Les bunkers convertis en data center souffrent de la concurrence de l'UE

Depuis la fin de la Guerre froide, la Suisse cherche à se séparer de ses 8000 structures militaires désuètes. Une partie des abris et des fortins ont déjà pu trouver des repreneurs. Parmi ceux-ci figurent des entreprises spécialisées dans la protection des données numériques. Certains bunkers ont ainsi été transformés en entrepôts à serveurs informatiques. Des banques, des groupes pharmaceutiques et des multinationales en profitent. En totalité, 75 des 4200 centres de données se trouveraient en Suisse. La plupart est répertoriée sur la data center map. Mais certains lieux sont maintenus secrets.

Si la Suisse a été un pays idéal pour installer des data centers durant près de deux décennies, le renforcement de la protection des données dans d'autres pays, notamment dans l'Union européenne (UE), a récemment changé la donne. Ainsi Deltalis, propriétaire du plus grand bunker suisse reconverti en coffre-fort numérique, aurait récemment mis la clé sous le paillasson.

RTSinfo diffuse cette semaine la web-série "La Suisse sous couverture", consacrée aux liens entre la Confédération et le renseignement international.  Découvrez pourquoi les données numériques suisses sont si mal gardées dans notre pays aux abris militaires si bien cachés, en regardant le 4e épisode "Le secret bunker suisse" (ci-dessus) avec son complément d'informations (ci-dessous).

On a d'une part un coffre-fort numérique, une sorte de réduit national 4.0, qui serait très protecteur des données. Et parallèlement un cadre légal qui est en réalité assez déficient

A vendre bunkers désespérément

Jusqu'à cette année, la Suisse pouvait s'enorgueillir d'être un pays hôte idéal pour les data centers. Au niveau sécuritaire d'une part. Le marché des serveurs informatiques réclame une sécurité parfaite car il suffit d'une faille pour qu'un modèle d'affaires parte en fumée. Et justement, la Suisse peut offrir cette sécurité grâce à sa grande stabilité politique et grâce à son art de la discrétion, établie tant dans les moeurs que dans la loi. En effet, la législation garantit une grande protection des données privées; seuls un juge cantonal et le Tribunal fédéral peuvent ouvrir la vanne aux informations.

D'autre part, les data centers ont besoin de technologies de qualité. Là encore, la Suisse est à la pointe. La qualité de ses systèmes de communication, en particulier sur l'axe Nord-Sud, n'est plus à démontrer. De surcroît, la région entre Uri et Zoug bénéficie d'un approvisionnement sûr et bon marché en électricité.

Plusieurs entreprises ont mordu à l'hameçon et ont installé des datas centers dans d'anciens bunkers, tels Artmotion et Protonmail. Implantée dans deux sites de montagne quelque part dans les Alpes, la société Mount Ten se considère comme "le centre de données le plus sécurisé d'Europe". Mais certaines sont établies sur des sites ordinaires. C'est le cas de SafeHost, qui a installé ses centres d'hébergement à Genève, Gland et Avenches.

Un coffre-fort numérique de 15'000 m2

Le plus grand centre de stockage de données informatiques est l'ancien bunker du commandement de l'armée suisse. Construit après la Seconde Guerre mondiale, cet abri militaire est passé en mains de la société Deltalis en 2007, qui aurait levé les voiles fin 2018.

Situé à l'orée de la forêt uranaise d'Attinghausen (voir carte tout en bas), ce gigantesque palace pour serveurs informatiques est caché sous 1500 mètres de granit. Lorsque Deltalis en était la propriétaire, l'accès au site nécessitait de connaître les coordonnées GPS, de franchir une porte antinucléaire de 4 tonnes d'acier auquel aucun signal téléphonique ne résiste, de recevoir l'aval des gardes et enfin de scanner les empreintes veineuses de l'auriculaire.

La forteresse est composée de trois bâtiments de trois niveaux regorgeant de couloirs et d'antichambres, pour une surface totale de 15'000 m2. Malgré la cherté du lieu (le mètre carré se payait au minimum 5000 francs), le nombre de demandes augmentait de 20 à 30% par an... jusqu'en 2018, année où l'UE a mis en vigueur le RGPD.

Certaines de nos entreprises actives en Europe voient certains marchés leur échapper du fait que nous n'avons pas des règles de protection des données du même niveau que celles pratiquées dans l'Union européenne

Un cadre légal à la traîne

Le RGPD européen (Règlement général sur la protection des données) a fortement réduit l'attractivité de la Suisse pour l'implantation de data centers.

La législation suisse sur la protection des données a été considérée comme l'une des meilleures durant près de 25 ans. De plus, la non-intégration de la Confédération à l'Union européenne permettait de garantir aux personnes morales comme physiques que les données ne seraient pas partagées avec les 28 Etats membre de l'UE. Mais ces mêmes Etats ont mis un coup d'accélérateur à la protection des données tandis que la Suisse prenait du retard, en renforçant trop lentement sa loi, qui date de 1992.

Wuala, active de 2008 à 2015, recommande de recourir à Tresorit, qui siège en Suisse mais stocke les données dans l'Union europééenne. Est-ce une preuve de plus que la législation sur les données numériques est insuffisante en Suisse?

>> Lire : Le RGPD, ce nouveau standard sur les données privées qui concerne la Suisse et Les amendes pleuvent en Europe pour le manque de protection des données

La Suisse n’a pas de stratégie claire pour stocker, encadrer et protéger les données. Elle est larguée. Le pays conçoit encore la donnée comme de la technologie, mais pas comme quelque chose qui a de la valeur

Ces données suisses qui ont été siphonnées

Qu'elles soient stockées dans un lieu inviolable ou non, les données suisses ne sont pas à l'abri d'un siphonnage, comme l'ont prouvé de récents piratages. Le cas le plus grave concerne la cyberattaque dont a été victime le géant suisse de l'armement RUAG en mai 2016 et qui a touché le service de messagerie Outlook de la Confédération.

Swisscom, qui appartient à hauteur de 51% à la Confédération, a également déjà été frappé par des hackers. En automne 2017, les coordonnées (nom, adresse, numéro de téléphone et date de naissance) de quelque 800'000 clients ont été volées à un partenaire de distribution du groupe. Quelques semaines auparavant, l'opérateur avait déjà enregistré sur les serveurs de messagerie de Bluewin plus de 10'000 logins suspects depuis une adresse IP unique située à l'étranger.

"Nous nous faisons vider nos serveurs et c’est la souveraineté de la Suisse qui part en sucette", conclut une source anonyme active au sein du DDPS, en dénonçant "une incompétence générale à comprendre le nouveau monde".

>> Lire : Des données de 30'000 employés fédéraux auraient été volées à Ruag, L'identité des clients de Swisscom est-elle menacée après le vol de données?, "Toutes les PME sans exception sont concernées par les cyberattaques" et "La Suisse sous couverture", la web-série qui décrypte les activités d'espionnage sur sol helvétique

>> Retrouver tous les épisodes:

Caroline Briner

Remerciements: Mehdi Atmani