L'administration fédérale passe au crible 600 contrats de services informatiques
Suite aux cyberattaques contre ses fournisseurs informatiques, l'administration fédérale a examiné 7000 contrats avec des prestataires de services externes sous l'angle des dispositions relatives à la cybersécurité. L'administration doit en analyser 600 de plus près au cours des prochains mois et les adapter le cas échéant.
La cyberattaque du printemps 2023 contre le fournisseur de services informatiques Xplain n'est pas restée sans conséquences. Dès juin 2023, le Conseil fédéral a ordonné que les contrats de prestations TIC des départements et de la Chancellerie fédérale soient examinés sous l'angle de la cybersécurité. 7000 contrats existants avec des fournisseurs de services ICT ont été examinés, écrit le Conseil fédéral dans sa réponse à une question parlementaire.
Plus de 2200 de ces contrats ont été classés comme relevant de la sécurité. Pour la moitié d'entre eux, «il a été constaté qu'ils contenaient des dispositions appropriées en matière de cybersécurité». Environ 600 contrats doivent être examinés de manière approfondie et, le cas échéant, adaptés. Il s'agit de contrats qui n'expirent pas dans les prochains mois.
Dans sa prise de position, le Conseil fédéral se prononce contre une obligation générale d'audit pour les unités organisationnelles de l'administration fédérale qui font appel à des services TIC externes. Elle serait disproportionnée et n'est pas prévue par la loi, écrit l'exécutif, qui fait remarquer que toutes les prestations ICT ne comportent pas de mandats sensibles en matière de sécurité. Les prestataires de services ICT qui exécutent de tels mandats «sont toutefois contrôlés périodiquement par l'unité spécialisée dans la sécurité d'exploitation du Secrétariat d'Etat à la politique de sécurité (SEPOS)». Nouvellement créé, le SEPOS a commencé son activité début 2024.
Rapport d'enquête d'ici fin mars
A la question de savoir selon quels critères la collaboration avec les fournisseurs TIC fautifs est interrompue, le Conseil fédéral écrit qu'il n'a pas défini de critères uniformes à ce sujet. Il appartient en principe à l'unité administrative compétente d'évaluer les risques et de tirer les conséquences qui s'imposent. Les fournisseurs qui n'ont pas respecté leurs obligations en matière de sécurité de l'information par le passé risquent de ne pas être pris en compte pour de futurs mandats.
Les incidents liés à la cyberattaque font encore l'objet d'une enquête, rappelle en outre le Conseil fédéral. Un rapport, sur la base duquel il sera décidé de la marche à suivre, devrait être livré d'ici fin mars 2024.
