💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories
Des caméras pointées vers 2 piétonnes dans une rue

La Confédération rappelle 5 bonnes pratiques à ses prestataires IT suite à la cyberattaque contre Xplain

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD

Les effets collatéraux de la cyberattaque contre Xplain sur la Confédération a rappelé l’importance d’une bonne gestion des risques des prestataires externes. La Confédération a « profité » de cet événement pour rappeler quelques bonnes pratiques de sécurité attendues de sa part vis-à-vis de ses fournisseurs IT.

L’importance de maîtriser les prestations externalisées

Comme le rappelle plus bas l’article de Inside-IT, le Conseil Fédéral avait décidé fin juin de mettre en place une cellule de crise et d’examiner les contrats existants avec les prestataires de services informatiques de la Confédération suite au piratage Xplain.

Une action récemment rapportée par les médias suisses indique que la Confédération a ainsi envoyé un courrier à tous ses prestataires de services informatiques. La lettre concernée de deux pages, inclue dans l’article de inside-it.ch ci-dessous, résume les attentes sous la formes des 5 obligations suivantes:

  1. Une Authentification forte et tous les mots de passe chiffrés
  2. Des données anonymisées systématiquement avec un processus de suppression des données obsolètes. Pour les données classifiées, l’encryption est alors requis
  3. Une segmentation réseau pour éviter une porte ouverte directe vers les systèmes centraux (AD par ex) pour les pirates en cas d’intrusion réussie et offrir également des possibilités de détection intermédiaires
  4. Une surveillance centralisée et continue des logs (journaux des événements IT et de sécurité)
  5. Un processus de réponse au incident formalisé avec des responsabilités claires

Des bonnes pratiques et des responsabilités

Ce rappel de bonnes pratiques en cas d’externalisation ne doit par ailleurs pas faire oublier que la responsabilité ultime reste chez le mandant.

Il faut donc bien sûr initialement clarifier le plus précisément possible les prestations et leurs niveaux de services (qualité et sécurité) attendus. Ceci est le prérequis pour établir ensuite les contrôles (moyens et formats des reporting) nécessaires au mandant pour obtenir une assurance raisonnable que les prestations délivrées respectent les conditions contractualisées.

Dans la pratique, cela s’avère beaucoup plus complexe. Sans parler simplement de la problématique de la surveillance de 100+ voir 1’000+ fournisseurs IT, il faut être conscient qu’une mise à jour contractuelle n’est pas faite en deux coups de cuillère à pot malheureusement. Les nouveaux contrats peuvent eux par contre directement adopter les exigences minimums de sécurité sous peine d’alourdir encore la charge de travail pour rattraper le nouveau retard pris.

Pour en savoir plus

Exklusiv: Bund kontaktiert seine IT-Dienstleister wegen Security

In einem Brief listet der Bund 5 Sicher­heits­an­forde­rungen auf, die seine IT-Dienstleister erfüllen müssen. Das Schreiben erhielten alle IT-Firmen, die für die Verwaltung arbeiten.

La Confédération rappelle à ses prestataires IT leurs obligations

Suite à l’attaque contre Xplain, l’un de ses prestataires IT externes, la Confédération a formellement rappelé à ses différents fournisseurs leurs obligations contractuelles en matière de protection des données et de cybersécurité. Le Préposé à la protection des données a en outre élargi le périmètre de son enquête à Xplain.

Die Informatik des Bundes wird zum Risiko für die Schweiz

Der Fall Xplain zeigt: Weil Projektleiter die IT-Sicherheit vernachlässigen, wird die Informatik des Bundes zur Gefahr für das Land

Une opinion critique sur l’insécurité des données

(Re)découvrez également:

La cyberattaque contre Xplain continue de faire mal en Suisse
Connaissez-vous vraiment les 108 standards minimums de sécurité pour les PMEs suisses?

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

1 commentaire
  1. Ping : Veille Cyber N453 – 21 aout 2023 |

Commentaires désactivés.

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

La cybersécurité pour les Nuls

La cybersécurité pour les Nuls

Pour obtenir toutes les informations sur la cybersécurité, apprendre à protéger ses données sensibles sereinement et à éviter le hacking.

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

📘 Voir sur Amazon
Cyberattaques

Cyberattaques : Les dessous d'une menace mondiale

Un documentaire captivant et éclairant sur les affrontements entre attaquants et défenseurs du numérique, face à la plus grande menace de la prochaine décennie.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