1 La présente ordonnance règle les mesures à prendre dans le domaine de la cyberdéfense concernant l’autoprotection et l’autodéfense de l’armée et de l’administration militaire en cas d’attaque contre leurs systèmes d’information et leurs réseaux informatiques.
2 La cyberdéfense militaire comprend l’ensemble des actions menées dans le cyberespace aux échelons de conduite militaro-stratégique et opératif visant à assurer l’autoprotection et l’autodéfense des systèmes d’information et des réseaux informatiques militaires, notamment:
a.
la cyberdéfense: action menée dans le cyberespace visant à identifier les attaques et la cyberexploration et à protéger les ressources de l’Armée suisse;
b.
la cyberexploration: action menée dans le cyberespace visant à y acquérir des informations;
c.
la cyberattaque: action menée dans le cyberespace visant à perturber, à entraver ou à ralentir les ressources ou capacités de l’adversaire dans ou à travers le cyberespace.
Art. 2Mesures soumises à autorisation et mesures non soumises à autorisation
1 Les mesures qui exigent de pénétrer dans des systèmes ou réseaux informatiques de tiers dans le cadre d’une action menée dans le cyberespace sont soumises à autorisation.
2 Les mesures qui n’exigent pas de pénétrer dans des systèmes ou réseaux informatiques de tiers dans le cadre d’une action menée dans le cyberespace ne sont pas soumises à autorisation.
Art. 3Demandes de mesures soumises à autorisation
Les demandes de mesures soumises à autorisation doivent être motivées par écrit et contenir les informations suivantes:
a.
le but de l’action à mener dans le cybersespace;
b.
la période durant laquelle l’action doit être menée dans le cyberespace;
c.
les systèmes ou réseaux informatiques concernés;
d.
le nombre maximal de pénétrations dans les systèmes ou réseaux informatiques concernés;
e.
la preuve de la légalité, notamment de la proportionnalité, ainsi que l’évaluation des risques liés à l’action à mener dans le cyberespace.
Art. 4Compétences de la Base d’aide au commandement
1 La cyberdéfense militaire incombe à la Base d’aide au commandement (BAC) qui l’assure avec ses propres ressources, celles qui lui sont subordonnées et celles qui lui sont attribuées.
2 Les tâches de la BAC sont les suivantes:
a.
exécuter des missions consistant à mener des actions dans le cyberespace;
b.
prendre des mesures préventives d’autoprotection des systèmes d’information et des réseaux informatiques militaires;
c.
contrôler la légalité et la faisabilité de nouvelles actions avant de les mener dans le cyberespace;
d.
bloquer l’accès aux systèmes d’information et aux réseaux informatiques militaires;
e.
veiller, de manière autonome, à disposer des informations techniques nécessaires à l’accomplissement des tâches;
f.
évaluer les systèmes et les réseaux informatiques mis en sûreté qui ont été utilisés ou détournés à des fins d’attaque;
g.
entretenir, en coordination avec les autorités responsables de la Confédération, des contacts directs avec des services techniques sis en Suisse ou à l’étranger;
h.
soutenir l’engagement et la formation dans le domaine de la cyberdéfense militaire;
i.
documenter les mesures soumises à autorisation dans le cadre d’une action menée dans le cyberespace.
3 Les mesures soumises à autorisation prises dans le cadre d’une action menée dans le cyberespace sont mises en œuvre exclusivement par le Centre des opérations électroniques de la BAC.
Art. 5Compétences du chef de l’Armée
1 Le chef de l’Armée confie les missions concernant les actions dans le cyberespace.
2 Il soumet au préalable les demandes de mesures soumises à autorisation au chef du Département fédéral de la défense, de la protection de la population et des sports (DDPS) pour examen.
3 Lors d’un service actif au sens de l’art. 76, al. 1, LAAM, le chef de l’Armée ou le commandant en chef de l’armée peut approuver des mesures soumises à autorisation. Il peut déléguer cette compétence.
Art. 6Compétences du chef du DDPS
Le chef du DDPS statue sur les demandes du chef de l’Armée.
Art. 7Compétences du Conseil fédéral
Le Conseil fédéral approuve les mesures soumises à autorisation.
Art. 8Surveillance
1 Le Secrétariat général du DDPS assure la surveillance de la cyberdéfense militaire au niveau départemental, fait régulièrement rapport au Conseil fédéral et informe les organes chargés de la haute surveillance parlementaire.
2 Le chef de l’Armée chapeaute et règle la surveillance de la cyberdéfense militaire au sein de l’armée.
Art. 9Recherche
La BAC peut signer des conventions de coopération avec des instituts de recherche et des hautes écoles, en accord et en coordination avec les unités administratives compétentes du DDPS.
Art. 10Exécution
Le chef du DDPS exécute la présente ordonnance et édicte des directives sur l’engagement et la formation. Il peut en déléguer l’exécution au chef de l’Armée.
Art. 11Entrée en vigueur
La présente ordonnance entre en vigueur le 1er mars 2019.