-
CyberSeal –
le label de qualitéLe CyberSeal confirme qu’un prestataire IT met en œuvre des mesures techniques et organisationnelles appropriées pour garantir à ses clients une protection adéquate contre les cyberrisques. Le CyberSeal contribue à augmenter la cyber-résilience des PME suisses.
À qui le label de qualité suisse CyberSeal est-il destiné?
Les prestataires IT ayant leur siège et leur base de clients en Suisse peuvent obtenir le CyberSeal s’ils assument la responsabilité totale ou partielle de la configuration et de l’exploitation des services informatiques et/ou configurent et mettent à disposition des solutions cloud (p. ex. Microsoft 365).
CyberSeal
Valeur ajoutée pour le prestataire de services informatiques

Réduction des risques liés à l’implémentation, à l’exploitation et à la sécurité

Sensibilisation à la cybercriminalité et établissement d’un langage commun

Confiance générée par le respect des exigences minimales en matière de sécurité informatique

Meilleure position sur le marché et avantages lors de la conclusion d’assurances
Valeur ajoutée pour le client final

Réduction des risques liés aux cyberattaques

Moins d’incidents, dépannage plus rapide et réduction des coûts en cas d’incident

Un label de qualité indépendant simplifie le choix du prestataire IT

Focalisation accrue sur l’activité principale
Le processus d’audit pour l’obtention du CyberSeal
Le processus d’audit se déroule sur un cycle de trois ans. Un audit complet pour l’obtention du CyberSeal a lieu la première année. Un audit de suivi est effectué en guise de contrôle de qualité respectivement au cours de la deuxième et de la troisième année. Au cours de la quatrième année, le processus reprend à zéro dans le cadre d’un audit complet.
(1) Intérêt
En cas d’intérêt, le prestataire IT doit s’inscrire au moyen d’un formulaire. Il reçoit la liste actuelle des points de contrôle CyberSeal. Un rendez-vous est fixé pour l’audit.
(2) Auto-déclaration
Le prestataire IT doit remplir une auto-déclaration avec tous les points de contrôle de la liste, en fonction de la situation, et l’envoyer.
(3) Audit
L’auditeur vérifie les points de contrôle lors de l’entretien et sur la console (contrôle approfondi sur place). Il n’aborde les questions signalées dans l’auto-déclaration qu’en cas de besoin de clarification.
(4) Feed-back
S’il n’y a pas de divergences majeures, le label de qualité est remis avec le rapport d’audit.
(5) Mise en œuvre
Les mesures de correction des divergences et de traitement des remarques doivent être mises en œuvre dans un délai d’un an. Ce délai est vérifié dans le cadre de l’audit de suivi.
(6) Suivi
Un audit de suivi est réalisé par auto-déclaration au cours des deuxième et troisième années du cycle de l’audit. La liste des points de contrôle doit être remise après actualisation. L’auditeur vérifie les données et discute par téléphone des éventuelles nouveautés de la norme.
CyberSeal - Contenus de la norme
Les prestataires IT ont une influence directe sur la cyber-résilience des PME. Il est donc impératif qu'ils puissent attestedr de compétences fondamentales dans les domaines suivants:
-
Organisation: p. ex. documentation, répartition des tâches, formation
-
Technique: p. ex. protection des données, autorisations, sauvegarde
-
Processus: p. ex. gestion des modifications et gestion des incidents, monitoring
Les points de contrôle et les processus détaillés de l’audit se basent sur le manuel d’audit CyberSeal en vigueur d’Alliance Sécurité Digitale Suisse.

Les documents importants en bref
Les exigences en matière d’audit CyberSeal sont vérifiées chaque année et comparées aux nouvelles menaces. Les documents suivants font partie intégrante de la norme CyberSeal et sont remis lors de l’inscription à l’audit:

Rapport d’audit CyberSeal
Le rapport décrit les résultats de l’audit réussi ou échoué. Le rapport indique les divergences majeures et mineures par rapport à la norme ainsi que des remarques et recommandations pour améliorer la cybersécurité.

