Mehdi Atmani
Décodage. L’ex-régie fédérale devenue multinationale réalise 32% de son chiffre d’affaires avec le Département de la défense. En contrepartie, le groupe verse 47 millions de francs de dividendes à la Confédération en 2016. Dans ce contexte, on comprend mieux l’émoi suscité par la cyberattaque dont il a été victime.
«Together ahead» («Ensemble en avant»). En 2012, Ruag a eu besoin d’un nouveau slogan rassembleur pour chapeauter ses nombreux champs d’activité: satellites, armement, aviation militaire, jets d’affaires, robotique, certification… Le spécialiste suisse de l’armement s’est mué ces dix dernières années en un véritable groupe technologique international. Il emploie plus de 8100 personnes dans neuf pays du monde. Et réalise plus de 64% de son chiffre d’affaires net à l’étranger.
En 2015, cette ex-régie fédérale générait 1,75 milliard de francs, c’est-à-dire 55% de ses ventes, dans les activités civiles. Alors, quand le fleuron helvétique de l’armement se fait extorquer, pendant quatorze mois et à son insu, 20 gigaoctets de données confidentielles, des questions se posent. Comment se profile Ruag, cette multinationale entre les mains de la Confédération?
Une série d’acquisitions
Malgré sa privatisation en 1998, Ruag entretient des liens très étroits, voire consanguins, avec la Confédération. Celle-ci est à la fois son actionnaire unique et son principal client. Le géant de l’armement assure notamment l’équipement et l’entretien des systèmes techniques de l’armée suisse. Il a d’ailleurs réalisé 32% de son chiffre d’affaires grâce au Département fédéral de la défense (DDPS). Ce qui n’est cependant qu’une infime partie des activités du groupe, qui s’illustre aussi dans l’aviation militaire et civile, la fabrication de munitions de petit calibre, le développement de technologies métallurgiques.
A partir de 2008, la multinationale suisse développe le secteur aérospatial en rachetant la société Space au groupe suédois SAAB. Puis fait l’acquisition d’Austrian Aerospace ainsi que d’Oerlikon Space. Ruag fournit les coiffes des fusées Ariane et Vega.
A l’instar des autres ex-régies fédérales, Ruag verse de juteux dividendes à la Confédération. En 2016, ceux-ci vont se monter à 47 millions de francs, soit plus du double qu’en 2015 (21 millions) peut-on lire dans le communiqué du groupe publié le 22 avril dernier à l’issue de son assemblée générale. Selon la SonntagsZeitung et Le Matin Dimanche, l’administration fédérale dépenserait 5 milliards de francs par an chez des fournisseurs externes. Et un franc sur deux de ce budget est dépensé par le DDPS, relèvent les deux journaux.
En tête des bénéficiaires, le groupe Ruag avec 700 millions de francs de commandes. Un avantage qui s’explique par le fait que le géant de l’armement se charge des systèmes informatiques du Département de la défense. Il stockerait dans ses serveurs plusieurs dizaines de milliers de données personnelles d’employés fédéraux. Dans ce contexte-là, on comprend mieux l’émoi suscité par la cyberattaque perpétrée entre le mois de décembre 2014 et janvier 2016.
A l’heure actuelle, l’ampleur de l’attaque doit encore être déterminée. Le 24 mai, les experts de la Centrale d’analyse et d’enregistrement pour la sûreté de l’information (MELANI) ont posé un premier diagnostic officiel sur les dessous de cette attaque informatique. Donc 20 gigaoctets de données ont été dérobés. Mais qu’en est-il de la qualité des informations volées? Depuis la révélation de la cyberattaque, début mai, les spéculations sont allées bon train. La NZZ am Sonntag, par exemple, indique que les données concerneraient des membres de l’unité DRA10, c’est-à-dire les forces spéciales de l’armée suisse engagées dans des missions à risque, à l’étranger.
Dans son rapport technique, MELANI détaille aussi la fameuse arme utilisée pour infiltrer les réseaux de Ruag. Il s’agirait d’un maliciel ultraperformant et discret de la famille Turla. Selon plusieurs sources, Turla est un produit russe développé pour attaquer des cibles gouvernementales et militaires. L’enquête pénale ouverte contre inconnu le 25 janvier 2016 par le Ministère public de la Confédération devra le déterminer et, pourquoi pas, désigner des coupables. Du côté de Ruag, on dévoile le moins de détails possible tant que l’enquête est en cours. Le groupe est sorti brièvement de son mutisme par le biais d’un communiqué. Ses déclarations sont laconiques. Il souligne que les «données volées représentent moins de 0,01% du volume de données» qu’il gère.
Il aura alors fallu l’indiscrétion d’une agence étrangère pour détecter l’attaque. A Berne, ainsi qu’au sein des unités de lutte contre les cyber-risques, on tente toujours de comprendre comment ce vol de données a pu se produire pendant plus d’une année sans alerter les autorités compétentes. Ruag n’a-t-il rien vu? Le groupe se barricade derrière son communiqué qui se résumerait à: «On a eu chaud, mais tout va bien.» Le géant de l’armement ne précise pas s’il entend désormais changer de slogan.
