Clôture de l’enquête administrative concernant la cyberattaque contre Xplain SA : le Conseil fédéral adopte des mesures

Berne, 01.05.2024 - Lors de sa séance du 1er mai 2024, le Conseil fédéral a adopté des mesures visant à éviter de futures fuites de données chez les fournisseurs informatiques de l’administration fédérale. Pour ce faire, il s’est fondé sur le rapport relatif à l’enquête administrative publié aujourd’hui. En août 2023, il avait mandaté un organe externe pour éclaircir les circonstances de la fuite de données qui a touché l’entreprise Xplain SA.

Au printemps 2023 lors d’une attaque par rançongiciel, l’entreprise Xplain SA, fournisseur de logiciels dans le domaine de la sécurité, s’est fait dérober de grandes quantités de données qui ont été publiées sur le Darknet. Parmi celles-ci se trouvaient également des données productives de l’administration fédérale, notamment des informations confidentielles et des données personnelles sensibles. Depuis que cette fuite de données a été rendue publique, le Conseil fédéral a pris ou fait prendre de nombreuses mesures afin de faire la lumière sur cet incident et d’en tirer des enseignements.

Le Conseil fédéral a ordonné une enquête administrative visant à éclaircir les circonstances qui, du côté de l’administration fédérale, ont permis à Xplain SA d’entrer en possession de données productives de l’administration fédérale. Cette enquête, menée par l’étude OBERSON ABELS SA, est dorénavant terminée et un rapport a été établi. Il en ressort qu’au cours des dernières années, des données productives de la Confédération ont été transmises activement à l’environnement informatique de Xplain SA dans de rares cas. Ces transmissions sont intervenues lors de phases de test et d’intégration d’un logiciel ou dans le cadre de services de maintenance ou d’assistance et ont été effectuées aussi bien par des employés de Xplain SA qui disposaient d’un compte de messagerie de la Confédération que par des collaborateurs de l’administration fédérale. En outre, une fonctionnalité d’assistance intégrée à certaines applications développées par Xplain et désactivée entre-temps a entraîné le transfert de grandes quantités de données de l’environnement informatique de la Confédération vers celui de Xplain SA. Selon l’organe d’enquête, les services fédéraux concernés n’ont pas suffisamment rempli leurs devoirs de choisir avec soin leur fournisseur, ainsi que de l’instruire adéquatement et de le surveiller. Ils n’ont pas rempli leurs devoirs sous l’angle de la protection des données et ne l’ont rempli que partiellement sous l’angle de la sécurité de l’information.

À la suite de l’entrée en vigueur de la législation sur la sécurité de l’information (LSI) le 1er janvier 2024, de nombreuses mesures ont été prises en vue d’améliorer systématiquement et durablement la sécurité. Les unités administratives sont notamment tenues de mettre en place et d’exploiter un système de management de la sécurité de l’information (SMSI) d’ici à la fin de 2026 au plus tard. Le SMSI permet à la direction de gérer l’ensemble des processus de sécurité, tels que l’inventaire des informations et des moyens informatiques, l’évaluation des risques, la sécurité lors de la collaboration avec des tiers, la formation, la gestion des incidents ou la planification des audits.

Train de mesures visant à éviter les fuites de données

Le Conseil fédéral a adopté des mesures visant à éviter de futures fuites de données. Ces mesures s’articulent autour des trois axes principaux suivants :

  • Premièrement, la gestion de la sécurité sera renforcée, notamment par l’adoption de prescriptions de sécurité supplémentaires concernant la collaboration avec les fournisseurs d’ici à la fin de 2024. La capacité d’effectuer des contrôles et des audits devra être renforcée.

  • Deuxièmement, un programme de formation lié à la fonction sera élaboré d’ici à la fin de 2024 pour former et sensibiliser les collaborateurs aux prescriptions de sécurité existantes.

  • Troisièmement, une vue d’ensemble des moyens de communication existants pour les autorités fédérales sera établie d’ici à la fin de 2024.

Afin d’améliorer la sécurité des données de l’administration fédérale et de tirer des enseignements, le Conseil fédéral a chargé le Département fédéral de la défense, de la protection de la population et des sports de contrôler la protection informatique de base de la Confédération d’ici à la fin de 2024 et de proposer d’éventuelles modifications. L’Office fédéral de la cybersécurité est chargé de mettre en évidence la coordination concrète entre la Confédération, les cantons et les fournisseurs en matière de gestion des cyberattaques ainsi que les critères de classification de ces dernières d’ici à la fin de 2024.

Ces mesures complètent les mesures urgentes prises immédiatement après l’incident par les unités administratives concernées et dans le cadre de la gestion des contrats (par ex. en ce qui concerne la collaboration avec Xplain SA, la sensibilisation des fournisseurs informatiques et la révision des contrats avec ces derniers), ainsi que les mesures adoptées sur la base de la nouvelle LSI.

Poursuite des travaux dans les structures ordinaires et dissolution de l’état-major de crise

Après la clôture de l’enquête administrative et l’adoption par le Conseil fédéral de différentes mesures, les travaux peuvent être poursuivis dans les structures ordinaires. Le Conseil fédéral a donc dissous l’état-major de crise politico-stratégique « Fuite de données », qui coordonnait les travaux liés à l’attaque menée contre Xplain SA depuis juin 2023.

Autres enquêtes indépendantes et procédures pénales

Parallèlement à l’enquête administrative ordonnée par le Conseil fédéral et en sa qualité d’autorité de surveillance indépendante en vertu de la loi fédérale sur la protection des données, le Préposé fédéral à la protection des données et à la transparence a aussi mené une enquête sur la fuite des données qui a touché Xplain SA, dont le rapport final est également publié le 1er mai 2024. Les deux enquêtes ont été menées indépendamment l’une de l’autre.

Le Ministère public de la Confédération mène deux procédures pénales en lien avec la cyberattaque contre Xplain SA. Il a compétence pour fournir des renseignements à ce sujet.


Adresse pour l'envoi de questions

Communication DFF
n° tél. +41 58 462 60 33,
kommunikation@gs-efd.admin.ch

Communication DDPS
n° tél. +41 58 464 50 58
kommunikation@gs-vbs.admin.ch



Auteur

Conseil fédéral
https://www.admin.ch/gov/fr/accueil.html

Secrétariat général DFF
http://www.efd.admin.ch

Secrétariat général du DDPS
https://www.vbs.admin.ch/

Office fédéral de la cybersécurité
https://www.ofcs.admin.ch

Secrétariat d’État à la politique de sécurité
https://www.sepos.admin.ch/fr

Dernière modification 08.12.2020

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/dokumentation/medienmitteilungen/newslist.msg-id-100890.html