Nouvelles procédures de sécurité TIC
Le 1er juillet 2015, le Conseil fédéral a approuvé une révision des directives relatives à la sécurité des projets TIC dans l'administration fédérale. Un processus de contrôle sera désormais appliqué afin de réduire le risque d'espionnage par des fournisseurs de TIC instrumentalisés par les services de renseignement lors d'acquisitions pour l'administration fédérale. Les nouvelles directives entreront en vigueur le 1er janvier 2016.
Les services de renseignement de différents États poursuivent une vaste Stratégie la collecte d'informations. Ces services de renseignement peuvent obliger l'industrie des TIC de leur pays à ne pas respecter des obligations de confidentialité fixées par contrat ou par la loi. Compte tenu de cette évaluation de la menace, les fournisseurs de prestations dont le siège n'est pas en Suisse ou qui se trouvent dans une situation de dépendance dangereuse vis-à-vis de l'étranger ne peuvent plus être considérés comme des partenaires de sécurité TIC, comme c'était le cas jusqu'à présent. Ils doivent faire l'objet d'un contrôle intensif et, le cas échéant, être totalement exclus de l'acquisition de prestations critiques.
Processus de vérification ancré dans les instructions de sécurité TIC
C'est pourquoi, le 29 janvier 2014, le Conseil fédéral a chargé le Département fédéral des finances (DFF) d'élaborer, en collaboration avec les départements et la Chancellerie fédérale, des principes relatifs à la fourniture de prestations TIC dans l'administration fédérale, de recenser les besoins de protection face à des fournisseurs TIC instrumentalisés, de définir d'éventuelles mesures de protection et de coordonner ces dernières avec la procédure d'acquisition. Pour la mise en œuvre de ces mandats, l'Unité de pilotage informatique de la Confédération (UPIC) du DFF a établi un processus de contrôle qui sera ancré dans les directives sur la sécurité des TIC dans l'administration fédérale (WIsB) en tant que nouvelle consigne de sécurité et qui entrera en vigueur le 1er janvier 2016.
Les mesures relatives aux marchés publics sont réexaminées
Le processus de contrôle définit des critères pour l'identification des achats de TIC présentant des risques. Il précise en outre la manière dont les différentes mesures de protection en matière de sécurité, d'organisation et de droit des marchés publics, dont l'application est délicate, doivent être mises en œuvre. Le Conseil fédéral a en outre chargé l'Office fédéral des constructions et de la logistique (OFCL) d'examiner, dans le cadre de la révision de la LMP, une réglementation d'exception pour l'acquisition de prestations TIC particulièrement critiques pour la Confédération, y compris dans le domaine civil. Il s'agira de tenir compte des possibilités offertes par la protection de l'Etat, telles qu'elles sont prévues par l'accord international supérieur sur les marchés publics.
Communiqué de presse du Département fédéral des finances
