DépartementOffice

Si rempli : Error: Reference source not foundE

Concept de sécurité de l'information et de protection des données (concept SIPD)

Classification * INTERNE

Statut **Nom du projet ou ob-jet à protéger Exemple SIPD ISDS-Konzept

Numéro du projetMandantResponsable du pro-cessusChef de projetRSIPDTraitementContrôleApprobation par le mandant du projet ou par le responsable du processusVersion 0.1

* INTERNE, CONFIDENTIEL, SECRET** En cours d'élaboration, en cours de vérification, terminé/approuvé

Date d'impression: 05.05.2023

Nom du projet : Exemple SIPD INTERNE

Suivi des modifications, contrôle, approbation

Version Date Description, remarque Nom

Distribution

Fonction Nom Département/OfficeDSIO

Exemple SIPD version 3.0 / Document - Version 0.1 Date d'impression 6.2.2015 2/15

Nom du projet : Exemple SIPD INTERNE

Phases du projet vuesInitialisation

Fonction Nom DateCP / RSIPD

Conception

Fonction Nom DateCP / RSIPD

Réalisation

Fonction Nom DateCP / RSIPD

Déploiement

Fonction Nom DateCP / RSIPD

Finalisation / Remise à l'exploitation

Fonction Nom DateCP / RSIPDRARS

Exemple SIPD version 3.0 / Document - Version 0.1 Date d'impression 6.2.2015 3/15

Nom du projet : Exemple SIPD INTERNE

Table des matières1 Généralités 51.1 Description................................................................................................................51.2 Tailoring.....................................................................................................................51.3 But du document.......................................................................................................5

2 Résumé 62.1 Généralités.................................................................................................................62.2 Résumé des risques résiduels................................................................................62.3 Remarques finales....................................................................................................62.4 Signatures..................................................................................................................7

3 Bases légales, protection des données et sécurité des informations conformément à l'OIAF, art.6 à 8 8

3.1 Bases légales............................................................................................................83.2 Protection des données...........................................................................................83.3 Sécurité des informations........................................................................................93.3.1 OIAF, art. 7.............................................................................................................................. 93.3.2 OIAF, art. 8, al. 2..................................................................................................................... 9

4 Liste des documents relatifs à la sécurité 105 Classification d'après les directives du Conseil fédéral 106 Description du système relative à la sécurité 116.1 Interlocuteurs et responsabilités...........................................................................116.2 Description du système global..............................................................................116.3 Description des données à traiter.........................................................................116.4 Esquisse de l'architecture et matrice de communication...................................126.5 Description de la technologie sous-jacente.........................................................12

7 Analyse des risques et mesures de protection 137.1 Couverture des risques par des concepts généraux..........................................137.2 Risques résiduels...................................................................................................14

8 Concept d'urgence 149 Respect et contrôle des mesures de protection 149.1 Contrôle de la réception du système....................................................................14

10 Liquidation 1511 Abréviations 1512 Annexe 15

Exemple SIPD version 3.0 / Document - Version 0.1 Date d'impression 06.02.2015 4/15

Nom du projet  Exemple SIPD INTERNE

1 Généralités

Le texte en bleu sert d'aide pour remplir le document. Le texte en rouge correspond à des indications ou à des questions importantes, qu'il faut clarifier ou décrire concrètement.

1.1 Description

Le concept SIPD constitue le document principal de la sécurité de l'information et de la pro-tection des données dans le projet et pendant l'exploitation. La classification est réalisée conformément à l'analyse des besoins de protection selon les DSIAF.

1.2 Tailoring

Le concept SIPD est obligatoire pour les systèmes avec impact sur la sécurité. Certains sous-chapitres peuvent toutefois être omis s'ils ne sont pas pertinents.

Si la classification selon le chapitre 5 (conformément aux DSIAF) ne révèle aucun besoin élevé de protection, l'analyse des risques (selon le chapitre 7) peut être omise.

1.3 But du document

Le concept SIPD définit les indications nécessaires pour le maintien et l'amélioration de la sécurité de l'information et de la protection des données.

Il récapitule les aspects de la sécurité de l'information et de la protection des données dans le projet.

