Qu’est-ce que la sécurité intégrale?

Il s’agit d’un concept de sécurité global qui intègre des mesures organisationnelles, personnelles, juridiques et réglementaires, en plus des deux piliers de la sécurité physique et de la sécurité informatique. Nous vous expliquons également comment SwissSign le met en œuvre en tant que Trust Service Provider.

La «sécurité intégrale» est une approche globale de la sécurité visant à combiner et à harmoniser différents aspects de la sécurité au sein des systèmes et de l’organisation. Son objectif est d’assurer la meilleure sécurité globale possible. Contrairement aux mesures de sécurité isolées, la sécurité intégrale suit une approche globale. Elle rassemble différents domaines de sécurité et les harmonise pour qu’ils interagissent de manière optimale.

Objectif: un niveau de sécurité supérieur à ses divers éléments pris individuellement

La sécurité intégrale repose sur le principe que des mesures de sécurité isolées ne sont pas suffisantes pour répondre aux exigences de sécurité complexes d’une organisation moderne. Cela est d’autant plus vrai pour un Trust Service Provider, tel que SwissSign, qui évolue sur un marché fortement réglementé.

Une stratégie de sécurité intégrale regroupe toutes les mesures et tous les concepts de sécurité (physiques, informatiques, organisationnels, personnels et juridiques/réglementaires) dans un système global et les harmonise. Ce système les relie de manière qu’ils se complètent et se renforcent mutuellement. L’objectif est également d’atteindre un niveau de sécurité supérieur à la somme de ses éléments pris individuellement. Les faiblesses du filet de sécurité sont ainsi réduites, car toutes les mesures de sécurité sont coordonnées les unes avec les autres. SwissSign peut ainsi nettement augmenter sa résilience face aux menaces et aux risques, tout en pouvant organiser plus efficacement la surveillance et le contrôle.

Objectifs et missions de la sécurité intégrale

La sécurité intégrale vise avant tout à atteindre une protection et une résilience maximales, en particulier la protection de la vie et de la santé de toutes les personnes concernées par les mesures de sécurité de l’organisation.

Un concept de sécurité intégrale comprend les tâches suivantes:

• Mise en œuvre de mesures de sécurité transparentes, efficaces et efficientes, y compris dans le but de maintenir un niveau élevé de fiabilité, de souveraineté et d’indépendance

• Mise en place , maintenance et développement d’un système de gestion de la sécurité (ISMS) pour tous les domaines de sécurité

• Coordination de la sécurité globale en intégrant les domaines de sécurité dans l’organisation de la sécurité

• Instauration d’une culture de la sécurité dans laquelle la sécurité est comprise comme une tâche et est prise en considération par les collaborateurs dans leurs activités

• Atteinte d’un niveau de sécurité approprié

• Création de la cyberrésilience nécessaire pour garantir une réussite tournée vers l’avenir dans le monde numérique, en tant que spécialiste de la sécurité des données de La Poste Suisse

• Garantie de l’image et de la bonne réputation auprès du public, des autorités nationales et étrangères, de l’administration fédérale, des fournisseurs et des partenaires

• Garantie de l’activité commerciale et prévention des dysfonctionnements par des mesures préventives et réactives visant à protéger économiquement SwissSign et à préserver sa réputation

• Gestion des urgences en cas d’escalade de dysfonctionnements

• Traitement des risques critiques pour l’entreprise en tenant compte des exigences légales et réglementaires ainsi que de la rentabilité

• Prévention des infractions aux lois ou aux prescriptions réglementaires en misant sur le respect des dispositions légales, réglementaires et contractuelles

• Mise en œuvre de mesures de sécurité économiquement acceptables

• Utilisation d’une approche de sécurité intégrale basée sur les risques pour des améliorations (continues) et la couverture de thèmes de sécurité complexes

• Utilisation respectueuse des ressources naturelles, prévention des effets négatifs sur l’environnement

Normes et standards de sécurité intégrale

Les prescriptions légales ou spécifiques à la branche qui déterminent le concept de sécurité varient fortement d’une organisation à l’autre. Il peut s’agir d’ordonnances gouvernementales, de directives d’associations sectorielles respectives ou de normes d’entreprise globales. En tant que Trust Service Provider suisse, SwissSign est soumise en particulier aux réglementations suivantes:

• ISO/IEC 27001: une norme internationale pour les systèmes de gestion de la sécurité de l’information (ISMS). Elle définit les exigences pour la planification, la mise en œuvre, le suivi et l’amélioration d’un ISMS et est reconnue dans le monde entier. SwissSign est certifiée ISO 27001.

