Selon le Financial Times, Atos pourrait être impliqué dans l’achat de logiciels à la Russie pour le contrôle des frontières de l’EU [FINANCIAL TIMES]

COPYRIGHTS FINANCIAL TIMES –

Version française en fin d’article. 

Avant-propos blog : On peut se demander « qui veut la peau d’Atos » ??

Le blog s’interroge de plus en plus sur le rôle obscur joué par Paul Saleh durant son année à Atos et s’il n’y a pas eu une volonté d’affaiblir Atos pour renforcer le poids des ESN américaines dans des secteurs clefs.

Fallait vraiment être con pour confier la restructuration d’une société française à activités ultra-sensibles à un ricain. Y’a que Meunier pour faire ce genre d’abruticités ! Mustier pour cautionner et se rendre compte de la connerie seulement 8 mois après et enfin le débarquer (au positif il aura été plus rapide qu’avec Kerviel !!); et Le Maire pour dire Amen !

Le fait que ces révélations quand même bluffantes, à savoir que le logiciel de contrôle des frontières inclue un sous-logiciel d’origine russe, arrivent au moment où Atos essaie de sortir la tête de l’eau, est assez déconcertant. De là à parler de guerre commerciale, à voir…

Réaction d’un salarié Atos ce matin à chaud : 

Honnêtement j’étais toujours surpris d’avoir des employés en Russie (entre 2019-2021 dans mon cas) gérer des sujets administratifs assez sensibles, validation de contrats, process rainbow, etc.

Pas qu’il y avait des plans de bombes nucléaires, mais bon l’outsourcing à des limites.

La comm’ officielle d’Atos était que Atos Russie gérait des projets de boîtes occidentales installées en Russie.

Apparemment un peu plus…

===

Prosecutors probe Russian role in buying software for EU border system

Investigation examines how French IT group Atos used Moscow office for sensitive European computer project

Laura Dubois in Brussels – Published the 06/02/2025 at 6:30

European prosecutors are examining how the Moscow office of an IT contractor helped to build the EU’s new electronic border system, which will establish the bloc’s biggest personal information database.

According to documents seen by the Financial Times, the French IT group Atos used staff in Russia to buy software in 2021 for the highly sensitive project, which aims to gather and store biometric data on all non-EU visitors to the EU.

The disclosure of Russian involvement has raised significant security questions about the ambitious overhaul of the EU’s border infrastructure. Its launch remains uncertain after the EU scrapped several target dates due to technical issues.

The leaked papers suggest Atos’s branch in Moscow operated under a licence that would grant Russia’s FSB security service access to its work in the country.

Four people with knowledge of the events said Moscow-based staff were directly involved in buying software for the border system, work that would typically require an EU security clearance.

The European Public Prosecutor’s Office (EPPO) is looking into the involvement of Atos Russia in the border project, according to two people with knowledge of the probe. The EPPO is responsible for investigating and prosecuting criminal offences affecting the financial interests of the EU.

The EPPO said it does not comment on cases or publicly confirm the investigations it is pursuing. No charges have been brought to date.

The EU’s so-called Entry/Exit System (EES) will collate data tracking the movements of every foreign traveller entering or exiting the bloc, recording biometric and personal information as well as their visa status. Atos Belgium won the EES contract, now worth €212mn, together with IBM Belgium and Italy’s Leonardo in 2019.

Olaf, the EU’s anti-fraud watchdog, last year investigated allegations regarding the involvement of Atos Russia, a probe that has not been previously disclosed. It found that measures taken internally by EU-Lisa, the agency implementing the EES, to address “security issues” were not sufficient, according to one person with direct knowledge of the inquiry.

Insufficient evidence was found to open an investigation under Olaf’s anti-fraud mandate, the person said, but recommendations were issued to EU-Lisa to address weaknesses. Olaf declined to comment.

“We are aware of the fact that EU-Lisa is closely co-operating with Olaf . . . the agency may take all necessary legal actions if it proves necessary,” said a spokesperson for the European Commission.

