Retrouvez la version actuelle (V3.0) des exigences du Label ci-dessous ou ici en format PDF!
1 Introduction
1.1 Objectifs du document
Ce document décrit les exigences requises pour l’obtention du Label Cyber-Safe. Subsidiairement, il décrit les méthodes de calcul utilisées tout au long du processus de labellisation.
1.2 Principes du Label Cyber-Safe
Alors que les attaques des systèmes informatiques et autres cyber-incidents concernent indistinctement toutes les organisations, quel que soit leur secteur d’activité ou leur taille, la criticité de tels événements est propre à chaque organisation. Par exemple, une menuiserie dont la production est entièrement assistée par ordinateur pourrait subir des pertes plus importantes en cas de cyber-incident qu’une menuiserie n’utilisant les systèmes informatiques qu’à des fins administratives. C’est pourquoi le Label Cyber-Safe fixe des exigences qui varient selon la place occupée par les systèmes informatiques dans votre organisation.
Pour déterminer la criticité des systèmes informatiques d’une organisation, le Label Cyber-Safe s’appuie sur une approche pragmatique qui consiste à évaluer la valeur des actifs numériques et des données à protéger et le niveau de cybersécurité requis. Ainsi la première étape de tout processus de labellisation consiste à identifier les types de données que l’organisation candidate a en sa possession. Dans une deuxième étape, une décomposition des impacts en cas de cyber-incident sera effectuée sur trois axes pour lesquels il convient d’estimer le montant du dommage économique:
Confidentialité (C): quels dommages économiques l’organisation candidate pourrait-elle subir en cas de divulgation de tout ou partie de ses données?
Intégrité (I): quel est le montant des dommages pour l’organisation candidate si ses données sont altérées ou modifiées (p. ex. en termes de contenu, de format, d’exactitude, etc)?
Absence de disponibilité temporaire (AT) et l’indisponibilité définitive (AD) de tout ou partie des outils informatiques : quels sont les coûts engendrés si mes données sont inaccessibles durant une journée, voire si celles-ci sont définitivement perdues ?
La réponse à ces questions dépend non seulement du type d’activité de l’organisation candidate, qui affecte le type de données en sa possession (par exemple en termes de confidentialité, la divulgation de données médicales aura des répercussions économiques plus importantes que la divulgation de relevés du temps de travail), mais aussi du nombre de collaborateurs dont l’activité dépend des systèmes informatiques (par ex. en cas d’indisponibilité temporaire des données, le coût variera en fonction du nombre de collaborateurs dont l’activité n’est plus possible en l’absence de données informatiques).
Enfin, le Label Cyber-Safe définit une série d’exigences de base qui relèvent de bonnes pratiques en matière de cybersécurité et à ce titre valable pour toutes les organisations (par exemple utilisation et mise à jour d’un antivirus, existence d’une sauvegarde des données, etc.). Ces exigences génériques sont affinées en fonction de la valeur des données et du nombre de collaborateurs utilisant l’informatique.
1.3 Terminologie
Logiciel métier : Le ou les logiciels qui permettent de gérer les processus de l’entreprise, notamment les progiciels de gestion intégrée (ERP), les gestionnaires de la relation clients (CRM) et les planificateurs des besoins en composants (MRP).
CVSS : Common Vulnerability Scoring System, évaluation de la criticité d’une vulnérabilité.
(voir https://en.wikipedia.org/wiki/Common_Vulnerability_Scoring_System ).
Équipement réseau : Tous les éléments permettant l’interconnexion d’un réseau informatique, notamment les points d’accès WiFi, les routeurs, les switches, les passerelles, etc.
Périphérique : Tout appareil connecté au réseau et présentant une interface de travail pour l’utilisateur (PC, iMac, Smartphone, tablette, etc.).
Réseau de travail : Réseau informatique (physique ou VLAN) sur lequel des collaborateurs travaillent.
Support de données : Le support de donnée est un élément physique qui peut recevoir, conserver et restituer l’information de manière durable.
Valeur d’impact de confidentialité (C): Valeur estimée, en francs suisses, du coût de la divulgation des données gérées par l’organisation candidate.
