Système d’information central de la Police
Feu rouge pour Odyssée – marche arrière pour le système d’information central de la Police
Interpellation urgente
Le prestataire chargé de la mise en œuvre du système d’information central de la police a été victime en juin 2023 d’une cyber attaque à la suite de laquelle le contrat de prestation avec Xplain pour le projet « Odyssée » a été résilié. Quelles en sont les conséquences pour la Ville ?
Le 8 février 2022, le conseil communal a délibéré sur le préavis 2021/45 pour le renouvellement du système d’information central de la police cantonale vaudoise, de la police municipale de Lausanne et des autres polices communales vaudoises sous le nom de code « Odyssée ». Il était urgent de remplacer un système obsolète, avec une maintenance limitée depuis 2017. Le préavis a été voté presque à l’unanimité, le conseil communal étant convaincu qu’il était nécessaire pour garantir la sécurité du système et pour l’améliorer.
Un des arguments était que les nouvelles normes de cyberadministration eCH, plus particulièrement la norme eCH-0051 sur l’échange des données, imposent de renouveler urgemment le système. La société Xplain a été retenue avec sa solution « Polaris », utilisée notamment par le Canton d’Argovie, mais aussi par Fedpol, le corps de garde-frontières et la police des transports.
Contre toute attente, en juin 2023, Xplain a été victime d’un piratage et d’un vol de données. Ceci a porté à mal la confiance envers ce prestataire et le projet Odyssée a été suspendu en octobre 2023.
L’ICT-Journal (du 29 février 2024) a révélé que l’administration fédérale s’est penchée sur différents contrats avec des fournisseurs de service. Sur les 7’000, 2’200 ont été classés comme relevant de la sécurité, dont 600 doivent encore être examinés de manière approfondie pour d’éventuels manquements en matière de cyber sécurité.
Dans une suite logique (ou pas) de ce qui se passe à la Confédération, la suspension du projet « Odyssée » est passée à la résiliation, et le 21 mars, nous avons appris qu’un accord à l’amiable a été passé entre le Canton de Vaud et Xplain pour en régler les conséquences. Sur les 21.8 millions du projet, 2.8 ont été versés pour les prestations fournies. La part de Lausanne dans ce projet s’élève à 21%.
Sans revenir sur les éléments qui ont conduits à cette résiliation, soit les doutes sérieux quant à la capacité du prestataire à fournir les prestations contractuelles, et sans les lier expressément à la cyber-attaque dont a été victime le prestataire, nous ne pouvons que nous préoccuper des mesures sécuritaires pour ce projet à haut risque et nous interroger sur la sécurité de notre système d’information, hier, aujourd’hui et demain.
Les préoccupations de notre conseil devraient donc se porter sur trois axes :
– Le risque encouru par la ville dans l’attaque de son prestataire
– Les mesures sécuritaires prises pour ce projet
– L’interruption du projet et ses conséquences, notamment sur la maintenance des applications actuelles.
Nous posons les questions suivantes à la Municipalité :
1) Dans quelle mesure le projet a-t-il été impacté par la cyber attaque ?
- La ville et ses données ont-elles été exposées ?
- Le devoir d’annonce du prestataire a-t-il été respecté ?
2) Le projet ayant été arrêté :
- Quels sont les éléments qui ont pu être livrés ?
- À quel niveau pourront-ils être valorisés par la reprise par un autre prestataire ?
- Quelle est la part de la Ville dans cet accord à l’amiable ?
3) Quels mesures complémentaires de sécurité la ville compte-t-elle prendre par rapport à ce projet ?
4) Comment la Ville et le Canton, avec son comité de pilotage, envisagent-ils l’avenir du projet ?
- Quels sont les impacts en terme de planning ?
- Comment la municipalité envisage-t-elle de communiquer au Conseil ?
- Quel est le « surcoût » estimé pour la Ville ?
5) Comment les applications actuelles de la Police, qui se trouvent amputées des évolutions nécessaires et dont l’obsolescence n’a fait qu’empirer depuis 2022, vont-elles être maintenues ?
