![\"\"](\"\/dynBase\/images\/article_rect\/1132062093_12D_Aebele_01.eps.jpg\")
<\/p>\nDepuis les ann\u00e9es nonante, de nombreux \u00c9tats modernes ont commenc\u00e9 \u00e0 se pr\u00e9occuper des questions relevant de la protection des infrastructures critiques de l’information (Pici ou CIIP en anglais) et \u00e0 l’int\u00e9grer \u00e0 leur politique de s\u00e9curit\u00e9. Si cette protection est importante, c’est que non seulement l’\u00e9conomie et l’\u00c9tat, mais aussi la prosp\u00e9rit\u00e9 de tous les citoyens d\u00e9pendent de plus en plus de la disponibilit\u00e9 permanente des \u00absyst\u00e8mes nerveux num\u00e9riques\u00bb. La privatisation, d\u00e8s les ann\u00e9es quatre-vingt, de nombreuses entreprises publiques vitales pose le probl\u00e8me crucial de savoir \u00e0 qui incombe, de l’\u00c9tat ou du secteur priv\u00e9, la responsabilit\u00e9 des mesures et de la pr\u00e9vention \u00e0 adopter dans le cadre de la s\u00e9curit\u00e9 nationale, la situation et le domaine demandant encore \u00e0 \u00eatre pr\u00e9cis\u00e9.
<\/p>\n
\nSuite au progr\u00e8s rapide de la r\u00e9volution informatique et du maillage croissant des soci\u00e9t\u00e9s modernes, la d\u00e9pendance vis-\u00e0-vis de ce qu’on appelle les \u00abinfrastructures critiques\u00bb, et notamment celles qui concernent l’information, ne cesse de cro\u00eetre. Les informations v\u00e9hicul\u00e9es par ces r\u00e9seaux, de m\u00eame que les prestations et les processus qu’elles permettent, constituent fr\u00e9quemment la base sur laquelle s’appuie le fonctionnement de toutes les autres infrastructures, d’o\u00f9 leur int\u00e9r\u00eat particulier (voir encadr\u00e9s 1 et 2).\u00a0Les \u00c9tats modernes tels que la Suisse ont beaucoup \u00e0 perdre si leurs infrastructures de l’information \u00e9taient frapp\u00e9es par une panne majeure. Plus de 70% des personnes actives occup\u00e9es en Suisse travaillent dans le secteur des services et, selon des estimations, 25% des entreprises feraient faillite en cas de panne informatique g\u00e9n\u00e9rale, \u00e0 moins que celle-ci ne soit r\u00e9par\u00e9e tr\u00e8s rapidement. Pour une banque, par exemple, ce serait d\u00e9j\u00e0 le cas apr\u00e8s deux jours de panne, et tout au plus trois pour une entreprise commerciale.1 Cette d\u00e9pendance et les risques et dangers qui en d\u00e9coulent pour la soci\u00e9t\u00e9, l’\u00e9conomie et l’\u00c9tat sont de plus en plus reconnus par les d\u00e9cideurs et les responsables.
<\/p>\n
\nSuite \u00e0 la lib\u00e9ralisation et \u00e0 la privatisation de nombreuses r\u00e9gies publiques (eau, \u00e9lectricit\u00e9, transports ou t\u00e9l\u00e9phonie), une grande partie des infrastructures vitales (de l’information) se trouve en mains priv\u00e9es, m\u00eame en Suisse. Cela pose la question cruciale de savoir \u00e0 qui incombe, de l’\u00c9tat ou du secteur priv\u00e9, la responsabilit\u00e9 des mesures et de la pr\u00e9vention \u00e0 adopter dans le cadre de la s\u00e9curit\u00e9 nationale, la situation et le domaine demandant encore \u00e0 \u00eatre pr\u00e9cis\u00e9.\u00a0En mati\u00e8re de Pici, les int\u00e9r\u00eats de l’\u00e9conomie et de l’\u00c9tat sont en principe les m\u00eames, puisque les cons\u00e9quences d’une longue panne seraient catastrophiques pour l’un comme pour l’autre: il leur faut \u00e0 tout prix assurer un fonctionnement sans probl\u00e8me et une disponibilit\u00e9 constante des infrastructures de l’information. Toutefois, comme les entreprises doivent toujours minimiser leurs co\u00fbts tout en maximisant leurs gains, elles ne sont pas toujours pr\u00eates \u00e0 engager les ressources suffisantes \u00e0 la s\u00e9curit\u00e9 et \u00e0 la gestion des crises, au-del\u00e0 de la simple protection technique des informations.
