97.003
Evénements au sein du DMF (EBG 95) Rapport de la Délégation des Commissions de gestion du Conseil national et du Conseil des Etats
du 13 novembre 1996
Introduction
Le 24 janvier 1996, le Ministère public de la Confédération (MP) a arrêté le colonel d'état-major général (EMG) à la retraite Friedrich Nyffenegger ainsi que diverses personnes civiles pour présomption de délits présumés contre le patri- moine. Il y avait simultanément présomption de violation de prescriptions régissant la protection des informations. Le 26 janvier, le Département militaire fédéral (DMF) a publié à ce sujet un communiqué de presse, suivi le 29 janvier par un second communiqué et des informations supplémentaires. Le 22 février, le MP et le juge d'instruction militaire ont donné des informations sur l'état de l'enquête en cours qui aurait permis de confirmer les présomptions de corruption, d'irrégu- larités financières, d'abus de confiance et de violation de secrets militaires.
750
1997 - 227
Rapport
Mandat, organisation et procédure I
1 Mandat et compétences de la délégation des Commissions de gestion
1.1 Mandat général selon la loi sur les rapports entre les conseils
La délégation des Commissions de gestion (dél CdG) est une délégation per- manente des Commissions de gestion des deux Conseils. Elle a pour mandat d'examiner régulièrement en détail les activités dans le domaine de la sécurité de l'Etat et du renseignement (art. 47 quinquies, 2e al., de la loi sur les rapports entre les conseils - LREC). Après avoir entendu le Conseil fédéral, la délégation a le droit d'exiger que des autorités fédérales et cantonales et des particuliers lui remettent des documents, et elle a le droit d'interroger des fonctionnaires fédéraux et des particuliers à titre de personnes tenues à renseigner ou de témoins sans prendre en considération le secret militaire. La seule réserve dans ce domaine concerne la protection des sources de données émanant d'autorités étrangères. De plus, la délégation peut interroger des fonctionnaires cantonaux à titre de personnes tenues de renseigner (art. 47quinquies, 4e al., LREC).
1.2 Mandat particulier
Le 11 mars 1996, le Bureau du Conseil national a rejeté la proposition du groupe écologiste qui demandait l'institution d'une Commission d'enquête parlementaire (CEP) afin d'examiner les événements au sein du DMF. Il a décidé de contrôler ces événements au moyen des organes de contrôle ordinaires et d'assurer la mise à disposition de moyens financiers ainsi que de personnel supplémentaires. Le 14 mars 1996, le Bureau du Conseil des Etats a approuvé cette procédure.
Le 22 mars 1996, la Commission de gestion a défini le programme et a réparti les tâches de la manière suivante:
La délégation des deux commissions de gestion se charge de l'aide-mémoire électronique pour le service d'état-major général (EBG - Elektronischer Behelf für den Generalstabsdienst) et du système d'alarme des gardes-fortifications.
La section Autorités de la CdG du Conseil des Etats (CdG-CE) concentre ses activités dans les domaines concernant DIDACTA, les commémorations DIA- MANT ainsi que la documentation pédagogique, y compris la problématique concernant les fonds de parrainage dans les services officiels.
La section Autorités élargie de la CdG du Conseil national (CdG-CN) examine les pratiques du DMF en matière d'achats et d'avancement ainsi que ses activités d'information et de relations publiques.
La coordination de ces travaux est assurée par une conférence des présidents de commissions et de sections.
751
2 Organisation
La dél CdG s'est organisée de la manière suivante:
Président CN Werner Carobbio, vice-président CE Bernhard Seiler,
Membres de la délégation CE Hans Danioth, CE Franz Wicki, CN Hans Meier, CN Peter Tschopp,
Secrétariat (la secrétaire de la CdG Mariangela Wallimann-Bornatico, les rédactrices des procès-verbaux Jocelyne Besson (f), Elfriede Probst (d), Irene Moser (d), la secrétaire Daniela Fiechter ainsi que Me Hans Baumgartner, avocat, à titre d'expert),
pour les questions de nature technique dans le domaine de l'informatique, la délégation a eu recours à Lukas Fässler, responsable des services d'organisation et d'informatique du canton de Lucerne, à titre d'expert.
3 Déroulement des travaux
3.1 Généralités
Du 7 février au 22 octobre 1996, la délégation a travaillé sur l'aide-mémoire électronique pour le service d'état-major général lors de 17 séances plénières. A titre de représentant de la délégation, le président a en outre participé à six séances de coordination sous la direction du conseiller national Peter Tschopp. La délégation a entendu 29 personnes à titre de personnes tenues de renseigner (voir liste des personnes interrogées en annexe). Elle a rencontré le chef du DMF lors de six discussions. Le 26 juin 1996, elle a organisé la présentation des versions noire et rouge du CD-ROM EBG 95 en présence de Monsieur Lukas Fässler, expert en informatique à qui elle a fait appel. En ce qui concerne le projet des systèmes militaires d'information et de conduite (projet MILFIS - Militärisches Führungs-Informationssystem), la délégation a demandé un rapport, rapport qui a été rédigé par le Groupement de l'armement.
Au sujet des événements en rapport avec le «système d'alarme des gardes- fortifications», la délégation a également demandé un rapport. Ce dernier lui est parvenu le 5 juillet 1996. En outre, la délégation a eu à ce sujet un entretien avec l'auditeur en chef et avec Monsieur Kurt Müller du Groupement de l'armement (GdA). La délégation procédera à des examens supplémentaires dans ce domaine.
Le présent rapport de la délégation présente les résultats de l'enquête, les responsabilités et les lacunes institutionnelles constatées. Il est adressé aux commissions de gestion des deux conseils et soumet des recommandations de nature organisationnelle et juridique (cf. chap. III. Recommandations).
3.2 Mesures préventives
Afin de tenir compte de l'instruction ordonnée le 18 octobre 1995 ainsi que les mesures de contrainte qui y sont liées, la délégation n'a pas jugé nécessaire de prendre des mesures préventives à son tour. Après un premier courrier de la délégation, daté du 7 mars 1996, le chef du DMF l'a régulièrement tenue au courant des mesures qu'il prenait.
752
3.3 Secret
Les membres de la délégation, les secrétaires et les rédactrices des procès-verbaux sont tenus au secret en ce qui concerne les documents secrets qui ont été produits ainsi que les dépositions des fonctionnaires soumis au secret de fonction en vertu de la loi sur le statut des fonctionnaires ou du secret militaire selon l'article 47 quinquies, 6e alinéa, LREC. Les experts mandatés ont été obligés au secret en les rendant attentifs aux articles 16 du règlement du Conseil des Etats et 24 du règlement du Conseil national ainsi qu'à l'article 61, 5e alinéa, LREC.
3.4 Indépendance des membres de la délégation
Les membres de la délégation ont constaté qu'ils n'ont aucun lien, ni de nature privée, ni de nature professionnelle susceptible d'interférer avec les affaires faisant l'objet du présent rapport.
3.5 Auditions
Lors de sa séance du 11 avril 1996, la dél CdG a décidé que les personnes devant être entendues le seraient en tant que personnes tenues de renseigner. La délégation a renoncé à faire usage de son droit de faire appel au témoignage (art. 307 CP). La procédure choisie s'est avérée opportune, surtout lorsque l'enquête militaire préliminaire a été élargie à des personnes qui avaient déjà été citées à comparaître par la délégation. Un procès-verbal détaillé a été dressé pour chaque audition.
3.6 Documents
Les documents demandés par l'entremise du secrétariat des CdG auprès de l'organisme de contact mis en place par le chef du DMF, respectivement auprès de la personne de liaison, ont constitué une base de travail importante. Dans tous les cas, les documents consultés étaient des copies.
4 Relations avec d'autres autorités, services de l'administration et personnes privées
4.1 Conseil fédéral
Le droit du Conseil fédéral d'être entendu selon l'article 47quinquies, 4℃, 6º et 7º alinéas, LREC a été respecté. Le chef du DMF a participé à six entretiens avec la délégation, partiellement avec les sections Autorités des deux conseils.
Sur la base de ses investigations, la délégation n'a pas estimé devoir entendre l'ancien chef du DMF, le conseiller fédéral Kaspar Villiger.
Par courrier du 30 octobre 1996, le Conseil fédéral a pris position sur le rapport des commissions.
0
753
4.2 Département militaire fédéral
Les rapports administratifs de la délégation ont intégralement transité par le secrétariat des CdG. En la personne de Monsieur Stefan Aeschimann, le chef du DMF a désigné une personne de liaison qui était également responsable de l'organisme de contact ad hoc «LUX» spécialement mis en place. Par décision du 3 avril 1996, le Conseil fédéral avait formellement chargé le DMF de remettre à la délégation tous les documents concernant l'objet de son enquête.
4.3 Enquête administrative du DMF
Le 21 février 1996, le chef du DMF a ordonné l'ouverture d'une enquête administrative concernant la nomination de l'ancien colonel EMG Friedrich Nyffenegger en tant que chef du projet DIAMANT. Monsieur René Bacher, préposé spécial au traitement des documents établis pour assurer la sécurité de l'Etat, a été chargé de l'enquête. Le 21 mars 1996, le chef du DMF a élargi le cadre de l'enquête administrative au «système d'avancement en vigueur dans l'armée et au DMF» ainsi qu'à «la surveillance financière au DMF» en rapport avec les projets DIAMANT et DIDACTA. L'aide-mémoire électronique pour le service d'état-major général (EBG) / CD-ROM y a été explicitement intégré. L'enquête a été achevée et le rapport terminé à fin août 1996.
4.4 Investigations internes à l'administration du DMF
Le 30 janvier 1996, le chef du DMF a chargé le chef de l'état-major général de procéder à des investigations au sein de l'administration dans le domaine de l'«aide-mémoire électronique pour le service d'état-major général (EBG): concept de sécurité et prescriptions concernant le secret». Ces investigations ont été conduites par le divisionnaire Markus Rusch, CEM suppléant, qui a rendu son rapport écrit le 9 février.
4.5 Enquête pénale militaire
La délégation s'est informée sur l'enquête pénale militaire en cours auprès de l'auditeur en chef, le brigadier Jürg van Wijnkoop, ainsi qu'auprès du juge d'instruction, le major Michael Eichmann.
4.6 Ministère public de la Confédération
La délégation a également demandé à Madame Carla Del Ponte, procureur de la Confédération, de l'orienter au sujet de la procédure d'enquête judiciaire en cours. Cette procédure concerne des faits qui ne tombent que de manière limitée dans le domaine des investigations de la délégation. C'est la raison pour laquelle elle n'avait aucune raison de s'en occuper de manière approfondie.
754
4.7 Droit d'être entendu
Toutes les personnes interrogées ont reçu une copie du procès-verbal pour prise de connaissance et pour contrôle. De plus, les personnes concernées ont eu le droit de prendre connaissance du rapport afin de prendre position.
755
II Aide-mémoire électronique pour le service d'état-major général (EBG 95)
5 Planification
5.1 Idée et mandat
L'EBG est un moyen de conduite et d'instruction pour l'état-major, respective- ment pour ses officiers. L'aide-mémoire conventionnel dans sa forme imprimée, classifié Confidentiel, est constitué de trois classeurs en format DIN A5 qui comprennent au total environ 800 pages et tirés à 1600 exemplaires. L'actualisa- tion se faisait par échange de pages volantes et les coûts annuels de mise à jour se montaient à environ 250 000 francs. Durant les cours d'état-major général (C EMG), les méthodes d'instruction dépassées ont été critiquées, principalement par les officiers plus jeunes. C'est de cette critique, du moins c'est ce qui semble être le cas, qu'est née l'idée d'utiliser un support électronique pour cet aide- mémoire. L'idée qu'il serait possible d'atteindre plusieurs objectifs simultané- ment, soit de créer un support pédagogique moderne, de remplacer la version imprimée si peu pratique et de procéder à l'adaptation à Armée 95 a suscité un certain enthousiasme parmi les personnes concernées, enthousiasme qui a ac- compagné l'EBG 95 au-delà même de sa réalisation.
