Cybercriminalité Berne tire les leçons de l'attaque RUAG

Des mesures seront prises après la cyberattaque de 2015 contre l'entreprise fédérale d'armement RUAG pour améliorer le pilotage. Le Conseil fédéral a répondu mardi aux critiques de la commission de gestion du National.

Lors de l'attaque de décembre 2015, plus de 20 gigaoctets de données avaient été volés à l'aide d'un logiciel malveillant. Selon la commission de gestiom le gouvernement et le Département fédéral de la défense (DDPS) ont réagi de manière diligente et adéquate.

L'organe de surveillance parlementaire n'en avait pas moins considéré que des efforts supplémentaires devaient être faits pour assurer le pilotage des entreprises fédérales et pour défendre les intérêts de la Confédération.

Ateliers stratégiques

Dans son rapport, le Conseil fédéral souligne que le DDPS a organisé dès 2017 des ateliers stratégiques en collaboration avec l’Administration fédérale des finances (AFF) et le conseil d’administration de RUAG. Le gouvernement pourra renforcer son influence sur le développement de l'entreprise à moyen et long termes en intensifiant ce genre d’échanges.

En janvier dernier, les conséquences de la cyberattaque ont été abordées. Le DDPS a réussi à imposer ses exigences envers RUAG, même si pour ce faire, le chef du département Guy Parmelin a dû intervenir personnellement. Le traitement de l’affaire suit son cours. Les exigences ont été intégrées au projet de dissociation des activités du DDPS et de RUAG.

Scission

Le gouvernement précise en outre qu'il pourra formuler des exigences plus précises et mieux mesurer les résultats lorsque RUAG aura été scindée en deux entités, l'une fournissant des prestations pour l'armée suisse, l'autre s'occupant des affaires internationales. Cette dernière pourrait être privatisée. Un cadre du DDPS pourrait siéger au conseil d'administration de la holding chargée du marché suisse.

Comme la commission, le Conseil fédéral estime qu'il faut accorder une attention particulière à la dissociation des activités lors des externalisations. Il pense cependant qu’il n’est pas nécessaire de compléter les principes de gouvernement d’entreprise en la matière. RUAG est un cas particulier.

Des prescriptions spécifiques sur la dissociation ou l’imbrication d’activités doivent concerner l’échelon stratégique et ne pas interférer avec les affaires opérationnelles. Pour pallier les lacunes observées dans les règles sur la protection et la sécurité de l'information, le gouvernement continue de miser sur la nouvelle loi soumise au Parlement, et dont le National n'a pas voulu jusqu'ici.

Examen global

Le Conseil fédéral n'en veut pas moins examiner globalement la politique de gouvernance sur l'angle des conditions générales sur les plan juridique et économique valables pour les entreprises proches de la Confédération. Les travaux sont en cours au sein du Département fédéral des finances, en collaboration avec celui des infrastructures (DETEC) et le DDPS.

Le gouvernement prendra connaissance des résultats au deuxième trimestre 2019. Le rapport n’abordera cependant pas la question de la dissociation des activités informatiques.

ATS