EU-Lisa said it was “aware of the allegations related to Atos Russia involvement” in the project and that it “never had any contractual relations with Atos Russia”.

The agency said “there has been no identified security breach” and that it had “continued to carry out systematic security assessments and has taken all relevant actions since learning of the matter”.

Software licences needed for parts of the EES were purchased through Atos’s offices in Moscow in 2021, according to internal documents obtained by the FT. There is no evidence Atos’s Moscow branch was involved in EES work after Russia’s full-scale invasion of Ukraine in 2022.

Recommended European Union EU to delay new electronic border checks EU-Lisa said it was “aware of the allegations related to Atos Russia involvement” in the project and that it “never had any contractual relations with Atos Russia”.

The Atos branch, since 2016, operated under a licence granted by the FSB, one of the successor agencies to the Soviet Union’s KGB. This covered the “development, production, distribution of encryption (cryptographic) tools, information systems and telecommunication systems”, according to Russian public records.

Andrei Soldatov, an author and expert on Russia’s security services, said such a licence grants the FSB a “back door” into Atos Russia’s activities. “They can look at everything this company is working on,” Soldatov said.

Atos has said that it divested from its Russian business in September 2022 following the invasion. Atos, IBM and Leonardo declined to comment.

One European official said the revelations about Atos Russia raised urgent questions about access to such a sensitive project. “The security issue immediately comes to mind because of the enormous amount of data that [the EES] would contain,” they said.

Atos used its Russian office to procure software for a part of the EES that would allow airlines to verify traveller information such as visa status, according to the leaked documents and four people involved in software sales at Atos, EU-Lisa and their suppliers.

Yulia Plavunova, a Moscow-based Atos employee, was the “primary” customer contact for a purchase of cryptographic certificates from the US company AppViewX that help to verify the users of that part of the EES, according to the leaked documents.

Atos’s Moscow address is also listed in the documents in connection with a software licence sold by Swiss group Magnolia for so-called middleware that connects different parts of the computer system.

Both AppViewX and Magnolia confirmed Atos used its Moscow office for procurement, while their contracts were with Atos France and Atos Belgium.

A former Atos employee working on the project said Plavunova was “part of the procurement office” and that “she was consistently involved for purchases involving third-party contractor[s]”.

The employee said they had not been aware that Plavunova was based in Russia, and that this was “strange” as only “EU-cleared staff” could be assigned to the project.

According to the main EES contract, seen by the FT, all IT contractors’ staff working on the project “must hold a valid security clearance at EU Secret level issued by a National Security Authority [in a member state] prior to providing services”.

EU-Lisa said that “there has been no identified security breach” as the employee of Atos Russia “did not have access to EU-Lisa’s IT systems, sensitive information, or premises”. The software purchased by AppViewX was never used and Magnolia was used until 2022, according to EU-Lisa.

Plavunova said she left Atos in 2021 and “cannot disclose any information that belongs to my former employer”. She said her activity as a software buyer was “not connected to Atos Russia business” and that Atos “provided employees with equal opportunities to work for different regions . . . Being Russian doesn’t mean working for the FSB.”

A spokesperson for the European Commission said it had “full confidence in EU-Lisa’s capacity to manage the security of the EES” and that EU-Lisa would “perform a security audit before EES goes live”.

Additional reporting by Chris Cook in London.

https://www.ft.com/content/15412552-32e3-4ec5-afc3-074cfeac20cb

=====

TRADUCTION FRANCAISE ROBOTISEE 

non auditée par le blog

Les procureurs européens enquêtent sur le rôle de la Russie dans l’achat de logiciels pour le système de frontières de l’UE.

L’enquête examine comment le groupe informatique français Atos a utilisé le bureau de Moscou pour un projet informatique européen sensible

Laura Dubois à Bruxelles – Publié le 06/02/2025 à 6h30

Les procureurs européens examinent comment le bureau moscovite d’un sous-traitant informatique a contribué à la construction du nouveau système de frontières électroniques de l’UE, qui établira la plus grande base de données d’informations personnelles du bloc.

