Département fédéral de l’intérieur Office fédéral des assurances sociales OFAS
Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
Valable à partir du 1er janvier 2024
État au 20 Avril 2026
Remarque Afin de faciliter la lecture, seule la forme masculine est utilisée dans ce document. Il va de soi qu’elle englobe les personnes de tous les genres.
f DASP (318.108.09)
01.24
2 de 27
Avant-propos
Les systèmes d’information du 1er pilier doivent être stables et adaptables tout en garantissant la sécurité de l’information et la protection des données. En s’appuyant sur les directives de l’OFAS, l’organe de révision vérifie que les organes d’exécution remplissent les exigences fixées par l’autorité de sur- veillance (art. 68a, al. 2, let. c, LAVS ; art. 159, let. c, et 160, al. 5, RAVS).
Le chapitre 1 couvre les exigences applicables aux compétences et à la for- mation des auditeurs informatiques.
Le chapitre 2 couvre les exigences applicables au processus de contrôle de l’audit informatique prévu à l’art. 68a, al. 2, let. c, LAVS. La mise en œuvre de ces exigences nécessitera un processus d’adaptation continu, raison pour la- quelle un modèle de maturité est introduit et devra être pris en compte par les auditeurs lors de leurs contrôles.
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
3 de 27
Table des matières
Abréviations4
Chapitre 1 : Exigences applicables aux responsables des audits informatiques ........................................................... 5
1.1 Connaissances pratiques ........................................... 5
1.2 Formation et compétences ......................................... 5
1.3 Exigences personnelles ............................................. 5
1.4 Contrôle de sécurité relatif aux personnes ................. 6
1.5 Principes .................................................................... 6
Chapitre 2 : Exigences applicables aux audits informatiques ... 7 2.1 Principes .................................................................... 7
2.2 Entités auditées ......................................................... 7
2.3 Responsabilités.......................................................... 8
2.4 Étendue et déroulement de l’audit .............................. 9
2.5 Rapports .................................................................... 9
2.6 Modèle de maturité .................................................. 11
Chapitre 3 : Entrée en vigueur .................................................... 13
Annexe 1 : questionnaire pour les audits informatiques ......... 13
1 Activités de contrôle .............................................. 13
2 Questionnaire audit informatique ......................... 14
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
4 de 27
Abréviations
AVS Assurance-vieillesse et survivants
AC Assurance-chômage
CdC Centrale de compensation
ch. Chiffre
CISA Certified Information Systems Auditor de l’ISACA
CISM Certified Information Security Manager de l’ISACA
CISSP Certified Information Systems Security Professional
ISACA Information Systems Audit and Control Association
ISC International Information Systems Security Certification Consortium
LAVS Loi fédérale sur l’assurance-vieillesse et survivants
OFAS Office fédéral des assurances sociales
PSI Préposé à la sécurité de l’information
RAVS Règlement sur l’assurance-vieillesse et survivants
SGSI Système de gestion de la sécurité de l’information
TÜV Technischer Überwachungsverein
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
5 de 27
Chapitre 1 : Exigences applicables aux responsables des audits informatiques
1.1 Connaissances pratiques
1 Lors de leurs contrôles, les réviseurs établissent si les organes
d’exécution remplissent les exigences visées à l’art. 72a, al. 2, let. b, LAVS. Les auditeurs possèdent des connaissances pratiques dans les domaines suivants, ce qui leur donne les compétences néces- saires : - sécurité de l’information ; - protection des données ; - audit informatique.
1.2 Formation et compétences
2 En matière de formation et de compétences, les exigences suivantes
doivent être remplies par les responsables des audits informa- tiques :
- diplôme d’une haute école, d’une haute école spécialisée ou d’une école supérieure, d’une durée d’au moins un an, axée sur la sécurité de l’information et la protection des données, ou - expérience d’au moins deux ans dans le domaine de la sécurité de l’information ou de l’audit informatique en tant que membre d’une équipe d’audit dans une société de révision agréée. Cette expérience peut également être attestée par des certifications professionnelles reconnues telles que : • CISA de l’ISACA ou Lead Auditor de TÜV, ou • CISM de l’ISACA ou CISSP de l’ISC.
