Sécurité des produits chez Swisscom (Suisse) SA

Transcription

1 Sécurité des produits chez Swisscom (Suisse) SA

2 Indice Sécurité des produits chez Swisscom (Suisse) SA 3 BlackBerry 8 Bluewin 10 Business Internet light / standard 12 COMBOX 14 Produits Connectivity 16 Corporate Mobile Network (CMN)/ Mobile Business Group (MBG) 18 Corporate Network Access (CNA) 20 Téléphonie fixe (ISDN analogique et numérique) 22 Hosted Exchange Professionnel 24 Itinérance internationale (voix, données, SMS) 26 Raccordement Internet 28 iphone / ipad 30 MMS 32 Mobile Unlimited 34 Mobile Voice 36 SMS 38 SMS Large Account 40 Webhosting 42

3 Sécurité des produits chez Swisscom (Suisse) SA De quoi s agit-il? La sécurité liée à la communication (de données) est un sujet central et sensible, qui a son importance tant du point de vue du client que de l exploitant de réseau. Bref, le risque de base est considéré comme élevé mais les dangers réels sont actuellement sous contrôle. La présente documentation contient des informations relatives aux questions de sécurité posées par les produits des réseaux fixe et mobile ainsi que par les solutions intégrées. La sécurité des produits et le dialogue engagé en la matière entre Swisscom, ses clients et le public (médias) sont des questions essentielles. Les faits sont élaborés, contrôlés et complétés en permanence par les gestionnaires de produit de Swisscom, avec la collaboration des responsables de la sécurité, des segments compétents, du service de communication et du service juridique. Risques possibles Les menaces auxquelles Swisscom et ses clients sont exposés ne cessent d évoluer. Swisscom suit leurs développements avec la plus grande attention. Certaines menaces sont toutefois récurrentes. Les risques les plus fréquents sont présentés ci-après: Vol de données Définition: tentative d obtenir, par des moyens techniques et sans autorisation, un accès à des contenus de communications et à des données transmises. Aucune différence n est faite selon l origine de la tentative (collaborateurs, partenaires externes ou tiers). Scénarios possibles: attaque du réseau de téléphonie et de données; manipulation du terminal (PC, smartphone et tablette) ou «intrusion» dans le centre de calcul. Attaque et protection: dans le domaine de la communication mobile, l interface radio entre le terminal et l antenne est cryptée. Pour cela, des algorithmes de puissance variable sont utilisés. En Suisse, le cryptage utilise la norme algorithmique la plus puissante. Théoriquement, il est possible d intercepter un flux de données ou de conversation. De telles attaques requièrent cependant un grand déploiement d énergie criminelle, de grandes connaissances ainsi que des moyens techniques spécifiques. Ce qui vaut pour la communication mobile est également valable pour le réseau fixe et ses produits. La première méthode de protection consiste à n autoriser l accès à ses données personnelles qu aux personnes qui le doivent en leur fournissant des autorisations adéquates ou en utilisant une méthode de cryptage pour stocker et transmettre les données. Swisscom teste régulièrement ses propres réseaux en demandant à des pirates expérimentés de simuler des attaques sur son propre réseau («ethical hacking»). Ce procédé permet d identifier d éventuelles faiblesses et de les supprimer. Par ailleurs, Swisscom réalise régulièrement des audits de sécurité (Security Audits), identifie et évalue les risques et prend les mesures correctives nécessaires. La sécurité d accès (p. ex. la protection d accès) est également traitée avec l attention requise, de manière à ce que seules les personnes autorisées puissent intervenir sur les systèmes informatiques. Manipulation de données Définition: la manipulation de données est une attaque qui vise à modifier intentionnellement ou à détourner des données de leur utilisation initiale. Sont concernées toutes les données enregistrées ou transmises par le client sur des serveurs et des terminaux, qu il s agisse d informations de facturation ou de simples numéros d appel enregistrés sur la carte SIM du téléphone mobile. Scénarios possibles: la manipulation de données résulte d attaques sur les terminaux, sur le réseau ou le serveur d un fournisseur de services,

4 de l exploitation des failles des produits et d attaques supposant l utilisation de mots de passe ou de cartes d accès volés. Les principaux risques de manipulation de données proviennent des attaques par le biais de vers, virus ou autres programmes malveillants. Attaque et protection: la principale faiblesse réside dans l application incorrecte ou la négligence des règles de sécurité (p. ex. perte de mots de passe) et la non-application de mesures de protection par l utilisateur ou l exploitant de réseau (pare-feu, protection antivirus, scanning de réseau). Seules une formation et une information adéquates des collaborateurs et des utilisateurs / clients permettent de réduire considérablement le risque. Des règles cohérentes d accès aux centres de calcul, un usage correct des mots de passe, l installation de scanners antivirus sur le réseau et le terminal, l examen critique des messages électroniques et des contenus provenant d expéditeurs inconnus sont autant de mesures de sécurité simples et efficaces. Du côté de l exploitant de réseau, Swisscom est en mesure de scanner et d identifier les fichiers suspects et d isoler à temps les virus. La diffusion de ce type de fichiers sur le réseau mobile est ainsi évitée grâce à des mesures de protection. Perte de données Définition: la perte de données est causée en partie ou en totalité par les attaques décrites précédemment ou par l endommagement physique des supports de mémoire et / ou des terminaux. Scénarios possibles: outre une manipulation malveillante (telle que décrite ci-dessus), il est possible de perdre des données par suite d un défaut des appareils ou des supports de données, lorsqu il n existe aucune copie de sauvegarde. En l absence de backup, la restauration des données est extrêmement difficile et s avère une opération à la fois très longue et coûteuse. Attaque et protection: la perte des données est un événement rare et extrêmement contrariant. Elle survient généralement suite à la panne d un appareil et parce que les données n ont pas été sauvegardées. Pour éviter de perdre les données, il est recommandé de créer systématiquement une copie de sauvegarde (backup). De nombreuses possibilités existent aujourd hui: on peut sauvegarder un téléphone portable sur un ordinateur personnel, ou un ordinateur sur un disque dur externe ou sur le Cloud. Quoi qu il en soit, il est recommandé de vérifier les données sauvegardées afin de décider de la pertinence d un cryptage et ainsi d en interdire l accès à toute personne non autorisée. Utilisation abusive d identité Définition: l utilisation abusive d identité désigne l appropriation de certains éléments d identité d une personne ou d une entreprise et leur utilisation abusive, le plus souvent en vue d obtenir des prestations ou de l argent de manière frauduleuse. Scénarios possibles: le détournement de données / de cartes d accès ou de «clés de login» (enregistrement de l utilisation du clavier / des mouvements de la souris par des moyens auxiliaires spéciaux) permet à un pirate d accéder à des bâtiments, des serveurs ou des terminaux protégés. Ce type d attaque est également possible sur les COMBOX et les codes NIP des cartes SIM. Attaque et protection: la meilleure protection contre l utilisation abusive d identité est l information et la formation des clients et des collaborateurs ainsi que l utilisation de programmes de protection sur les terminaux. Un moyen de protection efficace contre le vol d identité consiste à utiliser un mot de passe spécifique pour chaque service en re courant à un logiciel de gestion des mots de passe qui génère et mémorise chacun des mots de passe. L utilisateur n a qu à mémoriser le mot de passe du gestionnaire de mots de passe et à copier / coller les autres mots de passe dans le gestionnaire lorsqu il en a besoin. Lorsque le mot de passe d un service lui est subtilisé, seul le service correspondant est concerné. Les autres services possèdent chacun un mot de passe particulier et restent utilisables normalement. Enfin, la possibilité de voler les mots de passe dépend des mesures de protection mises en place par le fournisseur de service.

5 Attaques ciblées Définition: comme leur nom l indique, des attaques ciblées visent une entreprise ou une personne, dans le but de lui infliger un dommage spécifique. Scénarios possibles: ce dommage correspond aux scénarios précédemment traités et combinés dans une configuration quelconque. Ainsi, l utilisation abusive d identité est une méthode fréquemment utilisée pour acquérir la confiance et donc accéder de manière frauduleuse à des informations dont l accès serait autrement interdit. Elle facilite le vol de données. Attaque et protection: les attaques ciblées visent une personne ou une entreprise en particulier (d où leur nom), généralement dans le but de créer l un des scénarios possibles mentionnés précédemment. Outre les grandes entreprises elles-mêmes opérant dans les secteurs d activité les plus variés, ces attaques concernent souvent les fournisseurs des grandes entreprises attaquées. Des petites et moyennes entreprises sont donc également dans la ligne de mire des pirates. Les moyens de protection contre ces attaques sont très limités, mais il est possible de détecter et même d empêcher les attaques en combinant diverses mesures de protection (techniques, organisationnelles et par des formations).

