La Confédération suisse renforce sa stratégie d’achat pour mieux protéger ses infrastructures face aux cybermenaces liées à la chaîne d’approvisionnement.
En 2023, la cyberattaque contre le prestataire Xplain a dévoilé les failles critiques de la chaîne d’approvisionnement informatique de la Confédération. Cet événement a poussé les autorités à repenser en profondeur leur stratégie. Résultat : un rapport clé remis par le Secrétariat d’État à la politique de la sécurité (SEPOS), détaillant les mesures concrètes à adopter pour mieux encadrer les fournisseurs et les prestataires informatiques.
L’impératif de sécurité dès la phase d’appel d’offres
La première leçon tirée de l’affaire Xplain est claire : la sécurité de l’information ne doit pas être une réflexion a posteriori. Selon le SEPOS, tout commence avec l’évaluation des besoins par le service demandeur. C’est dès cette phase que les exigences de sécurité doivent être définies avec précision et intégrées dans les documents d’appel d’offres.
Faute d’une coordination rigoureuse entre le service demandeur et le service d’achat, les exigences critiques peuvent être mal formulées, voire omises. Une fois le contrat signé, rattraper ces lacunes peut s’avérer complexe, coûteux, voire impossible. D’où l’importance de fixer les paramètres de sécurité dès le début, en lien étroit avec les standards de la loi sur la sécurité de l’information.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
La chaîne d’approvisionnement sous haute surveillance
Les cybermenaces ne s’arrêtent pas à la porte du prestataire principal. Le rapport souligne que les services publics reposent souvent sur des chaînes d’approvisionnement complexes, aux ramifications parfois internationales. Chaque maillon peut devenir une brèche potentielle.
Ainsi, les exigences de sécurité doivent s’étendre à l’ensemble de cette chaîne. Cela inclut les sous-traitants et les composants techniques provenant de l’étranger. La vision cloisonnée de la sécurité doit être remplacée par une approche systémique, où chaque élément de la chaîne est soumis à une évaluation rigoureuse.
Le rapport préconise des clauses contractuelles explicites qui imposent aux fournisseurs de transmettre les exigences de sécurité à leurs sous-traitants, avec possibilité pour l’adjudicateur d’exclure certains partenaires ou de s’opposer à leur implication.
Une surveillance adaptée aux niveaux de risque
Pour concilier efficacité, droits fondamentaux et efficience économique, le SEPOS propose une gradation des méthodes de surveillance selon quatre niveaux de risque. Pour les contrats très sensibles (ex. : traitement d’informations classifiées « secret »), les audits complets, les SMSI certifiés, et les visites sur site s’imposent. Pour les contrats moins critiques, des autodéclarations ou des certificats suffisent.
Cette logique repose sur une approche basée sur les risques, alignée avec la LSI et les normes ISO 27001. Le rapport fournit un tableau de correspondance entre catégories de risque et instruments à utiliser (audits, visites, SMSI, autodéclarations).
Une gouvernance centralisée pour plus de cohérence
Le service spécialisé de la Confédération pour la sécurité de l’information joue un rôle central dans cette nouvelle approche. Rattaché au SEPOS, il a pour mission d’assurer une gouvernance uniforme sur l’ensemble du système de la Confédération.
Il offre conseils, évaluations techniques et juridiques, et peut intervenir en soutien des projets dès leur phase de conception. En facilitant la coordination entre les entités acheteuses et les services techniques, il renforce la cohérence des exigences et la maîtrise des risques tout au long du cycle de vie d’un projet.
Le rapport recommande aussi la création d’un pool d’auditeurs internes à l’administration, pour mutualiser les compétences et rationaliser les contrôles. Il souligne également les limites de l’externalisation de la surveillance, en raison du monopole de la puissance publique et du respect des droits fondamentaux.
En filigrane, une idée forte se dégage : la cybersécurité des fournisseurs ne peut être assurée sans une responsabilité pleine et entière de l’adjudicateur tout au long de la chaîne. Chaque décision d’achat engage la sécurité de l’État.
Pour en savoir plus
Sécurité dans les acquisitions de la Confédération : le SEPOS présente des mesures
Le Conseil fédéral a chargé le Secrétariat d’État à la politique de la sécurité (SEPOS) d’établir un état des lieux sur la sécurité de la chaîne d’approvisionnement au regard de la loi sur la sécurité de l’information. Le service spécialisé…
(Re)découvrez également:
L’Administration fédérale analyse la sécurité des contrats avec ses prestataires externes
A la suite de plusieurs cyberincidents, la Suisse a révisé ses contrats avec des services IT externes, révélant que des ajustements sont nécessaires pour 600 d’entre eux
Cyberattaque Xplain : le Conseil fédéral fait le point
Lors de sa séance du 19 février 2025, le Conseil fédéral a été informé de l’avancement des mesures qu’il avait décidées suite à la cyberattaque contre Xplain
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
