Login
  • CyberSeal –
    le label de qualité

    Le CyberSeal confirme qu’un prestataire IT met en œuvre des mesures techniques et organisationnelles appropriées pour garantir à ses clients une protection adéquate contre les cyberrisques. Le CyberSeal contribue à augmenter la cyber-résilience des PME suisses.

    CyberSeal – le label de qualité

À qui le label de qualité suisse CyberSeal est-il destiné?

Les prestataires IT ayant leur siège et leur base de clients en Suisse peuvent obtenir le CyberSeal s’ils assument la responsabilité totale ou partielle de la configuration et de l’exploitation des services informatiques et/ou configurent et mettent à disposition des solutions cloud (p. ex. Microsoft 365).

Demander un audit

CyberSeal


Valeur ajoutée pour le prestataire de services informatiques

Graphique de réduction des risques

Réduction des risques liés à l’implémentation, à l’exploitation et à la sécurité

Graphique de sensibilisation des prestataires de services informatiques

Sensibilisation à la cybercriminalité et établissement d’un langage commun

Graphique de la confiance envers les fournisseurs de services informatiques

Confiance générée par le respect des exigences minimales en matière de sécurité informatique

Graphique de la position des prestataires de services informatiques sur le marché

Meilleure position sur le marché et avantages lors de la conclusion d’assurances

Valeur ajoutée pour le client final

Graphique clients finaux Cyberattaques

Réduction des risques liés aux cyberattaques

Graphique Avantages pour le client final

Moins d’incidents, dépannage plus rapide et réduction des coûts en cas d’incident

Graphique sur le choix du prestataire de services

Un label de qualité indépendant simplifie le choix du prestataire IT

Graphique sur le focus client final

Focalisation accrue sur l’activité principale

orientierungsworkshop-fr-2

Le processus d’audit pour l’obtention du CyberSeal

Le processus d’audit se déroule sur un cycle de trois ans. Un audit complet pour l’obtention du CyberSeal a lieu la première année. Un audit de suivi est effectué en guise de contrôle de qualité respectivement au cours de la deuxième et de la troisième année. Au cours de la quatrième année, le processus reprend à zéro dans le cadre d’un audit complet.

(1) Intérêt

En cas d’intérêt, le prestataire IT doit s’inscrire au moyen d’un formulaire. Il reçoit la liste actuelle des points de contrôle CyberSeal. Un rendez-vous est fixé pour l’audit.

(2) Auto-déclaration

Le prestataire IT doit remplir une auto-déclaration avec tous les points de contrôle de la liste, en fonction de la situation, et l’envoyer.

(3) Audit

L’auditeur vérifie les points de contrôle lors de l’entretien et sur la console (contrôle approfondi sur place). Il n’aborde les questions signalées dans l’auto-déclaration qu’en cas de besoin de clarification.

(4) Feed-back

S’il n’y a pas de divergences majeures, le label de qualité est remis avec le rapport d’audit. 

(5) Mise en œuvre

Les mesures de correction des divergences et de traitement des remarques doivent être mises en œuvre dans un délai d’un an. Ce délai est vérifié dans le cadre de l’audit de suivi.

(6) Suivi

Un audit de suivi est réalisé par auto-déclaration au cours des deuxième et troisième années du cycle de l’audit. La liste des points de contrôle doit être remise après actualisation. L’auditeur vérifie les données et discute par téléphone des éventuelles nouveautés de la norme.

Demander un audit

CyberSeal - Contenus de la norme

Les prestataires IT ont une influence directe sur la cyber-résilience des PME. Il est donc impératif qu'ils puissent attestedr de compétences fondamentales dans les domaines suivants:

  • Organisation: p. ex. documentation, répartition des tâches, formation

  • Technique: p. ex. protection des données, autorisations, sauvegarde

  • Processus: p. ex. gestion des modifications et gestion des incidents, monitoring

Les points de contrôle et les processus détaillés de l’audit se basent sur le manuel d’audit CyberSeal en vigueur d’Alliance Sécurité Digitale Suisse.

