L’affaire Xplain a mis en évidence toutes les diffi­cul­tés liées à la gestion d’un projet infor­ma­tique complexe mené entre diffé­rents acteurs publics et privés. Plusieurs leçons ont pu être tirées pouvant certai­ne­ment s’ap­pli­quer à d’autres situa­tions compa­rables, quels que soient les acteurs concer­nés. Tour d’ho­ri­zon des lacunes consta­tées et des mesures correc­tives proposées.

Enquête admi­nis­tra­tive « Fuite de données », rapport du 28 mars 2024 rédigé par Oberson Abels SA sur mandat du Conseil fédéral

Train de mesures pour éviter de nouvelles fuites de données, Résultat de l’atelier du 20 mars 2024 sur les recom­man­da­tions en matière de sécu­rité de l’information, Département fédé­ral de la défense, de la protec­tion de la popu­la­tion et des sports /​ Secrétariat à la poli­tique de sécu­rité /​ Service spécia­lisé de la Confédération pour la sécu­rité de l’information

L’affaire Xplain

Au prin­temps 2023 , l’entreprise Xplain SA, four­nis­seur de logi­ciels dans le domaine de la sécu­rité, se fait déro­ber de grandes quan­ti­tés de données qui finissent sur le Darknet. Le volume de données publiées s’élève à envi­ron 1,3 million d’ob­jets. Parmi ceux-ci se trouvent des données produc­tives de l’ad­mi­nis­tra­tion fédé­rale, notam­ment des données confi­den­tielles, des données person­nelles (sensibles), des infor­ma­tions tech­niques, des infor­ma­tions clas­si­fiées ou des mots de passe.

En juin 2023, le PFPDT annonce qu’il a débuté au mois d’avril 2023 une procé­dure d’enquête préa­lable ayant révélé des indices de viola­tions poten­tiel­le­ment graves des dispo­si­tions sur la protec­tion des données. Il déclare sur cette base l’ouverture d’une procé­dure d’enquête formelle. Les résul­tats de la procé­dure d’enquête formelle sont révé­lés le 1^er mai 2024 avec la publi­ca­tion, en alle­mand, de trois rapports contre Xplain, l’Office fédé­rale de la police (fedpol) et l’Office fédé­ral de la douane et de la sécu­rité des fron­tières (OFDF), accom­pa­gnés de diverses recom­man­da­tions visant à réduire le risque de nouvelles viola­tions de la protec­tion des données.

Le PFPDT constate, en parti­cu­lier, que ni fedpol ni l’OFDF n’ont clai­re­ment convenu avec Xplain si, et à quelles condi­tions, des données person­nelles pouvaient être conser­vées sur les serveurs d’Xplain. Le proces­sus en place était orga­nisé de manière à ce que des données person­nelles soient trans­mises à Xplain dans le cadre de pres­ta­tions de support. Mais aucune exigence précise n’a été défi­nie pour la trans­mis­sion et le respect de la sécu­rité de ces données. La quan­tité de données trans­mise était, en outre, dispro­por­tion­née du point de vue du PFPDT. Finalement, Xplain n’a pas respecté les obli­ga­tions d’un sous-trai­tant en matière de protec­tion des données, ni certains enga­ge­ments contrac­tuels ayant été pris. Ces trois rapports ont fait l’objet d’un commen­taire de David Vasella.

Parallèlement à l’enquête menée par le PFPDT, le Conseil fédé­ral ordonne le 23 août 2023 une enquête admi­nis­tra­tive visant à éclair­cir les circons­tances qui, du côté de l’administration fédé­rale, ont permis à Xplain SA d’entrer en posses­sion de données de la Confédération. La tenue de cette enquête est confiée à l’étude d’avocats gene­voise Oberson Abels SA. Sa mission est de déter­mi­ner i) si des défi­ciences en matière tech­nique, d’organisation ou de proces­sus ont conduit à ce que des données produc­tives de l’ad­mi­nis­tra­tion fédé­rale soient en posses­sion d’Xplain et (ii) si l’administration fédé­rale a satis­fait à ses devoirs de manière adéquate lors du choix, de l’instruction et de la surveillance d’Xplain ainsi que dans le cadre de la colla­bo­ra­tion avec celle-ci.

