«L`informatique, c`est politique»

6
SUISSE
LeMatinDimanche I 24 FÉVRIER 2013
Interview Pierre Maudet milite pour une meilleure sécurité des données
Yvain Genevay
EN
DATES
1978
c Naissance
Pierre Maudet naît
à Genève. Il fera
ses études de droit
à Fribourg.
Une administration fiscale
ne doit-elle pas éviter que
ses données soient accessibles
à un sous-traitant étranger?
C’est la question que posait
l’enquête du «Matin
Dimanche», fin janvier, qui
montrait que des employés d’un
sous-traitant français avaient
eu accès à la base de données
des contribuables genevois.
Pierre Maudet, chef du
Département de la sécurité,
revient sur le dossier.
1999
c Première élection
Radical, il est élu
au Conseil municipal
de la Ville de Genève.
2005
c Etape nationale
Le Conseil fédéral
le nomme président
de la Commission
fédérale de l’enfance
et de la jeunesse
(CFEJ).
2007
c Exécutif
Il est élu conseiller
administratif
de la Ville de Genève.
Propos recueillis par Titus Plattner
et Ariane Dayer
2012
La tension fiscale entre la Suisse
et la France est à son comble
depuis deux ans. Le fait que
l’Administration fiscale genevoise
ait eu des connexions avec
la France ne dénote-t-il pas
une absence lourde
de sensibilité politique?
c Le canton
Il devient conseiller
d’Etat (PLR), succédant à Mark Muller.
Oui, clairement, il y a un risque. Mais
le risque existe pour toutes les catégories de personnel. Il faut pouvoir
analyser le pedigree des employés à
des postes sensibles, leur parcours,
les éventuelles zones d’ombre. Et il y a
aussi des questions à se poser sur les
sociétés. Mais c’est très compliqué.
On est corseté par les aspects légaux:
dans le cadre des marchés publics, on
ne peut légalement pas refuser l’offre
d’une société au seul motif qu’elle appartient à un groupe étranger.
Les données fiscales comptent
parmi les données les plus
sensibles aux mains de l’Etat.
Ne faudrait-il pas les protéger
complètement de toute possibilité
d’intrusion ou de fuite?
Contrôle qualité
données fiscales ne quittent jamais les
infrastructures sécurisées de l’Administration cantonale.
Quel délai vous donnez-vous?
Je veux être au clair au plus tard au
mois de juin sur l’ampleur du travail à
effectuer, et sur les coûts que cela
peut représenter. Et j’aimerais également sensibiliser les autres administrations. On a ciblé la DGSI comme
source de tous les maux, mais, en réalité, on a aujourd’hui à Genève un
problème de gouvernance des systèmes d’information, avec des départements qui ont leurs propres chapelles
et leurs sous-segmentations. Il y a
peut-être là un gaspillage de deniers
publics, ce que vérifiera la Cour des
comptes que j’ai saisie à cet effet.
Dans tous les cas, il faut absolument
un vrai pilotage politique.
Oui. Sur 635 employés, il y a 216 collaborateurs en location de service.
Cela représente presque 35% des employés. Je pense que c’est trop.
D’après nos informations, la
moyenne dans ce secteur est de 13%,
soit près de trois fois moins.
Vous mettez le doigt sur le besoin
de renforcement du pilotage
politique de ces dossiers liés à la
sécurité informatique. Mais on n’a
pas l’impression que cela intéresse
beaucoup de politiciens?
Pourquoi?
Le risque n’est pas tant
la nationalité mais le lien
économique: la filiale est détenue
à 100% par un groupe qui réalise
un cinquième de son chiffre
d’affaires avec l’Etat français et
qui a pour gros client les ministères
justement très impliqués
dans la récupération de ces
substrats fiscaux. Pour vous, est-ce
qu’il y aurait un risque oui ou non?
Je veux
augmenter les
effectifs de la brigade
de criminalité
informatique»
L’Etat de Genève n’a-t-il pas trop
externalisé ses prestations?
Non, la prétendue société française
n’en était pas une. L’entreprise avec
laquelle l’Etat de Genève a contracté
est une société genevoise inscrite au
Registre du commerce, soumise au
droit suisse. Même si elle est effectivement filiale d’un grand groupe,
dont la maison mère a son siège en
France. Mais cette question de la nationalité est un faux problème.
