattaques qui a été constatée spécialement cette dernière année, il est impératif que le Canton s’aligne sur la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) avalisée par la Confédération dans les 7 domaines recensés tendant à assurer par anticipation une protection contre les failles de sécurité de la télématique.
Dans ce cadre, le rôle de l’Etat doit notamment être :
- de former le personnel dans toutes les couches opérationnelles informatiques de l’apprenti à l’ingénieur reconnus par le système de certification suisse ;
- d’offrir aux administrations communales, ainsi qu'aux associations de Communes, un réseau sécurisé pour ses applications de gestion des registres cantonaux et communaux (bâtiments, personnes, etc.) ; et
- assurer un standard minimum devant être respecté par les Communes et associations de Communes, possiblement en validant les compétences des responsables informatiques des communes.
En conséquence, et par le présent postulat, les signataires demandent au Conseil d’Etat d’élaborer les voies d’action cantonales permettant de faire face aux risques concrets et actuels liés aux cyberattaques, en particulier de façon à :
- favoriser une stratégie identique à celle de la Confédération (SNPC) ;
- assurer un standard minimum devant être respecté par les Communes et associations de Communes, possiblement en validant la formation des responsables communaux en charge de la détection des risques de cyberattaques ainsi que des réponses y apportées, de même qu’en intégrant des exigences en termes de sensibilisation du personnel communal ;
- assurer la continuité et l’essor de la formation des apprentis aux métiers de l’informatique et de la cybersécurité ;
- établir un plan directeur cantonal de cybersécurité pour maintenir les infrastructures et les logiciels jusqu’à l’échelon des communes et assurer un accès des citoyens aux cyber-prestations sécurisées.
[1] Spécifiquement pour les rançongiciels attaquant des entreprises privées et privés : https://www.rts.ch/info/sciences-tech/12173038-la-cybercriminalite-genere-des-milliards-et-pousse-des-societes-vers-la-faillite.html.
[2]https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/aktuelle-zahlen.html.
[3]https://www.nouvelobs.com/societe/20210420.OBS43043/nouvelle-cyberattaque-massive-en-milieu-hospitalier-au-moins-la-sixieme-en-deux-mois.html.
[4]https://www.letemps.ch/economie/exclusif-piratage-rolle-beaucoup-plus-grave-quannonce.
[5] A ce sujet, voir notamment la réponse du Conseil d’Etat du 22 mai 2019 à l’interpellation de Yann Glayre et consorts, « Cybersécurité - Quelle est la stratégie de l’Etat de Vaud pour traiter la plus grande collection de fuite de données de l’histoire ? », 19_INT_287.
Conclusion
Renvoi à une commission avec au moins 20 signatures
Liste exhaustive des cosignataires
| Signataire | Parti |
|---|---|
| Didier Lohri | VER |
| Josephine Byrne Garelli | PLR |
| Carole Dubois | PLR |
| Pierre-André Romanens | PLR |
| Sylvie Podio | VER |
| Graziella Schaller | V'L |
| Hadrien Buclin | EP |
| Valérie Induni | SOC |
| Vincent Keller | EP |
| Felix Stürner | VER |
| Catherine Labouchère | PLR |
| Anne Baehler Bech | |
| Céline Misiego | EP |
| Rebecca Joly | VER |
| Delphine Probst | SOC |
| Serge Melly | |
| Cédric Echenard | SOC |
| Sabine Glauser Krug | VER |
| Sébastien Cala | SOC |
| Yves Paccaud | SOC |
| Julien Eggenberger | SOC |
| Léonard Studer | |
| Cendrine Cachemaille | SOC |
| Florence Bettschart-Narbel | PLR |
| Taraneh Aminian | EP |
| Muriel Thalmann | SOC |
| Werner Riesen | UDC |
Documents
Transcriptions
Visionner le débat de ce point à l'ordre du jourLa Commission thématique des systèmes d’information s’est réunie le mardi 2 novembre 2021 pour traiter du postulat Raedler. Etaient présents Mme la conseillère d’Etat, Nuria Gorrite, cheffe du Département des infrastructures et des ressources humaines, M. Patrick Amaru, directeur général de la Direction générale du numérique et des systèmes d’information (DGNSI) et M. Marc Barbezat, directeur de la sécurité du système d’information à la DGNSI.
Le postulant, soucieux de l’augmentation grandissante des cyberattaques, a rappelé les grandes lignes de son postulat et les risques très élevés pouvant en découler, soit la violation de la sphère privée, les risques économiques relatifs à une utilisation des données, des pertes de données et du chantage. Certaines communes en ont fait la douloureuse expérience, et toutes ne sont pas armées pour se protéger efficacement contre des cyberattaques ou ne savent pas toujours comment réagir en cas d’attaque.
