Une attaque de pirates informatiques, un virus propagé par courrier électronique ou des services étrangers peuvent-ils pénétrer ou endommager les dizaines de milliers d'ordinateurs utilisés par l'Administration fédérale? Ces scénarios inquiétants ne sont pas dénués de toute vraisemblance: un rapport confidentiel remis récemment au Conseil fédéral fait état de sérieuses lacunes dans les systèmes de sécurité informatique de la Confédération. «La lecture de ce document m'a fait froid dans le dos», confie un destinataire du rapport.

Soudaine inquiétude

Selon nos informations, ce rapport a été commandé l'automne dernier par la Délégation de sécurité du Conseil fédéral, composée des chefs des Départements de la défense, de justice et police et des affaires étrangères. L'irruption du fameux virus «I love you» au printemps 2000 dans les ordinateurs fédéraux – 10 000 d'entre eux avaient été infectés – n'est en effet pas passée inaperçue des membres du collège gouvernemental, qui semblent en avoir conçu une soudaine inquiétude au sujet de la sécurité informatique de la Suisse. Le document d'une dizaine de pages a été remis il y a environ deux mois à la délégation de sécurité par le coordinateur des services de renseignement, Jacques Pitteloud, qui s'est refusé à tout commentaire sur son contenu.

Le Temps a néanmoins obtenu des précisions sur la teneur de ce rapport, au ton qualifié de «franc et brutal» par les initiés. Les mesures de protection informatique de la Confédération y sont considérées comme insuffisantes, en raison notamment du manque de moyens financiers consacrés à ce domaine. Le trop grand éclatement des stratégies informatiques entre les différents départements, l'absence d'une politique commune au niveau de l'administration fédérale et l'hétérogénéité des matériels sont également mis en cause. «Le problème, explique un spécialiste, c'est que certains secteurs de l'administration sont très bien protégés, mais qu'ils sont connectés à d'autres secteurs qui le sont beaucoup moins. Et dans une structure en réseau, la sécurité de l'ensemble ne peut être supérieure à celle qu'offre son point le plus faible.» Certaines mesures visant à améliorer la sécurité ont certes été prises au cours des dernières années, mais sont restées limitées, notamment en raison de l'effort d'économie consenti dans le domaine informatique. «L'administration s'est concentrée sur la rentabilité du système, et pas assez sur la sécurité. On a voulu faire plus avec moins d'argent», résume une source ayant eu accès au rapport.

Les coûts totaux de l'informatique fédérale s'élèvent aujourd'hui à quelque 570 millions de francs par an, dont 20 seulement sont consacrés à la sécurité. D'ici à 2002, ces dépenses doivent être ramenées à 440 millions de francs par an grâce à une plus grande centralisation des politiques informatiques.

Les conclusions plutôt alarmantes du rapport remis à la délégation du Conseil fédéral semblent en contradiction flagrante avec l'analyse faite en septembre dernier par l'Unité de stratégie informatique (USIC) de la Confédération, responsable des questions de sécurité. L'état de l'informatique fédérale dans ce domaine avait alors été qualifié de «bon dans l'ensemble». Ce diagnostic demeure valable, estime Jürg Römer, le chef de l'USIC: «Il y a certes des lacunes concrètes dont je préfère ne pas parler en détail. Mais comparée à celle d'autres Etats et des entreprises privées, notre situation est identique, voire meilleure. Il n'y a pas de contradiction entre notre analyse et ce rapport. Tout au plus une différence de ton.» Parmi ces «lacunes concrètes», on compte notamment l'existence d'accès non protégés entre l'administration fédérale et les réseaux extérieurs. L'USIC a demandé aux Départements la suppression de ces accès d'ici à fin juin 2001. Le manque de spécialistes qualifiés de la sécurité informatique est un autre problème, que la situation tendue du marché du travail risque de prolonger.