Modifié

Les polices vaudoises hésitent à numériser l’ensemble de leurs activités avec Xplain

Les polices vaudoises hésitent à numériser l’ensemble de leurs activités avec Xplain [Keystone - Laurent Gillieron]
Le projet de la police vaudoise "Odyssée" touché par une fuite de données via Xplain / La Matinale / 4 min. / le 16 octobre 2023
L'un des projets informatiques les plus importants des polices vaudoises est la victime collatérale d’une importante fuite de données, survenue chez la société Xplain, son principal partenaire, a appris le pôle enquête de la RTS. La collaboration avec cette entreprise bernoise est aujourd’hui sur la sellette.

D'ici 2025, la police cantonale vaudoise et les polices municipales du canton veulent numériser l'ensemble de leurs activités via un seul et même logiciel développé par la société Xplain. Montant de ce vaste projet informatique, intitulé "Odyssée": 21 millions de francs votés entre 2019 et 2021 par le législatif du canton et ceux des communes concernées.

Voilà maintenant une année que le projet est entré dans une phase plus active. Mais aujourd'hui, une partie des travaux a dû être suspendue. En cause, la cyberattaque survenue le printemps dernier chez Xplain. L'entreprise bernoise a vu ses serveurs siphonnés par le groupe de hackers "Play". Leur butin: des données ultrasensibles appartenant entre autres à fedpol, la police fédérale, ou encore à la police militaire.

Accès à des données sensibles

Selon les informations de la RTS, quelques documents de travail sur le projet vaudois ont été dérobés. L'un d'eux contient les mots de passe permettant d'accéder à un serveur avec du contenu confidentiel. Ces accès auraient aujourd'hui été modifiés.

Jean-Christophe Sauterel, directeur de la communication à la police cantonale vaudoise, se veut rassurant: "Il y a des documents liés au contrat, à l'équipe de projet, qui ont fuité dans ce cadre-là, mais aucune donnée opérationnelle. Nous sommes au niveau du développement d'un projet dans lequel nous n'avons pas mis de telles données", déclare-t-il.

Cela étant, la RTS a découvert que l'un des responsables du projet Odyssée chez Xplain avait accès à des données ultra-sensibles appartenant à plusieurs polices cantonales, y compris à celle du canton de Vaud. Des informations opérationnelles censées rester confidentielles qui seraient arrivées chez Xplain via fedpol et que l'on trouve aujourd'hui sur le darknet. Pourquoi donc cet ingénieur avait-il accès à ces données? Les a-t-il utilisées pour tester le logiciel Odyssée? Impossible de le savoir à ce stade.

>> A lire aussi : Des données opérationnelles de la Confédération volées lors d'une cyberattaque

Collaboration avec Xplain menacée

A l'heure actuelle, le projet vaudois a pris quelques mois de retard, le temps que les équipes de Xplain se remettent de l'attaque. Depuis "nos équipes collaborent toujours avec l'entreprise bernoise en suivant l’évolution de la situation de près et avec les mesures de sécurité mises en place dès le début du projet", précise Jean-Christophe Sauterel.

Le canton attend aussi les résultats des enquêtes menées au niveau fédéral suite à ce piratage. Ces enquêtes doivent déterminer les causes et les responsabilités de ce grave incident. Les résultats de ces investigations viendront compléter une analyse que mène actuellement le canton. "Cette analyse porte sur les conséquences [de la cyberattaque] et la suite que le canton devra donner à ce projet et aux relations contractuelles avec les différents partenaires y compris Xplain. Toutes les options sont ouvertes", conclut Jean-Christophe Sauterel.

Marc Menichini

Publié Modifié

Inquiétudes au Grand Conseil

Contactés par la RTS, certains élus craignent que cette situation entraîne d’importants surcoûts. Michael Wyssa, député PLR au Grand Conseil, se demande même si Xplain ne fera pas faillite: "Il y a une inquiétude sur la solvabilité de cette entreprise, va-t-elle résister aux conséquences de cette attaque ? Du coup comme le projet est déjà engagé, il y a des risques financiers, et des risques de retard aussi."

Son collègue socialiste Cédric Roten s’inquiète pour la souveraineté numérique du canton: "On a la possibilité maintenant de faire des contrôles juridiques auprès des partenaires sur comment ils traitent les données. Il faut aujourd’hui une réflexion plus approfondie par rapport à un contrôle technique: comment le fournisseur traite les données techniquement sur ses serveurs, comment il les synchronise, où elles sont stockées."

Des précautions que le canton et ses experts en cybersécurité nous assurent avoir déjà prises. Notamment pour ce projet Odyssée. Toutes les données vaudoises qui serviront à tester le futur logiciel seront anonymisées et cryptées.