Chaque année en Suisse, le nombre de cyberattaques visant des infrastructures numériques augmente. On se souvient encore du cas très récent de la commune de Rolle, qui a été la victime d’une cyberattaque. Les autorités ont suivi les directives de la Confédération en ne payant pas la rançon. Les données volées ont alors été publiées sur le Darknet, avec toutes les conséquences qu’on peut imaginer, pour la crédibilité et le fonctionnement de la commune, mais surtout pour les citoyens de cette même commune, dont certaines données sensibles ont été volées.
Le cadre est posé.
Venons-en à l’ambiance générale. Parce que Rolle n’est malheureusement pas un cas unique. Avec la numérisation de notre société et de notre économie, accélérée encore par la pandémie, les pros des cyberattaques ne savent plus où donner de la tête, tant les cibles sont nombreuses. Petites et moyennes entreprises, associations et communes sont des cibles idéales. Le fait est qu’une protection efficace supposerait d’investir dans des formations, des ressources et des infrastructures, dont le coût est conséquent pour de petites et moyennes structures. Chose peu anodine puisque, pour rappel, dans notre pays, 95% des entreprises sont des PME de moins de 20 personnes.
On pourrait clore le débat ici en disant qu’il s’agit de l’affaire des petites et moyennes structures et entreprises et qu’il leur revient de se protéger. Les enjeux vont pourtant bien au-delà de la commune ou de l’entreprise. Il ne s’agit plus que de la sécurité et du fonctionnement des entreprises ou des communes. Il s’agit de la protection des données de leurs clients pour les entreprises ou des citoyens pour les communes. On parle là de données personnelles et sensibles qui vont des données personnelles de la personne aux numéros AVS, en passant par des fichiers clients. Rendre l’individu, le citoyen transparent est la meilleure manière pour connaître et affaiblir la société. Certains groupes l’ont bien compris et cet enjeu de cybersécurité devient désormais d’une importance nationale, au même titre que la défense face à d’autres attaques plus classiques et mieux connues.
C’est pour traiter cette réalité que j’ai déposé une motion au Conseil des états, chargeant le Conseil fédéral d’étendre la protection fédérale contre les cyberattaques aux cantons, aux communes et aux PME dans leur ensemble. Actuellement, seule la Confédération dispose des compétences et des moyens nécessaires pour sensibiliser et inciter les petites et moyennes structures à mieux se protéger contre lesdites attaques. Seulement, la base légale limite cette protection aux « infrastructures critiques ». Il est visiblement nécessaire de changer la donne et d’étendre cette notion aux entités précitées.
Pourquoi ? Parce que la transition numérique doit rester une chance. Elle est aujourd’hui affaiblie par certains des risques non-maitrisés et cette situation peut être corrigée. Considérant que le tissu économique et la population sont les premiers concernés ; considérant que les investissements sont trop conséquents pour être engagés de manière individuelle ; il est du rôle des pouvoirs publics d’accompagner cette évolution et de prévoir une protection à la hauteur du risque.
En conclusion, je mets en évidence deux mots : anticipation et action. Les défis futurs dans le domaine de l’informatique sont complexes et doivent être anticipés pour que le potentiel de la digitalisation puisse être pleinement exploité au bénéfice de la population.