97.003

#ST# 97.003 Evénements au sein du DMF (EBG 95) Rapport de la Délégation des Commissions de gestion du Conseil national et du Conseil des Etats du 13 novembre 1996 Introduction Le 24 janvier 1996, le Ministère public de la Confédération (MP) a arrêté le colonel d'état-major général (EMG) à la retraite Friedrich Nyffenegger ainsi que diverses personnes civiles pour présomption de délits présumés contre le patri- moine. Il y avait simultanément présomption de violation de prescriptions régissant la protection des informations. Le 26 janvier, le Département militaire fédéral (DMF) a publié à ce sujet un communiqué de presse, suivi le 29 janvier par un second communiqué et des informations supplémentaires. Le 22 février, le MP et le juge d'instruction militaire ont donné des informations sur l'état de l'enquête en cours qui aurait permis de confirmer les présomptions de corruption, d'irrégu- larités financières, d'abus de confiance et de violation de secrets militaires. 750 1997-227

Rapport I Mandat, organisation et procédure l Mandat et compétences de la délégation des Commissions de gestion 1.1 Mandat général selon la loi sur les rapports entre les conseils La délégation des Commissions de gestion (del CdG) est une délégation per- manente des Commissions de gestion des deux Conseils. Elle a pour mandat d'examiner régulièrement en détail les activités dans le domaine de la sécurité de l'Etat et du renseignement (art. 47q"'iqu' et feraient partie des données contenues sur le CD-ROM, «car toutes ces choses ont été présentées». «Lors de la démonstration, un échantillon (un ouvrage, un règlement, une carte etc.) à l'échelle 1:1 a été présenté et le contenu prévu a été exposé, tout comme les deux domaines secrets devant être contenus sur la version rouge du CD-ROM.» La démonstration du 30 mars 1994 a été perçue de manière différente par les participants. Pour le brigadier Paul Meyer, c'est à cette occasion que le chef de l'état-major général a donné son feu vert à la réalisation du CD-ROM en deux 762

versions. Il aurait, à cette occasion également, autorisé l'intégration des cartes nationales. Le colonel Friedrich Nyffenegger a également souligné l'importance de cette démonstration. Le chef de l'état-major général aurait voulu voir un échantillon de l'EBG 95 avant de prendre sa décision définitive: «Une fois qu'ils avaient vu la démonstration, les représentants des offices fédéraux, les sous-chefs d'état-major et les supérieurs hiérarchiques du brigadier Meyer étaient persuadés que le choix du support électronique était le bon. (...) Je me souviens de cette démonstration, car c'est à ce moment là, que l'idée a été acceptée et que la décision de réaliser l'EBG est tombée». Effectivement le colonel Friedrich Nyffenegger avait relevé dans une notice datée du 4 mai 1994, que le projet avait rencontré un avis généralement favorable. Selon cette notice, le chef de l'état-major général se serait prononcé ainsi (citation partielle): «- Le chef de l'état-major général s'est déclaré satisfait du stade et de la qualité atteints par le projet EBG. Il voit dans la forme prévue pour l'EBG 95 une solution valable pour remplacer l'actuel aide-mémoire.

- Il accepte la proposition que, après les expériences dans le cadre du cours d'état-major 1/94, cet aide-mémoire (EBG 95) soit remis aux officiers EMG sous forme d'un CD-ROM ainsi que, de1 manière réduite, sous forme imprimée.

- Que la question de la sauvegarde du secret continue d'être coordonnée avec l'OCS et que, le cas échéant, une proposition sera faite.

- Le chef de l'état-major général donne son feu vert pour la suite du projet et la réalisation de l'EBG 95 pour le cours d'état-major général 1/94 et la remise du CD-ROM et d'une version imprimée au 1er janvier 1995». La présentation de ces mêmes événements par le chef de l'état-major général lors de son audition par la délégation était nettement plus retenue. Il n'a pas été question de décision positive ni même d'un «feu vert». Tout d'abord, le chef de l'état-major général a reconnu que «cette affaire ne me (le CEMG) touchait pas spécialement. Il s'agissait d'une affaire de routine, comme bien d'autres.» A cette introduction il a ajouté (citation intégrale): «Le 30 mars 1994, le projet m'a été présenté à l'arsenal fédéral de Berne, dans le cadre d'un rapport du chef de l'état-major général. J'ai fait une note: <Bon travail préparatoire). Des problèmes non résolus, la question de la sauvegarde -du secret doit m'être soumise pour décision. Jusqu'au mois de janvier de cette année, c'est-à-dire jusqu'au moment où le Ministère public de la Confédération et le juge d'instruction militaire m'ont posé la question, je ne m'étais pas spécialement occupé de ce problème». Dans sa prise de position du 1er novembre, le chef de l'état-major général présente les raisons qui ne l'ont pas poussé à intervenir directement dans le domaine du projet EBG. Il souligne principalement les points forts de ses activités de conduite durant la période concernée (armée 95 et DMF 95), ainsi que sa pondération différente des responsabilités dans le projet EBG et dans les domaines de la protection et de la sécurité des informations. Appréciation: La présentation du 30 mars 1994 est caractéristique de tout le déroulement du projet. Un rapport d'état-major général a été valorisé par la présentation d'un nouvel 763

instrument technique d'instruction et de conduite. A cette occasion, la décision sur la poursuite du projet a été prise, sans qu'une discussion détaillée ait eu lieu sur les problèmes liés au contenu et à la question de la protection des données. Outre la notice rédigée un mois plus tard par le chef de projet, il n'y a aucun document qui aurait pu être consulté au sujet du déroulement futur et du contrôle de la réalisation du projet. L'ordre du chef de l'état-major général de continuer de coordonner la question de la sauvegarde du secret avec l'OCS a été donné sans connaissance des mesures de sécurité qui ont été prises, respectivement négligées et ne tient pas compte de la discussion qui a eu lieu le 24 janvier 1994 au sujet du projet MILFIS (cf. point 6.1 infra). Par la suite, il n'y a donc eu aucun contrôle. L'OCS lui-même reconnaît n 'avoir pas eu connaissance des directives du CEMG. Le fait que le projet ait été considéré comme étant une «affaire de routine» peut être la raison de cette manière d'agir. Mais il ne saurait en aucun cas justifier le fait de n'avoir pas compris les enjeux en matière de sécurité et le préjudice potentiel pour l'armée. La présentation du 30 mars 1994 est une circonstance qui montre que si le chef de l'état-major général connaissait l'objet du projet, il en avait toutefois sous-estime les aspects problématiques. En fait, il avait confiance dans les ordres et les directives adressés à ses subordonnés et au chef de projet. 6 Réalisation/saisie des données 6.1 Passage à MILFIS Lors de sa séance du 10 février 1994, la Conférence informatique du DMF devait se déterminer sur le concept et donner son accord pour la réalisation de l'EBG 95. Le délai de réalisation pour l'unité 1 était fixé au 31 janvier 1995. Les coûts budgétisés se montaient à 588 000 francs, dont un montant de 60 000 francs avait déjà été dépensé au moment de l'approbation du projet. Le procès-verbal de la séance de la Conférence informatique du DMF contient, entre autres, la constata- tion de trop nombreux doublons entre MILFIS et l'EBG. Les deux projets ont donc été réunis, car c'était le seul moyen d'assurer la coordination nécessaire. Il a ensuite été décidé de tracer l'EBG 95 de la liste des priorités et de l'acquérir en tant que sous-système de MILFIS-1. Avant cette décision, soit le 24 janvier 1994, et sous la direction du chef de l'état-major général, une discussion concernant le projet MILFIS avait eu lieu. MILFIS (de l'allemand Militärisches Führungs- und Informationssystem, c'est-à- dire systèmes militaires d'information et de conduite) est le nom d'un projet concernant la conduite et l'aide à la décision assistées par ordinateur destiné aux états-majors et aux commandants au niveau armée et grandes unités. MILFIS est un projet informatique de l'armée qui ne peut être comparé à aucun autre et qui doit être réalisé avec l'aide de Siemens pour un montant évalué à 200 millions de francs. Le 24 janvier 1994, il a entre autres été décidé que «le développement et l'acquisition de chaque unité de réalisation doivent se faire selon la planification des projets de l'armement. Pour atteindre cet objectif, une organisation de projet MILFIS, subordonnée à la Commission de direction du projet, est mise sur pied. Cette commission est dirigée par le directeur de l'Office d'armement 1. La Commission de direction du projet est subordonnée à la Commission de l'arme- ment». A l'époque, le projet MILFIS se trouvait lui-même dans une situation 764

