Sécurité dans les acquisitions de la Confédération : le SEPOS publie des clauses standards contractuelles

Le Conseil fédéral a chargé le Secrétariat d’Etat à la politique de sécurité (SEPOS) d’élaborer des clauses types pour les contrats d’acquisition. Le Service spécialisé de la Confédération pour la sécurité de l’information présente dès lors ces dispositions accompagnées d’instructions et de commentaires. Celles-ci ont été élaborées en collaboration avec les services d’acquisition et des offices issus de différents départements, et ont pour but de régir à l’avenir la sécurité de l’information dans les contrats d’acquisition. Les fournisseurs externes seront ainsi tenus de garantir la sécurité de l’information. Il s’agit de l’une des mesures décidées par le Conseil fédéral à la suite de l’attaque informatique contre l’entreprise Xplain.

Le besoin définit les exigences en matière de sécurité de l’information

La sécurité de l’information chez les fournisseurs ne commence pas seulement avec la conclusion du contrat, mais dès le début, au moment où le besoin est défini. Cela a été mis en évidence dans le rapport sur la surveillance des fournisseurs du 1er mai 2025. L’entité requérante – c’est-à-dire l’unité au sein de l’administration qui a besoin d’un service ou d’un produit – définit dès les premières étapes les exigences en matière de sécurité. L’entité adjudicatrice, responsable de la conduite de la procédure d’acquisition, veille à ce que ces exigences soient correctement intégrées dans les documents d’appel d’offres. Ainsi, les fournisseurs potentiels sont informés de manière transparente, dès le dépôt de leur offre, des conditions de sécurité qu’ils devront remplir.

Si la sécurité de l’information n’est pas définie dès le départ, il est difficile – voire impossible – de la rattraper par la suite, ou seulement moyennant des coûts supplémentaires.

« Dialogue pour la sécurité » : le SEPOS en concertation avec le secteur privé

Les fournisseurs ne sont en principe pas liés aux exigences fédérales en matière de sécurité de l’information. Pour collaborer avec des offices fédéraux, les obligations correspondantes doivent être expressément stipulées dans les contrats. Parallèlement, il convient de prendre en compte la liberté économique garantie par la Constitution, qui oblige la Confédération à faire preuve de retenue d’une part, et protège d’autre part les fournisseurs contre des restrictions trop contraignantes de la concurrence.

Pour que les exigences de sécurité soient utilisées et mises en œuvre avec succès, il faut que les parties concernées les acceptent. C’est pourquoi le SEPOS a consulté les associations économiques concernées sur les projets de dispositions standards et a parallèlement annoncé son intention de poursuivre ce « dialogue pour la sécurité » entamé.

Le Service spécialisé de la Confédération pour la sécurité de l’information est l’instance chargée de fixer les exigences et d’exercer la surveillance pour la sécurité du système global de la Confédération, y compris les entreprises qui exécutent des mandats pour la Confédération. Le Service spécialisé a le mandat de gérer de manière uniforme la sécurité de l’information au sein de la Confédération. En plus de conseiller et d’accompagner les autorités et les organismes fédéraux, elle peut également réaliser des évaluations de nature juridique ou technique, comme elle le fait avec les clauses contractuelles publiées aujourd’hui.

• Clauses standards contractuelles

• Communiqué de presse du 1er mai 2025 : Sécurité dans les acquisitions de la Confédération : le SEPOS présente des mesures
• Décret du Conseil fédéral du 1er mai 2024 : Clôture de l’enquête administrative concernant la cyberattaque contre Xplain SA : le Conseil fédéral adopte des mesures