Piratage informatiqueRuag a bien réagi mais doit mieux faire avec ses données sensibles
La Commission de gestion du National a lancé une enquête après le piratage supposé de Ruag International en mai dernier. Il n’y a pas de preuve de piratage mais l’enquête a révélé des lacunes en termes de cybersécurité.
Le siège de RUAG à Berne.
Les services fédéraux compétents ont globalement réagi de manière adéquate au piratage supposé de l’entreprise d’armement RUAG International. Mais l’incident a révélé certaines lacunes graves en matière de cybersécurité. Telles sont les conclusions de la commission de gestion du Conseil national, dans un rapport paru ce mardi.
Pour rappel, la télévision alémanique SRF avait diffusé en mai 2021 un reportage qui affirmait que l’entreprise avait été victime d’une nouvelle cyberattaque. La commission salue dans son communiqué la réaction rapide de RUAG International, qui a elle-même pris les mesures nécessaires et mandaté des spécialistes externes pour faire la lumière sur les critiques émises en matière de cybersécurité. Aucune preuve tangible d’un piratage n’a au final été constatée, relève-t-elle.
Mais les analyses menées à la suite de ces révélations ont toutefois permis d’attirer l’attention de RUAG sur de sérieuses failles en matière de sécurité et ont conduit l’entreprise à prendre différentes mesures. «La commission ne comprend pas pourquoi ces lacunes n’ont pas été décelées plus tôt et pourquoi RUAG n’a pas déjà fait tester son système informatique par une entreprise spécialisée plus tôt», critique-t-elle.
Des tests de sécurité à mener périodiquement
La commission estime du coup que ce genre de test devrait être mené périodiquement, «autant dans l’intérêt de RUAG que dans celui de la Confédération en sa qualité de propriétaire». Elle invite donc le Conseil fédéral «à examiner l’opportunité d’imposer de tels tests à RUAG International».
La commission de gestion pointe également le processus de dissociation des connexions informatiques entre RUAG International et RUAG MRO (aéronautique). Un processus qui devait être achevé fin 2021. Elle considère particulièrement important que les deux entreprises veillent conjointement à ce qu’aucune donnée sensible, en particulier de RUAG MRO, ne subsiste dans les systèmes de RUAG International. «Puisqu’on ne peut exclure que de telles données se trouvent dans des archives ou des sauvegardes et parviennent à des tiers en cas de vente d’unités de l’entreprise, la commission estime que des mesures supplémentaires doivent être étudiées», estime-t-elle.
La commission critique enfin un manque de transparence sur le processus de dissociation ces dernières années. Elle invite par conséquent le Conseil fédéral à communiquer plus clairement sur le sujet.