510.921 # Ordonnance sur la cyberdéfense militaire (OCMil) du 30 janvier 2019 (État le 1^er^janvier 2024) Le Conseil fédéral suisse, vu l’art. 100, al. 4, de la loi du 3 février 1995 sur l’armée (LAAM)[^1], arrête: ##### **Art. 1** Objet {#art_1 omnilex-key=ch-fedlex--510.921--1} 1. La présente ordonnance règle les mesures à prendre dans le cadre de la cyberdéfense à des fins d’autoprotection et d’autodéfense de l’armée et de l’administration militaire en cas d’attaque contre les prestations informatiques qui doivent impérativement être à la disposition de l’armée (prestations informatiques indispensables aux engagements de l’armée).[^2] 2. La cyberdéfense militaire comprend l’ensemble des actions menées dans le cyberespace dans le but de protéger et de défendre, aux échelons de conduite militaro-stratégique et opératif, les prestations informatiques indispensables aux engagements de l’armée, notamment:[^3] a. la cyberdéfense: action menée dans le cyberespace visant à identifier les attaques et la cyberexploration et à protéger les ressources de l’Armée suisse; b. la cyberexploration: action menée dans le cyberespace visant à y acquérir des informations; c. la cyberattaque: action menée dans le cyberespace visant à perturber, à entraver ou à ralentir les ressources ou capacités de l’adversaire dans ou à travers le cyberespace. ##### **Art. 2** Mesures soumises à autorisation et mesures non soumises à autorisation {#art_2 omnilex-key=ch-fedlex--510.921--2} 1. Les mesures qui exigent de pénétrer dans des systèmes ou réseaux informatiques de tiers dans le cadre d’une action menée dans le cyberespace sont soumises à autorisation. 2. Les mesures qui n’exigent pas de pénétrer dans des systèmes ou réseaux informatiques de tiers dans le cadre d’une action menée dans le cyberespace ne sont pas soumises à autorisation. ##### **Art. 3** Demandes de mesures soumises à autorisation {#art_3 omnilex-key=ch-fedlex--510.921--3} Les demandes de mesures soumises à autorisation doivent être motivées par écrit et contenir les informations suivantes: a. le but de l’action à mener dans le cybersespace; b. la période durant laquelle l’action doit être menée dans le cyberespace; c. les systèmes ou réseaux informatiques concernés; d. le nombre maximal de pénétrations dans les systèmes ou réseaux informatiques concernés; e. la preuve de la légalité, notamment de la proportionnalité, ainsi que l’évaluation des risques liés à l’action à mener dans le cyberespace. ##### **Art. 4** Compétences du commandement Cyber {#art_4 omnilex-key=ch-fedlex--510.921--4} 1. Le commandement Cyber (cdmt Cyber) est compétent en matière de cyberdéfense militaire. 2. Il assume les tâches suivantes: a. exécuter des missions consistant à mener des actions dans le cyberespace; b. prendre des mesures préventives d’autoprotection des prestations informatiques indispensables aux engagements de l’armée; c. contrôler la légalité et la faisabilité de nouvelles actions avant de les mener dans le cyberespace; d. bloquer l’accès aux prestations informatiques indispensables aux engagements de l’armée; e. veiller, de manière autonome, à disposer des informations techniques nécessaires à l’accomplissement des tâches; f. évaluer les systèmes et les réseaux informatiques mis en sûreté qui ont été utilisés ou détournés à des fins d’attaque; g. entretenir, en coordination avec les autorités compétentes de la Confédération, des contacts directs avec des services spécialisés en Suisse ou à l’étranger; h. soutenir l’engagement et l’instruction dans le domaine de la cyberdéfense militaire; i. documenter les mesures soumises à autorisation dans le cadre d’une action menée dans le cyberespace. 3. Il accomplit ses tâches avec ses propres ressources, avec celles qui lui sont subordonnées ou avec celles qui lui sont attribuées. 4. Les mesures soumises à autorisation prises dans le cadre d’une action menée dans le cyberespace sont mises en œuvre exclusivement par le service Actions dans le cyberespace et dans l’espace électromagnétique. ##### **Art. 5** Compétences du chef de l’Armée {#art_5 omnilex-key=ch-fedlex--510.921--5} 1. Le chef de l’Armée confie les missions concernant les actions dans le cyberespace. 2. Il soumet au préalable les demandes de mesures soumises à autorisation au chef du Département fédéral de la défense, de la protection de la population et des sports (DDPS) pour examen. 3. Lors d’un service actif au sens de l’art. 76, al. 1, LAAM, le chef de l’Armée ou le commandant en chef de l’armée peut approuver des mesures soumises à autorisation. Il peut déléguer cette compétence. ##### **Art. 6** Compétences du chef du DDPS {#art_6 omnilex-key=ch-fedlex--510.921--6} Le chef du DDPS statue sur les demandes du chef de l’Armée. ##### **Art. 7** Compétences du Conseil fédéral {#art_7 omnilex-key=ch-fedlex--510.921--7} Le Conseil fédéral approuve les mesures soumises à autorisation. ##### **Art. 8** Surveillance {#art_8 omnilex-key=ch-fedlex--510.921--8} 1. Le Secrétariat général du DDPS assure la surveillance de la cyberdéfense militaire au niveau départemental, fait régulièrement rapport au Conseil fédéral et informe les organes chargés de la haute surveillance parlementaire. 2. Le chef de l’Armée chapeaute et règle la surveillance de la cyberdéfense militaire au sein de l’armée. ##### **Art. 9** Recherche {#art_9 omnilex-key=ch-fedlex--510.921--9} Le cdmt Cyber peut, en accord avec les unités administratives compétentes du DDPS, signer des conventions de coopération avec des instituts de recherche et des hautes écoles. ##### **Art. 10** Exécution {#art_1 omnilex-key=ch-fedlex--510.921--10} Le chef du DDPS exécute la présente ordonnance et édicte des directives sur l’engagement et la formation. Il peut en déléguer l’exécution au chef de l’Armée. ##### **Art. 11** Entrée en vigueur {#art_1 omnilex-key=ch-fedlex--510.921--11} La présente ordonnance entre en vigueur le 1^er^mars 2019. [^1]: RS **510.10** [^2]: Nouvelle teneur selon le ch. II 9 de l’O du 22 nov. 2023, en vigueur depuis le 1^er^janv. 2024 (RO **2023** 746). [^3]: Nouvelle teneur selon le ch. II 9 de l’O du 22 nov. 2023, en vigueur depuis le 1^er^janv. 2024 (RO **2023** 746).