<\/p>\n
\nIl ne suffit pas de consid\u00e9rer la Pici com-me un simple probl\u00e8me de s\u00e9curit\u00e9 informatique, que les seuls moyens techniques permettraient de r\u00e9soudre (logiciels anti-virus, pare-feu, codage des donn\u00e9es, respect de normes particuli\u00e8res, etc.). Pour que les m\u00e9canismes commerciaux essentiels fonction-nent en permanence, il est tout aussi important de prendre en compte les facteurs organisationnels et humains, et de promouvoir ce qu’on appelle les partenariats public\/priv\u00e9 (PPP).\u00a0L’aspect p\u00e9nal repr\u00e9sente une autre dimension du probl\u00e8me: faute de proc\u00e9dures efficaces de poursuite p\u00e9nale, de modifications de la l\u00e9gislation nationale et de coop\u00e9ration internationale, la soci\u00e9t\u00e9 et ses infrastructures critiques ne peuvent \u00eatre prot\u00e9g\u00e9es de la criminalit\u00e9 informatique.\u00a0Viennent enfin les questions qui d\u00e9ri-vent de la politique de s\u00e9curit\u00e9, donc les sc\u00e9narios qui d\u00e9passent les petits probl\u00e8mes quotidiens des exploitants priv\u00e9s d’infrastructures et qui prennent une ampleur nationale; que l’on songe par exemple aux pannes d’\u00e9lectricit\u00e9 aux \u00c9tats-Unis. Pour emp\u00eacher de tels \u00e9v\u00e9nements ne se produi-sent, il est d’indispensable d’intervenir aux niveaux technique, organisationnel, l\u00e9gis-latif et international.
<\/p>\n
\nCes diff\u00e9rents aspects de la Pici peuvent poser des probl\u00e8mes de compr\u00e9hension et susciter des conflits d’int\u00e9r\u00eat lors de la recherche d’outils efficaces et de solutions communes. Il est primordial que les interlocuteurs priv\u00e9s et publics \u00e9changent leurs informations dans un esprit de coop\u00e9ration, et que celles-ci circulent au sein de chaque secteur.\u00a0Le secteur priv\u00e9 ne manifeste, pourtant, pas toujours d’int\u00e9r\u00eat \u00e0 cette coop\u00e9ration, m\u00eame s’il pr\u00e9sente parfois des carences au niveau strat\u00e9gique, par exemple dans le domaine de la lutte contre le terrorisme, qui pourraient \u00eatre combl\u00e9es par l’\u00c9tat. Il existe trois raisons essentielles \u00e0 cela:\u00a0– on craint d’abord qu’une fois partag\u00e9es avec l’\u00c9tat, des informations \u00absensibles\u00bb sur des probl\u00e8mes av\u00e9r\u00e9s de s\u00e9curit\u00e9 ne soient pas trait\u00e9es avec la pr\u00e9caution requise, ce qui pourrait entacher la r\u00e9putation de l’entreprise;\u00a0– ensuite, de nombreuses entreprises \u00e9tablies en Suisse traitent l’essentiel de leurs affaires \u00e0 l’\u00e9tranger;\u00a0– enfin, l’\u00e9conomie consid\u00e8re la Pici dans une perspective d’entreprise: elle s’int\u00e9resse davantage \u00e0 la continuit\u00e9 des affaires qu’\u00e0 l’aspect politique de la s\u00e9curit\u00e9.\u00a0\u00a0L’\u00c9tat doit donc convaincre l’\u00e9conomie que la Pici a un aspect politique et que les entreprises devraient en tenir compte, dans leur propre int\u00e9r\u00eat, dans leur analyse des risques et leurs plans d’urgence.
<\/p>\n
\nEn Suisse, au niveau f\u00e9d\u00e9ral, une foule d’entit\u00e9s administratives s’occupent de la protection des infrastructures critiques de l’information.2 Le coeur du syst\u00e8me est depuis quelques ann\u00e9es le mod\u00e8le dit des quatre piliers, qui prend en compte les divers aspects de la Pici, et qui se compose des \u00e9l\u00e9ments et protagonistes suivants.
