{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20173519,Language='FR')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20173519,Language='FR')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20173519,Language='FR')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20173519,Language='FR')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20173519,Language='FR')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20173519,Language='FR')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20173519,Language='FR')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20173519,Language='FR')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20173519,Language='FR')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20173519,Language='FR')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20173519,Language='FR')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20173519,Language='FR')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20173519,Language='FR')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20173519,Language='FR')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20173519,Language='FR')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20173519,Language='FR')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20173519,Language='FR')/Transcripts"}},"ID":20173519,"Language":"FR","BusinessShortNumber":"17.3519","BusinessType":8,"BusinessTypeName":"Interpellation","BusinessTypeAbbreviation":"Ip.","Title":"R\u00e9seau informatique de la Conf\u00e9d\u00e9ration, une passoire pendant des ann\u00e9es. Qui savait, qui a r\u00e9agi, qui a parl\u00e9?","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>Entre fin mai et d\u00e9but juin, la presse (notamment la \"Basler Zeitung\" et la \"Weltwoche\") a relat\u00e9 qu'entre la fin de 2014 et f\u00e9vrier 2017, les usagers non autoris\u00e9s pouvaient acc\u00e9der sans la moindre difficult\u00e9 au r\u00e9seau informatique de la Conf\u00e9d\u00e9ration. En raison d'une erreur, ces usagers avaient acc\u00e8s, sans s'enregistrer et sans la moindre l\u00e9gitimation, \u00e0 l'intranet et \u00e0 des banques de donn\u00e9es contenant des informations r\u00e9serv\u00e9es de l'administration f\u00e9d\u00e9rale. Le tableau bross\u00e9 par la presse est inqui\u00e9tant. Il montre un \u00c9tat incapable de se rendre compte d'une situation critique, de se d\u00e9fendre, de r\u00e9agir et enfin de communiquer. La Suisse semble \u00eatre dans l'ensemble insuffisamment attentive au danger repr\u00e9sent\u00e9 par les infiltrations informatiques.</p><p>Vu ce qui pr\u00e9c\u00e8de, une clarification s'impose\u00a0:</p><p>1. Le Conseil f\u00e9d\u00e9ral confirme-t-il les r\u00e9v\u00e9lations de la presse en ce qui concerne la possibilit\u00e9 d'une infiltration syst\u00e9matique de la part d'usagers non autoris\u00e9s, dans des domaines r\u00e9serv\u00e9s et des banques de donn\u00e9es ferm\u00e9es du r\u00e9seau informatique de la Conf\u00e9d\u00e9ration entre 2014 et 2017\u00a0? Que s'est-il r\u00e9ellement pass\u00e9\u00a0?</p><p>2. Quand a-t-on pris conscience de cette situation et quand le Conseil f\u00e9d\u00e9ral en a-t-il pris acte\u00a0?</p><p>3. Quels d\u00e9partements ont-ils \u00e9t\u00e9 impliqu\u00e9s\u00a0?</p><p>4. Pourquoi le Conseil f\u00e9d\u00e9ral n'a-t-il pas communiqu\u00e9 activement sur ce qui s'\u00e9tait pass\u00e9\u00a0?</p><p>5. \u00c0 quelles donn\u00e9es les usagers non autoris\u00e9s ont-ils eu potentiellement acc\u00e8s\u00a0? Y a-t-il eu des infiltrations\u00a0? Des donn\u00e9es ont-elles \u00e9t\u00e9 vol\u00e9es ou modifi\u00e9es\u00a0? S'il est impossible de le d\u00e9terminer, quelle en est la raison\u00a0?</p><p>6. Quelles mesures a-t-on prises lorsqu'on s'est aper\u00e7u de la situation\u00a0?</p><p>7. A-t-on diligent\u00e9 une enqu\u00eate administrative ou une proc\u00e9dure p\u00e9nale\u00a0?</p><p>8. Comment a-t-on proc\u00e9d\u00e9 \u00e0 l'interne \u00e0 l'information et \u00e0 la sensibilisation des employ\u00e9s des unit\u00e9s concern\u00e9es\u00a0?</p><p>9. A-t-on inform\u00e9 d'autres services de la Conf\u00e9d\u00e9ration, notamment dans le domaine informatique\u00a0?</p>","ReasonText":null,"DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>1. Entre 2014 et 2017, il existait une faille de s\u00e9curit\u00e9 dont l'exploitation aurait permis \u00e0 des usagers non autoris\u00e9s d'acc\u00e9der \u00e0 un nombre limit\u00e9 d'applications de la Conf\u00e9d\u00e9ration.