Débâcle informatique à Berne
Des parlementaires sont inquiets pour la cybersécurité du Parlement

Les contrôleurs de la Confédération tirent la sonnette d'alarme: les projets informatiques pour les conseils ne sont pas sûrs.
Publié: 13.12.2021 à 13:18 heures
|
Dernière mise à jour: 13.12.2021 à 14:31 heures
Le Contrôle des finances critique sévèrement les services du Parlement.
Photo: Thomas Meier
Simon Marti

Le Parlement doit opérer sa transition numérique. Dans un avenir sans papier, les conseillers nationaux et les conseillers aux Etats pourront consulter tous les documents et informations sur une plateforme digitale et leurs demandes seront traitées uniquement en ligne. C'est en tout cas la volonté optimiste qu'affichait encore l'année dernière Andreas Wortmann, responsable de l'infrastructure et de la sécurité aux Services du Parlement et membre de la direction. Cette annonce était tombée au bon moment, alors que le Parlement s'efforçait de gérer la pandémie et que les Chambres avaient siégé pendant des semaines au-delà des murs du Palais fédéral.

Mais cette vision d'un parlement digitalisé manque encore de base technique. Malgré des investissements de plusieurs millions, les recherches menées par Blick montrent que cette transition numérique est menacée. Pire encore: les projets comportent des risques considérables pour la sécurité nationale. Ils se poursuivent pourtant, bien que les observateurs de la Confédération aient tiré la sonnette d'alarme depuis longtemps déjà.

Empêcher le gaspillage de l'argent des contribuables

C'est le rôle du Contrôle fédéral des finances (CDF) de surveiller de près les autorités fédérales et leurs fonctionnaires. En tant que chien de garde de la politique financière, l'organe doit empêcher le gaspillage de l'argent des contribuables. Ces derniers mois, les contrôleurs ont examiné les projets de numérisation des services du Parlement.

Des documents internes, dont Blick a eu connaissance, retracent cette enquête. Et le verdict est désastreux. Sur des pages entières, le CDF décortique l'approche des Services du Parlement dans le domaine des technologies de l'information et de la communication (TIC). «Il n'existe pas de stratégie TIC adaptée aux objectifs commerciaux ou à la mission de numérisation». Face à ce vide, «des décisions ont été prises et des faits ont été élaborés - parfois sans évaluation des conséquences», explique le Contrôle des finances.

En d'autres termes, l'étage des cadres supérieurs des Services du Parlement n'est pas à la hauteur. Il est toutefois responsable de la prise de décisions.

Une plate-forme peu sûre

Deux projets centraux illustrent la problématique. Il y a d'abord le projet «Cervin». Dédiée aux membres du Conseil et leurs collaborateurs personnels, la plateforme interne est déjà en service sous le nom de «Parlnet».

Au Parlement, la peur des cyberattaques grandit

Cet été, le conseiller national zurichois Fabian Molina a émis l'hypothèse que son ordinateur avait été piraté. «Sans vouloir entrer dans les détails, certains indices qui me rendaient perplexe», a déclaré le socialiste. Son premier réflexe a été de faire appel à la police fédérale (Fedpol). Il s'est ensuite adressé au Parlement cette semaine: il veut savoir comment les autorités comptent garantir la cybersécurité des conseillers parlementaires. La réponse, selon laquelle un responsable de la sécurité informatique s'occupe spécialement du cas des politiciens, ne convainc pas le Zurchois. «Je suis vraiment inquiet pour la cybersécurité du Parlement». Le règlement correspondant n'a été révisé qu'en 2020. «Et pourtant, les cyberattaques n'y jouent aucun rôle!», critique-t-il.

Fabian Molina n'est pas surpris que le contrôle financier ait constaté des failles de sécurité chez Parlnet. «Si nous ne comblons pas cette lacune, nous pouvons tout aussi bien supprimer le secret de commission.»

Cet été, le conseiller national zurichois Fabian Molina a émis l'hypothèse que son ordinateur avait été piraté. «Sans vouloir entrer dans les détails, certains indices qui me rendaient perplexe», a déclaré le socialiste. Son premier réflexe a été de faire appel à la police fédérale (Fedpol). Il s'est ensuite adressé au Parlement cette semaine: il veut savoir comment les autorités comptent garantir la cybersécurité des conseillers parlementaires. La réponse, selon laquelle un responsable de la sécurité informatique s'occupe spécialement du cas des politiciens, ne convainc pas le Zurchois. «Je suis vraiment inquiet pour la cybersécurité du Parlement». Le règlement correspondant n'a été révisé qu'en 2020. «Et pourtant, les cyberattaques n'y jouent aucun rôle!», critique-t-il.

Fabian Molina n'est pas surpris que le contrôle financier ait constaté des failles de sécurité chez Parlnet. «Si nous ne comblons pas cette lacune, nous pouvons tout aussi bien supprimer le secret de commission.»

Il va de soi que les personnes non autorisées n'ont pas accès aux documents qui y sont enregistrés. Mais «Parlnet» n'est pas sûr. «Le niveau de sécurité de la plateforme est inférieur à la moyenne selon les audits de sécurité réalisés en externe, a constaté le CDF. Des points faibles ont été identifiés qui, selon le rapport d'audit, doivent être réglés le plus rapidement possible». Ce qui n'a pas été fait. Il est même difficile de savoir «si la correction des points faibles est possible dans tous les cas».

Qu'est-ce qui rend ces failles de sécurité si graves? Sur «Parlnet» sont stockés des documents qui ne sont pas destinés au grand public. Par exemple ceux des commissions, où les conseillers nationaux et les conseillers aux États débattent des textes de loi. Ce n'est pas un hasard si le secret des commissions protège ce processus. Si «Parlnet» est compromis, la confidentialité du travail parlementaire sera fondamentalement remis en question.