difficile. Après un essai auprès de la troupe avec un système programmé en Suisse qui s'est achevé fin 1993, la décision d'acquérir un logiciel étranger a été prise. Ainsi, les travaux préparatoires déjà entrepris sont devenus caducs. Comme le délai de réalisation de MILFIS avait été estimé entre cinq et sept ans, le commandement des cours d'état-major général a insisté pour une réalisation rapide de l'EBG 95. Le passage du système d'acquisition d'HERMES à MILFIS a eu des conséquences du point de vue de la responsabilité. Selon le mandat du projet du 1er juillet 1994, la responsabilité était confiée au responsable technique du projet du Groupement de l'armement; «il met sur pied et contrôle le respect des mesures en matière de sauvegarde du secret par les mandataires». Le mandat du projet signé par le chef de l'armement prévoyait son entrée en vigueur au 1er juillet 1994. Mais, après la décision prise par la Conférence informatique du DMF du 10 février 1994, la responsabilité du projet EBG 95 incombait au Groupement de l'armement, respectivement à la Commission de l'armement pratiquement depuis le printemps 1994 déjà. Les solutions informatiques utilisées par les fonctionnaires sont des projets administratifs et leur déroulement est soumis à HERMES. En revanche, si l'utilisateur est un militaire, il s'agit d'un projet d'armement. L'EBG 95 est donc un cas spécial dans la mesure où il est à la fois de nature administrative (dans le cadre de son utilisation par le commandement des cours d'état-major général) et de nature militaire (lorsqu'il est utilisé par des officiers EMG). Il était donc possible de procéder à son acquisition par les deux voies. Le rapport Rusch souligne que suite à cette double subordination (seule) la responsabilité pour l'acquisition, les contrats et le déroulement du projet ont été transférés dès le mois de février 1994 au Groupement de l'armement et que le commandement des cours d'état-major a en revanche gardé la responsabilité du contenu. Monsieur Felix Heer, chef de la Section informatique du Groupe de la planification à l'état-major du Groupement de l'état-major général a pondéré cette répartition différemment: «Le colonel Friedrich Nyffenegger n'était plus responsable que des besoins des utilisateurs de l'EBG, la réalisation en revanche dépendait du responsable technique du projet. C'est lui qui concluait les contrats avec les entreprises. Ainsi, la protection de l'information et la sauvegarde du secret lors de la phase de réalisation du projet incombait au responsable technique». Selon des déclarations du chef du projet, le colonel Friedrich Nyffenegger, le passage à MILFIS n'a pratiquement entraîné aucun changement. Le Groupement de l'armement en est arrivé à la conclusion que l'EBG 95 était qualifié en tant qu'avant-projet de MILFIS, «après cela, les crédits se sont mis à pleuvoir». De l'avis de Monsieur Felix Heer, il aurait été judicieux de procéder à un acte formel déliant formellement le chef de projet sortant de ses responsabilités. En effet, la procédure en vigueur dans le domaine de l'armement ne prévoit pas qu'un collaborateur représentant les besoins des utilisateurs puisse porter cette respon- sabilité. Par ailleurs ceci concernait tout particulièrement la sécurité au cours de la phase de production. Mais le colonel Friedrich Nyffenegger a continué d'apparaître comme le chef global du projet. 765

Le passage d'HERMES à MILFIS a donc entraîné le passage de la responsabilité au responsable technique du projet. Monsieur Rudolf Ringgenberg a donc repris la responsabilité de faire respecter et de contrôler l'application des mesures de protection des informations par les mandataires également en ce qui concerne l'EBG 95. Il a d'ailleurs confirmé cette responsabilité: «Nous (c'est-à-dire le Groupement de l'armement) avons repris le mandat en mars/avril 1994. Nous l'avons considéré comme achevé lorsque les matrices (les originaux) CD-ROM noir et du CD-ROM rouge étaient réalisées. Nous n'étions pas responsables de la gravure des CD-ROM. C'est l'OCFIM qui en a mandaté l'exécution et qui en supportait les coûts». Le Groupement de l'armement pensait n'avoir aucune raison d'entreprendre des mesures particulières étant donné que ce n'était pas lui qui octroyait le mandat de production. L'OCFIM «donnait depuis des années le mandat d'impression des trois volumes de l'aide-mémoire à l'extérieur. Il (OC- FIM) devait donc savoir comment il faut traiter ce genre de document». L'OCFIM n'était responsable que pour l'attribution du mandat et pour le décompte des coûts. En revanche, l'OCFIM n'a jamais eu entre les mains ni une matrice originale, ni un CD-ROM gravé étant donné que ceux-ci étaient livrés directement à leur destinataire militaire final par l'entreprise de production. L'OCFIM n'a pas non plus entrepris les contrôles de sécurité auprès de l'entre- prise chargée de graver les CD-ROM. Le groupement de l'armement n'a pas traité la production de ces CD-ROM autrement que par l'impression d'un règlement par une imprimerie privée. Concrètement, le Groupement de l'armement a fait en sorte que les entreprises mandatées et les personnes concernées soient soumises par l'OCS aux contrôles de sécurité prescrits. En outre, en liaison avec ces contrôles et dans la mesure où cela s'avérait nécessaire, un responsable de la sauvegarde du secret et un suppléant ont été désignés dans les entreprises concernées. Ils ont été instruits et les instructions spéciales leur ont été transmises. Dans le cadre de l'EBG 95, Monsieur Rudolf Ringgenberg, responsable technique du projet, a lui-même procédé à des contrôles non annoncés sur place, à Zurich et à Bienne. Le Groupement de l'armement a limité ses activités matériellement et dans le temps. Matériellement en ne s'occupant que des conditions annexes (les contrôles des entreprises) et dans le temps en bouclant le projet (prématurément) avec l'achèvement de la matrice. Selon l'état actuel des soupçons, c'est tout de suite après ce stade que les comportements contraires aux prescriptions ont débuté, notamment en ce qui concerne les diverses gravures, les pièces résiduelles, etc.... Selon les explications du chef de l'armement Toni J. Wicki, «le transfert s'est effectué hors des normes habituelles, raison pour laquelle la réglementation des interfaces n'était pas claire. Après coup, j'ai (le chef de l'armement) appris de mes collaborateurs que l'état-major général continuait en permanence de diriger le projet car il voulait que le produit soit terminé à temps. La responsabilité de la conduite du projet n'était pas clairement établie». Comme le chef de l'état-major général; le chef de l'armement avait également attribué au projet EBG une priorité inférieure à celle d'autres projets. Certes, il était disposé à assumer la «responsabilité supérieure», mais pour MILFIS, l'EBG ne revêtait qu'une impor- tance accessoire, «il s'agissait d'un paquet de données qui n'était pas produit chez nous et qui ne devait qu'être chargé dans la mémoire de MILFIS.» Il semblait 766