On compte aujourd’hui dans les systèmes d’information de l’Etat des fonctionnaires suisses habitant en Suisse,
des fonctionnaires français habitant
en Suisse, des fonctionnaires de nationalité française venant comme
frontaliers ou des Suisses habitant en
France. Nous avons également des
collaborateurs sous contrat de «location de services», qu’on a appelé à tort
des «sous-traitants»: ils travaillent
dans nos locaux et dépendent de la
hiérarchie de la Direction générale des
systèmes d’information (DGSI). Il y a
toujours un risque qu’une personne
viole son secret de fonction ou le secret fiscal, mais il n’y a pas de risque
spécifique sur une société simplement
parce qu’elle serait «française».
«
Pour Pierre
Maudet, il y a
encore du chemin
à parcourir en
matière de sécurité
informatique.
«L’informatique,
c’est politique»
Les données fiscales sont-elles
vraiment les plus sensibles? Je n’en
suis pas certain. Dans mon Département, les données de police ou les
données judiciaires me semblent
encore plus sensibles. Et ce ne sont
pas toujours les données en tant que
telles qui sont sensibles, mais
l’usage qu’une personne malveillante peut en faire.
C’est-à-dire?
Le souci de transparence a, par exemple, amené l’un de mes prédécesseurs
à mettre sur pied un système qui permet de savoir par SMS qui est le détenteur d’un véhicule, par exemple en
cas de touchette sur un parking. Il
suffit de taper le numéro de plaques.
Ça semblait pratique et très anodin.
Jusqu’au moment où l’on a découvert
qu’un cambrioleur en série, qui trouvait des clés dans une voiture, se servait de ce service facturé à 2 francs
pour pouvoir entrer dans le domicile
des personnes sans effraction. On
«
Une attaque,
en informatique, ce
n’est pas 120 tanks,
visibles aux
frontières, qui ont
leurs canons braqués
sur nous»
parle ici d’une donnée qui en soi n’est
pas problématique, mais dont l’usage
peut être grave.
Et qu’avez-vous fait?
J’ai décidé de mettre un terme à cette
pratique. Dorénavant, celui qui veut
savoir qui est détenteur d’une plaque
minéralogique doit le faire par courriel et motiver sa requête.
Et s’agissant du domaine
des données fiscales, qu’allez-vous
faire pour sécuriser les données?
En premier lieu, je précise que le système d’information fiscal genevois
est issu d’une excellente collaboration
entre le Département des finances et
le mien. Il fonctionne à la satisfaction
de l’office concerné, avec un grand
soin apporté à la sécurité des données,
ce que vérifie régulièrement l’Inspection cantonale des finances. On peut
toutefois encore améliorer cette sécurité en commençant par catégoriser
les données en fonction de leur degré
de sensibilité. Pas seulement pour leur
nature intrinsèque, mais aussi pour ce
qu’elles permettent de faire. Ensuite,
il faut crypter les données sensibles,
pour réduire le risque d’un accès à leur
contenu par des hackers. Enfin, il vaut
mieux anonymiser celles-ci lorsqu’on
les confie à nos développeurs, par
exemple pour faire évoluer le système
d’information. Pour qu’il n’y ait pas
d’ambiguïté, je précise encore que les
Non. D’abord parce que gérer ce dossier apporte beaucoup plus d’ennuis
que de popularité. Et parce que cela
reste un domaine virtuel. Une attaque, en informatique, ce n’est pas 120
tanks, visibles aux frontières, qui ont
leurs canons braqués sur nous, mais
dix hackers, planqués dans une salle
remplie d’ordinateurs. On ne mesure
pas exactement la menace. Peut-être
aussi que je suis plus sensible à cette
problématique que d’autres pour une
question de génération. Ça va vite.
Quand je vois mes enfants, je le constate. Pour ma fille de 4 ans, un magazine papier n’est qu’un iPad qu’on
n’arrive pas à allumer.
Au fond, votre message est simple:
l’informatique, c’est politique?
Oui. C’est politique, et il faut un pilote
dans l’avion. Depuis huit mois, je découvre les activités de toutes les brigades de la police judiciaire, dont celle
de la criminalité informatique. Quand
on voit la créativité négative et le degré de complexité du développement
criminel, on se dit qu’il y a encore du
chemin à parcourir. C’est pourquoi je
veux augmenter les effectifs de la brigade de criminalité informatique.
Genève a des soucis,
la Confédération aussi,
par exemple avec l’affaire du vol
de données au Service de
renseignement. Pourquoi la Suisse
ne prend pas suffisamment au
sérieux la sécurité des données?
La Suisse n’est pas pire que d’autres
pays dans ce secteur. Ce qui est paradoxal, chez nous, c’est que nous
sommes le pays du CERN, de Wisekey, de Kudelski, de l’EPFL… La
Suisse a les compétences qu’il faut,
mais elle ne les exploite pas. Comme
trop souvent, hélas. x