1.3 Exigences personnelles
3 Les responsables des audits informatiques n’ont ni relation person-
nelle ni conflit d’intérêts avec l’entité auditée. Ils sont indépendants et impartiaux.
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
6 de 27
1.4 Contrôle de sécurité relatif aux personnes
4 Le réviseur responsable visé à l’art. 68, al. 2, LAVS s’assure que le
responsable de l’audit informatique jouit d’une réputation irrépro- chable conformément à l’art. 5, al. 1, let. a, de la loi sur la surveil- lance de la révision (LSR).
1.5 Principes
5 Les responsables de l’audits informatiques se conforment aux prin-
cipes suivants : - Comportement éthique : les responsables de l’audit informatique respectent la confidentialité des informations et des renseigne- ments. - Présentation factuelle : les responsables de l’audit informatique rendent compte fidèlement des résultats de leurs vérifications et présentent les faits de manière compréhensible. Les résultats de l’audit doivent être reproductibles (pour une situation identique). - Diligence raisonnable : les responsables de l’audit informatique font preuve de diligence lors de l’audit. Leur capacité de discer- nement est une condition indispensable à la réalisation d’audits pertinents et bien fondés. - Preuves : les rapports d’audit sont vérifiables. Les résultats peu- vent s’appuyer sur un échantillonnage des informations dispo- nibles, car un audit est réalisé sur une période limitée. Cet échantillonnage est pertinent et réalisé à une échelle raison- nable.
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
7 de 27
Chapitre 2 : Exigences applicables aux audits informatiques
2.1 Principes
6 L’audit informatique est réalisé conformément aux principes sui-
vants : - Le contenu de l’audit est fondé sur des contrôles informatiques généraux et conforme à la série de normes ISO 27000 recon- nues et établies à l’échelle internationale. - L’audit informatique est réalisé en se fondant sur les risques. - Les audits annuels couvrent l’ensemble de la période écoulée depuis le dernier audit. En l’absence d’audit précédent servant de référence, l’évaluation porte sur la situation au moment de l’audit actuel. - L'OFAS peut définir des priorités d'audit. - Le responsable de l’audit informatique peut en outre fixer d’autres priorités à sa discrétion lors de l’audit informatique.
2.2 Entités auditées
7 Un audit informatique est réalisé auprès des entités suivantes :
- les organes d’exécution, dans la mesure où ils n’ont pas été cer- tifiés conformément à la norme ISO 27001 ou ne sont pas en mesure de produire un rapport d’audit ISAE 3000 de type 1 ou de type 2. Les organes d’exécution certifiés présentent leur rap- port de certification ou d’audit à l’organe de révision ; - les caisses d’allocations familiales, dans la mesure où les caisses de compensation versent des allocations familiales en tant que tâche déléguée ; - Lorsque plusieurs caisses de compensation, conduites par la même direction, utilisent exactement les mêmes systèmes d’in- formation, un audit unique est suffisant. Le rapport d’audit doit couvrir l’ensemble des caisses de compensation concernées et les mentionner explicitement. Les tiers qui fournissent des prestations informatiques pour le compte d’un organe d’exécution audité, qui ont potentiellement accès à des données relevant des assurances sociales ou qui en assurent le traitement (conformément au ch. 2.15 D-SIPD), à moins qu’ils ne soient certifiés ISO 27001, qu’ils disposent d’un
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
8 de 27
rapport d’audit ISAE 3000 de type 1 ou de type 2, ou d’un rap- port d’audit valide conformément au chiffre marginal 14 DASP. Un tel rapport d’audit peut être reconnu comme preuve valable par tous les organes d’exécution qui utilisent les prestations de ce tiers ainsi que par leurs organes de révision, pour autant qu’il ait été établi conformément aux directives DASP et par un orga- nisme d’audit répondant aux exigences définies dans les DASP. Une certification ISO/IEC 27001 existante n’exclut pas que l'au- diteur, dans le cadre de son pouvoir d'appréciation, effectue des procédures d’audit supplémentaires auprès de tiers si cela s'avère nécessaire pour l'évaluation finale des contrôles ou de si- tuations pertinentes. - Il est recommandé aux partenaires contractuels qui disposent d'un rapport d'audit valable, d'une certification ISO 27001 en vi- gueur ou d'un rapport de vérification ISAE 3000 valable, de les transmettre à l’ensemble des organes d'exécution qui sont clients du partenaire concerné.