important «que le système global suffise aux exigences en matière de protection et de sécurité». Le chef de l'armement n'a pas pris d'autres dispositions en matière de sauvegarde du secret et de protection des informations. Appréciation: Le passage du projet d'un déroulement de type administratif à un déroulement de type militaire était inhabituel et a eu des conséquences importantes sur la responsabilité en matière de sauvegarde du secret. Un processus inhabituel devrait impliquer une prudence particulière. Dans ce cas, tant le chef de l'état-major général que le chef de l'armement responsable pour MILFIS ont négligé de créer des rapports clairs. Les conséquences de cette négligence ont été de nature diverse: les ordres n'ont pas été exécutés de manière objective, le responsable technique du projet n'a pas tenu compte de la nature du média utilisé et des données concernées et la responsabilité de la production et de la livraison a été déléguée à l'OCFIM. En outre, l'OCS s'est retiré de la responsabilité du projet EBG 95, ce qui a eu pour conséquence que plus personne n'était responsable ni de la phase de production ni de la sécurité informatique des phases ultérieures. Le fait que, le 30 mars 1994, alors que la décision de passer à MILFIS avait déjà été prise, le chef de l'état-major général donne au chef de projet de l'EBG 95 l'ordre de poursuivre l'adaptation des mesures en matière de sauvegarde du secret avec l'OCS, prouve combien sa vision de la situation était peu claire. Le chef de l'armement et le Groupement de l'armement ont formellement repris la responsabilité globale du projet EBG mais se sont limités à en assumer que l'aspect lié aux entreprises externes (sociétés privées mandatées). Ils ne se sont pas préoccupés des données. Il était donc tout à fait impossible de procéder à une évaluation des mesures nécessaires à la protection des informations du projet. 6.2 Réalisation et manque de temps En septembre 1993, l'étude précisait déjà que le projet était déjà soumis à une «forte pression par manque de temps». Des remarques correspondantes ont également été retrouvées dans des documents ultérieurs. Contrairement à ces documents, la délégation a entendu diverses remarques malgré la réforme armée 95, il n'y avait pas de raison objective justifiant le manque de temps. Le brigadier Paul Meyer et le colonel Friedrich Nyffenegger auraient tout entrepris pour que l'EBG 95 soit terminé à fin 1994 pour des raisons de prestige personnel et dans l'optique d'une promotion. Tant le chef de projet que son supérieur hiérarchique se sont défendus d'une telle présentation des faits. Ils ont rappelé que la version imprimée de l'aide-mémoire pour le service d'état-major général n'aurait plus pu être mis à jour en parallèle à la version électronique, et qu'en plus, au niveau des officiers EMG, il était nécessaire, dès le mois de janvier, de disposer d'une version intégrant les changements impliqués par armée 95. Dans les conclusions de son rapport, le divisionnaire Markus Rusch était de l'avis que les délais extra- ordinairement courts avaient provoqué une réalisation partiellement superficielle du projet. Le fait que l'EBG 95 ait pu être réalisé dans des délais, planifiés, si courts, provient du fait que de nombreuses données étaient déjà disponibles sous forme numérique. La délégation ne s'est pas préoccupée de la situation actuelle de ces données en matière de sécurité informatique. 767

6.3 Sauvegarde du secret, contrôle de sécurité relatif aux personnes, appel à des militaires Les procédures de sécurité et de sauvegarde du secret des entreprises concernées, dans la mesure où elles n'avaient pas déjà été contrôlées, ont été régulièrement effectuées par l'OCS. Des contrôles ont été effectués sur place par l'OCS et par le Groupement de l'armement. L'OCS a établi les certificats de sécurité nécessaires pour les entreprises. L'appel à des militaires a été fait par voie d'annonce sur courrier électronique. Leur engagement a été justifié par des économies réalisées de plus de 3 millions de francs et par le fait que le DMF manquait du personnel informatique. En ce qui concerne les militaires, le rapport Rusch laisse sous-entendre qu'ils n'auraient pas été soumis aux contrôles de sécurité. Les auditions de divers militaires ainsi engagés n'ont pas permis à la délégation de remarquer que des mesures de sécurité particulières avaient été prises. Ces militaires n'ont en effet pas été soumis au contrôle de sécurité relatif aux personnes. 6.4 Pas de concept de sécurité durant la phase d'élaboration du projet Le passage d'HERMES à MILFIS n'avait, du moins selon les déclarations de son responsable, aucun effet pour l'OCS: «... l'OCS n'était pas concerné par ce changement». Le 2 août 1994, le colonel Friedrich Nyffenegger a envoyé la table des matières de l'EBG 95 à l'OCS. Selon ce dernier, le contenu définitif - digne de la plus haute protection - de l'EBG 95, donc avec les répertoires de mobilisation et des ouvrages, a été communiqué pour la première fois. Le 9 août 1994, sur la base de la table des matières, l'OCS a demandé que le CD-ROM rouge soit classifié comme Secret et le CD-ROM noir (ou blanc comme il était encore appelé à cette époque) comme Confidentiel. De plus, afin de procéder à une évaluation définitive, l'OCS a exigé les textes et les renseignements complets sur l'équipe- ment technique. Ses mises en demeure du colonel Friedrich Nyffenegger des 11 novembre et 8 décembre 1994 sont restées sans effets. L'OCS a également demandé au colonel Friedrich Nyffenegger de lui fournir un concept de sécurité concernant l'usage de l'EBG 95. Appréciation: Outre le passage d'HERMES à MILFIS, plusieurs des personnes entendues ont qualifié le manque de concept de sécurité comme étant l'une des erreurs principales du projet EBG 95. Des problèmes de compréhension interviennent lorsqu'il n'est pas toujours clair de quel concept de sécurité (non existant) il est question. Le concept de sécurité prescrit par l'OCS et réclamé à plusieurs reprises et sur la base duquel les garanties en matière de sécurité ont été octroyées, est celui qui concerne les prescriptions régissant l'emploi de l'EBG 95, son usage et les conditions de la remise du CD-ROM. Ce concept de sécurité devait être élaboré par le commandement des cours d'état-major général et n'a été effectivement livré qu'en date du 16 février 1995 par le divisionnaire Hans-Rudolf Blumer et le colonel Martin Dreher. La réalisation 768

tardive de ce document montre que les conditions de sécurité avaient été jugées moins importantes que l'objectif de production de l'EBG 95. Ce qui manquait véritablement, c'était un concept qui n'était ni prescrit ni exigé de la part de l'OCS ou de tout autre service, et qui aurait réglé la sécurité et la sauvegarde du secret d'un bout à l'autre de la chaîne, c'est-à-dire depuis le début de la réalisation/ saisie des données jusqu'à la production du CD-ROM (gravure et livraison). Il fallait un concept de sécurité adapté à un nouvel outil informatique, décrivant l'armée dans sa totalité, qui accompagne k projet d'un bout à l'autre. A ce sujet, il convient de citer la remarque finale, tout à fait juste, du rapport du chef de l'état-major général à l'attention du chef du DMF: «Le fait que nous n 'étions pas à la hauteur des exigences en matière de sécurité informatique est devenu évident.» Par contre, la délégation ne peut pas souscrire à l'analyse de la situation technologique dans le domaine informatique qui suit: «Le développement et l'introduction très rapides des possibilités techniques ont entraîné une fracture inéluctable entre possibilités techniques et sécurité». L'exigence d'un concept de sécurité concomitant au projet aurait été du domaine du possible et sa nécessité aurait dû être reconnue. Le chef de l'état-major général, le commandant des cours d'état-major général, le chef de projet et l'OCS n'ont pas remarqué qu'il manquait un concept de sécurité et n'ont donc pas agi en conséquence. 6.5 Données 6.5.1 Extension constante Comme diverses personnes concernées l'ont remarqué, la quantité de données saisies a été fortement élargie, surtout durant la phase de réalisation, à cause d'un esprit marqué par le principe de la maximisation du confort d'utilisation (nice to have-Denken). La planification avait commencé par les éléments immédiatement nécessaires qui avaient été définis personnellement par le brigadier Paul Meyer. Dans le cadre d'un groupe de travail constitué d'officiers EMG (le groupe d'évaluation), les applications qui devraient être contenues du point de vue des utilisateurs avaient été discutées durant le cours d'état-major 11/93. Le catalogue élaboré dans ce cadre a été pratiquement entièrement réalisé. Plus tard, il a même encore été élargi, notamment par l'adjonction des ordres de bataille. Pour sa part, la conférence informatique a exigé de réduire la palette d'applications au profit de la qualité. Après que le chef de l'état-major général ait donné son accord aux idées du commandement des cours d'état-major général lors de la présentation du 30 mars 1994, la Conférence informatique du DMF a donc considéré l'affaire comme décidée. Le chef de l'état-major général, le commandant de corps Arthur Liener a concédé à la délégation que «le contrôle du projet avait effectivement été perdu. A ce sujet, je me sens pour le moins moralement responsable et, dans un certain sens, également trompé». Le colonel Friedrich Nyffenegger a souligné que l'ordre du chef de l'état-major général précisait formellement que le CD-ROM ne devait contenir aucune donnée secrète. Cela était peut-être vrai au début. Le chef de l'état-major général a lui même expliqué à la délégation qu'au départ «il n'était pas question d'enregistrer des données secrètes sur le CD. Cette situation est en 769

