Le Préposé fédéral à la protection des données tire les leçons de Xplain (update)
L’enquête des autorités fédérales sur la fuite massive de données consécutive à l’attaque contre Xplain révèle un manque de prudence de l'administration fédérale et des négligences aussi bien du côté du prestataire que des administrations. De son côté, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a livré les conclusions des trois enquêtes qu’il a mené dans cette affaire.
Mise à jour du 5 juin 2024: Il y a presque un an - à la mi-juin 2023 - le Préposé fédéral à la protection des données et à la transparence (PFPDT) a ouvert son enquête sur l'attaque par ransomware contre Xplain. Après le prestataire de services informatiques, il a également examiné de près les offices fédéraux de la police (Fedpol) et de la douane et de la sécurité des frontières (OFDF). Le PFPDT annonce aujourd'hui avoir clos les trois procédures.
Les rapports finaux ont été présentés par l'autorité au début du mois de mai 2024 déjà, indique le communiqué. A la fin du mois de mai, tant les offices fédéraux que Xplain ont accepté l'ensemble des recommandations du PFPDT. L'administration fédérale et ses sous-traitants privés sont tenus d'examiner leur collaboration à la lumière des résultats des trois enquêtes, ajoute le PFPDT, qui se réserve le droit d'effectuer des contrôles à ce sujet dans toute l'administration fédérale.
Le Préposé résume les conclusions des enquêtes en trois exigences centrales de la législation fédérale sur la protection des données:
En tant que «responsables» du point de vue de la protection des données, les organes fédéraux doivent vérifier, lorsqu'ils collaborent avec des entreprises privées en tant que sous-traitants, s'il est nécessaire que des données personnelles quittent l'infrastructure TIC protégée de l'administration fédérale ou s'il est nécessaire que des privés mandatés aient accès à cette infrastructure. Il convient également d'examiner si les données personnelles peuvent être rendues anonymes avant leur transmission et quelles autres mesures techniques ou organisationnelles doivent être prises pour prévenir les violations de la protection des données.
Après avoir analysé les risques liés à la protection des données et déterminé les mesures appropriées pour les minimiser, les organes fédéraux et les entreprises privées doivent documenter de manière complète et compréhensible leurs processus de mise en œuvre - tels que les flux de données, l'anonymisation ou les modalités d'accès. Les organes fédéraux doivent également fixer les mesures techniques et organisationnelles nécessaires dans les contrats conclus avec les entreprises privées, le cas échéant en prévoyant des peines conventionnelles.
Les sous-traitants privés doivent respecter le cadre des obligations et des directives contractuelles en ce qui concerne l'étendue, l'intensité et la durée du traitement. Les mesures appropriées pour respecter ces prescriptions sont les concepts de suppression des données en temps utile, la sensibilisation et la formation des collaborateurs ainsi que la réalisation régulière d’audits internes ou externes.
News du 1er mai 2024: Conséquences de l’attaque contre Xplain - culpabilité partagée avec la Confédération
L’attaque de 2023 contre Xplain, prestataire IT de l'administration fédérale, n’a pas fini de faire parler d’elle. Début mars, on apprenait que parmi les documents de la Confédération ayant fuité sur le darknet, plus de la moitié contenait des contenus sensibles. Aujourd’hui, les autorités lèvent le voile sur les responsabilités et les circonstances qui ont permis à Xplain d’entrer en possession de données de production de l’administration fédérale.
L’enquête ordonnée par les autorités révèle que des données de la Confédération ont été transmises à Xplain durant des phases de test, d’intégration de logiciels et de services de maintenance. Aussi bien les employés de Xplain que ceux de l’administration fédérale sont impliqués. De plus, une fonctionnalité désormais désactivée dans les applications de Xplain a causé le transfert massif de données vers la société. L'enquête fustige le processus de sélection et de supervision du fournisseur par les services fédéraux, mettant en évidence des négligences en matière de protection des données et de sécurité de l'information.
Paquet de mesures pour prévenir de semblables fuites de données
Le communiqué des autorités rappelle par ailleurs que, depuis janvier dernier, la nouvelle législation sur la sécurité de l’information impose des mesures renforcées pour prévenir les fuites de données. Il est notamment demandé aux administrations de mettre en place et d'exploiter un système de gestion de la sécurité de l'information (SGSI) avant la fin de l'année 2026 au plus tard. Trois axes majeurs ont été définis pour augmenter la sécurité. Premièrement, les normes seront intensifiées, particulièrement dans la gestion des partenariats externes, avec des audits et contrôles accrus. Deuxièmement, un programme de formation sera développé pour sensibiliser les collaborateurs. Enfin, une analyse complète des moyens de communication des autorités fédérales est attendue pour fin 2024.
Réaction de Xplain
De son côté, Xplain a publié un communiqué commentant la publication des résultats de l'enquête administrative. Cette dernière se focalise sur la transmission des données fédérales, le prestataire précisant que l'attaque par ransomware fait l'objet d'enquêtes séparées, parfois encore en cours. Suite à l'attaque, Xplain a intégralement reconstruit ses systèmes informatiques, conformément aux recommandations de l'Office fédéral de la cybersécurité (OFCS). Xplain commente aussi les rapports finaux du Préposé fédéral à la protection des données et à la transparence (PFPDT), qui contiennent entre autres dix recommandations. Selon Xplain, la majorité d’entre elles sont déjà en cours d'implémentation ou ont été réalisées au cours du second semestre 2023.