Selon le postulant, les risques de piratage dépassent largement le cadre des communes, puisqu’ils touchent directement à l’habitant et aux données sensibles liées à la politique publique. Pour cette raison, il estime que l’Etat doit s’engager sur le plan de la formation, et ce, dans toutes les couches opérationnelles informatiques. Il souhaite également imposer aux communes un standard minimal en matière de sécurité. En effet, le postulant estime qu’il faut fournir aux administrations communales ainsi qu’aux associations de communes un réseau sécurisé pour ces applications de gestion des registres cantonaux et des bâtiments.
Ainsi, par le biais de ce postulat, son auteur demande à l’Etat de Vaud de s’engager sur 4 axes différents :
- favoriser une stratégie identique à celle de la Confédération ;
- assurer un standard minimal devant être respecté par les communes et associations de communes, si possible en validant l’information des responsables communaux en charge de la détection des risques de cyberattaques, de même qu’en intégrant des exigences en termes de sensibilisation du personnel communal ;
- assurer la continuité et l’essor de la formation des apprentis aux métiers de l’informatique et de la cybersécurité ;
- établir un Plan directeur cantonal de cybersécurité pour maintenir les infrastructures et les logiciels jusqu’à l’échelon des communes et assurer ainsi un accès pour les citoyens aux cyberprestations sécurisées.
La commission a très largement discuté du postulat et des préoccupations concernant la cybersécurité. Mme la conseillère d’Etat a indiqué que le Conseil d'Etat partage pour l’essentiel les préoccupations du postulant et qu’il n’a pas attendu pour agir. Toutefois, un rapport sur la sécurité informatique permettrait effectivement de communiquer largement ses constats, les actions entreprises jusqu’à ce jour et sa stratégie à long terme. En effet, la cybercriminalité a beaucoup évolué et nous nous trouvons face à des organisations mafieuses. Le risque zéro n’existant pas, il s’agit de continuer à investir, à être proactif et à collaborer avec les entreprises de pointe dans ce secteur, et ce, au niveau communal, fédéral, sans oublier l’économie privée.
La proactivité du canton de Vaud est souvent citée en exemple, notamment par la création du Security operation center (SOC) qui permet de détecter en temps réel les événements anormaux et de répondre très rapidement aux incidents de sécurité informatique sur le réseau cantonal vaudois. La formation du personnel de l’Administration cantonale vaudoise (ACV) constitue l’un des éléments essentiels pour éliminer des risques de cyberattaques. Chaque utilisateur de systèmes informatiques – par conséquent chaque personne utilisant un ordinateur – constitue une porte d’entrée possible pour un hacker.
La question de la collaboration avec les communes a également été abordée. A ce sujet, il s’agit de proposer des collaborations, d’offrir des conseils avec des standards de sécurité, de mettre à disposition des prestations mais sans toucher à l’autonomie communale. Le canton met toute une série d’outils au service des communes pour les aider dans leurs choix et leurs démarches. Vous trouverez sur le site de l’Etat de Vaud une liste des bonnes pratiques en matière de sécurité informatique. De plus, le canton a informé par courrier toutes les communes vaudoises pour leur rappeler les mesures principales de prévention pour mieux faire face aux cyberattaques et leur proposer 5 mesures pour y parvenir.
Enfin, la commission est très sensible à la question de la cybersécurité et, de manière générale, favorable au postulat, qui permettrait de faire un point sur la situation et de communiquer relativement à l’ensemble de ce qui est mis en place. En revanche, la commission ne souhaite pas imposer aux communes un standard à respecter, mais plutôt favoriser leur autonomie. Pour cette raison, la commission propose d’amender la seconde demande du postulat, trop contraignante envers les communes, de la manière suivante :
« (…) assurer un standard minimum devant ou pouvant être respecté par les Communes (…) »
Forte de cette modification, la commission unanime vous recommande de renvoyer le postulat au Conseil d'Etat.
La discussion est ouverte.
D’abord, je souhaite remercie le président de la commission pour le détail et la qualité de son rapport qui permet d’évaluer et de comprendre les problèmes posés par la cybersécurité et les cyberattaques, à tous les échelons, à la fois cantonal et communal. Sans m’étendre sur les risques liés aux cyberattaques – ces derniers étant malheureusement bien connus – vous pouvez ouvrir n’importe quel journal ou page Internet, vous trouverez quelque chose à lire sur une cyberattaque ayant atteint une entreprise, une collectivité publique ou n’importe quelle personne privée.
