• CyberSeal –
    le label de qualité

    Le CyberSeal confirme qu’un prestataire IT met en œuvre des mesures techniques et organisationnelles appropriées pour garantir à ses clients une protection adéquate contre les cyberrisques. Le CyberSeal contribue à augmenter la cyber-résilience des PME suisses.

    FR-logo-cyberseal-deutsch-startseite

À qui le label de qualité suisse CyberSeal est-il destiné?

Les prestataires IT ayant leur siège et leur base de clients en Suisse peuvent obtenir le CyberSeal s’ils assument la responsabilité totale ou partielle de la configuration et de l’exploitation des services informatiques et/ou configurent et mettent à disposition des solutions cloud (p. ex. Microsoft 365).

Valeur ajoutée pour le prestataire de services informatiques

Graphique de réduction des risques

Réduction des risques liés à l’implémentation, à l’exploitation et à la sécurité

Graphique de sensibilisation des prestataires de services informatiques

Sensibilisation à la cybercriminalité et établissement d’un langage commun

Graphique de la confiance envers les fournisseurs de services informatiques

Confiance générée par le respect des exigences minimales en matière de sécurité informatique

Graphique de la position des prestataires de services informatiques sur le marché

Meilleure position sur le marché et avantages lors de la conclusion d’assurances

Valeur ajoutée pour le client final

Graphique clients finaux Cyberattaques

Réduction des risques liés aux cyberattaques

Graphique Avantages pour le client final

Moins d’incidents, dépannage plus rapide et réduction des coûts en cas d’incident

Graphique sur le choix du prestataire de services

Un label de qualité indépendant simplifie le choix du prestataire IT

Graphique sur le focus client final

Focalisation accrue sur l’activité principale

CyberSeal - Contenus de la norme

Les prestataires IT ont une influence directe sur la cyber-résilience des PME. Il est donc impératif qu'ils puissent attestedr de compétences fondamentales dans les domaines suivants:

  • Organisation: p. ex. documentation, répartition des tâches, formation

  • Technique: p. ex. protection des données, autorisations, sauvegarde

  • Processus: p. ex. gestion des modifications et gestion des incidents, monitoring

Les points de contrôle et les processus détaillés de l’audit se basent sur le manuel d’audit CyberSeal en vigueur d’Alliance Sécurité Digitale Suisse.

Contenu de la norme CyberSeal

Le processus d’audit pour l’obtention du CyberSeal

Le processus se déroule sur un cycle de trois ans. La première année est consacrée à un audit CyberSeal complet. Les deuxième et troisième années, un audit de maintien sert à contrôler la qualité. La quatrième année, le processus est relancé par un audit complet.

(1) Intérêt

En cas d’intérêt, le prestataire IT doit s’inscrire au moyen d’un formulaire. Il reçoit la liste actuelle des points de contrôle CyberSeal. Un rendez-vous est fixé pour l’audit.

(2) Auto-déclaration

Le prestataire IT doit remplir une auto-déclaration avec tous les points de contrôle de la liste, en fonction de la situation, et l’envoyer.

(3) Audit

L’auditeur vérifie les points de contrôle lors de l’entretien et sur la console (contrôle approfondi sur place). Il n’aborde les questions signalées dans l’auto-déclaration qu’en cas de besoin de clarification.

(4) Feed-back

S’il n’y a pas de divergences majeures, le label de qualité est remis avec le rapport d’audit. 

(5) Mise en œuvre

Les mesures de correction des divergences et de traitement des remarques doivent être mises en œuvre dans un délai d’un an. Ce délai est vérifié dans le cadre de l’audit de suivi.

(6) Suivi

Un audit de suivi est réalisé par auto-déclaration au cours des deuxième et troisième années du cycle de l’audit. La liste des points de contrôle doit être remise après actualisation. L’auditeur vérifie les données et discute par téléphone des éventuelles nouveautés de la norme.

Manuel d’audit CyberSeal

Manuel d’audit CyberSeal

Les exigences d'audit CyberSeal sont revues chaque année et comparées à l'évolution des menaces. Le manuel décrit l'utilisation de la liste de contrôle CyberSeal, les termes utilisés et le déroulement de l'audit. Il explique également les exigences et la manière de gérer les écarts éventuels.

Manuel d'audit CyberSeal

Liste des points de contrôle CyberSeal

Liste de contrôle CyberSeal

La liste de contrôle CyberSeal définit les exigences auxquelles le prestataire de services informatiques doit satisfaire et constitue la norme définie pour le label de qualité. Les directives précises doivent favoriser l'uniformité de l'audit. Pour l'auto-déclaration, la liste de contrôle actuelle, divisée en 26 chapitres, est mise à la disposition du prestataire de services informatiques.

Liste de contrôle CyberSeal

Rapport d’audit CyberSeal

Rapport d’audit CyberSeal

Le prestataire de services informatiques reçoit ce rapport après l'audit. Le rapport décrit les résultats de l'audit réussi ou échoué. Le rapport met en évidence les écarts principaux et secondaires ainsi que des conseils et des recommandations pour améliorer la cybersécurité.

Gestion des divergences, remarques et recommandations

Divergence majeure: pas du CyberSeal

On parle d'une divergence majeure lorsqu'une exigence n'est pas remplie pour un point de la liste de contrôle marqué de la priorité 1.

Traitement des divergences majeures
Le prestataire de services informatiques dispose de trois mois pour remédier à la divergence majeure. A l'issue de ce délai, l'auditeur évalue la correction. Des frais supplémentaires de 600 CHF sont perçus pour cette vérification. Si la divergence majeure n'est pas suffisamment corrigée, le CyberSeal n'est pas délivré et le processus doit être recommencé.

Divergence mineure

Si, pour un point de la check-list de priorité 1, une exigence n'est que partiellement remplie, cela conduit à un écart mineur.

Traitement des écarts secondaires
L'écart secondaire doit être traité par le prestataire de services informatiques jusqu'au prochain audit de maintien. L'écart sera alors vérifié. Une amélioration clairement identifiable doit avoir été mise en œuvre. Si l'exigence n'est pas entièrement satisfaite, elle peut être à nouveau déclarée comme écart mineur pour l'audit suivant / l'audit de suivi.

Remarques et recommandations

Les remarques sont des constatations de l'auditeur qui peuvent améliorer la cybersécurité du prestataire de services informatiques et de ses clients.

Le prestataire de services informatiques décide lui-même si et comment les remarques doivent être mises en œuvre. L'auditeur discutera de la mise en œuvre des remarques dans le cadre du prochain audit de suivi.

Coûts du CyberSeal

Le label de qualité CyberSeal est valable 3 ans. La première année comprend un audit complet d'une valeur de 3700 CHF, la deuxième et la troisième année un audit annuel de maintien d'une valeur de 600 CHF chacune.

Audit CyberSeal
Prestataire IT certifié

 
  • Audit complet la première année sur le site du client
  • Liste de contrôle compacte CyberSeal
  • Documentation détaillée des résultats
  • Liste des points faibles et des recommandations
  • Audits de maintien au cours des deux premières années, y compris
 

Délivrance du label de qualité CyberSeal par l'Alliance Sécurité Digitale Suisse

CHF 4'900 prix hors TVA

Audit de suivi

  • Convocation à l'audit de suivi au cours des deuxième et troisième années

  • Discussion d'une heure (en ligne ou par téléphone) sur les progrès réalisés sur la base de l'auto-déclaration et des menaces actuelles

  • Mise à jour concernant les cyber-risques actuels

  • Vérification de l'auto-déclaration

Maintien du label de qualité CyberSeal