2.3 Responsabilités
8 La direction de l’organe d’exécution est responsable du respect des
exigences des directives D-SIPD. Elle veille à ce que le responsable de l’audit informatique puisse remplir sa mission, met les informations nécessaires à sa disposition et est son interlocuteur principal.
9 Le préposé à la sécurité de l’information de l’organe d’exécution
reste à la disposition de l’OFAS et du responsable de l’audit informa- tique.
10 L’organe de révision est responsable de la réalisation de l’audit infor-
matique et peut confier le mandat correspondant aussi bien en in- terne qu’à des tiers externes. En accord avec l’organe de révision, l’audit informatique peut également être mandaté par l’organe d’exé- cution. L’organe de révision en demeure toutefois responsable. Le responsable de l’audit informatique est chargé du respect des exi- gences.
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
9 de 27
2.4 Étendue et déroulement de l’audit
11 L’audit des systèmes d’information permet de contrôler la disponibi-
lité du SGSI conformément aux directives D-SIPD.
12 L’audit comprend les étapes suivantes :
- Vérification des mesures prises en réponse au dernier audit ; - Vérification de l’efficacité des mesures définies par le préposé à la sécurité de l’information dans le cadre du SGSI ; - Traitement du questionnaire d’audit informatique standardisé par l’OFAS (cf. annexe 1) ; - Rédaction d’un rapport d’audit informatique (voir ch. 14 ss) ; - Examen du rapport d’audit informatique par le préposé à la sécu- rité de l’information de l’entité auditée et prise de position par ce- lui-ci sur les lacunes constatées par le responsable de l’audit in- formatique et les mesures proposées ; - Intégration de la prise de position du préposé à la sécurité de l’information dans le rapport d’audit informatique définitif ; - Envoi simultané du rapport d’audit informatique par le réviseur responsable, dans un délai d’un mois après la fin de l’audit, au canton ou aux associations fondatrices, au comité de la caisse, à l’OFAS, à la CdC et à l’organe d’exécution audité.
2.5 Rapports
13 Les rapports d’audit informatique doivent être rédigés de façon con-
cise, claire et critique. Ils contiennent toutes les constatations impor- tantes pour les organes d’exécution et les autorités de surveillance. Il convient à ce propos de relever les particularités de chaque organe d’exécution et d’en tenir compte.
14 Le contenu du rapport comprend au moins :
- Indication de la version ; - Aperçu/synthèse ; - Résultat de l’audit informatique :
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
10 de 27
1. Résumé, avec informations sur l’entité auditée et les desti-
nataires ;
2. Aperçu des conclusions de l’audit informatique précédent et
de l’état de la mise en œuvre des mesures proposées ;
3. Présentation de l’environnement informatique contrôlé et
des contrôles effectués ; présentation des actions de con- trôle et de l’étendue de l’audit ;
4. Résultats détaillés des points contrôlés pour chaque cha-
pitre principal des directives D-SIPD ;
5. Résultats de l’examen approfondi ;
6. Appréciation globale ;
7. Propositions d’amélioration ;
8. Confirmation par le réviseur que les responsables des au-
dits informatiques remplissent les exigences prévues aux cm. 2 et 3 ;
9. Confirmation par les auditeurs informatiques dans le rapport
d’audit qu’ils sont indépendants, qu’ils n'ont pas de conflits d’intérêts ou de relations personnelles avec l’entité auditée et que les résultats du rapport d’audit reposent sur leurs propres vérifications.
10. Le questionnaire IT auquel il a été répondu, conformément à
l'annexe 1.
Lorsqu’un certificat ISO 27001 ou un rapport d’audit ISAE 3000 de type 1 ou de type 2 est soumis, l’organe de révision vérifie les points suivants :
• ISO 27001 : - Le champ d’application du SGSI certifié englobe toutes les unités organisationnelles et tous les processus d’affaires perti- nents des organes d’exécution. - La déclaration d’applicabilité du SGSI n’exclut aucune des me- sures de sécurité exigées par les directives D-SIPD. - Lors de l’audit de (re)certification, toutes les mesures de sécu- rité exigées par les directives D-SIPD ont été vérifiées.