</p><p>2. Le 27 janvier 2017, des sp\u00e9cialistes de la Conf\u00e9d\u00e9ration ont constat\u00e9 une d\u00e9faillance du service d'acc\u00e8s \u00e0 certaines applications. Les collaborateurs comp\u00e9tents ont imm\u00e9diatement palli\u00e9 l'erreur et l'ont supprim\u00e9e d\u00e9finitivement le 9 f\u00e9vrier 2017. Apr\u00e8s une premi\u00e8re analyse, le chef du d\u00e9partement concern\u00e9 a pris connaissance, le 15 f\u00e9vrier 2017, de la faille de s\u00e9curit\u00e9 et des mesures engag\u00e9es. Le Conseil f\u00e9d\u00e9ral en a pris acte dans le cadre du rapport annuel sur la s\u00e9curit\u00e9.</p><p>3. La d\u00e9faillance concernait un nombre limit\u00e9 d'applications, qui n\u00e9cessitent une proc\u00e9dure d'acc\u00e8s particuli\u00e8re. Celles-ci sont connues et les responsables au courant. Pour des raisons de s\u00e9curit\u00e9, la liste des applications et des d\u00e9partements concern\u00e9s n'est pas rendue publique.</p><p>4. Les informations sur la d\u00e9faillance de s\u00e9curit\u00e9 ont \u00e9t\u00e9 communiqu\u00e9es en interne par les organes pr\u00e9vus \u00e0 cet effet. Comportant des indications d\u00e9taill\u00e9es sur le fonctionnement du service d'acc\u00e8s touch\u00e9, elles ont \u00e9t\u00e9 class\u00e9es \"confidentiel\" pour des raisons de s\u00e9curit\u00e9. Les responsables de l'informatique et de la s\u00e9curit\u00e9 des d\u00e9partements et de la Chancellerie f\u00e9d\u00e9rale ont \u00e9t\u00e9 inform\u00e9s au plus vite par le Conseil de l'informatique de la Conf\u00e9d\u00e9ration et par le Comit\u00e9 pour la s\u00e9curit\u00e9 informatique.</p><p>5. Il ne ressort de l'analyse aucun indice qui prouve que la faille de s\u00e9curit\u00e9 a \u00e9t\u00e9 exploit\u00e9e pour des infiltrations de la part d'usagers non autoris\u00e9s. Cependant, il est impossible de le v\u00e9rifier compl\u00e8tement et donc de l'exclure, car les enregistrements du service d'acc\u00e8s sont insuffisants. Lors de la suppression de la d\u00e9faillance, on a aussi veill\u00e9 \u00e0 ce que d'\u00e9ventuels probl\u00e8mes puissent \u00eatre d\u00e9tect\u00e9s avec certitude \u00e0 l'avenir.</p><p>6. Apr\u00e8s avoir d\u00e9cel\u00e9 la faille de s\u00e9curit\u00e9, les sp\u00e9cialistes de la Conf\u00e9d\u00e9ration l'ont imm\u00e9diatement combl\u00e9e. La d\u00e9faillance a \u00e9t\u00e9 analys\u00e9e et les enseignements tir\u00e9s ont permis de prendre une s\u00e9rie de mesures \u00e0 court et long termes. Les responsables hi\u00e9rarchiques et les responsables d'applications concern\u00e9s ont \u00e9t\u00e9 inform\u00e9s.</p><p>7. Non. Il n'existe aucun indice d'une infraction d'ordre p\u00e9nal ou disciplinaire qui ait conduit \u00e0 la faille de s\u00e9curit\u00e9. C'est pourquoi l'Office f\u00e9d\u00e9ral de l'informatique et de la t\u00e9l\u00e9communication a estim\u00e9 qu'une enqu\u00eate administrative n'\u00e9tait pas n\u00e9cessaire.</p><p>8. Les organes comp\u00e9tents ont \u00e9t\u00e9 inform\u00e9s sans d\u00e9lai. Les services techniques ont l'habitude de modifier rapidement les logiciels et les syst\u00e8mes en fonction des correctifs de s\u00e9curit\u00e9 des fournisseurs. Des mesures internes ont en outre \u00e9t\u00e9 prises afin d'am\u00e9liorer le contr\u00f4le de la qualit\u00e9 des modifications effectu\u00e9es sur le syst\u00e8me d'acc\u00e8s.</p><p>9. L'erreur a \u00e9t\u00e9 examin\u00e9e en \u00e9troite collaboration avec les fournisseurs de prestations impliqu\u00e9s.</p>  R\u00e9ponse du Conseil f\u00e9d\u00e9ral.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1504051200000)\/","SubmittedBy":"Romano Marco","BusinessStatus":229,"BusinessStatusText":"Liquid\u00e9","BusinessStatusDate":"\/Date(1506643200000)\/","ResponsibleDepartment":7,"ResponsibleDepartmentName":"D\u00e9partement des finances","ResponsibleDepartmentAbbreviation":"DFF","IsLeadingDepartment":true,"Tags":"4|9|34","Category":null,"Modified":"\/Date(1690518324833)\/","SubmissionDate":"\/Date(1497484800000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Conseil national","SubmissionCouncilAbbreviation":"CN","SubmissionSession":5009,"SubmissionLegislativePeriod":50,"FirstCouncil1":1,"FirstCouncil1Name":"Conseil national","FirstCouncil1Abbreviation":"CN","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Politique d'Etat|Politique de s\u00e9curit\u00e9|M\u00e9dias et communication"}}