Bundesamt für Bevölkerungsschutz Office fédéral de la protection de la population Ufficio federale della protezione della popolazione Uffizi federal da protecziun da la populaziun Interfaces pour l'échange de données au sein de la protection civile Les interfaces du système centralisé de gestion de l'information pour la protection civile (ZEZIS) définissent le format d'échange et les valeurs autorisées pour l'échange électronique de données personnelles importantes au sein de la protection civile. Ce système électronique permet d'apporter des modifications aux données enregistrées lors du recrutement, d'enregistrer les changements de domicile indépendamment du canton et du système utilisé ainsi que de communiquer les jours de services accomplis aux autorités cantonales en charge de la taxe d'exemption de l'obligation de servir. Nom Introduction et aperçu Standard Introduction à la documentation des interfaces ZEZIS, 00.01.00 Degré de développement Statut Défini Projet public Valable dès Octobre 2004 Brève description Modifié - Remplace - Se base sur - Langue Auteurs Editeur ZEZIS est un projet de standardisation visant à favoriser l'échange de données entre les différents partenaires de la protection civile. L'échange de données se base uniquement sur des solutions standard qui sont librement accessibles à tous les partenaires concernés. Les tâches suivantes seront effectuées au moyen des interfaces définies aujourd'hui: transfert des données du recrutement, échange de données de mutation, remise de listes de cours, planification des cours et transfert des données aux autorités cantonales en charge de la taxe d'exemption. Allemand Volker Dohr et Martin Haller (martin.haller@babs.admin.ch) Office fédéral de la protection de la population, Projet ZEZIS, Case postale, 3003 Berne, Tél.: 031 322 51 21, info@babs.admin.ch / www.protpop.ch/zezis Version Date Nom Remarque: 00.01.00 2004-08-13 Volker Dohr Création 00.01.10 2004-08-31 Volker Dohr Compléments et corrections VBS DDPS DDPS DDPS Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport Département fédéral de la défense, de la protection de la population et des sports Dipartimento federale della difesa, della protezione della popolazione e dello sport Departament federal da la defensiun, da la protecziun da la populaziun e dal sport \\IFC1.IFR.INTRA2.ADMIN.CH\Shares\Teams\BABS-BFG\www.bevoelkerungsschutz.admin.ch\dienstleistungen\zezis\04-09-21_f_schnittstellendok-datenaustausch.doc
2 Table des matières 1. Situation initiale... 3 2. Tâches de la protection civile effectuées au moyen des interfaces... 3 2.1. Recrutement (processus 10 REKR)... 3 2.2. Mutations (processus 20 MUT)... 3 2.3. Taxe d'exemption de l'obligation de servir (processus 40 WPE)... 4 2.4. Fonctions supplémentaires... 4 3. Formats de données XML et Excel... 5 3.1. XML... 5 3.2. Excel... 5 3.3. Langue... 5 4. Sécurité des données... 5 4.1. Aspects juridiques... 5 4.2. Degré de protection du cryptage... 6 4.3. Echange d e-mails et sécurité des données avec ZEZIS... 6 4.4. Possibilités de transmission «sécurisée» d e-mails avec ZEZIS... 6 4.5. Cryptage basé sur le client avec ZEZIS... 7 4.6. Technologie de cryptage utilisée... 7 4.7. Licence des logiciels de cryptage et de décryptage... 8 4.8. Attribution des mots de passe et échange de clés... 8 4.8.1. Processus 10 REKR... 8 4.8.2. Processus 20 MUT... 8 4.8.3. Processus 40 WPE... 9 4.9. Modification et génération du mot de passe... 9 4.9.1. Protection de la clé dans les applications du logiciel... 9 4.10. Accès aux applications... 9 4.11. Formation... 9 5. Site Internet et documents... 10
3 1. Situation initiale L'exécution des contrôles dans la protection civile se fait dans la plupart des cantons au moyen de l'informatique. Actuellement, on ne dénombre pas moins de trois fournisseurs de logiciels (HIPO AG, Arc Flow AG, om computer support ag) dans les cantons proposant des systèmes différents. Ces systèmes travaillent sans interaction. Chacun d'entre eux couvre au maximum un canton, et aucun ne couvre l'ensemble de la Suisse. Dans la pratique, cette situation s'est avérée compliquée car les données devaient être transmises manuellement. A l instigation des cantons et des fournisseurs de logiciels, un projet d'interfaces communes pour le transfert des données de la protection civile a été conçu. L'Office fédéral de la protection de la population a ainsi élaboré la solution présentée ci-dessous en collaboration avec les cantons. Un des objectifs essentiels était d'éviter de devoir remplacer les systèmes informatiques existants, mais de les maintenir pour des questions de protection des investissements et d'assurance-qualité et de répondre aux exigences de l'échange de données par le biais d'interfaces. Au cours de la première étape, les fournisseurs de logiciels se sont mis d'accord sur des règles et notions communes. Sur cette base, plusieurs interfaces uniformes permettant une connexion et un échange de données entre les différents intéressés ont été créées. 2. Tâches de la protection civile effectuées au moyen des interfaces Dans l état actuel des choses, les fonctions suivantes, divisées en différents processus, seront traitées par les interfaces ZEZIS: 2.1. Recrutement (processus 10 REKR) Cette application comprend le transfert, toutes les quatre semaines, des données enregistrées lors du recrutement aux cantons. Lorsque le canton ne dispose pas d'un système informatique centralisé, les données seront fournies en fichiers séparés par OPC. Ces fichiers seront ensuite transmis à chaque OPC par les organes cantonaux. Les données sont livrées dans des fichiers Excel ou en format XML. 2.2. Mutations (processus 20 MUT) Cette application comprend le transfert de données issues du contrôle matricule (feuille de contrôle jaune). L'interface permet de transmettre de nombreuses autres informations telles que, p. ex., les numéros de téléphone, les adresses, les différentes fonctions exercées ou les incorporations. Ces informations peuvent être échangées entre cantons et entre organisations de protection civile (changement de lieu de domicile).
