Fin janvier 2016, la DélCdG a été informée de la découverte d’un maliciel étranger au sein de l’entreprise RUAG. Elle a pris la mesure de cet incident dès le début et, depuis le 22 février 2016, elle s’est entretenue plusieurs fois avec les autorités responsables ainsi qu’avec les dirigeants de RUAG. Son objectif était de s’assurer que les instances compétentes prennent des mesures appropriées pour maîtriser cet incident.

La Délégation des Commissions de gestion (DélCdG) sait depuis fin janvier 2016 que RUAG a subi une atteinte grave à sa sécurité informatique. Le département de tutelle de l’entreprise, le DDPS, avait rapidement informé la délégation dès que la présence du maliciel avait pu être confirmée. Ce dossier a été classifié secret par le DDPS.

Le 22 février 2016, la DélCdG a eu un entretien avec le chef du DDPS sur les risques liés à cette attaque, et pour RUAG et pour les systèmes informatiques du DDPS. Elle a examiné avec lui les mesures à prendre pour maîtriser la situation. La DélCdG a aussi entendu le procureur général de la Confédération qui lui a présenté ce cas sous l’angle de la poursuite pénale. La DélCdG a ensuite recommandé au Conseil fédéral, par courrier du 23 février 2016, de faire rapidement le nécessaire afin d’être prêt à informer le public, le moment venu.

Le 3 mars 2016, la DélCdG a fait un point de la situation après avoir analysé le rapport du Groupe Sécurité à l’intention de la Délégation du Conseil fédéral pour la sécurité (Délséc).

Le 14 mars 2016, la DélCdG s’est entretenue avec les membres de la Délséc. Elle leur a suggéré de réexaminer la classification de ce dossier, estimant que la classification secrète pourrait entraver une résolution adéquate du cas. Selon la Délséc, le secret devait cependant encore être maintenu dans l’intérêt de la poursuite pénale, mais aussi afin de garantir le succès des mesures prises par l’entreprise concernée pour maîtriser l’incident.

Le 23 mars 2016, dans une décision secrète, le Conseil fédéral a arrêté une série de mesures destinées à maîtriser les conséquences de l’incident dans la sphère de compétences de la Confédération. Lors de sa séance du 13 avril 2016, la DélCdG s’est penchée sur cette décision et a mené des auditions complémentaires avec la Base d’aide au commandement (BAC) de l’armée et avec l’Unité de pilotage informatique de la Confédération (UPIC). Par courrier du 14 avril 2016, elle a fait part de ses conclusions au Conseil fédéral, en réitérant notamment ses réserves quant au maintien du secret qui, selon elle, entravait une résolution systématique des problèmes identifiés.

Le 22 avril 2016, la DélCdG a rencontré les dirigeants de RUAG en présence du chef du DDPS, qui défend dans ce cas les intérêts de la Confédération en sa qualité de propriétaire de l’entreprise. Pour la DélCdG, il s’agissait avant tout de s’informer sur l’appréciation de l’entreprise quant au dommage susceptible de résulter de cet incident, ainsi que sur les mesures et la stratégie choisies afin d’y remédier.

La semaine prochaine, la DélCdG informera dûment les Commissions de gestion (CdG) des travaux qu’elle a menés jusqu’à présent. Elle va continuer à suivre ce dossier dans les limites de ses compétences, mais elle renonce à donner plus d’informations au public. La responsabilité directe de ce cas incombe au Conseil fédéral, en particulier au DDPS, et à RUAG.