- L’Office fédéral pour l’approvisionnement économique du pays (OFAE) publie une norme minimale non contraignante pour améliorer la résilience des TIC.
- La norme minimale s’articule autour des principes de base, du cadre (Identify, Protect, Detect, Respond, Recover) et de l’outil d’auto-évaluation.
- Basé sur le cadre de cybersécurité NIST et compatible avec ISO-2700x, COBIT, les guides ENISA et BSI-IT-Grundschutz.
- Des compléments sectoriels spécifiques (p. ex. électricité, denrées alimentaires) sont élaborés ; également applicables à d’autres secteurs et librement disponibles.
L’Office fédéral pour l’approvisionnement économique du pays (OFAE) a mis en place un système juridiquement contraignant. une norme minimale non directement contraignante pour améliorer la “résilience des TIC a été publié. Il se base sur les normes existantes (voir ci-dessous), mais son contenu va moins loin et se veut une “recommandation et un guide possible” pour améliorer la résilience des TIC. Il s’adresse en particulier aux opérateurs infrastructures critiques[note]Voir à ce sujet les Liste des secteurs concernés sur la base de la stratégie nationale de protection des infrastructures critiques 2018 – 2022[/note], mais est en principe applicable à toute entreprise ou organisation et librement disponibles.
Les normes minimales comprennent trois parties :
- Principes de base: Ouvrage de référence contenant des informations de fond sur la sécurité des TIC ;
- Mot-clé : Il décrit des mesures de mise en œuvre de nature organisationnelle et technique, structurées selon les cinq thèmes “identifier”, “protéger”, “détecter”, “réagir” et “rétablir”.
- Outil de self-assessment et d’évaluation (Excel) : Cela permet d’évaluer le niveau de mise en œuvre des mesures.
Des recommandations sectorielles s’appliquent en complément (voir ci-dessous).
Principes de base
La norme minimale est basée sur le Cadre de cybersécurité NIST Core. Le site Cadre de cybersécurité du NIST est un ensemble de règles à caractère de recommandation publié par le National Institute of Standards and Technology américain (version V1.1, 16.4.18), qui comprend des normes, des directives et des recommandations pratiques pour la gestion des risques liés à la cybersécurité. Il est différent (par rapport aux normes ISO par exemple) disponible gratuitement et se compose de trois éléments principaux :
- Le “Framework Core“Les normes minimales de l’OFAE décrivent des mesures qui, à l’instar des normes minimales de l’OFAE, sont structurées en cinq “fonctions”[note]C’est-à-dire en cinq phases le long d’un incident de cybersécurité : “idenfify”, “protect”, “detect”, “respond” et “recover”. Elles sont relativement générales et s’appliquent à toutes les infrastructures critiques[/note].
- Les “Mise en œuvre Tiers” décrivent différents niveaux de gestion des risques liés à la cybersécurité.
- Le “Profil du cadreLe rapport “Cybersecurity” décrit la manière dont une entreprise gère concrètement les risques liés à la cybersécurité et les mesures qu’elle entend prendre à l’avenir à cet égard.
Les normes minimales de l’OFAE tiennent également compte d’autres normes :
- le site Guide NIST sur la sécurité des systèmes de contrôle industriels (ICS);
- les normes de la série ISO-2700x ;
- les COBIT (à l’origine “Control Objectives for Information and Related Technology”) ;
- le site Guide des bonnes pratiques de l’ENISA sur les stratégies nationales de cybersécurité;
- le “Procédure de protection informatique de base” de l’Office fédéral allemand de la sécurité dans la technologie de l’information (BSI).
Néanmoins, la norme minimale de l’OFAE s’entend comme suit
[…] ne fait explicitement pas concurrence aux normes internationales existantes, mais est compatible avec celles-ci, tout en ayant une portée réduite. Il doit permettre une approche plus simple de la thématique tout en garantissant un niveau de protection élevé.
Normes sectorielles
L’OFAE élabore des normes sectorielles complémentaires qui sont un peu plus détaillées, mais qui ne sont pas non plus directement contraignantes sur le plan juridique. Jusqu’à présent, des normes existent pour les secteurs de l’approvisionnement en électricité et en denrées alimentaires ; des normes sont en cours d’élaboration pour d’autres secteurs.[note]Selon NZZ on peut s’attendre à ce que des normes minimales soient également fixées d’ici fin 2018 pour l’approvisionnement en eau potable, en gaz naturel et en pétrole, ainsi que pour l’approvisionnement en denrées alimentaires[/note].