Lexipedia

Nom de partenaire contractuel

INTERNE

Analyse des besoins de protection <Nom du partenaire contractuel>

Partenaire contractuel Nom de partenaire contractuel

Délégué à la sécurité informatique DSIO de partenaire contractuel

Document rempli par

Résultat de l'évaluation

Confidentialité: Le traitement des données personnelles ne présente pas de risque élevé selon l'examen préalable des risques

Classification: INTERNE

Pas d'exigences accrues en matière de confidentialité

Disponibilité: Plus de 12 heures

24 heures

ITSCM / BCM non nécessaire

Intégrité: Pas d'exigences spéciales

Traçabilité: Pas d'exigences spéciales

Contrôle des modifications

Version Date Nom / Remarque

Le présent document est valable au maximum cinq ans.

Signatures Date / Nom / Signature

Contrôlé par: DSIO de partenaire contractuel

Autorité habilitée Partenaire contractuel

DSIO de l'OAI

Autorité habilitée de l'OAI

Nom de partenaire contractuel

INTERNE

Critères Questions Réponses (liste déroulante à choix)

Commentaires, justifications Remplir toutes les lignes

Confidentialité Des données personnelles seront- elles traitées [par le biais de cet objet à protéger] au sens de la législation sur la protection des données? Si oui, en résulte-t-il un risque élevé pour les droits fondamentaux des personnes concernées? Si oui: l'AIPD a-t-il été rempli?

Le traitement des données personnelles ne présente pas de risque élevé selon l'examen préalable des risques

[L'objet à protéger] traite-t-il des informations classifiées au sens de l'ordonnance concernant la loi sur la sécurité de l’information (LSI)? Si oui, quels sont les niveaux de classification (cf. art.

18 à 20 LSI)

concernés?

Classification: INTERNE

[L'objet à protéger] traite-t-il des informations ou données de-vant être particulièrement protégées pour une autre raison (législations spécifiques)? Si oui, quel est le degré des exi-gences en matière de protection?

Pas d'exigences accrues en matière de confidentialité

Disponibilité Durée de défaillance maximale admissible?

Plus de 12 heures

Perte de données maximale admissible?

24 heures

La gestion de la continuité des services informatiques (ITSCM) est-elle pertinente [pour l'objet à protéger], vu qu'elle fait partie de la gestion de la continuité des affaires (BCM) pour les processus critiques?

ITSCM / BCM non nécessaire

Intégrité L'authenticité, l'exactitude et/ou l'intégrité des données doivent-elles pouvoir être garanties?

Pas d'exigences spéciales

Traçabilité Certains processus de travail doivent-ils pouvoir être retracés?

Pas d'exigences spéciales

Nom de partenaire contractuel

INTERNE

Description du projet ou de l'objet à protéger

Partenaire de communication et stockage des données

Partenaire de communication (au niveau du réseau)

Accès interne?

Oui Si non, vérifier dans quelle mesure le système doit vraiment être exploité dans le réseau de l'organisation

Accès externe (Internet)?

Non Si oui, vérifier les modalités d'accès dans la matrice d'accès.

Stockage des données

Interne? Oui Aucune exigence qui n'outrepasse celles de la protection informatique de base dans l'administration fédérale.

Externe (Internet)?

Non Si oui, vérifier si le stockage des données en dehors de l'organisation est autorisé. Si les données sont stockées au moyen d'une solution en nuage (cloud), il faut alors examiner les recommandations de sécurité sur l'informatique en nuage du NCSC.

Esquisse de l'architecture

Les feuilles suivantes font partie de l'analyse des besoins de protection:

Page de garde: - À remplir entièrement. - Le résultat de la classification est issu de la feuille «Evaluation». - Dans cette feuille, les couleurs des champs permettent de faire ressortir clairement si les besoins de sécurité sont normaux ou accrus et d'en déduire les exigences qui conviennent en matière de protection. --> Voir les explications plus bas Évaluation: - Sélectionner une réponse dans la liste déroulante de la colonne «Réponses» pour chaque ligne. - Remplir la colonne «Commentaires, justifications» de manière à la fois précise et concise. Description: - Description détaillée du projet ou de l'objet à protéger. - Remplir les partenaires de communication et le stockage des données. - Une première esquisse architecturale doit être insérée ici (en lieu et place de l'exemple). Elle peut éventuellement faire l'objet d'un document séparé. Dans ce cas, on mentionnera dans cette feuille de calcul comment s'appelle ce document, quelle version se réfère à cette analyse des besoins de protection et où il est enregistré.

Besoin de protection accru: Le besoin de protection est considéré comme accru dès que l’un des champs d’évaluation de la confidentialité est surligné en rouge ou lorsque plus de deux critères en matière de disponibilité, d’intégrité ou de traçabilité sont surlignés en rouge. Si une protection accrue est nécessaire, il convient d’élaborer au titre de l’art. 14d OPCy un concept de sécurité de l’information et de protection des données (concept SIPD). En plus de la mise en œuvre des directives en matière de sécurité relevant de la protection de base, d’autres mesures de sécurité spécifiques au projet ou à l’objet informatique à protéger doivent être définies sur la base d’une analyse des risques, documentées et mises en œuvre. Si les exigences sont plus élevées uniquement dans les domaines de la disponibilité, de l’intégrité ou de la traçabilité (deux critères au maximum), des mesures supplémentaires en matière de sécurité doivent être énoncées à titre d’extension de la protection de base, de préférence dans le document «Mise en œuvre des mesures de protection informatique de base dans l’administration fédérale», par exemple par l’ajout d’un chapitre. Mise en œuvre de la protection informatique de base: La mise en œuvre des prescriptions de sécurité minimales (protection informatique de base) doit être documentée. Pour cela, le document «IT Grundschutz Vorlage für Dritte» est à votre disposition sur le site internet d'application des assurances sociales (https://sozialversicherungen.admin.ch/fr/, eGov, modèles). L'analyse des besoins de protection est valable durant cinq ans au maximum.