Le canton de Vaud rompt son contrat avec Xplain (update)

Mise à jour du 8 février 2024: Xplain, le prestataire suisse alémanique encore dans toutes les mémoires et qui a été piraté en juin dernier, avait signé un contrat avec le canton de Vaud pour l'actualisation du système informatique principal des forces de police vaudoises (le programme Odyssée). Ce dernier avait déjà été mis en suspens en octobre dernier, suite à la cyberattaque subie par l’entreprise bernoise (qui est tout récemment sortie du silence). 

Aujourd’hui, les autorités vaudoises font savoir qu’elles ont décidé de rompre le contrat avec Xplain. Motif indiqué dans le communiqué: Xplain n'a pas su répondre aux exigences du canton. Outre le fait que le projet Odyssée a accusé un retard significatif de plusieurs mois en raison des enquêtes entourant l’attaque contre le prestataire, le canton précise: «Le fournisseur a en outre rencontré des problèmes de qualité du produit provoquant des doutes sérieux quant à sa capacité à fournir les prestations initialement contractées.»  

Xplain a déjà réagi à la nouvelle dans une prise de position que nous publions ici in extenso: «Nous prenons connaissance avec surprise de la décision du canton de Vaud 2024 et la regrettons. Elle est intervenue le lendemain du jour où Xplain a pu informer de différents développements suite à l'attaque par ransomware de l'année dernière. Il s'agit notamment de la reconstruction et de l'examen de l'ensemble de toute l'infrastructure informatique, de la reprise de presque tous les travaux de projet, de la situation financière stable de l'entreprise et un nombre constant de clients et de employés. Entre l'attribution du projet Odyssée 2018 et le début des travaux, quatre années se sont écoulées - pour des raisons qui n'ont rien à voir avec Xplain. Au cours de ces quatre années, les conditions légales, organisationnelles et techniques ont évolué et, par conséquent, les exigences relatives au projet et au produit initialement proposé ont également changé. Nous regrettons que ce processus soit maintenant interrompu.» 

Mise à jour du 4 décembre 2023: L’attaque contre Xplain bloque aussi la modernisation de l’IT du canton d'Argovie

Le canton d'Argovie ne développe plus de projets IT en collaboration avec Xplain pour le moment. C'est ce qui ressort d'une réponse du Conseil d'Etat argovien à une intervention parlementaire. Après la découverte de la cyberattaque en juin dernier, les projets avec le prestataire Xplain ont été suspendus jusqu'à nouvel ordre, indique le Conseil d'Etat. Une task force dédiée coordonne et documente toutes les mesures pour les applications touchées par la cyberattaque.

Selon le Conseil d'Etat, 32 des 342 gigaoctets de données publiées par le groupe de pirates Play concernent le département argovien de l'économie et de l'intérieur. Parmi les données sensibles qui y ont été trouvées figurent notamment des ordonnances pénales, ainsi que des décisions judiciaires et administratives. La task force a constaté que certaines données nécessaires à l'échange de connaissances auraient dû être laissées sur l'infrastructure de l'administration et que des données auraient dû être effacées plus tôt chez le fournisseur, écrit le Conseil d'Etat. 

News originale du 16 octobre 2023: L’attaque contre Xplain bloque la modernisation de l’IT de la police vaudoise

Les polices cantonale et municipales vaudoises voient la modernisation de leur environnement IT prendre du retard. En cause? Le projet a été confié à Xplain, le prestataire encore dans toutes les mémoires qui a été piraté en juin dernier. Des données opérationnelles sensibles de Fedpol et des douanes (OFDF), notamment, ont été dérobées et publiées sur le darknet. 

Selon le pôle d'investigations de la RTS, le partenariat entre Xplain et les polices vaudoises est aujourd'hui remis en question. Selon les documents publiés par le canton, le prestataire bernois avait remporté l'appel d'offre en 2018. Le projet nommé «Odyssée» vise à remplacer trois applications devenues obsolètes: le Journal des Evénements de Police (JEP), le Système d’Information et d’Archivage Police (SINAP) et «Graphite», un logiciel de formulaires et traitement de texte. Il est prévu de remplacer ces trois applications par un seul et même logiciel, la solution «Polaris» de Xplain. Selon la RTS, les autorités vaudoises ont accordé un budget de 21 millions de francs pour ce projet. 

L'attaque contre Xplain aurait déjà eu des répercussions contre les polices vaudoises. Un porte-parole cité par la RTS confirme que des données ont été subtilisées, précisant qu’il ne s'agit pas d’informations sensibles. Le projet Odyssée aurait déjà pris plusieurs mois de retard, le personnel de Xplain étant accaparé par le gestion des retombées du piratage. En outre, le canton souhaite attendre les résultats des enquêtes menées au niveau fédéral concernant cette attaque et les responsabilités en cause. Par ailleurs, des élus siégeant aux Grand Conseil s'inquiètent d'une possible mise en faillite de Xplain et des risques financiers qui en découleraient.