L’Administration fédérale analyse la sécurité des contrats avec ses prestataires externes

A la suite de plusieurs cyberincidents, la Suisse a révisé ses contrats avec des services IT externes, révélant que des ajustements sont nécessaires pour 600 d’entre eux.

Après plusieurs cyberattaques qui ont suscité de l’inquiétude au sein du Gouvernement suisse, il a été procédé à un examen des conditions contractuelles avec ses prestataires de services informatiques externes. Cette mesure de précaution fait suite en particulier à la cyberattaque sur Xplain.

Comme rapporté dans l’article référencé ci-dessous de SwissCyberSecurity, l’examen a concerné environ 2200 contrats classés comme pertinents pour la sécurité sur env. 7000 contrats.

A l’issue de cette analyse, il a été constaté que la moitié des contrats jugés pertinents pour la sécurité comportaient des clauses appropriées concernant la cybersécurité. Cependant, environ 600 contrats nécessitaient un examen plus approfondi et éventuellement des ajustements.

Le Conseil fédéral a demandé que les prestataires de services TIC engagés pour des tâches relevant de la sécurité fassent l’objet de vérifications régulières par l’office de la sécurité opérationnelle dans le Secrétariat d’État à la sécurité (Sepos) – une unité qui est opérationnelle depuis début 2024 et qui a pour mission de renforcer les mesures de sécurité.

Une interpellation politique sur la sécurité des prestataires informatiques externes de la Confédération

Pour la sécurité des Prestataires informatiques externes de la Confédération, il faut également relevé que le Conseil fédéral a été interpellé par le Conseiller National Dominik Blunschy. A cette occasion il a demandé des réponses aux questions suivantes :

1. Quelles sont les mesures d’urgence qui ont déjà été prises en ce qui concerne les prestataires informatiques ?
2. Où en sont les travaux de l’état-major politico-stratégique « Fuite de données » (EMPS-F) et l’enquête administrative menée par le cabinet OBERSON ADELS SA ? 
3. Quelles directives permettront désormais au Conseil fédéral de s’assurer que les unités administratives qui achètent des prestations informatiques font valoir leur droit d’audit ?
4. Que pense le Conseil fédéral de la possibilité d’obliger les unités administratives qui ont recours à des services informatiques externes à auditer leurs prestataires ? Comment mettrait-il en œuvre une telle obligation ?
5. A-t-il défini des critères uniformes en matière de sécurité informatique pour mettre fin à la collaboration avec des prestataires défaillants ?

Les réponses officielles sont directement consultables sur le site de l’Assemblée fédérale dont le lien est fourni ci-dessous.

Pour en savoir plus

L’administration fédérale examine 600 contrats de services informatiques

À la suite de cyberattaques contre ses fournisseurs informatiques, le gouvernement fédéral a examiné 7 000 contrats avec des prestataires de services externes pour des dispositions

Lire la suite sur swisscybersecurity.net

(Re)découvrez également:

La Confédération rappelle 5 bonnes pratiques à ses prestataires IT suite à la cyberattaque contre Xplain

La Confédération a rebondit sur cet événement Xplain pour rappeler quelques bonnes pratiques de sécurité attendues de sa part vis-à-vis de ses fournisseurs IT

Lire la suite sur dcod.ch

Le cas Xplain continue de faire des vagues en Suisse

L’administration cantonale d’Argovie se voit reprocher d’avoir transmis illégalement des données sensibles à Xplain. D’un autre côté, Xplain gagne son recours au Tribunal pénal fédéral pour bloquer la transmission de données a un cabinet d’avocats.

Lire la suite sur dcod.ch

Un canal Telegram russe publie un document interne de la Confédération sur la vente de chars suisses

Des hackers russes ont publié sur Telegram un document interne de la Confédération concernant un éventuel échange circulaire de chars de grenadiers à roues Piranha en faveur de l’Ukraine

Lire la suite sur dcod.ch