6 Certificats de sécurité Swisscom dispose, dans les secteurs-clés, de certificats de sécurité reconnus internationalement, qui font l objet de contrôles réguliers. De plus, Swisscom possède d autres certificats qui peuvent être intéressants dans un contexte global. ISO 9001 Gestion certifiée de la qualité ISO Système de gestion certifiée de l environnement ISO Analyses et amélioration des processus dans le domaine de la construction et de l exploitation du réseau radio, ainsi que du mesurage du rayonnement ISO Sécurité certifiée dans le domaine de la planification, de la construction et de l exploitation de réseaux de télécommunication et IT et les prestations basées sur ces derniers. ZertES, VZertES Fournisseur de services de certification accrédité pour les signatures électroniques certifiées

7 Informations juridiques La question abordée ici est très complexe du point de vue juridique, en particulier en matière de sécurité des données. Sous certaines conditions clairement définies, les autorités pénales peuvent par exemple procéder à des écoutes téléphoniques. Cette question est pertinente d un point de vue pénal pour les pirates potentiels. Pour toute question d ordre juridique ou ayant des implications juridiques, il convient de contacter le service juridique. Vous trouverez ci-après un extrait des principales dispositions légales et contractuelles. Ordonnance sur les services de télécommunication (OST) Art. 87 OST, Sécurité des services de télécommunication: 1 Les fournisseurs de services de télécommunication doivent informer leurs clients des risques que comporte l utilisation de leurs services en matière d écoute et d ingérence par des personnes non autorisées. 2 Ils doivent leur offrir ou leur indiquer des moyens propres à écarter ces risques. Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) La LSCPT donne la possibilité aux autorités, dans certaines conditions prévues par la loi, de surveiller des communications et d intercepter des données transmises. Loi sur la protection des données (LPD) Art. 7 LPD, Sécurité des données: 1 Les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées. Code pénal (CP, Art. 143 ss) Sont punis par la loi la «soustraction de données», le piratage («accès indu à un système informatique» et «utilisation frauduleuse d un ordinateur») et la «détérioration de données». Voir également les Conditions générales en vigueur, notamment les dispositions relatives à la protection des données.

8 BlackBerry Description du produit Disponibilité Confidentialité Intégrité Le service de BlackBerry permet aux entreprises disposant d une infrastructure de messagerie externalisée (hosted) ou de leur propre infrastructure de messagerie (p. ex. Microsoft Exchange, IBM Domino ou Novell GroupeWise) de recevoir, de traiter et d envoyer des s de manière cryptée, ou encore de gérer des listes de tâches, des agendas et des adresses depuis un terminal mobile BlackBerry. La disponibilité de BlackBerry dépend de plusieurs facteurs tels que les centres de calculs de BlackBerry, le serveur BlackBerry Enterprise (intégré à l infrastructure informatique du client), la connexion de Swisscom à BlackBerry, les réseaux de téléphonie mobile de Swisscom et le terminal. Le service est très rarement perturbé. Il est considéré comme extrêmement fiable. BlackBerry Enterprise Service 10 travaille avec l algorithme de cryptage «Advanced Encryption Standard» (AES). Toutes les données transmises depuis le serveur de messagerie de l entreprise du client vers le terminal BlackBerry, et inversement, sont cryptées. Cela concerne les s, les données de l agenda, les demandes de rendez-vous ainsi que toutes les autres données d application échangées entre le serveur BlackBerry Enterprise et le terminal BlackBerry. Sur ses propres serveurs, BlackBerry n enregistre aucune information ( , demandes de rendez-vous, etc.) transmise par le client / au client. Il ne peut donc pas accéder à ces données ou les publier. Si des risques sont identifiés, BlackBerry propose immédiatement des mises à jour de sécurité qui peuvent être diffusées automatiquement. Seule la connexion entre le terminal BlackBerry et la boîte de messagerie sélectionnée par l utilisateur est mémorisée sur le serveur BlackBerry Enterprise. Tous les s, les inscriptions dans l agenda et les autres données de la société se trouvent sur le serveur de messagerie et ne sont pas dupliqués sur le serveur BlackBerry Enterprise. Le serveur BlackBerry Enterprise assure uniquement la transmission des informations; il ne procède pas à leur enregistrement. Le canal entre le serveur Enterprise et le terminal est protégé contre toute tentative d accès depuis l extérieur. Selon l état actuel des connaissances, il n est pas possible de manipuler les messages. De plus, BlackBerry protège son propre centre de calcul en combinant les mesures suivantes: protection par un mot de passe de tous les points d accès, différents pare-feu, systèmes de détection des accès non autorisés ainsi que d autres systèmes non spécifiés par BlackBerry pour des raisons de confidentialité. BlackBerry est la solution la plus sûre de la branche. BlackBerry 1/2

9 Accès / identification Quelles sont les protections supplémentaires dont dispose le client? L identification du client sur le terminal repose sur des mots de passe (enregistrement sur le terminal sous une forme cryptée). Après dix tentatives infructueuses de saisie du mot de passe, toutes les données du terminal BlackBerry sont automatiquement effacées. Par ailleurs, l accès au réseau nécessite la saisie d un code NIP. L utilisation de S / MIME (cryptage de bout en bout supplémentaire) permet de garantir le cryptage du courrier électronique au-delà des points finaux du service. De plus, le terminal offre une extension permettant d effectuer l identification et le contrôle d autorisation sur la base d une carte à puce. Swisscom recommande de toujours utiliser un mot de passe sur le terminal BlackBerry et de veiller à ce que l administrateur génère un changement de clé pour le cryptage de bout en bout des données. BlackBerry 2/2

10 Bluewin Description du produit Disponibilité Confidentialité Intégrité Bluewin votre boîte aux lettres internationale. Avec Bluewin , vous avez accès en permanence à votre courrier électronique. Vous pouvez envoyer et recevoir des s sur le Web et en utilisant un programme ou une App de messagerie électronique. Pour ce produit, la sécurité est une priorité: chaque adresse dispose d un filtre antispam et antivirus gratuit. Afin d éviter les abus (p. ex. s envoyés sous un faux nom), nous proposons l envoi d s avec «l authentification SMTP». Si vous souhaitez une sécurité supplémentaire pour le transfert de vos s vers et depuis le serveur de messagerie de Bluewin, nous vous proposons le cryptage SSL. Bluewin peut être utilisé avec un programme de messagerie électronique ou avec un navigateur Internet, grâce au service Bluewin Webmail. La disponibilité de Bluewin est généralement élevée. Côté réseau, elle dépend de la disponibilité du serveur de messagerie Bluewin et de l infrastructure Internet. Côté client, elle est fonction de la disponibilité de l accès Internet et éventuellement des serveurs de messagerie du client. La sauvegarde automatique et régulière des données sur le réseau permet d éviter la perte d s lors des rares pannes système. En cas de défaillance d un serveur, les s sont automatiquement redirigés vers un autre système afin de garantir la continuité du service. La confidentialité des s n est pas très élevée, ce qui lui vaut souvent d être comparée à l envoi de cartes postales. La plupart du temps, les s transitent sur Internet sans aucun cryptage et sont enregistrés temporairement sur les serveurs de messagerie. Swisscom recommande à ses clients de protéger leurs messages confidentiels par cryptage. En règle générale, l expéditeur et le destinataire doivent alors utiliser la même technologie de protection. Afin de satisfaire aux obligations légales en matière de lutte contre les abus, Swisscom est tenue d enregistrer les données de connexion des s (expéditeur, destinataire, date et heure, objet du message) et de les archiver afin de les protéger contre tout accès non autorisé. Les s font l objet de nombreux abus. Les plus fréquents sont les spams (courriers indésirables), le phishing (vol de données sensibles), les virus (programmes malveillants envoyés sous forme de pièces jointes) et l usurpation de l identité de l expéditeur. Swisscom met gratuitement à la disposition de tous les utilisateurs d adresses électroniques Bluewin un filtre antispam, antivirus et antiphishing qui leur évite de recevoir des messages nuisibles et indésirables. Ce filtre élimine les messages de phishing et les virus et dirige automatiquement les spams vers un dossier spécifique, gérable par l intermédiaire du Webmail. Ce dossier est automatiquement vidé une fois par semaine. Bluewin 1/2