Selon des documents consultés par le Financial Times, le groupe informatique français Atos a utilisé du personnel en Russie pour acheter des logiciels en 2021 pour ce projet très sensible, qui vise à collecter et stocker des données biométriques sur tous les visiteurs non européens de l’UE.

La révélation de l’implication russe a soulevé d’importantes questions de sécurité concernant la refonte ambitieuse de l’infrastructure frontalière de l’UE. Son lancement reste incertain après que l’UE a annulé plusieurs dates cibles en raison de problèmes techniques.

Les documents divulgués suggèrent que la succursale d’Atos à Moscou opérait sous une licence qui donnerait au service de sécurité russe FSB l’accès à son travail dans le pays.

Quatre personnes au courant des événements ont déclaré que le personnel basé à Moscou était directement impliqué dans l’achat de logiciels pour le système frontalier, un travail qui nécessiterait normalement une habilitation de sécurité de l’UE.

Le Parquet européen (EPPO) enquête sur l’implication d’Atos Russie dans le projet frontalier, selon deux personnes au courant de l’enquête. Le Parquet européen est chargé d’enquêter et de poursuivre les infractions pénales affectant les intérêts financiers de l’UE.

Le Parquet européen a déclaré qu’il ne commentait pas les affaires ni ne confirmait publiquement les enquêtes qu’il mène. Aucune charge n’a été retenue à ce jour.

Le système d’entrée/sortie (EES) de l’UE rassemblera des données sur les mouvements de chaque voyageur étranger entrant ou sortant du bloc, enregistrant des informations biométriques et personnelles ainsi que leur statut de visa. Atos Belgique a remporté le contrat EES, d’une valeur de 212 millions d’euros, avec IBM Belgique et Leonardo en Italie en 2019.

L’Olaf, l’organisme européen de surveillance antifraude, a enquêté l’année dernière sur les allégations concernant l’implication d’Atos Russie, une enquête qui n’a pas été divulguée auparavant. Elle a constaté que les mesures prises en interne par EU-Lisa, l’agence chargée de la mise en œuvre de l’EES, pour résoudre les « problèmes de sécurité » n’étaient pas suffisantes, selon une personne ayant une connaissance directe de l’enquête.

Les preuves trouvées sont insuffisantes pour ouvrir une enquête dans le cadre du mandat antifraude de l’Olaf, a déclaré la personne, mais des recommandations ont été émises à EU-Lisa pour remédier aux faiblesses. L’Olaf a refusé de commenter.

« Nous sommes conscients du fait qu’EU-Lisa coopère étroitement avec l’Olaf. L’agence peut prendre toutes les mesures juridiques nécessaires si cela s’avère nécessaire », a déclaré un porte-parole de la Commission européenne.

EU-Lisa a déclaré qu’elle était « au courant des allégations liées à l’implication d’Atos Russie » dans le projet et qu’elle n’avait « jamais eu de relations contractuelles avec Atos Russie ». L’agence a déclaré qu’« aucune faille de sécurité n’a été identifiée » et qu’elle avait « continué à effectuer des évaluations de sécurité systématiques et a pris toutes les mesures appropriées depuis qu’elle a eu connaissance de l’affaire ».

Les licences logicielles nécessaires à certaines parties de l’EES ont été achetées par l’intermédiaire des bureaux d’Atos à Moscou en 2021, selon des documents internes obtenus par le FT. Il n’existe aucune preuve que la succursale moscovite d’Atos ait été impliquée dans les travaux de l’EES après l’invasion à grande échelle de l’Ukraine par la Russie en 2022.

L’Union européenne a recommandé à l’UE de retarder les nouveaux contrôles électroniques aux frontières EU-Lisa a déclaré qu’elle était « au courant des allégations liées à l’implication d’Atos Russie » dans le projet et qu’elle n’avait « jamais eu de relations contractuelles avec Atos Russie ».

L’agence a déclaré qu’« aucune faille de sécurité n’a été identifiée » et qu’elle avait « continué à effectuer des évaluations de sécurité systématiques et a pris toutes les mesures appropriées depuis qu’elle a eu connaissance de l’affaire ».

