Questions urgentes sur la cyberattaque contre RUAG et le DDPS

RUAG et le DDPS ont manifestement négligé de prendre les mesures les plus élémentaires. La Confédération doit impérativement reprendre les rennes si elle ne veut pas perdre toute crédibilité en matière de sécurité informatique.

Les Verts déposent une interpellation urgente pour demander un débat d’actualité sur la cyberattaque contre RUAG et le DDPS. Selon un rapport officiel, ces derniers n’avaient pas même pris les mesures de sécurité les plus élémentaires. De quoi remettre en question la stratégie de RUAG en tant que centre de compétences en matière de cyber-sécurité et de cyberdéfense. Les Verts se montrent également critiques face l’utilisation de logiciels espions étatiques prévue par les lois sur le renseignement civil (LRens) et sur la surveillance de la correspondance (LSCPT).

Selon le rapport «APT Case RUAG: Technical Report» de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI, l’attaque rendue publique début mai est l’œuvre de logiciels espions, les fameux chevaux de Troie. Le rapport dresse toute une liste de mesures de sécurité simples que ni RUAG ni le DDPS n’avaient prises, et notamment celle de dissocier leurs réseaux informatiques. Les Verts requièrent du Conseil fédéral qu’il mette la priorité sur la sécurité informatique. De plus, ils se demandent si RUAG reste suffisamment crédible pour continuer à se positionner comme centre de compétences en matière de cyber-sécurité et de cyberdéfense. 

Enfin, les Verts se montrent critiques face au projet visant à autoriser l’utilisation de logiciels espions étatiques, comme le prévoit la nouvelle loi sur le renseignement civil (LRens), sur laquelle on votera cet automne, et la loi sur la surveillance de la correspondance par poste et télécommunication (LSCPT). Ces logiciels exploitent des failles sécuritaires non détectées pour infiltrer ordinateurs et réseaux. Ce faisant, la Confédération soutient directement ou indirectement les milieux souvent criminels qui œuvrent sur le marché des failles sécuritaires, au lieu d'œuvrer pour davantage de sécurité pour tous. La Confédération devrait bien plus s’engager afin de rendre disponibles des technologies sécuritaires facilement accessibles, pour que PME et population puissent mieux se protéger contre la cybercriminalité et l’espionnage.