Regard interne

En 2023, l’AS-Rens comptait un effectif réglementaire de dix personnes. Au cours de l’année, deux personnes ont quitté l’AS-Rens et ont été remplacées par deux nouvelles personnes.

Formation continue en science des données auprès d’armasuisse

Pendant l’année sous revue, l’AS-Rens a profité de la possibilité offerte par armasuisse de s’informer sur l’état des projets de recherche actuels. Comme l’année précédente, le programme de recherche en science des données s’est retrouvé au cœur de l’intérêt de l’AS-Rens. Alors qu’en 2022, les conférenciers avaient mis l’accent sur les méthodes d’authentification des contenus visuels et médiatiques, le symposium de cette année s’est penché sur l’utilisation de l’intelligence artificielle dans l’analyse des données, et plus précisément sur les outils basés sur l’IA, dont l’évolution est extrêmement rapide. L’IA est désormais en mesure de récolter des informations à partir de données qui permettent à leur tour de générer du savoir. C’est ainsi que les outils IA d’aujourd’hui sont utilisés afin d’identifier des modèles et des redondances dans des fichiers de données. Le but de la recherche consiste actuellement à développer l’IA de manière à pouvoir en tirer des conclusions utiles pour l’avenir. La compréhension des corrélations, y compris fictives, de données joue ici un rôle important, de même que celle des méthodologies permettant de garantir la robustesse des inductions.

Formation continue sur la réalisation d’audits

Deux personnes de l’AS-Rens ont suivi un perfectionnement proposé en allemand par le centre de formation de l’administration fédérale (CFAF) qui portait sur l’exécution d’audits. Le choix s’est porté sur ce perfectionnement, qui permet d’aborder les meilleures pratiques en matière d’audit, de rafraîchir certaines compétences et de comparer sa propre pratique avec celle d’autres services de l’administration fédérale qui réalisent des audits.

Le contenu était axé sur les différentes étapes d’un audit, de la préparation à la finalisation. Le rôle des auditrices et auditeurs et les principes d’un audit ont aussi été abordés. Les personnes participant au cours ont pu échanger leurs expériences lors de différents travaux de groupe. Le dernier sujet traité a été celui de la formulation de recommandations et de conclusions dans un audit.

Cette dernière partie a apporté une plus-value toute particulière au personnel de l’AS-Rens, car la formulation de recommandations est un sujet discuté en interne dans un but d’amélioration. Les deux personnes de l’AS-Rens ont pu traiter cette thématique de manière approfondie dans le cadre d’un travail de transfert. Le document qu’ils ont rédigé dans ce but servira de base de réflexion pour les optimisations visées à l’AS-Rens. Il conclut que, dans la formulation de recommandations, il faut trouver un équilibre entre d’une part aborder tous les points en détail et d’autre part laisser une marge de manœuvre à l’autorité inspectée, qui va mettre la recommandation en œuvre. Une bonne formulation permet au service inspecté de bien comprendre le risque à minimiser, ce qui favorise la mise en œuvre.

Certificate of Advanced Studies (CAS) Digital Forensics and Cyber-Investigation-Fundamentals

Durant l’année sous revue, un collaborateur de l’AS-Rens a effectué un CAS sur la thématique de la criminalistique numérique et de la cyber-investigation, englobant les quatre modules conçus sous forme de blocs que sont « Bases de criminalistique digitale », « Bases de cyber-investigation », « Panorama de la cybercriminalité » et « Recherche grâce à la criminalistique digitale ». Les leçons tirées de ce perfectionnement ont profité directement à l’inspection 22-18 et à l’analyse de données qui en a découlé. C’est ainsi qu’une procédure connue de criminalistique digitale a été utilisée pour analyser un large jeu de données.

CAS en communication

L’AS-Rens élabore les contenus qu’elle publie sur son site web de manière autonome, y compris son rapport d’activités annuel. Une collaboratrice a entamé un CAS en communication, qu’elle terminera en 2024, pour approfondir le savoir-faire technique du service en matière de communication.

Conférence Europe de l’ISACA⁴: Digital Trust World, 18-19 octobre 2023, Dublin

L’ISACA est une association professionnelle indépendante qui rassemble une large communauté professionnelle (experts-comptables, auditeurs, contrôleurs de gestion, etc.) active dans les domaines de la gouvernance des systèmes d’information et de la sécurité de l’information. Un collaborateur de l’AS-Rens disposant d’une certification ISACA en audit informatique a participé à la conférence européenne annuelle de deux jours de l’association.