• ISAE 3000 de type 1 : - Le rapport d’audit se base sur toutes les conditions fixées dans les directives D-SIPD.
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
11 de 27
• ISAE 3000 de type 2 : - Le rapport d’audit est établi avec une certitude suffisante, con- trôlé dans le temps et vérifié selon les contrôles définis par les directives D-SIPD. -
2.6 Modèle de maturité
15 L’évaluation des résultats se fonde sur le questionnaire d’audit infor-
matique. Le degré de conformité est défini comme suit au moyen du niveau de maturité de l’organisation de la sécurité informatique de l’entité auditée :
Degré de Écart Description Niveau de réalisation maturité
Rempli Aucune Les mesures existantes per- 4 mettent de remplir pleine- ment les exigences de l’OFAS examinées au moyen des contrôles correspon- dants. Rempli Aucune Les mesures existantes per- 3 avec des mettent de remplir pleine- remarques ment les exigences de l’OFAS examinées au moyen des contrôles correspon- dants. Une remarque est né- anmoins formulée. Partiellement Observati- Les mesures existantes per- 2 rempli ons mettent de remplir partielle- ment les exigences de l’OFAS examinées au moyen des contrôles correspon- dants. Non rempli Observati- Les exigences de l’OFAS 1 ons examinées au moyen des contrôles correspondants ne sont pas remplies.
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
12 de 27
Lorsqu’il existe un soupçon fondé qu’un organe d’exécution ne remplit pas ses obligations en matière de mise en œuvre des exigences relatives à la sé- curité de l’information et à la protection des données conformément aux chiffres marginaux 2.1 à 2.18 des D-SIPD (niveau de maturité 1), l’OFAS peut, sur la base de l’art. 72b LAVS, ordonner des mesures de surveillance appropriées. Celles-ci comprennent notamment l’exécution d’un audit extraor- dinaire aux frais de l’organe d’exécution, l’exigence de justificatifs supplémen- taires ou la prescription de mesures assorties d’un délai.
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
13 de 27
Chapitre 3 : Entrée en vigueur
16 Les présentes directives entrent en vigueur le 1er janvier 2024.
Les premiers audits informatiques seront réalisés à partir du 1er janvier 2025.
Annexe 1 : questionnaire pour les audits informatiques
1 Activités de contrôle
Action de contrôle Commentaire
Analyse de la documen- L'exigence des directives D-SIPD est vérifiée au tation moyen d'une analyse de la documentation exis- tante. Une distinction est faite entre la documen- tation souhaitée et la documentation réelle.
Documentation de l'objectif Prescriptions, directives, concepts Plans, instruc- tions d'action, etc. Documentation sur la situation actuelle Preuves de la mise en œuvre de la documenta- tion souhaitée. Exportations de données, enre- gistrements (logs), protocoles, captures d'écran
Vérification du système Les exigences D-SIPD sont vérifiées directement sur le système d'information concerné. Une vérifi- cation sur le système devrait être effectuée via un accès par la personne compétente/respon- sable concernée sous la supervision de l’audi- teur. Des captures d'écran peuvent par exemple être réalisées à titre de preuve.
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
14 de 27
2 Questionnaire audit informatique
Référence Réf. D-SIPD Référence Questionnement Acte de ISO 27001:2022 contrôle requis
2 Exigences
2.1 Système de gestion 4.4 L'organe d’exécution a-t-il Analyse de la
de la sécurité de l'infor- mis en place et utilise-t-il documentation mation (SGSI) un SGSI ?
2.2 Structure du SGSI
a) Définition des 4.1 Les thèmes et activités de Analyse de la thèmes et des acti- l’OE liés à la sécurité ont- documentation vités liés à la sécu- ils été identifiés et docu- rité mentés ?
b) Identification des 4.2 Les services impliqués Analyse de la services impliqués dans la sécurité de l'infor- documentation mation de l’OE ont-ils été identifiés, documentés ?
c) Inventaire des sys- A.5.9 Un inventaire des sys- Analyse de la tèmes d’information tèmes d’information et documentation et des activités des activités liées à l’infor- liées à l’informa- matique est-il tenu ? tique L’inventaire des systèmes d’information est-il mis à jour régulièrement, c’est- à-dire au moins une fois par an ? Existe-t-il un processus pour l’ajout/la suppression de systèmes et d'activités informatiques dans l’in- ventaire des systèmes d'information ?
d) Le champ d'appli- 4.3 Les domaines de l’OE qui Analyse de la cation du SGSI est sont couverts par le SGSI documentation défini ont-ils été définis et docu- mentés ?
