Gestion de la cyberattaque menée contre RUAG: évaluation de l'avis rendu par le Conseil fédéral le 28 septembre 2018 Rapport de la Commission de gestion du Conseil national du 19 novembre 2019
2019-4077
2467
FF 2020
Rapport 1
Introduction
Au printemps 2016, le public a été informé du fait que le groupe d'armement suisse RUAG1, aux mains de la Confédération, avait été la cible d'une cyberattaque lourde de conséquences sur la sécurité informatique. Dans la foulée, la Commission de gestion du Conseil national (CdG-N) a souhaité savoir si les services responsables essentiellement au Département fédéral de la défense, de la protection de la population et des sports (DDPS) et chez RUAG avaient fait preuve de la diligence requise dans leur recherche de solutions aux problèmes mis au jour par l'intrusion et si les mesures prises pour y remédier s'étaient révélées efficaces. En cours d'enquête, la commission a été confrontée à des questions concernant la défense des intérêts du propriétaire par la Confédération ainsi que le rôle du DDPS en sa qualité de représentant du propriétaire. Elle a décidé de les inclure dans ses travaux.
La CdG-N a présenté les résultats de son enquête dans son rapport du 8 mai 20182.
Elle y indique que, globalement, les services responsables en particulier le DDPS ont réagi de manière adéquate à la cyberattaque. Elle constate en revanche des lacunes en matière de défense des intérêts du propriétaire. Elle conclut ainsi que le DDPS dispose bien des instruments nécessaires pour piloter l'entreprise RUAG et faire valoir les intérêts du propriétaire, mais qu'il ne s'en est pas servi de manière appropriée. La CdG-N a donc invité le DDPS à se montrer plus ferme dans ses rapports avec RUAG et à défendre les intérêts de la Confédération avec plus de force. De surcroît, elle a adressé au Conseil fédéral trois recommandations qui visaient une amélioration du pilotage stratégique des entreprises et entités devenues autonomes.
Le 28 septembre 2018, le Conseil fédéral a rendu un avis sur le rapport et sur les recommandations de la CdG-N3. Compétente en la matière, la sous-commission DFAE/DDPS de la CdG-N a évalué cet avis puis procédé à de nouvelles clarifications, lors desquelles elle a exigé un complément d'informations écrit 4 et auditionné une nouvelle fois des représentants du DDPS, de RUAG et du Contrôle fédéral des finances (CDF)5.
1
2 3 4 5
RUAG (RUAG Holding SA) a été créée par voie législative en 1997 (loi fédérale sur les entreprises d'armement de la Confédération) sous la forme d'une entité devenue autonome. L'entreprise, qui appartient à 100 % à la Confédération, compte aujourd'hui près de 80 sites (dont la moitié à peu près se situent à l'étranger). Elle a réalisé en 2018 un chiffre d'affaires net de 1,998 milliard de francs et un bénéfice net de 74 millions de francs, dont 30 millions ont été versés à la Confédération sous forme de dividendes.
Bilan de la gestion de la cyberattaque menée contre RUAG. Rapport de la CdG-N du 8.5.2019 (FF 2018 4683).
Bilan de la gestion de la cyberattaque menée contre RUAG. Avis du Conseil fédéral du 28.9.2018 concernant le rapport de la CdG-N du 8.5.2018 (FF 2018 6409).
Notamment les procès-verbaux des entretiens avec le propriétaire et des ateliers stratégiques; à ce sujet, cf. ch. 2.3.
Auditions du 28.2.2019 (représentants de RUAG et du CDF), du 16.4.2019 (cheffe et secrétaire général du DDPS, représentants de RUAG) et du 1.7.2019 (cheffe et secrétaire général du DDPS).
2468
FF 2020
S'appuyant sur ces travaux, la CdG-N, réunie le 19 novembre 2019, a approuvé le présent rapport succinct à l'intention du Conseil fédéral et décidé de le publier6. Le projet de rapport a été soumis au DDPS dans le cadre d'une consultation de l'administration, afin de corriger d'éventuelles erreurs formelles et matérielles.
Le présent rapport est centré sur l'évaluation de l'avis rendu par le Conseil fédéral sur le premier rapport de la CdG-N et des mesures que celui-ci a lancées pour mettre en oeuvre les recommandations de la commission. Il tient compte du rapport d'experts sur le gouvernement d'entreprise de la Confédération d'avril 20197 dès lors que celui-ci présente des liens avec le rapport de la CdG-N8. Le Conseil fédéral avait demandé ce rapport d'experts l'année précédente et il l'a examiné le 26 juin 20199.
Le présent rapport ne porte en revanche pas sur l'évaluation des mesures concrètes ordonnées par le Conseil fédéral à la suite de la cyberattaque, celles-ci étant examinées par le Contrôle fédéral des finances (CDF)10. De même, le désenchevêtrement des réseaux de la Confédération et de RUAG ainsi que la dissociation des unités du groupe et sa future structure ne sont abordés ici que dans la mesure où l'évaluation de l'avis et des mesures du Conseil fédéral le requiert.
2
Évaluation de l'avis rendu par le Conseil fédéral et des mesures initiées
Dans l'avis qu'il a rendu le 28 septembre 2018, le Conseil fédéral indique qu'il partage l'appréciation et l'opinion de la CdG-N à maints égards. Il précise en particulier qu'il a continué de développer le gouvernement d'entreprise de RUAG. Ainsi, un atelier stratégique est organisé avec RUAG depuis 2017 en fonction des besoins, en complément des instruments de pilotage existants (cf. ch. 2.3).