11 Swisscom utilise «l authentification SMTP». Cette méthode élimine pratiquement tout risque qu un intrus puisse s approprier l identité des clients et envoyer des s sous leur nom. Accès / identification Les clients peuvent utiliser un programme de messagerie pour consulter les s qui se trouvent sur le serveur de messagerie Bluewin, les télécharger sur leur ordinateur et les envoyer. Cette opération, qui requiert un nom d utilisateur et un mot de passe, est effectuée automatiquement par le programme de messagerie. Les informations d identification et le contenu des messages sont transmis en clair lorsqu aucun cryptage n a été sélectionné. Pour utiliser le service Bluewin Webmail, le client doit utiliser son Swisscom Login. Les données sont toujours transmises dans un format crypté jusqu au serveur Swisscom. Quelles sont les protections supplémentaires dont dispose le client? Swisscom conseille à ses clients d utiliser le filtre antispam, antiphishing et antivirus qu elle met gratuitement à leur disposition. Ce filtre peut être activé et désactivé à loisir dans «l Espace clients Swisscom». Les clients qui possèdent des adresses auprès d autres fournisseurs doivent également veiller à activer le filtre antispam, antiphishing et antivirus pour ces adresses. Par ailleurs, Swisscom recommande fortement d utiliser un logiciel antivirus sur ses ordinateurs. Outre ces mesures techniques, certaines règles de comportement simples préservent efficacement votre sécurité: Ne jamais ouvrir de pièces jointes ni des liens figurant dans des s provenant d expéditeurs inconnus Ne pas communiquer des données sensibles par ou sur des sites Internet dont la fiabilité n est pas avérée (p. ex. données d accès bancaire, Swisscom Login) Ne communiquer une adresse personnelle qu à des personnes de confiance Utiliser une deuxième adresse pour les concours, les formulaires, les newsletters, etc. Ne jamais répondre aux spams Ne jamais transférer de messages de mise en garde, ni de chaînes de lettres Bluewin 2/2

12 Business Internet light / standard Description du produit Business Internet light (sans routeur, non géré) vous propose un accès haut débit avantageux, sûr et fiable. Ce produit de base est la solution idéale pour votre PME. Vous pouvez bénéficier de l assistance professionnelle d un partenaire IT de Swisscom qui, en tout temps et de manière flexible, vous aidera à adapter ou à élargir cette offre pour répondre à l évolution de vos besoins. Business Internet standard (avec routeur, géré) met à disposition un produit de transmission de données alliant qualité supérieure et performance inédites: une solution sûre, fiable et avantageuse. Modulable et évolutive, elle peut être adaptée au gré de vos exigences et de vos besoins. Vous avez la possibilité d intégrer en toute flexibilité et simplicité dans votre réseau de données plusieurs sites et des collaborateurs externes. Business Internet Standard peut être combiné et étendu à d autres services de Swisscom conçus spécialement pour les PME. Disponibilité Confidentialité Business Internet est mis à la disposition des utilisateurs via des systèmes redondants et bénéficie de la meilleure protection contre les défaillances totales. Pour garantir l exploitation, la disponibilité et la sécurité, les systèmes sont surveillés en permanence et font régulièrement l objet de contrôles techniques par des entités tierces. Pour réduire au minimum la durée d interruption en cas de dérangement, les clients ont la possibilité d écourter les délais d intervention de Swisscom (< 24h) en complétant leur service par une clause de protection renforcée. Avec Business Internet, les données sont transmises via le réseau fédérateur de Swisscom et peuvent être protégées de bout en bout avec VPN. Les fournisseurs de services Internet et les clients peuvent accroître la confidentialité des données en utilisant des techniques de cryptage. Ainsi, certains services Web, comme les services bancaires en ligne, protègent systématiquement la liaison, assurant ainsi la confidentialité des données transmises. Intégrité Le cryptage optionnel de bout en bout avec VPN assure une protection professionnelle de vos liaisons. La transmission de données avec Business Internet ne bénéficie d aucun dispositif de sécurité contre les manipulations. Business Internet light/standard 1/2

13 Accès / identification Quelles sont les protections supplémentaires dont dispose le client? Les clients Business Internet sont identifiés à l aide de leur nom d utilisateur et de leur mot de passe. Pour transmettre des données importantes, Swisscom conseille d utiliser uniquement une liaison bénéficiant d une protection supplémentaire. Les clients peuvent utiliser les procédures SSL (Secure Socket Layer) ou Virtual Private Networks (VPN). Dans Microsoft Internet Explorer par exemple, un symbole en forme de cadenas apparaît en bas de la fenêtre lorsque la connexion est sécurisée. Swisscom propose d un seul tenant des solutions VPN ainsi que des connexions sécurisées entre les terminaux mobiles et le réseau de l entreprise. En cas d utilisation de Business Internet sur un réseau Wireless LAN, Swisscom conseille de mettre en œuvre un cryptage WPA / WPA2 au niveau de l interface WLAN. Business Internet light/standard 2/2

14 COMBOX Description du produit La COMBOX est un répondeur automatique pour le réseau fixe et mobile. La version COMBOX Basic inclut un répondeur automatique auquel la version COMBOX Pro ajoute une fonction de transfert d s et de télécopies. La COMBOX réceptionne les messages vocaux et les télécopies lorsque vous n êtes pas joignable. Une annonce accueille la personne qui appelle. Si celle-ci laisse un message sur la COMBOX, une notification est générée sur le terminal. Disponibilité Confidentialité Les systèmes de la COMBOX sont exploités avec fiabilité dans les centres de calcul de Swisscom qui bénéficient de dispositifs de protection actuels et font l objet d un contrôle permanent. Les messages COMBOX sont sauvegardés sur des systèmes Swisscom localisés en Suisse. L accès aux messages requiert une autorisation. Pour consulter la COMBOX depuis son propre appareil, il est inutile de saisir le code PIN. En revanche, la saisie du code PIN est nécessaire lorsque les consultations sont émises depuis des réseaux tiers (p. ex. depuis l étranger). Le client peut modifier les paramètres de sécurité et le code PIN de sa COMBOX. Les nouveaux codes PIN sont générés de façon automatique et ne sont pas présentés aux agents de la hotline. Les agents de la hotline n ont pas accès aux données personnelles de la COMBOX (p. ex. messages) ni au code PIN COMBOX. Chez Swisscom, le traitement des données de la COMBOX obéit strictement aux prescriptions de la loi sur la protection des données. Intégrité Il est possible de consulter la COMBOX sans saisir le code PIN à partir du réseau téléphonique de Swisscom. Dans ce cas en effet, une identification claire et sûre est garantie. A partir de réseaux téléphoniques tiers, la saisie du code PIN est obligatoire pour garantir l intégrité. Pour consulter la COMBOX en passant par l Espace clients, il faut impérativement saisir son nom d utilisateur et son mot de passe. COMBOX 1/2

15 Accès / identification L accès à la COMBOX requiert une autorisation. Pour consulter la COMBOX depuis son propre appareil, il est inutile de saisir le code PIN. En revanche, la saisie du code PIN est nécessaire pour les consultations à partir de réseaux tiers (p. ex. depuis l étranger). Au bout de trois saisies erronées, l accès est bloqué et devra être débloqué en passant par la hotline. Les accès à la COMBOX font l objet d enregistrements qui peuvent être utilisés en cas de suspicion d utilisation abusive. Quelles sont les protections supplémentaires dont dispose le client? Swisscom conseille de toujours laisser activée la protection par code PIN. Sur le réseau de Swisscom, personne ne peut ainsi consulter les messages laissés sur la COMBOX lorsque le terminal est laissé sans surveillance ou égaré. Il est recommandé d activer les fonctions COMBOX Pro (p. ex. transfert d s et de télécopies) exclusivement vers des numéros et des adresses connus et fiables et de désactiver le transfert lorsque vous n en avez pas besoin. COMBOX 2/2

16 Produits Connectivity Description du produit Disponibilité L offre Connectivity recouvre les produits suivants: IP-Plus (raccordement de base à Internet pour clients commerciaux), LAN-Interconnect (services de connexion de plusieurs sites par conducteurs de cuivre, à fibre optique et liaison radio), RAS via LAN Interconnect (accès à distance par le biais de liaisons sécurisées) et Ethernet Services (service de mise en réseau de sites à l aide du protocole Ethernet via une connexion à fibre optique ou en cuivre). Opticallink et Private Line (liaisons point à point par connexion en cuivre ou à fibre optique) permettent une mise en réseau de sites dédiée et transparente. Les tracés de câbles pour les services mentionnés ci-dessus peuvent être redondants, de manière à garantir une disponibilité élevée. Sur demande, les bâtiments peuvent être raccordés de manière redondante et par différents moyens (fibre optique et cuivre) afin d augmenter la sûreté de fonctionnement. Pour que les réseaux internes au bâtiment (LAN / Local Area Network) bénéficient également d une disponibilité élevée, tous les nœuds de réseau dans le bâtiment doivent aussi être redondants. Avec le produit LAN-Interconnect, Swisscom propose également en option un réseau secondaire entièrement diversifié, capable de garantir au client une disponibilité intégrale en cas de défaillance du réseau principal. La disponibilité RAS est un service Cloud à redondance géographique proposé par Swisscom. Confidentialité La confidentialité est garantie par le biais de mesures organisationnelles et techniques sélectionnées avec soin lorsque Swisscom fait appel à des partenaires. La fourniture de prestations par un partenaire est garantie auprès de Swisscom au moyen de contrats, de clauses de confidentialité (NDA) et d accords relatifs au flux de données. Le traitement des données clients par les partenaires requiert la mise en œuvre de mesures de sécurité ainsi qu une clause de confidentialité absolue. Swisscom et ses partenaires garantissent qu aucun accès non autorisé n est possible. Sur les réseaux internes du bâtiment (LAN), les données sont parfois transmises de manière non cryptée. Les données confidentielles doivent donc bénéficier d une protection supplémentaire avant leur transmission. Le réseau LAN-I (réseau LAN-Interconnect) offre une confidentialité appropriée. Des mesures organisationnelles et techniques empêchent la consultation et la modification des données clients par des tiers. L utilisation de logiciels de cryptage augmente encore le niveau de confidentialité. Produits Connectivity 1/2

