Taillées sur mesure pour la Suisse et transposées en droit, les exigences de sécurité applicables au vote électronique doivent être adaptées en permanence aux derniers développements en matière de sécurité et à l’évolution de la menace. La Confédération et les cantons font appel à des experts issus de la science et de l’industrie pour établir les bases sur lesquelles ces exigences s’appuient. La sécurité du vote électronique s’articule autour d’un large éventail de mesures, dont les principales sont les suivantes :
- vérifiabilité : la vérifiabilité permet de déceler avec certitude toute tentative de manipulation qui aurait réussi. Elle repose sur des procédés cryptographiques spécifiques grâce auxquels il est possible de s’assurer que le scrutin s’est déroulé correctement, sans porter atteinte au secret du vote. En Suisse, les seuls systèmes qui sont autorisés sont des systèmes complètement vérifiables.
- distribution des responsabilités : tout système de vote électronique repose sur un grand nombre d’ordinateurs configurés différemment, dont certains ne sont pas raccordés à Internet. Il s’agit également de prendre toutes mesures techniques et organisationnelles permettant de s’assurer que nul n’ait accès aux données critiques ou aux suffrages sans contrôle d’un ou plusieurs tiers.
- transparence : le code source et la documentation des systèmes à vérifiabilité complète doivent être publiés, de façon à permettre à des spécialistes de les analyser. Le code source peut être utilisé à des fins idéales, notamment de recherche scientifique, et cette possibilité recouvre également les échanges avec d’autres chercheurs en vue de rechercher des failles et le droit de publier à ce sujet.
- contrôles indépendants : les systèmes complètement vérifiables et leur exploitation font régulièrement l’objet d’audits réalisés par des organisations et des experts indépendants.
- contrôle public : le public est associé davantage aux travaux sur le vote électronique et la constitution d’une communauté de spécialistes sera encouragée. En plus de la publication du code source et de la documentation, il est mis en place un programme de bug bounty (prime à la détection et au signalement d’incidents) afin d’inciter des spécialistes indépendants à participer au contrôle public.
- meilleures pratiques : le processus obligatoire d’amélioration continue prévoit que les systèmes sont adaptés systématiquement à l’état de la technique et protégés contre toute nouvelle faille de sécurité.
- collaboration avec le public, notamment avec le monde de la science : la Confédération et les cantons travaillent davantage avec des experts, notamment scientifiques, pour ce qui est de la conception, du développement et du contrôle des systèmes de vote électronique.
Les autorités ont parfaitement conscience des risques liés au vote électronique, dont la mise en place en Suisse se fait en application stricte du principe qui veut que la sécurité prime la vitesse. Seuls sont agréés les systèmes qui répondent aux sévères exigences de sécurité fédérales.