Selon le règlement interne, le commandant des cours d'état-major général, le brigadier Paul Meyer depuis 1991, était responsable de l'aide-mémoire électro- nique pour le service d'état-major général. Pour cette tâche, le colonel EMG Friedrich Nyffenegger lui a été subordonné en tant que collaborateur dès le 1er janvier 1993.
Le 10 mars 1993 et le 7 avril 1993, la Conférence pour l'armement (CPA) a été orientée sur la «nouvelle édition informatisée de l'aide-mémoire pour le service d'état-major général», et la proposition correspondante lui a été présentée. La CPA a chargé le chef de projet suppléant de MILFIS de répertorier les besoins et les solutions possibles au niveau de la conférence des spécialistes, de les dévelop- per en tenant compte de leur pondération et de les présenter à la CPA du 7 avril 1993 sous forme d'une nouvelle proposition.
Le projet EBG 95 n'a pas fait l'objet d'un mandat écrit.
5.2 Direction du projet et mandat à la société Furrer und Partner AG
Le brigadier Paul Meyer a donc transféré dans la ligne la direction du projet pour l'EBG 95 au colonel Friedrich Nyffenegger qui lui semblait être l' «homme de la situation» en raison de ses activités en tant que chef des projets DIDACTA et DIAMANT ainsi qu'en tant qu'ancien chef de la Section instruction de l'état- major du Groupement de l'instruction.
Le 17 juin 1993, la Conférence informatique du DMF a approuvé un projet présenté par l'Etat-major du Groupement de l'état-major général (EM GEMG) concernant l'EBG et avait prévu que l'investissement pour le concept et l'analyse
756
préliminaire se monterait à environ 400 000 francs. La Conférence informatique était d'accord de regrouper analyse préliminaire (englobant normalement un large éventail de variantes) et concept (limité à la variante choisie).
Le chef de projet, le colonel Friedrich Nyffenegger, avait fait la connaissance de Monsieur Gustav Furrer de Furrer und Partner AG en 1984/85, dans le cadre de l'enseignement assisté par ordinateur. Ils ont depuis lors entretenu des relations d'amitié et, en 1987/88 ils ont réalisé ensemble le projet DIDACTA, une exposition de l'armée consacrée aux moyens didactiques modernes. En 1989, ils ont également collaboré dans le cadre du projet DIAMANT consacré à la commémoration du cinquantenaire de la mobilisation de guerre. Monsieur Gustav Furrer était officier spécialiste du Groupe renseignements du DMF. A l'EPFZ, il a suivi les cours d'informatique du professeur Carl August Zehnder qui était à l'époque officier EMG faisant partie du groupe d'évaluation et qui a participé à la présentation aux médias de l'EBG 95. Selon ses dires, il exécutait «régulièrement des travaux et des mandats dans le domaine des systèmes militaires d'information et de conduite». Il a décrit sa société Furrer und Partner AG comme étant un pionnier du multimédia.
Avec le contrat du 28 juin 1993, le commandant des cours d'état-major a tout d'abord confié à la société Furrer und Partner AG, le mandat d'exécuter une étude de projet. Cette étude avait pour objet de fournir des renseignements sur la faisabilité du projet et de le préciser de manière à pouvoir ensuite réaliser un cahier des charges et procéder à une mise en soumission détaillée. Des honoraires plafonnés à 58 000 francs ont été convenus. L'étude du projet a été terminée le 24 septembre 1993. Une analyse préliminaire de la société ASIT datée du 18 octobre 1993 concernant le domaine des applications spécialisées en fait égale- ment partie.
Le chapitre secret, protection et sécurité de l'étude du projet, soulignait le changement de situation du point de vue qualitatif entre la version papier et la version CD-ROM de l'aide-mémoire:
«- Compacité: le CD-ROM permet d'enregistrer un grand volume de données sur un support de petite taille, donc facilement transportable.
Combinaisons: la forme électronique permet à la fois de relier entre elles des données de l'EBG et de relier des données de l'EBG à des données externes. De telles liaisons peuvent générer des informations supplémentaires éven- tuellement sujettes à protection.
Reproductibilité: les données électroniques sont automatisées et peuvent être copiées, sans que cela soit remarqué, sur d'autres supports de données digi- taux.»
La volonté de ne pas transférer de données secrètes sur le CD-ROM était à la base de l'étude du projet. Ce dernier prévoyait en outre que les «données sensibles» seraient chiffrées et ne pourraient être décodées qu'au moyen de cartes cryptologiques. Trois variantes ont été étudiées. La première ne comprenait pas de protection, la deuxième prévoyait deux CD-ROM (c'est celle qui a ensuite été réalisée) et la troisième était basée sur des données chiffrées pouvant être décodées au moyen de cartes cryptologiques. Le rapport d'étude spécifiait que le choix de la variante devait se faire «d'entente avec le OCS».
757
L'analyse préliminaire de la société ASIT au sujet du domaine des applications. spécialisées comprenait quelques paragraphes consacrés au répertoire des ou- vrages (point 4.4, p. 23 ss) et à la mobilisation (point 4.6, p. 31). La faisabilité de ces deux projets a été clairement affirmée. Au sujet des données concernant la mobilisation, il a été souligné qu'elles pouvaient être reprises sans peine étant donné qu'elles étaient déjà numérisées. Les deux groupes de données ouvrages fixes et mobilisation, entre autres, ont également été intégrés dans l'évaluation des coûts. Tenant compte des besoins des officiers d'état-major général, l'étude du projet était favorable à une version de base complète comprenant toutes les applications dès le départ.
Lors de la description des groupes de données effectuée par l'ASIT, il a chaque fois été indiqué qui était responsable des données ainsi que leur classification. L'Office fédéral du génie et des fortifications a été désigné comme responsable des données pour les ouvrages, classifiées Confidentiel/Secret, le GEMG a été désigné comme responsable des données de mobilisation, classifiées Confidentiel. Le groupe de données OB/OEMT comprenant toutes les donnés de base de l'organisation de l'armée ainsi que les effectifs a également été classifié Confiden- tiel. L'analyse préliminaire de l'ASIT prévoyait que la préparation des données concernant les groupes de données sur les ouvrages, le répertoire d'occupation territoriale et la mobilisation serait effectuée par du personnel effectuant des CR. Il était prévu de faire exécuter tous les travaux de routine par des soldats effectuant un CR.
Le 4 octobre 1993, le brigadier Paul Meyer, en tant que commandant des cours d'état-major général a proposé à la Conférence informatique du DMF d'accepter le projet de saisir et de rédiger immédiatement le nouveau contenu ainsi que l'acquisition d'un système de production idoine pour le prix d'environ 50 000 francs. La partie de la demande consacrée à la situation initiale relevait la forte pression due aux délais très courts. La Conférence informatique du DMF ne connaissait pas le contenu exact du CD-ROM. C'est la raison pour laquelle elle n'a pas pu aller plus au fond des choses en matière de sécurité. C'est le brigadier Paul Meyer qui a explicitement pris la responsabilité du contenu du CD-ROM.
Lors de sa séance du 21 octobre 1993, la Conférence informatique a adopté la procédure proposée en émettant deux réserves. Elle a d'abord exprimé qu'elle attendait l'élaboration rapide d'un concept établi selon les normes HERMES («avec indication claire des unités de calcul, des besoins financiers par année et d'un calcul de rentabilité»). Ensuite, elle a décidé qu'aucun mandat de pro- grammation externe ne serait attribué avant la présentation de ce concept. La Conférence informatique ne voulait pas de logiciel individuel car elle craignait des incompatibilités ultérieures avec MILFIS. Peu de temps auparavant, le directeur de l'Office fédéral des troupes de transmission avait, par lettre, attiré l'attention sur des problèmes de compatibilité entre l'EBG et MILFIS. Toutefois le procès- verbal précise que pour tenir compte de la pression du temps, il convenait de commencer tout de suite avec la saisie des données et la rédaction du contenu.
Appréciation:
Aucun élément négatif n'a été relevé ou avancé en ce qui concerne le choix et la compétence des entreprises privées mandatées. En ce qui concerne l'ampleur du projet
758
!
!
'EBG 95, les deux documents de base (étude du projet et analyse préalable de l'ASIT) permettaient déjà de se rendre compte de ce que le CD-ROM allait contenir. La remarque sur la modification qualitative de la situation du point de vue de la compacité du support, des combinaisons des données et de leur reproductibilité a été clairement et catégoriquement formulée. La marge de manœuvre concernant la décision relative à la variante choisie respectivement la protection des informations grâce à l'implication de l'Office central du DMF pour la protection et la sécurité (OCS) étaient également clairement formulées. Ce qui manquait et qui ne saurait être du domaine de responsabilité des entreprises privées mandatées, c'était un concept de sécurité concomitant au projet (cf. points 6.4 et 8.2 infra).
5.3 Déroulement de l'acquisition selon HERMES
Dans le cas. de l'EBG 95, il s'agissait tout d'abord d'une acquisition selon les principes d'HERMES par la Conférence informatique du DMF. Selon les direc- tives informatiques du chef de l'état-major général, l'OCS en tant qu'office spécialisé doit assurer la protection des informations. La sécurité des moyens informatiques doit en revanche être assurée par les directeurs des offices fédéraux et les commandants des grandes unités qui sont chargés d'élaborer un concept de sécurité fixant les aspects de la sécurité informatique (art. 3 des directives informatiques). L'article 9 de ces directives prescrit que les demandes de nou- veaux moyens informatiques ou la mise mis en œuvre de tels moyens doivent faire l'objet de garanties en matière de sécurité. Avant qu'un projet puisse être accepté, l'office spécialisé en matière de protection des informations, l'OCS, doit contrôler et évaluer les mesures de sécurité prévues à l'attention de l'instance décisionnelle (article 10 des directives informatiques).
Ainsi, les directives informatiques instituent une double responsabilité en matière de protection des informations. Premièrement celle du responsable suprême du projet, dans le cas de l'EBG 95 il s'agit du chef de l'état-major général en tant que responsable des données (sans possibilité de délégation vers le bas), deuxième- ment celle de l'OCS en tant qu'instance de contrôle. La responsabilité de la Conférence informatique du DMF est dégagée dans la mesure où l'OCS avait émis la garantie en matière de sécurité avant qu'elle autorise le projet informa- tique, ce qui, dans le cas de l'EBG 95, ne saurait être mis en doute.
D'après ses propres dires, le brigadier Paul Meyer s'est fié au fait que l'OCS était intégré dans les phases de réalisation et de production et donc responsable de toutes les mesures concernant la sécurité. Il avait conclu à l'intégration de l'OCS d'abord parce que, le 28 octobre, lorsqu'il avait lui-même informé les offices fédéraux intéressés et l'EDMZ (Eidgenössische Drucksachenmaterialzentrals- telle, Office central fédéral des imprimés et du matériel) au sujet du projet EBG 95, l'OCS avait participé à cette séance. D'autre part, le colonel Friedrich Nyffenegger l'avait assuré que «l'OCS collaborait au projet et que les aspects concernant la sécurité étaient assurés». Les déclarations du chef de projet, le colonel Friedrich Nyffenegger vont dans le même sens: «A mon avis, la responsa- bilité de l'observation et de l'accomplissement des prescriptions de sécurité est exercée par l'OCS. ( ... ) Pour moi, l'intégration de l'OCS dans le cadre du projet était déterminante. ( ... ) Etant donné que nous avions intégré l'OCS dès le début,
759
j'ai admis que cet office interviendrait si quelque chose ne devait pas se dérouler selon ses attentes».
