S’il y a un domaine qui ne souffre aucune légèreté en matière de sécurité, c’est bien celui de la dissuasion. Or, une enquête du quotidien The Telegraph, publiée le 4 août, a révélé que des données concernant des ingénieurs liés aux programmes de sous-marins nucléaires de la Royal Navy ont été potentiellement compromises par l’un des sous-traitants de Rolls Royce Submarines. L’affaire est si grave que le ministère britannique de la Défense [MoD] parle d’une « menace sérieuse » pour la sécurité du Royaume-Uni.
Tout a commencé quand Rolls Royce Submarines a voulu moderniser un réseau informatique privé [intranet] en sollicitant les services du cabinet de conseil numérique WM Reply. Or, celui-ci a sous-traité le développement du nouveau logiciel à des programmeurs établis à Minsk [Biélorussie] ainsi qu’à Tomsk, en Sibérie. Normalement, un tel travail aurait dû être effectué au Royaume-Uni, par des employés ayant une habilitation de sécurité.
Mieux encore : selon le quotidien, qui s’appuie sur des sources officielles, WP Reply aurait tenté de dissimuler l’identité des programmeurs biélorusses et russes en leur donnant des noms de ressortissants britanniques décédés. A priori, cette pratique n’aurait pas été inédite.
« Outre la flotte de sous-marins, on craint que d’autres capacités de défense aient été compromises, car il est apparu qu’un projet précédent avait également été sous-traité à des développeurs biélorusses », avance The Telegraph.
L’intranet en question comprenait les données personnelles de tous les employés de Rolls Royce Submarines ainsi que, précise le journal, la « structure organisationnelle de ceux qui travaillaient sur la flotte de sous-marins » de la Royal Navy.
Des salariés de WP Reply ont tenté de tirer la sonnettes d’alarme dès l’été 2020 et suggéré que Rolls Royce Submarines devait être informé de la situation. Mais les dirigeants de l’entreprise y ont mis un coup d’arrêt, en faisant valoir que le projet risquait d’être annulé.
Finalement, Rolls Royce Submarines a fini par être mis au courant au printemps 2021, ce qui a ensuite donné lieu à l’ouverture de plusieurs enquêtes, dont une menée par le MoD.
Cependant, un porte-parole de Roll Royce Submarines a réfuté l’idée que des informations sensibles aient pu être compromises.
« Nous pouvons affirmer catégoriquement qu’à aucun moment il n’y a eu un risque que des données, classifiées ou non, soient consultées ou mises à la disposition de personnes non habilitées. Il n’est pas possible pour des personnes non habilitées d’accéder à des données sensibles via l’intranet de notre entreprise. Il est utilisé pour fournir des mises à jour commerciales, un soutien au bien-être et un canal de collaboration entre nos collègues », a-t-il fait valoir.
Cependant, l’entreprise a rompu les ponts avec son sous-traitants. « Tous nos fournisseurs respectent des exigences de sécurité strictes. Une fois que nous avons été informés de ces allégations qui contrevenaient clairement à ces exigences, et à la suite d’une enquête interne rigoureuse qui s’est achevée en 2021, Rolls-Royce Submarines a cessé de travailler avec WM Reply. Nous ne leur avons plus attribué de contrats », a-t-il assuré.
Ce qu’a confirmé le MoD auprès du Telegraph. « Nous avons mis en place des procédures de sécurité strictes pour protéger nos systèmes, y compris lorsque nous travaillons avec des partenaires industriels et leurs chaînes d’approvisionnement », a déclaré un porte-parole. « Cette affaire a fait l’objet d’une enquête approfondie de la part de Rolls-Royce. Comme ils l’ont dit, à aucun moment l’intégrité du système n’a été compromise », a-t-il ajouté.
Cependant, si aucun secret industriel ou opérationnel n’a été compromis, un potentiel accès aux données personnelles d’ingénieurs et de techniciens ayant des connaissances approfondies sur les sous-marins nucléaires britanniques pourrait exposer ces derniers à du chantage ou à des attaques ciblées.