Les conclu­sions de l’enquête admi­nis­tra­tive sont rendues le 28 mars 2024. Le 1^er mai 2024, le Conseil fédé­ral annonce que l’en­quête admi­nis­tra­tive est désor­mais clôtu­rée et adopte un train de mesures visant à éviter de futures fuites de données. Les travaux de mise en œuvre peuvent doré­na­vant être pour­sui­vis dans les struc­tures ordi­naires de l’administration fédé­rale conjoin­te­ment avec la mise en œuvre de la nouvelle loi fédé­rale sur la sécu­rité de l’information (LSI ; RS 128).

Le rapport d’enquête Oberson Abels

Selon le rapport d’en­quête d’Oberson Abels SA, cinq unités admi­nis­tra­tives de la Confédération ont été direc­te­ment touchées dans le cadre de l’affaire Xplain. Il s’agit de fedpol, de l’OFDF, de l’Office fédé­ral de la justice (OFJ), de la Police mili­taire (PM) et du Secrétariat d’état aux migra­tions (SEM).

Les prin­ci­paux évène­ments ayant conduit à ce que des données produc­tives de la Confédération soient présentes dans l’environnement infor­ma­tique d’Xplain sont les suivants :

• Des employés d’Xplain ont trans­féré des données de l’ad­mi­nis­tra­tion fédé­rale reçues d’employés de la Confédération depuis leur compte de messa­ge­rie @admin.ch vers leur compte de messa­ge­rie Xplain ou ceux de leurs collègues. Dans un cas, un employé d’Xplain a proba­ble­ment extrait lui-même des données d’un système de produc­tion de fedpol, les inté­grant ensuite dans l’environnement infor­ma­tique d’Xplain.
• Des employés de la Confédération respon­sables du support infor­ma­tique interne ont traité des demandes de leurs collègues conte­nant des données de l’ad­mi­nis­tra­tion fédé­rale et les ont trans­mises ou mises à dispo­si­tion d’Xplain sur un serveur partagé, sans reti­rer, pseu­do­ny­mi­ser ou caviar­der ces données.
• Des employés de la Confédération impli­qués dans des travaux de déve­lop­pe­ment, de test ou de migra­tion infor­ma­tique ont trans­mis des données à Xplain dans ce cadre.

Le rapport d’enquête met ensuite en évidence 10 lacunes ayant été consta­tées en termes d’or­ga­ni­sa­tion et de gestion :