L'OCS était présent lors de la séance d'information du 29 mars 1993 au sujet de l'EBG qui avait été convoquée par le commandement des cours d'état-major. Tous les rédacteurs responsables des offices et des services fédéraux concernés y avaient été conviés. Dans l'ancien aide-mémoire, le domaine de rédaction incombant à l'OCS concernait le chapitre sur le secret. Le 13 août 1993, au siège du commandement des cours d'état-major général, un entretien au sujet de la sauvegarde du secret a réuni les représentants des sociétés Furrer und Partner AG et ASIT, Monsieur Wolfgang Frei, chef de projet suppléant MILFIS, ainsi que le responsable de l'instruction de l'OCS, à ce moment là, il s'agissait de Monsieur Heinz Oesch.
Appréciation:
Le fait que l'OCS ait contrôlé les garanties en matière de sécurité ne décharge pas le responsable du projet de sa propre responsabilité en matière de protection des informations. Comme les explications ci-après le montrent, il y avait des défauts en matière de protection des informations et le concept de sécurité manquait pour les deux phases de mise en place du projet, soit le conditionnement des données et la production (fabrication et livraison du CD-ROM). Par ailleurs, le concept de Furrer und Partner AG, concept sur lequel l'OCS s'était basé pour l'octroi de la garantie en matière de sécurité, ne concernait que l'utilisation de l'EBG 95. Si la «check list» pour les directives du chef de l'état-major général concernant la protection des informations lors de l'utilisation des moyens informatiques, édition août 1990, contient de nombreuses indications pour l'utilisation correcte de moyens informatiques existants, elle ne contient en revanche rien sur la production de nouveaux moyens informa- tiques. Le chef de projet et son supérieur hiérarchique, le commandant des cours d'état-major général, n'ont pas relevé cette lacune grevant la phase de planification et se sont fiés à l'évaluation de l'OCS qui a octroyé les garanties en matière de sécurité sans émettre de réserve (cf. point 5.4 infra). Le chef de l'état-major général ne peut pas se soustraire non plus au reproche de n'avoir pas consacré l'attention nécessaire dès le démarrage du projet EBG. En tant que responsable de l'aide-mémoire pour le service d'état-major général et des données que ce dernier contient, il aurait dû se soucier des aspects problématiques liés au nouveau support. L'étude de projet de Furrer und Partner AG avait déjà clairement souligné la situation différente du point de vue qualitatif que la réalisation d'un CD-ROM entraînerait. C'est la raison pour laquelle il aurait fallu accorder une grande importance au concept de sécurité et de protection. Cette indication claire et importante au vu des applications concernées n'a pas été perçue et n'a donc fait l'objet d'aucune mise en œuvre. Il s'agit là d'une importante négligence dont la portée est considérable.
5.4 Garanties en matière de sécurité en lieu et place de concept de sécurité
Pour la demande du projet EBG 95 basé sur un déroulement de l'acquisition selon HERMES, les garanties en matière de sécurité étaient obligatoires. Le chef de projet a souligné qu'il avait rempli les exigences de l'OCS, c'est-à-dire qu'il avait
760
fourni les garanties en matière de sécurité qui étaient nécessaires. En revanche en ce qui concerne le concept de sécurité, aucun délai ne lui avait été fixé. Pour Monsieur Martin Hügli, responsable de l'OCS, les prescriptions concernant les garanties en matière de sécurité étaient également respectées dans le cas de l'EBG 95.
Le 21 janvier 1994, le collaborateur de l'OCS compétent, Monsieur Franz Karli ratifiait les «garanties de sécurité en matière de demande de moyens informa- tiques» pour le projet EBG 95. Ces garanties de sécurité prévoyaient que les données traitées par le système auraient au maximum la classification Confiden- tiel. Les mesures de sécurité prévues n'ont pas été spécifiées, mais elles ont été reconnues réalisables en renvoyant au chapitre 6 du concept.
En condensé, le chapitre 6, Protection des informations et des données du concept (sous forme d'un rapport substantiel) de la société Furrer und Partner AG du 20 janvier 1994, prévoyait ceci:
Principes de base
«- Le CD-ROM ne comprend aucune donnée secrète.
Les données sensibles sur le CD-ROM seront protégées au moyen de mesures de protection et de sécurité particulières.
Seul un nombre limité de CD-ROM sera produit, les CD-ROM seront numéro- tés et leur remise sera contrôlée par le commandement des cours d'état-major général.
Des directives spéciales rendront les destinataires de l'EBG 95 personnelle- ment responsables de l'usage du CD-ROM.»
Solution protégée: éditions «ROUGE» et «BLANCHE»
Sous le titre ci-dessus, il était tout d'abord constaté que l'objectif du chiffrage et l'utilisation d'une carte cryptologique n'était pas assuré pour des raisons tech- niques et financières, raison pour laquelle il était prévu de produire deux éditions du CD-ROM, l'une classifiée Secret contenant des données sensibles et l'autre, classifiée Confidentiel ne contenant pas de données sensibles. Il y a ensuite des directives sur l'usage des CD-ROM (p. ex. remise du CD-ROM classifié Secret seulement pour une durée limitée et uniquement à des officiers EMG dans le cadre d'une école ou de cours).
Concept de sécurité
«Le commandement des cours d'état-major général développe et garantit un concept de sécurité sur la base des points précédents».
Appréciation:
Le concept de sécurité concernait l'utilisation de l'EBG 95, c'est-à-dire sa remise aux utilisateurs (cf. points 6.4 et 8.2 infra). Un tel concept n'était pas encore nécessaire lors de la phase de planification. En revanche, les garanties en matière de sécurité ont été produites. Elles prouvent que l'OCS a été intégré dans le projet et y a collaboré. Ce qui fait réfléchir, c'est la forme sous laquelle ces garanties ont été produites et acceptées par l'OCS. Bien qu'il s'agisse d'un projet informatique, il n'a pas du tout été tenu compte de la problématique particulière à une base de données électronique. Seules
51 Feuille fédérale. 149e année. Vol. III
761
ont été mentionnées la classification des données traitées par le système (Confidentiel au maximum) et l'édition limitée à 1600 CD-ROM. Ce schéma n'était à la hauteur ni des besoins en matière de sécurité, ni du potentiel de risque. Le renvoi au concept de base était également insuffisant. Ce dernier qualifiait de «solution protégée» une solution qui ne prévoyait en fait que l'édition de deux sortes de CD-ROM et que celle contenant des données sensibles porterait le label de classification Secret. Dans ce cadre-là et à plusieurs égards, l'OCS mérite le reproche d'avoir failli à son devoir et à ses responsabilités en matière de sécurité de l'informatique. Il aurait dû entreprendre sa propre évaluation du projet sous l'aspect notamment de la sécurité informatique, afin de pouvoir, sur ces bases, définir et imposer un standard de sécurité approprié. Il faut reprocher à l'OCS, en tant qu'office spécialisé, de n'avoir pas, durant la phase de planification, posé les jalons qui ont par la suite manqué au projet et qui auraient été indispensables. A sa décharge, il faut tenir compte du fait qu'en matière de personnel, l'OCS ne dispose pas de l'effectif nécessaire à l'accomplissement des tâches qui lui sont dévolues.
5.5 Groupe d'évaluation
La direction du projet s'est fait conseiller par un groupe de travail ad hoc constitué de plusieurs officiers EMG spécialistes de l'informatique, deux profes- seurs d'université et du chef de la Section informatique du GEMG. Ce groupe a fait des propositions, mais sa responsabilité n'est pas engagée.
5.6 Présentation lors du rapport d'état-major général
Le 30 mars 1994, le brigadier Paul Meyer et le colonel Friedrich Nyffenegger ont présenté le concept et le contenu de l'EBG 95 au commandant de corps Arthur Liener, aux participants du rapport du chef de l'état-major général et aux représentants du Groupement de l'armement. L'ouvrage de référence, les applica- tions spécialisées et la rédaction des ordres ont été les objets de cette présentation sur grand écran. Cette dernière a été suivie d'une large discussion lors de laquelle Messieurs Gustav Furrer (Furrer und Partner AG) et Rudolf Hänni (ASIT) ainsi que le major EMG Peter Ursprung ont répondu aux questions techniques. La discussion a concerné d'une part le contenu (les effectifs, la mobilisation, les barrages) et d'autre part les deux versions du CD-ROM en fonction du degré de classification des données contenues. «Dans tous les cas», selon le colonel Friedrich Nyffenegger, les participants à la démonstration devaient s'être claire- ment rendus compte que les applications spécialisées ‹mobilisation> et ‹ouvrages> feraient partie des données contenues sur le CD-ROM, «car toutes ces choses ont été présentées». «Lors de la démonstration, un échantillon (un ouvrage, un règlement, une carte etc.) à l'échelle 1:1 a été présenté et le contenu prévu a été exposé, tout comme les deux domaines secrets devant être contenus sur la version rouge du CD-ROM.»
La démonstration du 30 mars 1994 a été perçue de manière différente par les participants. Pour le brigadier Paul Meyer, c'est à cette occasion que le chef de l'état-major général a donné son feu vert à la réalisation du CD-ROM en deux
762
1
versions. Il aurait, à cette occasion également, autorisé l'intégration des cartes nationales. Le colonel Friedrich Nyffenegger a également souligné l'importance de cette démonstration. Le chef de l'état-major général aurait voulu voir un échantillon de l'EBG 95 avant de prendre sa décision définitive: «Une fois qu'ils avaient vu la démonstration, les représentants des offices fédéraux, les sous-chefs d'état-major et les supérieurs hiérarchiques du brigadier Meyer étaient persuadés que le choix du support électronique était le bon. ( ... ) Je me souviens de cette démonstration, car c'est à ce moment là, que l'idée a été acceptée et que la décision de réaliser l'EBG est tombée». Effectivement le colonel Friedrich Nyffenegger avait relevé dans une notice datée du 4 mai 1994, que le projet avait rencontré un avis généralement favorable.
Selon cette notice, le chef de l'état-major général se serait prononcé ainsi (citation partielle):
«- Le chef de l'état-major général s'est déclaré satisfait du stade et de la qualité atteints par le projet EBG. Il voit dans la forme prévue pour l'EBG 95 une solution valable pour remplacer l'actuel aide-mémoire.
Il accepte la proposition que, après les expériences dans le cadre du cours d'état-major I/94, cet aide-mémoire (EBG 95) soit remis aux officiers EMG sous forme d'un CD-ROM ainsi que, de manière réduite, sous forme imprimée.
Que la question de la sauvegarde du secret continue d'être coordonnée avec l'OCS et que, le cas échéant, une proposition sera faite.
Le chef de l'état-major général donne son feu vert pour la suite du projet et la réalisation de l'EBG 95 pour le cours d'état-major général I/94 et la remise du CD-ROM et d'une version imprimée au 1er janvier 1995».
La présentation de ces mêmes événements par le chef de l'état-major général lors de son audition par la délégation était nettement plus retenue. Il n'a pas été question de décision positive ni même d'un «feu vert». Tout d'abord, le chef de l'état-major général a reconnu que «cette affaire ne me (le CEMG) touchait pas spécialement. Il s'agissait d'une affaire de routine, comme bien d'autres.» A cette introduction il a ajouté (citation intégrale): «Le 30 mars 1994, le projet m'a été présenté à l'arsenal fédéral de Berne, dans le cadre d'un rapport du chef de l'état-major général. J'ai fait une note: ‹Bon travail préparatoire>. Des problèmes non résolus, la question de la sauvegarde du secret doit m'être soumise pour décision. Jusqu'au mois de janvier de cette année, c'est-à-dire jusqu'au moment où le Ministère public de la Confédération et le juge d'instruction militaire m'ont posé la question, je ne m'étais pas spécialement occupé de ce problème».
