La sécurité par conception : comment l’ADJ protège les données sensibles

 

Traitement des informations des mandants : la confiance commence par la sécurité

En ouvrant le dossier numérisé d’une procédure, un juge ou une procureure peut accéder en quelques clics à des documents confidentiels, à des données sensibles et à des annotations destinées à un usage interne. Quelles mesures faut-il prendre en amont pour garantir que cet accès soit sécurisé, traçable et conforme à la législation ? Dans le monde analogique, un ministère public ou un tribunal protège ses salles d’archives, met sous clé ses documents sensibles et vérifie qui y a accès. Dans le monde numérique, il est nécessaire de repenser la sécurité, de l’appliquer au niveau technique et de veiller à ce qu’elle soutienne le travail judiciaire au lieu de le complexifier.

C’est précisément le rôle de l’application dossier judiciaire électronique (ADJ), qui crée un environnement numérique où la confidentialité, l’intégrité et la disponibilité trouvent une application concrète. La sécurité continuera ainsi à faire partie intégrante du travail judiciaire.

 

Trois principes éprouvés pour garantir la sécurité informatique

Les données sensibles constituent la colonne vertébrale du travail judiciaire. Les traiter de manière responsable est non seulement une obligation légale, mais aussi une question d’éthique. Pour y parvenir, il faut appliquer trois principes centraux de la sécurité informatique, à savoir la confidentialité, l’intégrité et la disponibilité. L’ADJ met en œuvre une multitude de mesures techniques et organisationnelles pour répondre à ces exigences élevées.

  • 1

    Confidentialité

    • Seules les personnes autorisées ont accès aux données sensibles.
    • Il est essentiel d’empêcher les accès non autorisés, surtout lorsque cela concerne des dossiers et des données relatives à des procédures.
    • Des mesures techniques peuvent prévenir la survenue de dommages liés à un accès non autorisé.
  • 2

    Intégrité

    • Les informations ne peuvent pas être modifiées à l’insu de quiconque pendant leur stockage et leur transmission.
    • Des mesures techniques empêchent toute modification par des tiers non autorisés.
    • L’intégrité des données est indispensable à la fiabilité des documents et des preuves.
  • 3

    Disponibilité

    • L’accès aux informations et aux systèmes importants en fonction des besoins est garanti.
    • Ce principe s’applique aux échéances, aux dates d’audience et au travail quotidien.
    • En cas de panne, le fonctionnement est rétabli sans délai.
 

Concept de sécurité de l’ADJ : fonctionnalités et niveaux de sécurité

La sécurité et les mesures y relatives sont présentes à tous les niveaux et dans tous les processus de travail de l’ADJ. Les utilisateurs et utilisatrices bénéficient d’une infrastructure qui répond aux exigences les plus élevées, de l’authentification au travail quotidien avec des données et des documents.

 
  • Accès à l’ADJ : comment l’authentification protège les données sensibles

    Pour protéger les données sensibles, il faut commencer par vérifier qui dispose d’un accès, et à quelles données. L’ADJ se conforme aux normes actuelles et garantit la sécurité des données grâce à une mise en œuvre et à des procédures sécurisées.

    • Grâce à un contrôle des accès et à un chiffrement solides, l’application est uniquement accessible aux utilisatrices et utilisateurs autorisés. Cela va de l’authentification à deux facteurs à l’accès exclusif via des réseaux définis à l’aide de fournisseurs d’identité cantonaux, en passant par des méthodes de chiffrement modernes pour la communication avec l’application.
    • Des concepts en matière de rôles et de droits, mis en place au cas par cas au niveau des autorités judiciaires, veillent à ce que les utilisatrices et utilisateurs ne puissent consulter et traiter que les informations nécessaires à leur travail. Cela signifie concrètement que les droits d’accès sont définis et restreints en fonction de chaque dossier ou pièce de dossier.
    • Autre pilier du modèle de sécurité, la vérification régulière des droits d’accès – et leur ajustement – est indispensable pour garantir une réaction sans délai face aux nouvelles menaces. Des tests de pénétration réguliers, par exemple, servent entre autres à identifier rapidement les failles au niveau du concept d’accès et à y remédier.
  • Services métier de l’ADJ : la sécurité comme partie intégrante des processus de travail

    Les processus de travail jouent un rôle crucial au quotidien dans le domaine judiciaire. Les services métier, dont la gestion des tâches et le système de dossiers, doivent donc être à la fois fonctionnels et sécurisés.

    • La sécurité doit être intégrée à chaque étape des processus de travail. Elle constitue la base d’une collaboration numérique efficace, transparente et fiable.
    • Le chiffrement de toutes les données des services métier constitue une mesure phare, qu’il s’agisse d’annotations internes, de documents confidentiels ou d’autres types de communication.
    • Les services métier sont protégés au moyen d’analyses antivirus centralisées, afin de détecter à temps d’éventuels logiciels malveillants et de les éliminer.
  • Sécurité des données dans l’ADJ : protection à tous les niveaux

    L’ADJ applique un concept de sécurité à plusieurs niveaux afin d’assurer une protection complète des données particulièrement sensibles du domaine judiciaire. Diverses mesures techniques d’importance critique sont en place pour assurer une protection maximale et, ce faisant, renforcent la confiance des utilisateurs et utilisatrices envers la justice numérique.