• ITIL (Information Technology Infrastructure Library): derrière cette désignation se cache un cadre de bonnes pratiques pour une gestion efficace des services informatiques. ITIL représente donc un ensemble de processus et de tâches qui sont considérés comme des bonnes pratiques pour la gestion des services informatiques. SwissSign s’appuie sur ce cadre et travaille ainsi dans le domaine de la gestion des processus.

• Méthodologie de la protection informatique de base du BSI: le BCM (Business Continuity Management considéré comme un élément de la méthodologie de la protection informatique de l’office fédéral allemand de la sécurité dans les technologies de l’information (BSI))) décrit une méthode systématique de sécurisation des systèmes informatiques. Il propose des recommandations d’action et des mesures pour la poursuite de l’activité en cas de crise et repose sur une approche pragmatique visant à atteindre un niveau de sécurité adéquat. SwissSign s’appuie sur ce standard dans le domaine du Business Continuity Management.

• ISO/IEC 22301: cette norme se conforme au Business Continuity Management et veille à ce que les entreprises soient préparées aux interruptions et qu’elles puissent maintenir leurs activités. Elle est étroitement liée à la sécurité intégrale, car la continuité de l’infrastructure informatique est un élément essentiel. SwissSign s’appuie sur ce standard dans le domaine du Business Continuity Management.

• Directive NIS (Network and Information Security): la directive NIS définit des mesures visant à garantir un niveau élevé de sécurité des réseaux et des systèmes d’information au sein de l’Union européenne. La directive NIS a établi un cadre juridique unique pour le renforcement des capacités nationales en matière de cybersécurité à l’échelle de l’UE. En tant que Trust Service Provider certifié en Suisse et dans l’UE, SwissSign est tenue de respecter la directive.

• ISO/IEC 31000: une norme de gestion du risque qui fournit des principes généraux et des lignes directrices pour la gestion des risques dans les entreprises. Elle soutient l’identification, l’évaluation et le traitement des risques pertinents pour la sécurité et l’exploitation continue des systèmes et services informatiques. SwissSign s’appuie sur cette norme dans le domaine de la gestion des risques.

Ces normes et standards offrent des approches et des directives bien structurées pour développer une stratégie de sécurité intégrale pour SwissSign, minimiser les risques et renforcer la continuité des activités.

Bases juridiques et normes supplémentaires pour la «sécurité physique»

En Suisse, il existe différentes exigences légales et réglementaires pertinentes pour la sécurité physique. Ces exigences servent à garantir la sécurité physique des personnes et des infrastructures et à minimiser les risques. Les entreprises et les organisations doivent intégrer ces exigences dans leurs concepts de sécurité. Voici quelques-unes des principales conditions-cadres juridiques et normes qui peuvent s’appliquer à SwissSign.

• Prescriptions de protection incendie de l’AEAI (AEAI = Association des établissements cantonaux d’assurance incendie)

• Lois nationales et cantonales sur la construction

• Code des obligations (CO) Loi sur le travail (LTr) Ordonnance sur la prévention des accidents (OPA)

• CFST – Directive de la Commission fédérale pour la sécurité au travail et la protection de la santé

• Loi sur la protection de l’environnement (LPE)

• Loi sur l’énergie (LEne)

• LPD (loi sur la protection des données) et ordonnances y afférentes

• ISO/IEC 27001/27002

Comme SwissSign ne dispose pas de biens immobiliers propres, la mise en œuvre des exigences légales et réglementaires dans les locaux loués doit, dans la mesure du possible, être assurée par le bailleur.

Important: les prescriptions réglementaires et les législations énumérées s’appliquent à l’ensemble de SwissSign. En raison des exigences réglementaires imposées aux chaînes d’approvisionnement, les partenaires contractuels (prestataires, partenaires, fournisseurs, etc.) sont également tenus de les respecter dans le cadre de leur fonction.

Défis et risques de la sécurité intégrale

De même que la mise en œuvre de la sécurité intégrale offre de nombreux avantages, elle peut aussi s’accompagner de différents défis qui méritent d’être étudiés avec soin.

• Complexité élevée: étant donné que la sécurité intégrale englobe un grand nombre de mesures dans différents domaines, elle est souvent très complexe, ce qui peut en compliquer la gestion. Cela nécessite une bonne coordination et une répartition claire des compétences au sein de l’organisation.

