{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='FR')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='FR')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='FR')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='FR')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='FR')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='FR')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='FR')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='FR')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='FR')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='FR')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='FR')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='FR')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='FR')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='FR')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='FR')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='FR')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161021,Language='FR')/Transcripts"}},"ID":20161021,"Language":"FR","BusinessShortNumber":"16.1021","BusinessType":19,"BusinessTypeName":"Question urgente","BusinessTypeAbbreviation":"QU","Title":"Cyberattaque contre l'entreprise RUAG et le DDPS. Il faut tirer les cons\u00e9quences qui s'imposent!","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>Les m\u00e9dias l'ont annonc\u00e9, et l'information a \u00e9t\u00e9 confirm\u00e9e de source officielle\u00a0: l'entreprise RUAG et le DDPS ont \u00e9t\u00e9 victimes d'une cyberattaque. Le rapport technique de la centrale Melani consacr\u00e9 \u00e0 cette cyberattaque (\"APT Case RUAG\u00a0: Technical Report\") fournit les premi\u00e8res informations en la mati\u00e8re et recommande la prise de contre-mesures. Cette situation soul\u00e8ve les questions urgentes suivantes\u00a0:</p><p>1. L'entreprise RUAG veut se profiler comme un centre de comp\u00e9tences en mati\u00e8re de cyberd\u00e9fense et de cybers\u00e9curit\u00e9. D'apr\u00e8s le rapport, de nombreuses mesures qui ont \u00e9t\u00e9 omises font partie des bonnes pratiques standard. La r\u00e9putation de l'entreprise RUAG dans ce domaine est ruin\u00e9e. Le Conseil f\u00e9d\u00e9ral va-t-il intervenir pour que l'on adapte la strat\u00e9gie commerciale\u00a0?</p><p>2. La strat\u00e9gie du propri\u00e9taire qu'est la Conf\u00e9d\u00e9ration pr\u00e9voit l'ind\u00e9pendance de l'entreprise RUAG\u00a0; pourtant, les r\u00e9seaux du DDPS et de l'entreprise RUAG sont rest\u00e9s \u00e9troitement li\u00e9s. Pourquoi\u00a0? D'autres offices s'en trouvent-ils concern\u00e9s\u00a0?</p><p>3. Pourquoi l'OFIT a-t-il externalis\u00e9 des donn\u00e9es au DDPS, lequel les a externalis\u00e9es \u00e0 son tour \u00e0 l'entreprise RUAG\u00a0?</p><p>4. Le rapport indique qu'il est essentiel de mener une politique d'information transparente, notamment sur les vecteurs d'attaques et sur les techniques utilis\u00e9es, dans le but de rendre plus difficiles de futures attaques et d'aider des cibles potentielles \u00e0 se prot\u00e9ger. Cette fa\u00e7on de proc\u00e9der qui est correcte en termes de technique de s\u00e9curit\u00e9 est en contradiction directe avec les projets de la Conf\u00e9d\u00e9ration et des cantons visant \u00e0 participer \u00e0 l'achat de chevaux de Troie gouvernementaux (dans le cadre de la loi sur le renseignement et de la LSCPT). En achetant des chevaux de Troie gouvernementaux, on soutient le march\u00e9 des lacunes de s\u00e9curit\u00e9 inconnues (exploitations \"zero day\") - et donc des milieux souvent criminels - au lieu de contribuer \u00e0 accro\u00eetre la s\u00e9curit\u00e9 pour tous. Que pense le Conseil f\u00e9d\u00e9ral de cette contradiction\u00a0?