Exemple SIPD version 3.0 / Document - Version 0.1 Date d'impression 06.02.2015 5/15

Nom du projet  Exemple SIPD INTERNE

2 Résumé

2.1 Généralités

Résumé des indications figurant dans le document et concernant l'analyse des risques ef-fectuée, la sécurité de l'information et la protection des données. Il donne une image du po-tentiel de risque du système examiné.

2.2 Résumé des risques résiduels

Résumé et évaluation des risques résiduels qui doivent être assumés par les services res-ponsables.

2.3 Remarques finales

Remarques finales et conclusions importantes relatives à l'objet à protéger.

Exemple SIPD version 3.0 / Document - Version 0.1 Date d'impression 06.02.2015 6/15

Nom du projet  Exemple SIPD INTERNE

2.4 Signatures

Par sa signature, le DSIO confirme avoir examiné le document relatif à la mise en œuvre de la protection informatique de base.

Par leur signature, le mandant et le responsable de processus d'affaires approuvent le docu-ment relatif à la mise en œuvre de la protection informatique de base.

Le responsable de l’unité administrative endosse la responsabilité des éventuels risques ré-siduels1. Selon les dispositions internes à l'office, ce document peut également être signé par un autre membre de la direction.

La mise en œuvre de la protection informatique de base doit être convenue par écrit avec le(s) fournisseur(s) de prestations et doit être documentée2.

................................. .....................................Date Nom et signature du DSIO

................................. .....................................Date Nom et signature du mandant

................................. .....................................Date Nom et signature du responsable de processus d'affaires

................................. .....................................Date Nom et signature du responsable de l'unité administrative ou

d'un membre de la direction

D’autres signatures peuvent être ajoutées

Les signatures peuvent aussi être réalisées sous forme électronique (dans un PDF).

1 Directives du Conseil fédéral concernant la sécurité informatique dans l’administration fédérale, ch. 3.4 Risques résiduels2 Directives du Conseil fédéral concernant la sécurité informatique dans l’administration fédérale, ch. 2.2 Bénéficiaires de prestations et ch. 2.3 Fournisseurs de prestations

Exemple SIPD version 3.0 / Document - Version 0.1 Date d'impression 06.02.2015 7/15

Nom du projet  Exemple SIPD INTERNE

3 Bases légales, protection des données et sécurité des informa-tions conformément à l'OIAF, art.6 à 8

Les articles 6 à 8 de l’ordonnance révisée sur l’informatique dans l’administration fédérale (OIAF) constituent des éléments importants pour établir de bonnes bases juridiques dans un projet infor-matique :Art. 6 Bases légales, protection des données et sécurité des informationsL'utilisation des TIC présuppose :a. que les bases légales suffisantes existent déjà ou seront créées ;b. que la protection des données relatives aux personnes concernées est garantie  ;c. que la sûreté intégrale de l'information est garantie.Art. 7 Stratégies pour une société de l'informationLes projets et applications en matière de TIC doivent répondre aux objectifs et aux directives de la Stratégie du Conseil fédéral pour une société de l'information.Art. 8 Coordination et documentation1 Lors de la mise en œuvre des stratégies et des directives en matière de TIC, les responsables des projets et des applications veillent à la coordination organisationnelle et méthodologique.2 Ils veillent notamment à ce que soit consignée, sous une forme actualisée et pour chaque projet ou appli-cation, la façon dont sont prises en compte les conditions prévues à l'art. 6 ainsi que les objectifs et les di-rectives prévus à l'art. 7.

Les principaux aspects dont il faut tenir compte dans le cadre de la mise en œuvre de la protec-tion de base des TIC et de l’élaboration du concept SIPD sont évoqués sommairement ci-après.

3.1 Bases légales

OIAF, art. 6 al. a) que les bases légales suffisantes existent déjà ou seront créées  ;

Il s'agit de citer les bases légales sur lesquelles le projet TIC (à réaliser) prend appui. Ce travail s’effectue de préférence en collaboration avec le service juridique de l’unité administrative ou du département.

3.2 Protection des données

OIAF, art. 6 al. b) que la protection des données relatives aux personnes concernées est ga-rantie ;

En vertu de l’art. 13 de la Constitution fédérale et des dispositions de la Confédération en ma-tière de protection des données, toute personne a droit à la protection de sa sphère privée ainsi qu’à la protection contre l'emploi abusif des données qui la concernent. Les autorités fédérales respectent ces dispositions.