La CdG-N s'est demandé si le changement à la tête du DDPS, intervenu le 1er janvier 2019, avait eu des répercussions sur le pilotage stratégique de RUAG et comment la passation de pouvoirs avait eu lieu. Elle a constaté que la nouvelle cheffe du DDPS entendait procéder de la même manière que son prédécesseur pour ce qui est du pilotage stratégique, mais qu'elle considérait qu'il fallait y consacrer davantage de ressources (cf. ch. 2.1 et 2.3.5). La commission a également noté que 6 7
8
9 10
Le projet de rapport reprend toutes les informations obtenues par la CdG-N jusqu'à la mi-août 2019.
Lienhard, Andreas; Rieder, Stefan; Sonderegger, Roger W.; Ladner, Andreas; Höchner, Claudia; Ritz, Manuel; Roose, Zilla (2019): Évaluation du gouvernement d'entreprise de la Confédération fondée sur l'analyse de quatre entreprises. Rapport final à l'intention de l'Administration fédérale des finances du 26.4.2019 (ci-après «Rapport d'experts sur le gouvernement d'entreprise de 2019»), p. 59.
Actuellement, les CdG examinent également des questions liées au gouvernement d'entreprise dans le cadre d'autres inspections et enquêtes (notamment l'inspection sur CarPostal et celle sur le mandat de Mme Ribar). Elles étudieront plus globalement ce thème à l'automne 2019 et se prononceront alors sur la façon dont elles entendent le suivre à l'avenir.
Le Conseil fédéral adopte des mesures à la suite du rapport d'experts sur le gouvernement d'entreprise. Communiqué de presse du Conseil fédéral du 26.6.2019.
La mise en oeuvre des mesures prises à la suite de la cyberattaque est examinée par d'autres services de la Confédération, en particulier le CDF.
2469
FF 2020
la cheffe du DDPS se déclarait satisfaite quant à la transmission du dossier RUAG, considérant que celui-ci était détaillé et complet. La cheffe du DDPS lui a par ailleurs indiqué qu'elle avait d'emblée participé à toutes les réunions organisées avec RUAG ainsi qu'aux ateliers portant sur le désenchevêtrement et la dissociation des activités du groupe.
L'avis et les mesures du Conseil fédéral concernant chacune des recommandations de la CdG-N sont exposés et évalués ci-après.
2.1
Mise en oeuvre de la recommandation 1
Dans son rapport de mai 2018, la CdG-N s'appuyait sur les constatations faites par le CDF qui, en examinant la mise en oeuvre des mesures prise à la suite de la cyberattaque, avait relevé des problèmes concernant l'objectif de désenchevêtrement des systèmes informatiques de la Confédération et de RUAG. La décision de dissocier les unités du groupe et de doter celui-ci d'une nouvelle structure n'avait pas encore été prise à l'époque. Dans ce contexte, la CdG-N avait préconisé au Conseil fédéral de tenir compte des conclusions du CDF dans les décisions qu'il prendrait par la suite, et formulé la recommandation suivante: Recommandation 1
Prendre en compte les principales conclusions dans le cadre du pilotage stratégique
La CdG-N invite le Conseil fédéral à examiner s'il est nécessaire, compte tenu des conclusions du CDF11, d'opérer certains changements stratégiques dans le cadre du pilotage de RUAG, notamment dans le cadre des décisions qui seront prises quant à la structure organisationnelle et la forme juridique de RUAG et quant à une éventuelle privatisation partielle de l'entreprise.
2.1.1
Dissociation des activités et nouvelle structure de RUAG
Le Conseil fédéral a approuvé cette recommandation. Dans son avis rendu le 28 septembre 2018, il indiquait que la dissociation des activités devait être opérée tant au niveau de l'organisation que de la structure juridique de RUAG Holding SA.
Il ajoutait qu'il avait d'ailleurs décidé en juin 2018 de séparer les secteurs pertinents pour le DDPS et l'Armée suisse et ceux qui sont présents sur le marché en deux unités d'affaires stratégiques indépendantes sur le plan juridique et financier. Sous l'égide d'une société de participation, les parties du groupe RUAG qui travaillent pour l'armée en tant que centre de compétences pour le matériel seraient réunies au 11
À la suite de la cyberattaque menée contre RUAG, le Conseil fédéral a ordonné différentes mesures et chargé le CDF d'examiner leur mise en oeuvre. Lors de cet examen, le CDF est parvenu notamment à la conclusion que le désenchevêtrement des réseaux de la Confédération et de RUAG s'avérait plus complexe et plus long qu'escompté et qu'il fallait en tenir compte dans les discussions sur la privatisation partielle de RUAG.
2470
FF 2020
sein d'une nouvelle société (MRO12 Suisse), tandis que les domaines d'activité tournés vers l'international seraient regroupés au sein d'une société séparée (RUAG International).