• Investissements financiers: un concept de sécurité global, assorti des certifications nécessaires, peut parfois se révéler coûteux, car il nécessite des investissements considérables en technologie, en personnel et en mesures organisationnelles. Cela implique des coûts supplémentaires pour les certifications, l’infrastructure toujours conçue à la pointe de la technologie et les systèmes de protection complets, y compris les partenariats nécessaires ainsi que les formations et sensibilisations régulières du personnel. Ces dépenses sont toutefois nécessaires pour pouvoir faire face aux défis constants des nouvelles stratégies et techniques et offrir aux clients un service de qualité et surtout sûr. C'est du moins le cas pour une organisation aussi exigeante que SwissSign qui doit être digne de confiance.

• Risques technologiques: les solutions de sécurité modernes reposent souvent sur des technologies qui sont elles-mêmes vulnérables. Les cyberattaques et l’évolution rapide de la technologie peuvent vite rendre obsolètes les mesures de sécurité existantes.

• La composante humaine: les gens commettent des erreurs: le manque de formation ou le non-respect involontaire des consignes de sécurité représentent un grand risque. Même les meilleures mesures de sécurité dépendent des collaborateurs qui les mettent en œuvre. Un collaborateur négligent peut entraîner des problèmes de sécurité considérables. Il est donc essentiel d’ancrer la conscience de la sécurité au sein de toute l’organisation, de sensibiliser en permanence les collaborateurs, de les motiver, de les solliciter et de leur proposer un soutien adéquat. Chez SwissSign, nous prenons cela très au sérieux.

L’avenir de la sécurité intégrale: qu’apporte la transformation numérique?

Les développements technologiques tels que l’Internet des objets (IoT) et l’automatisation croissante grâce à l’intelligence artificielle (IA) auront une forte influence sur la sécurité intégrale dans les années à venir. Les principales tendances sont les suivantes:

• Mesures de sécurité automatisées: l’IA et l’apprentissage automatique peuvent être utilisés pour surveiller et prévoir les menaces, ce qui permet de prendre des mesures préventives.

• Systèmes cyber-physiques: comme la sécurité physique et la sécurité numérique sont de plus en plus étroitement liées, le besoin de solutions de sécurité qui couvrent les deux grandit.

• Protection des données et éthique: avec l’utilisation croissante du big data et de l’IA, les exigences en matière de protection des données et de pratiques de sécurité éthiquement acceptables augmentent également.

Mesures de sécurité automatisées

Il s’agit de dispositifs de sécurité qui, à l’aide de l’intelligence artificielle (IA) et de l’apprentissage automatique (ML), sont capables de détecter les menaces, de les analyser et d’y réagir de manière autonome, sans intervention humaine. Ces mesures sont de plus en plus utilisées dans la sécurité informatique afin de surveiller de gros volumes de données, de détecter les anomalies en temps réel et de prévenir les menaces potentielles de manière proactive.

Voici quelques exemples de mesures de sécurité automatisées:

• Détection d’anomalies: les systèmes basés sur l’IA surveillent en permanence le trafic réseau et le comportement des utilisateurs afin d’identifier précocement les anomalies suspectes. Il s’agit par exemple de tentatives d’accès inhabituelles ou d’activités sur le réseau qui pourraient indiquer des cyberattaques.

• Analyse et prévision des menaces: à l’aide d’algorithmes d’apprentissage automatique, il est possible d’identifier des schémas de cybermenaces et de prévoir de futures attaques. Le système apprend en permanence des nouvelles données relatives aux menaces et peut ainsi prévenir les attaques dès leur création.

• Mesures de réaction automatisées: lorsqu’un incident est détecté, les systèmes automatisés peuvent prendre des mesures de protection, telles que le blocage d’adresses IP suspectes, l’isolement de systèmes compromis ou l’imposition forcée de mises à jour de sécurité.

• Systèmes de prévention des intrusions (IPS): ces systèmes utilisent l’IA pour détecter les menaces potentielles et appliquer automatiquement des directives de sécurité afin de repousser l’attaque avant qu’elle ne cause des dommages.

• Détection du phishing: l’IA analyse les e-mails et la communication des utilisateurs pour détecter les tentatives de phishing et les bloque avant qu’elles n’arrivent dans les boîtes de réception.

Les mesures de sécurité automatisées peuvent surveiller les menaces 24h/24 et y réagir, ce qui réduit considérablement les temps de réaction. L’utilisation préventive de ces technologies permet d’améliorer les processus de sécurité, de contrer plus rapidement les cyberattaques et de réduire les dommages potentiels pour les organisations.