Depuis 2020, le nombre de cyberattaques a techniquement explosé. En effet, plus de 40 % des entreprises sont visées. Entre 2019 et 2020, une augmentation de plus de 540 % de certaines formes de cyberattaques à l’encontre de privés ou d’entités publiques a été constatée. Le nombre de « rançongiciels », ransomwares, a lui-même explosé en Suisse, passant en 2020 et 2021 de 97 cas à 497 sur une certaine période. Vous pouvez aisément imaginer les risques encourus, et ce, par tous les acteurs et actrices de tous les bords et milieux, de tous les domaines. Uniquement dans les dernières semaines, nous avons pêle-mêle – et malheureusement – connu des cyberattaques auprès des CFF, des crèches, des communes, de l’Université de Neuchâtel et, hier encore, de Samsung. Dans ce contexte, s’ajoutent des risques réels également géopolitiques. En effet, les cyberattaques sont devenues une arme réelle, un élément constaté dans le regrettable cadre de l’attaque de l’Ukraine par la Russie, précédée d’une très forte cyberattaque. Par ailleurs, il retourne d’un phénomène actuellement observé par les autorités françaises dans le cadre des élections actuelles, puisque les cyberattaques ont fortement augmenté. C’est dire à quel point le sujet est d’importance centrale : à la fois personnel, économique et politique.
A ce titre, la Suisse admet une particularité – aimée – celle de la décentralisation, absolument nécessaire à de nombreux échelons, soit-il fédéral, cantonal ou communal. Un élément propre à la Suisse, à sa beauté, où les autorités, notamment communales, fonctionnent sur un système généraliste et de milice de toutes les institutions politiques. L’autonomie communale est centrale dans ce contexte. Naturellement, lorsque les sujets sont techniques ou complexes, comme celui de la cybersécurité et des infrastructures informatiques, des limites se posent, a fortiori lorsqu’en face se trouvent, comme cela a été dit par le président de la commission, de véritables mafias, des entreprises réelles, professionnelles de hackers. Aujourd'hui, le stéréotype ou le cliché de la personne dans sa cave, seule, en hoodie, se nourrissant uniquement de junk food, en train d’hacker certaines personnes pour se constituer un pécule, est révolue. En effet, il s’agit de groupes, d’entreprises fort bien organisées en départements, en compétences et même – un fait établi – munies de services après-vente qui viennent « aider » les personnes à payer les rançons demandées, car naturellement tout un chacun n’a pas la compétence de savoir payer en cryptomonnaie. Ainsi, vous pouvez téléphoner à la personne qui vous a hacké pour savoir comment se constituer un porte-monnaie de cryptomonnaie. C’est dire si les risques sont aujourd'hui bien réels.
Au niveau public, nous avons vu que la Confédération s’y met très lentement – ce qui est problématique. En revanche, et c’est une très bonne chose, le Conseil fédéral a annoncé il y a peu l’extension des compétences du Centre national pour la cybersécurité (NCSC). Mais, en parallèle, nous avons appris la semaine dernière que le Conseil fédéral avait choisi de reporter l’entrée en vigueur de la Loi fédérale sur la protection des données au 1er septembre au lieu du 1er janvier 2023, alors que cette loi est l’un des piliers permettant justement d’imposer des standards et d’améliorer les conditions de cybersécurité qui datent de 1994 en matière de protection des données.
Au niveau cantonal, et cela est fort bien décrit par le rapport de commission, tout comme cela fut très bien exposé par Mme la présidente du Conseil d'Etat, le canton a compris depuis longtemps l’importance et la portée du sujet. Néanmoins, il faut garder en tête que ce sujet évolue en continu. Il est par conséquent absolument central de pouvoir assurer une mise à jour de toutes les mesures. Ainsi, le postulat, tel que discuté en commission, vise à mettre l’accent sur les différents moyens possibles pour s’assurer de la cybersécurité, que cela passe par la mise en place de standards, de mesures réactives et proactives ou par l’information et l’éducation, puisque nous savons que le facteur humain est l’un des facteurs, voire le facteur le plus dangereux, la porte d’entrée principale à des cyberattaques. Ainsi, la possibilité d’accéder à un rapport global sur l’approche de la cybersécurité au stade du canton est très importante, parce que cette dernière est elle-même globale, transdisciplinaire, concerne tous les domaines et activités communales et cantonales. Adopter une vision générale permet de savoir comment se montrer le plus réactif possible face à des risques très évolutifs.
Enfin, pour aller de l’avant, il est fort utile de traiter de potentielles fausses bonnes idées. En effet, au rang des éventualités existe celle d’une centralisation des systèmes informatiques, ce qui peut, d’une part – le cas de Neuchâtel – présenter des avantages, car cela permet de mettre toutes les forces dans un panier, mais qui, de l’autre, à l’évidence, y place aussi tous les œufs, ce qui peut s’avérer risqué. Cela montre à quel point un rapport est important. Je remercie la commission pour sa prise en considération partielle du postulat, dont je comprends la réserve liée au caractère impératif des standards minimaux. Toutefois, selon moi, un standard minimal ne fait sens que s’il est impératif. Ainsi, l’objectif est plus large qu’un standard minimal, puisqu’il tend à un rapport complet et détaillé sur cette question.