Valeur d’impact d’intégrité (I): Valeur estimée, en francs suisses, du coût de la modification non autorisée de tout ou partie des données gérées par l’organisation candidate.
Valeur d’impact d’absence temporaire de disponibilité (AT) : Valeur estimée, en francs suisses, du coût de l’indisponibilité temporaire des données pour une période donnée.
Valeur d’impact d’absence définitive de disponibilité (AD) : Valeur estimée, en francs suisses, du coût de reconstitution des données nécessaires au bon fonctionnement de l’entreprise.
Valeur des données : représente le cumul des valeurs d’impact pour la confidentialité, l’intégrité, l’indisponibilité pour une période de 10 jours et l’absence définitive de disponibilité.
2 Conditions d’obtention du Label
2.1 Générales
Les exigences sont valables pour les organisations comprenant un maximum de 250 employés. Les organisations ne répondant pas à ces critères restent néanmoins éligibles à l’obtention du Label. Les exigences auxquelles elles doivent répondre sont alors définies sur mesure et dans le respect des principes du Label, par la commission de labellisation de l’Association.
2.2 Valeur des données
La valeur des données est calculée au cas par cas avec l’organisation candidate et en tenant compte de chaque axe C/I/AT/AD.
La valeur totale des données, Vtd, est calculée en additionnant les valeurs sur les différents axes.
2.3 Catégories d’exposition
L’organisation candidate se voit attribuer une catégorie en fonction de la valeur relative des données Vrd, définie par la valeur totale de ses données, Vtd, divisée par le nombre de collaborateurs, Ntc, exprimé en équivalent plein temps.
Vrd =Vtd / Ntc
Vrd<=10k | 10k<Vrd<=20k | 20k<Vrd<=50k | 50k<Vrd<=100k | 100k<Vrd |
|---|---|---|---|---|
non critique | peu critique | moyennement critique | critique | très critique |
cat 1 | cat 2 | cat 3 | cat 4 | cat 5 |
3 Exigences pour l’obtention du Label
Pour que l’organisation candidate soit éligible à l’attribution du Label elle doit satisfaire toutes les exigences requises pour :
sa catégorie selon le point 2.3 (Cat.)
OU
le nombre de périphériques utilisés dans l’organisation candidate, à l’exception des équipements réseau (Nb périph).
Il suffit qu’une des deux conditions soit remplie pour que l’exigence s’applique à l’organisation candidate. En l’absence d’indication quant à la catégorie ou au nombre de périphérique, l’exigence s’applique à toutes les organisations.
L’expert peut, exceptionnellement et sur la base d’une justification écrite, recommander l’attribution du Label alors qu’au maximum 2 critères ne sont pas satisfaits.
3.1 Compétences et responsabilités
3.1.1 Ressources humaines
Cat. | Nb périph. | |
|---|---|---|
1) L’organisation candidate doit avoir désigné un point de contact interne pour les questions relatives à l’informatique. Des compétences et aptitudes spécifiques (internes ou externes) sont disponibles pour ce point de contact. | ||
2) L’organisation candidate doit disposer d’une personne de contact formée en informatique et avoir, au minimum, suivi une formation de sensibilisation à la cybersécurité. | 4 | |
3) L’organisation candidate doit disposer dans son comité de direction d’une personne responsable de la cybersécurité. Cette personne doit au moins signer les documents suivants et ne peut déléguer cette obligation : – Inventaire des données [voir 3.2.1.2] – Liste des permissions d’accès [voir 3.3.3.2] – Checklist « Résilience » [voir 3.3.6.3]. | 4 | 150 |
4) La personne responsable de la cybersécurité doit avoir un accès permanent à une liste à jour des permissions d’accès. |
3.1.2 Test de phishing
L’évaluation des performances se base sur l’envoi de courriels contenant des contenus différents et envoyés à chaque adresse de courriel fournie, selon les règles suivantes :
Chaque courriel envoyé contient au minimum un élément permettant au collaborateur de constater qu’il s’agit d’un courriel frauduleux.
Les courriels envoyés sont génériques et facilement détectables comme étant frauduleux.
Au minimum 3 courriels sont envoyés à chaque adresse.