Manuel d’audit CyberSeal
Le manuel décrit l’utilisation de la liste des points de contrôle CyberSeal, les termes utilisés et le déroulement de l’audit. Les exigences et la gestion des éventuelles divergences y sont également expliquées.

Liste de contrôle CyberSeal
Il s’agit de la check-list complète contenant les questions concrètes pour la réalisation de l’audit CyberSeal. Après l’audit, le rapport d’audit est établi avec la liste des points de contrôle remplie.
Gestion des divergences, remarques et recommandations
Divergence majeure empêchant l’attribution du CyberSeal
Si une exigence figurant dans le manuel d’audit n’est pas respectée pour un point de priorité 1 de la liste des points de contrôle, il en résulte une divergence majeure.
Gestion des divergences majeures
Le prestataire IT dispose de 3 mois pour remédier à la divergence majeure. Une fois ce délai écoulé, l’auditeur évalue la correction. Cette vérification entraîne des frais supplémentaires de CHF 600. Si la divergence majeure n’est pas suffisamment corrigée, aucun CyberSeal n’est délivré et le processus doit être relancé.
Divergence mineure
Si une exigence n’est que partiellement remplie pour un point de priorité 1 de la liste des points de contrôle, il en résulte une divergence mineure.
Gestion des divergences mineures
La divergence mineure doit être traitée par le prestataire IT avant le prochain audit de suivi. La divergence est ensuite contrôlée. Une amélioration clairement identifiable doit avoir été mise en œuvre. Une réalisation incomplète de l’exigence peut conduire à une nouvelle déclaration de divergence mineure pour l’audit ou l’audit de suivi suivant.
Remarques et recommandations
Les remarques sont des constatations de l’auditeur qui peuvent contribuer à l’amélioration de la cybersécurité du prestataire IT et de ses clients.
Le prestataire IT décide lui-même si les remarques doivent être mises en application et de quelle manière. L’auditeur discute de cette mise en œuvre lors du prochain audit de suivi.
Les points de contrôle
La liste des points de contrôle CyberSeal définit les exigences envers le prestataire IT et constitue la norme définie pour le label de qualité. Les instructions précises doivent favoriser l’uniformité de l’audit. Pour l’auto-déclaration, la liste des points de contrôle actuelle est mise à la disposition du prestataire IT. Elle se compose des chapitres suivants (les questions ne sont pas exhaustives):
01 Répartition des tâches entre le client et le prestataire IT
La répartition des tâches est-elle clairement définie? Quelles tâches incombent au prestataire IT et quelles tâches peuvent être effectuées en interne par la PME?
02 Gestion de l’accès à l’infrastructure du client
Qui a accès aux systèmes du client et quand? La manière dont les accès sont gérés est-elle communiquée de manière transparente au client? Dans quelle mesure les systèmes du client sont-ils protégés contre des accès externes?
03 Documentation
Une documentation générale des composants gérés est-elle établie et peut-elle être envoyée au client sur demande?
04 Données de connexion et autorisations
Des processus et des outils sont-ils établis pour enregistrer des mutations de données de connexion de manière compréhensible, les gérer et les rendre accessibles en cas d’urgence?
05 Structure du réseau
Les réseaux des différents domaines de travail des clients et du prestataire IT sont-ils séparés de manière judicieuse (p. ex. réseau de bureau, production, espace réservé aux invités)?
06 Pare-feu
Les règles du pare-feu sont-elles compréhensibles? Les règles du pare-feu sont-elles suffisamment restrictives?
07 WLAN
Les WLAN du client et du prestataire IT sont-ils protégés par des mots de passe sécurisés? Existe-t-il des accès WLAN séparés pour les collaborateurs et les invités?
08 Active Directory Design
Toutes les autorisations sont-elles gérées de manière sûre et transparente? Les autorisations administratives sont-elles limitées?
09 Durcissement des composants informatiques
