13.3825 · Interpellation · 2013-09-26
Département de la défense, de la protection de la population et des sports
Liquidé
Wortlaut
Le 30 août 2013, la Délégation des Commissions de gestion (DélCdG) a publié son rapport relatif à la sécurité informatique au sein du Service de renseignement de la Confédération (SRC). Se fondant sur une inspection formelle, ce rapport contenait onze recommandations adressées au Conseil fédéral.
Le rapport révèle de graves failles dans la sécurité informatique au sein du SRC. Or, comme le SRC gère des données extrêmement sensibles ayant trait au terrorisme, à l'extrémisme, au trafic d'armes et de matériel radioactif et à la sécurité intérieure, les failles de sécurité représentent un danger pour la protection des citoyens et de leurs droits fondamentaux. Manifestement, le département de tutelle du SRC (DDPS) n'est pas du même avis, puisqu'il a publié le 11 avril 2013, soit avant la fin de l'inspection de la DélCdG, un rapport qui présente le travail du SRC sous le meilleur jour et qui passe sous silence les problèmes qui ont été révélés depuis.
Je prie le Conseil fédéral de répondre aux questions suivantes :
1. Le rapport du DDPS du 11 avril 2013 a-t-il été soumis au Conseil fédéral et a-t-il fait l'objet d'une discussion ?
2. Comment le Conseil fédéral explique-t-il les grandes différences d'analyse que contiennent le rapport du DDPS et celui de la DélCdG et les conclusions opposées auxquelles ils parviennent ?
3. Partage-t-il la conviction du DDPS exprimée dans son rapport du 11 avril 2013 selon laquelle "les données du SRC n'ont jamais été en mains non autorisées" du fait du vol de données ("plusieurs milliers de données") et d'autres failles de sécurité révélées depuis lors ?
4. Selon le rapport de la DélCdG, "le directeur du SRC ne s'est pas acquitté de ses devoirs de surveillance de manière suffisamment systématique après le vol de données et il n'a pas confié les enquêtes internes aux organes appropriés". L'absence d'une gestion des risques rigoureuse et de mesures minimales d'ordre organisationnel et technique visant à assurer la sécurité informatique est également dénoncée. Le Conseil fédéral convient-il que la gestion des risques, les processus visant à assurer la sécurité et la gestion des ressources font partie des tâches essentielles d'un dirigeant, notamment au SRC ? Tolère-t-il que des dirigeants qu'il a nommés montrent des failles dans l'exécution de tâches qui sont au coeur de leurs responsabilités ?
5. Le DDPS porte une grande part de responsabilité dans les problèmes auxquels le SRC est confronté. Quand le Conseil fédéral a-t-il été averti pour la première fois des conséquences d'un manque de personnel ? Juge-t-il que les mesures d'analyse et de gestion des crises et les mesures visant à améliorer la culture de gestion des risques et celle de la sécurité que le chef du DDPS a lancées sont suffisantes et adéquates ?
Stellungnahme des Bundesrates
1. Le rapport établi par le DDPS sur une fuite de données déjouée au sein du Service de renseignement de la Confédération a été soumis au Conseil fédéral en date du 22 avril 2013. Celui-ci en a pris connaissance lors de sa séance du 24 avril 2013.
2. Le Conseil fédéral est bien conscient que l'analyse effectuée par le DDPS et celle de la DélCdG, ainsi que leurs conclusions, divergent partiellement. Il considère néanmoins que les deux rapports contribuent à faire la lumière sur ce qui s'est passé. Le Conseil fédéral a pris position le 30 octobre 2013 sur le rapport de la DélCdG et a examiné l'affaire et la gestion de cette dernière tant par le SRC que par le DDPS. Sa conclusion est que le fait de mettre le doigt sur des lacunes manifestes d'un secteur du SRC sans relever l'apport que constitue l'ensemble des prestations va à l'encontre de l'image que s'en font et son mandant et les bénéficiaires de ces prestations.
3. Au cours de son enquête, le Ministère public de la Confédération a pu saisir tous les supports de données concernés. Les autorités de poursuite pénale les ont examinés et n'ont pas trouvé d'indice de copie ou de transmission.
4. Le Conseil fédéral a retenu dans son avis que le SRC a été en mesure d'atteindre, après la fusion, plusieurs objectifs importants sans perte de savoir-faire ni problème grave de ressources humaines : il a pu assurer la légalité de ses activités, établir une culture d'entreprise commune, et continuer à fournir des prestations de haut niveau. Le Conseil fédéral constate également, depuis la fusion, une plus grande confiance des partenaires étrangers. Enfin, il salue la réaction du SRC et du DDPS pour pallier les faiblesses et lacunes constatées.
5. Le Conseil fédéral a été informé pour la première fois le 26 avril 2013, par rapport du DDPS et en lien avec le thème du vol de données, que le SRC manquait de personnel pour assurer une pleine sécurité informatique. Immédiatement après l'incident de mai 2012, plusieurs services du DDPS et extérieurs à celui-ci ont été mandatés pour analyser la situation et déterminer la correction à apporter. Le Conseil fédéral est d'avis que cette mesure - combinée à celles qu'il a prises ou prendra sur la base des recommandations de la DélCdG - est pertinente et suffisante.
Réponse du Conseil fédéral.