Pour pouvoir fournir nos services avec succès et surtout de manière durable, la confidentialité, la disponibilité, l’intégrité ainsi que la traçabilité de nos informations revêtent une importance décisive.
À cet effet, nous avons mis en place un système de gestion de la sécurité de l’information (SGSI). Celui-ci est conforme à la directive de l’OFAS «Directives sur les exigences en matière de sécurité de l’information et de protection des données des systèmes d’information des organes d’exécution du 1er pilier / des allocations familiales (D-SIPD)». À partir de 2025, le SGSI fera l’objet d’un audit externe et sera continuellement amélioré.
Le présent document décrit les principes essentiels visant à assurer une protection adéquate de l’ensemble des valeurs informationnelles contre toute forme de menace, qu’elle soit interne ou externe, intentionnelle ou accidentelle. Ces principes visent à garantir la protection des informations dans la mesure requise par l’activité.
L’objectif du SGSI est de protéger nos valeurs informationnelles (données, documents, infrastructure SI) en ce qui concerne les quatre objectifs de sécurité, contre d’éventuelles menaces (p. ex. cyberattaque ou publication accidentelle de documents confidentiels).
Le SGSI s’applique à l’ensemble de la caisse de compensation.
Les objectifs de sécurité énumérés ici constituent les exigences de la direction de la caisse concernant la confidentialité, la disponibilité et l’intégrité des données. Les niveaux définis ici, ou «groupes de protection», sont utilisés notamment pour classifier la liste des valeurs.
À la différence de ceux-ci, l’analyse des besoins de protection (AKIS) sert à déterminer s’il existe un besoin de protection accru ou non.
Objectif de protection (conformément à l’art. 2 de l’OPDo): accès réservé à un cercle de personnes dûment autorisées.
Compréhension CC: toutes les données personnelles doivent être protégées, en particulier les données personnelles sensibles conformément à l’article 5c de la LPD. Il s’agit notamment de données relatives à l’environnement de nos clientes et clients ainsi que de données relatives à notre personnel et nos partenaires. La notion de groupe de protection englobe également d’autres données à protéger, comme les secrets commerciaux ou même les données de projet.
| Niveau | Description | Exemples |
| Public | – Toute information non interne ou confidentielle | – Présence Internet – Posts sur les médias sociaux – Actualités et informations de presse |
| Interne | – Toutes les données personnelles non sensibles (conformément à l’art. 5c LPD) – Toutes les données internes, non confidentielles, relatives aux affaires et aux projets | – Données des collaborateurs et collaboratrices – Toutes les autres données personnelles, par exemple les collaborateurs et collaboratrices des clients et des partenaires commerciaux |
| Confidentiel | – Toutes les données personnelles particulièrement sensibles (conformément à l’art. 5c LPD) – Toutes les informations internes dont la publication pourrait nuire à la compétitivité ou à la réputation de la Caisse. | – Données/documents relatifs aux indemnités journalières ou aux rentes AI – Dossier de ses propres collaborateurs et collaboratrices – Comptabilité financière – Documents de direction – Plans de réseau de l’informatique |
Objectif de protection (conformément à l’art. 2 de l’OPDo): les informations doivent être disponibles suffisamment rapidement pour des usages autorisés.
Compréhension CC: nous voulons être disponibles pour nos clientes et clients dans une mesure raisonnable. Cela vaut pour notre disponibilité personnelle / téléphonique et bien sûr aussi pour la plateforme client connect. Par des mesures appropriées (p. ex. sauvegardes, redondance des systèmes critiques), nous réduisons la probabilité de pannes de système. Parallèlement, nous nous préparons à des scénarios catastrophes.
| Niveau | Durée max. d’interruption | Description | Exemples |
| Normal | < 1 jour | Toutes les autres données | |
Élevé | > 1 jour | Toutes les données qui sont nécessaires dans connect pour les membres et les futurs assurés | Liste de tous les collaborateurs, compte courant |
Objectif de protection (conformément à l’art. 2 de l’OPDo): les données ne doivent pas être modifiées de manière non autorisée ou involontaire (intégrité). Les modifications des données doivent être traçables (traçabilité).
