«L`informatique, c`est politique»
Transcription
«L`informatique, c`est politique»
6 SUISSE LeMatinDimanche I 24 FÉVRIER 2013 Interview Pierre Maudet milite pour une meilleure sécurité des données Yvain Genevay EN DATES 1978 c Naissance Pierre Maudet naît à Genève. Il fera ses études de droit à Fribourg. Une administration fiscale ne doit-elle pas éviter que ses données soient accessibles à un sous-traitant étranger? C’est la question que posait l’enquête du «Matin Dimanche», fin janvier, qui montrait que des employés d’un sous-traitant français avaient eu accès à la base de données des contribuables genevois. Pierre Maudet, chef du Département de la sécurité, revient sur le dossier. 1999 c Première élection Radical, il est élu au Conseil municipal de la Ville de Genève. 2005 c Etape nationale Le Conseil fédéral le nomme président de la Commission fédérale de l’enfance et de la jeunesse (CFEJ). 2007 c Exécutif Il est élu conseiller administratif de la Ville de Genève. Propos recueillis par Titus Plattner et Ariane Dayer 2012 La tension fiscale entre la Suisse et la France est à son comble depuis deux ans. Le fait que l’Administration fiscale genevoise ait eu des connexions avec la France ne dénote-t-il pas une absence lourde de sensibilité politique? c Le canton Il devient conseiller d’Etat (PLR), succédant à Mark Muller. Oui, clairement, il y a un risque. Mais le risque existe pour toutes les catégories de personnel. Il faut pouvoir analyser le pedigree des employés à des postes sensibles, leur parcours, les éventuelles zones d’ombre. Et il y a aussi des questions à se poser sur les sociétés. Mais c’est très compliqué. On est corseté par les aspects légaux: dans le cadre des marchés publics, on ne peut légalement pas refuser l’offre d’une société au seul motif qu’elle appartient à un groupe étranger. Les données fiscales comptent parmi les données les plus sensibles aux mains de l’Etat. Ne faudrait-il pas les protéger complètement de toute possibilité d’intrusion ou de fuite? Contrôle qualité données fiscales ne quittent jamais les infrastructures sécurisées de l’Administration cantonale. Quel délai vous donnez-vous? Je veux être au clair au plus tard au mois de juin sur l’ampleur du travail à effectuer, et sur les coûts que cela peut représenter. Et j’aimerais également sensibiliser les autres administrations. On a ciblé la DGSI comme source de tous les maux, mais, en réalité, on a aujourd’hui à Genève un problème de gouvernance des systèmes d’information, avec des départements qui ont leurs propres chapelles et leurs sous-segmentations. Il y a peut-être là un gaspillage de deniers publics, ce que vérifiera la Cour des comptes que j’ai saisie à cet effet. Dans tous les cas, il faut absolument un vrai pilotage politique. Oui. Sur 635 employés, il y a 216 collaborateurs en location de service. Cela représente presque 35% des employés. Je pense que c’est trop. D’après nos informations, la moyenne dans ce secteur est de 13%, soit près de trois fois moins. Vous mettez le doigt sur le besoin de renforcement du pilotage politique de ces dossiers liés à la sécurité informatique. Mais on n’a pas l’impression que cela intéresse beaucoup de politiciens? Pourquoi? Le risque n’est pas tant la nationalité mais le lien économique: la filiale est détenue à 100% par un groupe qui réalise un cinquième de son chiffre d’affaires avec l’Etat français et qui a pour gros client les ministères justement très impliqués dans la récupération de ces substrats fiscaux. Pour vous, est-ce qu’il y aurait un risque oui ou non? Je veux augmenter les effectifs de la brigade de criminalité informatique» L’Etat de Genève n’a-t-il pas trop externalisé ses prestations? Non, la prétendue société française n’en était pas une. L’entreprise avec laquelle l’Etat de Genève a contracté est une société genevoise inscrite au Registre du commerce, soumise au droit suisse. Même si elle est effectivement filiale d’un grand groupe, dont la maison mère a son siège en France. Mais cette question de la nationalité est un faux problème. On compte aujourd’hui dans les systèmes d’information de l’Etat des fonctionnaires suisses habitant en Suisse, des fonctionnaires français habitant en Suisse, des fonctionnaires de nationalité française venant comme frontaliers ou des Suisses habitant en France. Nous avons également des