Appliquer la protection et la sécurité des données

b3: Conseiller les clients en matière de protection et de sécurité des données

Les informaticiens et informaticiennes conseillent les clients sur la manière de traiter les données sensibles et proposent des solutions pour la mise en place de mesures de protection: Pour ce faire, ils clarifient la situation en matière de sécurité auprès du mandant en posant des questions ciblées sur les systèmes, réseaux, logiciels et données. Sur la base des in- formations obtenues, ils proposent les mesures de protection nécessaires et recommandées pour les domaines examinés. Ils créent une prise de conscience chez le mandant en ce qui concerne les dangers liés au réseau et au traitement des données sensibles. Pour remplir ces tâches, ils s’informent en continu sur les modifications apportées au cadre juridique/aux prescriptions légales applicables en l’espèce. Si nécessaire, ils forment les collaborateurs dans l’application des directives informatiques propres à l’entreprise.

c3: Planifier, implémenter et documenter la sécurité et la protection des données pour des solutions ICT

Les informaticiens et informaticiennes planifient des mesures relatives à la sécurité et à la protection des données, les implémentent et les documentent: Ils identifient tout d’abord les données sensibles et les catégorisent. Ils modélisent ensuite les données sensibles selon le principe de Privacy by design. Ils clarifient les mécanismes de protection nécessaires selon la sensibilité des données et les qualifient. Dans ce contexte, ils tiennent compte du cadre légal (RGBD entre autres) et l’appliquent en fonction de la situation. Sur cette base, ils élaborent un concept de sécurité des données et des rôles conformément au mandat, le documentent et le mettent en œuvre (p. ex. créer une sauvegarde, im- plémenter les autorisations d’accès, chiffrer les données).

e4: Implémenter, documenter et vérifier la sécurité des réseaux

Les informaticiennes et informaticiens implémentent, documentent et vérifient la sécurité des réseaux. Ils garantissent ainsi que les systèmes critiques sont protégés de façon appro- priée contre les attaques ou infections: Ils analysent tout d’abord les risques potentiels en matière de sécurité du réseau et les évaluent. Pour ce faire, ils utilisent des outils actuels et spécifiques à l’exploitation (p. ex. scanneur de ports). Sur cette base, ils conçoivent les mesures de sécurité physiques et systémiques dans le réseau local (e1). Ils mettent en œuvre les mesures de sécurité planifiées en implémentant des services et des composants sécuritaires (p. ex. pare-feu, VPN, NAT, VLAN, DMZ). Enfin, ils testent les mesures de sécurité de façon systématique et documentent leur fonctionnement.

f6: Implémenter, documenter et vérifier la sécurité des systèmes de serveurs et de leurs services

Les informaticiennes et informaticiens implémentent, documentent et vérifient la sécurité des systèmes de serveurs et de leurs services: Dans un premier temps, ils élaborent un concept de sécurité conforme aux besoins des parties prenantes. Ce concept décrit les risques possibles et les systèmes/méthodes de sécu- rité appropriés pour garantir une protection informatique de base (p. ex. pare-feu, logiciels antivirus, autorisations, authentification unique [SSO]). Pour ce faire, ils travaillent en équipe et font appel, si nécessaire, à des partenaires. Ils appliquent les meilleures pratiques aux solutions utilisées. Ils configurent les éléments de sécurité définis et testent leur efficacité. A intervalles réguliers, ils effectuent des tests de sécurité en cours de fonctionnement et documentent les résultats de manière compréhensible. Ils s’informent régulièrement des développements technologiques des systèmes de sécurité (p. ex. MELANI, CVE) et adaptent leurs concepts

f8: Etablir et mettre en œuvre des concepts de sauvegarde et d’archivage des données

Les informaticiennes et informaticiens établissent et mettent en œuvre des concepts de sauvegarde et d’archivage des données. Ils garantissent ainsi la disponibilité à long terme des données: En concertation avec les parties prenantes, ils définissent les données (p. ex données utilisateurs, de configuration, de système, de journalisation) à sauvegarder et à archiver. Ils établissent ensuite un concept de sauvegarde (concepts de reprise et de reprise après sinistre inclus) et/ou un concept d’archivage. Ce faisant, ils adoptent une démarche globale: ils tiennent compte du cycle de sauvegarde, des durées de conservation des données et des exigences de conformité. Ils définissent d’autres aspects déterminants tels que périodicité, taille, type de média, autorisations et accès. Ils respectent par ailleurs les prescriptions légales applicables à la protection des données (p. ex. RGPD).