17 Intégrité Les mécanismes de protection standard LAN et LAN-I empêchent toute manipulation des données pendant la transmission. Le cloisonnement du réseau en différentes zones protégées par des pare-feu ainsi que l utilisation de logiciels antivirus offrent une protection supplémentaire. pare-feu et logiciels antivirus font partie de la protection de base recommandée au niveau des points d accès au réseau non sécurisé qu est Internet. Afin de garantir l intégrité des données lors de la transmission par Internet, Swisscom recommande d utiliser des logiciels de sécurité VPN (Virtual Private Network), par exemple sous la forme de l offre Remote Access Service (RAS). Accès / identification Les produits Connectivity de Swisscom permettent de recourir à différents mécanismes d identification. Suivant la confidentialité des données transmises, Swisscom recommande d utiliser des mécanismes d identification comportant trois facteurs de sécurité (identification de l utilisateur, mot de passe et certificat numérique, jeton SecureID ou mot de passe à usage unique, basé p. ex. sur un SMS ou une APP). Secure RAS (Remote Access Service) garantit l accès à des applications et à des réseaux via des réseaux non sécurisés. Secure RAS est également compatible avec l identification à 3 facteurs. Quelles sont les protections supplémentaires dont dispose le client? La sécurité d un réseau dépend fortement de celle des équipements raccordés. Swisscom recommande dès lors d installer des logiciels antivirus et des pare-feu individuels sur tous les ordinateurs raccordés. Sur les terminaux mobiles, nous recommandons l utilisation d un logiciel de gestion d appareil (DMS). Si des données confidentielles sont échangées entre deux sites, Swisscom conseille d exploiter les liaisons comme des réseaux privés virtuels (VPN), en recourant par exemple au service LAN-Interconnect et à l option SecureCER. Au point de rencontre entre deux réseaux protégés de manière différente, en particulier à l interface avec Internet, il est recommandé d utiliser des pare-feu régis par des règles strictes, par exemple le produit Managed Firewall / Secure POP (Point of Presence) de Swisscom. Les serveurs Web auxquels aboutissent des liaisons SSL cryptées doivent utiliser des certifications SSL émanant de fournisseurs dignes de confiance. Les certificats appropriés peuvent être obtenus auprès de Swisscom. Les données confidentielles doivent bénéficier d une protection supplémentaire avant leur transmission. Les ordinateurs faisant office de nœuds sur le LAN doivent être exploités uniquement dans des locaux ou des armoires climatisés dont l accès est sécurisé. Produits Connectivity 2/2

18 Corporate Mobile Network (CMN) / Mobile Business Group (MBG) Description du produit Disponibilité CMN est l abonnement de téléphonie mobile pour les clients commerciaux. Il permet la création d un Closed User Group (ensemble des numéros mobiles et fixes d une société) au sein duquel il est possible de téléphoner à des tarifs préférentiels. Ces numéros peuvent également être affectés à des numéros abrégés à l aide d un plan de numérotation. Comme CMN, MBG permet de créer un Closed User Group, mais sans plan de numérotation. Les plateformes techniques appartenant à Corporate Mobile Network / Mobile Business Group présentent une disponibilité élevée. Les capacités des plateformes sont augmentées en permanence afin de répondre à la demande des clients; la disponibilité des services s en trouve ainsi accrue. En cas de très forte demande, la mise à niveau des plateformes est effectuée comme prévu. Confidentialité Intégrité Les services CMN / MBG reposent sur la sécurité du réseau de téléphonie mobile. Ces services sont jugés fiables sur le plan technique. Les autorités pénales peuvent limiter la confidentialité sur la base d une autorisation légale, comme c est d ailleurs le cas pour d autres fournisseurs ou d autres services. Elles disposent alors d un accès sélectif aux communications et aux données de communication dès lors que celles-ci sont en rapport avec une procédure pénale. Les autorités pénales ne disposent toutefois pas d un accès permanent et illimité aux communications et aux données qui en résultent. Les plateformes appartenant à CMN / MBG sont soumises à des contrôles réguliers afin de détecter d éventuelles lacunes de sécurité. Les processus de sécurité de Swisscom permettent de garantir l intégrité des systèmes de façon durable et continue. Corporate Mobile Network (CMN) / Mobile Business Group (MBG) 1/2

19 Accès / identification L infrastructure réseau de Swisscom se divise en plusieurs zones de sécurité. Toutes les zones sont surveillées en permanence. Les interventions des techniciens de Swisscom sont soumises à des directives strictes et font l objet de procès-verbaux et de contrôles. L identification du client s effectue à partir des codes confidentiels intégrés dans la carte SIM et sur le réseau. La carte SIM et les éléments d identification du réseau bénéficient d une sécurisation multiple. L accès à la carte SIM requiert un code PIN. L identification sur le réseau de téléphonie mobile se fait ensuite automatiquement, en fonction des codes confidentiels enregistrés sur la carte SIM et sur le réseau. Quelles sont les protections supplémentaires dont dispose le client? Swisscom conseille de ne pas désactiver le code PIN. Tout comme le PUK, le code PIN est accessible à certains collaborateurs de la hotline, pour que ceux-ci puissent venir en aide au client en cas de perte du code PIN. Corporate Mobile Network (CMN) / Mobile Business Group (MBG) 2/2

20 Corporate Network Access (CNA) Description du produit Disponibilité Confidentialité Corporate Network Access assure la liaison directe et sécurisée entre le réseau de téléphonie mobile de Swisscom et le réseau d entreprise du client et permet d accéder aux terminaux mobiles depuis le réseau d entreprise (et inversement). C est le client qui détermine la façon dont les deux réseaux sont reliés, par exemple par un réseau IPsec VPN (Virtual Private Network) via Internet, ou encore via un réseau privé de Swisscom (LAN-Interconnect). La disponibilité est garantie sur l ensemble du territoire via le réseau GSM (GPRS / EDGE) et via le réseau UMTS et LTE. Dans de rares cas, des limitations de disponibilité du réseau de téléphonie mobile peuvent se produire dans des zones géographiquement limitées, pour des raisons de capacité. La surveillance du réseau détecte toute défaillance éventuelle, qui sera immédiatement traitée et éliminée. La connexion du réseau d une entreprise par l intermédiaire du réseau privé de Swisscom (LAN-I) garantit (SLA) en principe tous les avantages en termes de disponibilité, de sécurité et de gestion de l exploitation par rapport à la transmission via l Internet public. La transmission de données par voie radio est cryptée conformément aux normes mondiales GSM / UMTS. Les mécanismes de cryptage font l objet d une mise à jour continue et d une adaptation permanente aux nouveaux besoins dans le domaine de la sécurité. Sur les liaisons de transmission (réseau de base), les données traversent les zones de sécurité de Swisscom. Cette dernière garantit la sécurité intégrale des données. La liaison du réseau de téléphonie mobile au réseau d entreprise s effectue par un canal IPsec VPN sécurisé ou par des liaisons LAN-I dédiées. Pour l itinérance, le système emprunte des réseaux de téléphonie mobile tiers dont Swisscom ne peut garantir la sécurité. Corporate Network Access est un système sûr, car le trafic de données aboutit toujours en Suisse, chez Swisscom, ce qui garantit une transmission sécurisée des données selon le principe du Closed User Group. Corporate Network Access (CNA) 1/2

21 Intégrité Accès / identification Quelles sont les protections supplémentaires dont dispose le client? L intégrité des données est garantie par une politique de sécurité étendue et des protocoles de sécurité standard. Les données transmises ne sont pas stockées dans une mémoire temporaire et sont transportées uniquement dans des zones de sécurité surveillées. Les terminaux ne sont pas reliés à Internet, non protégé, mais directement au réseau d entreprise. Les applications de sécurité et les mécanismes de protection nécessaires peuvent être exploités sur le réseau d entreprise et ainsi garantir la sécurité de bout en bout. En cas d activation de la fonction Bluetooth sur les terminaux, Swisscom préconise l utilisation d une protection antivirus et pare-feu. Afin de renforcer la protection des données et de préserver l intégrité, Swisscom recommande d utiliser des technologies Sandbox pour les données commerciales sensibles. Cette mesure de sécurité relève toutefois de la responsabilité du client. L identification du client s effectue à partir des codes confidentiels intégrés dans la carte SIM et sur le réseau. La carte SIM et les éléments d identification du réseau bénéficient d une sécurisation multiple. L accès à la carte SIM n est possible qu avec un code PIN que le client est seul à connaître. Swisscom recommande d intégrer également des procédés d authentification forts. Swisscom recommande de protéger les terminaux mobiles avec un mot de passe et de ne pas désactiver le code PIN intégré à la carte SIM pour protéger l appareil. Il est préférable que les terminaux établissent des connexions exclusivement avec le réseau d entreprise protégé et évitent toute connexion non protégée au réseau Internet. Il est recommandé de ne pas enregistrer de données sensibles sur des disques locaux. Si cela s avérait néanmoins nécessaire, il est possible d utiliser un logiciel de cryptage supplémentaire et des technologies Sandbox pour protéger les données et éviter qu elles ne fassent l objet de consultations ou d accès illicites. Si la confidentialité des données exige une sécurité maximale, il est possible d installer une application de cryptage sur le terminal et sur le réseau d entreprise, afin de garantir la confidentialité des données mémorisées et la sécurité de la transmission entre le terminal et le réseau d entreprise. Corporate Network Access (CNA) 2/2