• Processus : Des employés de la Confédération et d’Xplain ont pu extraire et envoyer des données par cour­riels sans enca­dre­ment ni respect du prin­cipe des quatre yeux. Selon ce prin­cipe, toute action critique ou sensible devrait être super­vi­sée et approu­vée par au moins deux personnes indépendantes.
• Mesures tech­niques : Aucune mesure tech­nique n’a empê­ché l’ex­trac­tion et l’en­voi de données produc­tives vers Xplain.
• Formation et sensi­bi­li­sa­tion : Les employés de la Confédération n’ont pas été suffi­sam­ment sensi­bi­li­sés et formés aux enjeux du trai­te­ment des données. En outre, une faille de sécu­rité avait, certes, à un moment bel et bien été iden­ti­fiée, mais l’information n’a pas circulé entre les unités admi­nis­tra­tives concernées.
• Sécurité de l’information : La Confédération a partiel­le­ment rempli ses devoirs de choi­sir et d’instruire Xplain, mais ne l’a pas suffi­sam­ment surveillé. Un concept de sécu­rité de l’information et de protec­tion des données (concept SIPD) a certes été établi dans chaque cas, mais l’administration fédé­rale n’a jamais obtenu de rapport sur la sécu­rité de l’information au sein d’Xplain avant la fuite de données. En outre, aucun des contrats conclus avant juillet 2020 ne conte­nait de clauses spéci­fiques sur la sécu­rité de l’information.
• Protection des données person­nelles : La Confédération n’a pas rempli ses devoirs de choi­sir, d’instruire et de surveiller lors de la sous-trai­tance de données person­nelles à Xplain. En parti­cu­lier, aucun contrat de sous-trai­tance des données au sens de l’art. 9 LPD (art. 10a aLPD) n’a été passé entre les unités concer­nées de l’administration fédé­rale et Xplain.
• Gestion des cyber­me­naces : Les unités de l’administration fédé­rale ont sous-estimé les risques posés par des tiers, en parti­cu­lier par les four­nis­seurs de logi­ciels tiers (« supply chain secu­rity » et « third party cyber risk management »).
• Répartition des respon­sa­bi­li­tés : Il existe des diver­gences de compré­hen­sion, voire des posi­tions contra­dic­toires, sur la répar­ti­tion des respon­sa­bi­li­tés en matière de sécu­rité de l’information entre les diffé­rentes parties impli­quées de la Confédération (service d’achat central, métiers, Départements concer­nés, Centre de service infor­ma­tique [CSI-DFJP], Office fédé­rale de l’informatique et de la commu­ni­ca­tion [OFIT], colla­bo­ra­teurs spécia­li­sés). Cette absence de compré­hen­sion uniforme des respon­sa­bi­li­tés entraîne des risques de conflits de compé­tence négatif.
• Ressources : Les ressources allouées à la sécu­rité de l’information sont globa­le­ment insuf­fi­santes. A titre d’exemple, au moment des faits, la personne occu­pant la fonc­tion de délé­gué à la sécu­rité de l’information auprès de fedpol était surchar­gée et atten­dait depuis un certain temps le renfort de deux postes supplé­men­taires. A l’OFJ, la même fonc­tion ne repré­sen­tait que 10% envi­ron du cahier des charges d’une seule personne, ce qui est large­ment insuffisant.
• Dépendance à l’égard d’Xplain : Les unités admi­nis­tra­tives concer­nées de la Confédération se trou­vaient par rapport à Xplain dans une situa­tion de lock-in (sur cette notion : swiss​pri​vacy​.law/​3​01/). Selon leur analyse, il n’existait pas d’alternative à Xplain. Tout chan­ge­ment de four­nis­seur aurait impli­qué de chan­ger de système, ce qui aurait entraîné des diffi­cul­tés tech­niques, des coûts dispro­por­tion­nés et des retards.
• Excès de confiance : La rela­tion entre les unités concer­nées de l’administration fédé­rale et Xplain repo­sait essen­tiel­le­ment sur la confiance (plutôt que sur le prin­cipe des quatre yeux). Plusieurs employés d’Xplain étaient « onboar­dés » auprès de la Confédération. Ils dispo­saient de maté­riels, d’adresses de messa­ge­rie élec­tro­nique et de droits d’ac­cès de l’ad­mi­nis­tra­tion fédé­rale, tutoyaient presque sans excep­tion ses employés et utili­saient dans leur corres­pon­dance avec ces derniers des expres­sions lais­sant appa­raître une certaine familiarité.

Ces constats ont abouti à l’élaboration d’une série de recom­man­da­tions d’ordre à la fois orga­ni­sa­tion­nel et opérationnel.

Sur le plan orga­ni­sa­tion­nel, le rapport d’enquête critique, en partie, le système de respon­sa­bi­lité éclaté au sein de la Confédération, selon lequel chaque unité admi­nis­tra­tive est respon­sable de la sécu­rité et de la protec­tion des infor­ma­tions qu’elle traite. Les inter­ro­ga­toires menés dans le cadre de l’enquête admi­nis­tra­tive ont, en effet, mis en lumière un déca­lage entre i) la respon­sa­bi­lité attri­buée aux unités admi­nis­tra­tives dans le domaine de la sécu­rité et de la protec­tion des données et ii) les connais­sances dont elles disposent effec­ti­ve­ment pour assu­mer cette respon­sa­bi­lité. Le rapport d’enquête recom­mande à ce niveau de prévoir une respon­sa­bi­lité accrue des unités spécia­li­sées de la Confédération lors d’acquisition de moyens informatiques.

Sur le plan opéra­tion­nel, le rapport d’enquête formule une série de 10 mesures plus pratiques. Elles concernent notam­ment l’augmentation des ressources allouées à la sécu­rité et à la protec­tion des données, la connais­sance et la gestion des four­nis­seurs de services infor­ma­tiques, la sensi­bi­li­sa­tion du person­nel, l’effacement des données, la prise en compte le plus tôt possibles des ques­tions de sécu­rité et de protec­tion des données, et la mise en place de limi­ta­tions techniques.