Le Conseil fédéral continuera de piloter la société de participation au travers des objectifs stratégiques qu'il définit. Il précise dans son avis que la nouvelle structure lui permettra de formuler des exigences plus précises à l'intention des deux unités MRO Suisse et RUAG International et de mieux mesurer les résultats. Le conseil d'administration de la société de participation, placée au-dessus des unités, continuera d'être élu par le Conseil fédéral: une partie de ses membres siégera au conseil d'administration de RUAG International et l'autre au conseil d'administration de MRO Suisse. Dans son avis, le Conseil fédéral évoque également la possibilité d'élire un cadre du DDPS au conseil d'administration de MRO Holding, lequel siégerait en plus au conseil d'administration de MRO Suisse (cf. ch. 2.3).
En dissociant les activités de RUAG et en dotant le groupe d'une nouvelle structure, le Conseil fédéral vise essentiellement à accroître la sécurité informatique. Il prévoit d'intégrer les systèmes informatiques de MRO Suisse dans les paramètres de sécurité du DDPS, plus précisément de l'armée. En revanche, RUAG International n'aura plus d'accès direct aux systèmes informatiques de l'armée, ni à ceux de MRO Suisse. Cette dernière pourra toutefois continuer d'assumer des mandats de tiers, dans des proportions limitées.
La cheffe du DDPS a indiqué à la sous-commission DFAE/DDPS que l'intégration des systèmes et données informatiques de RUAG dans le domaine informatique de l'armée s'avérait plus compliquée que prévu. Les données sont plus nombreuses que supposé et, par ailleurs, il faut être absolument certain qu'elles sont «propres», ce que l'on ne peut actuellement pas affirmer avec certitude. La cheffe du DDPS a expliqué que, pour avoir cette certitude, son département avait décidé de charger l'EPF Zurich de réaliser une expertise13. Deux audits effectués par le CDF en 2018 et en 2019 ont aussi montré que la sécurité informatique au sein de RUAG laissait encore à désirer.14 En 2018, le CDF a cherché à savoir si les exigences formulées par le DDPS en matière de sécurité avaient été mises en oeuvre au niveau des systèmes
informatiques des unités de RUAG exécutant des tâches pour l'Armée suisse. Il est parvenu à la conclusion que RUAG avait pris différentes mesures qui avaient entraîné ou allaient entraîner une amélioration de la sécurité informatique; néanmoins, d'importants aspects n'avaient pas encore été mis en oeuvre. Dans son rapport d'audit de 2019, le CDF s'est concentré sur le désenchevêtrement des réseaux et sur la réintégration des données de RUAG dans les systèmes de l'armée. S'il considère que la procédure définie en la matière est appropriée et pertinente, le CDF constate néanmoins que la migration constituera un processus lourd, dont la complexité sera encore accrue par l'absence de classification de certaines données, par les lacunes que présente l'inventaire général lorsqu'il existe et par les logiciels malveillants qui peuvent infecter certaines données et certains systèmes.
12 13 14
MRO = Maintenance, Repair and Overhaul (maintenance, réparation et révision).
Cf. procès-verbal de l'audition de la cheffe du DDPS et du secrétariat général du DDPS du 1.7.2019 (non publié).
Examen de la sécurité informatique de RUAG Holding SA. Rapports du CDF du 8.10.2018 et du 21.10.2019 (non publiés).
2471
FF 2020
2.1.2
Privatisation de RUAG International
Le Conseil fédéral a annoncé le 18 mars 201915 qu'il approuvait la méthode choisie pour la dissociation des unités de RUAG et la création de la nouvelle structure d'entreprise. Il s'est également prononcé en faveur de la transformation de RUAG International en un groupe aérospatial entièrement privatisé à moyen terme. Les unités d'affaires qui ne s'inscrivent pas dans la nouvelle orientation, parmi lesquelles figurent la fabrication de munitions et le domaine Cyber, seront placées dans un premier temps sous la direction de RUAG International, mais devront être vendues par la suite.
Le Conseil fédéral est d'avis que la procédure choisie prend en compte aussi bien les intérêts de l'armée que ceux de RUAG. Il indique en outre qu'elle permet de conserver en Suisse des procédés technologiques ultraspécialisés et les emplois correspondants. Parallèlement, les désinvestissements prévus et la privatisation sont l'occasion pour la Confédération de réduire ses risques financiers.
Lorsqu'ils ont été auditionnés en avril 2019, la cheffe du DDPS et les représentants de RUAG ont indiqué que la privatisation avait également pour but d'alimenter les caisses fédérales. Mais ils ont aussi souligné qu'elle renfermait des risques substantiels: étant donné que RUAG International est encore trop «petite» pour assurer son existence à l'échelle internationale, elle doit, selon les propos du président du conseil d'administration de RUAG, croître avant d'être privatisée, notamment en réalisant des acquisitions16. Les ressources financières nécessaires à cette croissance proviendraient notamment de la vente des unités qui n'auront plus leur place dans la nouvelle structure.
2.1.3
Évaluation de la CdG-N
Il faut tout d'abord préciser que la CdG-N n'examine ni n'évalue ci-après dans le détail les décisions du Conseil fédéral, d'autant plus qu'elle ne connaît qu'une partie des bases sur lesquelles elles sont fondées.
Globalement, la CdG-N note avec satisfaction que, à la suite de la cyberattaque, le Conseil fédéral a étudié attentivement la question de l'enchevêtrement des réseaux ainsi que celle de la structure et de l'évolution de RUAG, pour finalement prendre une décision stratégique, ce qui fait partie de ses missions de propriétaire. Compte tenu des informations dont elle dispose, la CdG-N considère que la décision sur la dissociation des unités du groupe RUAG est compréhensible et judicieuse sur le fond, en particulier pour des raisons de sécurité (informatique).
