Xplain est une société suisse de sécurité spécialisée dans le développement de logiciels et de solutions technologiques pour les domaines de la sécurité intérieure. Basée à Interlaken, en Suisse, elle possède également des sites en Espagne et en Allemagne [1].
Chronologie de l'affaire Xplain :
- Mai 2023 : Fuite de données - Xplain est victime d'une attaque par ransomware, au cours de laquelle des pirates informatiques volent de grandes quantités de données sensibles. Malgré le refus de payer une rançon, les pirates publient les données volées sur le Darknet [3].
- Juin 2023 : Révélations dans les médias - L'ampleur de la fuite de données chez Xplain est révélée dans les médias. Les informations divulguées comprennent des contrats, des spécifications techniques et des identifiants liés à plusieurs services de l'État suisse [2].le journal suisse Le Temps révèle que des hackers ont réussi à voler plus de 3 gigaoctets de données ultrasensibles liées à la sécurité de la Suisse. Ces données comprenaient des informations sur Fedpol, des polices cantonales, l'armée et les douanes. La société Xplain, prestataire informatique important pour le secteur public, a été identifiée comme étant au cœur de cette cyberattaque [1].
- Réactions des autorités - Le Centre national pour la cybersécurité (NCSC) et les autorités de poursuite pénale collaborent pour gérer l'incident. Des mesures sont prises pour évaluer et analyser les données volées, ainsi que pour minimiser les risques de sécurité pour l'administration fédérale [3].
- Implications pour l'Office fédéral de la justice - La fuite de données chez Xplain concerne également des données personnelles relevant de l'Office fédéral de la justice (OFJ). Les personnes concernées sont informées directement par l'OFJ, qui signale également l'incident au Préposé fédéral à la protection des données et à la transparence (PFPDT) [3].
- Réaction de Xplain : Après plusieurs mois de silence, Xplain sort enfin de son silence. Dans un communiqué de presse, la société annonce qu'elle n'a pas été déficitaire en 2023 et n'a perdu ni client ni employé. Elle affirme travailler avec confiance sur son orientation stratégique pour l'avenir [1].
- Rupture du contrat avec le Canton de Vaud : Le Conseil d'État vaudois a pris une décision drastique en rompant avec effet immédiat son contrat avec Xplain. Cette rupture de contrat fait suite au piratage de la société et vise à limiter les risques financiers et opérationnels pour le projet de modernisation du système d'information central des polices vaudoises. Une étude sera menée pour poursuivre et valoriser le travail effectué jusqu'à présent [3].
