Passer au contenu
page d'accueil ... News HIJP > Aperçu

News

SI-EP : augmentation des exigences en matière de sécurité des données

SI-EP : augmentation des exigences en matière de sécurité des données

Ralph Wildhaber
Exécution des sanctions pénales

Jusqu’à présent, les articles consacrés au projet se sont focalisés sur les aspects fonctionnels des futurs services. Avec le passage à la phase pilote, le projet fait aujourd’hui face à des exigences accrues en matière d’exploitation et de sécurité des données. La présente contribution se penche sur les démarches nécessaires à la mise à disposition et à l’exploitation de ces services.

Après la définition d’un cadre contextuel pour le projet Système d’information dans l’exécution des peines (SI-EP), les premières esquisses de l’architecture de l’environnement d’exploitation ont été réalisées. Des experts ont été chargés d’examiner, d’évaluer et d’adapter marginalement ces idées – un travail effectué à un stade très précoce du projet, bien avant l’écriture de la première ligne de code.

Avec le lancement des premiers travaux, l’équipe de projet a mis en place l’environnement de développement nécessaire. Les fonctions implémentées ont rapidement pu être présentées et testées. Par la suite, les services mis sur pied ont également été soumis à des tests concluants. Enfin, la connexion avec les systèmes périphériques a parfaitement fonctionné.

Les jeux de données réels donnent lieu à de nouvelles exigences
Jusqu’ici, pas de mauvaise surprise. Tout porte à croire qu’il ne reste plus qu’à lancer le projet pilote, mais ce n’est pas tout à fait le cas ! Avec le passage à la phase pilote, les exigences en matière de sécurité des données augmentent inévitablement, car la base de données n’est plus constituée d’informations créées artificiellement, mais de jeux de données réels. En l’occurrence, il s’agit parfois de données personnelles et il convient donc de répondre d’abord à la question suivante : « Quelles données ou composants doivent être protégés pour satisfaire aux exigences en matière de sécurité de l’information et de protection des données, et comment ces éléments doivent-ils être protégés ? »

Deux outils : l’analyse des besoins de protection et le concept SIPD
Deux outils principaux permettent d’aborder cette problématique de manière ciblée. Il s’agit en premier lieu de l’analyse des besoins de protection (Schuban), une approche permettant d’évaluer la classification du système. Dans le cadre du projet SI-EP, les composants clés ont été définis comme objets à protéger devant être analysés. Concrètement, ces composants comprennent la recherche de personnes, la recherche de places et les statistiques (sur le plan fonctionnel), ainsi que l’accès aux services et aux données (sur le plan non fonctionnel).

Le concept SIPD (sûreté de l’information et protection des données) constitue le second outil. Ce système permet de dresser la liste des composants examinés dans le cadre de l’analyse Schuban auxquels on a attribué un besoin de protection accru (dans le cas présent, la fonction de recherche de personne et l’accès aux services), de les soumettre à une analyse des risques et de les compléter par des mesures de protection appropriées. L’application du concept SIPD a notamment permis au système d’authentification pour l’utilisation des services de devenir un module autonome au sein de l’environnement d’exploitation.

Expertise en matière de sécurité de l’information et de protection des données
La gestion des questions de sécurité et de protection des données, ainsi que leur influence sur la conception de l’environnement d’exploitation, représentent une problématique complexe et chronophage. C’est également ce qui ressort du projet en cours de finalisation en charge de ces aspects. L’équipe de projet bénéficie du soutien d’experts en la matière. En termes de méthodes et de contenu, elle peut d’ailleurs compter sur le soutien du Chief Information Security Officer (CISO) de HIJP pour l’élaboration des documents. Grâce à l’expertise de Bedag AG, exploitant de la solution, les concepts peuvent être mis en œuvre dans un environnement d’exploitation sûr et conforme aux exigences s’agissant de protection des données.

Conclusion
Au-delà de la mise en œuvre d’exigences fonctionnelles, il est primordial de se pencher suffisamment tôt sur les questions d’exploitation. Cette approche assure une transition fluide entre la phase de développement et l’exploitation du projet pilote, ainsi qu’une gestion optimale des échéances.

