L'EDA stocke accidentellement des données sensibles dans le cloud Microsoft

Auteur: swisscybersecurity.net

Mode rédactionnel: CLARUS_ANALYSIS Recommandation d'index: INDEX Langue/Rôle: FULL_ANALYSIS Date de vérification des faits: 02.02.2026

Résumé exécutif

Le Département fédéral des affaires étrangères (DFAE) a stocké accidentellement des documents internes dans le cloud Microsoft. Une architecture de sécurité insuffisante a permis la transmission de fichiers vers des serveurs américains, bien que des mécanismes de contrôle auraient dû l'empêcher. L'incident révèle la dépendance croissante de l'administration fédérale vis-à-vis des services cloud américains et soulève des questions sur la souveraineté numérique de la Suisse.

Personnes

• Alexia Muanza (Auteure)

Thèmes

• Sécurité des données et gouvernance du cloud
• Souveraineté numérique de la Suisse
• Cloud Act américain et protection des données
• Administration fédérale et infrastructure informatique

Aperçu Clarus

Des documents internes du DFAE se sont retrouvés accidentellement dans l'infrastructure cloud Microsoft après l'échec partiel des filtres de sécurité. Un audit interne avait déjà signalé en été 2025 des mesures de sécurité insuffisantes. L'incident devient pertinent en raison de l'expansion massive: avec le déploiement généralisé de Microsoft 365 sur plus de 54'000 postes de travail, l'administration fédérale stocke désormais une grande partie de ses données sur des serveurs américains soumis au Cloud Act américain.

Résumé détaillé

Le DFAE a confirmé auprès de la "NZZ am Sonntag" la faille de sécurité et a reconnu que la technologie de contrôle destinée à prévenir la transmission de documents classifiés ne fonctionne que partiellement. Les documents concernés portaient la classification "interne" et non "secret" – les documents de niveau supérieur ne seraient pas affectés. Cependant, le simple stockage accidentel de données internes suffit à représenter, selon le droit suisse, des risques pour les intérêts de politique étrangère et la sécurité du pays.

L'administration fédérale a décidé en décembre 2025 de procéder à la migration complète vers Microsoft 365 – un projet de migration pour tous les 54'000 postes de travail. Cette décision signifie systématiquement une délocalisation des stocks de documents vers les centres de données du groupe américain. Le Cloud Act américain oblige les entreprises américaines à remettre les données aux autorités américaines, même si ces données appartiennent à des États étrangers. Microsoft affirme disposer de garanties contractuelles, mais le Conseil fédéral a averti explicitement dans un rapport de novembre 2025 que la confidentialité ne peut pas être garantie de manière systématique.

En réaction, une étude de faisabilité examine les alternatives à la dépendance envers Microsoft. Le Parlement a approuvé près de 250 millions de francs pour un Swiss Government Cloud. À court terme, la Confédération considère que quitter Microsoft serait irréaliste – une rupture avec Microsoft serait une "opération à haut risque" avec des coûts d'investissement considérables.

Principaux messages

• Faille de sécurité systémique: Les mécanismes de contrôle destinés à prévenir les transferts de fichiers involontaires ne fonctionnent que partiellement et n'ont pas été corrigés pendant des mois.

• Problème connu: Un audit interne en été 2025 avait déjà signalé des mesures de sécurité insuffisantes et un stockage inadéquat – l'incident était prévisible.

• Dépendance massive au cloud: Le déploiement généralisé de Microsoft 365 amplifie exponentiellement le risque que d'autres données se retrouvent sur des serveurs américains et soient soumises au Cloud Act.

• Options de secours limitées: Une alternative (Swiss Government Cloud) n'en est qu'au stade de la planification; une sortie rapide n'est pas prévue sur le plan politique et économique.

Questions critiques

1. Preuves/Qualité des données: Quels documents concrets étaient concernés et quelle était leur sensibilité en matière de politique étrangère ou de sécurité? Le rapport ne mentionne que le niveau de classification "interne" et non le contenu réel.

2. Conflits d'intérêts: La Chancellerie fédérale a-t-elle dûment pesé l'existence du Cloud Act américain dans le choix de Microsoft 365, ou l'argument des coûts et le verrouillage du fournisseur américain ont-ils eu la priorité?

3. Causalité – Obligation de classification: Est-il judicieux que chaque employé doive effectuer lui-même la classification des documents? Une classification automatisée et préventive basée sur les types de contenu et les sources pourrait-elle réduire le taux d'erreur humaine et éviter les failles de sécurité?

4. Causalité – Alternatives techniques: Pourquoi n'a-t-on pas réalisé un projet pilote avant le déploiement massif de Microsoft 365 pour identifier les failles de sécurité en phase de test?

5. Faisabilité: Quelle est la probabilité de succès de l'étude de faisabilité pour un Swiss Government Cloud compte tenu du manque d'expérience technique et organisationnelle dans l'exploitation d'une infrastructure cloud d'État?

6. Risques – Période de transition: Pendant que l'alternative est développée, d'autres données sensibles se retrouveront sur les serveurs Microsoft pendant au moins 2 à 5 ans. Comment ces données seront-elles rapatriées ou supprimées après la sortie?

7. Incitations – Budget de sécurité: Les investissements dans la sécurité et la gouvernance de la classification des données ont-ils été dimensionnés de manière adéquate, ou la prévention a-t-elle été sous-financée?

8. Contre-hypothèse: Est-il même possible de réaliser une sécurité technique complète avec le stockage en cloud, ou la Confédération devrait-elle fondamentalement opter pour des modèles hybrides où les données très sensibles restent stockées localement?

Bibliographie

Source primaire: Panne befeuert Cloud-Debatte – EDA speichert versehentlich sensible Daten in Microsoft-Cloud – swisscybersecurity.net, 02.02.2026

Sources référencées:

• NZZ am Sonntag (Rapport sur la faille de sécurité, accès payant)
• Rapport du Conseil fédéral sur la protection des données dans le cloud computing (novembre 2025)
• Communication de la Chancellerie fédérale sur la migration Microsoft 365 (décembre 2025)

Statut de vérification: ✓ 02.02.2026

Ce texte a été créé avec l'aide d'un modèle d'IA.
Responsabilité éditoriale: clarus.news | Vérification des faits: 02.02.2026