Des failles de sécurité sidérantes au sein de la Confédération
C’est un rapport qui n’a pas fait grand bruit. Et pourtant, ce qu’a démontré le Contrôle fédéral des finances (CDF) dans une récente étude, publiée le 21 mars dernier, aurait dû avoir l’effet d’une bombe.
Le CDF s’est penché sur deux outils numériques majeurs utilisés au sein de la Confédération, soit la plateforme de travail numérique Cervin et la base de données Curiaplus qui est liée. C’est avec ces outils que travaillent aujourd’hui les parlementaires, car ils leur permettent d’y déposer des documents, comme des notes de dossiers et des procès-verbaux de commissions. Ces plateformes jouent donc un rôle essentiel dans le travail parlementaire et il est évident que les informations qui sont échangées en permanence en ligne sont hautement sensibles et confidentielles.
Problème: le CDF a constaté des lacunes, parfois graves, en matière de sécurité dans ces projets informatiques. Il y a eu un manque de gouvernance, un respect des instructions insuffisant ainsi que des directives inexistantes en matière d’architecture. Les plans de sécurité exigés en sont restés «à un stade embryonnaire», a noté le CDF. Concrètement, était possible pour les pirates d’usurper l’identité de parlementaires, d’accéder à leur compte et de l’utiliser de manière cachée. Des documents confidentiels pouvaient ainsi être consultés, supprimés ou remplacés par des personnes qui n’avaient pas de droit d’accès.
Selon le CDF, il est impossible d’être sûr que des pirates n’ont pas déjà exploité des failles dans la sécurité du projet Cervin. Le CDF a émis plusieurs recommandations. Mais apparemment, les services du parlement, qui ont pris connaissance de ces recommandations, ne partagent pas l’avis du CDF, ne jugeant pas utile de procéder à une nouvelle analyse complète des dangers et des risques.
Inutile de dire que ces conclusions sont alarmantes et inquiètent sur la capacité de la Confédération à mener des projets numériques de manière sérieuse – on pense bien sûr à ses projets liés au cloud. C’est d’autant plus consternant que, selon le CDF, toutes les exigences et mesures de sécurité n’avaient pas été intégrées dans l’appel d’offres. ■