La période de test dure entre 2 et 6 semaines, selon le nombre d’adresses.
Chaque courriel contient une image qui, une fois affichée, est comptabilisée dans les statistiques d’hameçonnage.
Chaque courriel contient un lien qui, une fois cliqué, est comptabilisée dans les statistiques d’hameçonnage.
Exigence | Cat. | Nb périph. |
|---|---|---|
1) Le taux de clics moyen calculé pour l’ensemble des courriels envoyés doit être inférieur à 8.5 %. | ||
2) Le taux de clics moyen calculé pour l’ensemble des courriels envoyés doit être inférieur à 7.5 %. | 4 | |
3) Le taux de clics moyen calculé pour l’ensemble des courriels envoyés doit être inférieur à 6 %. | 5 | |
4) La moyenne des téléchargements de contenu à distance pour tous les courriels envoyés doit être inférieure à 25 %. |
3.2 Infrastructure IT
3.2.1 Inventaire
Exigence | Cat. | Nb périph. |
|---|---|---|
1) L’organisation candidate doit maintenir à jour un inventaire exhaustif de l’infrastructure TIC ainsi que de tous les éléments connectés sur le(s) réseau(x) de travail (PC, iMac, Smartphone, tablette, objet internet, etc.). | ||
2) L’organisation candidate doit maintenir à jour un inventaire exhaustif de ses données, y compris, le cas échéant, pour l’OT. Chaque donnée de l’inventaire doit faire l’objet d’au moins une politique de fréquence de sauvegarde, de conservation et de test. |
3.2.2 Chiffrement et authentification
Exigence | Cat. | Nb périph. |
|---|---|---|
1) Les canaux de communication depuis l’extérieur (y.c. VPN) sont chiffrés et contrôlés au moins tous les 2 ans. | ||
2) Identifier quelles données doivent être chiffrées (lors de la transmission et/ou lors du stockage) et s’assurer de leur chiffrement. | 4 | |
3) Les données présentes sur les périphériques mobiles (ordinateurs, smartphone, tablette, objet internet, etc.) sont systématiquement chiffrées. | ||
4) Tous les systèmes d’authentification accessibles publiquement doivent mettre en œuvre l’authentification multifacteur (AMF) lorsqu’ils permettent l’accès à des données sensibles, et au minimum pour le VPN, le RDP, le webmail, les services de partage de documents (p. ex. SharePoint). |
3.2.3 WiFi
Exigence | Cat. | Nb périph. |
|---|---|---|
1) Les réseaux WiFi doivent être chiffrés (WPA2 au minimum) et protégés par un mot de passe(16 caractères minimum) qui ne doit pas être un mot de passe par défaut. | ||
2) Le réseau WiFi invités doit être séparé du réseau de travail. | ||
3) Les appareils privés ou les appareils non gérés par l’organisation doivent utiliser exclusivement le réseau WiFi invités (sauf si les appareils privés sont autorisés sur d’autres réseaux WiFi et si les exigences correspondantes sont définies dans la charte de l’utilisateur). |
3.2.4 Accès physique
Exigence | Cat. | Nb périph. |
|---|---|---|
1) Toutes les installations hébergeant des données doivent être sécurisées contre les accès physiques de personnes non autorisées. | ||
2) L’accès au centre de calcul par des externes est contrôlé (p.ex. liste avec les personnes qui accèdent, quand, de quel fournisseur, etc.). | ||
3) Lors de leur élimination, tous les supports de données le sont en veillant à la destruction définitive des données qui s’y trouvent. |
3.2.5 Scans internes
Exigence | Cat. | Nb périph. |
|---|---|---|
1) Aucune vulnérabilité considérée avec un score CVSS supérieur ou égal à 9,0 ne doit être signalée par un scan depuis l’intérieur des réseaux de travail. Un hôte présentant une vulnérabilité avec un score CVSS supérieur ou égal à 9,0 ne peut être toléré que dans un réseau logique séparé et sans accès internet. |
3.2.6 Scans externes
Exigence | Cat. | Nb périph. |
|---|---|---|
1) Aucune vulnérabilité avec un score CVSS supérieur ou égal à 7,0 ne doit être signalée par un scan des adresses IP publiques de l’infrastructure depuis l’extérieur. Un hôte publiquement accessible et présentant une vulnérabilité avec un score CVSS supérieur ou égal à 7,0 et inférieur à 9,0 ne peut être toléré que lorsque qu’une règle de pare-feu en restreint l’accès en-dehors des zones géographiques nécessaires à la bonne marche des affaires. |
3.3 Organisation
3.3.1 Protection des données
Les principes en matière de protection des données sont inclus dans la LPD (obligatoire pour toute entreprise en Suisse) ainsi que le RGPD, lorsqu’il est applicable. Ces principes sont également inclus dans le droit cantonal (obligatoire pour les entités publiques), lorsqu’il est applicable.