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
15 de 27
Les éventuels domaines ne relevant pas du champ d’application du SGSI sont-ils mentionnés et, dans la négative, l’en- semble de l’organisation est-il indiqué comme champ d'application ?
e) Le SGSI et ses 4.4 Existe-t-il des actions vi- Analyse de la composantes sont sibles de mise à jour et documentation régulièrement mis à d’amélioration continues jour du SGSI ? [N.B. : généralement, un SGSI contient une liste des opportu- nités d’amélioration, ce qui per- met de documenter l’améliora- tion continue et d’en assurer la traçabilité].
Existe-t-il des actions vi- sibles pour vérifier chaque année l’actualité du SGSI ?
2.3 Politique de sécurité A.5.1 Des lignes directrices en Analyse de la
de l'information matière de sécurité de documentation A.5.3 l'information ont-elles été A.5.5 édictées et communi- A.5.24 quées aux collaborateurs et aux tiers mandatés, qui contiennent les points énumérés ?
2.4 Exigences relatives à A.5.2 Existe-t-il un organi- Analyse de la
l'organisation de la sécu- gramme de l’organisation documentation rité de l'information de la sécurité de l’infor- mation et a-t-il été com- muniqué ? Les personnes désignées dans l'organigramme sa- vent-elles quelles tâches elles doivent accomplir et quelles sont leurs respon- sabilités ? L’OE a-t-il défini au moins un rôle central pour la sé- curité de l’information (par
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
16 de 27
ex. PSI, CISO ou équiva- lent) ainsi que d’autres rôles pertinents, et ces rôles ont-ils été documen- tés ? Les tâches du rôle central ainsi que celles des autres personnes assu- rant des fonctions clés dans la mise en œuvre de la sécurité de l’information sont-elles documentées de manière contraignante (p. ex. dans un cahier des charges ou une descrip- tion de poste) ?
2.5 Exigences relatives A.5.8 Existe-t-il une méthode de Analyse de la
aux projets de systèmes gestion de projet informa- documentation d'information tique définie qui corres- pond aux points exigés ? Peut-on identifier des pro- jets informatiques dans lesquels la méthode de gestion de projet a été ap- pliquée ?
2.6 Sécurité de l’informa- A.6.7 Une politique sur le travail Analyse de la
tion pour les appareils mobile et les appareils documentation A.8.1 mobiles et le travail mo- mobiles / BYOD a-t-elle bile été élaborée et communi- quée ? Cette directive contient- elle les éléments requis par les instructions ?
2.7 Sécurité de l'informa-
tion et personnel
2.7.1 Sécurité du person- A.6.1 – Existe-t-il des directives Analyse de la
nel sur les obligations en ma- documentation A.6.5 tière d’information, de confidentialité et de sys- tèmes informatiques ? Celles-ci sont-elles com-
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
17 de 27
muniquées aux tiers man- datés et au personnel de l’entreprise ? Existe-t-il un processus de restitution des informa- tions et des moyens infor- matiques après la fin du contrat de travail du per- sonnel ou du contrat de mandat des tiers manda- tés ? Un contrôle de sécurité approprié est-il effectué et mis à jour périodiquement (au moins une fois par an) pour les employés ayant accès à des informations critiques ou ayant des ac- cès privilégiés aux sys- tèmes informatiques ? Le PSI et d’autres rôles clés de l'organisation de la sécurité sont-ils spécifi- quement contrôlés au moyen d’un contrôle de sécurité relatif aux per- sonnes ? Le contrôle de sécurité re- latif au rôle PSI et d’autres rôles clés inclut-il une vérification du casier judiciaire et du registre des poursuites ?
2.7.2 Information et for- A.5.4 Des formations et des Analyse de la
mation sensibilisations des colla- documentation A.6.3 borateurs sont-elles orga- A.6.4 nisées au moins une fois par an ? Existe-t-il un concept pour la formation et la sensibili- sation des collabora- teurs ?
