Attaque contre Xplain

La Confédération rappelle à ses prestataires IT leurs obligations

par René Jaun et traduction/adaptation ICTjournal

Suite à l’attaque contre Xplain, l’un de ses prestataires IT externes, la Confédération a formellement rappelé à ses différents fournisseurs leurs obligations contractuelles en matière de protection des données et de cybersécurité. Le Préposé à la protection des données a en outre élargi le périmètre de son enquête à Xplain.

(Source: Redrec ©️ / pexels.com)
(Source: Redrec ©️ / pexels.com)

Les prestataires de services informatiques travaillant pour la Confédération ont récemment reçu un courrier. Dans une lettre, les autorités rappellent aux entreprises leurs obligations contractuelles, notamment en matière de cybersécurité et de protection des données. En outre, la Confédération attend de ses prestataires de services informatiques qu'ils «s'informent régulièrement des cybermenaces actuelles et des mesures à prendre pour y faire face», rapporte le site Inside-IT.ch en citant la lettre en question.

Le document contient cinq points que les entreprises sont tenues de garantir. Ils vont de l'obligation d'une authentification multi-facteurs à l'interdiction de stocker des données productives non anonymisées, en passant par l'exigence d'un processus de réponse aux incidents et d'un système central de journalisation. Si ces points ne peuvent pas être respectés, les partenaires contractuels et le Centre national de cybersécurité (NCSC) doivent être immédiatement informés.

L'attaque par ransomware contre le prestataire de services informatiques Xplain, rendue publique début juin 2023, est très probablement à l'origine de cette lettre. Pour rappel, des pirates informatiques (le gang Play) ont divulgué sur le dark web des données de plusieurs polices cantonales. Mais aussi de Fedpol, de l’armée, ainsi que de l’Office fédéral de la douane et de la sécurité des frontières (OFDF), des CFF, de Ruag, du SECO, ou encore du canton d’Argovie. 

Le PFPDT se penche aussi sur Xplain

Le Préposé fédéral à la protection des données et à la transparence (PFPDT), Adrian Lobsiger, a en outre fait savoir qu’il élargissait le périmètre de son enquête à Xplain après avoir «pris connaissance d’autres informations sur l’incident». Dans un premier temps, son enquête initiée le 20 juin concernait l'Office fédéral de la police (Fedpol) et l'Office fédéral des douanes et de la sécurité des frontières.
 

Webcode
oUR338Ga