22 Téléphonie fixe (ISDN analogique et numérique) Description du produit Disponibilité La téléphonie fixe via des lignes analogiques et numériques ISDN désigne la communication vocale sur le réseau téléphonique public de Swisscom. Pour accéder au réseau téléphonique public, Swisscom propose la ligne analogique EconomyLINE avec un canal et un numéro d appel ainsi que la ligne ISDN numérique MultiLINE avec deux canaux et trois numéros d appel (extensible à dix numéros). Chaque ligne comprend de nombreux services supplémentaires: CLIP (affichage du numéro de l appelant), conférences téléphoniques, messagerie vocale (COMBOX ), facture détaillée, etc. La téléphonie fixe de Swisscom se caractérise par une grande fiabilité et une grande disponibilité dans toute la Suisse. Dans le cadre du mandat de prestations de service universel analogique et ISDN, Swisscom propose ce service sur l ensemble du territoire suisse. Le service universel exige que tous les ménages et toutes les entreprises puissent être raccordés au réseau téléphonique de manière analogique via une ligne EconomyLINE ou numérique via une ligne MultiLINE ISDN, indépendamment de l endroit où ils se trouvent. Un site est relié à un central de raccordement de Swisscom par une ligne de raccordement d abonné. Le central est pour sa part relié à tous les abonnés de Suisse via des centraux de transit et avec le monde entier via des passerelles internationales. Grâce à la forte redondance de l architecture réseau et système, une panne totale de l ensemble du réseau est peu probable, même si des perturbations (généralement limitées à une région) surviennent occasionnellement. De plus, tous les centraux et les systèmes de réseau sont indépendants du réseau électrique pendant une durée limitée et peuvent continuer de fonctionner en cas de panne de courant et maintenir ainsi les communications (parfois avec une capacité réduite). Les réseaux de raccordement et de transit ainsi que tous les centraux du réseau téléphonique public sont surveillés en permanence, audités régulièrement et contrôlés sur le plan technique, afin de garantir l exploitation, la disponibilité et la sécurité, comme l exige le mandat de prestations de service universel. Téléphonie fixe (ISDN analogique et numérique) 1/2

23 Confidentialité Intégrité Accès / identification Quelles sont les protections supplémentaires dont dispose le client? La téléphonie sur le réseau fixe est fondée sur la sécurité du réseau téléphonique public et sur les normes internationales et les prescriptions légales sur lesquelles celui-ci repose. Les autorités pénales peuvent limiter la confidentialité sur la base d une autorisation légale, comme c est d ailleurs le cas pour d autres fournisseurs ou services. Elles disposent alors, pour une durée limitée, d un accès sélectif aux communications et aux données de communication dès lors que celles-ci sont en rapport avec une enquête pénale. Les collaborateurs de Swisscom n ont pas accès aux contenus des communications. L archivage et la publication de données de communication utilisées pour la facturation sont soumis à la loi sur la protection des données et à la loi sur les télécommunications. Ces données font donc l objet d un traitement restrictif et sont détruites à l échéance du délai prescrit. Swisscom procède régulièrement au contrôle d intégrité des données qu elle collecte sur les communications. Les normes de sécurité sont validées par le législateur et les autorités. L infrastructure de réseau installée dans les bâtiments par Swisscom est répartie en zones de sécurité. Toutes les zones sont surveillées en permanence. Les interventions des techniciens de Swisscom sont soumises à des directives strictes et font l objet de procès-verbaux et de contrôles. L utilisation et l accès aux appareils téléphoniques incombent au client. Swisscom recommande de restreindre l accès à un raccordement d abonné en prenant des mesures adaptées au niveau administratif et architectural. Swisscom propose différents sets de blocage qui permettent d interdire les appels vers des numéros à valeur ajoutée surtaxés. Un service géré par Swisscom déclenche une alarme si les frais de communication d un raccordement d abonné sont excessifs ou augmentent brusquement. Téléphonie fixe (ISDN analogique et numérique) 2/2

24 Hosted Exchange Professionnel Description du produit Disponibilité Confidentialité Intégrité Accès / identification Hosted Exchange Professionnel désigne une solution de messagerie professionnelle pour les petites et moyennes entreprises. Ce produit peut être utilisé via Internet et les réseaux de données mobiles de Swisscom. Grâce à une architecture redondante, à une surveillance permanente et aux meilleurs spécialistes, à pied d œuvre également les dimanches et les jours fériés, Hosted Exchange Professionnel offre une disponibilité maximale. Les données sont transmises par l intermédiaire des liaisons Internet cryptées sur le réseau fixe et mobile, le terminal et le serveur représentant les points finaux des liaisons de transmission cryptées. La transmission de données avec Hosted Exchange Professionnel ne bénéficie d aucune protection supplémentaire explicite autre que le cryptage contre les manipulations. Swisscom ne peut donc pas garantir la transmission complète et intègre des données de bout en bout. Les clients de Hosted Exchange Professionnel sont identifiés à l aide de leur nom d utilisateur et de leur mot de passe. Les informations relatives à l enregistrement et aux mutations sont sauvegardées afin de garantir la traçabilité des opérations. Swisscom assure le traitement de vos données dans le strict respect de la loi suisse sur la protection des données. Hosted Exchange Professionnel 1/2

25 Quelles sont les protections supplémentaires dont dispose le client? Swisscom conseille d appliquer les règles courantes relatives aux mots de passe. En d autres termes, il y a lieu de choisir des mots de passe d au moins huit caractères qui contiennent des caractères spéciaux et des majuscules mais aucun nom de personne, de lieu ou autres. Il est recommandé de modifier régulièrement les mots de passe. Il convient de n accorder des droits d accès d administrateur qu à des personnes qualifiées et triées sur le volet. Swisscom ne prend jamais contact directement avec ses clients pour leur demander leur mot de passe. Pour les terminaux mobiles présentant de nombreuses fonctionnalités ainsi que pour les PC, il est recommandé d installer un antivirus supplémentaire. Le programme doit également être en mesure d analyser la messagerie entrante afin d identifier les contenus d s potentiellement dangereux. Swisscom recommande à ses clients de prévoir, sur le site Internet de leur entreprise, un formulaire de réponse plutôt qu une adresse électronique car celles-ci peuvent être collectées par des systèmes automatiques puis utilisées pour l envoi de spams. Hosted Exchange Professionnel 2/2

26 Itinérance internationale (voix, données, SMS) Description du produit Disponibilité Confidentialité L itinérance internationale permet de bénéficier des services de téléphonie mobile de Swisscom à l étranger (2G, 3G et 4G). Les clients de Swisscom peuvent téléphoner, rédiger des SMS et surfer sur Internet dans plus de 200 pays. La disponibilité des services de téléphonie mobile à l étranger dépend étroitement de la couverture réseau et de la disponibilité du réseau partenaire. Si un partenaire connaît une panne de service, une commutation sur un autre opérateur est possible, à condition que Swisscom ait conclu avec lui un contrat d itinérance à cet effet. La confidentialité des communications incombe au partenaire d itinérance jusqu à ce que la communication emprunte à nouveau le réseau de Swisscom. Il est possible que certains partenaires d itinérance ne cryptent pas du tout l interface radio entre le terminal portable et le réseau ou que le procédé de cryptage utilisé soit faible. Si tel est le cas, les communications peuvent être écoutées, tandis que les SMS ou les connexions à l Internet mobile peuvent être lus. Les autorités pénales ont également le pouvoir de limiter la confidentialité des communications internationales sur la base de dispositions légales nationales. Swisscom ne peut pas garantir à ses clients en itinérance qu ils sont protégés contre toute localisation malveillante. Intégrité Accès / identification L intégrité des réseaux faiblement voire non cryptés n est pas garantie. Même en mode itinérance, l identification des clients est effectuée à l aide des codes confidentiels enregistrés dans la carte SIM et sur le réseau de Swisscom. La carte SIM et les éléments d identification du réseau bénéficient d une sécurisation multiple. L accès à la carte SIM n est possible qu avec un code PIN que le client est seul à connaître. L identification sur le réseau de téléphonie mobile se fait ensuite automatiquement, en fonction des codes confidentiels enregistrés sur la carte SIM et sur le réseau. Itinérance internationale (voix, données, SMS) 1/2