Depuis 2016, la succursale d’Atos opérait sous une licence accordée par le FSB, l’une des agences successeurs du KGB de l’Union soviétique. Cela couvrait le « développement, la production, la distribution d’outils de cryptage (cryptographiques), de systèmes d’information et de systèmes de télécommunication », selon les archives publiques russes.

Andrei Soldatov, auteur et expert des services de sécurité russes, a déclaré qu’une telle licence accorde au FSB une « porte dérobée » sur les activités d’Atos Russie. « Ils peuvent regarder tout ce sur quoi travaille cette entreprise », a déclaré Soldatov.

Atos a déclaré avoir cédé ses activités russes en septembre 2022 après l’invasion. Atos, IBM et Leonardo ont refusé de commenter.

Un responsable européen a déclaré que les révélations sur Atos Russie soulevaient des questions urgentes sur l’accès à un projet aussi sensible. « La question de la sécurité vient immédiatement à l’esprit en raison de l’énorme quantité de données que [l’EES] contiendrait », ont-ils déclaré.

Atos a utilisé son bureau russe pour acheter un logiciel pour une partie de l’EES qui permettrait aux compagnies aériennes de vérifier les informations des voyageurs telles que le statut de visa, selon les documents divulgués et quatre personnes impliquées dans les ventes de logiciels chez Atos, EU-Lisa et leurs fournisseurs.

Selon les documents divulgués, Yulia Plavunova, une employée d’Atos basée à Moscou, était le contact client « principal » pour l’achat de certificats cryptographiques auprès de la société américaine AppViewX qui permettent de vérifier les utilisateurs de cette partie de l’EES.

L’adresse d’Atos à Moscou est également mentionnée dans les documents en lien avec une licence logicielle vendue par le groupe suisse Magnolia pour un soi-disant middleware qui relie différentes parties du système informatique.

AppViewX et Magnolia ont tous deux confirmé qu’Atos utilisait son bureau de Moscou pour les achats, alors que leurs contrats étaient avec Atos France et Atos Belgique.

Un ancien employé d’Atos travaillant sur le projet a déclaré que Plavunova « faisait partie du bureau des achats » et qu’elle « était constamment impliquée dans les achats impliquant des sous-traitants tiers ».

L’employé a déclaré qu’ils ne savaient pas que Plavunova était basée en Russie, et que c’était « étrange » car seul le « personnel autorisé par l’UE » pouvait être affecté au projet.

Selon le contrat principal d’EES, consulté par le FT, tout le personnel des sous-traitants informatiques travaillant sur le projet « doit détenir une habilitation de sécurité valide au niveau secret de l’UE délivrée par une autorité de sécurité nationale [dans un État membre] avant de fournir des services ».

EU-Lisa a déclaré qu’« aucune faille de sécurité n’a été identifiée » car l’employé d’Atos Russie « n’avait pas accès aux systèmes informatiques, aux informations sensibles ou aux locaux d’EU-Lisa ». Le logiciel acheté par AppViewX n’a jamais été utilisé et Magnolia a été utilisé jusqu’en 2022, selon EU-Lisa.

Plavunova a déclaré avoir quitté Atos en 2021 et « ne peut divulguer aucune information appartenant à mon ancien employeur ». Elle a déclaré que son activité d’acheteur de logiciels n’était « pas liée aux activités d’Atos Russie » et qu’Atos « offrait aux employés des opportunités égales de travailler pour différentes régions ». Être russe ne signifie pas travailler pour le FSB. »

Un porte-parole de la Commission européenne a déclaré qu’elle avait « pleinement confiance dans la capacité d’EU-Lisa à gérer la sécurité de l’EES » et qu’EU-Lisa « effectuerait un audit de sécurité avant la mise en service de l’EES ».

Reportage supplémentaire de Chris Cook à Londres.

https://www.ft.com/content/15412552-32e3-4ec5-afc3-074cfeac20cb