<\/p>\n
\nLa pr\u00e9vention consiste \u00e0 veiller par des mesures techniques et organisationnelles, mais aussi humaines (formation, information), \u00e0 ce qu’il se produise aussi peu d’incidents que possible. Elle s’effectue, entre autres, par une analyse sectorielle des risques men\u00e9e par les exploitants des infrastructures vitales, dans le cadre de l’approvisionnement \u00e9conomique du pays. La Centrale d’enregistrement et d’analyse pour la s\u00fbret\u00e9 de l’information (en allemand \u00abMelde- und Analysestelle Informationssicherung\u00bb, Melani), entr\u00e9e en service l’an dernier, assume un r\u00f4le important au niveau f\u00e9d\u00e9ral sur ce plan l\u00e0. Elle a pour t\u00e2che d’informer aussi bien la population et les PME que les exploitants d’infrastructures critiques du danger de recourir \u00e0 des technologies risqu\u00e9es et dont la mise au point laisse \u00e0 d\u00e9sirer, et de leur signaler les lacunes au plan de la s\u00e9curit\u00e9. Melani est dirig\u00e9e par l’Unit\u00e9 de strat\u00e9gie informatique de la Conf\u00e9d\u00e9ration (Usic) et soutenue par le service d’analyse et de pr\u00e9vention de l’Office f\u00e9d\u00e9ral de la police (Fedpol) et le \u00abComputer Emergency Response Team\u00bb (Cert) de la fondation Switch. Alors que l’Usic se concentre avant tout sur la pr\u00e9vention et que la Fedpol centralise les renseignements, le Cert fait office de centre de comp\u00e9tence et de support technique.
<\/p>\n
\nMelani doit le plus possible d\u00e9tecter \u00e0 temps les dangers et les situations mena\u00e7antes pour que les dispositifs de d\u00e9fense puissent \u00eatre mis en place et les technologies \u00e0 risque \u00eatre \u00e9vit\u00e9es.
<\/p>\n
\nAvec le concours de l’Infrastructure de la technologie de l’information et de la communication (en anglais \u00abInformation and Communication Technology Infrastructure\u00bb, ICT-I) de l’Office f\u00e9d\u00e9ral pour l’approvisionnement \u00e9conomique du pays (Ofae), l’\u00e9tat-major sp\u00e9cial Information Assurance (en allemand \u00abSonderstab Information Assurance\u00bb, Sonia) est l’organe strat\u00e9gique de gestion des crises qui veille \u00e0 ce que les cons\u00e9quences de pannes sur l’\u00c9tat, l’\u00e9conomie et la soci\u00e9t\u00e9 soient r\u00e9duites \u00e0 leur minimum.
<\/p>\n
\nLes causes techniques des pannes doi-vent \u00eatre \u00e9lucid\u00e9es, analys\u00e9es et \u00e9limin\u00e9es. Les premiers responsables sont ici Melani et les partenaires des services f\u00e9d\u00e9raux et de l’\u00e9conomie.
<\/p>\n
\nLa Suisse ne dispose ni d’une strat\u00e9gie nationale g\u00e9n\u00e9rale de protection des infrastructures vitales de l’information, ni d’une instance centrale qui s’occupe exclusivement de Pici. Par tradition, les comp\u00e9tences disponibles et les savoirs \u00e9prouv\u00e9s sont exploit\u00e9s l\u00e0 o\u00f9 ils existent d\u00e9j\u00e0, \u00e0 savoir dans les d\u00e9partements et organes sp\u00e9cialis\u00e9s. \u00c9tant donn\u00e9 l’ampleur du domaine auquel s’int\u00e9resse la Pici, certains de ses aspects sont confi\u00e9s \u00e0 diff\u00e9rentes organisations, ce qui peut sembler logique, mais cr\u00e9e aussi des flous.\u00a0Il est loisible de constater qu’\u00e0 quelques exceptions pr\u00e8s, les infrastructures de l’information que l’\u00c9tat entend prot\u00e9ger au nom de la s\u00e9curit\u00e9 nationale sont aussi celles qui forment la base de la comp\u00e9titivit\u00e9 et de la prosp\u00e9rit\u00e9 de la Suisse. Vu sous cet angle, il est logique qu’un des principaux acteurs strat\u00e9giques de la politique helv\u00e9tique de la Pici, \u00e0 savoir l’Usic, soit rattach\u00e9 au D\u00e9partement f\u00e9d\u00e9ral des finances (DFF).\u00a0Il est aussi \u00e9vident qu’en ce qui concerne les petits dangers \u00abquotidiens\u00bb qui menacent les infrastructures de l’information (virus, piratage informatique ou br\u00e8ve interruption des syst\u00e8mes), c’est aux exploitants (priv\u00e9s) d’infrastructures eux-m\u00eames qu’il incombe de veiller \u00e0 ce que cette protection soit ad\u00e9quate. Comme d’autres \u00c9tats, la Suisse met l’accent sur la responsabilit\u00e9 propre de chaque entreprise. L’\u00c9tat ne r\u00e9gule qu’en cas de n\u00e9cessit\u00e9 et doit trouver un \u00e9quilibre convenable entre les normes de s\u00e9curit\u00e9 et la rentabilit\u00e9 \u00e9conomique. En revanche, si les dangers qui menacent nos infrastructures de l’information entrent dans la cat\u00e9gorie des attentats terroristes ou proviennent d’autres \u00c9tats, on s’attend \u00e0 ce que les pouvoirs publics interviennent, puisqu’il s’agit d’un probl\u00e8me de s\u00e9curit\u00e9 nationale.
