L’entrée en vigueur de la loi sur la sécurité de l’information nécessite l’élaboration de trois ordonnances et la révision partielle d’une quatrième. Le Conseil fédéral a ouvert la procédure de consultation qui s’y rapporte lors de sa séance du 24 août 2022, l’entrée en vigueur de la loi et de ses dispositions d’exécution étant prévue pour l’été 2023.
La loi sur la sécurité de l’information (LSI) fixe un cadre légal formel et unifié pour la sécurité de l’information au sein de la Confédération et régit les principales mesures visant à protéger les informations et les moyens informatiques de toutes les autorités fédérales. Elle permet aussi de combler certaines lacunes juridiques et organisationnelles. En vue de l’entrée en vigueur de la loi à l’été 2023, le Conseil fédéral a élaboré des dispositions d’exécution et mis en consultation quatre ordonnances.
Trois nouvelles ordonnances et une révision partielle
Ordonnance sur la sécurité de l’information (OSI): la nouvelle OSI réunit, complète et remplace l’ordonnance concernant la protection des informations et l’ordonnance sur les cyberrisques. Elle s’applique en premier lieu à l’administration fédérale et à l’armée. Les principaux changements prévus par rapport au droit actuel sont la disposition relative à la mise en œuvre d’un système de gestion de la sécurité de l’information, l’instauration d’une obligation d’accréditation des moyens informatiques, l’augmentation du seuil de classification pour les informations classifiées et l’introduction d’un suivi (aftercare) usuel sur le pan international dans le cadre de la sécurité des personnes. En outre, de nouvelles tâches, compétences et responsabilités sont confiées aux directions d’office de l’administration fédérale dans le domaine de la sécurité de l’information.
Ordonnance sur les contrôles de sécurité relatifs aux personnes (OCSP): la nouvelle OCSP compile les dispositions d’exécution sur les différents contrôles de sécurité relatifs aux personnes. Elle remplace l’ordonnance sur les contrôles de sécurité relatifs aux personnes, l’ordonnance sur les contrôles de sécurité relatifs aux personnes dans le domaine des installations nucléaires et toutes les ordonnances départementales sur les contrôles de sécurité relatifs aux personnes. Ces contrôles servent à déterminer s’il existe un risque pour la sécurité de l’information de la Confédération lorsqu’une personne exerce une activité sensible dans le cadre de sa fonction. Il est prévu de les limiter au minimum nécessaire à l’identification de risques considérables pour la Confédération, ce qui réduira nettement leur fréquence à l’avenir. Cet objectif sera atteint notamment grâce à l’augmentation des seuils de classification dans le cadre de l’OSI.
Ordonnance sur la procédure de sécurité relative aux entreprises (OPSE): l’OPSE règle les détails de la procédure de sécurité relative aux entreprises introduite par la LSI et remplace l’ordonnance concernant la sauvegarde du secret, limitée aux mandats à contenu militaire classifié. Cette procédure s’applique à tous les mandats sensibles que la Confédération attribue. Il s’agit notamment de mandats incluant le traitement d’informations classifiées CONFIDENTIEL ou SECRET ou l’exploitation et la gestion de moyens informatiques relevant de la catégorie de sécurité «protection élevée» ou «protection très élevée».
Révision partielle de l’ordonnance sur les systèmes de gestion des données d’identification et les services d’annuaires de la Confédération (OIAM): la révision partielle de l’OIAM étend le champ d’application de l’ordonnance aux unités administratives de l’administration fédérale décentralisée, dans la mesure où celles-ci ont accès aux systèmes informatiques de l’administration fédérale centrale.
La procédure de consultation dure jusqu’au 24 novembre 2022.
Révision de la LSI induite par l’obligation de signaler les cyberattaques contre les infrastructures critiques: Ces quatre ordonnances couvrent les chapitres 1 à 4 de la LSI. Le chapitre 5 étant en cours de révision, aucune disposition d’exécution n’a encore été précisée à son sujet. Une obligation de signalement des cyberattaques contre les infrastructures critiques sera introduite sous la responsabilité du Département fédéral des finances. La procédure de consultation relative à la révision de la LSI s’est terminée le 14 avril 2022.
Source: Le Conseil fédéral