Sujets
Services
Accueil > Lorsque la maintenance ...
FR
FR DE IT EN

Quand la maintenance devient un piège à espions

L'implication de tiers pour la fourniture de services informatiques devient chaque année plus importante et est presque impensable sans elle. À l'ère des infrastructures informatiques hybrides, les applications en nuage gagnent de plus en plus de terrain, souvent en plus du nombre encore important d'applications informatiques internes ("on premise").

Christian Laux et Claudio Fuchs - 25 octobre 2020

Contrairement à l'environnement dans les nuages, l'accès à distance aux applications "sur place" est très peu réglementé. Les entreprises feraient bien de combler précisément cet écart. En Suisse, on pense d'abord aux hôpitaux avec des données sur les patients ou aux banques avec des données sur les clients. Mais en fin de compte, la question concerne toutes les entreprises.

Exemple 1 : un hôpital

Lorsque vous vous adressez à un médecin en tant que patient, vous supposez automatiquement et à juste titre qu'il traitera votre dossier médical de manière strictement confidentielle et qu'il ne le divulguera pas à des tiers. Au cours de la numérisation, le dossier médical n'est plus physiquement suspendu avec lui dans un classeur, mais est stocké numériquement. Le médecin peut divulguer vos secrets à ses auxiliaires. L'auxiliaire est toute personne qui assiste légalement le médecin dans son travail. Juridiquement parlant, ce processus n'est pas une divulgation. Par conséquent, en tant que patient, vous n'avez pas à être informé de l'intervention de l'assistant.

Dans la pratique, cependant, un système d'information hospitalier, un système de radiologie ou un système de laboratoire ne sont pas gérés par l'hôpital seul et les prestataires de services informatiques, éventuellement même depuis l'étranger, se connectent via un accès à distance. Souvent - surtout dans la base de données - toutes les informations sur les patients sont librement accessibles. La question est maintenant de savoir où l'hôpital "commence" et où il "finit". Le terme "périmètre" peut être utilisé pour décrire cela. Le terme fait référence à la limite extérieure de l'unité organisationnelle (ici : l'hôpital) qui doit être organisée. La question est donc de savoir où s'arrête le périmètre de l'hôpital (Fig. 1).

Le code pénal suisse, la loi sur la protection des données ou la loi sur la profession médicale n'interdisent pas en soi le recours à des auxiliaires. L'intervention des auxiliaires n'entraîne donc pas de divulgation à des tiers, même si ceux-ci ont accès en clair à des informations protégées. Si l'on en arrive à une conclusion logique, cela signifierait que le médecin pourrait théoriquement étendre le cercle des auxiliaires sans limite.

Le point absolument crucial est le contrôle. Il doit contrôler le "banc de travail étendu". L'hôpital doit intégrer toutes les personnes auxiliaires comme s'il s'agissait d'employés (liés à des instructions, etc.) et non de personnes externes. En cas d'absence de contrôle, l'utilisation sans restriction de personnes auxiliaires peut entraîner une divulgation interdite.

Exemple 2 : une banque

Dans un avis juridique (Utilisation des offres dans le nuage par les banques : sur la recevabilité au titre de l'art. 47 LBN)*, la question a été expliquée de savoir si une banque peut étendre le périmètre personnel et physique de telle sorte que les données des clients de la banque puissent être consultées dans le nuage ou par un prestataire de services informatiques étranger. La conclusion de l'avis juridique est affirmative, car la loi bancaire, en vigueur depuis 1934, a été modifiée en 1970 pour protéger contre "l'espionnage étranger". Récemment, beaucoup de choses se sont passées et depuis 2017, la Suisse transmet aussi régulièrement des informations détaillées sur les comptes bancaires à l'étranger.

Bien que les employés d'un prestataire de services informatiques étranger ne puissent pas être poursuivis au pénal, l'avis juridique part du principe que les employés en question peuvent être impliqués dans la sphère de risque de la banque sans qu'il y ait divulgation à des tiers (fig. 2).

La banque étend ainsi le périmètre physique et personnel, de sorte que le centre de données et les employés du prestataire de services informatiques ne peuvent plus être considérés comme des tiers. Le point crucial ici est que la banque garde le contrôle sur ce point par le biais de mesures techniques et organisationnelles. Cela signifie qu'une banque peut utiliser des applications dans le nuage ou permettre aux employés étrangers d'y accéder à distance.

Tous les autres secteurs

D'autres secteurs comme le commerce ou l'industrie ne sont pas soumis à la même richesse législative en Suisse qu'un hôpital ou une banque. Néanmoins, les données doivent être protégées. Il ne doit pas nécessairement s'agir de données personnelles. Chaque entreprise a des secrets commerciaux qui, s'ils sont divulgués, peuvent lui porter préjudice. Il peut s'agir d'une atteinte à l'image de l'entreprise ou de futurs dommages économiques dus à l'espionnage industriel.

Ce contrôle de l'établi étendu peut être effectué exactement de la même manière avec des mesures techniques et organisationnelles, mais doit être soutenu par un ensemble de contrats efficaces. Les employés impliqués dans les processus doivent être transformés de tiers en participants au-delà des limites de l'entreprise.

Que signifie donc "contrôle" ?

Le contrôle doit être compris de manière holistique comme un processus continu. Tout d'abord, il faut comprendre le sujet et ensuite réduire les risques de perte de données par des mesures préventives. Nous recommandons également d'améliorer la traçabilité pour accroître les possibilités de mesures réactives afin de pouvoir prendre des sanctions si le pire devait arriver. En ce qui concerne l'accès à distance par des prestataires de services informatiques qui peuvent avoir un accès privilégié à vos données, il est conseillé d'appliquer les mesures organisationnelles et techniques suivantes :

  • Effectuer une analyse des besoins de protection dans tous les systèmes informatiques concernés
  • Mettre en place des directives internes pour l'accès aux données (gestion de l'accès)
  • Créer des concepts d'autorisation et de rôle pour les systèmes informatiques exposés
  • Réglementer proprement la gestion des utilisateurs et des autorisations
  • Obliger les utilisateurs à s'identifier tant en interne qu'en externe
  • Changez toujours les mots de passe des comptes privilégiés après leur utilisation
  • Enregistrer la session d'accès à distance et le transfert de données

L'accès à distance, même depuis l'étranger, à des données critiques est légalement autorisé. Toutefois, les risques doivent être bien maîtrisés. La responsabilité incombe à l'entreprise elle-même. Si, par exemple, un hôpital implique des tiers dans son environnement informatique, l'hôpital conserve la responsabilité de la protection des données. Le contrôle doit être garanti à tout moment par des mesures techniques, organisationnelles et contractuelles.

(106 visites, 1 visite aujourd'hui)

Plus d'articles sur le sujet

Les Swiss Cyber Security Days 2025 : dernières découvertes, technologies dominantes, partenaires solides et un alléluia