<\/p>\n
Depuis les ann\u00e9es nonante, de nombreux \u00c9tats modernes ont commenc\u00e9 \u00e0 se pr\u00e9occuper des questions relevant de la protection des infrastructures critiques de l’information (Pici ou CIIP en anglais) et \u00e0 l’int\u00e9grer \u00e0 leur politique de s\u00e9curit\u00e9. Si cette protection est importante, c’est que non seulement l’\u00e9conomie et l’\u00c9tat, mais aussi la prosp\u00e9rit\u00e9 de tous […]<\/p>","protected":false},"author":2706,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"ep_exclude_from_search":false,"footnotes":""},"post__type":[83],"post_opinion":[],"post_serie":[],"post_content_category":[105],"post_content_subject":[],"acf":{"seco_author":2706,"seco_co_author":null,"author_override":"","seco_author_post_ocupation_year":"","seco_author_post_occupation_de":"Risikoanalyseteam,Forschungsstelle f\u00fcr Sicherheitspolitik der ETH Z\u00fcrich","seco_author_post_occupation_fr":"\u00c9quipe d`analyse du risque, Centre de recherches sur la politique de s\u00e9curit\u00e9, EPF Zurich","seco_co_authors_post_ocupation":null,"short_title":"","post_lead":"","post_hero_image_description":"","post_hero_image_description_copyright_de":"","post_hero_image_description_copyright_fr":"","post_references_literature":"","post_kasten":null,"post_notes_for_print":"","first_teaser_header_de":"","first_teaser_header_fr":"","first_teaser_text_de":"","first_teaser_text_fr":"","second_teaser_header_de":"","second_teaser_header_fr":"","second_teaser_text_de":"","second_teaser_text_fr":"","kseason_de":"","kseason_fr":"","post_in_pdf":155657,"main_focus":null,"serie_email":null,"frontpage_slider_bild":"","artikel_bild-slider":null,"legacy_id":"9032","post_abstract":"","magazine_issue":null,"seco_author_reccomended_post":null,"redaktoren":null,"korrektor":null,"planned_publication_date":null,"original_files":null,"external_release_for_author":"19700101","external_release_for_author_time":"00:00:00","link_for_external_authors":"https:\/\/dievolkswirtschaft.ch\/exedit\/55dd875852322"},"_links":{"self":[{"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/posts\/155654"}],"collection":[{"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/comments?post=155654"}],"version-history":[{"count":1,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/posts\/155654\/revisions"}],"predecessor-version":[{"id":190304,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/posts\/155654\/revisions\/190304"}],"acf:user":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/users\/2706"}],"wp:attachment":[{"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/media?parent=155654"}],"wp:term":[{"taxonomy":"post__type","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post__type?post=155654"},{"taxonomy":"post_opinion","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post_opinion?post=155654"},{"taxonomy":"post_serie","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post_serie?post=155654"},{"taxonomy":"post_content_category","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post_content_category?post=155654"},{"taxonomy":"post_content_subject","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post_content_subject?post=155654"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nLa protection de l’information est un processus dans lequel les \u00e9changes permanents d’exp\u00e9riences jouent un r\u00f4le crucial La mise sur pied syst\u00e9matique d’un syst\u00e8me g\u00e9n\u00e9ral d’information, de gestion des crises et de protection des infrastructures de l’information, telle qu’elle est pr\u00e9vue dans le mod\u00e8le dit des quatre piliers, ne peut donc se faire que si l’\u00c9tat et l’\u00e9conomie collaborent \u00e9troitement. Le syst\u00e8me suisse de milice est pr\u00e9cieux de ce c\u00f4t\u00e9-l\u00e0, car les \u00e9changes entre politique et \u00e9conomie rel\u00e8vent d’une longue tradition.
