Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

29.05.2017
von: Bundesrat Guy Parmelin

La dimension "cyber" de notre politique de sécurité.

Ansprache von Bundesrat Guy Parmelin, Chef des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS), anlässlich der 3. Konferenz Sicherheitsverbund Schweiz in Safenwil am 04. Mai 2017.

Es gilt das gesprochene Wort!

"Houston on a eu un problème" vous reconnaitrez certainement cette phrase tirée de la mission spaciale Apollo 13. Dans le film qui relate cette histoire dramatique, le directeur de vol dit ensuite à son équipe qui cherche une solution pour ramener l'équipage à terre, "l'échec n'est pas une option". Si cette phrase du film est en réalité une "fake news" comme on dit aujourd'hui, à mes yeux elle est tout de même importante. 

Comme pour la cybersécurité de la Suisse nous n'avons pas non plus droit à l'échec.

Chers participants à la 3ème conférence du réseau national de sécurité, c'est pour moi un plaisir de m'exprimer sur un sujet qui m'a occupé dès mon arrivée au Conseil fédéral.

Mon intervention s'inscrit alors que le 26 avril dernier, le Conseil fédéral a décidé quelle sera la suite à donner à la Stratégie nationale pour la protection de la Suisse contre les cyberrisques, la NCS.

Mais ce sujet sera l'objet du prochain exposé. Je vais donc me limiter au DDPS et à la dimension « cyber-politique » de la "politique de sécurité".

Cyber! Ein Thema, das nur wenige Wochen nach meinem Amtsantritt bereits zu meinem Alltag gehörte. Zuerst erfolgte ein Denial-of-Service-Angriff gegen eines unserer Systeme, dann der Cyber-Angriff gegen die RUAG.

Das sind zwar wichtige Ereignisse, aber sie sind nur die Spitze des Eisbergs. Aufgrund der Dinge, die ich sehe und die mir von meinen Diensten berichtet werden, erkenne ich die potentiellen Risiken für die Schweiz.

Stellen Sie sich vor, was eine feindliche Übernahme der lebenswichtigen Leistungen und die Manipulation von Systemen, die deren Führung gewährleisten, bedeuten könnte.

Für unsere Gesellschaft könnten dadurch verheerende Schäden, vergleichbar mit den Auswirkungen eines klassischen Kriegs, entstehen. Um ihre Untätigkeit zu rechtfertigen sagen jedoch immer noch einige: „Bisher ist dies noch nie geschehen.“

Wollen Sie wirklich erst einmal zuwarten?
Als Flugleiter des VBS kommt für mich „ein Versagen nicht infrage“.

Les défis liés au cyberespace sont clairement là. Nous n'avons d'autre choix que de les affronter. Nous ne pouvons courir le risque, par attentisme, de nous laisser surprendre.

C'est pourquoi j'ai ordonné, en avril 2016 déjà, le lancement d’un plan d'action cyberdéfense avec 3 buts:

  • s'adapter à l'évolution de la menace,
  • concrétiser, dans le domaine cyber, la Loi sur le Renseignement et la Loi militaire
  • et fournir les prestations subsidiaires réclamées par la stratégie nationale.

Il y a un peu plus de 100 ans, nous devions apprendre à nous battre dans le ciel. Aujourd'hui, nous devons faire de même dans le cyberespace et y défendre tout aussi sérieusement notre pays.

Je me permets de vous rappeler l’article 2 de notre Constitution fédérale:
"La Confédération suisse protège la liberté et les droits du peuple et elle assure l'indépendance et la sécurité du pays".

Car la protection de notre Pays, Mesdames et Messieurs, est fondamentale. Tout ou presque en dépend : notre économie,  notre niveau de vie, notre santé, notre éducation et j’en passe. Ne l'oublions jamais.

En matière de cyber, nous ne pouvons plus attendre: ce n'est pas demain, ou plus tard, ou quand ce sera prévu dans la planification que nous devrons penser à défendre la Suisse. Ça a déjà commencé!

Es wäre nicht richtig zu behaupten, dass bisher noch nichts gemacht wurde. Das wäre eine Beleidigung für den Bundesrat, der bereits zahlreiche Entscheide in diesem Bereich gefällt hat, und für die Fachleute, die sich tagtäglich gegen „Cyber-Kriminalität“ wehren. Doch trotz der bereits unternommenen Anstrengungen, bin ich überzeugt, dass wir noch einiges bewerkstelligen müssen, damit die Schweiz die anbahnenden Cyber-Bedrohungen bewältigen kann.

Wenn ich die Investitionen sehe, die meine Amtskollegen der Nachbarländer tätigen, ist der Trend unverkennbar.

