Comment la Confédération peut-elle maîtriser la cybersécurité de ses fournisseurs?

Comment une autorité fédérale peut-elle empêcher un futur scandale comme celui du piratage du prestataire de services IT Xplain? Un récent rapport du service spécialisé de la Confédération pour la sécurité de l’information, rattaché au Secrétariat d’Etat à la politique de sécurité (SEPOS), apporte des réponses possibles à cette question. Il présente ainsi «un état des lieux sur la sécurité de la chaîne d’approvisionnement au regard de la loi sur la sécurité de l’information» demandé par le Conseil fédéral après le piratage de Xplain, indique le communiqué des autorités.

Evaluer dès le départ 

Le rapport (PDF) s'adresse en particulier aux services fédéraux responsables des besoins et des achats, précise le communiqué. Il présente les bases et les solutions possibles pour améliorer et contrôler efficacement la sécurité de l'information chez les fournisseurs externes.

Les services demandeurs, c'est-à-dire les unités administratives qui ont besoin d'un service ou d'un produit, jouent en effet un rôle essentiel dans la mise en place d'une solution externe sécurisée pour la Confédération. La sécurité de l'information chez les fournisseurs ne commence pas avec le contrat, «mais en amont, lors de l’évaluation des besoins», explique la Confédération. Le service demandeur définit les exigences de sécurité requises. Il appartient ensuite au service d'achat de refléter correctement ces exigences dans les documents d'appel d'offres.

«Si la sécurité de l’information n’est pas réglée dès le départ, il sera difficile, voire impossible, de rattraper ce retard sans frais supplémentaires», précise la Confédération dans son communiqué, soulignant la nécessité d'une coordination étroite entre le service demandeur et le service d’achat. 

Répartir les ressources

Dans son communiqué, la Confédération évoque les moyens limités dont elle dispose pour surveiller la sécurité des achats. Afin d'obtenir un effet maximal, les contrôles devraient se concentrer sur les domaines où les risques pour la Suisse sont les plus élevés. Le législateur a déjà effectué le travail préparatoire pour une catégorisation correspondante avec les niveaux de classification des informations et les niveaux de sécurité des moyens informatiques, indique le rapport.

Le SEPOS mentionne dans son rapport plusieurs instruments éprouvés pour vérifier la sécurité. Ils vont des déclarations volontaires des fournisseurs aux contrôles ou audits effectués par la Confédération, en passant par l'exigence de systèmes de gestion de la sécurité de l'information certifiés et actualisés en permanence chez les fournisseurs. 

L'autorité rappelle également que les contrôles de cybersécurité ne doivent pas se limiter au fournisseur qui a remporté le marché. La Confédération explique: «Derrière la fourniture d’un service public se cachent souvent des chaînes d’approvisionnement longues et ramifiées, dont les origines se trouvent souvent au-delà des frontières nationales. Les exigences en matière de sécurité doivent être prises en compte pour l’ensemble de la chaîne d’approvisionnement derrière toute prestation contractuelle.»  

Dans son rapport, le SEPOS précise également que les activités de surveillance peuvent être externalisées à des fournisseurs (services d'audit). Cette possibilité est toutefois limitée: les tiers peuvent assumer de telles tâches à condition de ne pas empiéter sur le monopole de la puissance publique (condition négative) et d'être légitimés par une base légale (condition positive). Enfin, un fournisseur contrôlé par un prestataire externe doit se voir accorder «d’un droit de veto à l’encontre de l’organisation qui s’est chargée du contrôle», si le contrôle est susceptible de lui causer un désavantage concurrentiel.