27 Quelles sont les protections supplémentaires dont dispose le client? Le client se prémunira des conséquences négatives induites par le vol de son téléphone mobile par les mesures suivantes: Activer le code PIN de la carte SIM et le code PIN de l appareil / verrouillage du clavier Prendre note du numéro de série de l appareil (IMEI) (taper le numéro *#06# sur le clavier pour l obtenir) Sauvegarder les contacts, les photos, etc. Déclarer immédiatement la perte de son appareil au Pour éviter des frais d itinérance inattendus, le client peut prendre les mesures suivantes: Consulter le cockpit Itinérance ( si l itinérance de données est activée, il est possible d acheter des paquets de données et ainsi de garder le suivi des coûts. La consultation de cette page est également gratuite à l étranger. Si vous n avez pas besoin de la Combox à l étranger, désactivez-la de manière temporaire. Itinérance internationale (voix, données, SMS) 2/2

28 Raccordement Internet Description du produit Disponibilité Confidentialité Intégrité Le raccordement Internet permet aux clients d accéder à Internet au moyen d un raccordement au réseau fixe. Il inclut également le pack de service Classic qui comprend cinq adresses avec filtre antispam, antiphishing et antivirus, ainsi que divers autres services. Différents modèles tarifaires sont appliqués pour facturer le raccordement Internet en fonction des prestations combinées supplémentaires et de la vitesse de la ligne. Le raccordement Internet peut être utilisé par 100 % de la population suisse. Là où le DSL ou la fibre optique n est pas disponible pour des raisons techniques, le service est assuré par les technologies alternatives SAT ou 3G / 4G. Des informations détaillées concernant la disponibilité sur un site spécifique sont disponibles à l adresse Le raccordement Internet est mis à la disposition des utilisateurs via des systèmes redondants et bénéficie de la meilleure protection contre les défaillances totales. Ces systèmes font l objet d une surveillance permanente et de contrôles techniques réguliers qui garantissent le fonctionnement, la disponibilité et la sécurité. Avec un raccordement Internet, les données sont transmises par le réseau Internet qui est exploité par de nombreuses entreprises et organisations. Swisscom n est donc pas en mesure de garantir la confidentialité des données de bout en bout sur Internet. Les fournisseurs de services Internet et les clients peuvent accroître la confidentialité des données en utilisant des techniques de cryptage. Certains services Internet tels que le Webmail, le commerce électronique et les prestations bancaires en ligne ont systématiquement recours à des connexions sécurisées afin de garantir la confidentialité des données transmises. Dans le cadre du raccordement Internet, les données sont transmises par Internet. Swisscom ne peut donc pas garantir la transmission complète et intègre des données de bout en bout. Raccordement Internet 1/2

29 Accès / identification Quelles sont les protections supplémentaires dont dispose le client? Les clients sont identifiés à l aide de leurs données d accès ou des informations concernant la ligne. Conformément aux prescriptions légales, le nom du client, l heure et l adresse IP qui lui a été attribuée sont sauvegardés pendant six mois. Ces données sont traitées de manière confidentielle et ne sont divulguées que dans les procédures pénales en cours sur présentation d une ordonnance judiciaire. Pour transmettre des données importantes, Swisscom conseille d utiliser exclusivement une liaison bénéficiant d une protection supplémentaire. Les clients peuvent utiliser les procédures SSL (Secure Socket Layer) ou Virtual Private Networks (VPN). Dans le navigateur Internet, un symbole en forme de cadenas apparaît en bas de la fenêtre lorsque la connexion est sécurisée. En cas d utilisation de DSL sur un réseau WLAN, Swisscom conseille de mettre en œuvre un cryptage WPA / WPA2 au niveau du routeur. Le produit «Internet Security» de Swisscom protège vos ordinateurs et vos appareils portables contre les contenus dangereux, les virus, les vers et les logiciels espions. Raccordement Internet 2/2

30 iphone / ipad Description du produit Disponibilité Confidentialité Intégrité Accès / identification L iphone / ipad permet aux entreprises disposant d une infrastructure de messagerie externalisée (hosted) ou de leur propre infrastructure de messagerie (p. ex. Microsoft Exchange, IBM Domino ou Novell GroupeWise) de recevoir, de traiter et d envoyer des s de manière cryptée, de gérer des rendez-vous et des adresses et de mobiliser des processus commerciaux. La disponibilité de l iphone / ipad dépend du fournisseur de messagerie électronique choisi, des réseaux de téléphonie mobile et de la disponibilité du terminal utilisé. Le service de téléphonie mobile est très rarement perturbé. Il est considéré comme extrêmement fiable. La confidentialité des données transmises dépend des réglages de l appareil. La transmission de données par le navigateur garantit la confidentialité lorsque le serveur prend en charge le cryptage SSL / TLS et que celui-ci est activé. La confidentialité de la messagerie électronique est assurée si le cryptage SSL (Secure Socket Layer) est activé sur l iphone / ipad et que le serveur prend en charge ce procédé. L accès sécurisé à des données d entreprise confidentielles peut être garanti au moyen d une liaison VPN (Virtual Private Network). L intégrité des données stockées sur l iphone / ipad est assurée à travers une protection d accès par saisie au clavier (blocage de l appareil). A la livraison de l appareil, ce blocage est inactif. Il faut donc l activer. A la livraison de l appareil, l identification du client sur le terminal est basée sur un mot de passe numérique. Pour plus de sécurité, des lettres peuvent être ajoutées au code d accès et sa longueur minimale augmentée, au moyen de l outil «iphone Configuration Utility». Dans les paramètres de configuration, une option permet également d effacer le contenu de l appareil après dix tentatives infructueuses de saisie du mot de passe. En cas de perte ou de vol, les administrateurs Exchange peuvent effacer les données de l appareil via le Cloud ou au moyen de la fonction Remote Wipe. L accès au réseau de téléphonie mobile peut être protégé par un code PIN. iphone / ipad 1/2

31 Quelles sont les protections supplémentaires dont dispose le client? L outil «iphone Configuration Tool» (disponible pour Windows et OS X) ou un Mobile Device Management System (BES10, Mobile Iron, etc.) permet de paramétrer l appareil en suivant les prescriptions de l entreprise. Les paramètres de sécurité exigés par l entreprise (activation du blocage codé, interdiction pour l utilisateur d installer des logiciels, etc.) sont installés sur l iphone / ipad, ce qui évite les erreurs de configuration de la part de l utilisateur. iphone / ipad 2/2

32 MMS Description du produit Disponibilité Confidentialité Le Multimedia Messaging Service (MMS) offre la possibilité d envoyer des messages multimédias avec un téléphone portable à d autres appareils mobiles ou à des adresses . Un message multimédia (MM) peut être composé d un nombre illimité de pièces jointes de types divers. Il est ainsi possible d envoyer des textes, des images et de courtes séquences vidéo à un ou plusieurs destinataires. La taille maximale d un message multimédia pouvant être transmis dans le réseau mobile de Swisscom est de 300 Ko. Il arrive parfois que la disponibilité du service MMS soit limitée, en particulier dans les rares cas de défaillance ou de surcharge du réseau. La capacité des systèmes nécessaires est développée en permanence, en fonction du nombre croissant d utilisateurs. Les MMS identifiés comme porteurs de virus et de vers ne sont pas envoyés. Sur le réseau de Swisscom, les MMS sont transmis en clair via des canaux sécurisés SMS, WAP et GSM / GPRS et sont transportés sous forme cryptée via l interface radio. Les systèmes MMS qui traitent les messages et les stockent dans des mémoires intermédiaires sont exploités dans des zones sécurisées. Ces réseaux et systèmes de Swisscom, qui satisfont à des normes de sécurité élevées, font l objet d une surveillance et de contrôles permanents. Si un MMS ne peut pas être affiché sur l appareil du destinataire, ce dernier peut consulter le message sur le site Internet de Swisscom. A cette fin, le numéro d appel doit être saisi, de même qu un mot de passe qui est envoyé au destinataire par SMS. Une fois consultés, les MMS sont immédiatement effacés. Les clients disposant de leur propre Box MMS peuvent y enregistrer les messages. Sur d autres réseaux de téléphonie mobile, il arrive que les MMS soient transmis en clair sur l ensemble de l itinéraire, le niveau de sécurité étant alors défini par chaque opérateur. Sur le terminal, les MMS ne sont pas archivés sous forme cryptée. MMS 1/2

