Redstone Consulting SA

- Experts en Cybersécurité et en Protection des données - CISO et DPO externes -

Tag Archive Suisse

ByRedstone admin

Hébergeur Suisse Oxito DOWN

L’hébergeur Suisse Oxito a de sérieux problèmes, en effet le système anti-incident s’est activé dans leur datacenter, détruisant plusieurs disques et rendant inaccessible les emails de plus de 7000 sociétés !

On ne le dira jamais assez, prévoyez des plans de continuité d’activité !

Suisse romande – Système antifeu actionné par erreur, panne informatique généralisée – 20 minutes

ByRedstone admin

La votation de dimanche : Rejet du projet LSIE

100% des cantons, plus de 64% du peuple Suisse renvoient aux autorités leur copie sur l’#E_ID (plus de 51% de participation)

ByRedstone admin

Des explications pour la votation LSIE du 07 mars

Bonjour, jai compilé quelques sources d’information, et ajouté quelques points pour que vous puissiez vous faire une opinion !

Rappel – Historique de la LSIE

·      Le 13 mai 2015, l’Office fédéral de la police ouvre une consultation informelle sur le concept pour des systèmes d’e-ID suisses reconnus par l’Etat. Cette consultation s’est achevée le 5 juin 2015.

·      Concernant les identités électroniques reconnues par l’Etat (e-ID), le Conseil fédéral mise sur des systèmes développés par le marché. L’Etat doit se concentrer sur la définition du cadre juridique et la mise à disposition des données d’identité.

·      Le 22 février 2017, le Conseil fédéral envoie en consultation une loi fédérale sur les services d’identification électronique (loi e-ID).

·      Le 15 novembre 2017, le Conseil fédéral prend acte des résultats de la procédure de consultation et charge le Département de justice et police (DJFP) d’élaborer un message.

·      Le 1er juin 2018, à l’issue d’un examen approfondi, le Conseil fédéral a publié le message relatif à la LSIE. Cette dernière a ensuite été débattue devant les Chambres fédérales.

·      Les débats parlementaires ont lieu en 2019, et le 27 septembre 2020 les 2 chambres adoptent le texte avec une nette majorité. (179 voix contre 53 au total pour les deux chambres)

·      Le projet de loi avait toutefois suscité de vifs débats concernant le recours à des entreprises privées pour l’émission de l’e-ID. C’est cet aspect qui a motivé l’organisation d’un référendum.

·      En effet, un référendum a été déposé en février 2020 avec plus de 55 000 signatures pour dénoncer l’absurdité de faire appel aux grands groupes privés suisses pour fournir nos prochains «passeports numériques».

·      Le 12 février 2020, la Chancellerie fédérale confirme l’aboutissement du référendum.

·      En mars 2021, le peuple suisse sera donc amené à se prononcer sur le projet de loi fédérale concernant les services d’identification électronique (LSIE).

Qu’est-ce que l’identité électronique ?

Dans ce contexte où nous utilisons de plus en plus de services sur internet, que ce soit pour faire des achats ou pour obtenir des services publics ou privés, il est nécessaire de s’identifier. Ce processus se fait généralement par l’intermédiaire d’un nom d’utilisateur et d’un mot de passe. Véritable problème de sécurité, responsable de nombreuses failles, nous en possédons tous d’innombrables, identiques ou différents de quelques caractères, rarement complexes, dispersés sur nos ordinateurs, tablettes, téléphones, aux quatre coins du web et de notre mémoire. Si il sont majoritairement peu sûrs, cela implique qu’ils sont facilement falsifiables, susceptibles d’être volés, revendus ou encore usurpés par des personnes malveillantes (hackers).

Certaines fois, ces identifications passent encore par des démarches artisanales, comme la vérification d’une adresse email ou d’une photo de documents d’identité. Comme aucune loi suisse n’encadre jusqu’ici ces procédures, le Conseil fédéral a décidé de clarifier la chose et, «soucieux que seul l’Etat puisse vérifier et confirmer officiellement l’existence d’une personne et les éléments de son identité», il a enjoint au parlement de légiférer sur une sorte de nouveau «passeport numérique» individuel comprenant les données personnelles de chacun: nom, prénom, lieu et date de naissance, état civil, sexe, nationalité(s) et une photographie.

Le projet suisse prévoit quoi ?

Le projet de loi prévoit donc que des fournisseurs du secteur privé (des « Identity Provider » (IdP)) fournissent les identifications électroniques et que l’Etat surveille le processus ; toutefois, si aucun fournisseur ne se présente, l’Etat peut intervenir et délivrer lui-même les e-ID. Ce scénario paraît toutefois improbable, puisque SwissSign (consortium formé de sociétés proches de l’Etat, d’établissements financiers, de compagnies d’assurances et de caisses maladie dont les CFF, La Poste, Swisscom, Credit Suisse, UBS, la Bâloise, la Vaudoise et Helvetia) s’est d’ores et déjà annoncé prêt à remplir ce mandat.

