Lois, rglements et directives Synergies entre la conformit et la scurit

de linformation
Larchitecture de la scurit de linformation en renforcement de la
conformit

Etude de cas et retour dexprience sur

lvaluation de limpact de la sphre prive
sur les systmes dinformation

Genve, le 5 fvrier 2013

par Anne Catherine Salberg, prpose supplante
la protection des donnes et la transparence et
Enrico Vigan, Conseiller en scurit des SI, DGSI - DSES
Dpartement de la scurit
Direction Gnrale des Systmes d'Information
Direction Scurit et vnements Spciaux
12.04.2013 - Page 1
 Plan de l'expos

Introduction
Conformit lgale
SMSI-AeL
Conclusion
www.ge.ch/ppdt

Dpartement de la scurit
Direction Gnrale des Systmes d'Information
Direction Scurit et vnements Spciaux
12.04.2013 - Page 2
 Mission des prposes
Surveiller la bonne application de la loi

Offrir information, services et conseils aux citoyens et

aux institutions; grer les conflits pouvant natre du
traitement des donnes personnelles comme de
l'exercice du droit d'accs aux documents

Effectuer des contrles auprs des institutions et mettre

des recommandations leur endroit
www.ge.ch/ppdt

Dpartement de la scurit
Direction Gnrale des Systmes d'Information
Direction Scurit et vnements Spciaux
12.04.2013 - Page 3
 La protection des donnes, un
droit constitutionnel
Toute personne a droit :

au respect de sa vie prive et familiale,

au respect de son domicile,
au respect de sa correspondance,
la protection contre l'emploi abusif des donnes qui la concernent.

www.ge.ch/ppdt

Dpartement de la scurit
Direction Gnrale des Systmes d'Information
Direction Scurit et vnements Spciaux
12.04.2013 - Page 4
 Accs aux donnes

Comment puis-je protger les donnes des

clients ?

http://thinkdata.ch/scenario_pdf.php?lan=fr&scenario_id=45

http://thinkdata.ch
Dpartement de la scurit
Direction Gnrale des Systmes d'Information
Direction Scurit et vnements Spciaux
12.04.2013 - Page 5
 Transparence

Est-ce que la transparence

concerne les systmes dinformation ?

http://thinkdata.ch/scenario_pdf.php?lan=fr&scenario_id=46

http://thinkdata.ch

Dpartement de la scurit
Direction Gnrale des Systmes d'Information
Direction Scurit et vnements Spciaux
12.04.2013 - Page 6
 Accs aux donnes

Comment protger les bases de donnes ?

http://thinkdata.ch/scenario_pdf.php?lan=fr&scenario_id=44

Dpartement de la scurit
Direction Gnrale des Systmes d'Information
Direction Scurit et vnements Spciaux
12.04.2013 - Page 7
 Le traitement des donnes
personnelles en droit genevois
Prvu par une loi ou un rglement (principe de licit):
Pertinentes et ncessaires (principe de proportionnalit)
Exactes et mises jour (principe d'exactitude)
Collectes de manire reconnaissable (principe de
transparence de la collecte)
Scurises (principe de scurit) :
Dtruites ou rendues anonymes, si ncessaire
www.ge.ch/ppdt

Dpartement de la scurit
Direction Gnrale des Systmes d'Information
Direction Scurit et vnements Spciaux
12.04.2013 - Page 8
 Disposition exprimentale
AeL (art. 69 LIPAD)
Prise de position des prposes sur les drogations
AeL
http://www.ge.ch/ppdt/doc/documentations/PPDT_Prise_de_position_2011_I_013_Art_69_LIPAD_mise_en_oeuvre_selon_PPDT_V.pdf

Rapport final valuant l'impact des prestations avec

recommandations
Rapport intermdiaire en 2013: approche indicateurs

www.ge.ch/ppdt

Dpartement de la scurit
Direction Gnrale des Systmes d'Information
Direction Scurit et vnements Spciaux
12.04.2013 - Page 9
 Socle AeL et prestations en ligne
Approche indicateurs
Loi sur l'information du public, l'accs aux documents et
LIPAD
la Protection des donnes personnelles

Prise de position des PPDT sur la LIPAD du

28 octobre 2011 : Mise en uvre de l'Art.69.

Tableau des causes de drogations

Art.69 de la LIPAD

Programme AeL et Questionnaire

parties prenantes
A P*

C D Actions,
volutions,
Indicateurs corrections

Dpartement de la scurit
Direction Gnrale des Systmes d'Information
Direction Scurit et vnements Spciaux
12.04.2013 - Page 10
Socle AeL et prestations en ligne
Renforcer la conformit par le SMSI
Cycle
t
..
turi
ma

Renforcement de la
gouvernance par la
1 politique de scurit de
A P* Cycle 2 l'information de l'AeL.
2013
C D
Conformit du Socle et des prestations la
Cycle LIPAD, analyse des drogations,
valuations, formalisation des indicateurs.
1 Enrichissement par la convergence des
2012
points de vue des parties prenantes.
1
A P*

C D
Cycle 0 Organisation, Analyse de risques
Architecture, formalisation du SMSI du
2008-2011 socle AeL. Audit dynamique de scurit.

