Cybercriminalité

22 novembre 2019 10:50; Act: 22.11.2019 10:50 Print

Ruag: des améliorations sont encore possibles

La commission de gestion du Conseil national estime que la séparation en deux unités de RUAG permettra d'accroître la sécurité informatique.

storybild

L'attaque informatique de décembre 2015 a laissé des traces chez RUAG. (Photo: Keystone)

Une faute?

Ruag peut encore être confrontée à des risques pour sa sécurité informatique. La commission de gestion du Conseil national attend du Département fédéral de la défense (DDPS) et de l'Administration fédérale des finances qu'ils accompagnent de manière critique le processus de transformation de l'entreprise d'armement.

La restructuration annoncée par le Conseil fédéral est compréhensible et judicieuse, indique vendredi la commission. Elle salue les mesures prises par le gouvernement suite à l'attaque de décembre 2015. Plus de 20 gigaoctets de données avaient été volés à l'aide d'un logiciel malveillant.

L'entreprise d'armement doit être scindée en deux entités, l'une fournissant des prestations pour l'armée suisse, l'autre s'occupant des affaires internationales. Cette transformation représente un défi de taille. La commission salue la décision de la cheffe du DDPS, Viola Amherd, d'attribuer plus d'effectifs au pilotage de Ruag. Elle relève encore différents points qui devraient être approfondis.

Systèmes informatiques

La séparation en deux unités permettra d'accroître la sécurité informatique. Les systèmes de MRO Suisse seront intégrés aux paramètres de sécurité de l'armée. Les données sont vérifiées afin qu'elles ne contiennent plus de logiciels malveillants. La commission salue cette démarche, mais attend du gouvernement qu'il prenne d'autres mesures le cas échéant.

Elle demande au Conseil fédéral de revenir sur le problème d'imbrication des réseaux informatiques. Les experts mandatés par le gouvernement n'ont pas tenu compte de ce problème lors de leur examen du gouvernement d'entreprise.

L'entité suisse pourra assumer des mandats de tiers. De l'avis de la commission, cela pourrait être problématique pour des raisons de sécurité informatique. Elle engage le gouvernement à suivre la progression.

La commission regrette par ailleurs que le Conseil fédéral renonce à la présence d'un représentant du DDPS au conseil d'administration des nouvelles unités. Le gouvernement avait pourtant indiqué en juin 2018 qu'il était favorable à cette solution.

Ruag International

Ruag International n'aura pour sa part pas accès aux systèmes de l'armée. Le DDPS doit suivre le processus de restructuration et de privatisation de Ruag International, souligne la commission. Il doit informer le Conseil fédéral de tout changement afin qu'il puisse réagir si nécessaire.

Finalement, la commission revient sur la question du pilotage. Selon le Conseil fédéral, le modèle existant a fait ses preuves et les instruments suffisent au gouvernement pour exercer son rôle de propriétaire.

Le gouvernement a nouvellement introduit des ateliers stratégiques. De l'avis de la commission, ils sont un bon complément aux entretiens avec le propriétaire. Mais ils pourraient être mieux utilisés pour mener des discussions prospectives. La commission pointe du doigt les entretiens informels qui ont lieu entre Mme Amherd et la direction de Ruag. Des procès-verbaux doivent être tenus.

La commission suivra attentivement le dossier. Le gouvernement a jusqu'au 20 février pour prendre position sur le rapport de la commission. Il devra également informer la commission des derniers développements concernant Ruag.

(nxp/ats)