</p><p>5. Le maliciel utilis\u00e9, \u00e0 savoir \"Epic Turla/Tavdig\", est connu depuis longtemps. Il a \u00e9t\u00e9 utilis\u00e9 en ao\u00fbt 2014 contre de nombreuses cibles, par exemple gouvernementales, notamment en Suisse. Il n'a pourtant pas \u00e9t\u00e9 d\u00e9couvert. Sur les r\u00e9seaux du DDPS et de l'entreprise RUAG, ne scanne-t-on pas r\u00e9guli\u00e8rement les ordinateurs (clients et serveurs) \u00e0 la recherche de maliciels connus\u00a0? Ne proc\u00e8de-t-on pas \u00e0 des audits de s\u00e9curit\u00e9 portant par exemple sur les \"active directories\"?</p><p>6. Les fichiers journaux montrent que 23 Go de donn\u00e9es ont \u00e9t\u00e9 exfiltr\u00e9s, mais ils ne permettent pas de d\u00e9terminer de quelles informations il s'agit. Toutefois, on a mis en place une phase d'observation apr\u00e8s la d\u00e9couverte de la fuite. Les informations concernant le DRA 10, que les m\u00e9dias ont mentionn\u00e9es, ont-elles \u00e9t\u00e9 exfiltr\u00e9es lors de cette phase d'observation\u00a0? N'aurait-on pas pu modifier certaines informations sensibles pour faire en sorte que les auteurs de l'attaque se croient en s\u00e9curit\u00e9 et pour pr\u00e9venir la fuite des informations\u00a0? Est-il exact que la plus grande partie des donn\u00e9es qui ont \u00e9t\u00e9 ponctionn\u00e9es ne sera jamais connue\u00a0?</p>","ReasonText":null,"DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>1. Le Conseil f\u00e9d\u00e9ral abordera les conclusions \u00e0 tirer de la cyberattaque dans le cadre des discussions ordinaires avec le conseil d'administration de RUAG et demandera \u00e0 ce qu'on lui expose quelles cons\u00e9quences l'attaque aura sur la strat\u00e9gie du groupe.</p><p>2. Une importante interconnexion caract\u00e9rise l'actuel monde du travail, et cela concerne aussi les infrastructures informatiques. Les gains en termes d'efficience qui sont demand\u00e9s par le Parlement et soutenus activement par le Conseil f\u00e9d\u00e9ral n\u00e9cessitent un \u00e9change d'informations rapide et complet. Les exigences en mati\u00e8re de s\u00e9curit\u00e9 demandent dans la plupart des cas des efforts suppl\u00e9mentaires, ce qui peut aller \u00e0 l'encontre de l'efficience. Le pr\u00e9sent cas montre toutefois aussi que la protection des r\u00e9seaux du D\u00e9partement f\u00e9d\u00e9ral de la d\u00e9fense, de la protection de la population et des sports (DDPS) et de l'administration f\u00e9d\u00e9rale a fonctionn\u00e9 et que l'attaquant n'a pas eu acc\u00e8s, selon les connaissances actuelles, \u00e0 des donn\u00e9es du DDPS.</p><p>3. L'Office f\u00e9d\u00e9ral de l'informatique et des t\u00e9l\u00e9communications (OFIT) n'a externalis\u00e9 aucune donn\u00e9e ou application au DDPS. L'OFIT exploite des r\u00e9pertoires et des syst\u00e8mes relatifs au personnel qui sont utilis\u00e9s par les unit\u00e9s de l'administration f\u00e9d\u00e9rale. Les questions de l'acc\u00e8s \u00e0 ces r\u00e9pertoires, du type de donn\u00e9es accessibles et des groupes d'utilisateurs autoris\u00e9s seront examin\u00e9es et r\u00e9gl\u00e9es \u00e0 la suite des clarifications effectu\u00e9es apr\u00e8s la cyberattaque.