Wenn ich meine Beobachtungen weiter ausdehne, stelle ich fest, dass sich die Mehrheit der Staaten schleunigst mit offensiven Mitteln ausrüstet.

Nebenbei möchte ich daran erinnern, dass es in der Schweiz lediglich darum geht, die defensiven Mittel zu verstärken.

Es ist auch festzuhalten, dass gewisse Staaten anderswo, sich nicht um diese, durch unsere Neutralität gegebene Grenze kümmern und täglich gegen die Souveränität von anderen verstossen.

Lorsqu'en 2015 le Conseil fédéral s'est penché sur  la redéfinition du terme "défense" il ne s'est pas trompé et il a adapté le concept aux conflits contemporains en disant, je cite:

"Quand l’intensité et l’étendue d’une menace sont telles que l’intégrité territoriale, l’ensemble de la population ou l’exercice du pouvoir étatique sont menacés, on peut parler d’un cas de défense. Cependant, la menace ne doit pas nécessairement être d’origine étatique".

Et on pourrait ajouter «ni de nature cinétique».

Des progrès significatifs ont déjà été faits et nous disposons aussi des lois sur le renseignement et sur l'armée qui vont prochainement entrer en vigueur. Elles ne sont pas parfaites, mais constituent un grand progrès que nombre de pays n'ont pas encore.

Mais avant de vous présenter ma vision liée au "phénomène" cyber, commençons par un coup d'œil en arrière.

Considérez par exemple ce que vous faites aujourd'hui chaque jour avec un simple smartphone: Il y a 30 ans, soit il s'agissait de choses qui n'existaient pas, ou alors vous vous seriez ruinés pour une fraction des fonctionnalités qu'offrent aujourd'hui ces appareils.

Des chercheurs de Google ont démontré qu'une simple requête sur leur moteur de recherche mobilise la même quantité de puissance informatique que celle qui a permis d'envoyer Neil Armstrong sur la Lune... Et ceci en quelques millisecondes seulement!

Imaginez, sur la base de cet exemple, les pas de géant accomplis en seulement 50 ans.

Diesen Wandel, meine Damen und Herren, konnten wir alle miterleben. Doch haben wir ihn verstanden? Und handeln wir danach? Dort liegt unsere erste Herausforderung.

Wer hat wirklich verstanden, dass das Internet nicht wie Sauerstoff ist, den wir einfach so in vollen Zügen einatmen können?

Wer begreift die Komplexität und die Investitionen, die hinter einer simplen Wandsteckdose, die uns mit Daten oder Strom versorgt, stecken?

Stellen Sie sich vor, welche Folgen ein Ausfall dieser zwei zentralen Leistungen für die Gesellschaft haben könnte!

Wird ein Frosch in ein Glas kochend heisses Wasser gesteckt, wird er sich mit dem Mut der Verzweiflung befreien können. Wird er in kaltes Wasser gelegt, das langsam erhitzt wird, wird er erst merken, dass es zu heiss ist, wenn es schon zu spät ist…

Ich befürchte, dass das Wasser bereits kochend heiss ist und wir uns dessen zu spät bewusst werden.

Et puis viendra demain et avec lui toutes les nouveautés technologiques qui arrivent chaque jour sur le marché et que nous consommons si avidement. Des applications qualifiées de science-fiction dans Star Trek dès les années 60 sont désormais choses courantes. Pensez aux traducteurs automatiques, aux tablettes életroniques, aux smartphones, à l'ordinateur central dans les "nuages galactiques" ou encore à la visio-conférence.

La stratégie nationale de 2012 le disait déjà, ces technologies apportent d'indiscutables progrès. Mais elles signifient aussi une explosion des dépendances et d'innombrables vulnérabilités qu'il faut maîtriser. Le confort, la facilité, les prix bas et les économies d'échelle que permettent ces technologies nous font oublier l'essentiel: la sécurité et la souveraineté.

Sans trop nous poser de questions par ce que leurs offres sont soi-disant gratuites, nous livrons aux géants étrangers de l'industrie du Net des montagnes de données personnelles. Sans risques, vraiment? Mes questions et les doutes que j’affiche ne sont pas à comprendre comme un plaidoyer pour un retour en arrière. Ce n'est ni possible ni souhaitable. Mais nous devons devenir capables de gérer mieux et plus rapidement les opportunités et les risques liés aux technologies de l'information.

Pour cela, il faut disposer d'un arsenal complet et adéquat de mesures, notamment politiques, juridiques, techniques et éthiques. La technologie doit servir nos intérêts, et non pas devenir notre talon d'Achille.

Pour cela il faut en avoir une image claire et l'intégrer dans toutes nos réflexions.

Et anticiper doit être plus qu'un slogan! Nous devons avoir cette connaissance, sinon le risque est grand, lorsque surviendront des attaques majeures, que nous ne parvenions pas à en atténuer les conséquences.

