Sécurité

Après l’entrée en fonction d’André Mäder en tant que Chief Information Security Officer (CISO) en octobre 2021, des mesures dans les domaines de la sécurité de l’information et de la protection des données ont pu être mises en place et étendues. En ce qui concerne la sécurité informatique, l’accent a été mis sur l’amélioration de la résilience et l’augmentation de la maturité, aussi bien de l’organisation du programme que de ses objets de livraison (produits). La priorisation des travaux s’est faite en tenant compte des besoins de la future corporation de droit public.

Résilience de l’organisation du projet

Pour augmenter la résilience au sein de l’organisation du projet, des modules de formation, appelés Security Awareness Trainings, sont régulièrement proposés aux collaboratrices et collaborateurs de Justitia 4.0 depuis le milieu de l’année 2022. Il s’agit notamment d’autoévaluations et de simulations d’hameçonnage. L’acceptation et les premiers résultats de ces activités sont bons, notamment en comparaison avec le reste du monde. L’offre de formation à la sécurité sera donc maintenue.

Au cours de l’été 2022, une société externe a contrôlé, au moyen de tests d’intrusion, plusieurs services informatiques (site web du projet, confluence) utilisés par Justitia 4.0, afin de déterminer les points faibles en matière de sécurité informatique. Les prestataires de services concernés ont été impliqués de manière transparente dans le processus afin d’en accroître les bénéfices. Là encore, les résultats se sont avérés très satisfaisants par rapport aux valeurs empiriques : aucun point faible critique n’a été découvert. La mise en oeuvre de mesures visant à corriger ou à réduire les vulnérabilités découvertes est bien avancée.

Pour la fin de l’année 2022, des manuels concernant la sécurité de l’information et la sécurité des mots de passe ont également pu être établis. Ils aident les membres de l’équipe à utiliser les outils informatiques en toute sécurité.

Protection des données et sécurité de l’information de la plateforme « Justitia.Swiss »

De même, au cours de l’année de référence, divers éléments de base de la sécurité de l’information, tels que les analyses des besoins de protection et les catalogues de protection de base des TIC, ont été approfondis et, en cas de besoin, complétés. Il convient de mentionner ici en particulier les travaux sur le concept de sécurité de l’information et de protection des données (concept SIPD) de la future plateforme « Justitia.Swiss ». En collaboration avec les partenaires pour le développement et l’exploitation technique de la plateforme, le projet Justitia 4.0 a pu réaliser des progrès matériels ; d’autres améliorations sont prévues tout au long du projet Justitia 4.0. Des représentants des préposés fédéraux et cantonaux à la protection des données sont consultés en fonction de la situation afin qu’ils puissent donner leur avis sur les concepts.

Étapes suivantes

Pour l’année 2023, il est prévu de poursuivre les travaux et les mesures concernant l’équipe de projet et la plateforme «Justitia.Swiss». Il s’agit notamment de l’introduction de mesures de sécurité dans la plateforme et de l’intégration des risques résiduels liés à la sécurité de l’information dans les processus existants. Pour l’ADJ, les tâches de sécurité de l’information seront intensifiées en ce qui concerne un concept de sécurité de l’information et de protection des données.