Il s’agit de déterminer si le traitement des données satisfait aux dispositions de la loi fédérale sur la protection des données. Il convient notamment de vérifier si un fichier de données doit être annoncé au PFPDT.

Grille d’analyse d’impact relative à la protection des données du PFPDTLe préposé fédéral à la protection des données et à la transparence (PFPDT) recommande de soumettre le projet à une analyse d’impact relative à la protection des données dès sa phase

Exemple SIPD version 3.0 / Document - Version 0.1 Date d'impression 06.02.2015 8/15

Nom du projet  Exemple SIPD INTERNE

initiale. Le PFPDT a publié à cet effet un outil qui permet de poser dès que possible les bonnes questions quant à un projet.

La section Sécurité en matière de TIC de l’UPIC (UPIC-SEC) recommande d’effectuer cette analyse d’impact relative à la protection des données et de prendre position de manière trans-parente lorsque cela s’avère nécessaire. La grille d’analyse est disponible sur le lien suivant :https://www.apps.edoeb.admin.ch/dsfa/fr/index.html

3.3 Sécurité des informations

OIAF, art. 6 al. c) que la sécurité intégrale de l'information est garantie.Cet aspect est traité par le présent concept SIPD

3.3.1 OIAF, art. 7

Cet aspect doit être évalué en fonction de la situation de chaque projet. Il se peut que le projet informatique n’ait pas de lien direct avec la Stratégie pour une société de l’information.

3.3.2 OIAF, art. 8, al. 2

Tous les projets informatiques doivent être documentés sous leur forme actuelle. C’est notam-ment l’objectif du présent document sur la mise en œuvre des mesures de protection de base des TIC dans l’administration fédérale.

Exemple SIPD version 3.0 / Document - Version 0.1 Date d'impression 06.02.2015 9/15

Nom du projet  Exemple SIPD INTERNE

4 Liste des documents relatifs à la sécurité

Comprend la liste complète des lois, ordonnances, directives, règlements, spécifications techniques, etc. relatifs à la sécurité de l'information. Doit être complétée par les documents propres au Département et/ou à l'office.

Type de docu-ment Titre

Loi RS 235.1 Loi fédérale du 19 juin 1992 sur la protection des données (LPD) RS 152.1 Loi fédérale du 26 juin 1998 sur l'archivage (LAr)

Ordonnance UPIC   : Ordonnance sur l'informatique dans l'administration fédérale (OIAF) RS 510.411   : Organe de coordination pour la protection des informations au sein de la Confédération (KISchB), IntranetRS 235.11   : Ordonnance du 14 juin 1993 relative à la loi fédérale sur la pro - tection des données (OLPD)RS 172.010.442   : Ordonnance sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération

Directives UPIC   : Directives du Conseil fédéral concernant la sécurité informatique dans l'administration fédérale

Stratégie UPIC   : Stratégie de la Confédération en matière informatique Lignes direc-trices

UPIC   : Lignes directrices relatives à la sécurité informatique dans l'adminis - tration fédérale

Méthode HERMES   : La méthode suisse de gestion de projets

Autres A compléter par l'auteur

5 Classification d'après les directives du Conseil fédéral

La classification de l'objet à protéger doit être réalisée selon l'analyse des besoins de pro-tection (Schuban) : UPIC – Analyse des besoins de protection (Schuban).

Les évaluations effectuées lors de l'analyse des besoins de protection permettent aussi d'estimer les éventuelles conséquences financières des besoins en matière de sécurité et de les décrire dans le présent document.

Pour l'analyse des besoins de protection approuvent, voir l'annexe.

Exemple SIPD version 3.0 / Document - Version 0.1 Date d'impression 06.02.2015 10/15

Nom du projet  Exemple SIPD INTERNE

6 Description du système relative à la sécurité

Description condensée des éléments relatifs à la sécurité du système, des applications, des fichiers de données disponibles et traités ainsi que des processus qui s'y rapportent.