La CdG-N n'en relève pas moins différents sujets et aspects qui soulèvent des questions et devraient être encore approfondis: 15 16
Le Conseil fédéral décide de l'avenir du groupe technologique RUAG. Communiqué de presse du Conseil fédéral du 18.3.2019.
Cf. procès-verbal de l'audition des représentants de RUAG du 16.4.2019 (non publié) et dans le même ordre d'idées: «Es wird klingeln in der Bundeskasse», interview/article dans la Neue Zürcher Zeitung du 29.3.2019.
2472
FF 2020
La première de ces questions est celle de l'intégration du système informatique et des données de RUAG dans les paramètres de sécurité de l'armée, en particulier la «propreté» de ces données. Le DDPS a lancé une vérification complémentaire visant à garantir que les données à intégrer ne contiennent plus de logiciels malveillants et que l'intégration des données puisse être réalisée avec succès. Le CdG-N se félicite de cette démarche et attend du département que, le cas échéant, il prenne d'autres mesures en se fondant sur les conclusions de cette vérification.
Le deuxième aspect porte sur les mandats de tiers que MRO Suisse doit continuer à assumer. Ceux-ci sont nécessaires, selon le Conseil fédéral, pour que l'entreprise conserve son savoir et reste compétitive. Pour des raisons de sécurité informatique, ces mandats pourraient cependant poser problème et donner lieu à de nouveaux enchevêtrements. Par conséquent, la CdG-N estime que le Conseil fédéral devrait suivre attentivement cette problématique.
La troisième question concerne la représentation de la Confédération au conseil d'administration de RUAG et de ses nouvelles unités. Elle est détaillée dans l'évaluation de l'avis rendu par le Conseil fédéral au sujet de la recommandation 3 (cf. ch. 2.3.4).
La privatisation de RUAG et les risques qu'elle renferme pour la Confédération soulèvent d'autres questions. Le Conseil fédéral prendra bientôt différentes décisions à ce sujet. La CdG-N attend de lui, plus précisément du DDPS et de l'AFF, qu'ils se livrent à un examen attentif et critique des coûts et recettes qui sont attendus de la privatisation. En effet, les recettes que la vente des unités devenues superflues et la privatisation ultérieure de RUAG rapporteront et les investissements qui doivent être réalisés avant la privatisation reposent obligatoirement sur des estimations, lesquelles peuvent cependant évoluer rapidement si le contexte ou la situation sur le marché changent. Le Conseil fédéral doit donc veiller à ce que, dans ce processus, les intérêts du propriétaire et, au final, ceux du contribuable soient préservés le mieux possible. Il devra si nécessaire remettre en question les bases décisionnelles et les modifier le cas échéant.
La CdG-N est convaincue que les décisions à venir et la transformation de RUAG représentent des défis de taille pour la Confédération en sa qualité de propriétaire.
Elle attend donc du DDPS et de l'AFF qu'ils accompagnent étroitement ce processus, avec le recul nécessaire. Dans ce contexte, elle salue la décision d'ores et déjà prise par la cheffe du DDPS d'augmenter considérablement les ressources humaines consacrées au sein du secrétariat général du DDPS (SG DDPS) au pilotage de RUAG et à la dissociation de ses activités, décision qui est du reste conforme à une recommandation formulée dans le rapport d'experts sur le gouvernement d'entreprise de la Confédération17, que le Conseil fédéral a approuvée sur le fond18.
17 18
Rapport d'experts sur le gouvernement d'entreprise de 2019: recommandation 11, p. 90 (cf. note de bas de page 7).
Évaluation du rapport d'experts «Évaluation du gouvernement d'entreprise de la Confédération fondée sur l'analyse de quatre entreprises». Rapport du Conseil fédéral en réponse à la lettre des Commission de gestion du Conseil national et du Conseil des États du 4.7.2019, pp. 1315.
2473
FF 2020
2.2
Mise en oeuvre de la recommandation 2
Dans son rapport de mai 2018, la CdG-N demandait au Conseil fédéral d'accorder à l'avenir une plus grande attention au problème d'imbrication des réseaux informatiques et formulait à ce propos la recommandation suivante: Recommandation 2
Prendre en compte le problème du désenchevêtrement des réseaux dans la perspective des externalisations futures et dans le cadre des principes régissant le gouvernement d'entreprise
La CdG-N invite le Conseil fédéral à garantir que le problème du désenchevêtrement des réseaux sera dûment pris en compte dans le contexte des externalisations futures. Il déterminera plus spécifiquement si la question de l'imbrication des réseaux ne devrait pas entrer dans les critères décisifs appliqués aux projets d'externalisation ou être prise en compte dans les prescriptions et rapports établis en matière de gouvernement d'entreprise.
