Date
24.11.2021
La haute disponibilité et la sécurité des données des clients font partie de notre activité principale. Nous les faisons régulièrement vérifier.
Depuis 2018, l’Office fédéral pour l’approvisionnement économique du pays (OFAG) recommande la mise en œuvre des normes TIC pour les infrastructures d’importance systémique. En tant que filiale du canton de Berne, Bedag fournit des prestations informatiques élémentaires au canton et constitue donc une infrastructure d’importance systémique. L’« Overall Cyber Security Maturity Rating » analyse les capacités d’identification, de protection, de détection, de réaction et de récupération. Pour ces cinq fonctions, Bedag dépasse les valeurs standard de la norme TIC. Pour nous, ce résultat est un remerciement pour les efforts constants que nous déployons depuis des années dans le domaine de la sécurité de l’information.
Identifier - Protéger - Détecter - Réagir - Récupérer
La sécurité de l’information fait partie de l’identité et de la culture d’entreprise de Bedag. Le degré de formalisation est donc élevé. Les documents nécessaires, tels que le Système de Management de la Sécurité et de l’Information (SMSI), les stratégies, les concepts, les directives et les instructions sont accessibles à tous les collaborateurs avec un degré de détail élevé et font l’objet d’un développement, d’une formation et d’un audit permanents. La sécurité de l’information, concept solidement ancré dans toute l’entreprise, est prise en compte au quoti-dien par les collaborateurs et la direction. La sécurité est un élément essentiel de notre activité.
Pour la fonction « Protéger », Bedag se voit confirmer un niveau de maturité élevé et solide. Les accès physiques et logiques à l’infrastructure de Bedag sont bien protégés et un scan des failles est effectué dès le développement des logiciels dans le cadre du processus de déploiement. Le Security Operations Center (SOC) définit les directives techniques spécifiques à la sécurité et les vérifie régulièrement. Les éventuelles vulnérabilités sont détectées par la surveillance SOC et traitées en conséquence. Grâce au processus de patch largement automatisé, les composants exposés peuvent en outre recevoir très rapidement et de manière fiable des mises à jour de sécurité. Bedag utilise une protection contre les logiciels malveillants, un système de prévention d’intrusions (IPS) et d’autres mécanismes de sécurité. Ces systèmes empêchent par exemple l’exécution de pièces jointes définies dans les e-mails ou détectent en temps réel les risques dans la communication et les préviennent. Selon le principe « Security by Design », les réseaux sont séparés les uns des autres logiquement et, lorsque cela est possible et économique, également physiquement et sont construits en plusieurs couches. Ces mesures préventives correspondent au principe de la prévention et agissent avant même l’apparition des menaces.
Le Security Operations Center (SOC) et l’Operating se sont établis comme des éléments centraux du dispositif de sécurité dans la fonction « Identifier ». Les capacités de surveillance ont été développées sous la forme de cas d’usage élaborés pour la détection de certains scénarios d’attaque. Les cas d’usage s’orientent sur le Mitre Attack Framework et servent à détecter les attaques à un stade précoce à l’aide de modèles définis dans les fichiers journaux et le monitoring. En tant que service central de la sécurité opérationnelle, le SOC est responsable de la gestion des incidents de sécurité, de la surveillance de la sécurité, de la gestion des vulnérabilités et de la sensibilisation à la sécurité. Bedag bénéficie en outre d’une étroite collaboration avec la Centrale d’enregistrement et d’analyse pour la sûreté de l’'information de la Confédération (NCSC / MELANI). En tant qu’infrastructure d'importance systémique, Bedag fait partie depuis 2017 du cercle fermé des clients de MELANI et reçoit ainsi des informations et des prestations supplémentaires, dont profitent bien sûr aussi les clients de Bedag.
La fonction « Réagir » est assurée par la gestion des incidents (processus et organisation) et les plans de réaction. Le Service Desk est bien rodé et les incidents sont traités rapidement et de manière structurée. Si des incidents importants surviennent, le management de Bedag est in-formé par SMS, afin que la One Voice Policy notamment puisse être appliquée. Pour la commu-nication avec les clients, le Service Management (SEM) est mis à contribution afin de les informer des nouveautés en continu. Pour faire face aux incidents, une Task Force ou une organisation d’urgence est mise en place si nécessaire. Des plans pour divers scénarios de crise (pandémie, incendie, explosion, etc.) sont définis en détail. Au cours des derniers mois, le scénario de crise pandémie a pu être appliqué quasi quotidiennement et amélioré. Au début, l’équipe de pandémie se réunissait quotidiennement. Les réunions ont désormais lieu chaque semaine.
Bedag effectue régulièrement des tests de récupération pour la fonction « Récupérer ». Dans le « pire des cas », les systèmes d’un client peuvent être arrêtés dans le Centre de calcul de Berne et redémarrés sur le deuxième site géoredondant, pour autant qu’ils aient été conçus et construits pour ce faire conformément à l’accord contractuel avec les clients et que les applications le permettent. Bedag teste aussi régulièrement la restauration (restore) des données à partir des sauvegardes et peut ainsi aider rapidement si par exemple un fichier a été effacé par erreur par le client.
Priorité à la sécurité pour nos clients
Nous définissons avec notre client le niveau de sécurité requis et convenons des prestations dans le cadre d’un Service Level Agreement sur mesure. Depuis des années, la sécurité est plus qu'un argument marketing pour nous : elle fait partie de notre culture d’entreprise.
Nous sommes également conscients qu’il s'agit toujours d’un instantané et que la sécurité est un problème additif. De nouveaux dangers et défis apparaissent, sans que les anciens ne disparaissent. Notre engagement continu en faveur de la sécurité se poursuivra en collaboration avec les clients. L’effort à cet égard va certainement augmenter et non pas diminuer. Ainsi, dans les années à venir, nous continuerons à investir de plus en plus dans les fonctionnalités de base de notre dispositif de sécurité. En outre, nous voulons revoir notre gestion et notre communication de crise, régler la coopération en cas de crise avec les clients et les autorités et nous y entraîner - même si c'est hypothétiquement - de manière pratique.