Lexipedia

01.3708 · Interpellation · 2001-12-04

Département des finances

Liquidé

Wortlaut

Le DFF rédige chaque année un rapport sur l'état d'avancement de la mise en oeuvre des mesures de sécurité dans le secteur informatique. Le rapport en question aborde aussi le thème de la sécurité informatique proprement dit. A en croire ledit rapport, la situation en matière de sécurité informatique dans l'administration fédérale est comparable à celle qui prévaut dans d'autres administrations et dans le secteur privé, que ce soit en Suisse ou à l'étranger. Plusieurs questions se posent à cet égard :

1. Qu'en est-il exactement ? La situation en matière de sécurité informatique dépend étroitement de l'analyse des informations qui sont protégées et de celles qui doivent l'être, de l'analyse des dangers et de l'analyse des points faibles. Ceux-ci ne sauraient cependant être comparables à ceux d'autres administrations ou du secteur privé, que ce soit en Suisse ou à l'étranger.

2. En vertu de l'article 14 de l'ordonnance sur l'informatique et la télécommunication dans l'administration fédérale, "les moyens informatiques et les données dont la Confédération répond de la confidentialité, de la disponibilité, de l'intégrité et de la non-répudiation doivent être protégés par les services compétents. Les unités administratives compétentes ont pour tâche permanente de recenser et de contrôler les objets à placer sous protection". Étant donné que les réseaux informatiques de l'administration fédérale dépassent le cadre strict des services ou des départements, la question suivante se pose :

Qui, précisément, est chargé de gérer les risques qui pèsent sur le secteur informatique au sein de la Confédération ?

3. A-t-on une vue d'ensemble des points faibles de l'architecture informatique de la Confédération dans le secteur de la sécurité, plus particulièrement lors des passages à un réseau cantonal ou des accès à Internet ? A-t-on fait intervenir systématiquement des équipes spécialisées (tigerteams) pour dresser un état des lieux ?

4. Dans quelle mesure traite-t-on au plus haut niveau, de façon efface et coordonnée, les problèmes touchant à la sécurité informatique et à la sécurité de l'information en général ?

5. Minimiser les risques, ce n'est pas seulement les prévenir ; c'est aussi les détecter et réagir en conséquence. Quelles sont les mesures qui ont été prises en la matière ? Comment teste-t-on et évalue-t-on leur efficacité ? Dans quelle mesure les problèmes qui se posent en matière de ressources humaines et financières se répercutent-ils sur l'efficacité des mesures en question ?

Stellungnahme des Bundesrates

1. Les différents risques existant en matière de sécurité informatique ne sont certes pas comparables. En revanche, les types de tâches et les données traitées dans les diverses administrations restent semblables en règle générale. L'industrie et les entreprises de prestations de services classent leur besoin de protection et les risques de la même manière que le secteur public. Des possibilités de comparaison des risques et des dommages existent donc même s'il n'y a pas d'échanges directs d'informations. Ces comparaisons s'appuient sur les éléments suivants :

- les rapports d'autres administrations (celles des cantons p. ex.) concernant les besoins en matière de sécurité informatique ;

- les contacts dans le cadre d'InfoSurance, fondation pour la sécurité de l'infrastructure de l'information en Suisse, financée conjointement par la Confédération et par le secteur privé ;

- les contacts directs avec des services administratifs étrangers, tels que le "Bundesamt für Sicherheit in der Informationstechnik" en Allemagne, le "Zentrum für sichere Informationstechnologie" en Autriche, le "Critical Infrastructure Protection Office" aux États-Unis et d'autres services étatiques ; ces services ont confirmé lors de plusieurs rencontres qu'ils sont confrontés à des problèmes semblables, voire identiques, dans le domaine de la sécurité informatique et qu'ils introduisent, par conséquent, des mesures en fonction de leurs procédures ;

- les comparaisons effectuées à l'occasion de congrès internationaux.

2. Plusieurs unités administratives sont responsables de la gestion des risques. Elles jouent divers rôles :

- Les détenteurs de données évaluent le degré de protection nécessaire pour ces dernières. Les unités administratives compétentes recensent et contrôlent en permanence les objets à placer sous protection.