Dans l'avis qu'il a rendu le 28 septembre 2018, le Conseil fédéral écrit qu'il partage l'opinion de la CdG-N et accordera une attention particulière au problème de l'imbrication des réseaux lors des externalisations. Il pense cependant qu'il n'est pas nécessaire de compléter les principes de gouvernement d'entreprise en la matière, car il a d'ores et déjà la possibilité d'édicter, dans les objectifs stratégiques, des prescriptions sur la dissociation ou l'imbrication d'activités. Le Conseil fédéral souligne de plus que les mesures qu'il a ordonnées à la suite de la cyberattaque consistent notamment à examiner les imbrications entre les systèmes informatiques de la Confédération et ceux d'autres entités devenues autonomes. Il ajoute que l'imbrication étroite entre la Confédération et RUAG représente un cas bien particulier. En outre, les règles concernant la protection et la sécurité de l'information devraient être améliorées grâce à la nouvelle loi sur la sécurité de l'information (LSI)19. Par conséquent, le Conseil fédéral considère que la recommandation est déjà mise en oeuvre.
Cette réponse ne convainc pas entièrement la CdG-N, qui déplore tout d'abord le fait que les experts n'ont pas tenu compte du problème de l'enchevêtrement dans leur examen du gouvernement d'entreprise ordonné par le Conseil fédéral. La commission constate par ailleurs que les Chambres fédérales, en l'occurrence le Conseil national, considèrent jusqu'à présent d'un oeil critique le projet de loi sur la sécurité de l'information, si bien que nul ne peut dire si une telle loi sera adoptée par le Parlement ni quand elle entrera en vigueur20.
19 20
Message concernant la LSI (FF 2017 2765).
Le Conseil national a décidé, en mars 2018, de ne pas entrer en matière sur le projet de loi; de son côté, le Conseil des États confirmait, en septembre 2018, sa volonté d'entrer en matière. Dans ces conditions, la CPS-N a décidé, en octobre 2018, d'entrer en matière sur le projet. Cependant, elle a décidé dans le même temps de suspendre l'examen du projet et chargé le DDPS de lui présenter d'ici la fin du premier semestre 2019 un projet remanié. Elle a examiné celui-ci à l'automne 2019 et le Conseil national devrait examiner cet objet à la session d'hiver 2019.
2474
FF 2020
De plus, la CdG-N tient à indiquer que l'avis rendu par le Conseil fédéral laisse sans réponse une question essentielle: celui-ci souligne certes qu'il est d'ores et déjà possible d'édicter dans les objectifs stratégiques des prescriptions concernant le désenchevêtrement des systèmes informatiques, mais il ne dit pas s'il compte prendre des mesures en la matière. La commission invite donc le Conseil fédéral à lui expliquer s'il a intégré ou intègrera le problème dans les objectifs stratégiques portant sur les entités devenues autonomes et comment il entend procéder.
2.3
Mise en oeuvre de la recommandation 3
La CdG-N conclut dans son rapport du 8 mai 2018 que, si les instruments nécessaires à la défense des intérêts du propriétaire face à RUAG existent, ils ne sont pas utilisés de manière judicieuse. Elle a donc formulé la recommandation suivante: Recommandation 3
Recourir de manière judicieuse aux instruments de pilotage pour défendre les intérêts du propriétaire
La CdG-N demande au Conseil fédéral d'expliquer par quels moyens il entend veiller à une mise en oeuvre judicieuse des instruments de pilotage et donc à une défense plus résolue des intérêts du propriétaire.
Le pilotage stratégique, en particulier, ne doit pas avoir lieu à l'occasion de contacts informels, mais dans le cadre des entretiens avec le propriétaire. La CdG-N demande aussi que les discussions et décisions importantes soient consignées par écrit. Enfin, elle attend du Conseil fédéral qu'il envisage très sérieusement, au vu des défis à relever, d'introduire (au moins passagèrement) au conseil d'administration de RUAG un représentant qui suivrait ses instructions.
Dans son avis du 28 septembre 2018, le Conseil fédéral renvoie à ses principes de gouvernement d'entreprise qui, au cours des dernières années, ont été régulièrement développés et adaptés à l'évolution des défis économiques et politiques auxquels l'entreprise est confrontée. Il ajoute que les dernières évolutions et les récents problèmes l'ont poussé à demander un réexamen de fond de ces principes.
Le rapport des experts chargés de cet examen est disponible depuis le printemps 201921. En s'y référant, le Conseil fédéral parvient à la conclusion que son modèle de pilotage a fait ses preuves et que les instruments existants lui suffisent pour exercer son rôle de propriétaire. Il explique que les experts n'ont identifié un potentiel d'amélioration que dans quelques domaines et formulé des recommandations correspondantes. Il s'est appuyé sur cette base pour adopter diverses mesures, tout en précisant qu'il considère que d'autres recommandations sont déjà mises en oeuvre22.
Les CdG vont se livrer à un examen approfondi de ce rapport et des mesures lancées par le Conseil fédéral. Pour l'heure, les chapitres suivants sont consacrés à l'utili21 22
Rapport d'experts sur le gouvernement d'entreprise de 2019, cf. note de bas de page 7.
Communiqué de presse du Conseil fédéral du 26.6.2019.
2475
FF 2020
sation des instruments de pilotage et à la défense des intérêts du propriétaire dans le cadre du pilotage de RUAG. La CdG-N, par l'intermédiaire de la sous-commission compétente, s'est renseignée sur l'atelier stratégique, un instrument nouvellement introduit, et sur les changements généraux intervenus dans le pilotage stratégique de RUAG. Pour cela, elle a notamment étudié les procès-verbaux des ateliers stratégiques et des entretiens avec le propriétaire23. S'appuyant sur cette base et sur les auditions qu'elle a menées, elle a dressé les constatations présentées ci-après.