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
18 de 27
Les collaborateurs ont-ils connaissance des obliga- tions et des directives qui leur sont applicables en matière de sécurité de l'information ?
2.7.3 Changement de si- A.6.5 Existe-t-il un processus Analyse de la
tuation défini pour l’adaptation documentation systématique des droits d'accès et des autorisa- tions d’accès en cas d'adaptation du rapport d'engagement ou de man- dat ou de l’accord d’utili- sation ? Existe-t-il un processus défini pour traiter les comptes non utilisés et est-il suivi ?
2.8 Objets de protection
des SI : Inventaire, docu- mentation SIPD etautres exigences
2.8.1 Inventaire des ac- A.5.9 Tous les systèmes d'infor- Analyse de la
tifs mation de l’OE font-ils documentation l'objet d'un inventaire et cet inventaire est-il tou- jours tenu à jour ?
2.8.2 Documentation de A.5.10 Existe-t-il une documenta- Analyse de la
base SIPD tion SIPD pour les projets documentation A.5.12 et les systèmes d'informa- A.5.13 tion et est-elle conforme, qualitativement et quanti- tativement, au modèle donné dans l’annexe 4 de la D-SIPD ? Ces documentations de base contiennent-elles les éléments requis par sys- tème d’information dans les D-SIPD au point 2.8.2, point 2 ?
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
19 de 27
2.8.3 Documentation A.5.10 Des documentations Analyse de la
ISDS étendue SIPD étendues contenant documentation A.5.12 les thèmes définis dans A.5.13 les D-SIPD au cm 2.8.3 ont-elles été établies pour les systèmes informa- tiques avec lesquels des données personnelles sensibles sont traitées ?
2.8.4 Actualité de la do- - La documentation SIPD Analyse de la
cumentation de l’ISDS des systèmes d’informa- documentation tion exploités correspond- elle à la situation ac- tuelle ?
2.8.5 Responsable de A.5.9 Une personne respon- Analyse de la
l’application sable a-t-elle été dési- documentation gnée dans l’inventaire des biens pour chaque objet protégé ? Ces personnes ont-elles connaissance de leurs responsabilités ?
2.9 Contrôle de l’accès A.5.15 – Existe-t-il un concept de Analyse de la
aux systèmes d’informa- contrôle d’accès docu- documentation A.5.18 tion menté qui contient au moins les points énumé- Vérification du rés dans les D-SIPD Cm système A.8.2 – 2.9 ? A.8.5 Tous les accès (y c. les processus automatisés avec accès machine-to- machine) aux systèmes d’information sont-ils pro- tégés par une authentifi- cation correspondant au besoin de protection et, si nécessaire, par des me- sures cryptographiques adéquates conformément à la matrice d’accès défi- nie ?
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
20 de 27
Le principe du « least pri- vilege » est-il appliqué pour les accès ? Les accès aux données personnelles sensibles sont-ils consignés confor- mément à l’art. 4 OLPD ? L’exactitude et la perti- nence des accès sont- elles vérifiées au moins une fois par an ?
2.10 Cryptographie
2.10.1 Méthodes et pro- A.8.24 Les procédés et méthodes Analyse de la
cédures cryptogra- cryptographiques utilisés documentation phiques sont-ils conformes aux règles reconnues de la Vérification du technique ? système
En cas d’utilisation de cer- tificats-clés, ceux-ci sont- ils délivrés par une auto- rité de certification (CA) reconnue, en fonction de l’application et des exi- gences légales qui y sont liées ? Les clés cryptographiques sont-elles gérées de ma- nière sécurisée et leur va- lidité est-elle garantie ?
