Suisse: Caméras de surveillance de l’armée jugées trop vulnérables

Certaines des caméras vidéo que l’armée suisse utilise pour surveiller ses bâtiments, ses installations ou sites d’armement sont «obsolètes et insuffisamment protégées contre les attaques de pirates informatiques.» Telle est la conclusion d’un rapport interne du Département de la défense (DDPS), rapporte lundi SRF.

Selon l’enquête, commandée par la conseillère fédérale Viola Amherd, la grande muette ne sait pas non plus combien de caméras dites vulnérables sont encore en place et n’a aucune vision d’ensemble. La plupart des caméras utilisées sont en service depuis plus de dix ans. Et l’équipement utilisé n’est ni régulièrement contrôlé à la recherche de failles connues ni adapté avec de récentes mises à jour logicielles, dénonce le rapport.

On ne sait pas non plus clairement comment les images sensibles sont traitées sur de nombreux sites militaires et bâtiments administratifs ni combien de temps le matériel doit être conservé ou qui peut le modifier. En outre, la plupart des documents de sécurité ne sont pas disponibles ou sont insuffisamment documentés. Et les spécifications techniques définies par l’Office fédéral de l’armement ne sont pas entièrement respectées, et ce sur la plupart des sites.

L’audit interne arrive à la conclusion que l’armée néglige sa sécurité informatique. Il recommande donc de clarifier les responsabilités en matière de protection des données pour chaque site. L’armée doit aussi s’assurer que les exigences minimales en matière de sécurité sont respectées. Elle doit aussi dresser un inventaire de tous les systèmes de vidéosurveillance.

Interrogé sur ce rapport, le DDPS nous a répondu qu’il avait déjà «commencé les travaux pour mettre en œuvre les recommandations formulées» d’ici à la fin de l’année. Il précise que les images prises par des caméras mises en réseaux «se trouvent à un niveau technique actuel» et que les données y sont sécurisées. Selon le DDPS, le plus grand danger pour les caméras reste les attaques physiques (destruction, coupure des câbles, etc.)

Il admet que les documents sur la sécurité informatique ont été créés de façon décentralisée, mais qu’ils «seront désormais uniformisés sur la base des conclusions du rapport». Il est aussi précisé que les directives techniques d’armasuisse, qui définissent les exigences pour les nouvelles installations, «ne requièrent pas le remplacement anticipé ou la mise à niveau des installations de vidéosurveillance existantes qui ne satisfont pas à ces directives».

Pour rappel, une hackeuse lucernoise vient de provoquer une onde de choc aux États-Unis en publiant la liste de 1,5 million de personnes interdites de vol aux États-Unis. Elle a en effet piraté – facilement – des données de la sécurité aérienne américaine. La Suisse est donc elle aussi tout sauf à l’abri de telles attaques.