33 Intégrité L intégrité des MMS est garantie par l intégrité des services de base SMS, WAP et GSM / GPRS, ainsi que par le système de MMS. En fonction de l appareil destinataire, il peut s avérer nécessaire d adapter et d optimiser le format des MMS envoyés, en particulier pour les données image et vidéo. Cette opération est toutefois effectuée automatiquement dans un système protégé (trans coder) situé dans la zone sécurisée. Cette adaptation ne concerne pas les données texte. Swisscom contrôle le trafic de MMS et y recherche les virus éventuels en analysant la structure des messages. Les MMS infectés par des virus et des vers connus, susceptibles d endommager l appareil destinataire, sont bloqués par des mécanismes de protection et ne sont pas délivrés. Les fournisseurs de contenu de Swisscom s engagent contractuellement à protéger leurs services contre tout abus. Les contenus proposés par Vodafone live! sont certifiés et identifiables sur l appareil en tant que tels. Accès / identification Quelles sont les protections supplémentaires dont dispose le client? Les MMS reposent sur les mécanismes d identification des réseaux de téléphonie mobile. Les MMS mis à disposition sur la page Internet de Swisscom sont protégés par un mot de passe associé au numéro d appel. Ce mot de passe est communiqué au destinataire par SMS. Les MMS peuvent contenir des virus: dans le doute, Swisscom recommande de ne pas installer d applications ou de consulter l expéditeur avant de procéder à l installation. Il est recommandé d installer un filtre antivirus sur les appareils équipés des systèmes d exploitation Symbian ou Mobile Windows. Swisscom recommande de protéger l accès à l appareil par un code PIN et de ne pas laisser sans surveillance les appareils allumés. MMS 2/2

34 Mobile Unlimited Description du produit Disponibilité Envoyez vos s et surfez sur le net en haut débit lors de vos déplacements: avec Mobile Unlimited, la Suisse devient un hotspot. Mobile Unlimited vous donne la liberté de travailler partout où vous voulez. Que ce soit à la maison, au bureau, en déplacement ou dans votre résidence secondaire vous êtes automatiquement relié à Internet ou au réseau de votre entreprise avec le plus grand débit possible via l accès mobile à large bande ou le WLAN. Mobile Unlimited comporte un portefeuille de différents produits multi-accès. Les matériels suivants sont disponibles actuellement: Modem USB Huawei E303 Modem USB Huawei E3276 4G Hotspot mobile ZTE MF60 Hotspot mobile ZTE MF91 4G Option routeur Globesurfer III+ 3G Ce portefeuille est régulièrement adapté aux technologies actuelles. La liste des produits est disponible à l adresse devices.html Par ailleurs, Mobile Unlimited prend en charge différents modèles d ordinateurs portables de divers fabricants, avec des modems haut débit intégrés («3G / 4G Ready»). Mobile Unlimited fonctionne avec des réseaux (de téléphonie mobile) indépendants les uns des autres (actuellement GPRS / EDGE, UMTS, WLAN, HSPA et LTE). Cette combinaison de réseaux permet d obtenir une disponibilité maximale, bien que la vitesse de communication varie en fonction de la technologie de chaque réseau. La redondance géographique des composantes techniques centralisées de ce service, installées dans des centres de calcul, minimise les risques de défaillance. Le passage automatique et sans interruption entre les réseaux peut être désactivé sur demande du client. Confidentialité La sécurité de la transmission des données pendant l utilisation de Mobile Unlimited est conforme aux normes de sécurité des réseaux empruntés; elle est donc toujours assurée. Mobile Unlimited 1/2

35 La transmission de données via WLAN est cryptée «over the air» avec le procédé WPA2 (SSID=Swisscom_Auto_Login) ou WEP (SSID=MOBILE-EAPSIM). Swisscom recommande à ses clients d utiliser le cryptage WPA2 et de le compléter par le VPN pour la transmission de données, dès qu il s agit de données confidentielles. La confidentialité des données enregistrées sur les PC relève de la responsabilité du client. Swisscom préconise l utilisation de logiciels de protection adaptés. Intégrité Les données traversent différentes zones de sécurité de Swisscom. Les clients qui utilisent Mobile Unlimited avec des terminaux mobiles sont protégés les uns des autres dans le réseau. Il est impossible qu un client ait directement accès à l appareil d un autre client via le réseau de téléphonie mobile. Mobile Unlimited fait l objet d un audit régulier et est soumis à des attaques d experts afin de déceler rapidement les failles éventuelles et de régulariser la situation. Swisscom ne saurait exclure l éventualité que des virus (ou autres) attaquent le terminal du client. Swisscom recommande l installation de programmes de protection, tels que logiciels antivirus, pare-feux personnels et logiciels anti-espion / antispam. Accès / identification Au démarrage du logiciel Mobile Unlimited, le client doit s identifier sur la carte SIM (insérée dans le PC ou une clé USB) à l aide d un code PIN. L identification sur le réseau de téléphonie mobile se fait ensuite automatiquement, en fonction des codes confidentiels enregistrés sur la carte SIM et sur le réseau. Swisscom conseille de ne pas désactiver le code PIN. Tout comme le PUK, le code PIN est accessible à certains collaborateurs de la hotline, pour que ceux-ci puissent venir en aide au client en cas de perte du code PIN. Quelles sont les protections supplémentaires dont dispose le client? Le VPN (canal protégé) est une protection supplémentaire que les clients peuvent apporter à la connexion entre leur terminal et le réseau d entreprise. Pour ce service, Swisscom recommande de ne pas modifier les paramètres de sécurité, réglés par défaut sur le niveau maximal. Corporate Network Access permet de relier les réseaux d entreprise au réseau de téléphonie mobile via VPN avec une connexion sécurisée et conforme aux exigences des clients. La sécurité de la connexion est ainsi optimisée. Mobile Unlimited 2/2

36 Mobile Voice Description du produit Disponibilité La technologie GSM (Global System for Mobile Communications) est une norme pour les réseaux mobiles entièrement numériques essentiellement utilisée pour la voix, la transmission de données à commutation de circuits et par paquets ainsi que les messages écrits courts (SMS). Il s agit de la première norme de seconde génération (2G) et de la norme de téléphonie mobile la plus répandue au monde. Les normes UMTS (3G) et LTE (4G) sont venues s ajouter ces dernières années. Le réseau GSM couvre plus de 99% des régions habitées de Suisse. Il est possible de téléphoner dans toutes les régions desservies, à quelques restrictions près: dans les tunnels, à l intérieur des bâtiments et sous terre. Grâce à la forte redondance de l architecture réseau et système, une panne totale de l ensemble du réseau n est pas réaliste, même si des perturbations (généralement limitées à une région) surviennent occasionnellement. Swisscom s efforce d assurer une disponibilité élevée de son réseau de téléphonie mobile. Swisscom ne peut toutefois pas garantir le fonctionnement ininterrompu et sans perturbation de son réseau de téléphonie mobile, ni des durées et des capacités de transmission définies (p. ex. pour les SMS). Swisscom assure une surveillance permanente du réseau vocal de téléphonie mobile et veille à la suppression rapide des dérangements grâce à un concept de gestion performant. Des informations détaillées (p. ex. au sujet des travaux d entretien) figurent dans les conditions générales. Confidentialité La téléphonie vocale mobile repose sur la sécurité du réseau de téléphonie mobile et sur les normes GSM. La sécurité technique du service et des normes est avérée. Dans le cadre d une procédure pénale et moyennant le respect de certaines exigences légales déterminées, il est possible de limiter la confidentialité, comme c est le cas pour d autres fournisseurs et services. Si les exigences légales sont respectées pour un cas isolé, Swisscom doit autoriser les autorités compétentes à un accès sélectif aux communications et aux données de communication. Toutefois, les autorités pénales ne disposent pas d un accès permanent et illimité aux communications et aux données s y rapportant. Les collaborateurs de Swisscom n ont pas accès aux contenus des communications entre clients. Mobile Voice 1/2

37 Intégrité Accès / identification Swisscom vérifie régulièrement l intégrité du réseau téléphonique. Les normes de sécurité sont comparées à celles d autres entreprises de l UE et validées avec des sociétés spécialisées dans la sécurité. L infrastructure réseau de Swisscom se divise en plusieurs zones de sécurité. Toutes les zones sont surveillées en permanence. Les interventions des techniciens de Swisscom sont soumises à des directives strictes et font l objet de procès-verbaux et de contrôles. L identification du client s effectue à partir des codes confidentiels intégrés dans la carte SIM et sur le réseau. La carte SIM et les éléments d identification du réseau bénéficient d une sécurisation multiple. L accès à la carte SIM requiert un code PIN. L identification sur le réseau de téléphonie mobile se fait ensuite automatiquement, en fonction des codes confidentiels enregistrés sur la carte SIM et sur le réseau. Quelles sont les protections supplémentaires dont dispose le client? Swisscom conseille de ne pas désactiver le code PIN. Tout comme le PUK, le code PIN est accessible à certains collaborateurs de la hotline, pour que ceux-ci puissent venir en aide au client en cas de perte du code PIN. Les codes PIN et PUK ainsi que les autres codes de sécurité éventuellement attribués doivent être conservés avec soin, séparément du téléphone portable, et ne doivent pas être divulgués à des tiers. Il est en outre recommandé au client de modifier le code PIN régulièrement et de contrôler l activation d autres codes PIN (p. ex. code PIN de l appareil). Mobile Voice 2/2