(*) P-1: dfinir ce que l'on va faire, D-2: faire ce qui a t dfini, C-3: contrler le travail , A-4: amliorer

Dpartement de la scurit
Direction Gnrale des Systmes d'Information
Direction Scurit et vnements Spciaux
12.04.2013 - Page 11
Socle AeL et prestations en ligne
Cycle 1 - Objectifs
LIPAD Prise de position PPDT
ISO27002- Concept SIPD Critres de conformit
(Mthodologie projet Herms)

ISO27002
Chapitre 15: Conformit Exigences satisfaites ?
A P
15.1 - Conformit lgale
et rglementaire Rapport au
C D Conseil d'Etat
15.2 - Architecture et
technologie Rapports* Rapport
du bureau PPDT

15.3 Contrles et Audit

Rapport de la
Questionnaire commission
consultative

Conformit Usager
Prestations
Web
Prestations
Prestations Socle AeL HTTPS
Prestations
Prestatio
Prestatio
Prestations Plateforme transverse d'changes,
ns
Prestations de cohsion et de scurit des flux
ns
Prestations

Rapports*: dcrits en annexe la fin du prsent document

Dpartement de la scurit
Direction Gnrale des Systmes d'Information
Direction Scurit et vnements Spciaux
12.04.2013 - Page 12
Socle AeL et prestations en ligne
Cycle 1 - Schma de contexte
Usager
Conformit
Prestations
Prestations
Prestations Web
Prestations Socle AeL HTTPS

Prestations Plateforme transverse d'changes,

Prestations de cohsion et de scurit des flux

Cycle 1
Prestations
Prestations Questionnaire li au tableau (PPDT) destin aux responsables
mtier et responsables LIPAD des prestations en ligne

Dploiement du questionnaire aux responsables mtier et aux

responsables LIPAD des prestations en ligne.

Analyse et formalisation des lments significatifs du retour

d'enqute.

Indicateurs qualit et quantit, rles et documents dans

le SMSI

Mesures de corrections et d'volutions proposes

Dpartement de la scurit
Direction Gnrale des Systmes d'Information
Direction Scurit et vnements Spciaux
12.04.2013 - Page 13
Socle AeL et prestations en ligne
Cycle 1 Parties prenantes
Organes de
contrles Environnement de Confiance, parties prenantes,
coute de l'usager, information, scurit

SMSI-Conformit
Prestations

Prestations
Prestations Socle AeL HTTPS
Prestations CGU
Prestations
Prestations

AeL DGSI ACT

- Directions mtier Architecte
Direction
- Directions SI et RSSI Usager
- Responsables LIPAD du monde
- Chef(fe)s de projets AeL numrique
- Contrle Interne Chef(fe)s de Projet

DS - DGSI DSES - CESI

Dpartement de la scurit
Direction Gnrale des Systmes d'Information
Direction Scurit et vnements Spciaux
12.04.2013 - Page 14
Conclusion
Principe des Cycles de progression Etapes de progression
et d'enrichissement -> objectifs mesurables
=> effort, cot, bnfices (Roi)
t
turi
ma

Priode de
1
A P* Consolidation

Risques:
C D 1- immobilisme (mais le monde tourne, lui)
2- Recul => pente plus abrupte, plus difficile

Traitements:
ue Maintenir les acquis
R i sq Elaguer le terrain, adapter l' organisation
Parties rduire le % de la pente, valoriser l'effort
prenantes prvoir un plan B: rduction de l'objectif initial
(*) P-1: dfinir ce que l'on va faire, D-2: faire ce qui a t dfini, C-3: contrler le travail , A-4: amliorer

Dpartement de la scurit
Direction Gnrale des Systmes d'Information
Direction Scurit et vnements Spciaux
12.04.2013 - Page 15
 Ressources
Scurit de l'information

Norme ISO IEC 27002:2005 - Technologies de l'information-Techniques de

scurit-Code de bonne pratique pour le management de la scurit de l'information
http://www.iso.org/iso/fr/home/store/catalogue_tc/catalogue_detail.htm?csnumber=50297

Directives relatives l'usage et aux contrle des ressources

informatiques
http://intranet.etat-ge.ch/themes/controle_interne/directives/systemes-information.asp

Directive "Partage d'informations couvertes par le secret de

fonction"
fonction
http://intranet.etat-ge.ch/themes/controle_interne/doc/EGE-09-02_v1.pdf

Concept de Sret de l'Information et de Protection de Donnes

(CSIPD)
https://prod.etat-ge.ch/intranetpmo/resultats (Concept SIPD)
www.ge.ch/ppdt

Dpartement de la scurit
Direction Gnrale des Systmes d'Information
16
Direction Scurit et vnements Spciaux
12.04.2013 - Page 16
 Ressources PD & T
Bulletins d'information: http://www.ge.ch/ppdt/archives/bulletins_informations.asp
Casuistique : http://www.ge.ch/ppdt/doc/PPDT_Casuistique_Protection_des_donnees.pdf
http://www.ge.ch/ppdt/doc/documentations/PPDT_Casuistique_Transparence.xls

Catalogue des fichiers: http://www.ge.ch/ppdt/recherche/recherche.asp

Fiches informatives : http://www.ge.ch/ppdt/espace-metier/documentation/fiches_informatives.asp
Formulaires : http://www.ge.ch/ppdt/espace-citoyen/formulaires.asp
Glossaire : http://thinkdata.ch/fr/glossaire
LIPAD : http://www.ge.ch/legislation/rsg/f/rsg_a2_08.html
Listes des responsables LIPAD : http://www.ge.ch/ppdt/liste_des_institutions.asp
ThinkData: http://thinkdata.ch

Dpartement de la scurit
Direction Gnrale des Systmes d'Information
Direction Scurit et vnements Spciaux
12.04.2013 - Page 17
 Merci de votre attention
Notre bureau se tient votre disposition:
Sur place: 27bd Helvtique, 8me tage
Par tlphone: 022.546.52.40
Par courriel: ppdt@etat.ge.ch

Plus d'informations sur notre site: www.ge.ch/ppdt

http://thinkdata.ch
www.ge.ch/ppdt

Dpartement de la scurit
Direction Gnrale des Systmes d'Information
Direction Scurit et vnements Spciaux
12.04.2013 - Page 18