    • La protection WORM est essentielle à la protection de l’intégrité des pièces de dossiers. Elle signifie que les documents peuvent être rédigés une seule fois et sont ensuite uniquement disponibles en lecture seule (« write once, read many »). Toute révision est ainsi sauvegardée sous la forme d’une nouvelle version. De cette manière, il est impossible de modifier ou de supprimer une version d’un document numérique dès lors qu’elle a été sauvegardée, ce qui en garantit la force probante et l’intégrité.
    • Le module de sécurité logiciel, ou « Vault », administre en interne les clés cryptographiques. Il veille à ce que les actions particulièrement sensibles, comme le chiffrement et le déchiffrement, se fassent dans un cadre sécurisé. De manière générale, les clés cryptographiques ne peuvent pas être exportées à partir du module de sécurité.
    • D’une manière générale, tous les dossiers et toutes les autres données sont sauvegardés dans l’ADJ sous forme chiffrée. L’index de recherche est lui aussi chiffré, ce qui empêche les personnes non autorisées de lire les demandes de recherche.
    • Le Web Application Firewall (WAF) fait également partie intégrante du concept de sécurité. Il surveille les échanges de données et exerce une fonction de filtre, ce qui permet de détecter et de bloquer en temps voulu les attaques au niveau de l’application.
    • Un système GIES/SOC (gestion des informations et des événements de sécurité / centre d’opérations de sécurité) est également raccordé. Il surveille en continu tous les événements pertinents en matière de sécurité, analyse les activités suspectes et permet une réaction rapide face à de possibles menaces.
  • L’infrastructure, fondement de la stabilité et de la protection

    L’infrastructure représente la base d’une ADJ sûre. Elle fait appel à une conception système redondante et hautement disponible, dans l’optique d’une exploitation fiable et de bout en bout.

    • Pour faire face aux situations d’urgence, les composants critiques du système sont structurés de manière à être de nouveau opérationnels dans un délai maximal d’un jour après une panne totale.
    • L’implantation de trois sites physiques en Suisse permet une redondance en matière d’infrastructure et de stockage des données, ce qui garantit une excellente fiabilité de fonctionnement et une grande disponibilité.
    • La surveillance et la maintenance continues de l’infrastructure visent à détecter suffisamment tôt les éventuelles failles et à y remédier.
 

«L’ADJ répond à toutes les exigences de sécurité imposées par la justice moderne au travail dans l’environnement numérique. Déjà pris en compte lors du développement, les questions de sécurité auront une influence décisive à long terme sur l’exploitation courante et le développement continu.»

Raymond Stebler, responsable du projet ADJ
 

Solution SaaS ou utilisation sur site : la sécurité en tout temps

Nous proposons et recommandons d’utiliser l’ADJ en tant que solution SaaS (Software as a Service). Le projet Justitia 4.0 en assure alors l’exploitation sécurisée, la maintenance en continu et la protection des données.

Lorsque les autorités judiciaires souhaitent disposer de l’ADJ pour une utilisation sur site dans leur propre environnement informatique, celle-ci leur est fournie avec toutes les principales fonctions de sécurité. Il convient néanmoins de veiller aux aspects suivants :

  • Données chiffrées : les informations sensibles sont sauvegardées de manière sécurisée et sont uniquement transmises via une connexion sécurisée (HTTPS/TLS).
  • Journalisation : les actions pertinentes du point de vue de la sécurité sont documentées de manière traçable.
  • Interfaces protégées : les systèmes externes disposent uniquement d’un accès au moyen d’API sécurisées.
  • Mises à jour et correctifs de sécurité : le projet fournit régulièrement des mises à jour que les autorités judiciaires peuvent appliquer à leur propre système.
  • Sauvegarde et restauration : le projet apporte son aide lors de l’intégration de concepts de protection des données et de concepts d’urgence.

Important : en cas d’utilisation sur site, l’exploitation sécurisée des systèmes, l’intégration des mises à jour et la sécurité de l’infrastructure incombent aux autorités judiciaires et aux cantons concernés. Le projet Justitia 4.0 fournit les fonctions de sécurité ainsi que des bonnes pratiques et des recommandations.

 

Processus continu pour une sécurité maximale

La sécurité de l’ADJ n’est pas un projet ponctuel, mais un processus continu. Bien que la sécurité soit déjà mise en place de A à Z à travers des mesures techniques et organisationnelles, elle est constamment vérifiée et améliorée afin de répondre aux nouvelles menaces et d’assurer la protection des données judiciaires sensibles. Ainsi, la sécurité numérique n’est pas une simple promesse, mais bel et bien une base solide pour une collaboration en toute confiance dans le domaine judiciaire.

 

Avez-vous besoin d’en savoir davantage sur l’ADJ ou souhaitez-vous obtenir des conseils à son sujet ?

 

Contactez-nous !

 
 

D’autres thèmes qui pourraient vous intéresser