Lors de l’évaluation des mesures de sécurité automatisées, il convient toutefois d’examiner d’un œil critique leurs risques. En raison de signaux mal interprétés, les automatismes peuvent déclencher des actions susceptibles d’entraver ou d’interrompre les processus commerciaux. Aujourd’hui déjà, les pirates essaient d’influencer et d’exploiter les automatismes en leur faveur. Il est donc nécessaire d’évaluer les avantages et les inconvénients des mesures de sécurité automatisées en fonction des risques.

Systèmes cyber-physiques (CPS)

Il s’agit de systèmes dans lesquels les composants physiques et numériques sont étroitement liés et connectés en temps réel via Internet. Ils saisissent et contrôlent les processus physiques à l’aide de logiciels et de composants réseau et réagissent de manière dynamique aux changements dans leur environnement. Il s’agit par exemple de véhicules connectés, de systèmes de commande industriels, de réseaux intelligents et d’appareils médicaux.

Étant donné que ces systèmes comportent à la fois des éléments physiques et numériques, il est particulièrement important de garantir une sécurité intégrale. En effet, les vulnérabilités en matière de sécurité numérique peuvent avoir des conséquences physiques considérables. Cela crée de nouvelles exigences en matière de solutions de sécurité qui garantissent à la fois l’intégrité numérique et la sécurité physique des systèmes.

La mise en réseau croissante de ces systèmes entraîne des menaces telles que des cyberattaques contre les infrastructures critiques, qui peuvent entraîner des perturbations de la production, des manipulations, voire des dommages physiques. Pour maîtriser ces risques, il est nécessaire d’avoir des solutions de sécurité complètes intégrant des normes de sécurité informatique (telles que ISO/IEC 27001 ou NIST) et des aspects de sécurité physique, afin de prévenir les attaques tant virtuelles que physiques.

Protection des données et éthique

Ce sont des thèmes centraux dans le monde numérique actuel, car l’utilisation du big data et de l’intelligence artificielle (IA) ne cesse de croître. Bien que ces technologies offrent de grandes possibilités d’acquérir des connaissances, d’optimiser les processus et d’offrir de nouveaux services, elles comportent également des risques pour la vie privée et la responsabilité éthique.

Loi sur l’IA de l’UE (loi européenne sur l’intelligence artificielle): en 2024, l’UE a adopté la loi sur l’intelligence artificielle (IA), une loi visant à réglementer l’intelligence artificielle de manière globale. L’objectif est de protéger les droits fondamentaux et de promouvoir l’introduction de systèmes d’IA sûrs et centrés sur l’être humain dans le marché intérieur européen. La loi sur l’IA vise à protéger les citoyens contre les risques et les violations des droits fondamentaux résultant d’une utilisation inappropriée de l’IA.

Protection des données: la protection des données consiste à protéger les informations personnelles des utilisateurs et à veiller à ce que les données soient traitées de manière responsable et transparente. Le big data et l’IA, en particulier, permettent souvent de collecter et de traiter d’énormes quantités de données à caractère personnel. Ils comportent toutefois des risques comme l’abus, l’usurpation d’identité et la surveillance involontaire. Les directives relatives à la protection des données telles que le Règlement général sur la protection des données (RGPD) et le California Consumer Privacy Act (CCPA) définissent des normes visant à garantir la protection et les droits des personnes concernées, notamment:

• Minimisation des données: collecter uniquement les données nécessaires

• Transparence: informer les utilisateurs sur la collecte et l’utilisation des données

• Consentement: obtenir le consentement actif des utilisateurs pour le traitement des données

• Suppression des données: supprimer les données lorsqu’elles ne sont plus nécessaires

Éthique: les questions éthiques concernent la manière dont les données sont collectées, traitées et utilisées, en particulier lorsque ces processus sont basés sur des algorithmes et l’IA. L’éthique dans l’utilisation des données exige des pratiques responsables en matière de sécurité et tient compte des conséquences sociales potentielles telles que la discrimination, la surveillance et la prise de décisions. Voici quelques principes éthiques fondamentaux:

• Équité et transparence: les systèmes d’IA doivent être équitables et transparents afin d’éviter la discrimination et les préjugés.

• Évitement des biais: veiller à ce que les algorithmes ne soient pas entraînés par des données erronées ou déséquilibrées qui pourraient donner des résultats discriminatoires.

• Responsabilité: définir des responsabilités claires pour les décisions prises par l’IA et les systèmes automatisés.

• Traçabilité: les modèles d’IA doivent être traçables et explicables. Cela permet de renforcer la confiance des utilisateurs et de créer de la transparence.

La protection des données et les pratiques éthiques en matière de sécurité sont essentielles pour protéger la vie privée des utilisateurs, gagner la confiance et faire en sorte que les nouvelles technologies soient socialement acceptables et utilisées de manière responsable.