Pourtant la probabilité d'occurrence de tels événements augmente chaque jour. Des personnalités de renom nous mettent en garde, tels que le physicien Stephen Hawking et le fondateur de Tesla, Elon Musk.

Nous devons donc pleinement comprendre la digitalisation, et en cela devenir un acteur conscient et non un utilisateur passif et aveugle. Meine Damen und Herren, Die Schweiz ist keine Insel. Sie ist im Herzen Europas und unterhält wichtige Verbindungen mit Europa. Die Bedrohungen auf unserem Kontinent könnten uns direkt betreffen.

Aus diesem Grund stehen der Bundesrat und mein Departement in engem Kontakt mit den Behörden der Nachbarländer, in erster Linie mit Frankreich, Deutschland und Österreich.

Die Cyber-Sicherheit ist ein eigenständiges Thema geworden. Dieser Austausch ist unabdingbar und ermöglicht uns, die von anderen begangenen Fehler nicht zu wiederholen.

Im November habe ich mit dem französischen Verteidigungsminister Le Drian eine Absichtserklärung zur Verstärkung unserer Zusammenarbeit in diesem Bereich unterzeichnet.

Aussenminister Didier Burkhalter und ich haben kürzlich bekanntgegeben, dass die Schweiz die Absicht hat, sich am Kompetenzzentrum in Tallinn zu beteiligen.

Sich reiflich Überlegungen über Cyber zu machen, bedeutet, Cyber in seiner Gesamtheit zu erfassen.

Alles führt uns zur Technologie, doch es wird zu dem, was einerseits die Industrie und die Nutzer daraus machen und andererseits was die Politik unternimmt oder unterlässt, um Cyber unter Kontrolle zu halten.

Jusqu'ici nous avons mis la priorité sur nos capacités de réaction. C'est essentiel car les incidents surviennent tous les jours. Je suis cependant convaincu que nous devons faire beaucoup plus pour réduire notre exposition aux cyberrisques partout où cela est possible. Ne pas le faire nous expose à des dégâts toujours plus importants.

Je suis aussi ministre des Sports et dans ce domaine nous savons qu'un corps entraîné récupère beaucoup plus vite des séquelles d'un accident. Par rapport aux cyberaccidents, la Suisse entière doit devenir plus "fit".

Et ce contenter de simplement évoquer le mot "résilience" comme un mantra ne suffit pas. Nous devons agir. Et cela a un prix!

Pour mon Département, les estimations montrent que la cyberdéfense devrait à elle seule coûter à peu près 2% de nos ressources. Bien sûr sans les investissements. Car c'est comme pour acheter une voiture : les freins, airbags et autre options de sécurité passive font partie du prix. Et moins on tolère les risques, plus c'est cher. Et plus on veut économiser plus on accepte de risques.

Mais croire que l'investissement dans de bons freins suffira pour toute la vie de la voiture, serait naïf. Ce serait s'illusionner que les conditions seront toujours les mêmes, sans accidents provoqués par d'autres, sans feuilles mortes dans les virages, sans voleurs, ni personne mal intentionnée.

Comme sur la route, dans le cyber nous avons besoin de forces de sécurité. Comme à l'armée, d’ailleurs, pour aider, protéger et combattre! Tout cela s'inscrit dans un contexte de menaces peu lisibles et imprévisibles, un contexte dans lequel nos appréciations sont souvent subjectives, dans un milieu où les acteurs peuvent se cacher, manipuler et diffuser instantanément et à l'échelle mondiale des informations sensibles.

En 2006, l'armée chinoise a engagé plus de 8'000 personnes dans un exercice dont l'objectif était la mise en œuvre des technologies de l'information dans l'art de la guerre moderne. Un membre de la direction d'exercice précisait alors « Nous voulons que la troupe engagée dans cet exercice se rende compte que la défaite en matière de technologie de l'information signifie la défaite au combat ».

Pour nos adversaires, l’enjeu n’est plus de s’emparer des plans de nos forteresses alpines, mais de prendre le contrôle des technologies de l’information et de la communication dont nous dépendons.

L'imaginaire collectif voit les auteurs des cyberagressions comme de gentils hackers boutonneux isolés dans leur chambre ou leur garage et auxquels on pardonne beaucoup.

En réalité ce sont des criminels et, de plus en plus souvent, il s’agit d’Etats. Et les exemples se multiplient. Je vous épargnerai la liste. Mais celle-ci s’allonge chaque jour un peu plus. Nous ne pouvons donc pas en rester au niveau des instruments créés ces dernières années, du temps où l'on pouvait encore compter avec précision les blindés venant de l'Oural et les avions sur les radars.

