Des documents du département des affaires étrangères stockés par erreur dans le cloud de Microsoft

Des documents internes du Département fédéral des affaires étrangères (DFAE) ont été stockés par erreur dans une infrastructure cloud opérée par Microsoft, selon une enquête publiée par la NZZ am Sonntag. Les informations concernées étaient classifiées au niveau «interne», un degré qui, selon la législation suisse, peut déjà représenter un risque pour les intérêts de politique étrangère ou pour la sécurité intérieure et extérieure du pays.

Le DFAE a confirmé l’existence de cette faille. Selon le département, le dispositif technique destiné à empêcher le transfert de documents classifiés vers le cloud ne fonctionne actuellement que partiellement, ce qui a permis le stockage involontaire de certains fichiers internes sur des serveurs exploités par Microsoft.

Une faille connue, révélée par un audit interne

Le problème n’était pas totalement inconnu des autorités. Toujours d’après la NZZ am Sonntag, un audit interne mené durant l’été précédent avait déjà jugé insuffisantes les mesures de sécurité en place. Le rapport signalait notamment que des documents classifiés avaient été stockés de manière incorrecte, sans que le contenu précis des fichiers concernés ne soit rendu public.

Le DFAE indique toutefois que les documents soumis à des niveaux de classification plus élevés n’ont pas été affectés. À la suite de ces constats, le département affirme avoir renforcé la sensibilisation de ses collaborateurs aux règles de gestion et de stockage des données sensibles.

La dépendance aux services cloud américains en toile de fond

Cet incident intervient dans un contexte de dépendance croissante de l’administration fédérale aux solutions cloud américaines. Fin décembre, la Chancellerie fédérale a annoncé que l’ensemble des quelque 54’000 postes de travail de l’administration utilisait désormais Microsoft 365. Une part importante des documents administratifs n’est ainsi plus stockée localement, mais hébergée dans des centres de données exploités par le groupe américain.

Or, en vertu du Cloud Act américain, les entreprises soumises au droit des États-Unis peuvent être contraintes de transmettre des données aux autorités américaines, y compris lorsqu’il s’agit d’informations appartenant à des États étrangers. Cette problématique fait l’objet de critiques récurrentes, notamment de la part de la Conférence suisse des préposés à la protection des données. 

Dans un rapport publié en novembre dernier sur la souveraineté numérique, le Conseil fédéral relevait que, dans ce cadre, la confidentialité des données n’est pas systématiquement garantie.

Interrogé par la NZZ am Sonntag, Microsoft affirme de son côté que les autorités américaines ne disposent pas d’un accès illimité aux données et que l’entreprise s’engage contractuellement à contester toute demande jugée illégitime.

Des alternatives à l’étude, sans rupture immédiate

Selon l'édition dominicale du quotidien zurichois, une étude de faisabilité examine actuellement dans quelle mesure l’administration fédérale pourrait réduire sa dépendance aux services de Microsoft à moyen terme. Le Parlement a par ailleurs validé un crédit d’environ 250 millions de francs destiné à la création du Swiss Government Cloud visant à renforcer la cybersécurité et à limiter la dépendance à des fournisseurs dominants.

Les autorités estiment toutefois qu’une rupture complète avec les fournisseurs américains serait difficilement envisageable à court terme. La Chancellerie fédérale évoque un scénario à haut risque, nécessitant des investissements très importants et une transformation profonde des infrastructures existantes.

L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!