Post

Valais Wallis : #Cyberdays

Posted
Preview Image
By Roald Brunell 5 min read

Nouvelle LIPDA

Lauris Loat, le préposé cantonal à la protection des données nous parle aujourd’hui de la nouvelle LIPDA qui entre en vigueur le 01.01.2026. (Loi sur l’Information du public, la Protection des Données et l’Archivage). Cette conférence est axée vers les organisations publiques (communes, etc.)

La LIPDA s’applique dans la plupart des cas avant la LPD ou RGPD.

  1. LIPDA -> cantonal
  2. LPD -> national
  3. RGPD -> EU

Quelles sont les obligations des autorités?

  • Former les équipes
  • Démontrer en tout temps la conformité du traitement
  • S’assurer de la qualité du sous-traitant
  • Avoir un contrat écrit avec le sous-traitant
  • Faire une analyse d’impact en cas de risque élevé pour la personnalité ou les droits fondamentaux

Que faire en cas de fuite des données?

Annoncer les violations de la sécurité des données à la police et au préposé à la protection des données (page web va être mise en place) et finalement aux personnes concernées.

Délégué à la protection des données

(publiques / para-publiques) Le délégué doit :

  • Conseiller le responsable du traitement
  • Promouvoir l’information et la formation à l’interne
  • Contrôler si la LIPDA est bien respectée et proposer des mesures en cas de violation
  • Être le point de contact pour les personnes concernées et les autorités
  • Doit être indépendant (par ex. pas avoir de charges décisionnelles dans l’entreprise)
  • Doit être élu d’ici le 1er janvier 2026

Registre des activités de traitement

Ce registre contient la durée de conservation ou les critères qui servent à déterminer la durée. Il contient également les mesures visant à garantir la sécurité des données. (président de commune ne doit pas avoir tous les accès) En cas d’attaque permet de savoir qui a quels accès et déterminer les points d’entrée.

Analyse d’impact

La vidéosurveillance pose des risques élevés au niveau des analyses d’impact. Une caméra doit par exemple être justifiée(caméra sur les Moloks n’est pas justifiée). La durée de conservation des vidéos est en moyenne de 96 heures.

Sous-traitance

L’entreprise qui engage un sous-traitant est responsable de celle-ci.

Transparence

Les contrats avec sous-traitants peuvent être soumis à la transparence. En cas d’attaque, la réputation peut souffrir si les autres aspects n’ont pas été mis en place/respectés.

Le préposé cantonal n’a pas de pouvoir décisionnel, il fait du conseil et de la surveillance. En cas de non-respect, il peut publier, par exemple “Une commune ne respecte pas tel et tel mesure”.

Effet des lois sur l’informatique

La LIPDA exige :

  • Privacy by design
  • Informer de la collecte et des décisions automatisées
  • Assurer la sécurité adéquate des données
  • Assurer la conformité avec les sous-traitants

La LSI (Loi fédérale sur la Sécurité de l’Information) introduit un devoir d’annonce pour les infrastructures critiques telles que les communes (eau, électricité, etc.)

Security and privacy by design and default

Au moment du design, la sécurité et la confidentialité doivent déjà être pris en compte. La sécurité et la confidentialité doivent aussi être la priorité par défaut (whitelist au lieu de blacklist, bloqué par défaut, autorisé au cas par cas…)

Certification des fournisseurs

ISO 27001 et le Cyberseal (Alliance de Sécurité Digitale Suisse) peuvent certifier des fournisseurs afin d’aider lors des choix de fournisseurs.

Les contrats existants doivent régulièrement être contrôlés afin qui’ils

  • Définissent les rôles et responsabilités
  • Respectent la LIPDA
  • Permettent le contrôle de conformité (audits)

Contrôle des sous-traitants

Lorsque des données sont hébergées chez un sous-traitant, on peut :

  • Obtenir les mesures et techniques mises en place au niveau sécuritaire
  • Exiger des audits de sécurité

Lorsqu’une solution est développée chez un partenaire, on peut :

  • Exiger des tests de vulnérabilité
  • Ne pas transmettre de données sans anonymisation

Un contrat pour sous-traitants (25 pages) est disponible.

Mesures de base

  • Anonymisation des données
  • Chiffrage des échanges
  • Communication transfrontières (USA et Chine non-conformes, for juridique du contrat (Suisse si possible), clauses de sorties et effacement des données, droits de migration)

Exemples de responsabilités

  • Winbiz

Hébergeur de Winbiz attaqué et données indisponibles jusqu’à 1 mois après l’attaque

  • Xplain

Données de la police militaire, FEDPOL et procédures pénales (1TB) publiées sur le darknet

Etat du Valais

Le canton fait :

  • Labellisation CyberSafe
  • MiniSOC
  • Outil national de sensibilisation en ligne
  • Valais Wallis #Cyberdays
  • Contrat et lettre type pour les fournisseurs
  • Procédures d’urgence (en cas d’attaque)
  • Soutien de la police cantonale et du service cantonal de l’informatique (en cas d’attaque)
  • Soutien forensique externe (en cas d’attaque)

Retour d’une cyberattaque

La commune de Montreux revient sur l’attaque du 9-10 octobre 2021.

  1. Appréhension du problème

Deux équipes séparées ont attaqué le système, une équipe de reconnaissance puis un équipe qui a attaqué. L’attaque est arrivée le week-end, lors d’un creux d’utilisation du système.

Les données ont été cryptées, mais ont-elles été extraites? (finalement, à 99% sûr -> non)

La première réponse a été d’isoler le système.

  1. Cellule de gestion de crise

Composée de :

  • Municipalité
  • Direction ASR (Association Sécurité Riviera)
  • Police cantonale vaudoise
  • DGNSI (Direction générale du numérique et des services d’information de l’état de Vaud)
  • Experts IT externes
  • Administration et partenaires
  1. Management des risques

Le diagramme de Farmer permet d’évaluer les risques selon leur gravité et leur fréquence. Celui-ci a permis de décider de restaurer les serveurs par groupes.

  1. Communication

La cellule de crise doit constamment communiquer et il ne faut pas hésiter à demander de l’aide (par exemple pour soulager les équipes qui travaillent en heures sup’ sur le problème). Il ne faut pas essayer de cacher le problème.

  1. Conclusion
  • Humilité
  • Intelligence collective
  • Orienté solution
  • Méthodologie de travail
  • Communication transparente et proactive
  • Assurer des conditions optimales de travail (y compris nourriture, locaux, etc.)

Note de fin : la sécurité dépend toujours de son maillon le plus faible

Semestre 5 B1S5
This post is licensed under CC BY 4.0 by the author.