Sep 14, 2023 | Info, Informations générales, Réglementation - Légal, Sécurité Informatique
sedex est l’abréviation de secure data exchange et est un service de l’Office fédéral de la statistique (OFS). Il agit comme un facteur et l’échange de message peut être comparé à une lettre recommandée.
Comme les données transférées sont sensibles, la plateforme doit répondre dès le départ à des exigences de sécurité et de traçabilité élevées. C’est pourquoi il dispose d’algorithmes de cryptage modernes et divers certificats de sécurité.
L’exploitant d’un client sedex s’engage à installer la dernière version de celui-ci au moins une fois par an.
- End-of-support : l’obligation de mettre à jour le client sedex n’a pas été respectée. Le support sedex traitera les demandes de soutien correspondantes de manière limitée. Le personnel d’assistance n’est plus formé à ces versions. Les problèmes éventuels peuvent donc ne pas être reproductibles ou traçables. Pour les demandes d’assistance, sauf cas difficiles, une mise à jour de la dernière version du client sedex est nécessaire.
- End-of-life : l’obligation de mettre à jour le client sedex n’a pas été respectée. Le certificat du client ne sera pas renouvelé. Les nouvelles versions de la plateforme sedex ou les modifications apportées à l’infrastructure ne sont testées que pour les versions clients sedex supportées. L’exploitation d’un client sedex « en fin de vie » est donc à vos propres risques et contre toutes les recommandations. En cas de demande d’assistance, la dernière version du client sedex doit être installée d’abord ; ensuite seulement les problèmes résiduels seront analysés. Pour les nouvelles installations, seules les versions supportées du client sedex peuvent être installées.
L’équipe support sedex peut immédiatement désactiver les clients sedex qui posent un problème de sécurité ou causent des problèmes techniques dus à la version.
(source : OFS)
Le client sedex est un élément de sécurité qui doit être tenu à jour.
L’équipe sedex a développé une nouvelle mise à jour qui a été publiée dans le 3e trimestre 2023 : la version 6.0.10.
Nov 10, 2021 | Informations générales, Sécurité Informatique
La cybersécurité et la question de comment les communes peuvent se protéger contre les cyberattaques ont été au centre des conférences du Comité de l’Association des Communes Suisses (ACS) avec les organisations cantonales des communes du 2 et 4 novembre, respectivement à Lucerne et à Bussigny.
Pascal Lamia, responsable de l’unité cybersécurité opérationnelle au Centre national pour la cybersécurité (NCSC) et Alexandre Herzog, analyste informatique NCSC, sont intervenus à ce propos en présentant entre autres les mesures qui sont à disposition des communes pour se protéger des cybercriminels.
Dans les situations de crise, les secours doivent être organisés rapidement, ce qui nécessite une gestion de crise efficace avec des procédures et des responsabilités claires. La sécurité informatique n’est pas un état, mais un processus qui requiert une préparation et des outils adéquats de la part des communes, qu’elles soient grandes ou petites.
L’ACS examinera avec le Centre national pour la cybersécurité (NCSC) et le Réseau national de sécurité (RNS) comment sensibiliser encore davantage les communes pour cette thématique importante et les soutenir dans la gestion des cyberrisques.
A ce titre l’ACS a publié un guide assez complet pour éclairer les administrations communales et limiter la vulnérabilité de leur personnel en les gardant informé des techniques usuelles de piratage et comment se protéger au mieux, même si le risque zéro n’existe pas.
source et remerciements : Association des Communes Suisses
Sep 6, 2021 | Légal, Réglementation - Légal, Sécurité Informatique
Actuellement en consultation, les bases légales de la Confédération définissent des exigences de sécurité étendues pour les systèmes de vote électronique et leur fonctionnement. Certains cantons ayant l’intention de reprendre les essais de vote électronique avec le futur système de la Poste, la Confédération organise aujourd’hui un contrôle indépendant de ce système et de son fonctionnement. Ce contrôle prendra plusieurs mois et sera l’un des éléments qui conditionneront la décision d’autoriser ou non les cantons à reprendre ces essais.
La restructuration de la phase d’essai prévoit nouvellement que la Confédération fait elle-même procéder à un contrôle indépendant des systèmes et de leur exploitation. La Confédération assume ainsi dans ce domaine une responsabilité accrue. Le contrôle couvrira l’ensemble des processus, depuis le développement du système et son exploitation jusqu’à l’établissement des cartes de légitimation et le dépouillement des résultats de différents scrutins. Le contrôle s’étend donc jusqu’aux cantons et à leurs prestataires de services.
À ce jour, la Chancellerie fédérale a confié le soin de mener ce contrôle aux experts suivants :
Rolf Haenni, Reto Koenig, Philipp Locher, Eric Dubuis (Berner Fachhochschule)
Vanessa Teague (Thinking Cybersecurity)
Olivier Pereira (Université catholique de Louvain)
Thomas Edmund Haines (Australian National University)
Aleksander Essex (Western University Canada)
SCRT S.A.
Bryan Ford (EPF Lausanne)
Adrian Perrig (ETH Zürich)
Il est demandé aux experts de se prononcer sur le respect des exigences du droit fédéral, sur l’efficacité des mesures de réduction des risques et sur les améliorations susceptibles de s’inscrire dans le cadre du processus d’amélioration continue. Il ne leur revient pas toutefois de décider s’il est possible ou non d’utiliser un système. L’évaluation des risques et la responsabilité d’un éventuel déploiement restent du ressort de la Confédération (chargée de délivrer les autorisations) et des cantons (responsables de la mise en œuvre des scrutins). Les rapports des experts seront publiés une fois le contrôle achevé, soit sans doute au début de l’année prochaine.
Les résultats de ce contrôle indépendant feront partie des éléments dont le Conseil fédéral tiendra compte pour accorder une autorisation générale à un canton qui en ferait la demande. Les bases légales qui encadrent l’octroi de cette autorisation ont été révisées et sont actuellement en consultation.
Au-delà du contrôle indépendant réalisé sous l’égide de la Confédération, les bases légales qui s’appliquent aux systèmes de vote électronique et à leur exploitation prévoient un certain nombre de vérifications supplémentaires. Les cantons doivent par exemple s’assurer que le fournisseur du système mène un programme public de bug bounty (prime aux bogues), c’est-à-dire qu’il publie le code du système et récompense financièrement quiconque y découvrira une erreur. Sont également prévus des échanges continus avec la communauté scientifique, qui s’étendent à l’utilisation même du système et donc au-delà du processus d’autorisation.
Toutes ces mesures visent à découvrir et à corriger d’éventuelles erreurs. Il s’agit donc de faire en sorte que les systèmes de vote électronique et leur exploitation continuent à l’avenir d’être sans cesse revus et améliorés.
source :https://www.bk.admin.ch/
Sep 16, 2020 | Sécurité Informatique
Nous sommes fiers de vous annoncer que nous avons obtenu le Label cyber-safe.ch et que nous rejoignons ainsi le club restreint des organisations labellisées !
En effet, notre organisation a répondu avec succès aux exigences du Label cyber-safe.ch. Le Label cyber-safe.ch récompense les organisations qui ont mis en place une gestion responsable de leur cybersécurité. Il témoigne d’une approche proactive des risques informatiques et atteste de la mise en œuvre des mesures concrètes exigées par le Label.
Il couronne les efforts accomplis par notre organisation afin d’atteindre un plus haut niveau de cybersécurité !
