Critiques d'une commission après la cyberattaque contre Ruag

Le Conseil fédéral et le DDPS avaient réagi de manière diligente et adéquate après la cyberattaque ...
Critiques d'une commission après la cyberattaque contre Ruag

Critiques d'une commission après la cyberattaque contre Ruag

Photo: KEYSTONE/URS FLUEELER

Le Conseil fédéral et le DDPS avaient réagi de manière diligente et adéquate après la cyberattaque de 2015 contre l'entreprise Ruag, estime la commission de gestion du National. Elle exige toutefois que le DDPS se montre plus ferme. Elle épingle aussi Ruag.

Le gouvernement et le Département fédéral de la défense (DDPS) - dont relève l'entreprise d'armement en mains de la Confédération - ont analysé les risques et pris les mesures qui s'imposaient, relève la commission de gestion dans son rapport publié mardi. Elle a enquêté après cette attaque de 2015, où plus de 20 Giga octets de données avaient été volés à l'aide d'un logiciel malveillant.

Dans le cadre de ses recherches, la commission parlementaire a reçu des renseignements détaillés sur les fichiers piratés et sur les risques résultant de ce vol. Sur la base de ces données, elle a qualifié l’incident de grave, précise-t-elle.

Ses investigations visaient aussi à déterminer si les autorités avaient veillé à assurer la défense des intérêts de la Confédération en tant qu’actionnaire unique de Ruag. Elles n’étaient par contre pas focalisées sur le contrôle de la mise en oeuvre des mesures prises à la suite de la cyberattaque, cette tâche étant assumée par d’autres organes, notamment par le Contrôle fédéral des finances.

Dirigeants de Ruag plus lents

Si la Confédération a réagi avec la diligence requise et en prenant les mesures qui s'imposaient, la commission de gestion du Conseil national pointe en revanche du doigt les dirigeants de Ruag. Ils ont mis plus de temps à reconnaître l’envergure du piratage ainsi que les risques qui en résultaient et à prendre eux-mêmes des mesures.

A ce propos, la commission se félicite de ce que le DDPS ait fait pression sur Ruag et soit intervenu à différentes reprises auprès de l’entreprise. Elle estime aussi judicieux que le Conseil fédéral fasse suivre la mise en oeuvre des mesures qu’il a ordonnées par le Contrôle fédéral des finances.

Les élus du National insistent sur l'urgence de désenchevêtrer les réseaux de la Confédération et de Ruag, même si ce processus est plus complexe que prévu et prend du temps. La commission attend en outre du DDPS qu’il suive d’un oeil critique l’application des mesures mises en place par Ruag et qu’il intervienne si nécessaire.

Reproches au DDPS

La commission se montre critique envers la capacité du DDPS à représenter et à défendre dûment les intérêts de la Confédération en tant que propriétaire face à Ruag. Celui-ci dispose certes des instruments nécessaires, mais il n’en fait pas usage suffisamment ni de manière appropriée, relève le rapport.

La commission cite comme exemple les entretiens dans lesquels le DDPS fixe avec l'entreprise les objectifs stratégiques et le contrôle de leur réalisation. Ces discussions devraient davantage servir à aborder des problèmes importants et à assigner des missions.

Ainsi la commission ne comprend pas que la gestion et les conséquences de la cyberattaque aient à peine été abordées sur un plan stratégique dans le cadre des entretiens 'de propriétaire' entre le DDPS et Ruag. Elle critique aussi le fait que certaines discussions importantes aient été conduites dans un cadre informel et qu’il n’en existe aucune trace écrite.

L'organe du National attend donc du DDPS qu’il se montre plus ferme dans ses rapports avec Ruag. Il doit imposer les exigences de la Confédération et défendre ses intérêts avec plus de force.

Améliorer le pilotage

La commission exige aussi différentes clarifications de la part du Conseil fédéral. Il s'agit d’apporter des améliorations au pilotage stratégique des entreprises et entités devenues autonomes (gouvernement d’entreprise).

Ruag a affirmé qu’elle n’avait pas subi de préjudice économique direct du fait de l’attaque. La commission est néanmoins d’avis que les conséquences ne doivent pas être sous-estimées. Elle considère que la Confédération doit tenir compte du fait que ce type d’incident peut également avoir des effets indirects et à plus long terme sur la marche des affaires.

/ATS
 

Actualités suivantes