En conclusion, je peux parfaitement me rallier à la prise en considération partielle du postulat qui indique les standards minimaux comme « devant ou pouvant » être respectés par les communes. Aujourd'hui, l’importance consiste à se montrer réactif quant à la cybersécurité, à pouvoir adopter une vision globale devenue obligatoire.
Le groupe socialiste soutiendra la prise en considération partielle de ce postulat. J’aimerais rebondir sur un élément rapporté qui ne sera jamais suffisamment répété : le point faible de la cybersécurité est l’utilisateur, car les précautions à prendre lorsqu’on utilise un outil informatique sont importantes à rappeler. J’aimerais aussi saluer le travail accompli par la DGNSI en la matière, car j’estime notre canton assez avant-gardiste en la matière. En début de législature, je me rappelle avoir participé à une conférence à ce sujet pendant laquelle on nous a montré en direct comment un système pouvait être hacké, c’est-à-dire par le fameux point d’entrée via le mail et un fichier attaché qu’il ne faut surtout pas ouvrir. Plus récemment, vous avez peut-être vu un article paru dans L’Illustré qui parle de la volonté du Conseil d'Etat vaudois d’une souveraineté numérique. Par ailleurs, s’il existe la facette hacking, il y a aussi l’aspect du placement des données, un sujet qui revient régulièrement sur la table de la Commission thématique des systèmes d’information. En conclusion, nous ne pouvons que vous enjoindre à soutenir massivement la prise en considération partielle de ce postulat.
J’aimerais saluer le soutien que le Grand Conseil a toujours apporté au Conseil d'Etat en matière de lutte contre les risques informatiques, une problématique que nous avons amenée déjà en 2013 à la Commission thématique des systèmes d’information. Plus de 20 millions de francs additionnels ont été accordés par le Parlement à la DGNSI. A l’époque, nous étions déjà conscients des risques qui s’accroitraient en matière de cybercriminalité. C’est ainsi que le canton de Vaud s’est probablement fait l’un des leaders en Suisse, l’un des pionniers à se doter notamment du Centre de sécurité opérationnel, pour pouvoir anticiper, suivre en permanence, observer les menaces qui pèsent sur les données dont l’Etat est le propriétaire. Nous avons également pu investir pour cloisonner nos systèmes d’information, les rendre plus résistants et résilients, réduire nos capacités à pouvoir rétablir les systèmes d’information paralysés, le cas échéant, notamment en nous dotant d’un data center de sécurité et en déployant un système de formation active du personnel de l’administration cantonale, puisque le facteur humain est toujours le premier firewall qui peut être mis en place.
Dans le cadre plus spécifique des attaques dont les communes de Rolle et de Montreux ont été l’objet, nous avons pu déployer la force d’intervention rapide de la DGNSI pour les soutenir. Avec ma collègue Christelle Luisier Brodard, nous avons aussi réuni une plateforme qui rassemble les faitières des communes, l’Association de communes vaudoises (ADCV) et l’Union des communes vaudoises (UCV) pour tracer avec elles les perspectives visant à renforcer les compétences des communes en matière de réaction en cas d’attaque ou plus spécifiquement, au quotidien, de renforcement des systèmes d’information des communes. Nous avons établi un dialogue avec ces dernières. Le mois prochain, nous nous réunissons pour déterminer une feuille de route. Nous avons d’ores et déjà transmis aux communes une liste des bonnes pratiques qui, mises en place, réduisent fortement leur exposition aux cyberattaques qui, à n’en pas douter, seront de plus en plus présentes. Cela est d’ailleurs observable avec la crise en Ukraine, puisque les cyber-paralysies sont une arme utilisée par les Etats tiers dans une logique de guerre, qui n’est pas uniquement économique. Pour cette raison, le Conseil d'Etat ne voit pas d’inconvénient à ce que vous votiez en faveur du postulat Raedler, tel que modifié, puisque notre système garantit la séparation des pouvoirs et l’autonomie décisionnelle des communes qui, librement, décideront du standard qu’elles veulent appliquer en matière de sécurité et d’équipements informatiques, tout en partageant avec elles les bonnes pratiques qu’il y a lieu de mettre en place pour réduire l’exposition aux cyberattaques.
Retour à l'ordre du jourLa discussion est close.
Le Grand Conseil prend le postulat en considération partiellement à l’unanimité.