L’enquête sur la cyberattaque contre la société Xplain l’année dernière a révélé des erreurs commises par la police fédérale et les douanes. L’entreprise est également en faute. Le Conseil fédéral annonce des mesures mercredi.
Suite à une attaque de ransomware contre l’entreprise bernoise Xplain en mai 2023, une grande quantité de données personnelles de l’administration fédérale, y compris des données sensibles, ont été publiées sur le « darknet ». Ces données avaient été stockées sur un serveur Xplain.
Dans les trois enquêtes ouvertes à la suite de l’attaque, le Préposé fédéral à la protection des données (PFPDT) a constaté des violations de la loi.
Les mesures de protection des données nécessaires n’ont donc pas été prises lorsque les offices fédéraux de la police (fedpol) et le bureau des douanes (OFDF) ont transmis des données personnelles de la Confédération à Xplain. Ces données ont ensuite été conservées par Xplain en violation de la protection des données, et en partie en violation des obligations contractuelles, précise le PFPDT dans un communiqué.
Depuis que cette fuite de données a été rendue publique, le Conseil fédéral a pris ou fait prendre de nombreuses mesures pour faire la lumière sur cet incident et en tirer les leçons, écrit le gouvernement dans un communiqué séparé.
Il a notamment ordonné une enquête administrative externe. Un rapport a été rédigé et adopté mercredi. Outre les mesures d’urgence prises à la suite de l’attentat, le Conseil fédéral recommande toute une série d’autres mesures.
Système de sécurité
Les unités administratives de la Confédération seront notamment tenues de mettre en place et d’exploiter un système de gestion de la sécurité de l’information (ISMS) au plus tard fin 2026. L’ISMS permet à la direction de gérer tous les processus de sécurité, tels que l’inventaire des informations et des ressources informatiques, l’évaluation des risques, la sécurité lors de la collaboration avec des tiers, la formation, la gestion des incidents ou la planification des audits.
Les services fédéraux concernés « n’ont pas suffisamment rempli leurs obligations de choisir soigneusement leurs fournisseurs, ainsi que de les instruire et de les contrôler de manière adéquate. Ils n’ont pas rempli leurs obligations en matière de protection des données et ne l’ont fait que partiellement en matière de sécurité de l’information», conclut le Conseil fédéral.
Cet article a été publié automatiquement. Source : ats
