La Confédération rappelle à ses prestataires IT leurs obligations

Les prestataires de services informatiques travaillant pour la Confédération ont récemment reçu un courrier. Dans une lettre, les autorités rappellent aux entreprises leurs obligations contractuelles, notamment en matière de cybersécurité et de protection des données. En outre, la Confédération attend de ses prestataires de services informatiques qu'ils «s'informent régulièrement des cybermenaces actuelles et des mesures à prendre pour y faire face», rapporte le site Inside-IT.ch en citant la lettre en question.

Le document contient cinq points que les entreprises sont tenues de garantir. Ils vont de l'obligation d'une authentification multi-facteurs à l'interdiction de stocker des données productives non anonymisées, en passant par l'exigence d'un processus de réponse aux incidents et d'un système central de journalisation. Si ces points ne peuvent pas être respectés, les partenaires contractuels et le Centre national de cybersécurité (NCSC) doivent être immédiatement informés.

L'attaque par ransomware contre le prestataire de services informatiques Xplain, rendue publique début juin 2023, est très probablement à l'origine de cette lettre. Pour rappel, des pirates informatiques (le gang Play) ont divulgué sur le dark web des données de plusieurs polices cantonales. Mais aussi de Fedpol, de l’armée, ainsi que de l’Office fédéral de la douane et de la sécurité des frontières (OFDF), des CFF, de Ruag, du SECO, ou encore du canton d’Argovie. 

Le PFPDT se penche aussi sur Xplain

Le Préposé fédéral à la protection des données et à la transparence (PFPDT), Adrian Lobsiger, a en outre fait savoir qu’il élargissait le périmètre de son enquête à Xplain après avoir «pris connaissance d’autres informations sur l’incident». Dans un premier temps, son enquête initiée le 20 juin concernait l'Office fédéral de la police (Fedpol) et l'Office fédéral des douanes et de la sécurité des frontières.