Le gouvernement et le Département fédéral de la défense (DDPS) - dont relève l'entreprise d'armement Ruag, en mains de la Confédération - ont analysé les risques et pris les mesures qui s'imposaient, relève la commission de gestion dans son rapport publié mardi. Elle a enquêté après cette attaque de 2015, où plus de 20 Giga octets de données avaient été volés à l'aide d'un logiciel malveillant.
Dans le cadre de ses recherches, la commission parlementaire a reçu des renseignements détaillés sur les fichiers piratés et sur les risques résultant de ce vol. Sur la base de ces données, elle a qualifié l'incident de grave, précise-t-elle.
Ses investigations visaient aussi à déterminer si les autorités avaient veillé à assurer la défense des intérêts de la Confédération en tant qu'actionnaire unique de Ruag. Elles n'étaient par contre pas focalisées sur le contrôle de la mise en oeuvre des mesures prises à la suite de la cyberattaque, cette tâche étant assumée par d'autres organes, notamment par le Contrôle fédéral des finances.
Dirigeants de Ruag plus lents
Si la Confédération a réagi avec la diligence requise et en prenant les mesures qui s'imposaient, la commission de gestion du Conseil national pointe en revanche du doigt les dirigeants de Ruag. Ils ont mis plus de temps à reconnaître l'envergure du piratage ainsi que les risques qui en résultaient et à prendre eux-mêmes des mesures.
A ce propos, la commission se félicite de ce que le DDPS ait fait pression sur Ruag et soit intervenu à différentes reprises auprès de l’entreprise. Elle estime aussi judicieux que le Conseil fédéral fasse suivre la mise en oeuvre des mesures qu'il a ordonnées par le Contrôle fédéral des finances.
Les élus du National insistent sur l'urgence de désenchevêtrer les réseaux de la Confédération et de Ruag, même si ce processus est plus complexe que prévu et prend du temps. La commission attend en outre du DDPS qu'il suive d'un oeil critique l'application des mesures mises en place par Ruag et qu'il intervienne si nécessaire.
ats/fme
Reproches au DDPS
La commission se montre critique envers la capacité du DDPS à représenter et à défendre dûment les intérêts de la Confédération en tant que propriétaire face à Ruag. Celui-ci dispose certes des instruments nécessaires, mais il n'en fait pas usage suffisamment ni de manière appropriée, relève un rapport publié mardi.
La commission cite comme exemple les entretiens dans lesquels le DDPS fixe avec l'entreprise les objectifs stratégiques et le contrôle de leur réalisation. Ces discussions devraient davantage servir à aborder des problèmes importants et à assigner des missions.
Ainsi la commission ne comprend pas que la gestion et les conséquences de la cyberattaque aient à peine été abordées sur un plan stratégique dans le cadre des entretiens "de propriétaire" entre le DDPS et Ruag. Elle critique aussi le fait que certaines discussions importantes aient été conduites dans un cadre informel et qu'il n'en existe aucune trace écrite.
L'organe du National attend donc du DDPS qu’il se montre plus ferme dans ses rapports avec Ruag. Il doit imposer les exigences de la Confédération et défendre ses intérêts avec plus de force.
Améliorer le pilotage
La commission exige différentes clarifications de la part du Conseil fédéral. Il s'agit d’apporter des améliorations au pilotage stratégique des entreprises et entités devenues autonomes (gouvernement d’entreprise).
Ruag a affirmé qu'elle n’avait pas subi de préjudice économique direct du fait de l’attaque. La commission est néanmoins d’avis que les conséquences ne doivent pas être sous-estimées. Elle considère que la Confédération doit tenir compte du fait que ce type d’incident peut également avoir des effets indirects et à plus long terme sur la marche des affaires.