\n
\nEncadr\u00e9 1: Bibliographie<\/a> – Dunn Myriam et Wigert Isabelle, The International Critical Information Infrastructure Protection (CIIP) Handbook, Zurich, Forschungsstelle f\u00fcr Sicherheitspolitik, 2004.- Henriksen Stein, \u00abThe Shift of Responsibilities within Government and Society\u00bb et Andersson Jan Joel et Malm Andreas \u00abMinding the Gap: Reconciling Responsibilities and Costs in the Provision of Societal Security\u00bb dans CRN-Workshop Report. Societal Security and Crisis Management in the 21st Century, Stockholm, 2004.- Informatikstrategieorgan Bund ISB, Verletzliche Informationsgesellschaft. Herausforderung Informationssicherheit, Berne octobre 2002- Joint Economic Committee, United States Congress, Security in the Information Age. New Challenges, New Strategies, Washington, mai 2002, p. 12. Internet: www.fas.org\/irp\/congress\/2002_rpt\/jec-sec<\/a> .pdf.- Metzger Jan, \u00abThe Concept of Critical Infrastructure Protection (CIP)\u00bb, Business and Security: Public-Private Sector Relationships in a New Security Environment (sous la dir. d’A.J.K. Bailes et d’I. Frommelt), Oxford, 2004.- The President’s Commission on Critical Infrastructure Protection (PCCIP), Critical Foundations: Protecting America’s Infrastructures, Washington, octobre 1997.- The White House, The National Strategy to Secure Cyberspace, Washington, f\u00e9vrier 2003.- Wigert Isabelle, \u00abDer Schutz kritischer Informationsinfrastrukturen in der Schweiz: Eine Analyse von Akteuren und Herausforderungen\u00bb, Bulletin 2005 zur schweizerischen Sicherheitspolitik (sous la dir. d’Andreas Wenger), Zurich, Forschungsstelle f\u00fcr Sicherheitspolitik, 2005.
\n
\nEncadr\u00e9 2: Les infrastructures critiques en Suisse<\/a> En Suisse, les infrastructures suivantes sont consid\u00e9r\u00e9es comme particuli\u00e8rement vitales: gouvernement et administrations publiques, services d’urgence et de sauvetage, (t\u00e9l\u00e9)communications, approvisionnement \u00e9nerg\u00e9tique, services financiers et assurances, industrie et artisanat, m\u00e9dias, transports et logistique, syst\u00e8me de sant\u00e9 et approvisionnement en eau.Les infrastructures critiques de l’information comprennent plus sp\u00e9cifiquement, d’apr\u00e8s les experts de la Conf\u00e9d\u00e9ration, la t\u00e9l\u00e9phonie, la t\u00e9l\u00e9copie, l’acc\u00e8s \u00e0 Internet par le r\u00e9seau fixe, le r\u00e9seau mobile, les satellites (GPS, etc.), les r\u00e9seaux de communication des CFF et de l’industrie \u00e9lectrique, les m\u00e9dias \u00e9lectroniques, l’\u00e9metteur radio \u00e0 ondes courtes Bern-Radio, enfin les r\u00e9seaux radio des autorit\u00e9s et du Bors (organisation suisse al\u00e9manique des services de sauvetage et de s\u00e9curit\u00e9).
\n
\nEncadr\u00e9 3: Risques et menaces<\/a> Les infrastructures critiques de l’information sont d’abord expos\u00e9es \u00e0 des cas de \u00abforce majeure\u00bb comme les catastrophes naturelles, les accidents \u00abde civilisation\u00bb (rupture de barrage, explosion de centrale nucl\u00e9aire, etc.) et les r\u00e9ductions de main-d’oeuvre (gr\u00e8ve ou \u00e9pid\u00e9mie). D’autres risques peuvent na\u00eetre des d\u00e9fauts organisationnels d’origine technique ou humaine: erreurs humaines (actives ou passives), pannes techniques, d\u00e9pendances, goulets d’approvisionnement, (cyber)terrorisme ou ce qu’on appelle \u00abInformation Operations\u00bba, pour ne citer que quelques exemples. L’\u00c9tat et les entreprises – quelle que soit leur taille – doivent aussi se prot\u00e9ger des dangers qui p\u00e8sent sur les infrastructures de l’information du fait de leurs propres collaborateurs et de ce qu’on appelle le \u00abSocial Engineering\u00bbb.<\/p>","protected":false},"excerpt":{"rendered":"