Dans le cadre de ses investigations relatives à la cyberattaque menée contre RUAG, la CdG-N est parvenue à la conclusion que le Conseil fédéral et le DDPS avaient réagi de manière diligente et adéquate, en analysant les risques et en ordonnant les mesures qui s’imposaient. Elle considère toutefois que la cyberattaque et ses conséquences n’ont pas été suffisamment pris en compte du point de vue du pilotage stratégique de l’entreprise et que le DDPS aurait dû se montrer plus ferme dans ses rapports avec RUAG.

​En janvier 2016, le Conseil fédéral a été informé que RUAG avait été la cible d’une cyberattaque. Dans la foulée, il a, conjointement avec le DDPS – en sa qualité de département compétent en l’espèce –, pris diverses mesures. Après que la nouvelle de l’attaque a été rendue publique, la Commission de gestion du Conseil national (CdG-N) a lancé ses propres investigations. Ses travaux visaient avant tout à déterminer si les autorités fédérales responsables – notamment le Conseil fédéral et le DDPS – avaient réagi à l’incident de manière adéquate et avec la diligence requise et si elles avaient veillé à assurer la défense des intérêts de la Confédération en tant qu’actionnaire unique de RUAG. Ils n’étaient par contre pas focalisés sur le contrôle de la mise en œuvre des mesures prises à la suite de la cyberattaque, cette tâche étant assumée par d’autres organes, notamment par le Contrôle fédéral des finances.
 
Dans le cadre de son enquête, la CdG-N a reçu des renseignements détaillés sur les fichiers piratés et sur les risques résultant de ce vol. Sur la base de ces données, elle a qualifié l’incident de grave. Dans son rapport du 8 mai 2018, elle a cependant aussi relevé que la Confédération avait réagi à la découverte de la cyberattaque avec la diligence requise et en prenant les mesures qui s’imposaient. Les dirigeants de RUAG, par contre, ont mis plus de temps à reconnaître l’envergure du piratage ainsi que les risques qui en résultaient et à prendre eux-mêmes des mesures. La CdG-N se félicite, à ce propos, de ce que le DDPS ait fait pression sur RUAG et soit intervenu à différentes reprises auprès de l’entreprise.
 
La commission estime qu’il est judicieux que le Conseil fédéral fasse suivre la mise en œuvre des mesures qu’il a ordonnées par le Contrôle fédéral des finances. Elle a pris acte du fait que le désenchevêtrement des réseaux de la Confédération et de RUAG est un processus complexe, qui prend du temps, mais elle insiste néanmoins sur l’urgence de faire avancer la mise en œuvre de cette mesure. Par ailleurs, la commission attend du DDPS qu’il suive d’un œil critique l’application des mesures mises en place par RUAG et qu’il intervienne si nécessaire.
 
L’enquête de la CdG-N visait également à déterminer comment la cyberattaque et ses conséquences avaient été traitées dans le cadre du pilotage stratégique et quelles dispositions le département compétent, à savoir le DDPS, avait prises pour défendre les intérêts de la Confédération en tant que propriétaire. Si RUAG a affirmé qu’elle n’avait jusqu’alors pas subi de préjudice économique direct du fait de l’attaque, la commission est néanmoins d’avis que les conséquences du piratage ne doivent pas être sous-estimées. Elle considère en effet que, en tant que propriétaire de l’entreprise, la Confédération doit tenir compte du fait que ce type d’incident peut également avoir des effets indirects et à plus long terme sur la marche des affaires.
 
Au cours des investigations de la commission, des doutes ont surgi quant à la capacité du DDPS à représenter et à défendre dûment les intérêts de la Confédération en tant que propriétaire face à RUAG. Celui-ci dispose certes des instruments nécessaires, mais il n’en fait pas usage suffisamment ni de manière appropriée, selon la commission. La CdG-N prend pour exemple la fixation des objectifs stratégiques et le contrôle de leur réalisation, notamment dans le cadre des entretiens avec le propriétaire, qui ont lieu à intervalles réguliers. Actuellement, ces entretiens servent principalement informer sur la marche des affaires. Or, la commission estime qu’ils devraient servir de cadre à la discussion de problèmes importants et de leurs conséquences sur la réalisation des objectifs stratégiques ou constituer une occasion, pour le propriétaire, de poser des exigences et d’assigner des missions. La CdG-N ne comprend dès lors pas que la gestion et les conséquences de la cyberattaque aient à peine été abordées sur un plan stratégique dans le cadre des entretiens « de propriétaire » entre le DDPS et RUAG.
 
Elle critique en particulier le fait que certaines discussions importantes aient été conduites dans un cadre informel et qu’il n’en existe aucune trace écrite. En procédant de la sorte, le DDPS se prive non seulement de bases d’information solides, mais aussi d’un moyen ou d’un instrument lui permettant de faire respecter ses exigences et ses directives stratégiques de manière durable.
En conséquence, la commission attend du DDPS qu’il se montre plus ferme dans ses rapports avec RUAG et qu’il veille à imposer les exigences de la Confédération et à défendre ses intérêts avec plus de force. Elle adresse en outre trois recommandations au Conseil fédéral et exige de sa part différentes clarifications en vue d’apporter des améliorations au pilotage stratégique des entreprises et entités devenues autonomes (gouvernement d’entreprise).

 
La CdG-N a siégé le 8 mai 2018 à Berne, sous la présidence de la conseillère nationale Doris Fiala (PLR, ZH).