Le train de mesures adopté par le Conseil fédéral

Sur la base du rapport d’enquête admi­nis­tra­tive, le Conseil fédé­ral a adopté un train de mesures propo­sées par les services et le person­nel spécia­li­sés de l’administration fédé­rale. Ces mesures doivent être appli­quées en complé­ment des obli­ga­tions de la LSI qui restent cepen­dant prio­ri­taires. Elles s’articulent autour de trois axes : i) gestion de la sécu­rité, ii) forma­tion et sensi­bi­li­sa­tion et iii) commu­ni­ca­tion sécu­ri­sée avec des tiers.

Le premier axe porte sur quatre aspects :

• L’élaboration de clauses contrac­tuelles stan­dar­di­sées en matière de sécu­rité de l’information. Certaines clauses doivent s’appliquer à toutes les acqui­si­tions de services infor­ma­tiques (clauses obli­ga­toires), tandis que d’autres unique­ment à des situa­tions spéci­fiques en fonc­tion des besoins (clauses facul­ta­tives). L’élaboration de ces clauses est une concré­ti­sa­tion de l’art. 10 al. 3 de l’ordonnance sur la sécu­rité de l’information (OSI ; RS 128.1).
• La réali­sa­tion d’un inven­taire des rela­tions avec les four­nis­seurs. Le but est que les dépar­te­ments et les offices fédé­raux puissent aisé­ment relier leurs objets à proté­ger et leurs four­nis­seurs, et évaluer les risques et les dépen­dances qui en découlent. Actuellement, un tel inven­taire est réalisé au moyen de listes, mais il pourra être réalisé dans un délai de deux ans au moyen d’une appli­ca­tion de gestion de la sécu­rité de l’information (SMSI).
• Une meilleure gestion des pres­ta­tions de contrôle et d’audit. Selon l’art. 13 OSI, toutes les unités admi­nis­tra­tives doivent elles-mêmes fixer la manière dont elles entendent véri­fier la mise en œuvre de la sécu­rité de l’information dans leur domaine de compé­tences et chez leurs four­nis­seurs. En termes d’efficience, il est néan­moins préfé­rable de centra­li­ser l’achat de pres­ta­tions d’audit. C’est pour­quoi l’Office fédé­ral des construc­tions et de la logis­tique (OFCL) acquerra, sur demande, des pres­ta­tions d’audit pour l’ensemble des unités administratives.
• L’utilisation élar­gie d’une appli­ca­tion SMSI au sein des unités admi­nis­tra­tives de l’administration fédé­rale. Actuellement, l’art. 47 OSI prévoit unique­ment la « possi­bi­lité » pour les unités admi­nis­tra­tives d’utiliser une appli­ca­tion SMSI pour gérer la sécu­rité de leurs infor­ma­tions. L’introduction d’une obli­ga­tion géné­ra­li­sée d’utiliser une appli­ca­tion SMSI commune à toute l’administration fédé­rale permet­trait de systé­ma­ti­ser et de stan­dar­di­ser le recen­se­ment des infor­ma­tions et des systèmes d’information à proté­ger. C’est pour­quoi, la Confédération analy­sera d’ici l’été 2025 si la LSI doit être modi­fiée afin de rendre obli­ga­toire l’utilisation d’un SMSI standard.

Le deuxième axe se concentre sur l’élaboration d’un concept de forma­tion spéci­fi­que­ment axé sur les besoins de chaque fonc­tion (p. ex. respon­sables d’application, chefs de projet, rôles de projet tels que respon­sables de la sûreté de l’information et de la protec­tion des données, cadres, colla­bo­ra­teurs en géné­ral, respon­sables de la sécu­rité de l’information, prépo­sés à la sécu­rité de l’information). Il est, en outre, prévu de procé­der à une évalua­tion ulté­rieure de l’efficacité du concept de formation.

Le troi­sième axe traite fina­le­ment de la commu­ni­ca­tion sécu­ri­sée avec des tiers. L’administration fédé­rale veut acqué­rir une solu­tion sécu­ri­sée de vidéo­con­fé­rence permet­tant d’échanger des données en fonc­tion des diffé­rents niveaux de classification.