Dans sa prise de position du 1er novembre, le chef de l'état-major général présente les raisons qui ne l'ont pas poussé à intervenir directement dans le domaine du projet EBG. Il souligne principalement les points forts de ses activités de conduite durant la période concernée (armée 95 et DMF 95), ainsi que sa pondération différente des responsabilités dans le projet EBG et dans les domaines de la protection et de la sécurité des informations.
Appréciation:
La présentation du 30 mars 1994 est caractéristique de tout le déroulement du projet. Un rapport d'état-major général a été valorisé par la présentation d'un nouvel
763
instrument technique d'instruction et de conduite. A cette occasion, la décision sur la poursuite du projet a été prise, sans qu'une discussion détaillée ait eu lieu sur les problèmes liés au contenu et à la question de la protection des données. Outre la notice rédigée un mois plus tard par le chef de projet, il n'y a aucun document qui aurait pu être consulté au sujet du déroulement futur et du contrôle de la réalisation du projet. L'ordre du chef de l'état-major général de continuer de coordonner la question de la sauvegarde du secret avec l'OCS a été donné sans connaissance des mesures de sécurité qui ont été prises, respectivement négligées et ne tient pas compte de la discussion qui a eu lieu le 24 janvier 1994 au sujet du projet MILFIS (cf. point 6.1 infra). Par la suite, il n'y a donc eu aucun contrôle. L'OCS lui-même reconnaît n'avoir pas eu connaissance des directives du CEMG. Le fait que le projet ait été considéré comme étant une «affaire de routine» peut être la raison de cette manière d'agir. Mais il ne saurait en aucun cas justifier le fait de n'avoir pas compris les enjeux en matière de sécurité et le préjudice potentiel pour l'armée. La présentation du 30 mars 1994 est une circonstance qui montre que si le chef de l'état-major général connaissait l'objet du projet, il en avait toutefois sous-estimé les aspects problématiques. En fait, il avait confiance dans les ordres et les directives adressés à ses subordonnés et au chef de projet.
6 Réalisation/saisie des données
6.1 Passage à MILFIS
Lors de sa séance du 10 février 1994, la Conférence informatique du DMF devait se déterminer sur le concept et donner son accord pour la réalisation de l'EBG 95. Le délai de réalisation pour l'unité 1 était fixé au 31 janvier 1995. Les coûts budgétisés se montaient à 588 000 francs, dont un montant de 60 000 francs avait déjà été dépensé au moment de l'approbation du projet. Le procès-verbal de la séance de la Conférence informatique du DMF contient, entre autres, la constata- tion de trop nombreux doublons entre MILFIS et l'EBG. Les deux projets ont donc été réunis, car c'était le seul moyen d'assurer la coordination nécessaire. Il a ensuite été décidé de tracer l'EBG 95 de la liste des priorités et de l'acquérir en tant que sous-système de MILFIS-1.
Avant cette décision, soit le 24 janvier 1994, et sous la direction du chef de l'état-major général, une discussion concernant le projet MILFIS avait eu lieu. MILFIS (de l'allemand Militärisches Führungs- und Informationssystem, c'est-à- dire systèmes militaires d'information et de conduite) est le nom d'un projet concernant la conduite et l'aide à la décision assistées par ordinateur destiné aux états-majors et aux commandants au niveau armée et grandes unités. MILFIS est un projet informatique de l'armée qui ne peut être comparé à aucun autre et qui doit être réalisé avec l'aide de Siemens pour un montant évalué à 200 millions de francs. Le 24 janvier 1994, il a entre autres été décidé que «le développement et l'acquisition de chaque unité de réalisation doivent se faire selon la planification des projets de l'armement. Pour atteindre cet objectif, une organisation de projet MILFIS, subordonnée à la Commission de direction du projet, est mise sur pied. Cette commission est dirigée par le directeur de l'Office d'armement 1. La Commission de direction du projet est subordonnée à la Commission de l'arme- ment». A l'époque, le projet MILFIS se trouvait lui-même dans une situation
764
H
difficile. Après un essai auprès de la troupe avec un système programmé en Suisse qui s'est achevé fin 1993, la décision d'acquérir un logiciel étranger a été prise. Ainsi, les travaux préparatoires déjà entrepris sont devenus caducs. Comme le délai de réalisation de MILFIS avait été estimé entre cinq et sept ans, le commandement des cours d'état-major général a insisté pour une réalisation rapide de l'EBG 95.
Le passage du système d'acquisition d'HERMES à MILFIS a eu des conséquences du point de vue de la responsabilité. Selon le mandat du projet du 1er juillet 1994, la responsabilité était confiée au responsable technique du projet du Groupement de l'armement; «il met sur pied et contrôle le respect des mesures en matière de sauvegarde du secret par les mandataires». Le mandat du projet signé par le chef de l'armement prévoyait son entrée en vigueur au 1er juillet 1994. Mais, après la décision prise par la Conférence informatique du DMF du 10 février 1994, la responsabilité du projet EBG 95 incombait au Groupement de l'armement, respectivement à la Commission de l'armement pratiquement depuis le printemps 1994 déjà.
Les solutions informatiques utilisées par les fonctionnaires sont des projets administratifs et leur déroulement est soumis à HERMES. En revanche, si l'utilisateur est un militaire, il s'agit d'un projet d'armement. L'EBG 95 est donc un cas spécial dans la mesure où il est à la fois de nature administrative (dans le cadre de son utilisation par le commandement des cours d'état-major général) et de nature militaire (lorsqu'il est utilisé par des officiers EMG). Il était donc possible de procéder à son acquisition par les deux voies.
.
Le rapport Rusch souligne que suite à cette double subordination (seule) la responsabilité pour l'acquisition, les contrats et le déroulement du projet ont été transférés dès le mois de février 1994 au Groupement de l'armement et que le commandement des cours d'état-major a en revanche gardé la responsabilité du contenu. Monsieur Felix Heer, chef de la Section informatique du Groupe de la planification à l'état-major du Groupement de l'état-major général a pondéré cette répartition différemment: «Le colonel Friedrich Nyffenegger n'était plus responsable que des besoins des utilisateurs de l'EBG, la réalisation en revanche dépendait du responsable technique du projet. C'est lui qui concluait les contrats avec les entreprises. Ainsi, la protection de l'information et la sauvegarde du secret lors de la phase de réalisation du projet incombait au responsable technique».
Selon des déclarations du chef du projet, le colonel Friedrich Nyffenegger, le passage à MILFIS n'a pratiquement entraîné aucun changement. Le Groupement de l'armement en est arrivé à la conclusion que l'EBG 95 était qualifié en tant qu'avant-projet de MILFIS, «après cela, les crédits se sont mis à pleuvoir». De l'avis de Monsieur Felix Heer, il aurait été judicieux de procéder à un acte formel déliant formellement le chef de projet sortant de ses responsabilités. En effet, la procédure en vigueur dans le domaine de l'armement ne prévoit pas qu'un collaborateur représentant les besoins des utilisateurs puisse porter cette respon- sabilité. Par ailleurs ceci concernait tout particulièrement la sécurité au cours de la phase de production. Mais le colonel Friedrich Nyffenegger a continué d'apparaître comme le chef global du projet.
765
Le passage d'HERMES à MILFIS a donc entraîné le passage de la responsabilité au responsable technique du projet. Monsieur Rudolf Ringgenberg a donc repris la responsabilité de faire respecter et de contrôler l'application des mesures de protection des informations par les mandataires également en ce qui concerne l'EBG 95. Il a d'ailleurs confirmé cette responsabilité: «Nous (c'est-à-dire le Groupement de l'armement) avons repris le mandat en mars/avril 1994. Nous l'avons considéré comme achevé lorsque les matrices (les originaux) CD-ROM noir et du CD-ROM rouge étaient réalisées. Nous n'étions pas responsables de la gravure des CD-ROM. C'est l'OCFIM qui en a mandaté l'exécution et qui en supportait les coûts». Le Groupement de l'armement pensait n'avoir aucune raison d'entreprendre des mesures particulières étant donné que ce n'était pas lui qui octroyait le mandat de production. L'OCFIM «donnait depuis des années le mandat d'impression des trois volumes de l'aide-mémoire à l'extérieur. Il (OC- FIM) devait donc savoir comment il faut traiter ce genre de document». L'OCFIM n'était responsable que pour l'attribution du mandat et pour le décompte des coûts. En revanche, l'OCFIM n'a jamais eu entre les mains ni une matrice originale, ni un CD-ROM gravé étant donné que ceux-ci étaient livrés directement à leur destinataire militaire final par l'entreprise de production. L'OCFIM n'a pas non plus entrepris les contrôles de sécurité auprès de l'entre- prise chargée de graver les CD-ROM. Le groupement de l'armement n'a pas traité la production de ces CD-ROM autrement que par l'impression d'un règlement par une imprimerie privée.
Concrètement, le Groupement de l'armement a fait en sorte que les entreprises mandatées et les personnes concernées soient soumises par l'OCS aux contrôles de sécurité prescrits. En outre, en liaison avec ces contrôles et dans la mesure où cela s'avérait nécessaire, un responsable de la sauvegarde du secret et un suppléant ont été désignés dans les entreprises concernées. Ils ont été instruits et les instructions spéciales leur ont été transmises. Dans le cadre de l'EBG 95, Monsieur Rudolf Ringgenberg, responsable technique du projet, a lui-même procédé à des contrôles non annoncés sur place, à Zurich et à Bienne. Le Groupement de l'armement a limité ses activités matériellement et dans le temps. Matériellement en ne s'occupant que des conditions annexes (les contrôles des entreprises) et dans le temps en bouclant le projet (prématurément) avec l'achèvement de la matrice. Selon l'état actuel des soupçons, c'est tout de suite après ce stade que les comportements contraires aux prescriptions ont débuté, notamment en ce qui concerne les diverses gravures, les pièces résiduelles, etc. . . .
Selon les explications du chef de l'armement Toni J. Wicki, «le transfert s'est effectué hors des normes habituelles, raison pour laquelle la réglementation des interfaces n'était pas claire. Après coup, j'ai (le chef de l'armement) appris de mes collaborateurs que l'état-major général continuait en permanence de diriger le projet car il voulait que le produit soit terminé à temps. La responsabilité de la conduite du projet n'était pas clairement établie». Comme le chef de l'état-major général; le chef de l'armement avait également attribué au projet EBG une priorité inférieure à celle d'autres projets. Certes, il était disposé à assumer la «responsabilité supérieure», mais pour MILFIS, l'EBG ne revêtait qu'une impor- tance accessoire, «il s'agissait d'un paquet de données qui n'était pas produit chez nous et qui ne devait qu'être chargé dans la mémoire de MILFIS.» Il semblait
766
important «que le système global suffise aux exigences en matière de protection et de sécurité». Le chef de l'armement n'a pas pris d'autres dispositions en matière de sauvegarde du secret et de protection des informations.
Appréciation:
Le passage du projet d'un déroulement de type administratif à un déroulement de type militaire était inhabituel et a eu des conséquences importantes sur la responsabilité en matière de sauvegarde du secret. Un processus inhabituel devrait impliquer une prudence particulière. Dans ce cas, tant le chef de l'état-major général que le chef de l'armement responsable pour MILFIS ont négligé de créer des rapports clairs. Les conséquences de cette négligence ont été de nature diverse: les ordres n'ont pas été exécutés de manière objective, le responsable technique du projet n'a pas tenu compte de la nature du média utilisé et des données concernées et la responsabilité de la production et de la livraison a été déléguée à l'OCFIM. En outre, l'OCS s'est retiré de la responsabilité du projet EBG 95, ce qui a eu pour conséquence que plus personne n'était responsable ni de la phase de production ni de la sécurité informatique des phases ultérieures. Le fait que, le 30 mars 1994, alors que la décision de passer à MILFIS avait déjà été prise, le chef de l'état-major général donne au chef de projet de l'EBG 95 l'ordre de poursuivre l'adaptation des mesures en matière de sauvegarde du secret avec l'OCS, prouve combien sa vision de la situation était peu claire. Le chef de l'armement et le Groupement de l'armement ont formellement repris la responsabilité globale du projet EBG mais se sont limités à en assumer que l'aspect lié aux entreprises externes (sociétés privées mandatées). Ils ne se sont pas préoccupés des données. Il était donc tout à fait impossible de procéder à une évaluation des mesures nécessaires à la protection des informations du projet.
