Conséquences de l’attaque contre Xplain: culpabilité partagée avec la Confédération
L’enquête sur la fuite massive de données consécutive à l’attaque contre Xplain révèle un manque de prudence de l'administration fédérale et des négligences aussi bien du côté du prestataire que des administrations fédérales.
L’attaque de 2023 contre Xplain, prestataire IT de l'administration fédérale, n’a pas fini de faire parler d’elle. Début mars, on apprenait que parmi les documents de la Confédération ayant fuité sur le darknet, plus de la moitié contenait des contenus sensibles. Aujourd’hui, les autorités lèvent le voile sur les responsabilités et les circonstances qui ont permis à Xplain d’entrer en possession de données de production de l’administration fédérale.
L’enquête ordonnée par les autorités révèle que des données de la Confédération ont été transmises à Xplain durant des phases de test, d’intégration de logiciels et de services de maintenance. Aussi bien les employés de Xplain que ceux de l’administration fédérale sont impliqués. De plus, une fonctionnalité désormais désactivée dans les applications de Xplain a causé le transfert massif de données vers la société. L'enquête fustige le processus de sélection et de supervision du fournisseur par les services fédéraux, mettant en évidence des négligences en matière de protection des données et de sécurité de l'information.
Paquet de mesures pour prévenir de semblables fuites de données
Le communiqué des autorités rappelle par ailleurs que, depuis janvier dernier, la nouvelle législation sur la sécurité de l’information impose des mesures renforcées pour prévenir les fuites de données. Il est notamment demandé aux administrations de mettre en place et d'exploiter un système de gestion de la sécurité de l'information (SGSI) avant la fin de l'année 2026 au plus tard. Trois axes majeurs ont été définis pour augmenter la sécurité. Premièrement, les normes seront intensifiées, particulièrement dans la gestion des partenariats externes, avec des audits et contrôles accrus. Deuxièmement, un programme de formation sera développé pour sensibiliser les collaborateurs. Enfin, une analyse complète des moyens de communication des autorités fédérales est attendue pour fin 2024.
Réaction de Xplain
De son côté, Xplain a publié un communiqué commentant la publication des résultats de l'enquête administrative. Cette dernière se focalise sur la transmission des données fédérales, le prestataire précisant que l'attaque par ransomware fait l'objet d'enquêtes séparées, parfois encore en cours. Suite à l'attaque, Xplain a intégralement reconstruit ses systèmes informatiques, conformément aux recommandations de l'Office fédéral de la cybersécurité (OFCS). Xplain commente aussi les rapports finaux du Préposé fédéral à la protection des données et à la transparence (PFPDT), qui contiennent entre autres dix recommandations. Selon Xplain, la majorité d’entre elles sont déjà en cours d'implémentation ou ont été réalisées au cours du second semestre 2023.
