À la suite d’une attaque au rançongiciel contre l’entreprise Xplain en mai 2023, une grande quantité de données personnelles de l’administration fédérale, parmi lesquelles des données sensibles, ont été publiées sur le darknet. Plusieurs rapports d’enquête ont été publiés ces derniers jours.
Les données concernées
L’Office fédéral de la cybersécurité (OFCS), anciennement le Centre national pour la cybersécurité (NCSC), s’est chargé de la gestion de l’incident au sein de l’administration fédérale et a dans ce cadre analysé les données publiées par les pirates sur le darknet. Le 7 mars 2024, le NCSC a publié un Rapport concernant l’analyse des données, qui montre le type de données concernées et présente les défis posés à l’analyse. Le rapport porte sur les données publiées (ce qui représente un volume bien inférieur par rapport aux données probablement volées).
L’enquête administrative
Le Conseil fédéral a rendu public le 1er mai le rapport de l’enquête administrative qu’il a commandée. Il en ressort qu’au cours des dernières années, des données productives de la Confédération ont été transmises activement à l’environnement informatique de Xplain SA dans de rares cas. Ces transmissions sont intervenues lors de phases de test et d’intégration d’un logiciel, dans le cadre de services de maintenance ou par une fonctionnalité d’assistance intégrée à certaines applications. Les services fédéraux concernés n’ont pas suffisamment rempli leurs devoirs de choisir avec soin leur fournisseur, ainsi que de l’instruire adéquatement et de le surveiller. Ils n’ont pas rempli leurs devoirs sous l’angle de la protection des données et ne l’ont rempli que partiellement sous l’angle de la sécurité de l’information.
En conséquence, le Conseil fédéral a adopté des mesures à prendre d’ici la fin de l’année pour éviter de futures fuites de données: adoption de prescriptions de sécurité supplémentaires concernant la collaboration avec les fournisseurs, renforcement de la capacité d’effectuer des contrôles et des audits, formation et sensibilisation des collaborateurs aux prescriptions de sécurité existantes et établissement d’une vue d’ensemble des moyens de communication existants pour les autorités fédérales. Dans le même délai, le Conseil fédéral a chargé d’une part le Département fédéral de la défense, de la protection de la population et des sports (DDPS) de contrôler la protection informatique de base de la Confédération et d’autre part le nouvel Office fédéral de la cybersécurité (OFCS) de mettre en évidence la coordination concrète entre la Confédération, les cantons et les fournisseurs en matière de gestion des cyberattaques, ainsi que les critères de classification de ces dernières. Le détail de ces mesures a été publié sous le titre de Résultats de l’atelier du 20 mars 2024 sur les recommandations en matière de sécurité des informations.
Les données personnelles
De son côté, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a mené trois enquêtes (contre l’entreprise Xplain, contre l’office fédéral de la police (fedpol) et contre l’office fédéral de la douane et de la sécurité des frontières (OFDF)).
Il a constaté que ni fedpol ni l’OFDF n’avaient clairement convenu avec Xplain si, et dans quelles conditions, des données personnelles pouvaient être conservées sur le serveur de Xplain dans le cadre du support. Il aurait fallu prévoir explicitement dans quelle mesure des données personnelles pouvaient être transmises à Xplain et conservées par cette dernière. Pourtant, le serveur de Xplain contenait une collection de données non structurées provenant des offices fédéraux. La quantité de données personnelles transmises dans ce contexte était disproportionnée.
Même si Xplain n’avait pas accès aux banques de données de fedpol ou de l’OFDF, elle aurait dû savoir que les fonctions de support qu’elle avait programmées pouvaient contenir des données personnelles. En tant que sous-traitant, Xplain n’a pas pris les mesures appropriées pour garantir la sécurité des données et la protection de l’information que requièrent les bonnes pratiques. Du point de vue de la protection des données, l’entreprise a violé les principes de finalité et de proportionnalité qui régissent la conservation de données personnelles. Elle a également violé ses obligations contractuelles concernant la conservation de ces données personnelles, qui prévoyaient malgré tout l’effacement ponctuel des données.
De simples recommandations (pour l’instant)
Les trois procédures ayant été ouvertes dans le cadre de l’ancienne LPD, le PFPDT a fait des recommandations non contraignantes à l’OFDF, à fedpol et à Xplain. Si ces recommandations ne sont pas suivies, le PFPDT pourrait saisir le tribunal administratif fédéral.
Si les critiques sont plutôt sévères, elles montrent plus généralement que les questions protection des données personnelles et de sécurité de l’information ne sont pas encore prises assez au sérieux par l’État et les prestataires de services informatiques. Il faudra encore du temps pour bien analyser ces rapports et en tirer les enseignements utiles, mais on ne peut qu’espérer que cette attaque conduira à la prise de conscience nécessaire.
Pour aller plus loin
- Rapport de l’OFCS concernant l’analyse des données du 7 mars 2024
- Rapport d’enquête administrative du 28 mars 2024
- Schlussbericht des EDÖB in Sachen Xplain vom 25. April 2024
- Schlussbericht des EDÖB in Sachen fedpol vom 25. April 2024
- Schlussbericht des EDÖB in Sachen BAZG vom 25. April 2024
Laisser un commentaire