L’éthique et le droit pour promouvoir la confiance en la cybersécurité

La société moderne est de plus en plus dépendante des technologies de l'information, ce qui explique l’importance de la cybersécurité. L'appel au développement de l'expertise à ce sujet a donné lieu à la «Stratégie nationale pour la protection de la Suisse contre les cyberrisques» (SNPC). Ses principes fondamentaux sont a) une approche basée sur les risques, selon laquelle il n’est pas possible d’éviter complétement les risques cybernétiques, mais qu’ils peuvent être réduits à un minimum acceptable, b) la mise en œuvre décentralisée de mesures appropriées, c) un rôle subsidiaire de l'État, d) la promotion de partenariats public-privé et e) une communication active avec les parties prenantes issues de la société civile et des milieux économiques et politiques. L’objectif principal du projet était de soutenir les éléments clés de la SNPC à l’aide de recherches fournissant une compréhension, des informations et des recommandations centrées sur les aspects non techniques de la cybersécurité.

Les progrès technologiques extrêmement rapides influent sur la cybersécurité. De nouvelles failles de sécurité apparaissent constamment et rendent nécessaires des mesures techniques de protection. De nombreux utilisateurs se sentent dépassés par la rapidité de ce développement, ce qui les empêche de prendre des décisions éclairées quant à leur comportement d'utilisation. L'État de droit est lui aussi mis au défi par ce changement technologique, car les procédures législatives jouissant d’un soutien démocratique ne sont pas toujours à même de suivre le rythme du développement technologique. Cette situation conduit à des lacunes au niveau de la gouvernance et des lois, rendant difficile une cybersécurité efficace et pourvue d’une légitimité démocratique.

Le projet poursuivait trois objectifs : premièrement, l’identification des besoins réglementaires en matière de cybersécurité, résultant de l'inadéquation entre la vitesse technologique et la vitesse législative. Deuxièmement, obtenir des données par le biais d'enquêtes auprès des opérateurs d'infrastructures critiques et des professionnels de la cybersécurité afin de soutenir la stratégie nationale de cybersécurité. Troisièmement, sur la base des résultats des deux premiers objectifs, créer un cadre de gouvernance composé de recommandations pour le législateur et de lignes directrices éthiques pour les professionnels.

Les besoins et les recommandations réglementaires ont été partagés lors de plusieurs manifestations à l'attention des parlements nationaux et cantonaux, de la communauté scientifique et de l’économie. Les points suivants doivent notamment être adoptés : 1) Une définition légale plus claire du concept d'infrastructure critique et une extension du champ d'application des exigences minimales en matière de cybersécurité dans la Loi sur la sécurité de l'information. 2) Un renforcement des exigences minimales existantes. 3) L'introduction d'exigences légales supplémentaires pour les services informatiques, notamment les services de sécurité numérique. Par ailleurs, des lignes directrices ont été élaborées pour la création d'une culture de la cybersécurité axée sur les valeurs. L'objectif était de garantir que les incertitudes éthiques et juridiques soient abordées suffisamment tôt pour ne pas entraver le processus décisionnel en cas d'incidents de cybersécurité exigeant une prise de décision rapide.

Trois messages essentiels

1. L’implication de l’État en matière de cybersécurité des infrastructures critiques devrait porter sur trois aspects. 1) La législation devrait mettre davantage l’accent sur les mesures préventives, une réglementation non contraignante pouvant aider les infrastructures critiques à réagir aux cyberincidents. 2) Si une collaboration avec les autorités s’avère nécessaire, celle-ci ne doit pas entraver l’autonomie des infrastructures critiques. 3) Le partage de l’information, que ce soit sur le plan technique ou managérial, devrait être soutenu par une législation adéquate.
2. Les infrastructures critiques doivent répondre à des exigences minimales en matière de cybersécurité qui doivent être définies dans la loi sur la sécurité de l’information, laquelle doit être modifiée afin de clarifier la notion d’infrastructures critiques et d’imposer des exigences supplémentaires aux services d’information.
3. Les personnes appelées à intervenir en première instance en cas d’incident doivent développer une culture de la cybersécurité lors d’étapes préparatoires impliquant des discussions ouvertes et d’ordre légal entre pairs en vue de déterminer comment aligner leurs actions sur des valeurs personnelles et sociétales afin de rendre la gestion des cyberattaques plus efficace.

Creating an ethical and legal governance framework for trustworthy cybersecurity in Switzerland

Dr. Markus Christen, UZH Digital Society Initiative, University of Zurich