Procédure de sécurité

La loi sur la sécurité de l’information (LSI) et ses ordonnances d’exécution sont entrées en vigueur le 1^er janvier 2024.
La nouvelle ordonnance sur la sécurité de l’information (OSI) remplace l’ordonnance sur les cyberrisques (OPCy) et l’ordonnance concernant la protection des informations (OPrI).

La LSI institue en outre un service spécialisé de la Confédération pour la sécurité de l’information, au sein du Secrétariat d’État à la politique de sécurité (SEPOS). Cela implique des changements dans les processus et les responsabilités en matière de cybersécurité. Le service spécialisé du SEPOS est désormais responsable des directives de la Confédération en matière de sécurité de l’information.

Pendant une période transitoire, l’Office fédéral de la cybersécurité (OFCS) continuera d’édicter des directives concernant la procédure de sécurité et les exigences minimales applicables aux objets à protéger et aux processus en matière de sécurité informatique. Les directives édictées par le Centre national pour la cybersécurité (NCSC) restent en vigueur.

Protection informatique de base
Analyse des besoins de protection (Schuban)
Concept de sûreté de l’information et de protection des données (concept SIPD)

Protection informatique de base

La protection informatique de base définit de manière contraignante les prescriptions de sécurité minimales (protection de base) sur les plans de l'organisation, du personnel et de la technique dans le domaine de la sécurité informatique. La protection informatique de base doit au minimum être mise en œuvre pour chaque objet informatique à protéger.

Si001 - Protection informatique de base dans l'administration fédérale - version 5.0 (PDF, 761 kB, 23.02.2022)

Autres documents relatifs à la protection informatique de base:
Protection de base

Analyse des besoins de protection (Schuban)

Tout projet informatique doit au préalable faire l’objet d’une analyse des besoins de protection (Schuban). L’analyse des besoins de protection fournit une appréciation de l’évaluation de l’application ou du projet.

P041 - Analyse des besoins de protection - version 4.6 (PDF, 390 kB, 22.09.2023)

Autres documents relatifs à l’analyse des besoins de protection:
Besoin de protection

Concept de sûreté de l’information et de protection des données (concept SIPD)

Si l’analyse révèle des besoins de protection élevés, un concept de sûreté de l’information et de protection des données (concept SIPD) comprenant une analyse des risques doit être élaboré en plus de la documentation relative à la mise en œuvre de la protection informatique de base.

Le concept SIPD constitue le document principal de la sécurité de l’information et de la protection des données durant la phase de projet et pendant l’exploitation. Il définit les informations nécessaires au respect et à l’amélioration de la sécurité de l’information et de la protection des données. Il résume les aspects de la sécurité de l’information et de la protection des données dans le cadre du projet.

P042 - Concept SIPD - version 4.5 (PDF, 322 kB, 22.09.2023)

Autres documents relatifs au concept SIPD:
Protection élevés