2.11 Protection physique
2.11.1 Dispositif de sécu- A.7.1 – A.7.3 Les systèmes d’informa- Analyse de la
rité pour les locaux tion sont-ils protégés par documentation des mesures de protec- A.7.5 tion physique adéquates en fonction du groupe de protection qui leur est at- tribué ? • Périmètres de sécurité physique (situation de
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
21 de 27
l'environnement et me- sures de construction) • Contrôle d’accès phy- sique • Sécuriser les bureaux, les locaux et les instal- lations • Protection contre les menaces externes et environnementales
2.11.2 Mesures pour les A.7.7 – Les mesures suivantes de Analyse de la
appareils et les moyens A.7.14 protection des appareils documentation d'exploitation et des moyens d'exploita- tion sont-elles mises en A.8.1 œuvre de manière appro- priée ? • Placement et protec- tion des appareils et des équipements • Services publics • Sécurité du câblage • Maintenance des ap- pareils et des moyens d'exploitation • Suppression de va- leurs • Sécurité des appareils, du matériel d’exploita- tion et des valeurs à l’extérieur des locaux • Élimination ou réutili- sation en toute sécu- rité des appareils et des moyens d'exploita- tion • Équipements des utili- sateurs sans surveil- lance • Politique de nettoyage de l’environnement de travail et de verrouil- lage des écrans
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
22 de 27
2.12 Mesures pour la sé- A.5.37 L’OE dispose-t-elle d'un Analyse de la
curité de l'exploitation processus de gestion du documentation changement ? Vérification du A.8.6 – Les environnements de système A.8.8 test et d’exploitation sont- ils séparés ? A.8.13 Les exigences en matière A.8.15 de protection contre les logiciels malveillants ont- A.8.17 elles été analysées et des A.8.19 mesures appropriées ont- elles été mises en A.8.31 œuvre ? A.8.32 Existe-t-il des concepts de A.8.34 sauvegarde appropriés et ceux-ci sont-ils régulière- ment contrôlés ? Le réseau et les systèmes sont-ils surveillés par des moyens appropriés et les événements sont-ils ren- dus visibles ? Les scans de vulnérabilité sont-ils effectués réguliè- rement ? Les vulnérabili- tés découvertes lors de ces analyses sont-elles corrigées ? Les installations de logi- ciels sont-elles effectuées selon un processus struc- turé (c.-à-d. installation uniquement par du per- sonnel formé, documenta- tion de configuration et de système disponible, les nouvelles applications et logiciels sont testés avant d'être introduits, notam- ment en ce qui concerne les implications en ma- tière de sécurité) ? Un contrôle d’intégrité a-t- il été effectué pour les
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
23 de 27
systèmes d'information nécessitant une protection accrue ? Les systèmes d’informa- tion sont-ils régulièrement audités (c.-à-d. au moins une fois par an) et les ef- fets sont-ils minimisés par des mesures d’audit ?
2.13 Sécurité de la com-
munication (transmission d’informations)
2.13.1 Documentation ar- - L’OE dispose-t-il d'une Analyse de la
chitecturale documentation sur l'archi- documentation tecture réseau de ses systèmes d’information fi- gurant dans l’inventaire des actifs, qui comprend la topologie de ses propres réseaux et de ceux de tiers ainsi que les composants actifs qui s'y trouvent ?
2.13.2 Matrice d'accès - L’OE dispose-t-il d’une Analyse de la
matrice d'accès qui déter- documentation mine comment les per- sonnes et les processus automatisés (machines/lo- giciels) peuvent accéder aux systèmes d’informa- tion exploités dans les dif- férentes zones du réseau, ou comment ceux-ci doi- vent être authentifiés et, le cas échéant, autorisés ?
2.13.3 Sécurité et docu- A.5.14 L’organe d’exécution dis- Analyse de la
mentation du réseau pose-t-il de politiques en documentation A.6.6 matière de sécurité des réseaux et celles-ci in- A.8.20 – cluent-elles, entre autres, les responsabilités de A.8.22 gestion des réseaux et
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
24 de 27
des transitions de ré- seaux ? Existe-t-il un règlement d’utilisation pour les ré- seaux dont les OE sont responsables, dans lequel sont réglés le raccorde- ment de terminaux de communication étrangers, la réglementation des transitions de réseau ainsi que l’accès à distance ? La structure du réseau est-elle zonée, segmen- tée et configurée de ma- nière adéquate? Les réseaux sous la res- ponsabilité de l’OE sont- ils surveillés et protégés contre les attaques et les accès non autorisés ? Des mesures de sécurité ont-elles été mises en place pour les réseaux qui ne relèvent pas de la res- ponsabilité de la OE et dont l’utilisation ne peut pas être réglée par con- trat (par ex. Internet) ? Toutes les structures du réseau et les responsabili- tés respectives sont-elles documentées ?