- Le Conseil de l'informatique (CI) met en oeuvre les directives du Conseil fédéral concernant l'informatique et la télécommunication dans l'administration fédérale. Il charge l'Unité de stratégie informatique de la Confédération (USIC) d'élaborer, en collaboration avec le Comité pour la sécurité informatique qu'elle dirige et au sein duquel tous les départements et la Chancellerie fédérale sont représentés, les directives concernant la sécurité informatique. L'USIC fixe les mesures concrètes à prendre sur la base des besoins déterminés en commun avec les unités administratives en matière de sécurité.

- Les fournisseurs de prestations informatiques des départements mettent en oeuvre les mesures décidées.

La sécurité optimale ne peut être garantie qu'à travers une collaboration entre les unités qui connaissent le domaine (données à protéger, processus, personnes concernées), soit les bénéficiaires de prestations, les unités en mesure d'évaluer globalement les dangers et les mesures de sécurité possibles et nécessaires (spécialistes en sécurité de l'USIC et des départements) et les unités à même de mettre en oeuvre les mesures (fournisseurs de prestations).

3. L'USIC met à disposition une base de données des moyens informatiques et des données à protéger (objets à placer sous protection) ainsi qu'une liste des personnes responsables de contrôler régulièrement le respect et l'efficacité des mesures de sécurité. Cette banque de données permet d'avoir une vue d'ensemble sur les systèmes et les réseaux utilisés par les différents départements et unités administratives. Un inventaire complet des points faibles ou des risques potentiels n'est pas publié. Il est en effet évident que la divulgation d'un point faible multiplie notablement les risques.

Les équipes spécialisées (tigerteams) ne sont intervenues jusqu'ici que dans des cas isolés et à la requête des utilisateurs concernés. Leur rôle et l'utilité des résultats atteints ne font en effet pas encore l'unanimité. En outre, le recours à de telles équipes est quelque peu problématique pour ce qui est de la protection des données, car il n'est pas exclu qu'elles aient accès à des informations sensibles concernant des personnes. Une base légale en la matière n'a pas encore été élaborée. L'intervention d'équipes spécialisées externes ne se justifie que si les experts internes du système ne trouvent plus aucune lacune. Leur méthode consiste, tout comme celle des pirates informatiques, à tenter différentes attaques au hasard. Ainsi, le résultat obtenu ne révélant pas de lacunes, il n'en garantit pas l'absence. Les fautes et les lacunes découvertes sont immédiatement corrigées au moyen de rustines (patches). Ces dernières peuvent également contenir des erreurs qui doivent à leur tour être éliminées. La sécurité est en effet un processus continu dans lequel les tests effectués par les équipes spécialisées ont une certaine utilité qui reste toutefois limitée.

4. La sécurité informatique est un thème traité régulièrement au sein du CI, l'organe compétent pour la gestion globale de l'informatique et donc également pour les directives en matière de sécurité. Elle est également un sujet clé pour le Comité informatique institué récemment par le Conseil fédéral. Chaque année, celui-ci se penche sur cette question lors de la remise du rapport concernant la sécurité informatique. Il a indiqué clairement que la sécurité occupe une place prioritaire dans le domaine de l'informatique et dans le cadre de chaque projet informatique.

5. Afin de prévenir et d'éviter les problèmes de sécurité ou d'y remédier efficacement, les mesures optimales selon les connaissances actuelles en la matière sont mises en oeuvre, sans que toutefois une sécurité absolue puisse être assurée. Ces mesures ne sont évidemment pas publiées dans le détail. Lorsque des mesures sont prises, elles sont testées dans des cas particuliers. Leur efficacité n'est visible qu'à long terme, lorsqu'elles permettent d'empêcher l'apparition de problèmes. Actuellement, l'efficacité des mesures prises peut être jugée bonne.

Un manque de personnel ou de moyens financiers pourraient entraver la mise en oeuvre de mesures de sécurité. Le Conseil fédéral est conscient de la disponibilité restreinte de ces ressources. C'est pourquoi il estime que la sécurité est prioritaire et que, en cas de doute, il vaut mieux sacrifier un développement ou l'exploitation d'une application en faveur de la mise en place de mesures de sécurité optimales. Le manque de spécialistes en sécurité sur le marché du travail constitue un problème. Les hautes écoles spécialisées étoffent actuellement l'offre de formation dans ce domaine. En outre, des efforts supplémentaires visant à sensibiliser les personnes chargées de l'exploitation et les utilisateurs au problème de la sécurité sont consentis au sein de la Confédération.

Réponse du Conseil fédéral.