6.2 Réalisation et manque de temps
En septembre 1993, l'étude précisait déjà que le projet était déjà soumis à une «forte pression par manque de temps». Des remarques correspondantes ont également été retrouvées dans des documents ultérieurs. Contrairement à ces documents, la délégation a entendu diverses remarques malgré la réforme armée 95, il n'y avait pas de raison objective justifiant le manque de temps. Le brigadier Paul Meyer et le colonel Friedrich Nyffenegger auraient tout entrepris pour que l'EBG 95 soit terminé à fin 1994 pour des raisons de prestige personnel et dans l'optique d'une promotion. Tant le chef de projet que son supérieur hiérarchique se sont défendus d'une telle présentation des faits. Ils ont rappelé que la version imprimée de l'aide-mémoire pour le service d'état-major général n'aurait plus pu être mis à jour en parallèle à la version électronique, et qu'en plus, au niveau des officiers EMG, il était nécessaire, dès le mois de janvier, de disposer d'une version intégrant les changements impliqués par armée 95. Dans les conclusions de son rapport, le divisionnaire Markus Rusch était de l'avis que les délais extra- ordinairement courts avaient provoqué une réalisation partiellement superficielle du projet. Le fait que l'EBG 95 ait pu être réalisé dans des délais, planifiés, si courts, provient du fait que de nombreuses données étaient déjà disponibles sous forme numérique. La délégation ne s'est pas préoccupée de la situation actuelle de ces données en matière de sécurité informatique.
767
6.3 Sauvegarde du secret, contrôle de sécurité relatif aux personnes, appel à des militaires
Les procédures de sécurité et de sauvegarde du secret des entreprises concernées, dans la mesure où elles n'avaient pas déjà été contrôlées, ont été régulièrement effectuées par l'OCS. Des contrôles ont été effectués sur place par l'OCS et par le Groupement de l'armement. L'OCS a établi les certificats de sécurité nécessaires pour les entreprises.
L'appel à des militaires a été fait par voie d'annonce sur courrier électronique. Leur engagement a été justifié par des économies réalisées de plus de 3 millions de francs et par le fait que le DMF manquait du personnel informatique. En ce qui concerne les militaires, le rapport Rusch laisse sous-entendre qu'ils n'auraient pas été soumis aux contrôles de sécurité. Les auditions de divers militaires ainsi engagés n'ont pas permis à la délégation de remarquer que des mesures de sécurité particulières avaient été prises. Ces militaires n'ont en effet pas été soumis au contrôle de sécurité relatif aux personnes.
6.4 Pas de concept de sécurité durant la phase d'élaboration du projet
Le passage d'HERMES à MILFIS n'avait, du moins selon les déclarations de son responsable, aucun effet pour l'OCS: « ... l'OCS n'était pas concerné par ce changement».
Le 2 août 1994, le colonel Friedrich Nyffenegger a envoyé la table des matières de l'EBG 95 à l'OCS. Selon ce dernier, le contenu définitif - digne de la plus haute protection - de l'EBG 95, donc avec les répertoires de mobilisation et des ouvrages, a été communiqué pour la première fois. Le 9 août 1994, sur la base de la table des matières, l'OCS a demandé que le CD-ROM rouge soit classifié comme Secret et le CD-ROM noir (ou blanc comme il était encore appelé à cette époque) comme Confidentiel. De plus, afin de procéder à une évaluation définitive, l'OCS a exigé les textes et les renseignements complets sur l'équipe- ment technique. Ses mises en demeure du colonel Friedrich Nyffenegger des 11 novembre et 8 décembre 1994 sont restées sans effets. L'OCS a également demandé au colonel Friedrich Nyffenegger de lui fournir un concept de sécurité concernant l'usage de l'EBG 95.
Appréciation:
Outre le passage d'HERMES à MILFIS, plusieurs des personnes entendues ont qualifié le manque de concept de sécurité comme étant l'une des erreurs principales du projet EBG 95. Des problèmes de compréhension interviennent lorsqu'il n'est pas toujours clair de quel concept de sécurité (non existant) il est question. Le concept de sécurité prescrit par l'OCS et réclamé à plusieurs reprises et sur la base duquel les garanties en matière de sécurité ont été octroyées, est celui qui concerne les prescriptions régissant l'emploi de l'EBG 95, son usage et les conditions de la remise du CD-ROM. Ce concept de sécurité devait être élaboré par le commandement des cours d'état-major général et n'a été effectivement livré qu'en date du 16 février 1995 par le divisionnaire Hans-Rudolf Blumer et le colonel Martin Dreher. La réalisation
768
!
tardive de ce document montre que les conditions de sécurité avaient été jugées moins importantes que l'objectif de production de l'EBG 95.
Ce qui manquait véritablement, c'était un concept qui n'était ni prescrit ni exigé de la part de l'OCS ou de tout autre service, et qui aurait réglé la sécurité et la sauvegarde du secret d'un bout à l'autre de la chaîne, c'est-à-dire depuis le début de la réalisation/ saisie des données jusqu'à la production du CD-ROM (gravure et livraison). Il fallait un concept de sécurité adapté à un nouvel outil informatique, décrivant l'armée dans sa totalité, qui accompagne le projet d'un bout à l'autre. A ce sujet, il convient de citer la remarque finale, tout à fait juste, du rapport du chef de l'état-major général à l'attention du chef du DMF: «Le fait que nous n'étions pas à la hauteur des exigences en matière de sécurité informatique est devenu évident.» Par contre, la délégation ne peut pas souscrire à l'analyse de la situation technologique dans le domaine informatique qui suit: «Le développement et l'introduction très rapides des possibilités techniques ont entraîné une fracture inéluctable entre possibilités techniques et sécurité». L'exigence d'un concept de sécurité concomitant au projet aurait été du domaine du possible et sa nécessité aurait dû être reconnue. Le chef de l'état-major général, le commandant des cours d'état-major général, le chef de projet et l'OCS n'ont pas remarqué qu'il manquait un concept de sécurité et n'ont donc pas agi en conséquence.
6.5 Données
6.5.1 Extension constante
Comme diverses personnes concernées l'ont remarqué, la quantité de données saisies a été fortement élargie, surtout durant la phase de réalisation, à cause d'un esprit marqué par le principe de la maximisation du confort d'utilisation (nice to have-Denken). La planification avait commencé par les éléments immédiatement nécessaires qui avaient été définis personnellement par le brigadier Paul Meyer. Dans le cadre d'un groupe de travail constitué d'officiers EMG (le groupe d'évaluation), les applications qui devraient être contenues du point de vue des utilisateurs avaient été discutées durant le cours d'état-major II/93. Le catalogue élaboré dans ce cadre a été pratiquement entièrement réalisé. Plus tard, il a même encore été élargi, notamment par l'adjonction des ordres de bataille. Pour sa part, la conférence informatique a exigé de réduire la palette d'applications au profit de la qualité. Après que le chef de l'état-major général ait donné son accord aux idées du commandement des cours d'état-major général lors de la présentation du 30 mars 1994, la Conférence informatique du DMF a donc considéré l'affaire comme décidée.
Le chef de l'état-major général, le commandant de corps Arthur Liener a concédé à la délégation que «le contrôle du projet avait effectivement été perdu. A ce sujet, je me sens pour le moins moralement responsable et, dans un certain sens, également trompé». Le colonel Friedrich Nyffenegger a souligné que l'ordre du chef de l'état-major général précisait formellement que le CD-ROM ne devait contenir aucune donnée secrète. Cela était peut-être vrai au début. Le chef de l'état-major général a lui même expliqué à la délégation qu'au départ «il n'était pas question d'enregistrer des données secrètes sur le CD. Cette situation est en
769
fait née durant le développement du projet à cause d'un esprit marqué par la recherche de confort». Selon lui, le point charnière se situe le 30 mars 1994 lors de la présentation. «A l'époque, j'avais tout de suite émis des réserves et exigé que ces données ne soient en aucun cas transférées sur le même CD». (Traduit de l'allemand)
«Mais comme les délais étaient très courts, les offices fédéraux ont en partie livré leurs données directement au commandement des cours d'état-major général. En partie, ils ont même livré leurs données directement à la société ASIT». (Traduit de l'allemand)
Appréciation:
Depuis fin mars 1994, le chef de l'état-major général avait connaissance des applications spécialisées qui se trouveraient sur le CD-ROM. Il savait donc que les données concernant la mobilisation et le répertoire des ouvrages en feraient partie. Par conséquent, il savait également que des données portant la classification Secret s'y trouveraient. Il n'a pas émis de réserve concrète, au contraire, il s'est contenté de l'instruction générale précisant «de poursuivre l'adaptation des mesures en matière de sauvegarde du secret avec l'OCS et, le cas échéant, de faire une proposition» parce qu'il n'avait pas reconnu que la sensibilité d'une base de données électronique du type de l'EBG 95 était bien plus élevée et aurait nécessité des mesures de sécurité spéciales, en particulier des contrôles. Le chef de l'état-major général a mal évalué l'importance du projet EBG 95. Il a en particulier négligé toute la problématique de la sécurité qui y est liée et, pour cette raison, n'a pas décidé les mesures qui s'imposaient. En tant que supérieur hiérarchique du commandant des cours d'état-major et de surcroît respon- sable des données, il porte la responsabilité finale du dispositif de sécurité défectueux qui caractérise la réalisation de l'EBG 95. Le commandant des cours d'état-major général et le chef de projet y ont toutefois contribué dans une assez large mesure en ne respectant pas les directives du chef de l'état-major général qui demandait de lui présenter des propositions.
6.5.2 Répertoire de mobilisation
La reprise du répertoire de mobilisation faisait déjà partie du concept de Furrer und Partner AG en tant «qu'application définie et explicitement exigée de la part du commandement des cours d'état-major général». Selon le colonel Friedrich Nyffenegger «un officier doit pouvoir disposer des données de mobilisation» et, Messieurs Hauri et Ingold, des subordonnés du brigadier Giuliano Crivelli, auraient déclaré «. . . que tout le répertoire de mobilisation serait classifié comme Confidentiel, que l'OCS avait déjà rédigé un écrit correspondant».
Selon le colonel Friedrich Nyffenegger, la décision de transférer les données de mobilisation sur le CD-ROM ne serait tombée qu'au cours des premiers jours de décembre 1994. Les auditions ont donné l'impression qu'une grande excitation devait régner juste avant l'expiration du «délai rédactionnel». Tout le monde travaillait jour et nuit et les données ont été livrées par les offices fédéraux directement aux entreprises mandatées. Selon ses propres déclarations, la direc- tion de projet n'était pas en mesure de contrôler le contenu du CD-ROM dans le détail.
770
Appréciation:
D'après les estimations du DMF, la modification du dispositif de mobilisation au 1er janvier 1997 et les modifications constantes des places d'organisation réduisent avec le temps le préjudice dans le domaine de la mobilisation. Ce préjudice ne devrait pas avoir de conséquences financières notables. La délégation ne partage pas cette opinion.
6.5.3 Répertoire des ouvrages
Pour le CD-ROM rouge, l'Office fédéral du génie et des fortifications a livré le répertoire des ouvrages. Les données transférées sont très complètes.
La livraison de ces données ressort clairement de la responsabilité du responsable des données qui, en l'occurrence, est l'office qui les a fournies. Dans la mesure où des données secrètes ont été fournies et enregistrées sur le CD-ROM rouge, il y a une très claire modification du concept. La délégation ne sait pas dans quelle mesure le chef de projet ou ses supérieurs en avaient connaissance.