3.3.2 Prestataires tiers
Exigence | Cat. | Nb périph. |
|---|---|---|
1) Lorsque l’accomplissement de certaines exigences dépend d’un ou plusieurs sous-traitants, l’organisation candidate exige un engagement sur la mise en œuvre de mesures de sécurité, par exemple par un label ou une certification ou un engagement contractuel au moins équivalent aux exigences du Label Cyber-Safe. |
L’usage du « Cloud » est considéré comme un service fourni par un sous-traitant.
3.3.3 Ressources humaines
Exigence | Cat. | Nb périph. |
|---|---|---|
1) L’organisation candidate doit maintenir à jour une liste des permissions d’accès pour toutes les catégories de données et tous les types de collaborateurs (plan de droit). | ||
2) L’organisation candidate doit contrôler et valider au moins une fois par année que la liste des permissions d’accès correspond aux droits effectivement attribués. La liste à jour est signée par la personne responsable de la cybersécurité. | ||
3) Aucun collaborateur ne doit disposer d’un accès administrateur sur son poste local, hormis le personnel de l’informatique. | ||
4) L’organisation candidate a fait signer à chaque collaborateur un document définissant leurs droits et devoirs vis-à-vis des ressources informatiques. Lorsque l’utilisation d’un équipement privé est autorisée (non recommandé par le Label), l’organisation candidate inclut les exigences correspondantes dans le document sur les droits et devoirs (installation de correctifs de sécurité, pare-feu, mise à jour du logiciel anti-virus et lancement d’alertes, respect des droits de propriété intellectuelle). L’utilisation prévue des téléphones portables privés, du courrier électronique professionnel et de l’internet est précisée. | ||
5) L’organisation candidate dispose d’une politique de sécurité des systèmes d’information. | 30 | |
6) Pour les PME: Une séance de présentation des résultats de la campagne de phishing a eu lieu et les bonnes pratiques y ont été présentées, un PV est disponible. Il est en outre fortement recommandé que tous les employés aient suivi une formation de sensibilisation à la cybersécurité. Pour les communes et administrations publiques: tous les employés ont suivi le e-Learning sur la sécurité de l’information et la cybersécurité (e-Learning développé sur mandat de la CCDJP). |
3.3.4 Procédures, routines
Exigence | Cat. | Nb périph. |
|---|---|---|
1) Les mises à jour des systèmes d’exploitation des périphériques et serveurs sont appliquées et contrôlées régulièrement. | ||
2) Les mises à jour des logiciels, hors logiciels métiers, des périphériques et serveurs sont appliquées et contrôlées régulièrement. | ||
3) Les mises à jour des firmwares (micrologiciels) sont appliquées et contrôlées régulièrement (switch, imprimantes, téléphones-IP, etc.). | ||
4) La présence et la mise à jour d’un antivirus sur tous les périphériquessont contrôlées régulièrement. | ||
5) Les alertes de sécurité sont centralisées et traitées régulièrement. | ||
6) Un pare-feu est présent entre le réseau de travail et l’extérieur. | ||
7) Le fonctionnement, la configuration et la mise à jour du pare-feu sont vérifiés régulièrement. | ||
8) Toutes les macros sont désactivées par défaut dans les logiciels de bureautique ou ont un accès restreint. | ||
9) Le filtrage (anti-spam) et l’anti-spoofing (SPF et DKIM) doivent être activés pour toutes les adresses électroniques. |
3.3.5 Sauvegardes
| Exigence | Cat. | Nb périph. |
|---|---|---|
| 1) L’organisation candidate doit avoir mis en place un système de sauvegarde des données et du système. | ||
| 2) L’intervalle de sauvegarde des données est d’au moins une fois par jour. | ||
| 3) L’intervalle de la sauvegarde système est d’au moins une fois par mois. | ||
