Bilan de la gestion de la cyberattaque menée contre RUAG Rapport de la Commission de gestion du Conseil national du 8 mai 2018 Avis du Conseil fédéral du 28 septembre 2018
Madame la Présidente, Mesdames, Messieurs, Conformément à l'art. 158 de la loi sur le Parlement, nous nous prononçons comme suit sur le rapport de la Commission de gestion du Conseil national du 8 mai 2018 concernant le bilan de la gestion de la cyberattaque menée contre RUAG 1.
Nous vous prions d'agréer, Madame la Présidente, Mesdames, Messieurs, l'assurance de notre haute considération.
28 septembre 2018
Au nom du Conseil fédéral suisse: Le président de la Confédération, Alain Berset Le chancelier de la Confédération, Walter Thurnherr
1
FF 2018 4683
2018-2949
6409
FF 2018
Avis 1
Contexte
Le 8 mai 2018, la Commission de gestion du Conseil national (CdG-N) a publié son rapport «Bilan de la gestion de la cyberattaque menée contre RUAG». En se fondant sur ses investigations et sur les examens réalisés par le Contrôle fédéral des finances (CDF), elle conclut que les mesures engagées par le Conseil fédéral et le Département fédéral de la défense, de la protection de la population et des sports (DDPS) pour gérer la cyberattaque sont appropriées et que leur réalisation suit son cours.
Dans son rapport, la CdG-N formule des recommandations pour le pilotage stratégique de l'entreprise d'armement détenue par la Confédération.
2
Avis du Conseil fédéral
Le DDPS a mis en place une série d'ateliers stratégiques avec RUAG Holding SA afin de renforcer la perception des intérêts de la Confédération en tant qu'actionnaire. Le Conseil fédéral présente ci-après cette nouvelle forme de dialogue avec le propriétaire avant de se prononcer sur les recommandations du rapport.
2.1
Remarques liminaires
L'Assemblée fédérale a édicté la loi fédérale du 10 octobre 1997 sur les entreprises d'armement de la Confédération (LEAC; RS 934.21) dans le but de transformer les anciennes régies en sociétés anonymes de droit privé. La création desdites sociétés a eu lieu le 1er janvier 1999. La Confédération y prend part par l'intermédiaire d'une société de participation, ayant elle-même la forme d'une société anonyme. Le Conseil fédéral définit dans des objectifs stratégiques ce qu'il attend du Conseil d'administration de RUAG Holding SA, quant à la manière d'accomplir la mission assignée au groupe dans la LEAC, à savoir aider la Confédération à garantir l'équipement de l'armée.
En 2017, en complément des objectifs définis en accord avec les Commissions de la politique de sécurité et les Commissions des finances des deux Chambres pour les années 2016 à 2019, le DDPS a organisé pour la première fois un atelier stratégique en collaboration avec l'Administration fédérale des finances (AFF) et le conseil d'administration de RUAG Holding SA. Il s'agit d'une nouvelle forme de dialogue dont le calendrier large permet un débat approfondi sur les questions stratégiques.
Dans ce contexte, le chef du DDPS met l'accent sur des discussions portant avant tout sur des affaires concrètes ou des thèmes d'actualité. Le Conseil fédéral peut renforcer son influence sur le développement de RUAG à moyen et long termes en intensifiant ce genre d'échanges, sans pour autant entraver les responsabilités légales du conseil d'administration de RUAG Holding SA, à savoir accomplir sa mission
6410
FF 2018
d'entreprise proche de la Confédération, telle qu'elle est inscrite dans les objectifs stratégiques assignés par le Conseil fédéral, et diriger RUAG.
Le premier atelier stratégique ayant porté ses fruits, l'expérience a été renouvelée le 18 janvier 2018. À cette occasion, les conséquences de la cyberattaque menée contre RUAG en 2016 ont été abordées dans une perspective globale et les résultats ont permis de formuler des exigences concernant le développement futur de RUAG. La gestion de la cyberattaque moyennant une organisation de projet mise en place à cet effet s'est avérée efficace, comme le souligne la CdG dans le rapport. Le DDPS a réussi à imposer ses exigences envers RUAG, même si pour ce faire, le chef du DDPS a dû intervenir personnellement. Le traitement de l'affaire suit son cours. Elle a mis en évidence le fait que l'entreprise de dissociation des activités ne touchait pas uniquement la séparation des systèmes informatiques, mais qu'elle concernait aussi l'organisation et les structures juridiques, raison pour laquelle une grande partie du deuxième atelier a été consacrée à la cybersécurité. Les exigences formulées dans ce contexte par le chef du DDPS et le directeur de l'AFF sont intégrées au projet de dissociation des activités du DDPS et de RUAG.
