Directives du Conseil fédéral concernant la sécurité des TIC dans l'administration fédérale du 14 août 2013
Le Conseil fédéral suisse édicte les directives suivantes:
1 1.1
Dispositions générales Objet
Les présentes directives règlent, en exécution de l'art. 14, let. d, de l'ordonnance du 9 décembre 2011 sur l'informatique et la télécommunication dans l'administration fédérale (OIAF)1, les exigences requises ainsi que les mesures à prendre dans les domaines de l'organisation, du personnel, de la technique et de la construction pour assurer une protection adéquate de la confidentialité, de la disponibilité, de l'intégrité et de la traçabilité des objets à protéger relevant des technologies de l'information et de la communication (TIC) de l'administration fédérale.
1.2
Champ d'application
Le champ d'application des présentes directives est régi par l'art. 2 OIAF.
1.3
Définitions
Au sens des présentes directives, on entend par:
1
a.
objets à protéger dans le domaine des TIC: applications, services, systèmes, réseaux, fichiers de données, infrastructures et produits relevant des TIC;
b.
processus de sécurité: procédures et mesures visant à assurer une sécurité des TIC adéquate durant tout le cycle de vie d'un objet à protéger dans le domaine des TIC;
c.
analyse des besoins de protection: définition des exigences en matière de sécurité des objets à protéger dans le domaine des TIC;
d.
concept de sécurité de l'information et de protection des données (concept SIPD): description des mesures de protection des objets à protéger dans le domaine des TIC et de leur mise en oeuvre ainsi que des risques résiduels;
RS 172.010.58
2013-1829
6003
Sécurité des TIC dans l'administration fédérale
e.
réseau: dispositif permettant à différents systèmes informatiques de communiquer entre eux;
f.
domaine de réseau: ensemble logique de toutes les connexions et de toutes les composantes d'un réseau;
g.
réglementation applicable au domaine de réseau: réglementation des conditions de connexion et des exigences relatives à la communication entre différents réseaux et systèmes.
2 2.1
Compétences Délégués à la sécurité informatique
Les départements et la Chancellerie fédérale désignent chacun un délégué à la sécurité informatique (DSID).
1
2
Les DSID ont notamment les tâches suivantes: a.
ils coordonnent les aspects de la sécurité des TIC au sein du département ainsi qu'avec les services supradépartementaux et sont les premiers interlocuteurs de l'Unité de pilotage informatique de la Confédération (UPIC) dans le cadre de la sécurité des TIC;
b.
ils élaborent les bases nécessaires pour la mise en oeuvre des règles de sécurité en matière de TIC et pour l'organisation au niveau du département.
Les unités administratives désignent chacune un délégué à la sécurité informatique (DSIO).
3
4
Les DSIO ont notamment les tâches suivantes: a.
ils coordonnent les aspects de la sécurité des TIC au sein de l'unité administrative ainsi qu'avec les services départementaux et sont les premiers interlocuteurs des DSID;
b.
ils élaborent les bases nécessaires pour la mise en oeuvre des règles de sécurité en matière de TIC et pour l'organisation au niveau de l'unité administrative.
Les départements, la Chancellerie fédérale et les unités administratives veillent à ce que les délégués à la sécurité informatique accomplissent leurs tâches sans conflits d'intérêts.
5
2.2
Bénéficiaires de prestations
En tant que bénéficiaires de prestations, les unités administratives veillent à l'application du processus de sécurité.
1
Les responsables d'une application, d'un processus d'affaires ou d'un fichier de données au sein d'une unité administrative fixent, en accord avec le délégué à la sécurité informatique, les exigences de sécurité applicables aux objets à protéger dans le domaine des TIC. Les unités administratives gèrent un portefeuille de TIC
2
6004
Sécurité des TIC dans l'administration fédérale
contenant des informations relatives à la sécurité. Les exigences de sécurité doivent être convenues par écrit avec les fournisseurs de prestations aussi bien en ce qui concerne le développement et l'exploitation que la mise hors service de moyens liés aux TIC. Les unités administratives documentent et contrôlent la mise en oeuvre des mesures de sécurité ainsi que leur efficacité.
Les unités administratives vérifient régulièrement les besoins de protection et adaptent les mesures de sécurité en conséquence.
3
Les unités administratives veillent à ce que les collaborateurs connaissent, au niveau qui les concerne, les compétences ainsi que les procédures applicables en matière de sécurité des TIC dans leur environnement de travail.
4
Les collaborateurs de l'administration fédérale qui utilisent ou font exploiter des moyens liés aux TIC sont responsables de la sécurité lors de leur utilisation. Les unités administratives doivent les sensibiliser et les former aux thèmes de la sécurité des TIC lors de leur entrée en fonction et à intervalles réguliers par la suite.
5
Les unités administratives veillent à ce que les personnes non soumises à l'OIAF ne puissent avoir accès à l'infrastructure de la Confédération dans le domaine des TIC que s'ils s'engagent à respecter les règles de sécurité correspondantes.
