Modifié

Accusations de laxisme et de naïveté contre la gestion informatique de la Confédération

La gestion informatique de la Confédération critiquée pour ses "risques sécuritaires" (vidéo)
La gestion informatique de la Confédération helvétique critiquée pour ses risques de sécurité (vidéo) / La Matinale / 5 min. / le 28 mai 2024
Piratage de l'entreprise externe Xplain, logiciel russe utilisé par Fedpol: la Confédération gère-t-elle son informatique avec trop de naïveté? Des élus fédéraux le pensent et réclament plus de sérieux.

Le piratage l'an dernier de la société Xplain, qui héberge des données sensibles des forces de l'ordre suisses, a donné lieu à des rapports sévères.

La police, les douanes et l'armée n'ont pas choisi leur prestataire informatique "avec assez de soin", selon l'une de ces analyses. Autres constats: les autorités ne lui ont pas donné les bonnes instructions et ne l'ont pas assez surveillé.

Les dysfonctionnements ont conduit au piratage de milliers de documents. Les rapports parlent de "risques sous-estimés", de manque de personnel et décrivent une trop grande confiance des informaticiens de la Confédération envers ceux d'Xplain.

>> A lire aussi : La Confédération fautive dans la cyberattaque sur Xplain

Un logiciel russe chez Fedpol

Une enquête de RSI a également montré que la police fédérale et Armasuisse utilisent un logiciel russe. Le programme sert à entrer dans les téléphones et les ordinateurs de suspects.

>> Lire : Un logiciel russe utilisé par Fedpol et Armasuisse suscite des inquiétudes sécuritaires

Des experts craignent que les données obtenues grâce à ce logiciel soient détournées par l'Etat russe. Par le passé, des développeurs de programmes informatiques ont déjà collaboré en secret avec leur pays.

"Le problème, c'est qu'on fait confiance"

Les élus fédéraux qui traitent des questions numériques sont critiques. Le conseiller aux Etats Pascal Broulis parle d'amateurisme. Selon le sénateur PLR et administrateur de sociétés informatiques, les responsables de la Confédération manquent de vigilance.

Il se peut qu'il y ait des choses dormantes, similaires à des espions, qui se réveillent d'un coup pour envoyer une information

Pascal Broulis

"Le problème, c'est qu'on fait confiance, parce qu'on n'arrive pas à voir ce qui se passe dans l'ordinateur ou le logiciel", lance l'ex-conseiller d'Etat vaudois dans La Matinale.

"On part du principe que tout est en règle, que tout est légal et que tout se passe correctement. Mais ça ne marche pas comme ça (…) Il se peut qu'il y ait des choses dormantes, similaires à des espions, qui se réveillent d'un coup pour envoyer une information. Et là, c'est trop tard, car ceux qui ont développé le code vont un jour utiliser cette information à mauvais escient", argumente-t-il.

Pour limiter ces risques, Pascal Broulis plaide pour des infrastructures informatiques plus petites. D'après lui, une décentralisation perturberait l'activité de moins de personnes en cas de piratage.

Reprendre les rênes

Le conseiller national fribourgeois Gerhard Andrey avance une autre piste: la souveraineté numérique de l'Etat.

Pour l'élu vert, qui est aussi patron d'une société informatique, la Suisse est trop attentiste et fait trop confiance à des prestataires privés.

Cela peut devenir rapidement très délicat quand il n'y a pas de concurrence

Gerhard Andrey

"Dans le cas d'Xplain, il y avait aussi un manque de compétition. Le mainstream politique souhaite déléguer les tâches. Sauf que cela peut devenir rapidement très délicat quand il n'y a pas de concurrence", affirme-t-il également. Il plaide pour que les pouvoirs publics gardent "toute l'autorité" sur le code source du logiciel, afin d'éventuellement pouvoir changer de mandataire.

>> Lire sur le sujet : La Confédération aura son propre cloud pour stocker les données de la population

La souveraineté passe par l'internalisation des compétences au sein de l'administration et le choix des logiciels. Gerhard Andrey souhaite que la Suisse se rallie aux initiatives européennes.

Et ce, pour que la Confédération ne se fasse pas "coloniser" par les pays technologiquement en avance, comme la Chine, la Russie ou les Etats-Unis.

Romain Carrupt/ami

Publié Modifié

Partenariat public-privé

Florian Schütz, le directeur de l'Office fédéral de la cybersécurité, vient de s'entretenir à Birmingham avec ses homologues du monde entier. A ses yeux, la coopération est essentielle. En revanche, il s'avère difficile de favoriser les acteurs suisses ou européens.

"On peut encore investir dans les start-ups suisses pour améliorer la souveraineté", soutient-il.

Florian Schütz rappelle néanmoins que la Suisse est dotée de règles garantissant le libre marché. "On peut aussi établir des règles sur comment on travaille avec les entreprises, qu'elles soient suisses ou non. Le domaine cyber est assez large et on ne peut pas être le meilleur partout", souligne-t-il.

C'est pour cette raison que la Confédération ne mise pas seulement sur ses propres informaticiens. Dernier exemple en date: mercredi passé, le Conseil fédéral a demandé 250 millions de francs au Parlement pour développer une infrastructure cloud publique-privée, c'est-à-dire un stockage en partie sur des serveurs externes à la Confédération. Le Conseil fédéral estime que la sécurité sera garantie.