Les services fédéraux compétents ont globalement réagi de manière adéquate à l'attaque supposée, écrit la commission de gestion (CdG-N) dans un rapport publié mardi. L'entreprise Ruag International a réagi rapidement, pris des mesures et mandaté des spécialistes externes pour faire la lumière sur les critiques émises en matière de cybersécurité.
Aucune preuve tangible d'une attaque n'a au final été constatée, poursuit la CdG-N. Des révélations en ce sens avaient été faites lors d'une émission de la SRF en mai 2021.
Mais ces analyses ont permis de déceler de graves lacunes en matière de cybersécurité au sein de l'entreprise. La commission de gestion ne «comprend pas pourquoi ces lacunes n'ont pas été décelées plus tôt et pourquoi Ruag n'a pas fait tester son système informatique par des experts plus tôt».
Des mesures supplémentaires
Ce genre de tests devraient être menés périodiquement, poursuit la CdG-N-. Le Conseil fédéral doit envisager d'imposer de tels tests à Ruag.
En vue de la vente de certaines unités de Ruag International, notamment Ruag MRO (munitions), les deux entreprises doivent s'assurer qu'aucune donnée sensible de Ruag MRO ne subsiste dans les systèmes informatiques de Ruag International.
Car on ne peut exclure que de telles données se retrouvent dans des archives ou des sauvegardes et parviennent à des tiers en cas de vente d'unités de l'entreprise, estime la commission. Des mesures supplémentaires sont donc nécessaires.
(ATS)