</p><p>4. Les conditions r\u00e9gissant les mesures d'acquisition pr\u00e9vues dans la loi sur le renseignement et le recours \u00e0 ces mesures sont clairement r\u00e9gl\u00e9es. Dans le cadre de la r\u00e9vision de la loi f\u00e9d\u00e9rale du 6 octobre 2000 sur la surveillance de la correspondance par poste et t\u00e9l\u00e9communication (RS 780.1), il est par ailleurs pr\u00e9vu d'adapter l'article 269ter du Code de proc\u00e9dure p\u00e9nale (RS 312.0) afin de cr\u00e9er des conditions-cadres claires pour l'utilisation de programmes informatiques particuliers. Selon le Conseil f\u00e9d\u00e9ral, il n'y a l\u00e0 aucune contradiction. La politique d'ouverture en mati\u00e8re d'information sur les vecteurs d'attaques contribue \u00e0 \u00e9viter d'autres attaques ou, du moins, \u00e0 les identifier \u00e0 temps. De plus, les failles de s\u00e9curit\u00e9 sont document\u00e9es de fa\u00e7on exhaustive sur Internet d\u00e8s qu'elles ont \u00e9t\u00e9 identifi\u00e9es et sont (en r\u00e8gle g\u00e9n\u00e9rale) rapidement r\u00e9par\u00e9es par le d\u00e9veloppeur de l'application concern\u00e9e. Les fabricants de \"govware\" tentent certes d'utiliser des failles de s\u00e9curit\u00e9, mais ils ne peuvent et ne veulent pas r\u00e9soudre ces vuln\u00e9rabilit\u00e9s.</p><p>5. L'emploi du maliciel trouv\u00e9 chez RUAG aurait \u00e9t\u00e9 identifi\u00e9 dans le r\u00e9seau de la Conf\u00e9d\u00e9ration. Au DDPS, comme \u00e0 l'OFIT, des scans du r\u00e9seau et des PC ont lieu r\u00e9guli\u00e8rement. \u00c0 cet \u00e9gard, il convient de relever qu'avec le temps de nouvelles variantes peuvent se former au sein d'une famille de maliciels en particulier, qui ne pr\u00e9sentent plus forc\u00e9ment les caract\u00e9ristiques d'identification connues. Des indicateurs techniques concernant la famille de maliciels \u00e9voqu\u00e9e sont \u00e9chang\u00e9s depuis des ann\u00e9es d\u00e9j\u00e0 dans le cadre du partenariat public-priv\u00e9 entre la Centrale d'enregistrement et d'analyse pour la s\u00fbret\u00e9 de l'information (Melani) et les exploitants des infrastructures critiques (dont RUAG fait partie). Les entreprises sont responsables d'utiliser ou non ces indicateurs dans leurs syst\u00e8mes de s\u00e9curit\u00e9 internes.</p><p>6. Une fois l'infection identifi\u00e9e et les mesures imm\u00e9diates prises, plus aucune donn\u00e9e n'a fuit\u00e9 depuis les ordinateurs infect\u00e9s de RUAG. Il va de soi que lorsque des ordinateurs infect\u00e9s continuent d'\u00eatre exploit\u00e9s sous contr\u00f4le, on veille \u00e0 ce qu'il n'y ait pas de fuites de donn\u00e9es r\u00e9elles. Il faut toutefois admettre qu'il est impossible d'identifier toutes les donn\u00e9es qui ont fuit\u00e9.</p>  R\u00e9ponse du Conseil f\u00e9d\u00e9ral.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1465516800000)\/","SubmittedBy":"Groupe des VERT-E-S","BusinessStatus":229,"BusinessStatusText":"Liquid\u00e9","BusinessStatusDate":"\/Date(1465516800000)\/","ResponsibleDepartment":6,"ResponsibleDepartmentName":"D\u00e9partement de la d\u00e9fense, de la protection de la population et des sports","ResponsibleDepartmentAbbreviation":"DDPS","IsLeadingDepartment":true,"Tags":"4|9|34","Category":null,"Modified":"\/Date(1750803904287)\/","SubmissionDate":"\/Date(1464825600000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Conseil national","SubmissionCouncilAbbreviation":"CN","SubmissionSession":5004,"SubmissionLegislativePeriod":50,"FirstCouncil1":1,"FirstCouncil1Name":"Conseil national","FirstCouncil1Abbreviation":"CN","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Politique d'Etat|Politique de s\u00e9curit\u00e9|M\u00e9dias et communication"}}