2.13.4 Transmission A.5.14 Les données sont-elles Analyse de la
protégée des informa- suffisamment protégées documentation A.6.6 tions lors de la transmission d’informations sur des ré- seaux propres, des ré- seaux contractuels ou des réseaux étrangers par des mesures appropriées, compte tenu de leur be-
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
25 de 27
soin de protection consi- gné dans la documenta- tion SIPD ? Les collaborateurs con- naissent-ils les différents niveaux de protection lors de la transmission de données et utilisent-ils des moyens de transmis- sion appropriés (par ex. cryptage des courriels, transfert de fichiers sécu- risé, etc.)
2.14 Modifications dans A.5.8 La sécurité fait-elle partie Analyse de la
les systèmes d'informa- intégrante du cycle de vie documentation tion des systèmes d’informa- A.8.25 – tion et tient-elle compte A.8.27 des exigences de sécurité spécifiques définies dans la documentation de la A.8.29 – SIPD ? A.8.33 La documentation de la SIPD est-elle mise à jour lorsque des modifications sont apportées aux sys- tèmes d’information ou, dans les autres cas, au moins tous les 5 ans ? Existe-t-il un processus pour cela ? La méthode de projet in- formatique requise par les D-SIPD, cm 2.5, est-elle également appliquée aux modifications des sys- tèmes d’information ? Lors de modifications de systèmes d’information, les exigences définies dans les D-SIPD, para- graphe 2.12, lettre A, point 4, concernant la sé- paration des environne- ments de développement, de test et d'exploitation
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
26 de 27
sont-elles prises en compte ? Les données de test gé- nérées lors du test de systèmes et de fonctions système sont-elles proté- gées ?
2.15 Contrats avec des A.5.19 – Les contrats conclus avec Analyse de la
tiers (relations avec les des prestataires de ser- documentation A.5.21 fournisseurs) vices tiers qui ont poten- tiellement accès à des données relevant du droit des assurances sociales ou qui traitent ces don- nées sur mandat compor- tent-ils l’obligation de res- pecter l’ensemble des règles de protection et des exigences concernant concrètement les presta- tions ? Les contrats prévoient-ils également des mesures de contrôle pour le res- pect de ces obligations ainsi que des sanctions conventionnelles en cas de violation de ces dispo- sitions ? Les services offerts par des tiers à l’étranger sont- ils identifiés et justifiés ? Est-il garanti qu’aucune donnée personnelle d’as- suré n’est traitée à l'étran- ger ? (Sauf s’il s’agit d’une exception mention- née dans les D-SIPD, ch. 2.15.1, point 4 [échange international de données]) Les principes du cloud mentionnés dans les D- SIPD ch. 2.15.2 point 5 sont-ils pris en compte
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)
27 de 27
lors de l'utilisation de ser- vices cloud ?
2.16 Gestion des inci- A.5.24 – L’USIC s’assure-t-elle que Analyse de la
dents de sécurité de les notifications d'inci- documentation A.5.28 l'information dents de sécurité liés aux systèmes d'information A.6.8 sont traitées, documen- tées et évaluées de ma- nière adéquate afin de mi- nimiser la probabilité d’oc- currence ou l’impact d’in- cidents futurs ? L'organe d’exécution dis- pose-t-il de plans de réac- tion et de communication préparés pour les inci- dents de sécurité, qui ga- rantissent que les me- sures appropriées sont prises par les personnes compétentes ?
2.17 Maintien de la sécu- A.5.29 L’OE dispose-t-il de plans Analyse de la
rité de l’information (Busi- pour maintenir et rétablir documentation A.8.14 ness Continuity Manage- le fonctionnement de l’ob- ment BCM) jet de protection SI en cas d’incident, d’urgence ou de catastrophe ? Ces plans sont-ils testés régulièrement, c'est-à-dire au moins 1 fois par an ?
2.18 Conformité aux di- A.5.31 – Les éventuelles lacunes Analyse de la
rectives identifiées avec le sys- documentation A.5.36 tème de contrôle interne (SCI), le système de ges- A.8.8 tion de la qualité (SMQ) et le système de gestion des risques (GR) en relation avec les systèmes d'infor- mation ont-elles été corri- gées ? (Indépendamment du fait qu'elles aient déjà été constatées lors d'une révision prudentielle).
DFI OFAS | Directives concernant les audits sur la sécurité de l’information et la protection des données (DASP)