Appréciation:
Le transfert de ces données sur un support électronique donne la possibilité de déduire la localisation des centres de conduite par recoupement statistique de celles-ci (abris de transmission et de défense rapprochée). Ceci est une fois de plus la preuve que la nouvelle situation matérielle n'avait pas été anticipée ni par les offices fournissant les données, ni par les responsables du projet. Même si le dispositif des barrages doit être modifié encore au courant de cette année, le CD-ROM rouge a augmenté le danger potentiel.
6.5.4 Transfert de données secrètes
L'élargissement constant de la base de données selon le principe de la maximisa- tion du confort d'utilisation (cf. point 6.5.1 supra) et le manque de temps ont généré un flux de données incontrôlé. Finalement, le principe selon lequel aucune donnée secrète ne devait être transférée n'a pas été respecté. Le fait que des données, individuellement classifiées Confidentiel mais méritant la classification Secret une fois combinées avec d'autres, aient été transférées sur le CD-ROM rouge provient de l'absence d'un concept de sécurité concomitant au projet.
Appréciation:
La responsabilité de ces livraisons provenait d'abord des responsables des données eux-mêmes qui n'ont pas fait preuve d'assez d'attention. Ensuite, la responsabilité du chef de l'état-major général était également engagée, car l'EBG 95 se trouvait sous sa protection et les offices fédéraux coopératifs lui ont fait confiance. Les directives au sujet de la classification des données stockées électroniquement doivent être revues (cf. III. Recommandations).
771
6.5.5 CD-ROM rouge et noir
La décision d'éditer deux versions du CD-ROM a été prise lors de la démonstra- tion du 30 mars 1994 qui a eu lieu dans le cadre du rapport du chef de l'état-major général (cf. point 5.6 supra). Toutefois, cette idée avait déjà été évoquée dans le cadre du concept EBG 95 du 20 janvier 1994. Contrairement aux études pré- cédentes qui étaient favorables à une solution comprenant chiffrage et carte cryptologique, ce concept spécifiait «qu'étant donné l'état actuel des choses, le chiffrage des données sensibles sur le CD-ROM combiné avec une carte cryptolo- gique n'étant pas assuré pour des raisons à la fois techniques et financières, la production de deux éditions est planifiée. Cette solution est déjà réalisable pour la première édition et les coûts qui en découlent sont couverts par le budget actuel».
Appréciation:
Durant la réalisation du projet, c'est un standard de sécurité nettement inférieur qui a été appliqué alors même que la quantité des données transférées subissait une augmentation. La conséquence a été que l'image complète de l'armée devenait disponible sur un petit support de données électroniques, facile à copier et insuffisam- ment protégé. Le chef de l'état-major général, le commandant des cours d'état-major général, le Groupement de l'armement ainsi que l'OCS sont responsable de ce risque accru et des éventuels préjudices subis.
6.5.6 Classification des données sur le CD-ROM
Il n'y avait et il n'y a toujours pas de bases applicables à la classification des données secrètes stockées sur un support électronique. En ce qui concerne l'EBG 95, l'idée qui a accompagné le projet peut être facilement reconstituée: seules des données classifiées Confidentiel au plus peuvent être transférées sur le CD-ROM. Ceci a été maintes fois répété lors des auditions. A ce sujet, le chef de projet a déclaré que «l'argument décisif était qu'il s'agissait de séries d'informations qui n'étaient pas classifiées très sévèrement». Le chef de l'OCS s'est exprimé dans le même sens: «Le fait qu'il n'était pas prévu d'utiliser des données portant la classification Secret a bien sûr joué un rôle pour le projet. C'est la raison pour laquelle il passait pour peu problématique». En ne transférant les données dites plus sensibles que sur le CD-ROM rouge, classifié Secret, on a partiellement tenu compte de l'avertissement contenu dans le projet qui prévoyait que la situation serait modifiée du point de vue qualitatif. La classification du CD-ROM rouge comme Secret, à cause des répertoires des ouvrages et des données de mobilisa- tion, a provoqué de nombreuses discussions. Le colonel Friedrich Nyffenegger a d'ailleurs expliqué qu'il s'était opposé à une sur-classification puisque seules des données classifiées Confidentiel avaient été transférées. En outre, il pensait qu'une version classifiée Secret entraînerait des efforts importants en matière de contrôle.
La situation s'est modifiée dans la mesure où des données classifiées Secret ont tout de même été transférées sur le CD-ROM. Le colonel Friedrich Nyffenegger a prétendu que cela s'était fait à son insu et sans son autorisation (cf. point 6.5.4 supra). Le fait que le jour de la démonstration de l'EBG 95 à la presse, l'OCS a
772
reçu un coup de fil - le matin à huit heures - afin de savoir si la classification prévue était en ordre, prouve bien que l'on a traité la question de la classification sans concept aucun. Fondamentalement, la classification des données est une tâche qui incombe au responsable des données. L'OCS n'était donc pas respon- sable de la classification, il avait pour mission d'assister les responsables. Les documents nécessaires à l'évaluation ne lui ont toutefois jamais été soumis. Si l'OCS a procédé à des avertissements, il n'est jamais intervenu à l'échelon supérieur.
Appréciation:
D'un point de vue purement formel, les deux versions rouge et noire du CD-ROM ont été classifiées correctement. Les données qui se trouvent sur la version noire ne sont pas classifiées ou classifiées Confidentiel. Seule la version rouge contient des données secrètes. Toutefois la version rouge du CD-ROM mériterait la classification Secret même si aucune donnée secrète n'avait été transférée, ceci à cause de la sensibilité des données qu'elle contient. La base légale selon laquelle il est nécessaire de procéder à une nouvelle évaluation de la classification lorsque des données sont stockées électroniquement doit donc être instituée (cf. III. Recommandations).
7 Production et déchets
La société Furrer und Partner AG élaborait la matrice comprenant toutes les données préparées pour le transfert. La matrice était à chaque fois transmise à un représentant du commandement d'Ecole d'état major (au colonel Friedrich Nyffenegger ou à un messager). De là il était ensuite remis à l'entreprise responsable de la gravure. Avant la livraison d'une matrice, la société Furrer und Partner AG gravait un nombre limité et numéroté de CD d'essai à des fins de contrôle.
La société Multi Media Masters and Machinery SA (MMMM) à Yverdon a reçu le mandat de graver l'EBG 95 aux frais de l'OCFIM. MMMM avait auparavant fait l'objet d'un contrôle de sécurité et a été instruit sur les prescriptions de sauvegarde du secret par Monsieur Stefan Glanzmann de l'OCS. Selon le directeur de MMMM, Monsieur Daniel Rochat, les directives étaient claires mais insuffisantes et auraient eu besoin d'un complément.
La gravure des CD a été effectuée sans que MMMM prenne connaissance des données qu'ils contiennent. Toutefois, MMMM aurait eu la possibilité d'en prendre connaissance. Les CD défectueux ont chaque fois été gravés une nouvelle fois en répétant le numéro de série de la pièce défectueuse. Aucun inventaire des produits défectueux n'a été dressé. Selon le colonel Friedrich Nyffenegger, il y aurait eu toute une série de CD portant le même numéro. Une fois gravés, MMMM livrait les CD directement au commandement d'Ecole d'état-major ou à son représentant. A une exception près, la réception a toujours été effectuée par le colonel Friedrich Nyffenegger qui en assurait également la distribution.
Le 2 septembre 1994, 100 CD-ROM rouges et 100 CD-ROM noirs de la version 0 ont été commandés. Monsieur Gustav Furrer aurait, sur ordre du colonel Friedrich Nyffenegger, détruit au total environ 100 CD-ROM rouges et noirs de la
773
série zéro, toutefois sans établir de procès-verbaux de destruction corrects. Il aurait en outre reçu un exemplaire du CD-ROM noir en tant qu'«exemplaire justificatif». Le colonel Friedrich Nyffenegger aurait repris «un carton à chaus- sures plein de déchets» de MMMM et l'aurait détruit lui-même sans établir de procès-verbal correspondant. Le colonel Friedrich Nyffenegger avait gardé à son domicile, sans protection aucune, une version rouge et une version noire du CD-ROM. Ces versions appelées «golden WRITE ONCE single sessions» de la série 1 étaient, selon lui, destinées aux archives fédérales.
Le 16 décembre 1994, les CD-ROM noirs de la série 1 ont été envoyés.
Les CD-ROM rouges de la série 1, soit 250 exemplaires, ont été remis par la société MMMM SA au colonel Friedrich Nyffenegger le 21 décembre 1994. Ce dernier les a ensuite remis à son successeur, le colonel Martin Dreher. Ils ont été enregistrés et, selon le colonel Martin Dreher, ils sont tous présents. Cent septante CD-ROM de la série 0 sont restés illégalement chez MMMM.
Au moment de l'enquête militaire, la société Furrer und Partner AG était en train de préparer la 2e version de l'EBG et se trouvait donc en possession du «write once» de la série 2. Au mois d'août 1995 déjà, les travaux pour la version 2 rouge avaient été arrêtés de manière à favoriser la version noire qui avait pris du retard.
L'explication des faits dans le détail entre dans le domaine de compétence de la procédure d'instruction militaire. La délégation est toutefois assez au courant des faits pour pouvoir constater de très graves lacunes en matière de gestion des pièces défectueuses. Sans prétendre être exhaustif, la délégation a eu connais- sance des faits suivants:
L'authenticité des procès-verbaux de destruction de la société Furrer und Partner AG est douteuse. Ils sont inconciliables avec les CD-ROM noirs existants (malgré tout).
Des exemplaires préliminaires de la version 1 du CD-ROM rouge ont été mis en sécurité.
Il y a des CD-ROM noirs qui portent le même numéro de série. Les CD-ROM défectueux n'ont donc pas tous été détruits.
La production de l'EBG 95 a été assurée par le chef de projet en solitaire. Il n'y avait aucune prescription particulière s'appliquant à la production de supports de données.
Ni l'OCS, ni le Groupement de l'armement n'ont contrôlé ce qu'il advenait aux pièces de rebut et aux déchets de fabrication. Devant la délégation, le colonel Friedrich Nyffenegger et Monsieur Gustav Furrer ont reconnu avoir commis des erreurs avec le matériel informatique.
Appréciation:
Dans cette phase du développement de l'EBG 95, c'est-à-dire après la saisie des données, l'absence d'un concept de sécurité concomitant au projet a eu une deuxième fois des conséquences graves. Durant la phase de production, il n'y avait pas de contrôle suffisant, donc pas de sécurité suffisante en ce qui concerne les données qui se trouvent sur les versions noire et rouge du CD-ROM. En effet, le contrôle des exemplaires préliminaires et défectueux était tout à fait insuffisant. Dans ce cas, la responsabilité doit être attribuée d'une part aux personnes qui ont permis au projet de
774
!
İ
démarrer sans concept de sécurité, et, d'autre part, aux personnes (pouvant être poursuivies pénalement ou disciplinairement) qui ont concrètement commis des infractions contre les prescriptions en matière de sauvegarde du secret. Ce domaine fait l'objet de l'enquête menée par le juge d'instruction militaire.
8 Présentation et mise en œuvre du CD-ROM
8.1 Présentation aux médias
Au courant du mois d'octobre 1994, le divisionnaire Hans-Rudolf Blumer a repris le commandement de l'Ecole d'état-major du brigadier Paul Meyer. Le 8 dé- cembre 1994, l'EBG 95 faisait l'objet d'une présentation à la presse. Le com- mandant de corps Arthur Liener, chef de l'état-major général, le colonel Friedrich Nyffenegger, le professeur Carl August Zehnder ainsi que Monsieur Gustav Furrer ont assuré cette présentation. L'EBG 95 a été décrit comme un moyen d'instruction et de travail moderne pour les officiers de l'état-major général.