Aujourd'hui ces informations sont manipulées en temps réel. Cela peut provoquer de mauvaises réactions ou l'absence de réaction, alors que l'ennemi est déjà dans nos murailles.

Wie ich bereits erwähnte, werden wir die NCS – Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken – überprüfen. Das VBS wird sein ganzes Knowhow zur Unterstützung dieses Projekts einsetzen, damit alle Aspekte, die ich erwähnt habe, berücksichtigt werden.

Wir müssen uns jedoch darüber im Klaren sein, dass nur ein wenig Informatiksicherheit, und dass jeder für sich handelt, nicht mehr ausreicht. Es handelt sich nun um einen zentralen Bereich unserer Sicherheitspolitik. Von der NCS erwarte ich daher in erster Linie einen klar messbaren Beitrag zur Sicherheit der Schweiz.

Von den Fachkräften erwarte ich, dass sie Lösungen vorweisen und die Risiken objektiv aufzeigen, damit der Bundesrat in voller Kenntnis der Sachlage entscheiden kann.

Die NCS soll zudem situationsgerecht sein. Ich möchte nicht hören „bisher haben wir alles richtig gemacht, also machen wir auch so weiter“. Es ist die Situation, welche die Lösung vorschreibt, nicht umgekehrt.

Die NCS soll uns auf die Probleme von morgen vorbereiten; nicht auf die heutigen, und noch weniger auf die gestrigen.

Die NCS soll bei den Ressourcen alle Lösungen in Betracht ziehen. Eine Fährte könnte interessant sein: Der Zivildienst.

Ist die Idee juristisch, politisch oder praktisch angemessen? Wir werden es nur wissen, wenn wir nach Lösungen suchen. Schliesslich soll sich die NCS an alle Bürgerinnen und Bürger sowie an alle Unternehmen im Land richten. Sie soll ermöglichen, eine regelrechte öffentliche Politik der Cyber-Sicherheit zu errichten.

S'agissant du DDPS, nous devons être en mesure de remplir nos missions en toutes circonstances. Pour nous aussi le cyberespace fait disparaître les limites entre temps de paix et temps de crise ou de guerre et nous devons également nous adapter.

Depuis sa création, l'armée s'adapte de manière continue et de nombreuses décisions ont déjà été prises. D'autres suivront.

Pour s'adapter aux défis du cyberespace, pour mettre en œuvre les nouvelles lois sur le renseignement et l'armée et être en mesure de mieux assister les opérateurs d'infrastructures critiques qui seraient confronté à des cyberattaques, mon département a développé une stratégie spécifique pour la cyberdéfense.

Le DDPS entend ainsi se doter des moyens, en quantité et qualité, afin de devenir un pôle reconnu en matière de cyberdéfense. Il le fera en étroite collaboration avec ses partenaires, l'économie et les hautes écoles afin d'être en mesure

  • de protéger, défendre et assurer la résilience en tout temps et toute circonstance de ses systèmes et infrastructures TIC face aux cyberrisques;
  • de soutenir les opérations militaires et de renseignement dans le cyberespace;
  • de prêter assistance aux autorités civiles en cas de cyberattaques contre les infrastructures critiques.


Ce chantier s'étalera jusqu'en 2020 et un des pièces maîtresses sera le CAMPUS cyberdéfense, avec nos partenaires. Cet instrument aura trois piliers: l'anticipation, les capacités et la formation.

Le plan du DDPS sera réalisé dans le cadre de nos compétences et de nos moyens. Il sera un appui fort pour la nouvelle NCS. Ce plan sera comme une boîte à outils: agile et efficace. Car encore une fois, c'est la solution qui doit s'adapter au problème, non l'inverse.

Danke und Glückwunsch an alle, die zu den bereits geleisteten Arbeiten beigetragen haben und die tagtäglich gegen Cyber-Kriminalität kämpfen.

Danke auch im Voraus für die wichtige und komplexe Arbeit, die Sie noch leisten werden.

Pour conclure, j'aimerais partager avec vous une vision. Pour cela nous allons revenir aux années '80.

On disait alors de la Suisse qu'elle n'avait pas d'armée, mais qu'elle était une armée.

En matière de cybersécurité, ne serait-ce pas le modèle que nous devrions, au moins partiellement, tenter de reproduire?

Si chacun s'y met, si chacun fait sa part du travail, si chacun est vigilent et responsable pour lui et pour les autres, alors la Suisse sera vraiment devenue un pays plus sûr.

Soyez des "cy-bär". Vous savez Bär, …comme l'ours : Fort, brave, fier et souverain!

Je vous remercie pour votre attention.

Quelle und gesamter Bericht: Der Bundesrat - Das Portal der Schweizer Regierung


Security-Finder Schweiz: Newsletter