collaborateurs sous contrat de «location de services», qu’on a appelé à tort des «sous-traitants»: ils travaillent dans nos locaux et dépendent de la hiérarchie de la Direction générale des systèmes d’information (DGSI). Il y a toujours un risque qu’une personne viole son secret de fonction ou le secret fiscal, mais il n’y a pas de risque spécifique sur une société simplement parce qu’elle serait «française». « Pour Pierre Maudet, il y a encore du chemin à parcourir en matière de sécurité informatique. «L’informatique, c’est politique» Les données fiscales sont-elles vraiment les plus sensibles? Je n’en suis pas certain. Dans mon Département, les données de police ou les données judiciaires me semblent encore plus sensibles. Et ce ne sont pas toujours les données en tant que telles qui sont sensibles, mais l’usage qu’une personne malveillante peut en faire. C’est-à-dire? Le souci de transparence a, par exemple, amené l’un de mes prédécesseurs à mettre sur pied un système qui permet de savoir par SMS qui est le détenteur d’un véhicule, par exemple en cas de touchette sur un parking. Il suffit de taper le numéro de plaques. Ça semblait pratique et très anodin. Jusqu’au moment où l’on a découvert qu’un cambrioleur en série, qui trouvait des clés dans une voiture, se servait de ce service facturé à 2 francs pour pouvoir entrer dans le domicile des personnes sans effraction. On « Une attaque, en informatique, ce n’est pas 120 tanks, visibles aux frontières, qui ont leurs canons braqués sur nous» parle ici d’une donnée qui en soi n’est pas problématique, mais dont l’usage peut être grave. Et qu’avez-vous fait? J’ai décidé de mettre un terme à cette pratique. Dorénavant, celui qui veut savoir qui est détenteur d’une plaque minéralogique doit le faire par courriel et motiver sa requête. Et s’agissant du domaine des données fiscales, qu’allez-vous faire pour sécuriser les données? En premier lieu, je précise que le système d’information fiscal genevois est issu d’une excellente collaboration entre le Département des finances et le mien. Il fonctionne à la satisfaction de l’office concerné, avec un grand soin apporté à la sécurité des données, ce que vérifie régulièrement l’Inspection cantonale des finances. On peut toutefois encore améliorer cette sécurité en commençant par catégoriser les données en fonction de leur degré de sensibilité. Pas seulement pour leur nature intrinsèque, mais aussi pour ce qu’elles permettent de faire. Ensuite, il faut crypter les données sensibles, pour réduire le risque d’un accès à leur contenu par des hackers. Enfin, il vaut mieux anonymiser celles-ci lorsqu’on les confie à nos développeurs, par exemple pour faire évoluer le système d’information. Pour qu’il n’y ait pas d’ambiguïté, je précise encore que les Non. D’abord parce que gérer ce dossier apporte beaucoup plus d’ennuis que de popularité. Et parce que cela reste un domaine virtuel. Une attaque, en informatique, ce n’est pas 120 tanks, visibles aux frontières, qui ont leurs canons braqués sur nous, mais dix hackers, planqués dans une salle remplie d’ordinateurs. On ne mesure pas exactement la menace. Peut-être aussi que je suis plus sensible à cette problématique que d’autres pour une question de génération. Ça va vite. Quand je vois mes enfants, je le constate. Pour ma fille de 4 ans, un magazine papier n’est qu’un iPad qu’on n’arrive pas à allumer. Au fond, votre message est simple: l’informatique, c’est politique? Oui. C’est politique, et il faut un pilote dans l’avion. Depuis huit mois, je découvre les activités de toutes les brigades de la police judiciaire, dont celle de la criminalité informatique. Quand on voit la créativité négative et le degré de complexité du développement criminel, on se dit qu’il y a encore du chemin à parcourir. C’est pourquoi je veux augmenter les effectifs de la brigade de criminalité informatique. Genève a des soucis, la Confédération aussi, par exemple avec l’affaire du vol de données au Service de renseignement. Pourquoi la Suisse ne prend pas suffisamment au sérieux la sécurité des données? La Suisse n’est pas pire que d’autres pays dans ce secteur. Ce qui est paradoxal, chez nous, c’est que nous sommes le pays du CERN, de Wisekey, de Kudelski, de l’EPFL… La Suisse a les compétences qu’il faut, mais elle ne les exploite pas. Comme trop souvent, hélas. x