En raison de leurs activités, les employés des administrations publiques jouent un rôle clé dans la chaîne de sécurité informatique. Pour remplir leur mandat légal, ils doivent inévitablement stocker, traiter et, dans certains cas, transmettre des données sensibles. En outre, ils sont quotidiennement en contact étroit avec des partenaires internes et externes via divers canaux de communication. Par conséquent, il est important de sécuriser la communication. Voici quelques conseils et outils à cet effet:
Courrier électronique
Signature numérique
La signature numérique d'un courrier électronique vise à ce que l'expéditeur puisse être clairement identifié et à protéger le message contre les tentatives de falsification. Elle se base sur la cryptographie asymétrique, répondant ainsi aux exigences d'authenticité et d'intégrité.
N. B.: Il ne faut pas confondre la signature numérique avec la signature d'un message composée, par exemple, du nom et de l'adresse Internet que l'on peut insérer dans un courrier électronique.
Chiffrement de courriers électroniques
Un courrier électronique signé numériquement garantit l'intégrité des informations, mais pas la confidentialité. Celle-ci passe par le chiffrement des messages. Dans ce contexte, il faut distinguer le chiffrement de transport et le chiffrement de bout en bout. Le premier permet de chiffrer les communications entre les interlocuteurs au moyen du TLS (Transport Layer Security), le message lui-même étant stocké en clair. Le chiffrement de bout en bout consiste à la fois dans la création et dans la sauvegarde d'un message chiffré.
Deux standards de chiffrement sont utilisés: OpenPGP, qui repose sur un modèle de confiance décentralisé, et S/MIME, qui utilise les certificats d'une autorité de certification (AC) reconnue et constitue donc un modèle de confiance centralisé (l'AC étant le le tiers de confiance).
En principe, aucune information ou donnée confidentielle ne doit être transmise par des canaux non chiffrés. Les informations confidentielles destinées à des services externes doivent être systématiquement chiffrées ou envoyées par la poste. Si vous n'êtes pas en mesure d'établir une communication chiffrée au moyen de S/MIME ou d'OpenPGP, vous pouvez également compresser votre message dans une archive ZIP chiffrée et choisir un mot de passe sécurisé. Veillez toutefois à utiliser le chiffrage AES (Advanced Encryption Standard) et non l'ancien cryptage ZIP 2.0. Le mot de passe doit ensuite être transmis au destinataire du message par un canal sécurisé (par ex. les messageries Threema ou Signal) ou par téléphone.
Téléphone
Pour les conversations téléphoniques confidentielles, l'OFCS recommande d'utiliser le chiffrement de bout en bout, qui permet de chiffrer les messages sur l'appareil de l'expéditeur et d'éviter que ceux-ci ne soient déchiffrés avant leur arrivée à destination. Entre-temps, les données ne sont jamais disponibles au format non chiffré. Seuls les participants à l'appel peuvent donc les déchiffrer.
N. B.: Faites attention aux personnes de votre entourage qui pourraient écouter votre conversation.
Séances confidentielles
Lors de séances confidentielles, les téléphones mobiles et autres appareils portables (wearables) doivent rester en dehors de la pièce. Si un appareil a été infecté par un maliciel ou si une application malveillante y a été installée, les cybercriminels ont la possibilité d'accéder au son et à l'image d'une séance via la caméra intégrée.
Travailler dans un lieu public
Aujourd'hui, les modèles de travail flexibles permettent aux employés des administrations publiques de travailler ailleurs qu'au bureau (par ex. dans les transports en commun, les restaurants ou les cafés). Si cela offre de nombreux avantages, travailler dans un lieu public comporte également certains risques. C'est pourquoi l'OFCS vous recommande d'utiliser un filtre de confidentialité (autre possibilité pour les appareils hp: combinaison de touches «fn+F2») pour protéger les données sensibles des regards indiscrets.
Dernière modification 01.01.2024