Ruag International appelé à mieux sécuriser ses données
La Commission de gestion du Conseil national a enquêté sur Ruag International après une attaque présumée de pirates informatiques. La commission exige davantage de mesures de cybersécurité. Avant de vendre des unités de Ruag International, le Conseil fédéral est appelé à s'assurer qu'aucune donnée sensible ne subsiste sur les systèmes de l'entreprise.
La Commission de gestion du Conseil national (CdG-N) a enquêté sur le piratage présumé de Ruag International en mai 2021. Selon un communiqué publié sur le site du parlement, la commission est arrivée à la conclusion que les services fédéraux compétents et Ruag International ont réagi de manière adéquate à la supposée cyberattaque. La CdG-N demande toutefois au Conseil fédéral de prendre des mesures supplémentaires pour s'assurer qu'aucune donnée sensible ne reste sur les systèmes de Ruag International, compte tenu de la vente envisagée de certaines unités de l'entreprise.
La séparation de l'entreprise publique d'armement Ruag en Ruag MRO et Ruag International, décidée par le Conseil fédéral en 2018, est à l'origine de cette exigence. Ruag MRO doit s'occuper des intérêts de l'armée suisse, tandis que Ruag International est responsable des affaires civiles et militaires à l'échelle mondiale. Le découplage des deux entreprises représente un défi et suscite la crainte que des données importantes et sensibles de Ruag MRO subsistent dans les systèmes de Ruag International.
Les exigences de la Commission de gestion du Conseil national
En mai 2021, une cyberattaque aurait eu lieu contre Ruag International. Lors de l'audit d’une entreprise externe, aucun indice d'attaque n’a été trouvé, mais de sérieuses lacunes en matière de sécurité ont tout de même été identifiées. La commission indique ne pas comprendre pourquoi ces lacunes n’ont pas été décelées plus tôt et pourquoi Ruag International n’a pas fait tester son système informatique par une entreprise spécialisée plus tôt. De l'avis de la commission, de tels tests devraient avoir lieu périodiquement, dans l'intérêt des entreprises, mais aussi dans celui de la Confédération en sa qualité de propriétaire. C’est pourquoi la commission invite par conséquent le Conseil fédéral à examiner l’opportunité d’imposer de tels tests à Ruag International.
En outre, Ruag International et Ruag MRO sont invités à veiller ensemble à ce qu'aucune donnée sensible ne subsiste sur les systèmes de l'entreprise internationale. Officiellement, les dernières connexions informatiques existantes entre les entreprises ont été coupées. Mais la commission n'exclut pas que des données sensibles se trouvent encore dans des archives et des sauvegardes qui pourraient tomber en des mains étrangères en cas de vente d’unités de Ruag International. La CdG-N estime aussi qu’un examen supplémentaire ciblé des données avant chaque vente pourrait notamment être envisagé. La commission demande également des renseignements complémentaires et une confirmation de l’effacement des données des systèmes de RUAG International.
La CdG-N attend la prise de position sur le rapport et ses recommandations d'ici au 25 mars 2022.
