Division du travail en informatique : un facteur de risques

Il est de plus en plus rare que les services cantonaux s’occupent seuls de leurs applications informatiques et qu’ils en aient la maîtrise exclusive. Ces applications sont de plus en plus mises en exploitation grâce à une division du travail : la fourniture des prestations informatiques de base est confiée à un prestataire de services externe, soit directement, soit via l’Office cantonal d’informatique et d’organisation. Le prestataire de services les met sur ses serveurs. Les agents y ont quant à eux accès via le réseau cantonal.

Le Bureau cantonal de la surveillance de la protection des données a constaté l’an dernier qu’en raison de cette division du travail, la responsabilité pouvait littéralement « glisser des mains » des services cantonaux. Ceux-ci n’étaient plus en mesure de garantir et de prouver que toutes les mesures de sécurité nécessaires à l’utilisation de leurs applications informatiques étaient encore assurées. Les prestataires de services informatiques ne savaient plus exactement ce que leur avaient commandé les services cantonaux et les services cantonaux ne savaient plus exactement ce que leur fournissaient leurs prestataires de services informatiques.

Comme les années précédentes, le bureau a contrôlé des projets informatiques et des systèmes informatiques déjà en place. La plupart des projets informatiques qui lui ont été soumis pour contrôle préalable relevaient du secteur de la santé, dont le gros était constitué des systèmes d’informations cliniques. Le bureau a contrôlé la protection de base de l’infrastructure informatique de la Direction de l’instruction publique et le système d’information clinique du Centre hospitalier de Bienne. Il a constaté que les responsables informatiques s’occupaient correctement de ces deux systèmes. Ils ont engagé les travaux de réalisation des améliorations possibles qu’avait signalées le bureau.

Le Bureau de surveillance a une nouvelle fois donné son avis aux services administratifs sur de nombreux points, principalement en matière d’utilisation des nouvelles technologies. Il s’est aussi bien exprimé sur les conditions générales d’utilisation d’un canal de communication privé dans les écoles, que sur le droit d’une institution sociale d’utiliser Wuala, un service de stockage de données en nuage. Il conclut par la négative au motif que les mandants n’ont pas de droit de contrôle, que Wuala décline toute responsabilité et que les processus sont programmés en anglais.

Un comité d’évaluation européen a évalué le Bureau de surveillance dans le cadre des accords Schengen/Dublin et livré ses recommandations. Sa principale recommandation est l’amélioration du contrôle de l’accès de la Police cantonale au système d’information Schengen.