La cybersécurité des infrastructures critiques et la gestion de cyberincidents en droit suisse
Pauline Meyer mène cette recherche doctorale en droit au sein de l’École de droit de la Faculté de droit, d’administration publique et des sciences criminelles de l'Université de Lausanne.
La recherche de Pauline Meyer s’inscrit dans le cadre du projet PNR 77 « L’éthique et le droit pour promouvoir la confiance en la cybersécurité », un projet interdisciplinaire financé par le Fonds national suisse (FNS). Elle s’intéresse plus spécifiquement à la réglementation de la cybersécurité des infrastructures critiques (infrastructures nécessaires au bien-être de la population ou au fonctionnement de l’économie nationale). Les cyberincidents les affectant peuvent engendrer des conséquences dramatiques non seulement pour leur fonctionnement, mais également pour la collectivité. C’est pourquoi elles doivent assurer un niveau élevé de cybersécurité.
La réglementation doit être utilisée pour inciter ces organisations à améliorer leur cybersécurité et pour encadrer leurs pratiques. Bien que l’on assiste à un développement de la réglementation suisse et à une centralisation des normes, ce cadre réglementaire reste fragmenté. Certaines infrastructures critiques ne sont soumises à aucune obligation de cybersécurité, d’autres sont soumises à des exigences insuffisantes ou disparates. Alors que le statut même d’infrastructure critique manque de clarté, il en va de même pour les exigences existantes.
Pour pallier ces lacunes, la recherche de Pauline Meyer présente des propositions législatives, afin de développer un cadre légal plus harmonisé et plus approprié. Il s’agit premièrement d’introduire des exigences minimales légales de cybersécurité pour les infrastructures critiques, afin de les inciter à améliorer leur cybersécurité et de leur donner des outils pour le faire. Deuxièmement, elle propose de soumettre les équipes de gestion de cyberincidents et autres services informatiques à des exigences supplémentaires, dans la mesure où ils revêtent une casquette d’infrastructure critique et une casquette de prestataires de service informatique. Troisièmement, les bases légales fondant les compétences du nouvel Office fédéral de la cybersécurité (OFCS), autorité principale pour la cybersécurité en Suisse, devraient être renforcées.
Ces recommandations sont résumées dans ce document : Recommandation législative - Une proposition pour améliorer la cybersécurité des infrastructures critiques en Suisse. Pour sa recherche, Pauline Meyer a mené de nombreux échanges avec des chercheurs et chercheuses spécialisées dans d’autres disciplines ainsi qu’avec des intervenants et des intervenantes issues de la pratique. Ses résultats peuvent aussi s’inscrire dans un contexte plus global et ouvrent la voie à d’autres études visant à appréhender certains aspects liés à des questions émergentes, comme l’intelligence artificielle (IA) ou les risques liés à la chaîne d’approvisionnement.
Pauline Meyer a mené ses recherches sous la direction du Professeur Sylvain Métille. Elle soutiendra publiquement sa thèse le 20 août 2024.
par Faculté de droit, des sciences criminelles et d'administration publique FDCA