Navigation
Les derniers articles
Suivez en direct

La Confédération rappelle 5 bonnes pratiques à ses prestataires IT suite à la cyberattaque contre Xplain

Des caméras pointées vers 2 piétonnes dans une rue

Les effets collatéraux de la cyberattaque contre Xplain sur la Confédération a rappelé l’importance d’une bonne gestion des risques des prestataires externes. La Confédération a « profité » de cet événement pour rappeler quelques bonnes pratiques de sécurité attendues de sa part vis-à-vis de ses fournisseurs IT.

L’importance de maîtriser les prestations externalisées

Comme le rappelle plus bas l’article de Inside-IT, le Conseil Fédéral avait décidé fin juin de mettre en place une cellule de crise et d’examiner les contrats existants avec les prestataires de services informatiques de la Confédération suite au piratage Xplain.

Une action récemment rapportée par les médias suisses indique que la Confédération a ainsi envoyé un courrier à tous ses prestataires de services informatiques. La lettre concernée de deux pages, inclue dans l’article de inside-it.ch ci-dessous, résume les attentes sous la formes des 5 obligations suivantes:

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord
  1. Une Authentification forte et tous les mots de passe chiffrés
  2. Des données anonymisées systématiquement avec un processus de suppression des données obsolètes. Pour les données classifiées, l’encryption est alors requis
  3. Une segmentation réseau pour éviter une porte ouverte directe vers les systèmes centraux (AD par ex) pour les pirates en cas d’intrusion réussie et offrir également des possibilités de détection intermédiaires
  4. Une surveillance centralisée et continue des logs (journaux des événements IT et de sécurité)
  5. Un processus de réponse au incident formalisé avec des responsabilités claires

Des bonnes pratiques et des responsabilités

Ce rappel de bonnes pratiques en cas d’externalisation ne doit par ailleurs pas faire oublier que la responsabilité ultime reste chez le mandant.

Il faut donc bien sûr initialement clarifier le plus précisément possible les prestations et leurs niveaux de services (qualité et sécurité) attendus. Ceci est le prérequis pour établir ensuite les contrôles (moyens et formats des reporting) nécessaires au mandant pour obtenir une assurance raisonnable que les prestations délivrées respectent les conditions contractualisées.

Dans la pratique, cela s’avère beaucoup plus complexe. Sans parler simplement de la problématique de la surveillance de 100+ voir 1’000+ fournisseurs IT, il faut être conscient qu’une mise à jour contractuelle n’est pas faite en deux coups de cuillère à pot malheureusement. Les nouveaux contrats peuvent eux par contre directement adopter les exigences minimums de sécurité sous peine d’alourdir encore la charge de travail pour rattraper le nouveau retard pris.

Pour en savoir plus

Exklusiv: Bund kontaktiert seine IT-Dienstleister wegen Security

In einem Brief listet der Bund 5 Sicher­heits­an­forde­rungen auf, die seine IT-Dienstleister erfüllen müssen. Das Schreiben erhielten alle IT-Firmen, die für die Verwaltung arbeiten.

La Confédération rappelle à ses prestataires IT leurs obligations

Suite à l’attaque contre Xplain, l’un de ses prestataires IT externes, la Confédération a formellement rappelé à ses différents fournisseurs leurs obligations contractuelles en matière de protection des données et de cybersécurité. Le Préposé à la protection des données a en outre élargi le périmètre de son enquête à Xplain.

Die Informatik des Bundes wird zum Risiko für die Schweiz

Der Fall Xplain zeigt: Weil Projektleiter die IT-Sicherheit vernachlässigen, wird die Informatik des Bundes zur Gefahr für das Land

Une opinion critique sur l’insécurité des données

(Re)découvrez également:

La cyberattaque contre Xplain continue de faire mal en Suisse
Connaissez-vous vraiment les 108 standards minimums de sécurité pour les PMEs suisses?

Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
1 commentaire
  1. Ping : Veille Cyber N453 – 21 aout 2023 |

Commentaires désactivés.

Des idées de lecture recommandées par DCOD

Page frontale du livre Cybersécurité: Le guide du débutant

Cybersécurité: Le guide du débutant

Si vous voulez un guide étape par étape sur la cybersécurité, plus un cours gratuit complet sur la sécurité en ligne, plus un accès à une formidable communauté de hackers, ce livre est pour vous !

📘 Voir sur Amazon
Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon
Page frontale du livre L\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'intelligence artificielle en 50 notions clés pour les Nuls

L'intelligence artificielle en 50 notions clés pour les Nuls

Grâce à ce livre, vous pourrez naviguer dans l'univers foisonnant de l'IA et rester conscient et éclairé face aux transformations qu'elle propose à notre monde.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.