Commentaire

Les enquête du PFPDT sont prévues à l’art. 49 LPD. Le PFPDT ouvre d’office ou sur dénon­cia­tion une enquête contre un organe fédé­ral ou une personne privée si des indices suffi­sants font penser qu’un trai­te­ment de données pour­rait être contraire à des dispo­si­tions de protec­tion des données.

Prévue aux art. 27a ss de l’ordonnance fédé­rale sur l’organisation de gouver­ne­ment et de l’administration (OLOGA ; RS 172.010.1), l’enquête admi­nis­tra­tive n’est pas diri­gée contre un office ou des personnes déter­mi­nées, mais vise unique­ment à établir si un état de fait exige une inter­ven­tion pour sauve­gar­der l’intérêt public.

Dans un cas, comme dans l’autre, les deux enquêtes mettent en évidence l’absence de contrat de sous-trai­tance des données en viola­tion de l’art. 9 LPD (10a aLPD). Cette conclu­sion est toute­fois criti­quée par Xplain dans le rapport d’enquête du PFPDT. Cette dernière conteste agir en qualité de sous-trai­tant, car son contrat ne consis­te­rait pas à héber­ger ou à trai­ter des données de l’administration fédé­rale, mais unique­ment à déve­lop­per des logi­ciels desti­nés à être exploi­tés par des organes de l’administration fédé­rale eux-mêmes. Dans le cadre de cette acti­vité, Xplain ne trai­te­rait pas direc­te­ment des données person­nelles pour le compte de la Confédération, mais offri­rait simple­ment des services de main­te­nance, de soutien et de déve­lop­pe­ment logiciel.

Comme l’indique juste­ment le PFPDT, la trans­mis­sion de données person­nelles reste perti­nente, même lorsqu’elle ne repré­sente qu’un effet secon­daire de l’exécution du contrat. La publi­ca­tion en masse sur le Darknet de données de la Confédération déro­bées à Xplain parle d’elle-même. Sauf à admettre que ces données aient été collec­tées ou commu­ni­quées de manière illi­cite (ce qui soulè­ve­rait un autre problème), cela implique l’existence d’une rela­tion de sous-trai­tance, laquelle aurait dû être réglée au moyen d’un contrat de sous-trai­tance des données. L’existence d’une respon­sa­bi­lité distincte, voire d’une respon­sa­bi­lité conjointe sur des données produc­tives, semble diffi­cile à argu­men­ter dans un tel cas. Comme l’a souli­gné l’enquête admi­nis­tra­tive, la nature des pres­ta­tions confiées à Xplain relève ici inté­gra­le­ment de l’administration auxi­liaire (« Bedarfsverwaltung ») sans qu’il y ait trans­fert d’une tâche de l’administration à propre­ment parler. Une respon­sa­bi­lité distincte peut, en revanche, être admises s’agissant des données des employés de la Confédération qu’Xplain a pu récol­ter dans le cadre de l’exécution du contrat ou encore s’agissant des données tech­niques rela­tives à l’utilisation des logi­ciels four­nis, ces données n’étant pas des données produc­tives de la Confédération.

Même si l’enquête admi­nis­tra­tive a permis de mettre en évidence plusieurs éléments impor­tants en termes de sécu­rité et de gouver­nance des données, un des manque­ments le plus signi­fi­ca­tif dans cette affaire demeure certai­ne­ment l’ab­sence de contrat de sous-trai­tance des données. Un tel contrat n’au­rait pas empê­ché l’at­taque contre Xplain, mais il aurait faci­lité une meilleure gestion des risques. Si les auto­ri­tés fédé­rales avaient consi­déré la trans­mis­sion de données à Xplain et l’avaient enca­drée par un contrat de sous-trai­tance, il est probable que : i) la quan­tité de données trans­mises à Xplain et ulté­rieu­re­ment divul­guées sur le dark­net aurait été réduite et ii) des mesures de sécu­rité accrues auraient été implé­men­tées. La conclu­sion d’un contrat de sous-trai­tance des données n’est pas une exigence nouvelle, mais elle a parfois été négli­gée par le passé. Dorénavant, les respon­sables du trai­te­ment devraient penser à conclure un tel contrat systé­ma­ti­que­ment dans le cadre de toute acqui­si­tion de pres­ta­tions infor­ma­tiques où des données person­nelles produc­tives du respon­sable du trai­te­ment sont suscep­tibles d’être trans­mises au prestataire.