Au printemps 2016, on apprenait que Ruag avait été victime d’une cyberattaque. L’attaque a entraîné de graves problèmes de sécurité informatique. Le DDPS a également dû faire face à des critiques à la suite de cet incident. Si vous pensez que Ruag et le DDPS ont désormais leurs systèmes informatiques sous contrôle, détrompez-vous.
Par Martin Parpan
La Commission de gestion (CDG-N), a examiné la cyberattaque en elle-même, mais également les processus fondamentaux de coopération entre le DDPS et Ruag. En ce qui concerne le comportement lors de la cyberattaque, la CDG-N a conclu que le DDPS avait « en principe » réagi de manière appropriée à l’incident. Toutefois, il existe encore des problèmes de coopération entre le DDPS et Ruag, ce qui, près de quatre ans après l’incident, est assez étonnant. Un exemple : En juin 2018, le Conseil fédéral a décidé de séparer la partie de Ruag chargée d’équiper l’armée des autres parties de Ruag (Ruag International). Dans ce contexte, il a également décidé d’intégrer les données appartenant à cette unité dans le paramètre dit de sécurité du DDPS.Il apparaît aujourd’hui que l’intégration de ces données
pose de sérieux problèmes au DDPS. Cela est dû au fait que celles-ci n’avaient pas été classées de façon adéquate et qu’elles pourraient encore être infectées. Viola Amherd a dû admettre que l’intégration des données dans le paramètre de sécurité du DDPS était plus difficile que prévu et qu’il s’agissait de plus de données que ce à quoi le département s’attendait. Tout porte à croire que le DDPS n’a pas la situation sous contrôle, ce qui est d’autant plus surprenant que le DDPS dispose d’une unité de cyberdéfense qui se définit comme étant capable de protéger ses propres systèmes et infrastructures d’information et de communication contre les cyberattaques. Reste à savoir comment le DDPS entend satisfaire à cette exigence si l’intégration des données d’un système dans un autre pose déjà de tels problèmes.
Manque de transparence
La CDG-N a également noté qu’à l’époque de Guy Parmelin, des discussions entre lui et le président du conseil d’administration de Ruag avaient eu lieu et que ceux-ci n’avaient pas été consignées dans un procès-verbal, ce qui est très déconcertant. Viola Amherd a promis des améliorations à ce propos et a annoncé que dorénavant, il n’y aurait pas de discussions informelles ou que chaque conversation serait enregistrée. Il existe toutefois des preuves que cela n’est pas le cas. En mars 2019, une discussion a eu lieu entre elle et le président du conseil d’administration de Ruag et celle-ci n’a pas non plus été enregistrée, dixit le rapport de la CDG-N.
Conclusion : On ne peut pas s’empêcher de penser que le DDPS est incapable de résoudre des problèmes réels. L’absence de procès-verbaux donne au tout un arrière-goût amer.