2.3.1
Ateliers stratégiques
Dans son avis du 28 septembre 2018, le Conseil fédéral indique que, en vue de renforcer la défense des intérêts du propriétaire, le DDPS organise chaque année depuis 2017, en collaboration avec RUAG, un atelier stratégique qui doit permettre un débat approfondi sur les questions stratégiques. À titre d'exemple, celui de 2018 a porté sur les conséquences de la cyberattaque et le développement futur de RUAG, pendant que l'édition de 2019 était consacrée à la dissociation des activités de RUAG et à sa nouvelle orientation stratégique.
La CdG-N conclut des procès-verbaux des trois ateliers stratégiques organisés à ce jour que les ateliers servent effectivement à examiner des questions stratégiques (les entretiens avec le propriétaire sont plutôt l'occasion d'informer sur la marche des affaires). Il ressort en outre de ces procès-verbaux que l'entreprise RUAG s'est plainte à diverses reprises du cadre qui lui est imposé et des orientations politiques, qu'elle juge restrictifs. Les représentants du DDPS lui ont clairement fait comprendre que le cadre imposé n'était pas à l'ordre du jour. Les documents obtenus ne permettent cependant pas à la CdG-N de savoir dans quelle mesure les conclusions tirées des ateliers stratégiques ont été ensuite utilisées, notamment si elles ont servi de base aux décisions stratégiques.
Dans leur rapport sur le gouvernement d'entreprise de la Confédération24, les experts soulignent que, selon les personnes qu'ils ont interrogées, l'atelier stratégique a été mis en place pour créer un espace de débats prospectifs. Ces mêmes personnes expliquent que cette possibilité fait défaut lors des entretiens avec le propriétaire, qui sont très rétrospectifs. Du reste, les parties prenantes considèrent que l'atelier stratégique est un «bon instrument». Elles remarquent toutefois qu'il n'a pas vocation à servir d'instrument de pilotage sur le long terme, mais a été créé dans la perspective de la dissociation des structures de RUAG. Il sera donc appelé à disparaître lorsque cette dissociation aura eu lieu. Les experts indiquent par ailleurs que ces ateliers stratégiques ne sont prévus ni par une loi spéciale ni dans les statuts, et qu'ils sont exogènes à la répartition des compétences prévue dans le droit de la société anonyme25 23
24 25
La sous-commission compétente a analysé les procès-verbaux et les listes des affaires en cours relatifs aux entretiens avec le propriétaire des années 2016, 2017 et 2018 ainsi que du premier semestre 2019 (14 entretiens et procès-verbaux) ainsi que les procès-verbaux des trois ateliers stratégiques organisés en 2017, 2018 et 2019.
Rapport d'experts sur le gouvernement d'entreprise de 2019, p. 59 (cf. note de bas de page 7).
Ibid., p. 51 (cf. note de bas de page 7).
2476
FF 2020
La CdG-N pense que ces ateliers peuvent être judicieux compte tenu de la situation actuelle et des défis à venir, et qu'ils constituent un bon complément aux entretiens institutionnalisés avec le propriétaire. Mais elle est aussi d'avis que ces derniers devraient être mieux utilisés pour mener des discussions prospectives sur les questions stratégiques.
2.3.2
Entretiens avec le propriétaire et listes de affaires en cours
Selon la CdG-N, il ressort clairement des procès-verbaux des entretiens de RUAG avec le propriétaire que ces entretiens ont évolué positivement et n'ont plus la même utilité qu'avant. Ils servent toujours à informer de la marche des affaires mais aussi, et de plus en plus, à aborder des thèmes d'actualité ou des problèmes (changements au sein de la direction du groupe et participations potentiellement sensibles à l'étranger, par ex.). Les entretiens ont en outre donné lieu à plusieurs reprises à des demandes d'informations plus précises formulées par le DDPS à RUAG.
Ces demandes figurent dans les listes des affaires en cours qui accompagnent les différents entretiens. Celles-ci servent de base aux entretiens avec le propriétaire et sont mieux gérées et utilisées depuis 2017 (mise à jour régulière, liste abordée au début de chaque entretien).
La CdG-N se félicite de cette évolution.
2.3.3
Entretiens personnels entre la cheffe ou le chef du DDPS et le président du conseil d'administration de RUAG
Des entretiens personnels entre l'ancien chef du DDPS et le président du conseil d'administration de RUAG ont été organisés en 2017 après chaque entretien avec le propriétaire; tel n'a pas toujours été le cas en 2016 et 2018.
Bien que la CdG-N ait critiqué l'absence de procès-verbal établi à l'issue de ces entretiens ce que les experts considèrent également comme problématique dans leur rapport sur le gouvernement d'entreprise26 la nouvelle cheffe du DDPS a maintenu cette pratique. Elle a indiqué à la CdG-N qu'elle ne menait pas d'entretiens informels et que chaque entretien était consigné dans un procès-verbal, faute de quoi le risque existait de voir des informations passer à la trappe ou être interprétées différemment après coup27. Néanmoins, le procès-verbal de l'entretien avec le propriétaire de mars 2019 révèle que la cheffe du DDPS et le président du conseil d'administration de RUAG se sont entretenus par la suite, mais que leur discussion n'a pas fait l'objet d'un procès-verbal. Le procès-verbal du dernier entretien avec le propriétaire dont dispose la CdG-N celui de mai 2019 ne mentionne plus aucun 26 27
Rapport d'experts sur le gouvernement d'entreprise de 2019, p. 64 (cf. note de bas de page 7).