6
2.3
Fournisseurs de prestations
Les exigences définies pour les bénéficiaires de prestations visés au ch. 2.2 s'appliquent par analogie aux fournisseurs de prestations.
1
Les fournisseurs de prestations mettent en oeuvre les mesures de sécurité nécessaires lors de l'exploitation des moyens liés aux TIC, les documentent et les contrôlent. Ils transmettent les résultats aux bénéficiaires de prestations sous une forme appropriée.
2
Les responsabilités et les besoins de protection au niveau opérationnel sont décrits dans les accords de projets et les conventions de prestations passés entre les fournisseurs et les bénéficiaires de prestations.
3
3 3.1
Processus de sécurité Analyse des besoins de protection, concept SIPD et évaluation des risques
Tout projet relevant des TIC doit faire l'objet d'une analyse préalable des besoins de protection.
1
Pour les objets existants dans le domaine des TIC, une analyse valable des besoins de protection doit être disponible.
2
Les règles de sécurité minimales (protection de base) doivent être mises en oeuvre pour tous les objets à protéger. La mise en oeuvre doit être documentée.
3
6005
Sécurité des TIC dans l'administration fédérale
Si l'analyse révèle des besoins de protection élevés, un concept SIPD doit être élaboré en plus de la mise en oeuvre documentée des règles de sécurité minimales.
Lors de l'élaboration du concept SIPD, il peut être fait référence à des concepts de sécurité existants pour des domaines spécifiques.
4
Les analyses des besoins de protection, les règles de sécurité supplémentaires et les concepts SIPD doivent être vérifiés au moins par le DSIO et autorisés par le mandant et par le responsable du processus d'affaires.
5
Si une unité administrative souhaite utiliser de nouvelles technologies de l'information et de la communication (matériel et logiciels) ou des technologies existantes dans un nouveau domaine d'application, elle doit les soumettre préalablement à une évaluation des risques. Le résultat de cette évaluation doit être transmis au délégué à la sécurité informatique compétent et à l'UPIC.
6
3.2
Règles de sécurité
L'UPIC édicte les règles supplémentaires concernant le processus de sécurité et les instruments correspondants au niveau de la Confédération, notamment pour l'analyse des besoins de protection, la protection de base et le concept SIPD.
3.3
Normes internationales
Les mesures de sécurité se fondent sur les normes ISO en vigueur concernant les processus de sécurité en matière de TIC.
3.4
Risques résiduels
Les risques qui ne peuvent être totalement éliminés (risques résiduels) doivent être mis en évidence et communiqués par écrit au mandant et au responsable du processus d'affaires.
1
La décision d'assumer ou non les risques résiduels connus appartient au chef de l'unité administrative compétente.
2
3.5
Coûts
Les coûts de la sécurité des TIC font partie des coûts de projet et d'exploitation. Ils doivent être suffisamment pris en compte lors de la planification.
6006
Sécurité des TIC dans l'administration fédérale
4 4.1
Sécurité des réseaux Compétences et règles de sécurité
L'UPIC établit une liste de tous les domaines de réseau exploités pour les unités administratives. Sur cette liste figurent notamment:
1
a.
le nom du domaine de réseau;
b.
le nom du propriétaire du domaine de réseau;
c.
la référence à la réglementation applicable au domaine de réseau;
d.
les accords conclus entre les domaines de réseau et d'autres domaines de réseau.
Tous les domaines de réseau doivent disposer de leur propre réglementation applicable au domaine de réseau. Cette réglementation requiert l'approbation de l'UPIC.
2
Les accords conclus en matière de domaines de réseau entre les unités administratives de la Confédération ou entre des unités administratives de la Confédération et des tiers requièrent l'approbation de l'UPIC.
3
Si des tiers sont directement connectés à un domaine de réseau de la Confédération, l'unité administrative compétente doit régler au moyen d'une convention le respect des règles de sécurité en matière de TIC selon les présentes directives et vérifier régulièrement le respect de ces règles. Les conventions requièrent l'approbation de l'UPIC.
4
5
L'UPIC édicte les règles supplémentaires concernant la sécurité des réseaux.
5 5.1
Dispositions finales Abrogation des directives en vigueur
Les directives du Conseil informatique de la Confédération (CI) du 27 septembre 2004 concernant la sécurité informatique dans l'administration fédérale sont abrogées.
5.2
Dispositions transitoires
Les analyses des besoins de protection et les concepts SIPD antérieurs à l'entrée en vigueur des présentes directives conservent leur validité et doivent être actualisés lors de vérifications et de révisions.
6007
Sécurité des TIC dans l'administration fédérale
5.3
Entrée en vigueur
Les présentes directives entrent en vigueur le 1er janvier 2014.
14 août 2013
Au nom du Conseil fédéral suisse: Le président de la Confédération, Ueli Maurer La chancelière de la Confédération, Corina Casanova
6008