Ruag doit être plus vigilante sur ses données sensibles

C'est notamment la vente de Ruag MRO (aéronautique) qui est ciblée dans le rapport de la commission de gestion publié mardi. Aucune donnée sensible ne doit subsister dans les systèmes informatiques après une vente.

En ce qui concerne la cession de Ruag Ammotec (munitions), actuellement en discussion, la situation serait moins préoccupante. Cette entreprise a dissocié ses activités informatiques depuis 2014 déjà, précise le rapport.

Du côté de Ruag MRO, on assure que la migration des données pertinentes a été achevée. De même que le nettoyage des données sensibles au sein de Ruag International, terminé à fin 2021.

Doutes

Le Contrôle des finances, qui s'est penché sur la question dans un audit, n'est pas aussi assuré. Il doute que Ruag International ait une vue d'ensemble complète sur cette problématique.

Au final, on ne peut exclure que de telles données se retrouvent dans des archives ou des sauvegardes et parviennent à des tiers en cas de vente d'unités de l'entreprise, estime la commission de gestion. Des mesures supplémentaires sont selon elle nécessaires.

A confirmer

Un examen ciblé des données avant chaque vente de parties de l'entreprise pourrait être envisagé. La commission va aborder ce point avec les départements concernés des finances et de la défense.

Elle va aussi demander au Conseil fédéral de prendre les mesures nécessaires pour que Ruag International ne dispose plus de données militaires ou sensibles après l'effacement prévu. Elle souhaite également une confirmation de la suppression des données des systèmes de Ruag International.

La commission déplore encore le manque de transparence du gouvernement et des départements concernés dans ce dossier. Et de les inviter à communiquer plus rapidement avec les commissions de surveillance en cas de difficultés rencontrées lors de la dissociation de Ruag. Le Conseil fédéral doit désormais prendre position d'ici au 25 mars.

Réaction rapide

La plupart de ces questions sont ressorties suite à une cyberattaque présumée ayant touché Ruag en mai 2021. Des révélations en ce sens avaient été faites lors d'une émission de la SRF.

Les services fédéraux ont globalement agi de manière adéquate, constate la commission. L'entreprise Ruag International a réagi rapidement et mandaté des spécialistes externes pour faire la lumière sur les critiques émises en matière de cybersécurité. Aucune preuve tangible d'une attaque n'a au final été constatée.

Tests imposés?

Mais ces analyses ont permis de déceler de graves lacunes en matière de cybersécurité au sein de l'entreprise. La commission de gestion ne "comprend pas pourquoi ces lacunes n'ont pas été décelées plus tôt et pourquoi Ruag n'a pas fait tester son système informatique par des experts plus tôt".

Des manquements dans la formation ont notamment été constatés, ainsi que des retards dans la mise à jour de logiciels et de systèmes. Ruag International s'est alors séparée de son responsable de la sécurité des systèmes d'information et a procédé à une réorganisation interne.

Ce genre de test de sécurité devraient être menés périodiquement, poursuit la commission. Le Conseil fédéral doit envisager d'imposer de tels tests à Ruag.