Les points de contrôle
Contenu de la norme CyberSeal

Les documents importants en bref

Les exigences en matière d’audit CyberSeal sont vérifiées chaque année et comparées aux nouvelles menaces. Les documents suivants font partie intégrante de la norme CyberSeal et sont remis lors de l’inscription à l’audit:

Rapport d’audit CyberSeal

Rapport d’audit CyberSeal

Le rapport décrit les résultats de l’audit réussi ou échoué. Le rapport indique les divergences majeures et mineures par rapport à la norme ainsi que des remarques et recommandations pour améliorer la cybersécurité.

Manuel d’audit CyberSeal

Manuel d’audit CyberSeal
Le manuel décrit l’utilisation de la liste des points de contrôle CyberSeal, les termes utilisés et le déroulement de l’audit. Les exigences et la gestion des éventuelles divergences y sont également expliquées.

Manuel d'audit CyberSeal

Liste des points de contrôle CyberSeal

Liste de contrôle CyberSeal

Il s’agit de la check-list complète contenant les questions concrètes pour la réalisation de l’audit CyberSeal. Après l’audit, le rapport d’audit est établi avec la liste des points de contrôle remplie.                                                                          

Liste de contrôle CyberSeal

Gestion des divergences, remarques et recommandations

Divergence majeure empêchant l’attribution du CyberSeal

Si une exigence figurant dans le manuel d’audit n’est pas respectée pour un point de priorité 1 de la liste des points de contrôle, il en résulte une divergence majeure.

Gestion des divergences majeures
Le prestataire IT dispose de 3 mois pour remédier à la divergence majeure. Une fois ce délai écoulé, l’auditeur évalue la correction. Cette vérification entraîne des frais supplémentaires de CHF 500.-. Si la divergence majeure n’est pas suffisamment corrigée, aucun CyberSeal n’est délivré et le processus doit être relancé.

Divergence mineure

Si une exigence n’est que partiellement remplie pour un point de priorité 1 de la liste des points de contrôle, il en résulte une divergence mineure.

Gestion des divergences mineures
La divergence mineure doit être traitée par le prestataire IT avant le prochain audit de suivi. La divergence est ensuite contrôlée. Une amélioration clairement identifiable doit avoir été mise en œuvre. Une réalisation incomplète de l’exigence peut conduire à une nouvelle déclaration de divergence mineure pour l’audit ou l’audit de suivi suivant.

Remarques et recommandations

Les remarques sont des constatations de l’auditeur qui peuvent contribuer à l’amélioration de la cybersécurité du prestataire IT et de ses clients.

Le prestataire IT décide lui-même si les remarques doivent être mises en application et de quelle manière. L’auditeur discute de cette mise en œuvre lors du prochain audit de suivi.

Cours de préparation au CyberSeal

Les points de contrôle

La liste des points de contrôle CyberSeal définit les exigences envers le prestataire IT et constitue la norme définie pour le label de qualité. Les instructions précises doivent favoriser l’uniformité de l’audit. Pour l’auto-déclaration, la liste des points de contrôle actuelle est mise à la disposition du prestataire IT. Elle se compose des chapitres suivants (les questions ne sont pas exhaustives):

01 Répartition des tâches entre le client et le prestataire IT

La répartition des tâches est-elle clairement définie? Quelles tâches incombent au prestataire IT et quelles tâches peuvent être effectuées en interne par la PME?

02 Gestion de l’accès à l’infrastructure du client

Qui a accès aux systèmes du client et quand? La manière dont les accès sont gérés est-elle communiquée de manière transparente au client? Dans quelle mesure les systèmes du client sont-ils protégés contre des accès externes?

03 Documentation

Une documentation générale des composants gérés est-elle établie et peut-elle être envoyée au client sur demande?

04 Données de connexion et autorisations

Des processus et des outils sont-ils établis pour enregistrer des mutations de données de connexion de manière compréhensible, les gérer et les rendre accessibles en cas d’urgence?

05 Structure du réseau

Les réseaux des différents domaines de travail des clients et du prestataire IT sont-ils séparés de manière judicieuse (p. ex. réseau de bureau, production, espace réservé aux invités)?

06 Pare-feu

Les règles du pare-feu sont-elles compréhensibles? Les règles du pare-feu sont-elles suffisamment restrictives?

07 WLAN

Les WLAN du client et du prestataire IT sont-ils protégés par des mots de passe sécurisés? Existe-t-il des accès WLAN séparés pour les collaborateurs et les invités?

