L’Office fédéral de la cybersécurité a noté en 2023 des lacunes de gouvernance et souhaite améliorer sa gestion des fournisseurs externes en 2024.
Pour 2023, l’Office fédéral de la cybersécurité (OFCS) a évalué l’état de la sécurité informatique de l’administration fédérale. Le rapport repose sur une enquête auprès des délégués à la sécurité de l’information des départements et de la Chancellerie fédérale, ainsi que sur les signalements des fournisseurs de prestations internes. Les tensions géopolitiques ont intensifié les cyberattaques, dont celles menées par des hacktivistes prorusses et des incidents impliquant des fournisseurs externes.
Les incidents de l’année ont souligné la nécessité d’améliorer la gestion des fournisseurs pour renforcer la cybersécurité. Des lacunes existent dans la gouvernance des données et les relations avec les partenaires externes, entraînant des normes de sécurité inégales. La gestion des incidents impliquant plusieurs niveaux étatiques, comme le cas de Xplain AG, a révélé un manque de coordination avec les cantons.
Comme rappelé dans son rapport intégré plus bas ici, la sécurité informatique dans l’administration fédérale vise à prévenir et gérer rapidement les cyberincidents, définis comme des événements affectant la confidentialité, la disponibilité ou l’intégrité des informations. Le Conseil fédéral édicte des ordonnances et directives pour garantir cette sécurité. En 2024, le Secrétariat d’État à la politique de sécurité (SEPOS) sera responsable de ces directives, centralisant les efforts pour une approche cohérente.
La sécurité des fournisseurs comme priorité
Les unités administratives doivent ainsi respecter et mettre en œuvre les directives de sécurité informatique. Dans son rapport, l’OFCS indique que, sur les 2176 objets à protéger, 81,8 % possèdent des documents de sécurité valables, avec des mesures garanties pour 74,4 % d’entre eux. Les documents de sécurité doivent être à jour, une exigence remplie pour 92 % des documents valables. Cependant, la mise à jour simultanée de nombreux documents a posé des défis en 2023.
Le Conseil fédéral a défini des mesures pour améliorer la sécurité de l’information en 2024, centrées sur trois axes principaux : renforcer la gestion de la sécurité avec les fournisseur, élaborer un programme de formation pour sensibiliser les collaborateurs, et établir une vue d’ensemble des moyens de communication pour les autorités fédérales. Ces initiatives répondent aux incidents de 2023 et visent à renforcer la sécurité informatique à court et moyen terme. Les départements et la Chancellerie fédérale continueront de tenir à jour les documents de sécurité et de mettre en œuvre les mesures nécessaires en temps opportun, avec un accent particulier sur l’implémentation des mesures de sécurité.
Pour en savoir plus
Avis de publication : Rapport sur la sécurité informatique de la Confédération 2023
Lors de sa séance du 26 juin 2024, le Conseil fédéral a pris connaissance du rapport sur la sécurité informatique de la Confédération 2023.
BACS bemängelt IT-Sicherheit der Bundesverwaltung
« Probleme bei der Compliance », « Defizite bei der bundesweiten Daten-Governance », « Mängel bei der Übersicht über die Geschäftsbeziehungen mit externen Partnern »: Die To-do-Liste der Bundesverwaltung in Sachen Cybersicherheit…