Si les grandes autorités possèdent souvent leur propre département informatique, nombre de petites autorités font appel à un prestataire externe. Assurez dans ce cas que les responsabilités en matière de sécurité informatique sont clairement définies entre votre prestataire externe et vous, notamment en ce qui concerne les mesures techniques et organisationnelles. Définissez contractuellement les responsabilités en cas d'incident suite au non-respect des mesures de sécurité convenues.
La responsabilité ne peut pas être rejetée ou déléguée à quelqu'un d'autre. En cas d'incident, votre autorité peut se trouver au bout de la chaîne de responsabilité.
Consultez les exigences minimales.
- Effectuez des contrôles de sécurité dès la réception de systèmes informatiques intégrés .
- Renseignez-vous sur les conditions générales (CG) et les directives en vigueur lorsque vous avez recours à des services informatiques. Ces deux éléments devraient faire partie du contrat conclu entre le prestataire externe de services informatiques et vous.
- Réglez l'obligation de garder le secret pour les tiers s'occupant de la maintenance et de la gestion des systèmes informatiques, et empêchez tout accès inutile aux données personnelles particulièrement sensibles.
- Discutez et définissez également avec le prestataire externe des conventions pour le stockage des données (entreprises proposant de l'espace de stockage dans le nuage).
Informations complémentaires:
Vous trouverez les normes minimales pour les technologies de l'information et de la communication (TIC) sur le site Internet de l'Office fédéral pour l'approvisionnement économique du pays,
https://www.ofae.admin.ch
L'initiative de projet pour la création du label de qualité indépendant "CyberSeal" pour les prestataires de services informatiques a été initiée dans le cadre d'un partenariat public-privé composé de l'OFCS, de la Mobilière, de Secnovum et de digitalswitzerland. Les prestataires de services informatiques distingués par le CyberSeal garantissent à leurs clients un niveau de protection adéquat contre les cyberrisques grâce à des mesures techniques et organisationnelles appropriées.
https://www.digitalsecurityswitzerland.ch
Le label cyber-safe.ch a été développé par l'Association suisse pour le label de cybersécurité. Il définit des exigences minimales qui s'appliquent spécifiquement aux communes et aux PME. Un questionnaire en ligne (www.cyber-safe.ch) permet d'évaluer les cyberrisques pour les communes et les PME.
https://www.cyber-safe.ch
Depuis le 1er janvier 2022, toutes les activités opérationnelles de la Conférence suisse sur l’informatique (CSI) nécessaires au suivi des conditions générales applicables aux prestations TIC sont reprises par l’Administration numérique suisse. Cette dernière élabore et négocie les conditions générales jusqu’à la signature du contrat par la CSI.
Administration numérique suisse
Vous trouverez des outils de protection des données et une liste des bureaux des préposés à la protection des données sur le site Internet de la Conférence des Préposé(e)s suisses à la protection des données.
https://www.privatim.ch
Le Préposé fédéral à la protection des données et à la transparence est compétent pour toutes les question liées au traitement des données par des particuliers ou des organes de la Confédération.
https://www.edoeb.admin.ch
Choisir un prestataire de services informatiques
Les certifications selon des normes reconnues de protection des données et de sécurité de l'information peuvent vous aider à choisir un prestataire. Vous n'êtes pas obligé(e) de choisir un partenaire certifié, mais il est recommandé de demander au prestataire de services informatique de démontrer qu'il possède les qualités requises et qu'il est en mesure d'assurer la disponibilité et la sécurité que vous demandez. Faites appel à une instance indépendante pour l'évaluer ou le confirmer.
Effectuer des audits de sécurité
Contrôlez régulièrement la mise en œuvredes prestations convenues dans le contrat au moyen de normes de contrôle telles que COBIT (Control Objectives for Information and Related Technology, https://www.isaca.org/resources/cobit [en anglais]) de l'ISACA (Information Systems Audit and Control Association, https://www.isaca.org [en anglais]). Ayez recours aux services d'organes de contrôle indépendants. Le prestataire de services informatiques peut également demander la certification ISAE 3400 Type 2 (International Standard on Assurance Engagements), aussi connue sous le nom de rapport SOC-2 (Service Organization Control). L'organe de contrôle évalue la sécurité, la disponibilité, l'intégrité et la confidentialité.
Dernière modification 01.01.2024