Différents exposés spécialisés sur des sujets d’actualité en rapport avec un écosystème numérique sûr et fiable ont permis d’élargir les connaissances spécialisées, d’échanger et de discuter des enseignements à tirer, des tendances et des bonnes pratiques. L’accent a été mis aussi sur l’influence que pourrait avoir l’intelligence artificielle et l’apprentissage automatique (machine learning) sur la situation en matière de sécurité, mais aussi sur l’activité de révision dans le domaine cyber. Les leçons qui en ont été tirées ont profité tant à la gestion des risques interne à l’AS-Rens qu’à ses activités d’inspection.

⁴ Information Systems Audit and Control Association.

Séance d’information du PFPDT sur la protection des données, 17 août 2023, Fribourg (CH)

Dans la perspective de l’entrée en vigueur de la nouvelle LPD, le PFPDT a organisé une séance d’information pour les préposés à la protection des données des organes fédéraux. Les deux personnes de l’AS-Rens qui y ont participé ont notamment eu l’occasion de rencontrer des membres des services soumis à la surveillance de l’AS-Rens.

Le PFPDT et son équipe ont présenté les thèmes en rapport avec les nouveautés introduites par la LPD. Le Centre national pour la cybersécurité (NCSC) et l’Office fédéral de la police (fedpol) sont également intervenus, présentant par exemple l’analyse d’impact relative à la protection des données personnelles (AIPD), l’utilisation du nouveau registre des activités de traitement, la nouvelle compétence du PFPDT en matière d’enquête portant sur des violations des prescriptions de protection des données, la journalisation et bien d’autres dimensions encore. Les présentations, très instructives, seront utiles à la fois pour l’activité administrative de l’AS-Rens et pour ses activités de surveillance.

Organe suprême de surveillance financière de la Confédération, le CDF est à la fois autonome et indépendant, dans le respect des prescriptions légales. Il jouit comme l’AS-Rens d’une indépendance institutionnelle garantie par la loi.

Le CDF exerce sa surveillance financière selon les critères de la conformité, de la légalité et de la rentabilité. Il examine notamment les systèmes de contrôle internes ou, par pointage, les ordres de paiement émis par les unités administratives (UA). Il est responsable de la révision des UA, comptabilités et stocks compris. Ses critères d’inspection diffèrent de ceux de l’AS-Rens dont le mandat légal se distingue clairement de la surveillance financière exercée par le CDF.

Dans son programme annuel 2023, le CDF a annoncé un contrôle portant sur l’activité de surveillance de l’AS-Rens qui s’est tenu du 14 août au 1er septembre 2023. Le but de cet audit était d’examiner l’efficacité et la rentabilité de la surveillance exercée par l’AS-Rens sur les activités de renseignement. En date du 12 juin 2023, le CDF a posé les questions suivantes à l’AS-Rens :

1. La surveillance exercée par l’AS-Rens sur les activités de renseignement est-elle conforme aux bases légales ?
2. Les ressources de l’AS-Rens sont-elles suffisantes pour exercer une surveillance adéquate de tous les acteurs impliqués dans des activités de renseignement?
3. L’infrastructure informatique en tant qu’outil de travail lui permet-elle d’exercer efficacement la surveillance ?

Au printemps 2023, l’AS-Rens avait déjà fourni au CDF six dossiers d’inspection complets comme échantillon pour les années 2021 et 2022, et d’autres documents (concepts, manuels). Le CDF a aussi mené de nombreux entretiens avec le personnel de l’AS-Rens, différents services soumis à la surveillance de l’AS-Rens et le Secrétariat général du DDPS.

Pendant leur évaluation, les réviseurs du CDF ont été confrontés au défi d’éviter toute comparaison excessive entre leur pratique et celle de l’AS-Rens. Il était important pour l’AS-Rens que le CDF mesure qu’elle exerce un autre type d’activité de surveillance et ne fonctionne donc pas sur le même mode que le CDF. Ces différences fondamentales ont été abordées à nouveau lors de la discussion finale, pour harmoniser les compétences différentes des deux autorités. Le CDF continue à exercer sa surveillance selon ses propres critères, la création de l’AS-Rens n’ayant rien changé à son rayon d’action.

En tant que partie de l’administration fédérale décentralisée, l’AS-Rens travaille pour la population, qui a le droit de connaître les prestations des autorités et la manière dont celles-ci s’acquittent de leur mission. Il en découle, pour la population, un droit à l’information et, pour les autorités, un devoir d’informer.

La loi fédérale sur le principe de la transparence dans l’administration (LTrans ; RS 152.3) régit l’étendue et les limites de l’information passive. Chaque personne a le droit de consulter des documents officiels, sans faire valoir d’intérêt particulier. Durant l’année sous revue, l’AS-Rens a reçu une demande en vue d’accéder à des documents officiels.