L’éthique et le droit pour promouvoir la confiance en la cybersécurité

La société moderne est de plus en plus dépendante des technologies de l'information, ce qui explique l’importance de la cybersécurité. L'appel au développement de l'expertise à ce sujet a donné lieu à la «Stratégie nationale pour la protection de la Suisse contre les cyberrisques» (SNPC). Ses principes fondamentaux sont a) une approche basée sur les risques, selon laquelle il n’est pas possible d’éviter complétement les risques cybernétiques, mais qu’ils peuvent être réduits à un minimum acceptable, b) la mise en œuvre décentralisée de mesures appropriées, c) un rôle subsidiaire de l'État, d) la promotion de partenariats public-privé et e) une communication active avec les parties prenantes issues de la société civile et des milieux économiques et politiques. L’objectif principal du projet est de soutenir les éléments clés de la SNPC à l’aide de recherches fournissant une compréhension, des informations et des recommandations centrées sur les aspects non techniques de la cybersécurité.

Les progrès technologiques extrêmement rapides influent sur la cybersécurité. De nouvelles failles de sécurité apparaissent constamment et rendent nécessaires des mesures techniques de protection. De nombreux utilisateurs se sentent dépassés par la rapidité de ce développement, ce qui les empêche de prendre des décisions éclairées quant à leur comportement d'utilisation. L'État de droit est lui aussi mis au défi par ce changement technologique, car les procédures législatives jouissant d’un soutien démocratique ne sont pas toujours à même de suivre le rythme du développement technologique. Cette situation conduit à des lacunes au niveau de la gouvernance et des lois, rendant difficile une cybersécurité efficace et pourvue d’une légitimité démocratique.

Le projet poursuit trois objectifs : premièrement, l’identification des besoins de réglementation dans le domaine de la cybersécurité, résultant du décalage entre la vitesse technologique et la vitesse législative. Deuxièmement, la récolte de données par le biais d'enquêtes auprès d'opérateurs d'infrastructures critiques et d'experts, dans le but de soutenir la stratégie nationale de cybersécurité. Et troisièmement, la création pour les parties prenantes helvétiques d’un cadre de gouvernance concernant les aspects éthiques et juridiques de la cybersécurité.

Le projet vise à élaborer pour le Parlement et l'administration des propositions concrètes sur la manière dont la législation suisse peut faire face aux défis dans le domaine de la cybersécurité. Ces travaux permettront en outre d’élaborer des lignes directrices concernant la gestion de décisions difficiles devant être prises en cas de cyberattaque par les computer emergency response teams, les équipes chargées des risques et de la conformité des infrastructures critiques et les fournisseurs de solutions de cybersécurité, par exemple lorsqu'il est nécessaire d'établir un ordre de priorité pour les infrastructures à protéger.

Creating an ethical and legal governance framework for trustworthy cybersecurity in Switzerland