Collaborer avec des prestataires externes de services informatiques

Si les grandes entreprises possèdent souvent leur propre département informatique, nombre de petites entreprises font appel à un prestataire externe. Assurez dans ce cas que les responsabilités en matière de sécurité informatique sont clairement définies entre votre prestataire externe et vous, notamment en ce qui concerne les mesures techniques et organisationnelles. Définissez contractuellement les responsabilités en cas d'incident suite au non-respect des mesures de sécurité convenues.

Consultez les exigences minimales.

  • Effectuez des contrôles de sécurité dès la réception de systèmes informatiques intégrés . 
  • Renseignez-vous sur les conditions générales (CG) et les directives en vigueur lorsque vous avez recours à des services informatiques. Ces deux éléments devraient faire partie du contrat conclu entre le prestataire externe de services informatiques et vous.
  • Réglez l'obligation de garder le secret pour les tiers s'occupant de la maintenance et de la gestion des systèmes informatiques, et empêchez tout accès inutile aux données personnelles particulièrement sensibles.
  • Discutez et définissez également avec le prestataire externe des conventions pour le stockage des données (entreprises proposant de l'espace de stockage dans le nuage).

Informations complémentaires:

Vous trouverez les normes minimales pour les technologies de l'information et de la communication (TIC) sur le site Internet de l'Office fédéral pour l'approvisionnement économique du pays, 
https://www.ofae.admin.ch

Le label cyber-safe.ch a été développé par l'Association suisse pour le label de cybersécurité. Il définit des exigences minimales qui s'appliquent spécifiquement aux communes et aux PME. Un questionnaire en ligne (www.cyber-safe.ch) permet d'évaluer les cyberrisques pour les communes et les PME.
https://www.cyber-safe.ch

Les CG de la Conférence suisse sur l'informatique (CSI) s'appliquent pour les questions relatives à l’informatique dans les administrations publiques. La CSI propose également des modèles de contrats.
https://sik.swiss

Vous trouverez des outils de protection des données et une liste des bureaux des préposés à la protection des données sur le site Internet de la Conférence des Préposé(e)s suisses à la protection des données.
https://www.privatim.ch 

Le Préposé fédéral à la protection des données et à la transparence est compétent pour toutes les question liées au traitement des données par des particuliers ou des organes de la Confédération.
https://www.edoeb.admin.ch

Choisir un prestataire de services informatiques

Les certifications selon des normes reconnues de protection des données et de sécurité de l'information peuvent vous aider à choisir un prestataire. Vous n'êtes pas obligé(e) de choisir un partenaire certifié, mais il est recommandé de demander au prestataire de services informatique de démontrer qu'il possède les qualités requises et qu'il est en mesure d'assurer la disponibilité et la sécurité que vous demandez. Faites appel à une instance indépendante pour l'évaluer ou le confirmer. 

Effectuer des audits de sécurité

Contrôlez régulièrement la mise en œuvredes prestations convenues dans le contrat au moyen de normes de contrôle telles que COBIT (Control Objectives for Information and Related Technology, https://www.isaca.org/resources/cobit [en anglais]) de l'ISACA (Information Systems Audit and Control Association, https://www.isaca.org [en anglais]). Ayez recours aux services d'organes de contrôle indépendants. Le prestataire de services informatiques peut également demander la certification ISAE 3402 Type 2 (International Standard on Assurance Engagements), aussi connue sous le nom de rapport SOC-2 (Service Organization Control). L'organe de contrôle évalue la sécurité, la disponibilité, l'intégrité et la confidentialité.

Dernière modification 10.02.2021

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/infos-fuer/infos-unternehmen/aktuelle-themen/zusammenarbeit-it-provider.html