Compréhension CC: nous regroupons dans cet objectif de protection principalement les exigences de traçabilité (ou de journalisation). Notre système central AKIS comprend des mesures de journalisation étendues. Des mesures spéciales pour cet objectif de protection ne sont donc nécessaires qu’en dehors d’AKIS. Voir également art. 4 OPDo.
Remarque: dans notre SGSI, l’objectif de protection de la traçabilité est systématiquement intégré dans l’objectif d’intégrité.
| Niveau | Description | Exemples |
| Normal | Toutes les autres données | |
| Élevé | Toutes les données relatives aux droits aux prestations | – Données relatives aux droits aux rentes, aux indemnités journalières de l’AI, aux allocations familiales, etc. – Compte individuel – Compte courant |
Le tableau ci-dessous présente les principaux rôles responsables de la mise en place et de la maintenance du SGSI. Il définit également la part (%) qu’un poste à plein temps devrait consacrer au fonctionnement récurrent du SGSI.
| Rôle | Tâches principales (chiffres de l’annexe A de la norme 2022)RSI (responsable de la sécurité de l’information) |
| RSI (responsable de la sécurité de l’information) | – Responsabilité globale de du SGSI |
| – Conseille la CC sur les questions de protection des données | |
| DPD (délégué à la protection des données) | – Communication dans les scénarios de catastrophe |
| – Responsable et point de contact dans la gestion des incidents | |
| Directeur de la communication | – Sécurité physique |
Le fonctionnement du SGSI suit le principe PDCA, qui constitue le fondement de l’amélioration continue.
Des contrôles et des mesures ainsi que des formations de sensibilisation pour le personnel garantissent que les défauts sont détectés à temps. Un audit interne permet en outre de s’assurer que les lacunes ne soient pas découvertes uniquement lors de la révision principale ordinaire.
| Contenu | Collaborateurs | Clients | Autorités | Presse |
| Informations générales sur la SIPD | RSI | Gérant CC [1] | Gérant CC [1] | — |
| Information sur les incidents de sécurité | RSI | Gérant CC [1] | Gérant CC [1] | Responsable de la CC en accord avec l’OFAS |
Un élément important pour une sécurité de l’information élevée est de renforcer la conscience du personnel. Dans cette optique, nous proposons à nos collaboratrices et collaborateurs des modules d’apprentissage en ligne.
| Groupe de personnes | Quand | Mesure | Responsable |
| Collaborateurs (tous) | Nouvelle entrée dans l’entreprise | Au cours des trois premiers jours de travail, les règles d’utilisation de l’informatique sont expliquées au nouveau collaborateur / à la nouvelle collaboratrice. | Responsable RH |
| Collaborateurs (tous) | Nouvelle entrée dans l’entreprise | Lors de l’engagement, les modules d’e-learning infosec actuels sont mis en ligne et doivent être terminés dans un délai d’un mois. | Responsable IT |
| Collaborateurs (tous) | Mise en ligne de nouveaux modules d’e-learning par l’IGAKIS | Les nouveaux modules d’e-learning mis en ligne sont évalués par le service informatique, qui estime également le temps nécessaire. | RSI |
| Collaborateurs (tous) | Périodiquement | Séances d’information internes | RSI |
Collaborateurs (tous) | Périodiquement | Formations de sensibilisation (y compris tests) | RSI |
Les incidents de sécurité se produiront même si nous avons pris des mesures appropriées. Les collaborateurs et collaboratrices sont tenus de signaler tout type d’observation, d’événement ou d’incident.
Points importants:
| Type de fournisseur | Réglementation |
| Fournisseurs de l’IGAKIS tels que M&S | Un contrôle de sécurité de ces fournisseurs est effectué par l’IGAKIS. |
| Autres fournisseurs | Les fournisseurs figurant sur la «liste des fournisseurs» doivent être vérifiés chaque année sur les points suivants: – Existence d’une réglementation contractuelle – Actualité de la relation commerciale – Personne de contact avec coordonnées – Existence d’un accord de confidentialité La liste des fournisseurs fait partie du «manuel d’urgence». |