8.2 Concept de sécurité règlement 52.52 «EBG 95»
Le 8 décembre 1994 l'OCS a, pour la dernière fois, demandé par lettre que le chef de projet lui remette le concept de sécurité concernant l'utilisation de l'EBG. Par la même occasion, l'OCS avait émis le souhait, afin de le soutenir et de le conseiller, de faire partie du groupe de travail milice/administration institué par le divisionnaire Hans-Rudolf Blumer. Selon le chef de projet, le colonel Martin Dreher, le collaborateur de l'OCS Monsieur Franz Karli et le représentant des utilisateurs, Monsieur Wolfgang Frei animaient ce groupe de travail «protection et sécurité MILFIS et EBG». En décembre 1994, la situation concernant le concept de sécurité n'était de toute évidence pas considérée comme grave par l'OCS. En effet, il n'y a eu aucune intervention auprès du supérieur du colonel Friedrich Nyffenegger et aucune autre mesure n'a été prise. Le concept de sécurité a par la suite été élaboré par le colonel Martin Dreher et ratifié par le divisionnaire Hans-Rudolf Blumer le 16 février 1995. Ce dernier prétend toutefois n'avoir rien su des exigences de l'OCS en matière de concept de sécurité. Les déclarations du colonel Friedrich Nyffenegger et du colonel Martin Dreher divergent passablement en ce qui concerne le moment à partir duquel le colonel Martin Dreher a repris de réaliser ce concept. Le colonel Friedrich Nyffenegger a prétendu que le brigadier aurait transmis cette tâche au colonel Martin Dreher en août 1994. Au contraire, ce dernier prétend n'avoir pas su jusqu'à son premier contact personnel avec le CD-ROM, qui a eu lieu lors du cours d'état-major général I/94, que le concept de sécurité esquissé dans le concept de la société Furrer und Partner n'avait pas été réalisé. Depuis mi-1994, en collaboration avec Monsieur Franz Karli, il participait au développement d'un logiciel permettant d'effacer toutes les données intermédiaires sur les PC. Dès le 12 octobre 1994, le colonel Martin Dreher a élaboré les directives du commandement d'Ecole d'état-major général en matière de protection et de sécurité dans le domaine informatique en complément à l'ordre général pour les cours EMG. Le concept de sécurité exigé par l'OCS a été ratifié par le divisionnaire Hans-Rudolf Blumer sous l'appellation «règlement 52.52 EBG 95, buts, distribution, mesures de
775
.
protection et de sécurité» puis distribué à tous les destinataires de l'aide-mémoire pour le service d'état-major général. Comme les avertissements et les réprimandes du divisionnaire Hans-Rudolf Blumer le prouvent (cf. point 8.3 infra) les direc- tives pour la protection et la sécurité dans le domaine informatique ont été mises en œuvre, respectivement appliquées. Ces directives ont été révisées le 20 avril 1995.
Appréciation:
La remise en prêt de PC de l'état-major et du CD-ROM noir recèle des dangers qui ne sauraient être ignorés. L'objection selon laquelle la version imprimée de l'aide- mémoire était également remise en prêt n'est pas valable car la situation actuelle n'est pas comparable avec l'ancienne. Le CD-ROM peut être copié' beaucoup plus facilement, et la tentation de «s'approprier» toutes les données en appuyant sur quelques touches du clavier d'un PC est grande. Les directives concernant le concept de sécurité en matière d'utilisation de l'EBG doivent être revues.
8.3 Mise en œuvre de l'EBG 95
La première introduction des participants au cours d'état-major général à l'EBG a eu lieu le 23 septembre 1994 (cours I/94). A cette occasion, c'est la version 0 qui a été utilisée. Le 16 décembre 1994, la version 1 du CD-ROM noir, munie de la classification Confidentiel, a été envoyée aux destinataires de l'aide-mémoire pour le service d'état-major général, accompagnée du règlement 52.52 «EBG 95» cité ci-dessus. Une invitation à des cours d'introduction facultatifs d'un jour a également été annexée à cet envoi.
Les instructeurs et les officiers de troupe ont été introduits par le colonel Martin Dreher à l'EBG 95 durant le cours d'état-major général I/95. Le seuil d'accepta- tion très variable selon le niveau des connaissances préalables et la préparation des élèves a conduit le divisionnaire Hans-Rudolf Blumer à proposer qu'un instructeur ou un officier EMG spécialisé en informatique soit mis à disposition de ces cours (une demande restée sans réponse au moment de l'audition qui s'est déroulée début mai 1996).
Les appareils et le respect des directives ont été contrôlés durant chaque cours. Divers officiers ont été punis disciplinairement pour n'avoir pas respecté ces directives. Notamment deux officiers ont été menacés d'être renvoyés du cours II/96. En fait, la remise en prêt d'un PC EMG avec la version noire du CD-ROM est problématique. De plus, un programme de l'OCS a été développé et permet- trait depuis début 1995 d'effacer proprement toutes les informations inter- médiaires sur un PC.
Des officiers étrangers suivant une formation auprès du commandement d'Ecole d'état-major général ont accès à la version noire du CD-ROM. Un capitaine de la Bundeswehr a reçu une instruction durant huit semaines avec le CD-ROM noir. On attribue tout bonnement un «effet dissuasif» à une telle collaboration.
Les commandements des grandes unités ont également fait la demande afin d'être équipés de la version rouge du CD-ROM. Le chef de l'état-major général a donc décidé de leur en délivrer deux à trois exemplaires.
776
Malgré le concept de sécurité «divisionnaire Blumer/colonel Dreher», lors du quatrième trimestre 1995, dix CD-ROM noirs ont été délivrés sans quittance par l'OCFIM à la charge du commandement d'Ecole d'état-major général. Cet événement fait partie de l'enquête militaire en cours. Cet incident confirme les craintes de la délégation au sujet de la remise en prêt de la version noire des CD-ROM en dehors des cours d'état-major général.
Les travaux concernant la version 2 avaient pour objet, outre quelques adapta- tions, d'améliorer la qualité. Afin de favoriser le développement du CD-ROM noir, les travaux concernant la version 2 rouge ont été arrêtés en août 1995 déjà. Le CD-ROM noir est décrit comme étant un instrument absolument nécessaire pour les officiers de l'état-major général.
8.4 Démonstration de l'EBG devant la délégation
La démonstration des deux CD-ROM rouge et noir a largement confirmé ce qui est ressorti des auditions.
L'accès aux deux CD-ROM se fait au moyen d'un mot-clé qui libère l'environne- ment (ou interface) utilisateur. Depuis là, un classeur permet d'accéder à divers fichiers de données. Les cinq domaines principaux comprennent les ordres écrits et les documents d'aide, les effectifs des troupes, les cartes (basées sur les cartes nationales) ainsi que des bases de données (équipement, hommes, matériel, communes, frontières, biens culturels, informations sur le réseau des routes nationales). La même procédure d'accès par mot-clé mise à part, le CD-ROM Secret n'est pas protégé par d'autres niveaux ou procédures de sécurité. Le gestionnaire de fichiers du système d'exploitation standard «Windows» permet de voir l'intégralité du contenu du CD-ROM. Les deux versions pourraient donc être lues et copiées intégralement avec n'importe quel logiciel de base du commerce tournant sur un PC tout à fait standard, et ceci sans connaissances informatiques particulières.
Les fonctions et les performances ainsi que la présentation du CD-ROM sont basées sur un programme de traitement de textes courant. La marque n'a pas été divulguée. Le texte est saisi dans un format de texte standard. Il peut être copié, collé, exporté, enregistré intermédiairement, intégré dans des documents en dehors du CD-ROM et sauvegardé sur le disque dur du système.
Les cartes et les informations de la base de données qui peuvent être combinées avec elles, p. ex. les informations sur les biens culturels, sont également simples à utiliser. Il y a une fonction zoom qui permet de sélectionner des secteurs des cartes nationales (à diverses échelles) que l'on veut afficher. Par-dessus ces secteurs, il est possible d'afficher, au moyen d'icônes, des informations en provenance d'autres fichiers de la base de données, p. ex. les biens culturels justement. Les informations organisées dans une base de données «Access» sont très complètes et rapidement accessibles pour le secteur choisi en superposition duquel elles s'affichent. Par rapport à la version noire, le CD-ROM rouge contient des classeurs supplémentaires dont les informations peuvent être affichées de la même manière. Il s'agit surtout des informations sur les ouvrages et des données de mobilisation. En cliquant au moyen du pointeur sur les objets affichés, des
52 Feuille fédérale. 149º année. Vol. III
777
détails supplémentaires apparaissent. Lorsque les objets sont nombreux, ils sont affichés de manière décentrée et sont reliés à leur position effective par une ligne. Les informations sur les objets sont détaillées.
Appréciation:
L'accès par mot-clé ne peut être considéré comme protection sérieuse contre une consultation non autorisée des données enregistrées. La quantité des données contenues sur le CD-ROM (environ 270 000 pages A4 par CD-ROM) constitue le problème principal. Grâce à la logique combinatoire, un utilisateur peut tirer des conclusions sur des données ne se trouvant pas sur le CD-ROM et qui sont protégées par une classification supérieure. Étant donné les possibilités de combinaison et de consultation rapide des données, il est possible d'acquérir bien plus rapidement des informations plus complètes et plus denses que ce qui était possible avec la version papier de l'aide-mémoire. Dans sa forme actuelle, le CD-ROM rouge représente un risque inacceptable (cf. III. Recommandations).
9 Instruction provisoire
Le 15 septembre 1995, le chef de l'état-major général a proposé d'ouvrir une instruction provisoire. L'auditeur en chef a rejeté cette première requête pour des raisons formelles. Ce n'est donc que le 18 octobre 1995 que l'auditeur en chef a ordonné l'ouverture d'une instruction provisoire selon la procédure pénale militaire.
Le 27 novembre 1995, le domicile du colonel Friedrich Nyffenegger a été perquisitionné. «A cette occasion, des CD-ROM classifiés Confidentiel et Secret et qui n'étaient enregistrés nulle part, ont été trouvés dans l'appartement de Nyffenegger. Ils se trouvaient sur une étagère et étaient librement accessibles».
Le 27 novembre également, du matériel a aussi été saisi lors d'un contrôle de sécurité effectué aux sièges de Zurich et de Bienne de la société Furrer und Partner AG.
Le 22 janvier 1996, l'auditeur en chef, par note adressée au chef du DMF, a conseillé d'examiner s'il était opportun d'ouvrir, ou du moins d'annoncer une enquête administrative afin de tirer le fond de l'affaire au clair.
Le 24 janvier 1996, il a été procédé à des arrestations et des perquisitions (action Pandora).
10 Remarques finales -
10.1 Nécessité et avenir de l'EBG
Appréciation:
La version sur CD-ROM de l'EBG 95 est sans aucun doute un instrument d'instruc- tion et de travail qui doit être qualifié de positif. Dans l'optique de l'introduction de systèmes militaires d'information et de conduite, le commandant des cours d'état- major général le qualifie d'instrument indispensable. Aucun avis négatif n'est à signaler. Les fautes commises ne doivent ni dévaloriser le travail accompli, ni pousser
778
₹ à abandonner cet instrument de travail de manière inconsidérée. Le fait que des officiers étrangers aient été formés sur la version noire du CD-ROM laisse supposer que son contenu est largement connu des armées en question. Donc, étant donné que les données stockées électroniquement sont facilement disponibles, la classification de l'ouvrage complet comme Confidentiel semble adaptée. La délégation est cependant de l'avis qu'il conviendrait de contrôler les besoins en matière de sécurité dans ce domaine également. Le fait que le projet prévoyait que l'EBG deviendrait une application en réseau du système MILFIS ne devrait plus être en discussion au- jourd'hui. Il faut rejeter les réseaux temporaires et fixes proposés dans un rapport concernant l'EBG 95 daté du 11 novembre 1994. Ce rapport prévoyait de relier tous les participants du commandement des cours d'état-major général par un système de courrier électronique qualifié de «mesure moderne et essentielle».