fait née durant le développement du projet à cause d'un esprit marqué par la recherche de confort». Selon lui, le point charnière se situe le 30 mars 1994 lors de la présentation. «A l'époque, j'avais tout de suite émis des réserves et exigé que ces données ne soient en aucun cas transférées sur le même CD». (Traduit de l'allemand) «Mais comme les délais étaient très courts, les offices fédéraux ont en partie livré leurs données directement au commandement des cours d'état-major général. En partie, ils ont même livré leurs données directement à la société ASIT». (Traduit de l'allemand) Appréciation: Depuis fin mars 1994, le chef de l'état-major général avait connaissance des applications spécialisées qui se trouveraient sur le CD-ROM. Il savait donc que les données concernant la mobilisation et le répertoire des ouvrages en feraient partie. Par conséquent, il savait également que des données ponant la classification Secret s'y trouveraient. Il n'a pas émis de réserve concrète, au contraire, il s'est contenté de l'instruction générale précisant «de poursuivre l'adaptation des mesures en matière de sauvegarde du secret avec l'OCS et, le cas échéant, de faire une proposition» parce qu'il n'avait pas reconnu que la sensibilité d'une base de données électronique du type de l'EBG 95 était bien plus élevée et aurait nécessité des mesures de sécurité spéciales, en particulier des contrôles. Le chef de l'état-major général a mal évalué l'importance du projet EBG 95. Il a en particulier négligé toute la problématique de la sécurité qui y est liée et, pour cette raison, n'a pas décidé les mesures qui s'imposaient. En tant que supérieur hiérarchique du commandant des cours d'état-major et de surcroît respon- sable des données, il pone la responsabilité finale du dispositif de sécurité défectueux qui caractérise la réalisation de l'EBG 95. Le commandant des cours d'état-major général et le chef de projet y ont toutefois contribué dans une assez large mesure en ne respectant pas les directives du chef de l'état-major général qui demandait de lui présenter des propositions. 6.5.2 Répertoire de mobilisation La reprise du répertoire de mobilisation faisait déjà partie du concept de Furrer und Partner AG en tant «qu'application définie et explicitement exigée de la part du commandement des cours d'état-major général». Selon le colonel Friedrich Nyffenegger «un officier doit pouvoir disposer des données de mobilisation» et, Messieurs Hauri et Ingold, des subordonnés du brigadier Giuliano Crivelli, auraient déclaré «... que tout le répertoire de mobilisation serait classifié comme Confidentiel, que l'OCS avait déjà rédigé un écrit correspondant». Selon le colonel Friedrich Nyffenegger, la décision de transférer les données de mobilisation sur le CD-ROM ne serait tombée qu'au cours des premiers jours de décembre 1994. Les auditions ont donné l'impression qu'une grande excitation devait régner juste avant l'expiration du «délai rédactionnel». Tout le monde travaillait jour et nuit et les données ont été livrées par les offices fédéraux directement aux entreprises mandatées. Selon ses propres déclarations, la direc- tion de projet n'était pas en mesure de contrôler le contenu du CD-ROM dans le détail. 770

Appréciation: D'après les estimations du DMF, la modification du dispositif de mobilisation au 1er janvier 1997 et les modifications constantes des places d'organisation réduisent avec le temps le préjudice dans le domaine de la mobilisation. Ce préjudice ne devrait pas avoir de conséquences financières notables. La délégation ne partage pas cette opinion. 6.5.3 Répertoire des ouvrages Pour le CD-ROM rouge, l'Office fédéral du génie et des fortifications a livré le répertoire des ouvrages. Les données transférées sont très complètes. La livraison de ces données ressort clairement de la responsabilité du responsable des données qui, en l'occurrence, est l'office qui les a fournies. Dans la mesure où des données secrètes ont été fournies et enregistrées sur le CD-ROM rouge, il y a une très claire modification du concept. La délégation ne sait pas dans quelle mesure le chef de projet ou ses supérieurs en avaient connaissance. Appréciation: Le transfert de ces données sur un support électronique donne la possibilité de déduire la localisation des centres de conduite par recoupement statistique de celles-ci (abris de transmission et de défense rapprochée). Ceci est une fois de plus la preuve que la nouvelle situation matérielle n'avait pas été anticipée ni par les offices fournissant les données, ni par les responsables du projet. Même si le dispositif des barrages doit être modifié encore au courant de cette année, le CD-ROM rouge a augmenté le danger potentiel. 6.5.4 Transfert de données secrètes L'élargissement constant de la base de données selon le principe de la maximisa- tion du confort d'utilisation (cf. point 6.5.1 supra) et le manque de temps ont généré un flux de données incontrôlé. Finalement, le principe selon lequel aucune donnée secrète ne devait être transférée n'a pas été respecté. Le fait que des données, individuellement classifiées Confidentiel mais méritant la classification Secret une fois combinées avec d'autres, aient été transférées sur le CD-ROM rouge provient de l'absence d'un concept de sécurité concomitant au projet. Appréciation: La responsabilité de ces livraisons provenait d'abord des responsables des données eux-mêmes qui n'ont pas fait preuve d'assez d'attention. Ensuite, la responsabilité du chef de l'état-major général était également engagée, car l'EBG 95 se trouvait sous sa protection et les offices fédéraux coopératifs lui ont fait confiance. Les directives au sujet de la classification des données stockées électroniquement doivent être revues (cf. III. Recommandations). 771

6.5.5 CD-ROM rouge et noir La décision d'éditer deux versions du CD-ROM a été prise lors de la démonstra- tion du 30 mars 1994 qui a eu lieu dans le cadre du rapport du chef de l'état-major général (cf. point 5.6 supra). Toutefois, cette idée avait déjà été évoquée dans le cadre du concept EBG 95 du 20 janvier 1994. Contrairement aux études pré- cédentes qui étaient favorables à une solution comprenant chiffrage et carte cryptologique, ce concept spécifiait «qu'étant donné l'état actuel des choses, le chiffrage des données sensibles sur le CD-ROM combiné avec une carte cryptolo- gique n'étant pas assuré pour des raisons à la fois techniques et financières, la production de deux éditions est planifiée. Cette solution est déjà réalisable pour la première édition et les coûts qui en découlent sont couverts par le budget actuel». Appréciation: Durant la réalisation du.projet, c'est un standard de sécurité nettement inférieur qui a été appliqué alors même que la quantité des données transférées subissait une augmentation. La conséquence a été que l'image complète de l'armée devenait disponible sur un petit support de données électroniques, facile à copier et insuffisam- ment protégé. Le chef de l'état-major général, le commandant des cours d'état-major général, le Groupement de l'armement ainsi que l'OCS sont responsable de ce risque accru et des éventuels préjudices subis. 6.5.6 Classification des données sur le CD-ROM II n'y avait et il n'y a toujours pas de bases applicables à la classification des données secrètes stockées sur un support électronique. En ce qui concerne l'EBG 95, l'idée qui a accompagné le projet peut être facilement reconstituée: seules des données classifiées Confidentiel au plus peuvent être transférées sur le CD-ROM. Ceci a été maintes fois répété lors des auditions. A ce sujet, le chef de projet a déclaré que «l'argument décisif était qu'il s'agissait de séries d'informations qui n'étaient pas classifiées très sévèrement». Le chef de l'OCS s'est exprimé dans le même sens: «Le fait qu'il n'était pas prévu d'utiliser des données portant la classification Secret a bien sûr joué un rôle pour le projet. C'est la raison pour laquelle il passait pour peu problématique». En ne transférant les données dites plus sensibles que sur le CD-ROM rouge, classifié Secret, on a partiellement tenu compte de l'avertissement contenu dans le projet qui prévoyait que la situation serait modifiée du point de vue qualitatif. La classification du CD-ROM rouge comme Secret, à cause des répertoires des ouvrages et des données de mobilisa- tion, a provoqué de nombreuses discussions. Le colonel Friedrich Nyffenegger a d'ailleurs expliqué qu'il s'était opposé à une sur-classification puisque seules des données classifiées Confidentiel avaient été transférées. En outre, il pensait qu'une version classifiée Secret entraînerait des efforts importants en matière de contrôle. La situation s'est modifiée dans la mesure où des données classifiées Secret ont tout de même été transférées sur le CD-ROM. Le colonel Friedrich Nyffenegger a prétendu que cela s'était fait à son insu et sans son autorisation (cf. point 6.5.4 supra). Le fait que le jour de la démonstration de l'EBG 95 à la presse, l'OCS a 772

