Vol de données: aucun limogeage en vue au Service de renseignement

Dans un rapport publié vendredi, la Délégation des commissions de gestion tire les leçons des lacunes révélées par le vol de données au Service de renseignement de la Confédération (SRC).
07 août 2015, 11:58
/ Màj. le 20 oct. 2015 à 10:39
Le Conseil fédéral est prêt à remédier à la série de lacunes révélées par le vol de données au Service de renseignement de la Confédération (SRC) en mai 2012.

Aucune tête ne devrait tomber après le vol en mai 2012 de données sensibles au Service de renseignement de la Confédération (SRC). Le Conseil fédéral est toutefois prêt à remédier aux lacunes et suit la plupart des recommandations formulées par la Délégation des commissions de gestion.

Manque de personnel, mots de passe pas assez contrôlés, investigation déficiente sur les employés: l'affaire avait fait grand bruit. A l'issue de son enquête, l'organe de surveillance parlementaire avait adressé une volée de bois vert au ministre de la défense Ueli Maurer et au chef des renseignements Markus Seiler.

Certains parlementaires avaient exigé la tête de l'espion en chef. Aucun limogeage ne semble toutefois en vue. Dans son rapport publié vendredi, le Conseil fédéral accepte la plupart des critiques, mais estime être en bonne voie d'y remédier.

Postes supplémentaires

En avril dernier, le Département de la défense (DDPS) a présenté un rapport au gouvernement témoignant de 40 mesures techniques ou organisationnelles déjà prises comme des restrictions de consultation ou d'accès. Sur sa proposition, le Conseil fédéral a décidé fin juin d'allouer au SRC en 2014 huit postes supplémentaires afin de renforcer la sécurité informatique.

La délégation des commissions de gestion les réclamait dès cette année. La majorité a déjà été pourvue sur la réserve financière du DDPS, répond le gouvernement. Trois autres postes devraient suivre. Selon le gouvernement, cela permettra de fournir des prestations cruciales pour la sécurité et de réaliser des projets en retard.

Ressources toujours limitées

Même avec la future loi sur les services de renseignement, le service disposera toutefois de ressources très limitées en comparaison internationale. Il devra fixer des priorités, prévient le gouvernement.

Pas de problème en revanche pour une meilleure surveillance de la gestion des risques au SRC ou de l'état de la sécurité informatique. Le Conseil fédéral accepte de demander des comptes à Ueli Maurer d'ici mi-2014 et de vérifier le contrôle de toutes les applications et systèmes du SRC d'ici à la fin de l'an prochain.

Les dispositions sur le cryptage des données transmises sur le réseau de communication interne seront adaptées. Un codage intégral requérant trop d'efforts techniques et de frais, l'ordonnance ad hoc évoquera bientôt un cryptage partiel. Mais les progrès techniques à venir pourraient permettre d'envisager la réalisation d'un chiffrage intégral.

Les règles des contrôles de sécurité de personnes, qui servent à débusquer le personnel à risque, resteront en revanche inchangées. Selon le Conseil fédéral, les employés externes doivent déjà être soumis au même degré de test que les employés de la Confédération exerçant la même activité qu'eux. Il n'y a donc pas lieu de clarifier les règles comme le demande la délégation des commissions de gestion même s'il faut sensibiliser l'administration.

Confiance internationale

La réaction tardive au vol de données nécessite de tirer des enseignements pour le SRC et l'administration fédérale. Mais l'entité issue de la fusion en 2010 des services de renseignement national et international est parvenue à assurer la légalité de ses activités, à établir une culture d'entreprise commune à tous les collaborateurs et à fournir des prestations de haute qualité, salue le Conseil fédéral. Et de conclure: les partenaires étrangers font confiance au SRC.

Le vol de mai 2012 a mis cette crédibilité à rude épreuve. Seule l'intervention de la banque où il voulait ouvrir un compte avait permis de faire pincer l'informaticien qui avait volé facilement une grande quantité d'informations sensibles au SRC. Il était l'unique gestionnaire de la banque de données et n'avait pas été suspendu malgré des signes de problèmes répétés.