Le CD-ROM rouge peut également être évalué positivement en tant que système militaire d'instruction et de conduite. Cependant, les données qu'il contient consti- tuent un panorama très large et détaillé de l'armée et doit donc faire l'objet de mesures de sécurité nettement améliorées. Il faut en outre examiner dans quelle mesure il serait opportun de réduire nettement le nombre d'exemplaires et d'en limiter la remise en prêt au commandement de l'Ecole d'état-major. En outre, la combinaison avec une carte cryptologique est à étudier en partant du principe qu'une personne seule ne doit pas être simultanément en possession d'une telle carte et d'un CD-ROM rouge. Les CD-ROM rouges actuels doivent être détruits. Le retour à la version imprimée de l'aide-mémoire pour les données contenues dans le CD-ROM rouge, tel qu'il a été envisagé devant la délégation, pourrait être envisagé mais n'est pas recommandé. Comme les auditions de la délégation l'ont montré, la production et la préparation des données de la version imprimée ne faisaient pas non plus l'objet de mesures de sécurité suffisantes. De plus, l'informatique fait partie des instruments de conduite militaires actuels et pas uniquement de l'avenir. D'autre part un retour au papier ne donnerait pas seulement un mauvais signal mais signifierait également le renoncement à la mise en œuvre de l'expérience informatique. Il est certain qu'une nouvelle version rouge peut être produite et mise en œuvre de manière sûre. La technologie adéquate est disponible et l'armée se doit de relever ce défi.
10.2 Mesures permettant d'assurer la sécurité informatique
La nouvelle structure de la Division principale de l'informatique est entrée en vigueur le 1er juin 1996. Cette division est nouvellement directement subordonnée au secrétaire général du DMF. Les informaticiens du département lui sont également subordonnés et assument les fonctions de planification stratégique de l'informatique ainsi que le «controlling» informatique. Cette nouvelle répartition doit permettre d'avoir accès rapidement aux ressources de la division informa- tique et permettre d'assurer un traitement rapide et efficace des problèmes, principalement en matière de sécurité informatique, concernant plusieurs groupes. En date du 29 avril 1996, la Direction du DMF a en outre approuvé un paquet de mesures, dont il prétend qu'il pourrait développer des effets sur le projet EBG 95 aujourd'hui déjà:
779
projets informatiques et de la sauvegarde du secret. Il s'agit de contrôler les mesures de nature structurelle et personnelle dans le domaine de la sécurité informatique de projets informatiques et de contrôler la classification afin d'assurer une garantie complète en matière de sauvegarde du secret.
En tenant spécialement compte des travaux MILFIS en cours, la délégation considère comme prioritaire la promulgation d'une directive en matière de protection de sécurité des projets informatiques permettant d'en assurer un contrôle concomitant (cf. III, Recommandations).
10.3 Evaluation du préjudice selon le scénario le plus défavorable
Personne ne peut dire s'il y a eu divulgation de secrets et si le CD-ROM, version noire ou rouge se trouve dans les mains de tiers. A ce sujet, la justice militaire et le Ministère public de la Confédération ne sont pas du même avis. Le procureur de la Confédération a déclaré: «Il y a des indices permettant de croire que des secrets sont parvenus à l'étranger». Au contraire, de l'avis de l'auditeur en chef: «Il n'y a pas lieu de croire que des pays tiers sont entrés en possession de documents confidentiels ou secrets». Cependant, le fait que deux CD-ROM rouges restent introuvables et que l'on ne sache pas combien il y a eu de «single sessions» a incité le chef de l'état-major général de partir du principe que «ces CD-ROM sont en vente libre».
Le chef de l'état-major général a évalué le préjudice subi dans le domaine de la mobilisation comme étant relativement restreint. En revanche, le préjudice militaire dans le domaine des ouvrages est décrit comme étant important. Toutefois, il situe le préjudice principal dans le domaine «psycho-politique». L'avis selon lequel «tous les secrets ont été trahis» pourrait se répandre. A cela s'ajoute le fait qu'un officier supérieur EMG «a manipulé des données secrètes de manière inconsidérée et qu'ainsi, l'armée a subi une perte de confiance».
Appréciation:
Du point de vue militaire et étant donné la situation de paix actuelle et que le délai de préparation peut être considéré comme assez long, le préjudice a été qualifié d'important. Du point de vue de la délégation et en tenant compte du scénario le plus défavorable, le préjudice est en fait très important. Elle pense que la déclaration suivante du chef de l'état-major général est tout à fait exacte: «La totalité des données représente un grand danger si elle est utilisée à mauvais escient.» L'allusion à un préjudice psycho-politique ne peut et ne doit pas empêcher de qualifier la menace militaire de grave ni d'en tirer toutes les conséquences matérielles, personnelles et organisationnelles. La délégation est de l'avis que le «préjudice psycho-politique» dépendra essentiellement de la façon dont l'exécutif traitera le cas de l'EBG 95, et tout particulièrement des conséquences qui en seront tirées. La conduite d'une armée de
780
milice doit tout particulièrement tenir constamment compte des aspects de sécurité. Étant donné que selon le rapport au sujet de MILFIS, les personnes chargées du développement de ce projet sont, à quelques exceptions près, les mêmes qui ont été responsables de l'intégration de l'EBG dans MILFIS, il semble indiqué de procéder au contrôle de l'intégralité du projet du point de vue de la sécurité informatique (cf. III. Recommandations).
10.4 Amaigrissement des structures d'enquête lors d'événements extraordinaires
Dans le cadre de ses investigations, la délégation a été rendue attentive au fait que la fameuse «affaire Nyffenegger» avait surchargé la tête du département ainsi que les collaborateurs du chef du DMF de manière extraordinaire. Dans son rapport semestriel, l'état-major général avait souligné que le traitement de tels cas accapare de nombreuses et importantes ressources et qu'ainsi, d'importants travaux de nature conceptuelle doivent être repoussés à l'arrière-plan. C'est la raison pour laquelle d'importantes affaires sont remises à plus tard. En outre, la capacité d'innovation et l'attitude face au risque sont réduites de façon très importante. Certaines personnes ont critiqué le fait que diverses institutions exigent des informations, qu'elles avaient donc dû se présenter devant plusieurs commissions et qu'il leur était difficile, voire impossible, de s'y retrouver et de savoir qui était responsable de quoi.
La délégation pense qu'une coordination entre les diverses autorités menant une enquête est nécessaire. Cependant, dans le cadre de telles situations extraordinaires, les offices devant fournir des informations doivent dans tous les cas répondre favorablement à ces demandes durant un certain laps de temps sans se sentir obligés de formuler des critiques.
781
III Recommandations
La délégation des commissions de gestion prie le Conseil fédéral de supprimer les lacunes constatées dans ce rapport et d'en tirer les conséquences organisa- tionnelles, matérielles et personnelles.
Sur demande du Conseil fédéral, tous les passages du texte pouvant revêtir un intérêt du point de vue des services de renseignements ont été biffés. Les recommandations doivent donc être appréciées en fonction de ce fait.
Sur la base de ses constatations et de ses évaluations, la délégation des com- missions de gestion fait les recommandations suivantes à l'attention du Conseil fédéral:
Le Conseil fédéral examine la promulgation d'une directive en matière de classification des données informatiques.
Le Conseil fédéral examine la promulgation d'une directive en matière de protection et de sécurité des projets informatiques afin d'assurer la mise en place d'un concept de sécurité concomitant au projet.
Le Conseil fédéral contrôle les mesures de sécurité régissant la mise en œuvre de l'EBG sur CD-ROM.
Le Conseil fédéral contrôle le projet MILFIS du point de vue de sa sécurité informatique.
IV Suite de la procédure
D'ici à 1997, la délégation des commissions de gestion attend un rapport du Conseil fédéral sur les résultats des mesures qui ont été prises.
Au nom de la Délégation des Commissions de gestion:
Le président de la délégation Werner Carobbio, conseiller national
Les commissions de gestion ont adopté ce rapport le 13 novembre 1996.
782
!
Le président de la CdG-CE Bernhard Seiler, député au Conseil des Etats
La secrétaire des Commissions de gestion Mariangela Wallimann-Bornatico
N39253
783
Annexes
Abréviations
C EMG
Commandement d'Ecole d'état-major général
CD-ROM
Compact Disc - Read Only Memory, disque optique compact Commission de gestion du Conseil des Etats
CdG-CN Commission de gestion du Conseil national
CEMG chef de l'état-major général
Conférence pour l'armement
CPA CR d dél CdG
cours de répétition allemand
délégation des commissions de gestion
DMF Département militaire fédéral
EBG
Elektronischer Generalstabsbehelf
OCFIM Office central fédéral des imprimés et du matériel
GEMG f
Groupement de l'état-major général
GdA
Groupement de l'armement
LREC
Loi sur les rapports entre les conseils
MILFIS
Militärisches Führungs-Informationssystem
OFI
Office fédéral de l'informatique
PC
Personal Computer, ordinateur personnel
784
CdG-CE
français
Liste des personnes interrogées
Aeschimann Stefan, secrétaire général suppléant, DMF
Bacher René, chargé de l'enquête administrative du DMF Binder Rolf, commandant de corps, ancien chef de l'instruction du DMF
Blumer Hans-Rudolf, divisionnaire, commandant des cours d'Etat-major général Del Ponte Carla, procureur de la Confédération
Dreher Martin, colonel EMG
Ebert Edwin, divisionnaire Unterstabschef Führungsuntersützung
Feuz Daniel, soldat
Furrer Gustav, Furrer et Partner SA
Garin Henri, directeur OFI
Hauenstein Roland, Ministère public
Heer Felix, chef de la Division de l'informatique de l'administration, EMG Hügli Martin, chef de l'Office central du DMF pour la protection et la sécurité
Isler Rolf, Groupement de l'armement
Karli Franz, Office central du DMF pour la protection et la sécurité Künzli Roger, soldat
Liener Arthur, commandant de corps, chef de l'Etat-major général
Meyer Paul, brigadier, commandant des cours d'Etat-major général
Müller Kurt, Groupement de l'armement
Müri Ulrich, chef du projet sécurité informatique
Nyffenegger Friedrich, colonel EMG
Ogi Adolf, conseiller fédéral, chef DMF
Pitteloud Jacques, rapporteur du chef DMF
Ringgenberg Rudolf, Groupement de l'armement
Rochat Daniel, Multi Media Masters and Machinery SA
Rusch Markus, divisionnaire, suppléant du chef de l'Etat-major général Trachsel Peter, chef de la section sécurité informatique, OFI Wicki Toni J., chef du Groupement de l'armement van Wijnkoop Jürg, auditeur en chef
Zölch Franz, brigadier, chef du service d'information de la troupe
N39253
785
Schweizerisches Bundesarchiv, Digitale Amtsdruckschriften Archives fédérales suisses, Publications officielles numérisées Archivio federale svizzero, Pubblicazioni ufficiali digitali
Evénements au sein du DMF (EBG 95) Rapport de la Délégation des Commissions de gestion du Conseil national et du Conseil des Etats du 13 novembre 1996
In
Bundesblatt
Dans
Feuille fédérale
In
Foglio federale
Jahr
1997
Année
Anno
Band
3
Volume
Volume
Heft
24
Cahier
Numero
Geschäftsnummer
97.003
Numéro d'affaire
Numero dell'oggetto
Datum 24.06.1997
Date
Data
Seite
750-785
Page
Pagina
Ref. No
10 109 076
Das Dokument wurde durch das Schweizerische Bundesarchiv digitalisiert. Le document a été digitalisé par les. Archives Fédérales Suisses. Il documento è stato digitalizzato dell'Archivio federale svizzero.