08 Active Directory Design

Toutes les autorisations sont-elles gérées de manière sûre et transparente? Les autorisations administratives sont-elles limitées?

09 Durcissement des composants informatiques

Existe-t-il un processus plus sûr pour le durcissement des systèmes?

10 Système de messagerie

Existe-t-il une protection adéquate de l’infrastructure de messagerie du client et du prestataire IT contre les logiciels malveillants et les spams?

11 Gestion des correctifs

Existe-t-il un processus sécurisé pour l’installation en temps utile des correctifs sur tous les systèmes gérés?

12 Appareils mobiles

Existe-t-il des directives sur l’utilisation d’appareils mobiles, l’accès aux données de l’entreprise est-il suffisamment restreint et les données sont-elles suffisamment protégées?

13 Télétravail

Comment l’accès sécurisé aux données de l’entreprise et aux systèmes est-il garanti en télétravail?

14 Protection contre les logiciels malveillants

Tous les systèmes informatiques importants pour la sécurité sont-ils équipés d’une protection tenue à jour contre les logiciels malveillants ou, si cela n’est pas possible, sont-ils verrouillés au niveau du réseau?

15 Sauvegarde

Existe-t-il un processus sécurisé pour la création de sauvegardes? Ce processus est-il effectué régulièrement? Les sauvegardes sont-elles conservées en toute sécurité et contrôlées régulièrement?

16 Gestion des modifications / Gestion des incidents

Les modifications et les pannes des systèmes sont-elles consignées de manière intelligible?

17 Procès-verbaux

Des rapports système concernant les systèmes du client qui contiennent les enregistrements des accès du prestataire IT et des erreurs matérielles sont-ils établis et conservés de manière appropriée?

18 Surveillance

Les systèmes clients pertinents font-ils l’objet d’une surveillance de la part du prestataire IT?

19 Élimination de supports de données

Existe-t-il un processus sécurisé pour l’élimination de supports de données et est-il respecté?

20 Services de prestataires tiers

Le prestataire IT peut-il garantir la sécurité pour des services de prestataires tiers?

21 Failles chez le client

Les failles dans l’infrastructure informatique du client sont-elles communiquées de manière transparente?

22 Formation initiale et continue

Le prestataire IT propose-t-il à ses collaborateurs et à ceux de ses clients des formations régulières sur le thème de la sécurité?

23 Concept d’urgence

Existe-t-il un concept d’urgence à jour et est-il testé? Le prestataire IT propose-t-il de l’aide à ses clients pour l’élaboration d’un concept d’urgence?

24 Éléments arrivant à échéance

Les dates d’expiration des composants informatiques (licences, certificats, composants matériels, etc.) sont-elles surveillées et le client en est-il informé?

25 Sécurité physique

L’accès aux locaux du prestataire IT et aux locaux abritant les serveurs est-il protégé et surveillé efficacement? Les appareils sont-ils suffisamment protégés contre les influences extérieures (par ex: panne de courant)?

26 Gestion des risques informatiques

Les risques sont-ils identifiés, convenus avec les clients et réduits par des mesures appropriées (évitement, réduction, transfert) dans la mesure où ils ne sont pas acceptables?

Dispositions relatives à l’audit et conditions d’utilisation

Coûts du CyberSeal

Le label de qualité CyberSeal est valable 3 ans. Il se compose d’un audit complet la 1ère année, d’une valeur de CHF 3000.-, puis d’un audit de suivi annuel au cours de la 2e et de la 3e année, d’une valeur de CHF 500.-.

Audit CyberSeal
Prestataire IT certifié

 
  • Audit complet la première année sur le site du client
  • Liste de contrôle compacte CyberSeal
  • Documentation détaillée des résultats
  • Liste des points faibles et des recommandations
  • Audits de maintien au cours des deux premières années, y compris
 

Délivrance du label de qualité CyberSeal par l'Alliance Sécurité Digitale Suisse

CHF 4'000 prix hors TVA
Demander un audit

Audit de suivi

  • Convocation à l'audit de suivi au cours des deuxième et troisième années

  • Discussion d'une heure (en ligne ou par téléphone) sur les progrès réalisés sur la base de l'auto-déclaration et des menaces actuelles

  • Mise à jour concernant les cyber-risques actuels

  • Vérification de l'auto-déclaration

Maintien du label de qualité CyberSea