reçu un coup de fil - le matin à huit heures - afin de savoir si la classification prévue était en ordre, prouve bien que l'on a traité la question de la classification sans concept aucun. Fondamentalement, la classification des données est une tâche qui incombe au responsable des données. L'OCS n'était donc pas respon- sable de la classification, il avait pour mission d'assister les responsables. Les documents nécessaires à l'évaluation ne lui ont toutefois jamais été soumis. Si l'OCS a procédé à des avertissements, il n'est jamais intervenu à l'échelon supérieur. Appréciation: D'un point de vue purement formel, les deux versions rouge et noire du CD-ROM ont été classifiées correctement. Les données qui se trouvent sur la version noire ne sont pas classifiées ou classifiées Confidentiel. Seule la version rouge contient des données secrètes. Toutefois la version rouge du CD-ROM mériterait la classification Secret même si aucune donnée secrète n'avait été transférée, ceci à cause de la sensibilité des données qu'elle contient. La base légale selon laquelle il est nécessaire de procéder à une nouvelle évaluation de la classification lorsque des données sont stockées électroniquement doit donc être instituée (cf. III. Recommandations). 7 Production et déchets La société Furrer und Partner AG élaborait la matrice comprenant toutes les données préparées pour le transfert. La matrice était à chaque fois transmise à un représentant du commandement d'Ecole d'état major (au colonel Friedrich Nyffenegger ou à un messager). De là il était ensuite remis à l'entreprise responsable de la gravure. Avant la livraison d'une matrice, la société Furrer und Partner AG gravait un nombre limité et numéroté de CD d'essai à des fins de contrôle. La société Multi Media Masters and Machinery SA (MMMM) à Yverdon a reçu le mandat de graver l'EBG 95 aux frais de l'OCFIM. MMMM avait auparavant fait l'objet d'un contrôle de sécurité et a été instruit sur les prescriptions de sauvegarde du secret par Monsieur Stefan Glanzmann de l'OCS. Selon le directeur de MMMM, Monsieur Daniel Rochat, les directives étaient claires mais insuffisantes et auraient eu besoin d'un complément. La gravure des CD a été effectuée sans que MMMM prenne connaissance des données qu'ils contiennent. Toutefois, MMMM aurait eu la possibilité d'en prendre connaissance. Les CD défectueux ont chaque fois été gravés une nouvelle fois en répétant le numéro de série de la pièce défectueuse. Aucun inventaire des produits défectueux n'a été dressé. Selon le colonel Friedrich Nyffenegger, il y aurait eu toute une série de CD portant le même numéro. Une fois gravés, MMMM livrait les CD directement au commandement d'Ecole d'état-major ou à son représentant. A une exception près, la réception a toujours été effectuée par le colonel Friedrich Nyffenegger qui en assurait également la distribution. Le 2 septembre 1994,100 CD-ROM rouges et 100 CD-ROM noirs de la version 0 ont été commandés. Monsieur Gustav Furrer aurait, sur ordre du colonel Friedrich Nyffenegger, détruit au total environ 100 CD-ROM rouges et noirs de la 773

série zéro, toutefois sans établir de procès-verbaux de destruction corrects. Il aurait en outre reçu un exemplaire du CD-ROM noir en tant qu'«exemplaire justificatif». Le colonel Friedrich Nyffenegger aurait repris «un carton à chaus- sures plein de déchets» de MMMM et l'aurait détruit lui-même sans établir de procès-verbal correspondant. Le colonel Friedrich Nyffenegger avait gardé à son domicile, sans protection aucune, une version rouge et une version noire du CD-ROM. Ces versions appelées «golden WRITE ONCE single sessions» de la série 1 étaient, selon lui, destinées aux archives fédérales. Le 16 décembre 1994, les CD-ROM noirs de la série 1 ont été envoyés. Les CD-ROM rouges de la série 1, soit 250 exemplaires, ont été remis par la société MMMM SA au colonel Friedrich Nyffenegger le 21 décembre 1994. Ce dernier les a ensuite remis à son successeur, le colonel Martin Dreher. Ils ont été enregistrés et, selon le colonel Martin Dreher, ils sont tous présents. Cent septante CD-ROM de la série 0 sont restés illégalement chez MMMM. Au moment de l'enquête militaire, la société Furrer und Partner AG était en train de préparer la 2e version de l'EBG et se trouvait donc en possession du «write once» de la série 2. Au mois d'août 1995 déjà, les travaux pour la version 2 rouge avaient été arrêtés de manière à favoriser la version noire qui avait pris du retard. L'explication des faits dans le détail entre dans le domaine de compétence de la procédure d'instruction militaire. La délégation est toutefois assez au courant des faits pour pouvoir constater de très graves lacunes en matière de gestion des pièces défectueuses. Sans prétendre être exhaustif, la délégation a eu connais- sance des faits suivants:

- L'authenticité des procès-verbaux de destruction de la société Furrer und Partner AG est douteuse. Ils sont inconciliables avec les CD-ROM noirs existants (malgré tout).

- Des exemplaires préliminaires de la version 1 du CD-ROM rouge ont été mis en sécurité.

- Il y a des CD-ROM noirs qui portent le même numéro de série. Les CD-ROM défectueux n'ont donc pas tous été détruits. La production de l'EBG 95 a été assurée par le chef de projet en solitaire. Il n'y avait aucune prescription particulière s'appliquant à la production de supports de données. Ni l'OCS, ni le Groupement de l'armement n'ont contrôlé ce qu'il advenait aux pièces de rebut et aux déchets de fabrication. Devant la délégation, le colonel Friedrich Nyffenegger et Monsieur Gustav Furrer ont reconnu avoir commis des erreurs avec le matériel informatique. Appréciation: Dans cette phase du développement de l'EBG 95, c'est-à-dire après la saisie des données, l'absence d'un concept de sécurité concomitant au projet a eu une deuxième fois des conséquences graves. Durant la phase de production, il n'y avait pas de contrôle suffisant, donc pas de sécurité suffisante en ce qui concerne les données qui se trouvent sur les versions noire et rouge du CD-ROM. En effet, le contrôle des exemplaires préliminaires et défectueux était tout à fait insuffisant. Dans ce cas, la responsabilité doit être attribuée d'une part aux personnes qui ont permis au projet de 774

