Texte déposé
A. Dans ma question 04.1141, j'ai signalé les problèmes inhérents à l'absence de mesures de sécurité de nature technique dans le domaine des systèmes bureautiques des postes de commandement des Grandes Unités, qui constituent les ressources informatiques des états-majors des Grandes Unités. Mais la réponse du Conseil fédéral porte sur les places de travail individuelles de type note book de la troupe (EAPS N) et donc pas sur ma question. Il est vrai que, jusqu'à ce jour ni Winsec, ni les versions 1 et 2 de Secure Center XP n'ont été intégrés aux systèmes bureautiques des postes de commandement des Grandes Unités, ce que je considère comme un problème majeur.
1. Dans quels règlements la prétendue utilisation de Secure Center XP est-elle exposée et enseignée?
2. Comment l'utilisation dans des environnements mixtes est-elle réglée (anciens PC équipés de Winsec et nouveaux appareils équipés de Secure Center)? Comment s'appellent les règlements nécessaires? Qui est en possession de ces documents? Où enseigne-t-on cette utilisation?
3. Comment la voie hiérarchique technique qui est prescrite en cas de questions touchant à la sécurité informatique est-elle réglée pour la troupe?
4. Quels sont les documents dont dispose ce chef de service (désignation et destinataires de ces règlements, directives et documents)?
5. Quels sont les documents régissant le recours aux moyens informatiques qui ont été remis à la troupe depuis 2000? Je demande une liste précise comportant les numéros des règlements et des directives.
6. Où peut-on trouver ces indications pour les vérifier?
7. Qui est chargé de l'homologation de nos moyens informatiques?
B. La DPIO a réagi à temps à ce problème et a donné pour mandat d'élaborer un produit pour remplacer Winsec. A cet égard, plusieurs questions se posent:
1. Quels documents et cahiers des charges le CIO DDPS a-t-il établis?
2. Pourquoi n'a-t-on pas sollicité la collaboration de l'EPF pour cette acquisition, car elle jouit d'une bonne réputation dans le monde entier pour les questions liées à la sécurité informatique, sans parler du fait qu'avec le professeur Ueli Maurer et Monsieur Germano Caronni, elle dispose de deux personnes présentant les qualifications requises?
3. Le CIO DDPS dispose-t-il - ou disposait-il - des qualifications professionnelles nécessaires (Wolfgang Frei a suivi une formation étrangère à la branche considérée)?
C. Dans sa réponse, le Conseil fédéral parle d'autres solutions de sécurité.
1. Quelles sont ces autres solutions de sécurité?
2. Quand en a-t-on fait l'acquisition?
3. Où sont-elles appliquées?
4. Où sont-elles enseignées?
D. Secure Center XP est livré par la RUAG.
1. Comment a-t-on procédé à l'appel d'offres pour la mise au point de Secure Center?
2. Quels sont les autres concurrents qui ont présenté une offre?
3. Quelle a été la raison déterminante dans le choix du produit de la RUAG?
Réponse du Conseil fédéral
du
04.03.2005
Pour le traitement de données qui doivent être protégées sur les moyens informatiques du domaine de la défense, l'utilisation d'un logiciel de sécurité est prévu dans les directives du chef de l'armée, du 1er décembre 2004, concernant l'utilisation, au DDPS, d'un logiciel de sécurité pour les informations. Le système Winsec peut être utilisé jusqu'au programme Windows NT. A partir de Windows 2000, le système Secure Center XP est à disposition pour remplacer Winsec.
Le Conseil fédéral répond aux questions de l'auteur de la question comme suit:
A. Pour l'utilisation des systèmes bureautiques des postes de commandement des Grandes Unités, un logiciel de protection des informations n'est pas absolument indispensable, cette utilisation n'intervenant pour le moment que dans les zones de protection 2 et 3 et en tant que solution isolée en circuit fermé.
L'utilisation du programme Secure Center XP est réglée dans le manuel correspondant, qui est remis à tous les utilisateurs du programme au cours de la formation.
La voie hiérarchique technique est réglée dans l'ordre pour la sécurité intégrale du chef de la Protection des informations et des objets (PIO), du 1er juin 2004, et les chefs de service disposent d'un recueil de tous les textes législatifs déterminants pour la sécurité ("Classeur jaune" de la PIO).
En matière de sécurité informatique, des instructions sur l'utilisation de l'Intranet, de l'Internet et de la messagerie électronique ont été remises à la troupe en 2001. Puis, en 2004, des instructions concernant la sécurité informatique au DDPS, "Politique de sécurité informatique Défense" et l'utilisation de logiciels de sécurité des informations au sein du DDPS (la liste des destinataires figure dans chaque règlement). Au DDPS, l'homologation des moyens informatiques relève de la compétence de la conférence de l'informatique DDPS (CI DDPS).
B. Le cahier des charges "Exigences à l'égard du produit de remplacement de Winsec pour son utilisation dans l'armée et l'administration", a été approuvé par le CIO DDPS (CIO), mais il ne l'a pas élaboré lui-même. Les connaissances nécessaires en matière de sécurité existent au sein du DDPS (cryptologie et armasuisse). Le CIO DDPS dispose des qualifications professionnelles requises (la personne mentionnée par l'auteur de la question n'a jamais été CIO DDPS).
C. Dans le cadre de projets, d'autres solutions de sécurité informatiques sont acquises de manière ciblée en fonction des besoins, les utilisateurs sont formés et les solutions mises en oeuvre. Elles ne sont toutefois aucunement liées aux systèmes de bureautique dont il est question ici.
D. A l'origine, ce logiciel a été développé par le DDPS lui-même. La RUAG assurait le contrôle de la qualité et a fourni un soutien pour l'introduction du produit. Le mandat a été adjugé à la RUAG directement, conformément à l'article 13 de l'ordonnance sur les marchés publics (OMP; procédure de gré à gré). Il n'y a pas eu d'appel d'offres.