6.1 Interlocuteurs et responsabilités

Qui NomGestionnaire de clientsExploitant du systèmeChef de projet ou interlocuteur auprès du FPDSIDDSIOCPDOPropriétaire des donnéesResponsable des applicationsCercle d'utilisateursAutres services

6.2 Description du système global

Description des fonctionnalités ayant un impact sur la sécurité, telles que les répartitions de rôles, la méthode d'authentification, la sauvegarde, les processus de support et de mainte-nance (év. à distance), les SLA, etc.Il est aussi possible de faire référence aux documents correspondants (nom, date de créa-tion, lieu d'enregistrement, etc.). La description doit être complète et pouvoir être comprise par des personnes non impliquées.

6.3 Description des données à traiter

Description des données et des structures (par ex. base de données utilisée). Les questions suivantes doivent être clarifiées et exposées :

- Fichier de données annoncé au PFPDT ?- Un règlement de traitement doit-il être établi ? Consultez à cet égard le

Règlement de traitement ou l'ordonnance relative à la loi fédérale sur la protection des données (OLPD) ainsi que le document disponible sous le lien suivant : Guide re-latif aux mesures techniques et organisationnelles de la protection des données

- Existe-t-il une base légale relative au traitement électronique des données ?- Les données doivent-elles être mises à la disposition des Archives fédérales sous

forme électronique ?- Si les informations sont classifiées, l'OPrI et les prescriptions de traitement doivent

être respectées (voir RS 510.411 Ordonnance concernant la protection des informa-tions (OPrI), Intranet).

Exemple SIPD version 3.0 / Document - Version 0.1 Date d'impression 06.02.2015 11/15

Nom du projet  Exemple SIPD INTERNE

6.4 Esquisse de l'architecture et matrice de communication

Insérer ici une esquisse de l'architecture et une matrice de communication.

6.5 D

escription de la technologie sous-jacente

Description des techniques utilisées, telles que plate-forme de serveurs, système(s) d'exploi-tation, environnement système, réseaux utilisés, fonctions cryptographiques, etc. Ces tech-niques doivent être décrites de manière complète et pouvoir être comprises aussi par des personnes non impliquées.

Exemple SIPD version 3.0 / Document - Version 0.1 Date d'impression 06.02.2015 12/15

Nom du projet  Exemple SIPD INTERNE

7 Analyse des risques et mesures de protection

Les risques/risques résiduels et les mesures de protection décidées qui découlent du pro-cessus RINA doivent être, comme les autres risques, consignés dans le concept SIPD et ré-gulièrement actualisés au cours du développement du projet.

Description des facteurs de risques pertinents (disponibilité, confidentialité, intégrité et tra-çabilité), liste et évaluation des risques.

L'analyse des risques détaillée doit être effectuée à l'aide du fichier Excel faisant partie du concept.

Les points suivants doivent être remplis :- Dossier de travail, grille SIPD : feuille de garde, reprise des informations du docu-

ment Word.- Dossier de travail relatif au risque : évaluer les dangers et les menaces mentionnés

en fonction des quatre aspects confidentialité, disponibilité, intégrité et traçabilité.- Dossier de travail relatif aux besoins et mesures.

Résultats- Les dossiers de travail relatifs à la disponibilité, à la confidentialité, à l'intégrité et à la

traçabilité, à la synthèse et à la synthèse radar sont des graphiques dont ressort la catégorie du risque évalué.

o Vert : ces risques sont soit inhérents (à l'objet de protection en tant que tel) ou peuvent être négligés. Ils doivent être réduits par des mesures simples.

o Jaune : ces risques ont des conséquences considérables et doivent donc être réduits.

o Rouge : ces risques sérieux ont des conséquences critiques à catastro-phiques. Ils doivent impérativement être réduits.

Les exigences de sécurité concernant la protection de base en matière de TIC figurent dans les normes ISO 27001 et 27002 et sont disponibles sous le lien interne suivant : UPIC   : Téléchargement des normes ISO et dans les BSI Grundschutzkatalogen (disponibles uni-quement en allemand).

Les risques qui ne peuvent pas être traités (réduits) ou qui ne peuvent l'être que de manière insuffisante doivent être présentés dans le concept SIPD comme des risques résiduels (cha-pitre 7). Il faut en informer les responsables, à qui il incombe de les écarter. Ils doivent aussi être récapitulés brièvement dans le résumé (chapitre 2.2).

