13.3799 · Interpellation · 2013-09-25
Département des finances
Liquidé
Wortlaut
À la fin de l'année 2011, le Conseil fédéral a édicté des directives sur la sécurité des technologies de l'information et de la communication, sur proposition de l'Unité de pilotage informatique de la Confédération. En vertu de ces directives, l'introduction généralisée de l'authentification à deux facteurs devra être terminée à la fin de l'année 2013 dans l'ensemble de l'administration fédérale. Tout le personnel recevra de nouvelles cartes de sécurité, et tous les ordinateurs seront équipés de lecteurs permettant de lire ces cartes.
Face à cette situation, je pose les questions suivantes au Conseil fédéral :
1. Les coûts subséquents de cette décision ont-ils été calculés ?
2. Quelle lacune de sécurité l'authentification à deux facteurs doit-elle permettre de combler (prière de donner un exemple concret)?
3. Quelle charge de travail ces changements impliqueront-ils :
a. pour le personnel TI dans les départements et les offices ?
b. pour les personnes dont l'équipement devra être remplacé ?
4. Quel est le risque de voir le processus d'authentification complexe être centralisé, et de voir un incident à la centrale paralyser l'ensemble de l'administration fédérale ?
5. Combien y a-t-il de partenaires externes qui sont reliés à l'administration fédérale par Internet et par des applications spécialisées, et qui devront également se soumettre à l'authentification à deux facteurs ?
6. Combien y a-t-il d'applications spécialisées exploitées par la Confédération en vertu de la loi qui devraient donc être exploitées par des entités externes ?
7. Mis à part l'authentification à deux facteurs, quelles sont les autres solutions techniques que le Conseil fédéral a examinées ?
8. Sur quels résultats la consultation des offices a-t-elle débouché ?
Stellungnahme des Bundesrates
Les directives auxquelles renvoie l'auteur de la présente interpellation contiennent les mesures que le Conseil fédéral avait prises dans son arrêté du 4 juin 2010 pour renforcer la sécurité en matière de technologies de l'information et de la communication (TIC) au sein de l'administration fédérale après les attaques lancées contre les systèmes informatiques de cette dernière. Une de ces mesures consistait en l'utilisation généralisée de l'authentification à deux facteurs pour sécuriser en particulier les accès à distance au réseau de la Confédération.
1. Estimés à moins de 10 millions de francs, les coûts totaux liés à l'introduction de l'authentification à deux facteurs doivent être financés dans le cadre du budget ordinaire et compensés par les gains d'efficacité qui seront obtenus dans le domaine informatique.
2. Cette mesure vise à empêcher l'auteur d'une attaque d'accéder aux systèmes informatiques de la Confédération au moyen d'un simple mot de passe. Phénomènes bien connus à l'heure actuelle, le vol ou la lecture d'un grand nombre de données d'accès font peser un risque important sur la sécurité informatique. Les exemples de menaces dirigées contre l'administration fédérale reposent sur des attaques concrètes. Si un compte requiert l'authentification à deux facteurs, l'auteur de l'attaque doit au moins disposer, en plus du mot de passe, d'un second composant, notamment un composant matériel tel qu'une carte à puce, par exemple. Cette mesure correspond à la pratique habituellement appliquée à ce genre de risques.
3.a. Les coûts découlant du passage à l'authentification à deux facteurs ont été estimés à 6 millions de francs. Ceux qui sont liés à l'exploitation quotidienne de ce système d'authentification devraient un peu augmenter par rapport aux coûts actuels, étant donné que les charges relatives au remplacement des cartes à puce perdues ou endommagées devraient dépasser celles qui étaient prévues jusqu'ici pour le blocage et la délivrance de nouveaux mots de passe. Le Conseil fédéral est toutefois convaincu que les gains en matière de sécurité justifient cette augmentation.
3.b. L'installation du système d'authentification à deux facteurs requiert environ une demi-heure par utilisateur. Au niveau de l'exploitation, le surcroît de travail est négligeable. D'un côté, la nécessité de modifier le mot de passe à intervalles réguliers est supprimée. De l'autre, le remplacement des cartes à puce oubliées, égarées ou endommagées entraîne certaines charges.
4. L'utilisation de l'authentification à deux facteurs ne centralise pas davantage le processus d'authentification qu'auparavant. Les systèmes correspondants sont déjà conçus de manière redondante. La présence d'une infrastructure à clé publique ("public key infrastructure") est déterminante pour l'authentification à deux facteurs. Une panne prolongée serait grave pour l'administration fédérale, comme l'est déjà aujourd'hui une panne du système "Active Directory", qui permet l'authentification au moyen d'un mot de passe. L'introduction de l'authentification à deux facteurs ne fait donc pas courir de nouveaux risques.
5. Dans les cantons, environ 30 000 personnes recourent déjà à un système d'authentification à deux facteurs basé sur une carte à puce, système introduit en 2006. Désormais, près de 15 000 utilisateurs externes devront aussi en être équipés.
6. L'exploitation par des entités externes n'est pas nécessaire.
7. L'authentification à un facteur, qui était utilisée jusqu'ici dans l'ensemble de l'administration fédérale, a dû être renforcée au moyen de nouvelles mesures de protection, en raison des risques et des possibilités d'interception des mots de passe. Les directives relatives à l'authentification à deux facteurs admettent volontairement le recours simultané à plusieurs technologies et processus. Dans le cadre des projets de mise en oeuvre, on décide au cas par cas quels technologies et processus sont les mieux adaptés à l'environnement en question. Pour les employés de la Confédération, l'authentification à deux facteurs passe par des certificats qui peuvent également servir à crypter ou à signer des documents et favorise donc l'exploitation de synergies.
8. Consultés tant pour les arrêtés du Conseil fédéral de 2010 que pour les directives de 2013 concernant la sécurité des TIC, les départements et la Chancellerie fédérale n'ont émis aucune réserve sur l'authentification à deux facteurs.
Réponse du Conseil fédéral.