La loi prévoit par ailleurs la possibilité d’avoir plusieurs fournisseurs différents, avec l’obligation de se reconnaître les uns les autres et de garantir une interopérabilité, dont les prix et prestations pourraient potentiellement varier.

Enfin, pour s’assurer que le secteur privé remplisse sa mission correctement, la loi prévoit la création de deux nouveaux organismes :

·      Le service d’identité, rattaché à l’Office fédéral de la police (Fedpol), qui sera chargé de contrôler l’exactitude des données d’identification personnelle avant l’établissement de l’e-ID.

·      La Commission fédérale indépendante des e-ID (EIDCOM), qui devra certifier les fournisseurs d’identités numériques (IdP) dès lors que le résultat de l’examen du dossier est positif et surveiller la bonne application de la loi.

Concrètement, comment fonctionnera l’e-ID?

Tout citoyen qui souhaitera obtenir une identité numérique – elle n’est pas obligatoire – devra contacter le fournisseur privé (IdP) chargé de leur émission.

La demande reçue, ce dernier la transfère aux autorités, qui demandent confirmation auprès du citoyen avant de faire parvenir ses données au fournisseur, qui peut alors établir le précieux sésame.

Une fois la clé d’identification en possession de l’usager, l’Etat sort de l’équation. Dès cet instant, à chaque fois qu’un particulier utilise son passeport web pour faire un achat, commander un document officiel ou encore signer un contrat, il revient uniquement à l’entreprise privée chargée de l’émission du justificatif de confirmer son identité. La loi prévoit que les nouvelles e-ID puissent être délivrées selon trois degrés de garantie différents : «faible», «substantiel» et «élevé». Les différents degrés de prestations privées ou publiques auxquelles ces derniers donneront accès, ainsi que leur prix, ne sont pour l’instant pas connus. A noter que les données générées par l’utilisation de l’e-ID devront être détruites après six mois.

Qui est en faveur de la loi et pourquoi ?

Le Conseil fédéral et les partis bourgeois supportent la loi, cependant il faut noter que plusieurs membres de l’UDC, du PDC et du PLR s’y opposent.

Le Conseil fédéral rétorque aux référendaires qu’avec cette loi, la Confédération conserve sa fonction souveraine en vérifiant et confirmant l’identité d’une personne à l’aide des registres dont elle dispose. Dans son communiqué, Digitalswitzerland affirme qu’une identité électronique approuvée par l’Etat est à la base de nombreuses innovations numériques. Et de souligner qu’un vote négatif creuserait encore le retard de la Suisse dans ce domaine.

La Conférence des gouvernements cantonaux (CdC) entre davantage en matière sur la question de la collaboration public-privé, en citant les exemples des pays ou cela marche déjà.

Qui est contre la loi et pourquoi ?

Pour rappel, les 50 000 signatures nécessaires au référendum ont été récoltées par un comité citoyen formé de l’association Public Beta, qui gère notamment la plateforme WeCollect, portail soutenant l’aboutissement d’initiatives et de référendums en ligne, et de l’association Société numérique, qui vise la protection des internautes. Huit cantons, Vaud, Genève, Neuchâtel, Schwytz, Zoug, Bâle-Ville, Obwald et Soleure sont également opposés au projet de loi. Le référendum a aussi les faveurs du Parti vert’libéral, des Verts, du Parti pirate et du PS.

Les référendaires ne sont pas contre l’introduction d’une e-ID reconnue par l’Etat mais s’opposent à l’implication d’entreprises privées – « tout en lui permettant d’en tirer du profit». Ils dénoncent un projet «à contre-courant de la prise de conscience mondiale de la toute-puissance des entreprises sur le web», qui «menace la souveraineté de l’Etat» et pourrait introduire de «graves discriminations entre citoyens» du fait des divers degrés de protection prévus – vraisemblablement disponibles à des prix différents. L’e-ID doit absolument être la même pour tout le monde et son émission doit revenir à l’Etat et à l’Etat seul, soulignent les référendaires. D’autant, disent-ils, qu’elle pourrait un jour servir à voter en ligne.

Sources :

Page dédiée sur le site de l’OFJ : Loi fédérale sur les services d’identification électronique (admin.ch)

Votations de 2019 : 18.049 | Loi sur les services d‘identification électronique | Objet | Le Parlement suisse (parlament.ch)

Article du temps : L’identité numérique, ou la question de la souveraineté étatique en ligne – Le Temps

Association Suisse des banquiers : Identification électronique (e-ID) — Association suisse des banquiers (swissbanking.org)

ByRedstone admin

Formation “SOCLE DPO”

C’est dans cette période de transition numérique massive et forcée avec l’actualité COVID19, que les bases de la protection des données sera indispensable.

Si vous voulez instorer ou restaurer une confiance numérique, cela passera par la mise en place de toutes les mesures de protection des données et de cybersécurité.

Cette formation vous donnera les premières briques pour y arriver !