Importantes failles découvertes dans la sécurité informatique du Parlement
Les parlementaires suisses travaillent depuis trois ans avec une plateforme informatique qui présente des risques de sécurité considérables. La suspension d'un des projets de numérisation associé est envisagée.
Le Contrôle fédéral des finances (CDF) a découvert de graves failles de sécurité dans l'infrastructure informatique du Parlement. Le CDF a examiné deux projets de numérisation et arrive à la conclusion qu'il existe des problèmes et des risques importants dans les deux projets, notamment en ce qui concerne la sécurité de l'information. La faute à des défaillances en matière de gouvernance et de stratégie, peut-on lire dans le rapport du CDF: «Il n’existe pas de stratégie informatique adaptée aux objectifs fixés ou au mandat de numérisation».
Il manque en outre une stratégie opérationnelle ou d’approvisionnement, ainsi qu’une architecture cible prenant en compte toutes les exigences pertinentes. «C’est dans ce vide que les responsables de projets ont pris des décisions et créé des précédents – en partie sans en analyser les conséquences de manière approfondie», souligne le CDF.
Les lacunes concernent notamment les projets informatiques Cervin et Curiaplus, qui ont pour but de faire avancer la numérisation des activités du conseil et des commissions.
Portail d'information présentant des failles de sécurité
Cervin est une plateforme qui offre aux parlementaires ainsi qu'aux collaborateurs des services du Parlement un accès personnalisable à toutes les informations pertinentes. Le portail est déjà en service depuis 2019, bien que d'importantes questions d'exploitation ne soient toujours pas résolues et que des risques de sécurité subsistent: «Le niveau de sécurité de Cervin est inférieur à la moyenne, selon les audits de sécurité externes qui ont été réalisés. Des failles ont été identifiées et, selon le rapport d’audit, doivent être supprimées au plus vite, ce qui n’a pas été fait.»
Les possibilités de test du portail Cervin sont par ailleurs insuffisantes. Les Services du Parlement ont confié l’exploitation de la plateforme à une entreprise externe sans contrat ni accord de niveau de service. Le marché, d'un montant de près de 10 millions de francs, a été attribué en 2019 au prestataire de services informatiques Clavis IT. Le CDF conclut que l'infrastructure mise à disposition par le projet Cervin n'est actuellement pas assez sûre pour y implémenter et exploiter l'application Curiaplus, encore nettement plus sensible. Il manque les conditions nécessaires pour savoir si des attaquants ont déjà exploité des failles de sécurité.
L'arrêt du projet Curiaplus est envisagée
Le projet Curiaplus était considéré comme un fondement du fonctionnement numérique de l’Assemblée fédérale. L'objectif étant que ses membres puissent traiter leurs demandes directement en ligne. Son introduction était prévue pour la prochaine législature, en 2023. Mais le CDF met aujourd'hui en garde contre les risques élevés liés à la réalisation de Curiaplus. Il manque entre autres une évaluation indépendante du projet. «Les rapports sur les risques du chef de projet ne mentionnent ni les risques signalés par les spécialistes internes, ni ceux qui ont été constatés par des rapporteurs externes», lit-on dans le rapport.
Curiaplus dépend de l’achèvement dans les délais d’autres projets informatiques, dont certains accusent déjà des retards importants. Le développement de Curiaplus a lui-même déjà pris du retard après quelques mois. Et il y aurait des divergences avec le fournisseur quant à la possibilité d'achever le projet dans les délais convenus. Le CDF tire une conclusion sévère: «Au vu des risques liés au projet et des directives stratégiques non clarifiées, il convient de déterminer s'il serait opportun de suspendre le projet Curiaplus.»
