Protection des données et sécurité de l'information

Pour le projet, une des priorités est de garantir une communication électronique sûre et confidentielle. La confiance envers la plateforme «Justitia.Swiss» est essentielle pour le futur bon fonctionnement de la justice, de la même manière que la justice fait aujourd’hui confiance au service postal pour que les envois soient notifiés comme il se doit.

Pour préserver cette confiance, la plateforme va d’une part fournir les prestations attendues d’elle (communication électronique des actes et consultation électronique des dossiers) et, d’autre part, protéger conformément aux dispositions légales les données se trouvant temporairement sur la plateforme. Pour les protéger, des mesures d’ordre organisationnel, applicatif et technique sont prévues.  Ces mesures de sécurité doivent être sans cesse ajustées afin de répondre aux menaces les plus récentes. Conformément aux dispositions légales envisagées, les données doivent être conservées en Suisse et par une organisation (autorité ou entreprise) soumise au droit suisse en matière de protection des données. Enfin, il a été décidé de publier le design et le code source spécifique aux activités opérationnelles de la plateforme, à l’exception des paramètres déterminants en matière de sécurité.

Mesures de sécurité dans le détail

 

1. Les mesures organisationnelles suivantes sont notamment prévues:

  • La surveillance de la future organisation d’exploitation est clairement réglée.
  • Les prestataires concernés font régulièrement l’objet d’un audit, et des tests de pénétration sont réalisés auprès de l’exploitant technique au cours d’audits de sécurité. Un système de gestion de la sécurité de l’information (Information Security Management System ISMS) certifié ISO/IEC 27001 est requis de la part de l’exploitant technique.
  • La sécurité de l’exploitation fait l’objet d’une surveillance continue exercée par un centre de sécurité opérationnelle (Security Operations Center SOC).
  • L’organisation en matière de sécurité de l’exploitant de la plateforme collabore étroitement avec les organisations nationales et internationales de cybersécurité, notamment avec l’équipe d’intervention en cas d’urgence informatique («Computer Emergency Response Team» GovCERT) de la Confédération et le Centre national pour la cybersécurité (NCSC).
  • Les collaboratrices et collaborateurs ainsi que les sous-traitants sont examinés et formés grâce à des entraînements réguliers.
  • Les droits d’accès aux données et fonctions sont décrits en toute transparence dans un règlement de traitement, et l’exactitude des rôles est régulièrement contrôlée.

 

2. Les mesures applicatives sont notamment prises en compte au niveau du design général:

  • Des cachets électroniques officiels, conformes à la SCSE, garantissent l’intégrité des documents échangés.
  • Tous les événements ayant force obligatoire sont enregistrés de manière indiscutable dans un journal (Audit Trail).
  • Afin de garantir la confidentialité, les utilisateurs doivent s’authentifier de manière forte (authentification à deux facteurs).
  • Tous les accès à la plateforme ou par des interfaces (API) sont soumis à autorisation, ce qui signifie que les droits sont contrôlés à chaque accès.
  • Sur la plate-forme «Justitia.Swiss», seules les copies consultables des pièces du dossier sont stockées, c’est-à-dire que le dossier juridiquement pertinent reste auprès de l’autorité judiciaire qui dirige la procédure;
  • Pour la conception (design) et le développement, les principes de «Privacy by Design» (protection technique des données) et de «Privacy by Default» (protection des données grâce à des réglages favorables) sont appliqués, tels qu’inscrits dans la loi sur la protection des données révisée.

 

3. Les mesures techniques ci-après améliorent notamment la sécurité de l’infrastructure:

  • Toutes les liaisons sont cryptées et les fichiers ou documents sont enregistrés sous forme cryptée.
  • Les données sont administrées séparément par mandant (ou par canton) et cryptées avec une clé technique spécifique au mandat (selon le principe «bring your own key»).
  • Avant d’être transmis, tous les fichiers sont contrôlés par un programme antivirus.
  • Afin de garantir un niveau de disponibilité élevée, les services sont hébergés dans deux centres de calcul redondants.
  • Afin de détecter des irrégularités, notamment des tentatives de fraude, des systèmes de surveillance spécialisés, par exemple un pare-feu d’application web, sont déployés, à l’instar de ce qui est couramment effectué dans le domaine bancaire.
  • Des sociétés indépendantes sont chargées de contrôler les modules de sécurité déployés pour s’assurer qu’ils ne présentent pas de failles.

Ces mesures ne sont pas exhaustives, mais un simple extrait des plus de 50 mesures indiquées dans le concept de sécurité informatique et de protection des données (concept SIPD) et demandées par les mandants. Ces mesures sont mises à jour au fur et à mesure et développées si nécessaire.