démarrer sans concept de sécurité, et, d'autre part, aux personnes (pouvant être poursuivies pénalement ou disciplinairement) qui ont concrètement commis des infractions contre les prescriptions en matière de sauvegarde du secret. Ce domaine fait l'objet de l'enquête menée par le juge d'instruction militaire. 8 Présentation et mise en œuvre du CD-ROM 8.1 Présentation aux médias Au courant du mois d'octobre 1994, le divisionnaire Hans-Rudolf Blumer a repris le commandement de l'Ecole d'état-major du brigadier Paul Meyer. Le 8 dé- cembre 1994, l'EBG 95 faisait l'objet d'une présentation à la presse. Le com- mandant de corps Arthur Liener, chef de l'état-major général, le colonel Friedrich Nyffenegger, le professeur Carl August Zehnder ainsi que Monsieur Gustav Furrer ont assuré cette présentation. L'EBG 95 a été décrit comme un moyen d'instruction et de travail moderne pour les officiers de l'état-major général. 8.2 Concept de sécurité règlement 52.52 «EBG 95» Le 8 décembre 1994 l'OCS a, pour la dernière fois, demandé par lettre que le chef de projet lui remette le concept de sécurité concernant l'utilisation de l'EBG. Par la même occasion, l'OCS avait émis le souhait, afin de le soutenir et de le conseiller, de faire partie du groupe de travail milice/administration institué par le divisionnaire Hans-Rudolf Blumer. Selon le chef de projet, le colonel Martin Dreher, le collaborateur de l'OCS Monsieur Franz Karli et le représentant des utilisateurs, Monsieur Wolfgang Frei animaient ce groupe de travail «protection et sécurité MILFIS et EBG». En décembre 1994, la situation concernant le concept de sécurité n'était de toute évidence pas considérée comme grave par l'OCS. En effet, il n'y a eu aucune intervention auprès du supérieur du colonel Friedrich Nyffenegger et aucune autre mesure n'a été prise. Le concept de sécurité a par la suite été élaboré par le colonel Martin Dreher et ratifié par le divisionnaire Hans-Rudolf Blumer le 16 février 1995. Ce dernier prétend toutefois n'avoir rien su des exigences de l'OCS en matière de concept de sécurité. Les déclarations du colonel Friedrich Nyffenegger et du colonel Martin Dreher divergent passablement en ce qui concerne le moment à partir duquel le colonel Martin Dreher a repris de réaliser ce concept. Le colonel Friedrich Nyffenegger a prétendu que le brigadier aurait transmis cette tâche au colonel Martin Dreher en août 1994. Au contraire, ce dernier prétend n'avoir pas su jusqu'à son premier contact personnel avec le CD-ROM, qui a eu lieu lors du cours d'état-major général 1/94, que le concept de sécurité esquissé dans le concept de la société Furrer und Partner n'avait pas été réalisé. Depuis mi-1994, en collaboration avec Monsieur Franz Karli, il participait au développement d'un logiciel permettant d'effacer toutes les données intermédiaires sur les PC. Dès le 12 octobre 1994, le colonel Martin Dreher a élaboré les directives du commandement d'Ecole d'état-major général en matière de protection et de sécurité dans le domaine informatique en complément à l'ordre général pour les cours EMG. Le concept de sécurité exigé par l'OCS a été ratifié par le divisionnaire Hans-Rudolf Blumer sous l'appellation «règlement 52.52 EBG 95, buts, distribution, mesures de 775

protection et de sécurité» puis distribué à tous les destinataires de l'aide-mémoire pour le service d'état-major général. Comme les avertissements et les réprimandes du divisionnaire Hans-Rudolf Blumer le prouvent (cf. point 8.3 infra) les direc- tives pour la protection et la sécurité dans le domaine informatique ont été mises en œuvre, respectivement appliquées. Ces directives ont été révisées le 20 avril 1995. Appréciation: La remise en prêt de PC de l'état-major et du CD-ROM noir recèle des dangers qui ne sauraient être ignorés. L'objection selon laquelle la version imprimée de l'aide- mémoire était également remise en prêt n'est pas valable car la situation actuelle n'est pas comparable avec l'ancienne. Le CD-ROM peut être copié'beaucoup plus facilement, et la tentation de «s'approprier» toutes les données en appuyant sur quelques touches du clavier d'un PC est grande. Les directives concernant le concept de sécurité en matière d'utilisation de l'EBG doivent être revues. 8.3 Mise en œuvre de l'EBG 95 La première introduction des participants au cours d'état-major général à l'EBG a eu lieu le 23 septembre 1994 (cours 1/94). A cette occasion, c'est la version O qui a été utilisée. Le 16 décembre 1994, la version 1 du CD-ROM noir, munie de la classification Confidentiel, a été envoyée aux destinataires de l'aide-mémoire pour le service d'état-major général, accompagnée du règlement 52.52 «EBG 95» cité ci-dessus. Une invitation à des cours d'introduction facultatifs d'un jour a également été annexée à cet envoi. Les instructeurs et les officiers de troupe ont été introduits par le colonel Martin Dreher à l'EBG 95 durant le cours d'état-major général 1/95. Le seuil d'accepta- tion très variable selon le niveau des connaissances préalables et la préparation des élèves a conduit le divisionnaire Hans-Rudolf Blumer à proposer qu'un instructeur ou un officier EMG spécialisé en informatique soit mis à disposition de ces cours (une demande restée sans réponse au moment de l'audition qui s'est déroulée début mai 1996). Les appareils et le respect des directives ont été contrôlés durant chaque cours. Divers officiers ont été punis disciplinairement pour n'avoir pas respecté ces directives. Notamment deux officiers ont été menacés d'être renvoyés du cours 11/96. En fait, la remise en prêt d'un PC EMG avec la version noire du CD-ROM est problématique. De plus, un programme de l'OCS a été développé et permet- trait depuis début 1995 d'effacer proprement toutes les informations inter- médiaires sur un PC. Des officiers étrangers suivant une formation auprès du commandement d'Ecole d'état-major général ont accès à la version noire du CD-ROM. Un capitaine de la Bundeswehr a reçu une instruction durant huit semaines avec le CD-ROM noir. On attribue tout bonnement un «effet dissuasif» à une telle collaboration. Les commandements des grandes unités ont également fait la demande afin d'être équipés de la version rouge du CD-ROM. Le chef de l'état-major général a donc décidé de leur en délivrer deux à trois exemplaires. 776

Ht Malgré le concept de sécurité «divisionnaire Blumer/colonel Dreher», lors du quatrième trimestre 1995, dix CD-ROM noirs ont été délivrés sans quittance par l'OCFIM à la charge du commandement d'Ecole d'état-major général. Cet événement fait partie de l'enquête militaire en cours. Cet incident confirme les craintes de la délégation au sujet de la remise en prêt de la version noire des CD-ROM en dehors des cours d'état-major général. Les travaux concernant la version 2 avaient pour objet, outre quelques adapta- tions, d'améliorer la qualité. Afin de favoriser le développement du CD-ROM noir, les travaux concernant la version 2 rouge ont été arrêtés en août 1995 déjà. Le CD-ROM noir est décrit comme étant un instrument absolument nécessaire pour les officiers de l'état-major général. 8.4 Démonstration de l'EBG devant la délégation La démonstration des deux CD-ROM rouge et noir a largement confirmé ce qui est ressorti des auditions. L'accès aux deux CD-ROM se fait au moyen d'un mot-clé qui libère l'environne- ment (ou interface) utilisateur. Depuis là, un classeur permet d'accéder à divers fichiers de données. Les cinq domaines principaux comprennent les ordres écrits et les documents d'aide, les effectifs des troupes, les cartes (basées sur les cartes nationales) ainsi que des bases de données (équipement, hommes, matériel, communes, frontières, biens culturels, informations sur le réseau des routes nationales). La même procédure d'accès par mot-clé mise à part, le CD-ROM Secret n'est pas protégé par d'autres niveaux ou procédures de sécurité. Le gestionnaire de fichiers du système d'exploitation standard «Windows» permet de voir l'intégralité du contenu du CD-ROM. Les deux versions pourraient donc être lues et copiées intégralement avec n'importe quel logiciel de base du commerce tournant sur un PC tout à fait standard, et ceci sans connaissances informatiques particulières. Les fonctions et les performances ainsi que la présentation du CD-ROM sont basées sur un programme de traitement de textes courant. La marque n'a pas été divulguée. Le texte est saisi dans un format de texte standard. Il peut être copié, collé, exporté, enregistré intermédiairement, intégré dans des documents en dehors du CD-ROM et sauvegardé sur le disque dur du système. Les cartes et les informations de la base de données qui peuvent être combinées avec elles, p. ex. les informations sur les biens culturels, sont également simples à utiliser. Il y a une fonction zoom qui permet de sélectionner des secteurs des cartes nationales (à diverses échelles) que l'on veut afficher. Par-dessus ces secteurs, il est possible d'afficher, au moyen d'icônes, des informations en provenance d'autres fichiers de la base de données, p. ex. les biens culturels justement. Les informations organisées dans une base de données «Access» sont très complètes et rapidement accessibles pour le secteur choisi en superposition duquel elles s'affichent. Par rapport à la version noire, le CD-ROM rouge contient des classeurs supplémentaires dont les informations peuvent être affichées de la même manière. Il s'agit surtout des informations sur les ouvrages et des données de mobilisation. En cliquant au moyen du pointeur sur les objets affichés, des 52 Feuille fédérale. 149e année. Vol. III 777