Existe-t-il un processus plus sûr pour le durcissement des systèmes?
10 Système de messagerie
Existe-t-il une protection adéquate de l’infrastructure de messagerie du client et du prestataire IT contre les logiciels malveillants et les spams?
11 Gestion des correctifs
Existe-t-il un processus sécurisé pour l’installation en temps utile des correctifs sur tous les systèmes gérés?
12 Appareils mobiles
Existe-t-il des directives sur l’utilisation d’appareils mobiles, l’accès aux données de l’entreprise est-il suffisamment restreint et les données sont-elles suffisamment protégées?
13 Télétravail
Comment l’accès sécurisé aux données de l’entreprise et aux systèmes est-il garanti en télétravail?
14 Protection contre les logiciels malveillants
Tous les systèmes informatiques importants pour la sécurité sont-ils équipés d’une protection tenue à jour contre les logiciels malveillants ou, si cela n’est pas possible, sont-ils verrouillés au niveau du réseau?
15 Sauvegarde
Existe-t-il un processus sécurisé pour la création de sauvegardes? Ce processus est-il effectué régulièrement? Les sauvegardes sont-elles conservées en toute sécurité et contrôlées régulièrement?
16 Gestion des modifications / Gestion des incidents
Les modifications et les pannes des systèmes sont-elles consignées de manière intelligible?
17 Procès-verbaux
Des rapports système concernant les systèmes du client qui contiennent les enregistrements des accès du prestataire IT et des erreurs matérielles sont-ils établis et conservés de manière appropriée?
18 Surveillance
Les systèmes clients pertinents font-ils l’objet d’une surveillance de la part du prestataire IT?
19 Élimination de supports de données
Existe-t-il un processus sécurisé pour l’élimination de supports de données et est-il respecté?
20 Services de prestataires tiers
Le prestataire IT peut-il garantir la sécurité pour des services de prestataires tiers?
21 Failles chez le client
Les failles dans l’infrastructure informatique du client sont-elles communiquées de manière transparente?
22 Formation initiale et continue
Le prestataire IT propose-t-il à ses collaborateurs et à ceux de ses clients des formations régulières sur le thème de la sécurité?
23 Concept d’urgence
Existe-t-il un concept d’urgence à jour et est-il testé? Le prestataire IT propose-t-il de l’aide à ses clients pour l’élaboration d’un concept d’urgence?
24 Éléments arrivant à échéance
Les dates d’expiration des composants informatiques (licences, certificats, composants matériels, etc.) sont-elles surveillées et le client en est-il informé?
25 Sécurité physique
L’accès aux locaux du prestataire IT et aux locaux abritant les serveurs est-il protégé et surveillé efficacement? Les appareils sont-ils suffisamment protégés contre les influences extérieures (par ex: panne de courant)?
26 Gestion des risques informatiques
Les risques sont-ils identifiés, convenus avec les clients et réduits par des mesures appropriées (évitement, réduction, transfert) dans la mesure où ils ne sont pas acceptables?
Coûts du CyberSeal
Le label de qualité CyberSeal est valable 3 ans. Il se compose d’un audit complet la 1ère année, d’une valeur de CHF 3'700.-, puis d’un audit de suivi annuel au cours de la 2e et de la 3e année, d’une valeur de CHF 600.-.
Audit CyberSeal
Prestataire IT certifié
- Audit complet la première année sur le site du client
- Liste de contrôle compacte CyberSeal
- Documentation détaillée des résultats
- Liste des points faibles et des recommandations
- Audits de maintien au cours des deux premières années, y compris
Délivrance du label de qualité CyberSeal par l'Alliance Sécurité Digitale Suisse
Audit de suivi
-
Convocation à l'audit de suivi au cours des deuxième et troisième années
-
Discussion d'une heure (en ligne ou par téléphone) sur les progrès réalisés sur la base de l'auto-déclaration et des menaces actuelles
-
Mise à jour concernant les cyber-risques actuels
-
Vérification de l'auto-déclaration
Maintien du label de qualité CyberSea