4 2.3. Taxe d'exemption de l'obligation de servir (processus 40 WPE) Les exigences des autorités en charge de la taxe d'exemption de l'obligation de servir ont elles aussi été prises en compte. En effet, les données peuvent désormais être transmises directement par l'opc à l'office cantonal en format XML. Les indications concernant les jours de service accomplis peuvent ainsi être reprises électroniquement par tous les organes administratifs des autorités cantonales en charge de la taxe d'exemption de l'obligation de servir (TEO). Si les données ne sont pas disponibles dans une application informatique, il sera également possible de convertir un tableau Excel au format XML. Recrutement (GP 10) Mutations (GP 20) Taxe d'exemption (GP 40) Cdt recr Berne (ITR XXI) TEO canton Fig. 1: processus principal de ZEZIS 2.4. Fonctions supplémentaires En plus, les nombres de personnes astreintes enregistrées lors du recrutement pour les cours de base sont régulièrement envoyés aux cantons sous forme de liste (processus 32). Les interfaces pour l'enregistrement des planifications des cours et les livres de contingents ont été abandonnées car elles ne peuvent pas être réalisées avec les logiciels utilisés par le commandement du recrutement ou qu'il serait trop compliqué et coûteux de permettre la compatibilité. En l'occurrence, on continuera d'utiliser des tableaux Excel pour les planifications et de demander les dates des cours aux services compétents. Les planifications des cours seront introduites dans le système informatique du commandement du recrutement (ITR XXI) par l'office de recrutement de la protection civile. Les inscriptions aux cours des personnes astreintes à servir fixées lors du recrutement seront ensuite communiquées aux cantons par le biais de l'interface de recrutement.
5 3. Formats de données XML et Excel 3.1. XML Pour toutes les interfaces, les données sont envoyées en format d échange de données XML (Extensible Markup Language). Après décryptage, les contenus sont disponibles en clair et peuvent être visualisés à l aide d un navigateur Web. Les interfaces XML sont automatiquement identifiées par les logiciels de la protection civile et les données personnelles sont reprises dans les champs correspondants. Lorsque le canton ne dispose pas d un logiciel, le contenu peut quand même être identifié et modifié à partir du document XML. 3.2. Excel De plus, les données enregistrées lors du recrutement sont livrées dans un fichier Excel. Elles peuvent ainsi être modifiées de façon simplifiée, au cas où le canton ne disposerait pas des logiciels standards. Le fichier Excel se présente sous forme de tableaux et contient toutes les informations et données, comme le document XML. Les noms de toutes les personnes astreintes à la protection civile sont énumérés dans une feuille du tableau. 3.3. Langue Les noms de segment de l interface XML sont en allemand, qui est donc la langue du format de données. Les informations personnelles (données enregistrées) sont transmises selon la langue du logiciel, soit en allemand, en français ou en italien. 4. Sécurité des données 4.1. Aspects juridiques Tandis que la protection des données vise la protection de la personnalité, la sécurité des données concerne la protection de l information, c est-à-dire la garantie de la confidentialité, de la disponibilité et de l intégrité des données. La sécurité des données comprend toutes les mesures qui doivent être prises par le maître du fichier pour répondre aux exigences de la loi sur la protection des données. Ainsi, si les autorités et les organisations souhaitent procéder à l échange électronique des données spécifiées dans le projet ZEZIS, elles doivent attester de l existence des bases juridiques nécessaires et veiller à garantir la confidentialité et l intégrité (inaltérabilité) des données transmises. En l'occurrence, il n'y a pas lieu d'élaborer une base juridique particulière puisque ZEZIS se fonde uniquement sur le système de gestion du personnel de l armée (PISA). ZEZIS recourt exclusivement aux quelques informations nécessaires en matière de protection civile. Dans un souci d adéquation et d économie de données, seules les informations nécessaires sont transmises. La confidentialité est assurée grâce au cryptage de bout en bout (end to end) décrit ci-après. La loi sur la protection des données prévoit que les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et
