Vaud casse un contrat informatique de 6 millions de francs avec Xplain
Le canton estime avoir «des doutes sérieux quant à la capacité de la société à fournir les prestations initialement contractées». L’entreprise informatique, victime d’un piratage majeur en 2023, se dit surprise
Manifestement, la campagne de communication réalisée par Xplain en début de semaine n’a pas porté tous ses fruits. Ce mardi, le directeur de la société informatique s’exprimait dans plusieurs médias, dont Le Temps, pour rassurer sur ses activités et la fidélité de ses clients. «Certains sont en train d’évaluer la suite de la collaboration avec nous, mais je suis confiant. Des clients ont des contrats au long cours, pour certains, 85% de l’argent budgétisé a été dépensé, et ce sont des clients qui vont aller jusqu’au bout avec nous», affirmait Andreas Löwinger. Mais l’entreprise, touchée en juin 2023 par une gigantesque cyberattaque, vient hier de perdre un client: le canton de Vaud.
Un peu plus de 10% déjà payés
A la mi-journée, le Conseil d’Etat vaudois, «en accord avec ses partenaires communaux […], a décidé de rompre le contrat avec effet immédiat afin de limiter les risques financiers et opérationnels pour le projet». Il s’agit du projet appelé «Odyssée», qui devait moderniser le système informatique central des polices vaudoises. Selon le communiqué des autorités vaudoises, Xplain «n’a pas été en mesure de fournir les prestations attendues».
Les sommes sont importantes: en 2021, le Grand Conseil acceptait un projet de décret accordant au Conseil d’Etat un crédit d’investissement de 11 281 000 francs pour la réalisation de ce projet, auquel les polices communales devaient aussi participer à hauteur de 10 508 000 francs. Hier, le canton affirmait qu’«à ce jour, un peu plus de 10% du montant total a déjà été engagé pour l’ensemble du programme, essentiellement pour la définition des spécifications détaillées incluant l’harmonisation des processus entre les polices.» Sur ces quelques 21 millions, 6 millions étaient liés à un contrat avec Xplain. On ne connaît pas pour l’heure les conditions financières liées à la rupture de ce contrat.
Xplain et sa solution Polaris sont donc écartés, et un autre prestataire sera recherché. Selon le Conseil d’Etat vaudois, le piratage de Xplain (qui avait mis à nu des documents sensibles de Fedpol, de l’armée ou encore de polices cantonales) a fortement perturbé, par ricochet, la conduite du programme Odyssée. «Le fournisseur a, en outre, rencontré des problèmes de qualité du produit provoquant des doutes sérieux quant à sa capacité à fournir les prestations initialement contractées», écrivaient hier les autorités.
«Nous regrettons cette interruption»
Immédiatement, Xplain a réagi, pour faire part de sa surprise. Selon l’entreprise, les retards pris sont indépendants de sa volonté. «Entre l’attribution du projet Odyssée 2018 et le début des travaux, quatre années se sont écoulées – pour des raisons qui n’ont rien à voir avec Xplain. Au cours de ces quatre années, les conditions légales, organisationnelles et techniques ont évolué et, par conséquent, les exigences relatives au projet et au produit initialement proposé ont également changé. Nous regrettons que ce processus soit maintenant interrompu», affirmait Xplain.
Hier, le Conseil d’Etat vaudois précisait qu’«aucune donnée sensible concernant le canton de Vaud n’a été diffusée» dans le cadre de la cyberattaque de 2023. Mais le 29 novembre 2023, la RTS affirmait avoir découvert que «l’un des responsables du projet Odyssée chez Xplain avait accès à des données ultrasensibles appartenant à plusieurs polices cantonales, y compris à celle du canton de Vaud.» Et en décembre 2023, on apprenait que le canton d’Argovie mettait en suspens ses projets avec Xplain. ■