38 SMS Description du produit Disponibilité Confidentialité SMS est l abréviation de «Short Message Service» ou service de messages succincts. Il s agit d un service de télécommunication permettant la transmission de messages texte. Le service SMS est disponible sur l ensemble du réseau. La Suisse est couverte à 99,8% par le réseau GSM de Swisscom. L infrastructure de base, de construction redondante, a été conçue pour faire face à de gros volumes comme au Nouvel An ou lors d occasions particulières telles que les votations. D une manière générale, le SMS est un service proposé par les opérateurs sans garantie de livraison. Sur le réseau de Swisscom, les SMS sont transportés sous forme cryptée sur des canaux sécurisés. Il s agit toutefois d un cryptage assuré sur un certain itinéraire, et non pas d un cryptage de bout en bout. Pour l itinérance (communications à l étranger), il peut arriver que les SMS soient transmis sur des réseaux tiers de manière non cryptée. Si le destinataire d un SMS n est pas joignable, le message est (provisoirement) mémorisé sous forme cryptée. Plusieurs tentatives sont effectuées pour délivrer le SMS au destinataire. Le système sollicité, situé dans une zone hautement sécurisée, est surveillé en permanence et soumis à une politique de sécurité restrictive. Sur les appareils, les SMS sont archivés sous une forme non cryptée. Pour éviter que des virus ou des spams ne s introduisent sur les appareils, le trafic de messages est contrôlé côté réseau. La structure «technique» des SMS est examinée par une machine. Les contenus ne sont ni lus, ni consultés. La sphère privée de l expéditeur et du destinataire est donc pleinement respectée. Les messages identifiés comme infectés ne sont pas délivrés. Intégrité L envoi, la transmission et la réception de SMS sur le réseau de Swisscom sont protégés contre l accès de tiers et contre toute manipulation. Grâce aux contrôles de sécurité permanents des réseaux et des systèmes et au cryptage, la probabilité des abus est pratiquement exclue. Dans le cas de l itinérance (communications à l étranger), cela ne se vérifie pas toujours. Les fournisseurs de services d information par SMS (numéros abrégés) s engagent, par un contrat conclu avec Swisscom, à protéger leurs services contre tout abus. SMS 1/2

39 Accès / identification Quelles sont les protections supplémentaires dont dispose le client? Il peut arriver que l identité de l expéditeur ne soit pas celle indiquée dans l adresse de l expéditeur du SMS. On ne peut donc pas toujours déduire avec certitude l identité réelle de l expéditeur d un SMS. Il est recommandé de protéger les SMS enregistrés en clair sur les appareils contre tout accès non autorisé. Si des SMS sont utilisés de manière frauduleuse comme spams, Swisscom peut immédiatement prendre des mesures. Une suspicion de spam peut être signalée à la hotline. Il faut éviter de laisser traîner l appareil sans surveillance et, dans la mesure du possible, le protéger par un mot de passe. Swisscom recommande en outre de ne jamais désactiver le code PIN de la carte SIM. SMS 2/2

40 SMS Large Account Description du produit Disponibilité Le service SMS Large Account permet d envoyer rapidement de grandes quantités de SMS dans le monde entier. Plus le volume de messages envoyés est important, plus le prix est intéressant. Le contractant obtient un accès direct au centre SMS. En fonction de ses besoins, le client a le choix entre un accès via ISDN ou IP. La disponibilité du service SMS Large Account est largement déterminée par le type d accès réseau choisi par le client (ISDN, Internet ou LAN-I / IPSS) pour se connecter à l infrastructure SMS de Swisscom. L infrastructure de base, entièrement redondante, a été conçue pour transmettre avec fiabilité de grands volumes de données (Nouvel An, votations, grandes manifestations sportives). Les fenêtres de maintenance sont annoncées à l avance. Elles ont lieu la nuit et durent quelques heures. La disponibilité du service SMS pour le contractant est élevée, notamment en raison de l excellente couverture du réseau de téléphonie mobile en Suisse (99,8%). En cas d échec de la transmission, de nouvelles tentatives sont effectuées à intervalles réguliers pour délivrer le SMS au destinataire. Mais en principe, les opérateurs, dont Swisscom, proposent les SMS Large Accounts en tant que service sans garantie d accès ni de livraison, en raison des caractéristiques techniques. Confidentialité La confidentialité du service est largement déterminée par l accès réseau choisi par le client pour se connecter à l infrastructure SMS de Swisscom: Dans le cas d un accès via ISDN, Swisscom assure la confidentialité jusqu au point de remise au fournisseur de services téléphoniques du client. Dans le cas d un accès (non protégé) via Internet, les données, y compris le mot de passe, sont transmises de manière non cryptée via des «TCP sockets» (prises TCP). Dans le cas d un accès via LAN-I / IPSS, Swisscom garantit la disponibilité et la sécurité de l accès client jusqu à l infrastructure SMS de base via SLA. L infrastructure SMS de base est exploitée dans une zone hautement sécurisée de Swisscom, surveillée en permanence et soumise à la politique de sécurité stricte de Swisscom. La livraison au client final s effectue via des canaux sécurisés du réseau de téléphonie mobile de Swisscom. Lorsque les destinataires se trouvent à l étranger (itinérance), il se peut que les SMS soient transmis sur des réseaux tiers de manière non cryptée. SMS Large Account 1/2

41 Intégrité Accès / identification L envoi et la transmission de SMS sur le réseau de Swisscom sont protégés contre l accès de tiers et contre toute manipulation et sont soumis à des contrôles de sécurité permanents. L identité du client est déterminée par l accès réseau: ISDN: numéro d appel du client et mot de passe Internet: adresse IP du client et mot de passe LAN-I / IPSS: adresse IP du client et mot de passe L identité de l expéditeur peut être choisie et configurée librement par le client. Le destinataire ne peut donc pas toujours déduire clairement l identité réelle de l expéditeur d un SMS. Une source de spams possible pour les Large Accounts sont les SMS non sollicités envoyés par des clients à un SMS Large Account. Il s agit toutefois d une violation claire des dispositions d utilisation contractuelles que Swisscom sanctionne systématiquement. En outre, Swisscom exclut en principe la possibilité d envoyer des SMS d un SMS Large Account à un autre. Le risque de spams est ainsi considérablement réduit. Quelles sont les protections supplémentaires dont dispose le client? En choisissant l accès réseau, le client peut choisir le niveau de sécurité qu il désire pour les SMS. Les options ISDN, TC-IP et LAN-I / IPSS sont à sa disposition. La protection de la confidentialité peut encore être augmentée grâce à un cryptage de bout en bout des SMS. Cette solution requiert cependant l utilisation de modules de décryptage sur les terminaux récepteurs. SMS Large Account 2/2

42 Webhosting Description du produit Disponibilité Confidentialité Swisscom vous propose une offre adaptée à tous les besoins pour votre site Internet et son hébergement, fonction incluse, et ce, que vous soyez un amateur versé en programmation HTML ou un professionnel. Le service d hébergement Webhosting garantit une disponibilité très élevée et répond aux exigences de sécurité les plus hautes. Le centre de calcul hautes performances de Zurich est équipé de systèmes d alarme complets et le réseau bénéficie de la protection des pare-feu les plus modernes. Un centre de contrôle assure par ailleurs la surveillance permanente des réseaux de données afin que tout incident, tout dérangement et toute interruption soient rapidement identifiés et traités. Les informations clients sont stockées dans les zones de sécurité des systèmes de Swisscom, où elles sont protégées contre tout accès par des personnes non autorisées conformément aux normes de sécurité usuelles pour les sites Internet. L architecture de sécurité repose notamment sur des systèmes électroniques de détection des intrusions, sur des zones de sécurité protégées par des pare-feu et sur un contrôle rigoureux de l accès aux données. Intégrité Toutes les plates-formes d hébergement font régulièrement l objet de contrôles menés par des spécialistes externes de la sécurité, de manière à ce que seules des personnes habilitées puissent traiter les données. Les failles de sécurité potentielles sont ainsi rapidement identifiées et corrigées à temps. Une sauvegarde quotidienne des données et un service de restauration complet assurent l intégrité des données. Accès / identification Quelles sont les protections supplémentaires dont dispose le client? Grâce aux mesures mises en œuvre par Swisscom, seules les personnes habilitées ont accès aux données par l intermédiaire d une interface cryptée spécifique. Swisscom recommande de changer les mots de passe tous les mois. Ces derniers doivent être composés d au moins huit caractères comprenant à la fois des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Ils ne doivent en revanche contenir aucun nom. Pour renforcer la sécurité au niveau de leur poste de travail, les clients peuvent également installer un antivirus et un dispositif de protection contre les logiciels espions, mettre en place un pare-feu personnel et activer le filtre antispam. Webhosting 1/1