Les représentants de l'actionnaire influent donc vraiment sur RUAG en tant qu'entreprise d'armement proche de la Confédération; ce faisant, ils respectent cependant les compétences légales et se concentrent sur les questions de gestion stratégique conformément à la LEAC.
2.2 Recommandation 1
Avis sur les recommandations Prendre en compte les principales conclusions dans le cadre du pilotage stratégique
La CdG-N invite le Conseil fédéral à examiner s'il est nécessaire, compte tenu des conclusions du CDF, d'opérer certains changements stratégiques dans le cadre du pilotage de RUAG, notamment dans le cadre des décisions qui seront prises quant à la structure organisationnelle et la forme juridique de RUAG et quant à une éventuelle privatisation partielle de l'entreprise.
Le Conseil fédéral partage l'opinion de la Commission de gestion du Conseil national (CdG-N) selon laquelle la dissociation des activités doit être opérée tant au niveau de l'organisation que de la structure juridique de RUAG Holding SA.
Il a d'ailleurs décidé le 21 mars 2018 qu'une nouvelle structure devait être mise en place pour les parties du groupe RUAG qui travaillent presque exclusivement pour l'Armée suisse en tant que centre de compétences pour le matériel. À ce titre, la structure en question sera en premier lieu chargée du suivi et de la maintenance des systèmes militaires suisses. Le concept proposé par le conseil d'administration de RUAG au Conseil fédéral prévoit ainsi de séparer les secteurs pertinents pour le DDPS et l'Armée suisse et ceux qui sont présents sur le marché, dans deux unités d'affaires indépendantes sur le plan juridique et financier. Le Conseil fédéral a approuvé ce concept lors de sa séance du 28 juin 2018. Le conseil d'administration a
6411
FF 2018
entamé la suite des travaux en accord avec le DDPS et le Département fédéral des finances (DFF), en tenant compte de éléments ci-après.
La LEAC s'applique. Le Conseil fédéral continue de fixer pour quatre ans les objectifs stratégiques de la société de participation. À l'avenir, il sera en mesure de formuler des exigences plus précises pour les deux unités stratégiques, MRO CH et RUAG International, et de mieux mesurer les résultats. Le conseil d'administration de la société de participation veille à la réalisation des objectifs stratégiques à tous les niveaux et dans l'ensemble du groupe. Il établit des rapports jusqu'à l'échelon des sociétés du groupe, à savoir (selon leurs noms provisoires) MRO CH, RUAG Real Estate SA, Corporate Services, Space, Aerostructures, MRO International, Ammotec et Cyber Security.
Le conseil d'administration de la société de participation sera, comme aujourd'hui, élu par l'assemblée générale, soit de facto par le Conseil fédéral. Une partie de ses membres siègera au conseil d'administration de RUAG International et l'autre au conseil d'administration de MRO Holding. D'autres membres pourront venir compléter ces deux conseils. Il sera notamment possible d'élire un cadre du DDPS au conseil d'administration de MRO Holding. Celui-ci pourrait aussi siéger (en plus) au conseil d'administration de MRO CH.
Recommandation 2
Prendre en compte le problème de désenchevêtrement des réseaux dans la perspective des externalisations futures et dans le cadre des principes régissant le gouvernement d'entreprise
La CdG-N invite le Conseil fédéral à garantir que le problème du désenchevêtrement des réseaux sera dûment pris en compte dans le contexte des externalisations futures. Il déterminera plus spécifiquement si l'imbrication des réseaux ne devrait pas entrer dans les critères décisifs appliqués aux projets d'externalisation, ou être prise en compte dans les prescriptions et rapports établis en matière de gouvernement d'entreprise.
Le Conseil fédéral partage l'avis de la CdG-N selon lequel il est important d'accorder une attention particulière à la dissociation des activités lors des externalisations.
Il pense cependant qu'il n'est pas nécessaire de compléter les principes de gouvernement d'entreprise en la matière.
Le Conseil fédéral a déjà ordonné des mesures pour gérer la cyberattaque. Elles consistent notamment à examiner les imbrications entre la Confédération et d'autres unités externalisées. Mais RUAG est un cas bien particulier car les imbrications avec l'administration fédérale, et spécialement avec le DDPS, sont particulièrement nombreuses et marquées.