De plus, la Confédération a établi une gradation précise dans la classification des informations confidentielles. Les documents consultables sur «Parlnet» vont jusqu'au niveau «interne». S'ils tombaient entre les mains de personnes non autorisées, cela ne mettrait pas la Confédération au bord du gouffre, mais pourrait «porter préjudice aux intérêts du pays», comme le stipule l'ordonnance correspondante.

Des concepts dépassés

Gerhard Andrey est conseiller national des Verts et s'y connaît en numérisation. Cet ingénieur et informaticien siège au groupe IT du Parlement (PIT) et est membre du groupe de réflexion sur la numérisation de la Chancellerie fédérale. «Si les conclusions du Contrôle des finances sont exactes, et j'ai une grande confiance dans le travail de cette organe, alors c'est très inquiétant», déplore-t-il.

Gerhard Andrey, conseiller national des Verts du canton de Fribourg.
Photo: Keystone

L'élu réfléchit depuis longtemps à la manière dont le Parlement pourrait techniquement faire sa transition. Il est sceptique quant à l'approche actuelle. «Les concepts semblent dépassés, explique le Fribourgeois. Nous passons à côté de l'opportunité qu'offrirait une véritable numérisation du fonctionnement du Conseil. Pas seulement pour des raisons d'efficacité, mais aussi pour que le public intéressé puisse mieux comprendre le processus législatif».

Le président du PIT est actuellement le conseiller national UDC Mauro Tuena, qui déclare: «Nous allons lire attentivement le rapport du CDF. Si les reproches sont fondés, nous recommanderons au Parlement de prendre les mesures nécessaires».

Mauro Tuena, conseiller national UDC.
Photo: Keystone

Les services du Parlement ne répondront à aucune question à ce sujet avant la publication du rapport du CDF. La sécurité des systèmes informatiques de l'Assemblée fédérale est une préoccupation de premier plan, souligne un porte-parole. «Les Services du Parlement ont par exemple fait examiner le projet 'Cervin' (Parlnet) en juin et en novembre 2020 par une entreprise spécialisée dans ce type d'audits afin de détecter les lacunes en matière de sécurité», poursuit-il. Ces audits ont permis, «comme prévu», de localiser une série de problèmes, dont aucun ne serait considéré comme une urgence. «Le fonctionnement de Parlnet n'est donc pas remis en question. Les constatations faites ont été soit corrigées entre-temps, soit adressées».

Si le socle vacille, tout peut s'effondrer

Présenté ainsi, le problème ne semble pas si grave. Or, comme le signale le Contrôle des finances, «les conditions permettant de reconnaître si des pirates ont déjà exploité des failles de sécurité font défaut». Il est donc impossible de savoir a posteriori si quelqu'un s'est emparé des informations sensibles.

La Confédération n'a pas hésité à dépenser beaucoup pour le projet Cervin. Il y a près de trois ans, le contrat a été attribué à une entreprise de Suisse orientale pour près de dix millions de francs. Aujourd'hui encore, d'importantes questions d'exploitation restent sans réponse. En outre, les défauts de Cervin ou de Parlnet ne sont pas des difficultés isolées que des spécialistes ingénieux pourraient traiter au fur et à mesure. Les différentes plateformes mises en place se fondent les unes sur les autres. Ainsi, si le socle vacille, toute l'opération menacera de s'effondrer.

Le cœur de l'opération est un projet appelé Curiaplus. L'administration a investi environ douze millions de francs pour cette pièce maîtresse du travail parlementaire numérique. Il s'agit d'un outil moderne pour les députés, qui pourraient ainsi déposer et traiter leurs demandes en ligne. Ils auraient à portée de main toutes les informations relatives à un objet. Un saut quantique pour les Chambres fédérales.

Les services du Parlement font front

En 2020, le projet informatique «Soprano», beaucoup plus modeste, avait déjà connu des déboires. Les problèmes de Parlnet viennent donc ajouter une couche à ces nouveaux problèmes: comme le formule le CDF, «les faiblesses de Cervin ont souvent des répercussions directes ou indirectes sur Curiaplus, qui met à disposition des parlementaires davantage de données et de fonctions sensibles». Il ajoute: «Le projet dépend de l'achèvement à temps d'autres projets informatiques, dont certains ont déjà signalé des retards importants». Ainsi, son développement aurait déjà pris du retard après quelques mois. Il existe en outre des divergences avec le fournisseur quant à la possibilité d'achever le projet à la date finale définie. Il pourrait être suspendu, «compte tenu des risques liés au projet et des objectifs stratégiques non clarifiés».

En résumé, les contrôleurs constatent que tant Curiaplus que Cervin ne respectent pas les directives en vigueur et que les concepts de sécurité prescrits n'en sont qu'au stade initial. Ils recommandent de procéder rapidement à de nouveaux contrôles de sécurité. Interrogés à ce sujet, les services du Parlement répondent presque avec défiance que ces projets sont tous deux sur les rails: «Nous attendons qu'ils puissent être achevés dans les délais et avec la qualité requise».

Hasard ou non, une grande réorganisation du système informatique parlementaire est en cours. Une vingtaine de collaborateurs doivent postuler pour leur propre poste. Ce n'est pas le cas des membres de la direction qui ont jadis concocté les plans de Soprano, Cervin et Parlnet.

(Adaptation par Jessica Chautems et Lauriane Pipoz)

Vous avez trouvé une erreur? Signalez-la