Armement Le CDF repère des lacunes dans la sécurité des données de Ruag

tl, ats

7.6.2021 - 23:00

Le logo de Ruag Holding AG à Emmen, dans le canton de Lucerne.
Le logo de Ruag Holding AG à Emmen, dans le canton de Lucerne.
ATS

Le Contrôle fédéral des finances (CDF) constate des lacunes de sécurité lors du transfert des données du groupe d'armement Ruag vers le Département de la défense (DDPS). Dans son rapport d'audit, il demande des «ajustements».

tl, ats

L'audit de la sécurité informatique a montré que le transfert des systèmes et des données a été «largement réussi», malgré des projets de suivi qui ne sont pas terminés, écrit le CDF, l'organe supérieur de surveillance financière de la Confédération, dans son rapport publié lundi.

La gouvernance informatique et l'organisation en matière de sécurité informatique sont «adéquates», mais d'importants travaux d'ajustement restent nécessaires. La coopération avec la BAC (Base d'aide au commandement de l'armée) fonctionne, mais n'est pas encore bien établie, indique le CDF.

Lors de l'intégration des systèmes dans leur nouvel environnement, aucun contrôle de conformité en matière de sécurité n'a été effectué à large échelle, ce qui a entraîné un «risque important», en particulier pour les applications reliées à Internet, écrit le CDF. Il demande que l'armée (BAC) effectue systématiquement des contrôles de conformité de la sécurité.

Le CDF demande une solution plus rapide

La mise en place d'un système de gestion de la sécurité de l'information avec les activités d'audit contribuent à une sécurité de l'information sur le long terme, indique le rapport du CDF. La gestion des risques et la gestion de la continuité des activités sont en cours de réalisation. Mais cette dernière ne devrait être opérationnelle qu'en 2023. Le CDF invite Ruag AG à trouver une solution plus rapide.

En mars 2018, le Conseil fédéral a décidé de fusionner les unités d'affaires de l'ancienne entreprise Ruag, presque exclusivement actives pour l'armée suisse, dans une nouvelle société du groupe Ruag MRO Holding AG (MRO CH), soit dans sa filiale Ruag AG. Ces parties devaient être dissociées du reste du groupe Ruag (Ruag International), qui mène des activités civiles et militaires internationales.

Scission

La scission a également touché les technologies de l'information et de la communication (TIC) de Ruag. Il a été décidé d'en confier la responsabilité au Département fédéral de la défense (DDPS). L'ensemble de l'infrastructure et des systèmes TIC a été réorganisé et les données reprises dans le périmètre de sécurité de la Base d'aide au commandement de l'armée (BAC). Les exigences de sécurité de la Confédération doivent donc être respectées.

Selon une estimation de septembre 2020, le projet de dissociation devrait coûter entre 81 et 86 millions de francs suisses. Sur les 57 millions de francs dépensés jusqu'à fin septembre, 34 millions de francs sont attribuables à la scission des TIC. Le projet concerne environ 2500 employés de MRO CH sur plus de 20 sites en Suisse.