Dans son rapport du 8 mai 2018, la Commission de gestion du Conseil national (CdG-N) s’était penchée sur la gestion de la cyberattaque menée contre RUAG et détectée au printemps 2016. Elle avait conclu que le Conseil fédéral et le DDPS avaient globalement réagi de manière adéquate à la cyberattaque, invitant toutefois ces derniers à se montrer plus fermes dans leurs rapports avec RUAG et à défendre les intérêts de la Confédération avec plus de force. La commission avait formulé des recommandations visant à améliorer le pilotage stratégique des entreprises et entités devenues autonomes.
Par la suite, la CdG-N a examiné les mesures que le Conseil fédéral avait prises pour mettre en œuvre ses recommandations. Elle a mené des investigations et auditions supplémentaires et s’est penchée sur le rapport d’experts sur le gouvernement d’entreprise de la Confédération d’avril 2019. Sur la base de ces travaux, la CdG-N émet les constatations suivantes:
Pilotage stratégique de RUAG: des améliorations, mais aussi des questions en suspens
Dans son rapport du 8 mai 2018, la CdG-N a demandé au Conseil fédéral d’expliquer par quels moyens il entendait veiller à une mise en œuvre judicieuse des instruments de pilotage et à une défense plus résolue des intérêts du propriétaire vis-à-vis de RUAG. Le Conseil fédéral devait également examiner la nécessité d’opérer certains changements stratégiques dans le cadre du pilotage de RUAG, notamment au sujet de la structure organisationnelle et la forme juridique de RUAG et quant à une éventuelle privatisation partielle de l’entreprise.
La CdG-N note avec satisfaction que, à la suite de la cyberattaque, le Conseil fédéral a étudié attentivement la question de l’enchevêtrement des réseaux ainsi que celle de l’évolution de RUAG. Compte tenu des informations dont elle dispose, la CdG-N considère que la décision de restructurer RUAG est compréhensible, en particulier pour des raisons de sécurité (informatique). En outre, elle constate que le DDPS exploite mieux qu’auparavant les instruments de pilotage dont il dispose, notamment les entretiens avec le propriétaire.
Aux yeux de la CdG-N, les points ci-après doivent toutefois faire l’objet d’éclaircissements supplémentaires:
- Intégration du système informatique et des données de RUAG dans les paramètres de sécurité de l’armée: la CdG-N se félicite de ce que le DDPS ait lancé une vérification complémentaire visant à garantir que les données à intégrer ne contiennent plus de logiciels malveillants. Elle attend du département que, le cas échéant, il prenne d’autres mesures en se fondant sur les conclusions de cette vérification.
- Mandats de tiers assumés par MRO Suisse: la CdG-N considère que, pour des raisons de sécurité informatique, ces mandats pourraient poser des problèmes et donner lieu à de nouveaux enchevêtrements. Par conséquent, elle estime que cette problématique devra être suivie attentivement.
- Présence d’un représentant de la Confédération au sein du conseil d’administration des nouvelles unités: la CdG-N regrette que le Conseil fédéral n’aborde ni les avantages ni les inconvénients d’une telle approche dans son avis de septembre 2018. Le Conseil fédéral indique simplement qu’il souhaite renoncer à cette solution – alors qu’il avait annoncé en juin 2018, dans un communiqué de presse, qu’il était favorable à ce qu’un représentant du DDPS siège au conseil d’administration des nouvelles unités.
- Restructuration et privatisation de RUAG International: la CdG-N attend du DDPS qu’il suive de près ce processus et qu’il informe le Conseil fédéral de tout changement de la situation afin que celui-ci puisse, le cas échéant, vérifier et adapter les décisions prises jusque-là ainsi que le calendrier de la dissociation et de la nouvelle structure de RUAG (par ex. si les prévisions de recettes de la vente d’unités de RUAG s’avèrent trop optimistes ou si les données de RUAG qui devront être transférées dans les paramètres de sécurité de l’armée contiennent encore des programmes malveillants).
La CdG-N conclut que les thèmes précités et la transformation de RUAG représentent des défis de taille pour la Confédération en sa qualité de propriétaire. Elle attend donc du DDPS et de l’AFF qu’ils accompagnent étroitement ce processus d’un œil critique et y affectent les ressources nécessaires. La commission salue les premières décisions que la cheffe du DDPS a prises en ce sens.
Prise en compte insuffisante du problème du désenchevêtrement des réseaux
La CdG-N a chargé le Conseil fédéral d’accorder une attention particulière à la question du désenchevêtrement dans le domaine des systèmes informatiques et de vérifier s’il y a lieu de traiter cette question dans les prescriptions et rapports établis en matière de gouvernement d’entreprise. Le Conseil fédéral estime que cela n’est pas nécessaire, indiquant avoir déjà la possibilité de fixer des prescriptions en la matière dans les objectifs stratégiques.
La CdG-N regrette que les experts n’aient pas tenu compte du problème de l’enchevêtrement dans leur examen du gouvernement d’entreprise ordonné par le Conseil fédéral. Elle critique le fait que le Conseil fédéral, s’il mentionne la possibilité d’édicter, dans les objectifs stratégiques, des prescriptions sur la dissociation de l’informatique, ne précise pas s’il est disposé à faire usage de cette possibilité. Par conséquent, elle demande au Conseil fédéral qu’il lui fournisse des informations complémentaires.
Eu égard aux questions en suspens, la CdG-N a décidé de poursuivre ses travaux à ce sujet. Elle invite le Conseil fédéral à prendre position sur son
rapport d’ici au 20 février 2020 et le prie par ailleurs de l’informer à cette même échéance des derniers développements et des dernières décisions prises en relation avec RUAG.
La commission a siégé le 19 novembre 2019 à Berne, sous la présidence de la conseillère nationale Doris Fiala (PLR, ZH).