13.3824 · Interpellation · 2013-09-26
Département de la défense, de la protection de la population et des sports
Liquidé
Wortlaut
Le 30 août 2013, la Délégation des Commissions de gestion (DélCdG) a publié une version abrégée de son rapport relatif à la sécurité informatique au sein du Service de renseignement de la Confédération (SRC). Se fondant sur une inspection formelle, ce rapport contenait onze recommandations adressées au Conseil fédéral.
Les critiques formulées par la DélCdG ne visent pas seulement le Département fédéral de la défense, de la protection de la population et des sports (DDPS) et le SRC, mais aussi le Conseil fédéral dans son ensemble : "Aux yeux de la DélCdG, cette situation était due à une planification insuffisante, qui remontait à la décision du Conseil fédéral, prise en mai 2008, de transférer le SAP au DDPS." (p. 2).
Je prie le Conseil fédéral de répondre aux questions suivantes :
1. Les risques et les failles de sécurité informatique identifiées par la DélCdG lors de son inspection étaient-ils déjà connus du Conseil fédéral en 2011 et 2012 (notamment le manque de personnel dans le domaine de l'informatique et des contrôles de sécurité relatifs aux personnes, la décision de renoncer à soumettre les spécialistes externes à un contrôle de sécurité complet et la décision de renoncer à mettre en oeuvre les prescriptions minimales de la Confédération en matière de protection des données)?
2. En 2009, le DDPS a proposé de réunir le Service d'analyse et de prévention (SAP) et le Service de renseignement stratégique au sein d'un même office fédéral "sans ressources supplémentaires". Pourquoi le Conseil fédéral a-t-il approuvé cette proposition ? Quelles tâches exécutent aujourd'hui au Département de justice et police le personnel qui était chargé de l'informatique au SAP ?
3. Le 1er mai 2013, soit un an après le vol des données, le Conseil fédéral a décidé de renforcer la sécurité informatique au SRC à partir de 2014 ou 2015. Pour quelles raisons la protection des données hautement sensibles du SRC n'a-t-elle pas été définie en mai comme la priorité absolue et pourquoi le personnel n'a-t-il pas été immédiatement étoffé ?
4. Le 12 mai 2010, le Conseil fédéral a chargé le DDPS d'élaborer une esquisse d'acte normatif et les bases formelles d'une loi sur la protection de l'information au sein de la Confédération. Il a ainsi confié cette tâche essentielle à un département qui n'applique pas systématiquement les prescriptions en vigueur de la Confédération. Le Conseil fédéral est-il disposé à confier la direction du projet à un autre département ou à l'ensemble du collège ?
5. Le DDPS n'est pas seulement le département de tutelle du SRC : il est également responsable d'autres tâches ayant trait à la sécurité. Le Conseil fédéral juge-t-il que les lacunes identifiées par la DélCdG dans le domaine de la gestion des risques, de la planification des ressources et de la surveillance pourraient causer des problèmes dans d'autres offices du DDPS ?
Stellungnahme des Bundesrates
Le Conseil fédéral a pris position en ce qui concerne le rapport de la Délégation des Commissions de gestion (DélCdG) sur la sécurité de l'informatique au Service de renseignement de la Confédération (SRC) en date du 30 octobre 2013.
Le Conseil fédéral répond ci-après aux questions concrètes.
1. Tant lors de la décision de transférer les fractions du Service d'analyse et de prévention (SAP) au DDPS que lors de celle de réunir le Service de renseignement stratégique (SRS) et le SAP en un Service de renseignement de la Confédération (SRC), la situation générale pour le personnel et les finances était connue. Dans le cadre du réexamen des tâches de la Confédération, le SRC a été chargé, en 2011, de rédiger un rapport sur le développement de potentiels de synergie au sein des services de renseignement. Ce rapport a souligné qu'en raison des crédits limités pour le personnel du SRC, l'extension des fonctions de support jugées nécessaires dans les domaines de l'informatique, de la sécurité, etc., ne pouvait s'effectuer qu'au détriment des domaines fondamentaux et que l'informatique devait gérer, depuis la fusion et sans ressources supplémentaires, le double d'utilisateurs. À la suite de ce rapport, le Conseil fédéral a exempté le SRC du réexamen des tâches de la Confédération.
2. Le Conseil fédéral a suivi, en 2009, l'initiative parlementaire Hofmann Hans 07.404 relative au transfert des tâches des services de renseignement civils à un département, dont le but primordial était d'améliorer les prestations du service de renseignement. La prise de position du Conseil fédéral du 23 avril 2008 concernant le rapport du 29 février 2008 de la Commission de gestion du Conseil des États visait aussi un engagement optimisé des ressources existantes (voir FF 2008 3613 s.). L'informatique du SAP reposait sur la base informatique du DFJP (Informatic Service Center DFJP) qui gère jusqu'à maintenant la banque de données intérieures ISIS du SRC.
3. Immédiatement après l'incident de mai 2012 concernant la sécurité, plusieurs services administratifs internes et externes ont été chargés d'analyser la situation et de définir les mesures à prendre. Dans le cadre de ses compétences propres, le SRC a identifié et pris une quarantaine de mesures. Il s'agissait en l'espèce de mesures techniques et d'organisation, ainsi que de restrictions de compétences et d'accès. La protection des données du SRC avait toujours la priorité absolue. Le Conseil fédéral a pris connaissance, le 1er mai 2013, des besoins supplémentaires du SRC en personnel, soit onze places de travail, pour la sécurité et l'informatique. Les huit places de première priorité ont été autorisées par le Conseil fédéral, le 26 juin 2013, les trois places restantes ressortiront en 2014 de l'appréciation générale des ressources du domaine du personnel. Le DDPS a déjà accordé en priorité au SRC, pour 2013, les moyens prévus pour les huit places.
4. Vu l'importance croissante du projet sur le plan politique et sa complexité, le DDPS a mandaté un groupe d'experts, le 14 janvier 2011, et en a confié la direction au professeur Markus Müller (Université de Berne). Après avoir été informé le 30 novembre des points saillants du concept relatif aux normes, le Conseil fédéral a élargi le domaine de la réglementation, de la protection des informations à la sécurité de ces dernières. Le groupe d'experts a été étoffé et présente la composition suivante : les Services du Parlement, les tribunaux fédéraux, la conférence des cantons (Conférence suisse de l'informatique), la Chancellerie fédérale, le Préposé fédéral à la protection des données et à la transparence, le DFAE, le DFJP, le DDPS et le DFF, ainsi que l'Office fédéral de la justice, l'UPIC, l'OFIT, la PIO et l'OFCOM. Ce groupe est à l'oeuvre, conformément au concept relatif aux normes, pour élaborer le projet de la loi sur la sécurité des informations. La procédure de consultation doit démarrer au premier trimestre 2014. Le Conseil fédéral n'a donné aucune directive concernant le transfert de la direction du projet à un autre département.
5. La DélCdG recommande au Conseil fédéral d'élaborer des propositions d'amélioration de la procédure de contrôle de l'état de la sécurité des informations au sein de la Confédération. Les mesures doivent permettre au Conseil fédéral de reconnaître à temps, dans le cadre d'une procédure institutionnalisée, les risques en matière de sécurité des informations, de décider les mesures nécessaires pour réduire ces risques et de contrôler leur mise en oeuvre. Le Conseil fédéral suit cette recommandation.
Réponse du Conseil fédéral.