Sécurité IT déficiente au Service de renseignement de la Confédération

La Délégation des Commissions de gestion du parlement (DélCdG) a publié un résumé de son rapport sur la sécurité informatique au sein du Service de renseignement de la Confédération (SRC). Ce dernier met en lumière les conditions qui ont permis à un informaticien du SRC de dérober des données au printemps 2012 et signale de nombreuses défaillances dans le domaine de la sécurité informatique du service. Il émet une série de recommandations pour remédier à ces lacunes.

Manque de personnel IT

Le résumé du rapport de la DélCdG n’est pas tendre pour le SRC et le DDPS dont il dépend. Il leur reproche notamment de ne pas avoir comblé le manque d’effectifs IT au sein du SRC et de ne pas avoir communiqué à la délégation que cette pénurie de personnel menaçait la sécurité informatique du service. La gestion des risques lacunaire (en particulier pour les risques internes) est également pointée du doigt: «La DélCdG constate que le SRC, en raison de ressources en personnel trop limitées dans le domaine informatique et d’une gestion des risques inadaptée, ne s’est pas suffisamment employé à garantir la disponibilité, l’intégrité et la confidentialité des données, qui constituent l’objectif principal de la sécurité informatique».

Mots de passe administrateur sans contrôle

Concrètement, le rapport souligne que les concepts de sécurité pour les applications et systèmes étaient insuffisants. Les log files n’étaient pas non plus analysés de façon systématique. Le service est aussi accusé de ne pas avoir contrôlé l’utilisation des mots de passe administrateurs de la base de données, empêchant ainsi de pouvoir auditer qui a fait quoi dans le système. De plus, n’ayant qu’un seul gestionnaire de banques de données, le SRC s’est trouvé devant un «choix cornélien» au moment où ce collaborateur a eu des problèmes: suspendre l’informaticien et mettre en péril la disponibilité des systèmes, ou courir le risque que la confidentialité des données soit compromise – ce qui s’est finalement passé.

Contrôle des collaborateurs et des externes

Des lacunes sont également signalées au niveau du contrôle de personnel. Ainsi, en février 2013, un tiers des employés du SRC, dont un quart du personnel IT, n’avait pas encore été soumis au contrôle élargi avec audition, requis pour ce service sensible. Enfin, le manque de ressources internes et l’augmentation du nombre de projets ont conduit le SRC à faire appel à de nombreux informaticiens externes, non-soumis à un contrôle de sécurité de degré maximal.