6 techniques appropriées (art. 7 LPD). Ces mesures comprennent notamment le contrôle de l accès, le transport, la communication, la sauvegarde, l utilisation et la saisie des données. Le maître du fichier est tenu de journaliser les traitements de données et de rédiger un règlement de traitement des données. Les mesures concrètes sont décrites aux art. 20-23 OLPD. 4.2. Degré de protection du cryptage Le degré de cryptage défini par le Chief Information Officer (CIO) du DDPS pour ZEZIS est de 2,5. 4.3. Echange d e-mails et sécurité des données avec ZEZIS La croissance d Internet et le fait que de nombreuses sociétés et autorités soient désormais joignables par le réseau ont conduit la direction du projet ZEZIS à utiliser l email pour transmettre les données. Les systèmes de messagerie actuels parlant la langue commune SMTP, l échange d e-mails présente une grande interopérabilité. Néanmoins, la définition du protocole de messagerie date déjà des débuts d Internet et n a pas été conçu pour garantir la sécurité des données. Chaque e-mail est transmis en clair par SMTP et peut être lu sans problème. Or, comme la connexion Internet passe par des voies qu il n est pas possible de contrôler, il n est pas non plus possible de garantir la protection des données à moins de ne pas utiliser Internet comme moyen de transport des données (p. ex. RPV, lignes privées). De même, les messages échangés entre des sites différents au sein de la même autorité ou organisation ne sont pas forcément sûrs car même dans les réseaux privés, les lignes sont mises à disposition par d autres entreprises (p. ex. Swisscom) et passent pas des voies de communication accessibles au public. En règle générale, il n existe pas non plus d instance de surveillance qui authentifie un expéditeur en tant que tel. L expéditeur d un e-mail peut être facilement falsifié. Il n est donc pas suffisant de se fier au contenu d un e-mail (qu il s agisse de l information en elle-même, d une pièce jointe ou d un programme joint) en se fondant sur l expéditeur. Ces divers problèmes ne concernent pas ZEZIS. 4.4. Possibilités de transmission «sécurisée» d e-mails avec ZEZIS Il existait essentiellement quatre possibilités de transmettre un e-mail de façon «sécurisée» avec les interfaces ZEZIS. 1. Cryptage d usager à usager: Le programme de messagerie installé sur l ordinateur de l utilisateur (expéditeur et destinataire) crypte et décrypte lui-même ou un logiciel supplémentaire est utilisé. 2. Cryptage par routeur: Un système entre le serveur de messagerie et Internet crypte et décrypte les messages quasiment «pour le compte» de l utilisateur. 3. Cryptage SMTP: Les serveurs de messagerie transmettent eux-mêmes les messages cryptés (SSL) par le biais d Internet. 4. Cryptage TCP/IP: En recourant à l IPSEC ou au RPV, l ensemble du trafic TCP/IP entre les deux serveurs de messagerie est crypté.
7 4.5. Cryptage basé sur le client avec ZEZIS Il n existe pas de solution générale au problème de la protection du cryptage de la messagerie: il s agit plutôt de choisir une solution adaptée au niveau de protection des données exigé dans le projet concret et qui occasionne des dépenses raisonnables. Pour pouvoir juger de la sécurité des données qu offre une variante, il faut considérer les différentes composantes du système et réfléchir aux options appropriées. Etant donné qu il n est pas possible de sécuriser toutes les stations intermédiaires, l unique solution consiste à ce que l utilisateur sécurise les e-mails ou leurs pièces jointes au moment de les envoyer. L utilisateur tape ses e-mails comme d habitude et y joint des documents cryptés. Ainsi, les données sont cryptées sur l ordinateur. Nous avons opté pour ce type de cryptage simple mais néanmoins sûr (d'usager à usager). Au lieu de travailler avec des fichiers protégés par un mot de passe, le fichier complet et les pièces jointes sensibles sont cryptés directement par l utilisateur, envoyés et décryptés qu une fois arrivés à l ordinateur du destinataire (Fig. 2: cryptage symétrique). Fig. 2: cryptage symétrique Les inconvénients de cette méthode sont les suivants: l échange de la clé de cryptage, la protection de la clé privée et l indispensable formation des collaborateurs à l utilisation du système. Autre question importante: la méthode utilisée pour transmettre au destinataire la clé privée (private key) pour crypter les messages. 4.6. Technologie de cryptage utilisée Pour le projet ZEZIS, nous avons opté pour l outil de cryptage SafeGuard PrivateCrypto, sur recommandation de la Division de la protection des informations et des objets (DPIO) au DDPS. Cet outil permet, en une seule opération, de crypter et d envoyer les fichiers via la messagerie par le biais d une ligne de commande (command line), de telle sorte que ces tâches s effectuent en arrière-plan. Après le cryptage et l éventuelle compression des fichiers, la fonction "client e-mail" est lancée et le fichier est automatiquement joint. Cet outil est idéal car il permet de crypter et de joindre n importe quel fichier. SafeGuard PrivateCrypto utilise le nouveau «Advanced Encryption Algorithm» (AES) basé sur