Lorsque c'est nécessaire, le Conseil fédéral a la possibilité d'édicter, dans les objectifs stratégiques, des prescriptions spécifiques sur la dissociation ou l'imbrication d'activités, tant pour des unités existantes que pour de nouvelles unités. De telles prescriptions, comme tous les autres objectifs, ne peuvent toutefois concerner que l'échelon stratégique et ne doivent pas interférer avec les affaires opérationnelles. Le Conseil fédéral peut en particulier se servir des objectifs stratégiques pour arrêter 6412
FF 2018
des prescriptions sur la gestion des risques des unités (voir ch. 2.7 des objectifs stratégiques assignés à Skyguide par le Conseil fédéral de 2016 à, FF 2015 8007).
Une gestion des risques moderne doit aussi se préoccuper des dangers que représentent les cyberattaques.
Les règles actuelles concernant la protection et la sécurité de l'information se sont révélées lacunaires. Le message du 22 février 2017 concernant la loi sur la sécurité de l'information (FF 2017 2765), actuellement traité au Parlement, est l'occasion pour le Conseil fédéral de proposer une réglementation moderne qui impliquerait également l'administration fédérale.
Le Conseil fédéral estime donc que la recommandation est déjà mise en oeuvre.
Recommandation 3
Recourir de manière judicieuse aux instruments de pilotage pour défendre les intérêts du propriétaire
La CdG-N demande au Conseil fédéral d'expliquer par quels moyens il entend veiller à une mise en oeuvre judicieuse des instruments de pilotage et donc à une défense plus résolue des intérêts du propriétaire.
Le pilotage stratégique, en particulier, ne doit pas avoir lieu à l'occasion de contacts informels, mais dans le cadre des entretiens avec le propriétaire. La CdG-N demande aussi que les discussions et décisions importantes soient consignées par écrit. Enfin, elle attend du Conseil fédéral qu'il envisage très sérieusement, au vu des défis à relever, d'introduire (au moins passagèrement) au conseil d'administration de RUAG un représentant qui suivrait ses instructions.
Le Conseil fédéral pilote les entreprises au moyen d'objectifs stratégiques assignés dans le respect des principes de gouvernement d'entreprise qu'il a édictés dans différents rapports (rapport du Conseil fédéral sur le gouvernement d'entreprise, FF 2006 7799; rapport du Conseil fédéral du 25 mars 2009 complétant le rapport sur le gouvernement d'entreprise; principes directeurs pour les entités devenues autonomes, FF 2009 2299). Au cours des dernières années, les bases ont été développée en permanence et adaptées à l'évolution des défis politiques et économiques auxquels l'entreprise est confrontée. Dans ce contexte, les entretiens personnels et les contacts informels complètent les dispositions de la LEAC et les objectifs stratégiques. Ils créent davantage de transparence, et les remarques ainsi que les directives qui en résultent permettent de mieux axer le rapport trimestriel établi par la direction du groupe RUAG sur les besoins de la Confédération en tant qu'actionnaire unique, sachant que ce rapport constitue la base sur laquelle se déroulent les entretiens avec le chef du DDPS. Ainsi, la société de cybersécurité Clearswift, que RUAG a achetée en 2016, fait désormais l'objet d'un rapport spécifique à ce segment.
Les dernières évolutions au niveau des entreprises ainsi que les débats et les interventions politiques ont poussé la Confédération à réexaminer son gouvernement d'entreprise. Celui-ci ne se limite pas à des réglementations administratives internes sur les compétences et les distinctions entre les départements spécialisés et l'AFF, mais il concerne également les conditions générales en vigueur sur le plan juridique et économique pour les entreprises proches de la Confédération. Cette zone de
6413
FF 2018
contact mérite aussi d'être examinée afin d'en déduire des possibilités de développement au niveau du gouvernement d'entreprise.
Dans cette optique, le Conseil fédéral a chargé le DFF d'organiser cet examen en collaboration avec le Département fédéral de l'environnement, des transports, de l'énergie et de la communication (DETEC) et le DDPS. Les résultats seront présentés au Conseil fédéral au deuxième trimestre 2019. Le rapport n'abordera cependant pas la question de la dissociation des activités informatiques (qui concerne avant tout RUAG), car elle ne fait pas partie du mandat.
6414