Selon la NZZ am Sonntag, une révision interne du Département fédéral des affaires étrangères (DFAE/EDA) a mis en évidence une faille dans les dispositifs de protection: des documents classés «internes» ont été stockés dans le cloud de Microsoft, malgré des règles censées empêcher l’upload de contenus sensibles.

  • Contexte: alors que la France écarte Zoom/Teams des administrations, la Chancellerie fédérale a généralisé Microsoft 365 à quelque 54 000 postes de la Confédération. Des mécanismes de sécurité prévoient que les contenus sensibles soient étiquetés et bloqués pour tout stockage dans le cloud. Or, ces mesures ne fonctionnent que partiellement.

  • Incident: l’EDA confirme que des documents classés «internes» ont effectivement abouti dans la cloud Microsoft. Le département n’en précise pas le contenu mais souligne que les niveaux de classification supérieurs ne sont pas touchés. Le dispositif technique de blocage du téléversement des documents classifiés fonctionne «seulement en partie». Des actions de sensibilisation du personnel sont en cours.

  • Enjeux et critiques: le statut «interne» peut, selon la loi fédérale sur la sécurité de l’information, impliquer des risques pour les intérêts de politique extérieure ou la sécurité intérieure/extérieure s’il est divulgué. Des voix critiques (notamment le conseiller national Gerhard Andrey et le professeur Matthias Stürmer) dénoncent la dépendance à Microsoft et le risque que le Cloud Act américain permette un accès des autorités US à des données de la Confédération, mettant en cause la souveraineté. Microsoft répond que le gouvernement américain n’a pas d’accès illimité et que l’entreprise conteste les demandes illégitimes.

  • Réponse politique et stratégie: un rapport du Conseil fédéral sur la souveraineté numérique reconnaît l’incertitude sur la confidentialité des données hébergées chez des entreprises américaines. En parallèle, Berne explore une réduction de la dépendance (étude de faisabilité) et a alloué 250 M CHF à une Swiss Government Cloud, tout en jugeant une rupture totale avec les fournisseurs US irréaliste et risquée. Des élus comme Franz Grüter soulignent l’ampleur des investissements américains et le retard européen.

  • Synthèse: article de presse relatant une fuite de données (exposition involontaire) et une défaillance de contrôle au sein du DFAE, et examinant les implications de conformité, de souveraineté et de dépendance technologique liées à Microsoft 365 et au Cloud Act.

🔗 Source originale : https://www.nzz.ch/schweiz/heikles-datenleck-im-aussendepartement-ld.1922362