Imaginez, un groupe de pirates informatiques tente d'accéder aux systèmes de la Confédération. Un collaborateur du Département de la défense (DDPS) clique sur le lien du mail suspect. Mais il ne signale et reporte l'incident que des semaines plus tard.
Au DDPS, les annonces d'incidents dits de sécurité de l'information, telles que les failles de sécurité, les menaces, les infractions ou même les cyberattaques restent en suspens pendant des jours, voire des semaines. Et ce, même si les incidents doivent normalement être transmis «immédiatement» au service compétent conformément aux prescriptions. C'est ce qui ressort d'un rapport publié récemment.
Fin 2023, la révision interne du DDPS a examiné l'état de la cybersécurité au sein du département. Le bilan n'est pas très bon... Selon les réviseurs, la communication entre les unités administratives, la saisie correcte des incidents et leur transmission rapide font défaut.
Critique de l'inefficacité de la saisie et de la transmission des messages
L'année dernière, plusieurs cyberattaques ont mis en évidence les risques sécuritaires pour la Suisse. En mai, le groupe de hackers Play Ransomware a attaqué la société informatique Xplain, qui produit des logiciels pour de nombreuses autorités, comme l'Office fédéral de la police (Fedpol) ou les offices de migration. Des adresses de conseillers fédéraux et de policiers ou des listes de hooligans ont atterri sur le Darknet.
En novembre, des hackers ont à nouveau attaqué Concevis, un fournisseur de logiciels de la Confédération et des cantons. Comme pour Xplain, la Confédération n'avait pas vérifié si l'entreprise respectait les directives en matière de sécurité informatique.
Les réviseurs écrivent dans leur rapport que le nombre de cyberattaques a presque doublé au cours des deux dernières années. Les incidents majeurs, qui ont touché le DDPS ou des parties de celui-ci, ont montré que les processus de gestion des incidents doivent encore être rodés. «L'audit a montré que les annonces n'ont parfois été communiquées et saisies dans le registre central avec plusieurs jours, voire semaines de retard.» Or, selon eux, une saisie immédiate est indispensable pour pouvoir réagir rapidement.
Ils critiquent en outre l'inefficacité de la saisie et de la transmission des notifications. Pour un rapport complet, «des étapes de travail manuel qui prennent beaucoup de temps sont nécessaires». La consolidation des données, la coordination et le reporting se font en premier lieu manuellement. Les données sont donc collectées une à une et saisies manuellement plutôt que par le biais d'un logiciel, l'échange se fait en personne ou par e-mail. Cette procédure est jugée inefficace et permettrait des erreurs.
«La qualité des données ne répond pas encore aux exigences»
Les messages de sécurité sont en outre traités de manière décentralisée. Chaque unité administrative utilise son propre système à cet effet. Dans leurs prises de position, les offices fédéraux déplorent le manque de coordination et le manque d'échange. «Les solutions transitoires actuellement mises en place présentent de nombreuses limites et la qualité des données ne répond pas encore aux exigences», affirment les réviseurs.
Dans une lettre, la conseillère fédérale Viola Amherd a obligé les chefs du DDPS à prendre plusieurs mesures, recommandées par les réviseurs: ils doivent entre autres améliorer la qualité des annonces et des données, sensibiliser et former davantage les collaborateurs et faire contrôler régulièrement leur «état de préparation numérique» par un organisme indépendant.
Le DDPS écrit que les travaux de mise en œuvre des recommandations sont en cours. Les collaborateurs sont d'ores et déjà formés. «Cela va maintenant être encore renforcé, en particulier dans le domaine de la sécurité de l'information.» L'échange avec les offices fédéraux sera également intensifié. Une solution numérique uniforme se fait toutefois encore attendre. Un nouveau système de saisie ne devrait être proposé qu'à partir de 2025.