| 4) L’intervalle de la sauvegarde système est d’au moins une fois par semaine. | 100 | |
5) L’organisation candidate doit pouvoir restaurer l’état de son système et de ses données à l’état d’il y a 3 mois. | ||
6) L’organisation candidate doit pouvoir restaurer l’état de son système et de ses données à l’état d’il y a 6 mois. | 5 | 200 |
7) Le bon fonctionnement de la sauvegarde des données est contrôlé au moins une fois par semaine. | ||
8) Le bon fonctionnement de la sauvegarde système est vérifié au moins tous les trois mois. | ||
9) Une copie des données existe dans un second emplacement physiquement distinct (hors feu, hors eau). | ||
10) Il n’est pas possible pour un seul compte (y.c. un administrateur) de détruire toutes les sauvegardes. | 4 | 100 |
11) Un test de récupération des données sauvegardées les plus récentes et les plus anciennes doit être effectué au minimum annuellement. |
3.3.6 Résilience
Exigence | Cat. | Nb périph. |
|---|---|---|
1) Il existe un plan et des procédure de reprise en cas d’interruption de la production informatique. | ||
2) Les procédures de reprises sont simulées au moins une fois par an avec les parties prenantes pertinentes. | 4 | |
3) L’organisation candidate a rempli et signé la liste de contrôle « Résilience ». |
3.3.7 Mots de passe
Les politiques de mot de passe doivent être implémentées de manière à obliger chaque collaborateur à les respecter.
| Exigence | Cat. | Nb périph. |
|---|---|---|
1) Une politique de mots de passe forts doit être définie et appliquée (12 caractères au minimum, dont des majuscules, minuscules, chiffres et caractères spéciaux). | ||
2) L‘organisation candidate doit protéger ses mots de passe contre les accès non-autorisés et ne doit pas stocker des mots de passe non chiffrés sur ses systèmes IT, équipements ou tout autre support (p.ex. post-it). Dès qu’un utilisateur doit utiliser plus d’une dizaine de mots de passe, il est fortement recommandé d’utiliser un gestionnaire de mots de passe. |
4 Annexe 1 – Principes en matière de protection des données:
L’organisation candidate s’engage à respecter les principes reconnus en matière de protection des données (LPD, RGPD et droit cantonal en matière de protection des données) :
- Licéité (ou légalité): le traitement de données personnelles ne doit pas enfreindre de lois. Il doit reposer sur une base légale, sur le consentement éclairé ou sur un intérêt prépondérant public ou privé.
- Bonne foi: les données ne doivent en principe pas être collectées et traitées à l’insu de la personne concernée ou contre sa volonté. Elles ne doivent pas non plus être collectées par tromperie intentionnelle;
- Proportionnalité: le traitement des données personnelles doit être nécessaire, adéquat et le moins intrusif possible ;
- Finalité: les données personnelles ne doivent être traitées que dans le but indiqué lors de leur collecte, qui est prévu par la loi ou qui ressort des circonstances ;
- Exactitude: celui qui traite des données personnelles doit s’assurer qu’elles sont correctes et prendre toute mesure appropriée pour les mettre à jour cas échéant, en particulier permettant d’effacer ou de rectifier les données inexactes ou incomplètes ;
- Sécurité: les données personnelles doivent être protégées contre tout traitement non autorisé, par des mesures organisationnelles et techniques appropriées ;
- Transparence de la collecte et information: la collecte de données personnelles et les finalités des traitements effectués doivent être reconnaissables pour la personne concernée.
Toutes autres obligations légales s’appliquant au secteur d’activité de l’organisation candidate.
Pour la version antérieure des exigences du Label Cyber-Safe (V2.0), voir document pdf .
Les exigences du Label sont publiées sous licence creative commons