Loi sur la sécurité de l'information : le Conseil fédéral met les ordonnances en consultation

Pour que la loi sur la sécurité de l'information (LSI) entre en vigueur, il faut trois Ordonnances et une autre ordonnance doit faire l'objet d'une révision partielle. Lors de sa séance du 24 août 2022, le Conseil fédéral a ouvert la procédure de consultation. ouvre. L'ISG et les dispositions d'exécution devraient entrer en vigueur à la mi-2023.

Trois nouvelles ordonnances et une révision partielle

Ordonnance sur la sécurité de l'information (OSI)La nouvelle OSI réunit, complète et remplace deux ordonnances existantes, à savoir l'ordonnance sur les cyberrisques et l'ordonnance sur la protection des informations. Elle s'applique en premier lieu à l'administration fédérale et à l'armée. Les modifications prévues par rapport au droit en vigueur concernent notamment la disposition relative à la mise en œuvre d'un système de gestion de la sécurité de l'information, l'introduction d'une obligation d'accréditation des moyens informatiques, le relèvement du seuil de classification des informations classifiées ainsi que l'introduction d'un suivi ("aftercare") usuel au niveau international dans le cadre de la sécurité des personnes. En outre, les directions des offices de l'administration fédérale sont tenues d'assumer de nouvelles tâches, compétences et responsabilités dans le domaine de la sécurité de l'information.

Ordonnance sur les contrôles de sécurité relatifs aux personnes (OCSP)Celle-ci regroupe les dispositions d'exécution relatives aux différents contrôles de sécurité relatifs aux personnes. Elle remplace l'ordonnance sur les contrôles de sécurité relatifs aux personnes, l'ordonnance sur les contrôles de sécurité relatifs aux personnes dans le domaine des installations nucléaires et toutes les anciennes ordonnances départementales sur les contrôles de sécurité relatifs aux personnes. Les contrôles de sécurité relatifs aux personnes servent à évaluer s'il existe un risque pour la sécurité de l'information de la Confédération lorsqu'une personne exerce, dans le cadre de sa fonction, une activité sensible en matière de sécurité. Selon la nouvelle loi, ces contrôles doivent être réduits au minimum nécessaire pour identifier les risques importants pour la Confédération. Ainsi, le nombre d'audits à réaliser à l'avenir devrait être nettement inférieur. Cet objectif sera atteint notamment grâce à l'augmentation mentionnée des seuils de classification dans le cadre de l'ISV.

Ordonnance sur la procédure de sécurité d'exploitation (OPSE)Elle règle les détails de la nouvelle procédure de sécurité d'exploitation introduite par la LSI et remplace l'ancienne ordonnance sur la protection du secret, limitée aux marchés classifiés militaires. La procédure de sécurité d'exploitation s'applique à tous les marchés sensibles en matière de sécurité que la Confédération attribue. Sont concernés les mandats dans le cadre desquels des informations classifiées confidentielles ou secrètes sont traitées ou des moyens informatiques avec une protection élevée ou très élevée sont exploités ou gérés.

De plus, l'entrée en vigueur de l'ISG nécessite des adaptations des Ordonnance sur les systèmes de gestion de l'identité et les services d'annuaire de la Confédération (IAMV)La révision partielle comprend notamment une extension du champ d'application aux unités administratives de l'administration fédérale décentralisée, dans la mesure où celles-ci ont accès aux systèmes informatiques de l'administration fédérale centrale.

La procédure de consultation durera jusqu'au 24 novembre 2022. Une obligation de notification supplémentaire pour les cyberattaques contre les infrastructures critiques nécessite une révision de la LSI. Cette révision est également en cours sous la direction du Département fédéral des finances. La procédure de consultation relative à la révision de l'ISG s'achèvera le 14 avril 2022.

Source : le Conseil fédéral