Audition de la cheffe du DDPS du 16.4.2019 dans le cadre de la réunion avec RUAG.
2477
FF 2020
entretien personnel dans l'ordre du jour. La cheffe du DDPS a indiqué qu'elle avait mené deux entretiens bilatéraux depuis début 2019, dont le but était d'apprendre à mieux se connaître28.
Le Conseil fédéral explique dans son avis que les entretiens personnels et les contacts informels viennent compléter les instruments de pilotage formels; ils créent davantage de transparence et permettent de mieux axer le rapport trimestriel sur les besoins de la Confédération en tant qu'actionnaire unique.
La CdG-N ne peut pas se contenter de la réponse du Conseil fédéral. Elle ne comprend notamment pas en quoi les entretiens informels améliorent la transparence. De plus, le Conseil fédéral ne réagit pas de manière adéquate à la critique concernant l'absence de procès-verbaux et de traçabilité.
Dans le cadre de son enquête sur les irrégularités comptables chez CarPostal Suisse SA, la Commission de Gestion du Conseil des États (CdG-E) a également mis le doigt sur des problèmes liés aux entretiens informels ne faisant pas l'objet de procès-verbaux. Elle demande par conséquent au Conseil fédéral, dans son rapport du 12 novembre 201929, de veiller à ce que tous les entretiens entre les représentants de la Confédération et les entités devenues autonomes par conséquent y compris les entretiens informels soient consignés de manière adéquate, de sorte que leur contenu soit retraçable (par la suite). La CdG-N appuie cette demande et invite le Conseil fédéral à prendre les mesures requises.
2.3.4
Présence d'un représentant de la Confédération au conseil d'administration de RUAG
Dans l'une de ses recommandations, la CdG-N se demande si, au vu des difficultés concernant le pilotage de RUAG et des défis à relever, il pourrait être judicieux de faire entrer un représentant de la Confédération au conseil d'administration de l'entreprise (au moins pour une durée limitée). La Confédération pourrait y faire valoir directement ses intérêts et aussi obtenir des informations de première main.
Dans son avis du 28 septembre 2018, le Conseil fédéral lui répond qu'il sera possible d'élire au conseil d'administration de la nouvelle RUAG Holding un cadre du DDPS, lequel pourrait aussi siéger au conseil d'administration de MRO Suisse. Mais il ne donne pas plus de précisions.
La CdG-N regrette que le Conseil fédéral n'approfondisse pas cet aspect dans son avis et ne présente pas les avantages et les inconvénients d'une telle solution. Cela soulève des questions étant donné que, dans son communiqué de presse sur la dissociation des activités de RUAG, daté du 27 juin 2018 (soit trois mois environ avant de rendre son avis), le Conseil fédéral écrivait encore qu'il accueillait favorablement la proposition de RUAG «de faire siéger un représentant du DDPS au conseil d'administration de MRO Suisse et de MRO Holding». Visiblement, le Conseil 28 29
Lettre envoyée par la cheffe du DDPS le 9.10.2019 dans le cadre de la consultation de l'administration.
Irrégularités comptables chez CarPostal Suisse SA Considérations du point de vue de la haute surveillance parlementaire, Rapport de la CdG-E du 12 novembre 2019.
2478
FF 2020
fédéral a de nouveau changé d'avis, peu de temps après, au sujet de cette représentation de la Confédération, sans détailler dans son avis les raisons de cette volteface.
La cheffe du DDPS a indiqué à la CdG-N en avril 2019 que le DDPS estime que cette solution n'est pas nécessaire, notamment au vu de la future structure du groupe.
Elle a expliqué que les deux nouvelles unités de RUAG seront regroupées sous un même toit, au sein d'une nouvelle société de participation détenue à 100 % par la Confédération. Elle a ajouté que le Conseil fédéral désignera les cinq membres du conseil d'administration de cette société de participation, ceux-ci élisant de leur côté les membres du conseil d'administration des deux unités (environ sept membres). La cheffe du DFAE a alors précisé que le Conseil fédéral aurait ainsi «la maîtrise totale» de l'ensemble. Et de conclure que si les membres du conseil d'administration ne se conduisaient pas comme escompté par le Conseil fédéral, ils ne seraient pas réélus l'année suivante30.
La CdG-N prend note de cette argumentation, tout en constatant que RUAG était d'ores et déjà détenue à 100 % par la Confédération et que le Conseil fédéral désignait déjà les membres du conseil d'administration. Or, selon elle, des problèmes sont survenus à différentes reprises lorsqu'il s'est agi de faire valoir les intérêts du propriétaire et, à sa connaissance, ils sont restés sans conséquences pour les membres du conseil d'administration.
Par conséquent, la CdG-N invite le Conseil fédéral à lui expliquer pourquoi, contrairement à ce qu'il déclarait dans son communiqué de presse du 27 juin 2018, il a décidé de renoncer à faire siéger un représentant de la Confédération au conseil d'administration de la future RUAG Holding et de MRO Suisse. La commission prie en outre le Conseil fédéral de lui dire à quel moment il considère que les conditions sont réunies pour l'élection d'un représentant de la Confédération au conseil d'administration de RUAG (ou d'une autre entité devenue autonome).