7.1 Couverture des risques par des concepts généraux

Les risques et les dangers sont partiellement couverts par des concepts généraux de sécuri-té ou par des SLA. Des analyses de risques ont déjà été effectuées à un niveau plus géné-ral. La liste ci-après a pour but de montrer quels concepts généraux de sécurité ont une in-fluence sur le projet.

Concept / SLA / Base Version Date de validation Description de la protection

Exigences minimales de sécuri-té selon les Directives du Cf 1.1.2016 Protection générale de base

Exemple SIPD version 3.0 / Document - Version 0.1 Date d'impression 06.02.2015 13/15

Nom du projet  Exemple SIPD INTERNE

Concept / SLA / Base Version Date de validation Description de la protection

7.2 Risques résiduels

Doivent être mentionnés explicitement ici tous les risques déterminés à partir du fichier Excel qui ne peuvent pas être couverts (réduits) malgré toutes les mesures prises en matière de sécurité.

N° Valeur Risque résiduelMesures supplémentaires / Re-marques

8 Concept d'urgence

Décrit la planification des cas d'urgence et la prévention des catastrophes afin de garantir le maintien et le rétablissement des activités dans les situations extraordinaires. Vous pou-vez vous appuyer sur les documents suivants :

- Exemple de concept d'urgence (uniquement en allemand)- la norme BSI 100-4 Gestion des cas d'urgence (uniquement en allemand), à

l'adresse www.bsi.bund.de, à la rubrique IT-Grundschutz-Standards (norme de pro-tection informatique de base),

- les normes ISO ISO/IEC 27001 et 27002 (chapitre 17 : Gestion de la continuité d'acti-vité).

9 Respect et contrôle des mesures de protection

Décrit le règlement d'exécution des révisions et contrôles, annoncés ou non, des activités de sécurité de l'information dans le projet, puis dans l'exploitation.

9.1 Contrôle de la réception du système

Les systèmes, nouveaux ou actualisés, doivent faire l'objet d'un examen et d'un contrôle poussés lors du processus de développement, comprenant la préparation d'une planification approfondie des activités, d'informations sur les tests internes et des dépenses attendues dans différentes conditions. Tout comme pour les projets de développement, ce type d'exa-mens doit tout d'abord être effectué par l'équipe de développement. Ensuite, des examens de réception indépendants doivent être entrepris (pour les projets de développement in-ternes comme pour les projets externalisés) afin de vérifier que le système fonctionne

Exemple SIPD version 3.0 / Document - Version 0.1 Date d'impression 06.02.2015 14/15

Nom du projet  Exemple SIPD INTERNE

comme prévu (et uniquement comme prévu, voir ISO 27002:2013, chapitre 14.1.1 et 14.1.2). La portée de ces examens doit correspondre à l'importance et à la qualité du système.

Résumé des audits (qui, quand, quoi, résultat)

10 Liquidation

Décrit les points à observer en cas de mise hors service d'un système, d'une application ou d'un fichier de données.

11 Abréviations

Définitions, acronymes et abréviations

Acronymes / Abréviations Contexte

Concept SIPD Concept de sécurité de l'information et de protection des données CPDO Conseiller à la protection des données de l'organisationDSID Responsable de la sécurité informatique du département DSIO Délégué à la sécurité informatique de l'unité d'organisation LPD Loi fédérale du 19 juin 1992 sur la protection des donnéesOLPD Ordonnance relative à la loi fédérale sur la protection des données

PFPDT Préposé fédéral à la protection des données et à la transparence

ProtAn Protect Analyzer, outil informatique permettant de déterminer le be-soin de protection de manière détaillée ou approfondie

RA Responsable d'application

RSIPD Responsable de la sécurité de l'information et de la protection des données dans le cadre du projet, selon HERMES

Schuban Analyse des besoins de protectionSLA Service Level Agreement

12 Annexe

Ajouter ici les documents complémentaires correspondants, tels que

l'analyse des besoins de protection, les résultats de ProtAn, si disponibles, le règlement de traitement selon la loi sur la protection des données LPD, si dispo-

nible Autres documents.

Exemple SIPD version 3.0 / Document - Version 0.1 Date d'impression 06.02.2015 15/15