La Confédération est probablement occupée pour l’instant à protéger ses réseaux pour contrecarrer les éventuelles tentatives d’intrusion qui s’appuieraient sur les informations rendues publiques. Mais elle devra également établir les responsabilités, revoir ses processus et surtout faire preuve de transparence à l’égard de la population, qui est en droit d’obtenir des explications sur les causes de ce fiasco d’ampleur.
Du pain sur la planche pour une commission d’enquête
Comment se fait-il que des offices fédéraux transmettent des données sensibles, qui permettent d’identifier des individus, révèlent des dispositifs de sécurité ou permettent d’accéder à des systèmes internes, à un prestataire externe, sans qu’elles ne soient chiffrées? Ces offices ont-ils régulièrement audité la sécurité de cette entreprise? Existe-t-il des processus internes au sein de la Confédération concernant la gestion de telles informations vis-à-vis de fournisseurs tiers?
Certains élus fédéraux, qui ne souhaitent pas être cités nommément, s’interrogent même sur la pertinence d’une commission d’enquête parlementaire. Vu la gravité des faits, c’est une éventualité qui ne paraît pas du tout exclue.
L’affaire intervient alors que la Swiss Digital Initiative (SDI), une organisation co-financée par la Confédération et présidée par l’ancienne conseillère fédérale Doris Leuthard, a récemment présenté à Paris son «Digital Trust Movement» pour sensibiliser sur le thème de la confiance numérique.
La SDI a établi 35 critères à respecter pour les entreprises. On y lit que les services doivent par exemple chiffrer les données et les anonymiser. Nul doute que l’administration fédérale pourrait y trouver une bonne source d’inspiration pour ses propres processus. Le Conseil fédéral va avoir fort à faire pour réparer les dégâts. La bonne nouvelle, c’est que l’on ne peut que remonter après avoir touché le fond. En principe.