2.3.5
Ressources du SG DDPS consacrées au pilotage de RUAG
Comme évoqué plus haut, la nouvelle cheffe du DDPS a constaté, après avoir pris ses nouvelles fonctions, le manque de ressources consacrées au pilotage de RUAG au sein du SG DDPS. Par le passé, une personne était chargée du dossier, et encore ne l'était-elle même pas à plein temps. La cheffe du DDPS a expliqué que c'était insuffisant, notamment du fait de la dissociation des activités et du développement en cours de RUAG. C'est la raison pour laquelle un «responsable de projet Désenchevêtrement» a été engagé dès 2018, sous l'ancien chef du DDPS donc, en guise de solution transitoire. Après son entrée en fonction, la nouvelle cheffe du département a décidé, en procédant à des restructurations internes au sein du SG DDPS, d'augmenter les ressources consacrées notamment au pilotage de RUAG et de mettre sur pied, à cette fin, une petite équipe composée de deux postes et rattachée au domaine Politique de sécurité.
30
Cf. procès-verbal de l'audition de la cheffe du DDPS et du secrétaire général du DDPS du 16.4.2019 (non publié).
2479
FF 2020
La CdG-N salue cette décision. Elle attend du DDPS que, grâce à ses ressources supplémentaires, il suive attentivement, avec le recul nécessaire, la transformation à venir et les défis qui l'accompagnent (cf. ch. 2.1.3).
2.3.6
Récapitulatif
La CdG-N conclut des explications ci-dessus que des améliorations ont été apportées au pilotage stratégique de RUAG. À la suite de la cyberattaque et dans le cadre des travaux liés à la question de la dissociation des activités de RUAG, le DDPS s'est rendu compte que les ressources consacrées au pilotage stratégique de l'entreprise n'étaient pas suffisantes. La CdG-N prend donc note avec satisfaction de leur augmentation prochaine. Elle considère par ailleurs que l'introduction d'un nouvel instrument de pilotage l'atelier stratégique dans le cadre duquel les questions stratégiques peuvent être réellement discutées est une mesure positive. Elle se demande cependant dans quelle mesure les enseignements tirés de ces ateliers ont servi de base décisionnelle par la suite ou ont été pris en considération dans les entretiens avec le propriétaire. Il n'en demeure pas moins et c'est positif que les entretiens avec le propriétaire semblent être eux aussi mieux préparés et mieux utilisés aujourd'hui, puisqu'ils ne servent plus uniquement à informer les représentants de la Confédération de la marche des affaires, mais permettent au DDPS d'y défendre plus activement les intérêts de la Confédération en tant que propriétaire.
Comme déjà évoqué au ch. 2.1, la CdG-N pense que la transformation engagée par RUAG représente un défi de taille pour le DDPS et l'AFF. Elle attend donc de ceuxci qu'ils dégagent les ressources humaines nécessaires à l'accompagnement de ce développement tout en veillant attentivement à ce que les intérêts du propriétaire soient préservés, à ce titre, le DDPS doit informer le Conseil fédéral de tout changement de la situation afin que celui-ci puisse le cas échéant vérifier et adapter les décisions prises jusque-là ainsi que le calendrier (ambitieux) de la dissociation et de la nouvelle structure de RUAG. Une telle marche à suivre s'avèrerait par exemple nécessaire si le contrôle supplémentaire des données réalisé par l'EPF de Zurich (cf. ch. 2.1.1) venait à montrer que les données de RUAG qui devront être transférées dans les paramètres de sécurité de l'armée contiennent encore des programmes malveillants. Elle serait également nécessaire si les prévisions de recettes que la vente et la privatisation d'unités de RUAG devraient permettre d'engranger s'avéraient trop optimistes. Le DDPS, avec l'AFV, a une grande responsabilité en la matière et la CdG-N attend de lui qu'il l'assume.
2480
FF 2020
3
Conclusion et suite de la procédure
Compte tenu des questions encore en suspens, la CdG-N a décidé, lors de sa séance du 19 novembre 2019, de continuer à suivre attentivement cette thématique. Elle invite le Conseil fédéral à prendre position sur le présent rapport d'ici au 20 février 2020 au plus tard. Elle le prie par ailleurs de l'informer à cette même échéance des derniers développements et des dernières décisions prises en relation avec RUAG.
19 novembre 2019
Au nom de la Commission de gestion du Conseil national: La présidente de la CdG-N, Doris Fiala, conseillère nationale La présidente de la sous-commission DFAE/DDPS, Ida Glanzmann-Hunkeler, conseillère nationale La secrétaire des CdG, Beatrice Meli Andres La secrétaire de la sous-commission DFAE/DDPS, Céline Andereggen
2481
FF 2020
Abréviations AFF
Administration fédérale des finances
CDF
Contrôle fédéral des finances
CdG
Commissions de gestion des Chambres fédérales
CdG-E
Commission de gestion du Conseil des États
CdG-N
Commission de gestion du Conseil national
DDPS
Département fédéral de la défense, de la protection de la population et des sports
DFAE
Département fédéral des affaires étrangères
EPF
École polytechnique fédérale
FF
Feuille fédérale
Ibid.
Ibidem
2482