Ralph Wildhaber

Ralph Wildhaber, directeur de Softfakt GmbH et chef de projet mandaté SI-EP, ralph.wildhaber@softfakt.ch  

Lire plus de posts par Ralph Wildhaber

Retour à la page d'accueil du blog
SI-EP : augmentation des exigences en matière de sécurité des données

SI-EP : augmentation des exigences en matière de sécurité des données

Ralph Wildhaber
Exécution des sanctions pénales

Jusqu’à présent, les articles consacrés au projet se sont focalisés sur les aspects fonctionnels des futurs services. Avec le passage à la phase pilote, le projet fait aujourd’hui face à des exigences accrues en matière d’exploitation et de sécurité des données. La présente contribution se penche sur les démarches nécessaires à la mise à disposition et à l’exploitation de ces services.

Après la définition d’un cadre contextuel pour le projet Système d’information dans l’exécution des peines (SI-EP), les premières esquisses de l’architecture de l’environnement d’exploitation ont été réalisées. Des experts ont été chargés d’examiner, d’évaluer et d’adapter marginalement ces idées – un travail effectué à un stade très précoce du projet, bien avant l’écriture de la première ligne de code.

Avec le lancement des premiers travaux, l’équipe de projet a mis en place l’environnement de développement nécessaire. Les fonctions implémentées ont rapidement pu être présentées et testées. Par la suite, les services mis sur pied ont également été soumis à des tests concluants. Enfin, la connexion avec les systèmes périphériques a parfaitement fonctionné.

Les jeux de données réels donnent lieu à de nouvelles exigences
Jusqu’ici, pas de mauvaise surprise. Tout porte à croire qu’il ne reste plus qu’à lancer le projet pilote, mais ce n’est pas tout à fait le cas ! Avec le passage à la phase pilote, les exigences en matière de sécurité des données augmentent inévitablement, car la base de données n’est plus constituée d’informations créées artificiellement, mais de jeux de données réels. En l’occurrence, il s’agit parfois de données personnelles et il convient donc de répondre d’abord à la question suivante : « Quelles données ou composants doivent être protégés pour satisfaire aux exigences en matière de sécurité de l’information et de protection des données, et comment ces éléments doivent-ils être protégés ? »

Deux outils : l’analyse des besoins de protection et le concept SIPD
Deux outils principaux permettent d’aborder cette problématique de manière ciblée. Il s’agit en premier lieu de l’analyse des besoins de protection (Schuban), une approche permettant d’évaluer la classification du système. Dans le cadre du projet SI-EP, les composants clés ont été définis comme objets à protéger devant être analysés. Concrètement, ces composants comprennent la recherche de personnes, la recherche de places et les statistiques (sur le plan fonctionnel), ainsi que l’accès aux services et aux données (sur le plan non fonctionnel).

Le concept SIPD (sûreté de l’information et protection des données) constitue le second outil. Ce système permet de dresser la liste des composants examinés dans le cadre de l’analyse Schuban auxquels on a attribué un besoin de protection accru (dans le cas présent, la fonction de recherche de personne et l’accès aux services), de les soumettre à une analyse des risques et de les compléter par des mesures de protection appropriées. L’application du concept SIPD a notamment permis au système d’authentification pour l’utilisation des services de devenir un module autonome au sein de l’environnement d’exploitation.

Expertise en matière de sécurité de l’information et de protection des données
La gestion des questions de sécurité et de protection des données, ainsi que leur influence sur la conception de l’environnement d’exploitation, représentent une problématique complexe et chronophage. C’est également ce qui ressort du projet en cours de finalisation en charge de ces aspects. L’équipe de projet bénéficie du soutien d’experts en la matière. En termes de méthodes et de contenu, elle peut d’ailleurs compter sur le soutien du Chief Information Security Officer (CISO) de HIJP pour l’élaboration des documents. Grâce à l’expertise de Bedag AG, exploitant de la solution, les concepts peuvent être mis en œuvre dans un environnement d’exploitation sûr et conforme aux exigences s’agissant de protection des données.

Conclusion
Au-delà de la mise en œuvre d’exigences fonctionnelles, il est primordial de se pencher suffisamment tôt sur les questions d’exploitation. Cette approche assure une transition fluide entre la phase de développement et l’exploitation du projet pilote, ainsi qu’une gestion optimale des échéances.

Ralph Wildhaber

Ralph Wildhaber, directeur de Softfakt GmbH et chef de projet mandaté SI-EP, ralph.wildhaber@softfakt.ch  

Lire plus de posts par Ralph Wildhaber

Retour à la page d'accueil du blog

Newsletter

Restez informé–e sur HIJP

s’abonner