détails supplémentaires apparaissent. Lorsque les objets sont nombreux, ils sont affichés de manière décentrée et sont reliés à leur position effective par une ligne. Les informations sur les objets sont détaillées. Appréciation: L'accès par mot-clé ne peut être considéré comme protection sérieuse contre une consultation non autorisée des données enregistrées. La quantité des données contenues sur le CD-ROM (environ 270 000 pages A4 par CD-ROM) constitue le problème principal. Grâce à la logique combinatole, un utilisateur peut tirer des conclusions sur des données ne se trouvant pas sur le CD-ROM et qui sont protégées par une classification supérieure. Etant donné les possibilités de combinaison et de consultation rapide des données, il est possible d'acquérir bien plus rapidement des informations plus complètes et plus denses que ce qui était possible avec la version papier de l'aide-mémoire. Dans sa forme actuelle, le CD-ROM rouge représente un risque inacceptable (cf. III. Recommandations). 9 Instruction provisoire Le 15 septembre 1995, le chef de l'état-major général a proposé d'ouvrir une instruction provisoire. L'auditeur en chef a rejeté cette première requête pour des raisons formelles. Ce n'est donc que le 18 octobre 1995 que l'auditeur en chef a ordonné l'ouverture d'une instruction provisoire selon la procédure pénale militaire. Le 27 novembre 1995, le domicile du colonel Friedrich Nyffenegger a été perquisitionné. «A cette occasion, des CD-ROM classifiés Confidentiel et Secret et qui n'étaient enregistrés nulle part, ont été trouvés dans l'appartement de Nyffenegger. Ils se trouvaient sur une étagère et étaient librement accessibles». Le 27 novembre également, du 'matériel a aussi été saisi lors d'un contrôle de sécurité effectué aux sièges de Zurich et de Bienne de la société Furrer und Partner AG. Le 22 janvier 1996, l'auditeur en chef, par note adressée au chef du DMF, a conseillé d'examiner s'il était opportun d'ouvrir, ou du moins d'annoncer une enquête administrative afin de tirer le fond de l'affaire au clair. Le 24 janvier 1996, il a été procédé à des arrestations et des perquisitions (action Pandora). 10 r Remarques finales 10.1 Nécessité et avenir de l'EBG Appréciation: La version sur CD-ROM de l'EBG 95 est sans aucun doute un instrument d'instruc- tion et de travail qui doit être qualifié de positif. Dans l'optique de l'introduction de systèmes militaires d'information et de conduite, le commandant des cours d'état- major général le qualifie d'instrument indispensable. Aucun avis négatif n'est à signaler. Les fautes commises ne doivent ni dévaloriser le travail accompli, ni pousser 778

à abandonner cet instrument de travail de manière inconsidérée. Le fait que des officiers étrangers aient été formés sur la version noire du CD-ROM laisse supposer que son contenu est largement connu des armées en question. Donc, étant donné que les données stockées électroniquement sont facilement disponibles, la classification de l'ouvrage complet comme Confidentiel semble adaptée. La délégation est cependant de l'avis qu'il conviendrait de contrôler les besoins en matière de sécurité dans ce domaine également. Le fait que le projet prévoyait que l'EBG deviendrait une application en réseau du système MILFIS ne devrait plus être en discussion au- jourd'hui. Il faut rejeter les réseaux temporaires et fixes proposés dans un rapport concernant l'EBG 95 daté du 11 novembre 1994. Ce rapport prévoyait de relier tous les participants du commandement des cours d'état-major général par un système de courrier électronique qualifié de «mesure moderne et essentielle». Le CD-ROM rouge peut également être évalué positivement en tant que système militaire d'instruction et de conduite. Cependant, les données qu'il contient consti- tuent un panorama très large et détaillé de l'armée et doit donc faire l'objet de mesures de sécurité nettement améliorées. Il faut en outre examiner dans quelle mesure il serait opportun de réduire nettement le nombre d'exemplaires et d'en limiter la remise en prêt au commandement de l'Ecole d'état-major. En outre, la combinaison avec une carte cryptologique est à étudier en partant du principe qu'une personne seule ne doit pas être simultanément en possession d'une telle carte et d'un CD-ROM rouge. Les CD-ROM rouges actuels doivent être détruits. Le retour à la version imprimée de l'aide-mémoire pour les données contenues dans le CD-ROM rouge, tel qu'il a été envisagé devant la délégation, pourrait être envisagé mais n'est pas recommandé. Comme les auditions de la délégation l'ont montré, la production et la préparation des données de la version imprimée ne faisaient pas non plus l'objet de mesures de sécurité suffisantes. De plus, l'informatique fait partie des instruments de conduite militaires actuels et pas uniquement de l'avenir. D'autre part un retour au papier ne donnerait pas seulement un mauvais signal mais signifierait également le renoncement à la mise en œuvre de l'expérience informatique. Il est certain qu'une nouvelle version rouge peut être produite et mise en œuvre de manière sûre. La technologie adéquate est disponible et l'armée se doit de relever ce défi. 10.2 Mesures permettant d'assurer la sécurité informatique La nouvelle structure de la Division principale de l'informatique est entrée en vigueur le 1er juin 1996. Cette division est nouvellement directement subordonnée au secrétaire général du DMF. Les informaticiens du département lui sont également subordonnés et assument les fonctions de planification stratégique de l'informatique ainsi que le «controlling» informatique. Cette nouvelle répartition doit permettre d'avoir accès rapidement aux ressources de la division informa- tique et permettre d'assurer un traitement rapide et efficace des problèmes, principalement en matière de sécurité informatique, concernant plusieurs groupes. En date du 29 avril 1996, la Direction du DMF a en outre approuvé un paquet de mesures, dont il prétend qu'il pourrait développer des effets sur le projet EBG 95 aujourd'hui déjà:

- «Mesure 1: La sécurité des données et de l'informatique est assurée en liaison avec les questions de développement de l'informatique, de la conduite de 779

projets informatiques et de la sauvegarde du secret. Il s'agit de contrôler les mesures de nature structurelle et personnelle dans le domaine de la sécurité informatique de projets informatiques et de contrôler la classification afin d'assurer une garantie complète en matière de sauvegarde du secret.

- Mesure 2: Prise en compte du potentiel de risque des projets et des affaires développés au sein des groupes et propositions en vue de sa réduction. Le groupe doit contrôler toutes les affaires en fonction de leur potentiel de risque, du point de vue matériel, personnel, structurel et organisationnel. Il doit ordonner les mesures et les rapports appropriés». En tenant spécialement compte des travaux MILFIS en cours, la délégation considère comme prioritaire la promulgation d'une directive en matière de protection de sécurité des projets informatiques permettant d'en assurer un contrôle concomitant (cf. III, Recommandations). 10.3 Evaluation du préjudice selon le scénario le plus défavorable Personne ne peut dire s'il y a eu divulgation de secrets et si le CD-ROM, version noire ou rouge se trouve dans les mains de tiers. A ce sujet, la justice militaire et le Ministère public de la Confédération ne sont pas du même avis. Le procureur de la Confédération a déclaré: «II y a des indices permettant de croire que des secrets sont parvenus à l'étranger». Au contraire, de l'avis de l'auditeur en chef: «II n'y a pas lieu de croire que des pays tiers sont entrés en possession de documents confidentiels ou secrets». Cependant, le fait que deux CD-ROM rouges restent introuvables et que l'on ne sache pas combien il y a eu de «single sessions» a incité le chef de l'état-major général de partir du principe que «ces CD-ROM sont en vente libre». Le chef de l'état-major général a évalué le préjudice subi dans le domaine de la mobilisation comme étant relativement restreint. En revanche, le préjudice militaire dans le domaine des ouvrages est décrit comme étant important. Toutefois, il situe le préjudice principal dans le domaine «psycho-politique». L'avis selon lequel «tous les secrets ont été trahis» pourrait se répandre. A cela s'ajoute le fait qu'un officier supérieur EMG «a manipulé des données secrètes de manière inconsidérée et qu'ainsi, l'armée a subi une perte de confiance». Appréciation: Du point de vue militaire et étant donné la situation de paix actuelle et que le délai de préparation peut être considéré comme assez long, le préjudice a été qualifié d'important. Du point de vue de la délégation et en tenant compte du scénario le plus défavorable, le préjudice est en fait très important. Elle pense que la déclaration suivante du chef de l'état-major général est tout à fait exacte: «La totalité des données représente un grand danger si elle est utilisée à mauvais escient.» L'allusion à un préjudice psycho-politique ne peut et ne doit pas empêcher de qualifier la menace militaire de grave ni d'en tirer toutes les conséquences matérielles, personnelles et organisationnelles. La délégation est de l'avis que le «préjudice psycho-politique» dépendra essentiellement de la façon dont l'exécutif traitera le cas de l'EBG 95, et tout particulièrement des conséquences qui en seront tirées. La conduite d'une armée de 780

