En 2021, la Commission de gestion du Conseil national (CdG-N) a enquêté sur la sécurité informatique au sein de RUAG International et de RUAG MRO. Il s’agissait de vérifier si la Confédération, en sa qualité de propriétaire, avait réagi de manière adéquate au piratage supposé rendu public en mai 2021. Elle a par ailleurs cherché à déterminer le niveau de sécurité informatique des deux entreprises précitées, à repérer les connexions qui existaient encore entre les deux entreprises et à identifier les risques qui y étaient liés. Elle s’est aussi demandé si les Commissions de gestion (CdG) avaient été informées correctement et en toute transparence par les départements compétents et par le Conseil fédéral de l’état d’avancement du processus de dissociation et de la cybersécurité au sein de RUAG.
Traitement de l’attaque supposée
La CdG-N a
conclu que les services fédéraux compétents ont globalement réagi de manière adéquate à l’attaque supposée. Elle salue également la réaction rapide de RUAG International, qui a elle-même pris les mesures nécessaires et mandaté des spécialistes externes pour faire toute la lumière sur les critiques. Il est ressorti de cet examen qu’il n’y avait aucune preuve tangible que RUAG International ait effectivement été victime d’un piratage en mai 2021. Les analyses menées à la suite des révélations faites dans les médias ont néanmoins permis d’attirer l’attention de RUAG International sur certaines graves lacunes en matière de cybersécurité et ont conduit l’entreprise à prendre différentes mesures. La commission ne comprend pas pourquoi les lacunes n’ont pas été décelées plus tôt et pourquoi RUAG International n’a pas déjà fait tester son système informatique par une entreprise spécialisée plus tôt. Elle estime que ce genre de test devrait être mené périodiquement, autant dans l’intérêt de RUAG International que dans celui de la Confédération en sa qualité de propriétaire. Elle invite par conséquent le Conseil fédéral, par l’intermédiaire du DFF, compétent en la matière, à examiner l’opportunité d’imposer de tels tests à RUAG International.
État du processus de dissociation et risques
Selon les responsables, le processus de dissociation des connexions informatiques entre RUAG International et RUAG MRO devait être achevé fin 2021. La CdG-N considère particulièrement important que les deux entreprises veillent conjointement à ce qu’aucune donnée sensible, en particulier aucune donnée de RUAG MRO, ne subsiste dans les systèmes de RUAG International. Puisqu’on ne peut exclure que de telles données se trouvent dans des archives ou des sauvegardes et parviennent à des tiers en cas de vente d’unités de l’entreprise, la CdG-N estime que des mesures supplémentaires devraient être étudiées. Un examen supplémentaire ciblé des données avant chaque vente pourrait notamment être envisagé. La CdG-N abordera cette question avec les services compétents du DFF et du DDPS. Elle demandera également des renseignements complémentaires et une confirmation de l’effacement des données des systèmes de RUAG International.
Transparence et information des CdG
La CdG-N trouve que les informations relatives à l’état du processus de dissociation au cours des dernières années manquaient de transparence. Elle invite par conséquent le Conseil fédéral à communiquer plus clairement et plus rapidement aux commissions de haute surveillance, notamment par l’intermédiaire du DFF et du DDPS avec leurs services propriétaires, les défis que pourrait poser la dissociation de RUAG, en particulier en rapport avec le développement de RUAG International.
La CdG-N invite le Conseil fédéral à prendre position sur son rapport et ses recommandations d’ici au 25 mars 2022.