milice doit tout particulièrement tenir constamment compte des aspects de sécurité. Etant donné que selon le rapport au sujet de MILFIS, les personnes chargées du développement de ce projet sont, à quelques exceptions près, lès mêmes qui ont été responsables de l'intégration de l'EBG dans MILFIS, il semble indiqué de procéder au contrôle de l'intégralité du projet du point de vue de la sécurité informatique (cf. HI. Recommandations). 10.4 Amaigrissement des structures d'enquête lors d'événements extraordinaires Dans le cadre de ses investigations, la délégation a été rendue attentive au fait que la fameuse «affaire Nyffenegger» avait surchargé la tête du département ainsi que les collaborateurs du chef du DMF de manière extraordinaire. Dans son rapport semestriel, l'état-major général avait souligné que le traitement de tels cas accapare de nombreuses et importantes ressources et qu'ainsi, d'importants travaux de nature conceptuelle doivent être repoussés à l'arrière-plan. C'est la raison pour laquelle d'importantes affaires sont remises à plus tard. En outre, la capacité d'innovation et l'attitude face au risque sont réduites de façon très importante. Certaines personnes ont critiqué le fait que diverses institutions exigent des informations, qu'elles avaient donc dû se présenter devant plusieurs commissions et qu'il leur était difficile, voire impossible, de s'y retrouver et de savoir qui était responsable de quoi. La délégation pense qu'une coordination entre les diverses autorités menant une enquête est nécessaire. Cependant, dans le cadre de telles situations extraordinaires, les offices devant fournir des informations doivent dans tous les cas répondre favorablement à ces demandes durant un certain laps de temps sans se sentir obligés de formuler des critiques. 781

III Recommandations La délégation des commissions de gestion prie le Conseil fédéral de supprimer les lacunes constatées dans ce rapport et d'en tirer les conséquences organisa- tionnelles, matérielles et personnelles. Sur demande du Conseil fédéral, tous les passages du texte pouvant revêtir un intérêt du point de vue des services de renseignements ont été biffés. Les recommandations doivent donc être appréciées en fonction de ce fait. Sur la base de ses constatations et de ses évaluations, la délégation des com- missions de gestion fait les recommandations suivantes à l'attention du Conseil fédéral:

1. Directive en matière de classification des données informatiques Le Conseil fédéral examine la promulgation d'une directive en matière de classification des données informatiques.

2. Directive en matière de protection et de sécurité des projets informatiques Le Conseil fédéral examine la promulgation d'une directive en matière de protection et de sécurité des projets informatiques afin d'assurer la mise en place d'un concept de sécurité concomitant au projet.

3. Mesures de sécurité pour l'EBG sur CD-ROM Le Conseil fédéral contrôle les mesures de sécurité régissant la mise en œuvre de l'EBG sur CD-ROM.

4. Mesures de sécurité pour MILFIS Le Conseil fédéral contrôle le projet MILFIS du point de vue de sa sécurité informatique. IV Suite de la procédure D'ici à 1997, la délégation des commissions de gestion attend un rapport du Conseil fédéral sur les résultats des mesures qui ont été prises. Au nom de la Délégation des Commissions de gestion: Le président de la délégation Werner Carobbio, conseiller national Les commissions de gestion ont adopté ce rapport le 13 novembre 1996. 782

Au nom des Commissions de gestion: Le président de la CdG-CN Le président de la CdG-CE Peter Tschopp, conseiller national Bernhard Seiler, député au Conseil des Etats La secrétaire des Commissions de gestion Mariangela Wallimann-Bornatico N39253 783

Annexes Abréviations C EMG Commandement d'Ecole d'état-major général CD-ROM Compact Disc - 'Read Only Memory, disque optique compact CdG-CE Commission de gestion du Conseil des Etats CdG-CN Commission de gestion du Conseil national CEMG chef de l'état-major général CFA Conférence pour l'armement CR cours de répétition d allemand del CdG délégation des commissions de gestion DMF Département militaire fédéral EBG Elektronischer Generalstabsbehelf OCFIM Office central fédéral des imprimés et du matériel GEMG Groupement de l'état-major général f français GdA Groupement de l'armement LREC Loi sur les rapports entre les conseils MILFIS Militärisches Führungs-informationssystem OFI Office fédéral de l'informatique PC Personal Computer, ordinateur personnel 784

Liste des personnes interrogées Aeschimann Stefan, secrétaire général suppléant, DMF Bacher René, chargé de l'enquête administrative du DMF Binder Rolf, commandant de corps, ancien chef de l'instruction du DMF Blumer Hans-Rudolf, divisionnaire, commandant des cours d'Etat-major général Del Ponte Caria, procureur de la Confédération Dreher Martin, colonel EMG Ebert Edwin, divisionnaire Unterstabschef Führungsuntersützung Feuz Daniel, soldat Furrer Gustav, Furrer et Partner SA Garin Henri, directeur OFI Hauenstein Roland, Ministère public Heer Felix, chef de la Division de l'informatique de l'administration, EMG Hügli Martin, chef de l'Office central du DMF pour la protection et la sécurité Isler Rolf, Groupement de l'armement Karli Franz, Office central du DMF pour la protection et la sécurité Kiinzli Roger, soldat Liener Arthur, commandant de corps, chef de l'Etat-major général Meyer Paul, brigadier, commandant des cours d'Etat-major général Müller Kurt, Groupement de l'armement Mûri Ulrich, chef du projet sécurité informatique Nyffenegger Friedrich, colonel EMG Ogi Adolf, conseiller fédéral, chef DMF Pitteloud Jacques, rapporteur du chef DMF Ringgenberg Rudolf, Groupement de l'armement Rochat Daniel, Multi Media Masters and Machinery SA Rusch Markus, divisionnaire, suppléant du chef de l'Etat-major général Trachsel Peter, chef de la section sécurité informatique, OFI Wicki Toni J., chef du Groupement de l'armement van Wijnkoop Jürg, auditeur en chef Zölch Franz, brigadier, chef du service d'information de la troupe N39253 785

Schweizerisches Bundesarchiv, Digitale Amtsdruckschriften Archives fédérales suisses, Publications officielles numérisées Archivio federale svizzero, Pubblicazioni ufficiali digitali Evénements au sein du DMF (EBG 95) Rapport de la Délégation des Commissions de gestion du Conseil national et du Conseil des Etats du 13 novembre 1996 In Bundesblatt Dans Feuille fédérale In Foglio federale Jahr 1997 Année Anno Band 3 Volume Volume Heft 24 Cahier Numero Geschäftsnummer 97.003 Numéro d'affaire Numero dell'oggetto Datum 24.06.1997 Date Data Seite 750-785 Page Pagina Ref. No 10 109 076 Das Dokument wurde durch das Schweizerische Bundesarchiv digitalisiert. Le document a été digitalisé par les. Archives Fédérales Suisses. Il documento è stato digitalizzato dell'Archivio federale svizzero.