8 l algorithme «Rijndael». Pour crypter les données, l outil du fabricant Sophos utilise l algorithme «Rijndael» avec une longueur de clé de 128 bits. Successeur de l algorithme DES, l algorithme «Rijndael» le remplacera à l avenir. Pour compresser les fichiers, on a recours au programme de compression BZIP2. Les clés utilisées pour le cryptage sont dérivées de l utilisation du standard de cryptographie PKCS#5 pour les mots de passe. 4.7. Licence des logiciels de cryptage et de décryptage L Office de la protection de la population a acheté des licences pour les cantons et les gère de telle sorte qu il est possible d installer le logiciel sur 1-2 postes de travail dans chaque canton. 4.8. Attribution des mots de passe et échange de clés Pour pouvoir décrypter les données de l interface, le destinataire doit avoir installé le logiciel de cryptage sur son ordinateur. Les fournisseurs du logiciel enregistrant le mot de passe dans leurs applications, il ne doit être saisi qu une seule fois. Pour chaque processus, nous avons opté pour un mot de passe différent, attribué par le chef de projet. Dans le projet ZEZIS, la stratégie en matière de mots de passe est la suivante: 4.8.1. Processus 10 REKR Ce processus vise à transmettre unilatéralement aux cantons les données personnelles enregistrées lors du recrutement pour l exécution des contrôles. Dans l intérêt de la sécurité des données, nous avons opté pour 26 mots de passe. Chaque canton reçoit un mot de passe attribué par la direction du projet ZEZIS. Le fournisseur du logiciel ou l utilisateur saisit le mot de passe dans l application. Il est enregistré dans l application où il est à nouveau crypté. Si, pour des raisons de sécurité, le mot de passe doit être modifié, il suffit d appeler ou d envoyer un e-mail à la direction du projet à l OFPP. Le mot de passe sera alors envoyé par courrier au responsable cantonal désigné. Dans ce cas, l ancien mot de passe de l utilisateur doit être modifié dans le logiciel de la protection civile et transféré. Il sera de nouveau enregistré pour le cryptage automatique lors de l échange de données. Les instructions relatives à la modification du mot de passe sont décrites dans le manuel du fabricant. S il n y a pas de logiciel et que le cryptage et le décryptage s effectuent directement grâce au logiciel de cryptage, le mot de passe doit être conservé en lieu sûr et saisi lors de chaque utilisation. 4.8.2. Processus 20 MUT Le processus «Mutations» permet l échange de données entre les cantons et entre les organisations de protection civile en Suisse. Pour ce processus, nous avons prévu un seul mot de passe car l utilisation de plusieurs mots de passe aurait été trop compliquée. Après en avoir discuté avec les fournisseurs de logiciels, cette décision est apparue comme la seule solution praticable.
9 Pour modifier le mot de passe, il suffit de suivre les instructions décrites ci-dessus. Les mots de passe peuvent être adaptés un à un pour chaque processus. 4.8.3. Processus 40 WPE Le processus «Taxe d exemption de l obligation de servir» vise l export des jours de service accomplis par chaque personne astreinte dans le canton. Les données sont transmises aux autorités cantonales en charge de la taxe d exemption de l obligation de servir. Pour ce processus, nous avons également prévu un seul mot de passe. Après en avoir discuté avec les fournisseurs de logiciels, cette décision est apparue comme la seule solution praticable. Pour modifier le mot de passe, il suffit de suivre les instructions décrites ci-dessus. Les mots de passe peuvent être adaptés un à un pour chaque processus. 4.9. Modification et génération du mot de passe Pour la plupart des applications du logiciel, il suffit de saisir une seule fois le mot de passe dans le logiciel pour le modifier. Le nouveau mot de passe est alors enregistré et n a pas besoin d être saisi une seconde fois. Les mots de passe sont générés, gérés et attribués de façon centralisée par la direction du projet ZEZIS. La liste des mots de passe est enregistrée sous forme cryptée dans le projet ZEZIS et accessible uniquement aux collaborateurs participant au projet et responsables de l attribution des mots de passe. Le mot de passe est modifié soit à la demande du canton, soit sur la base de la modification périodique fixée par la direction de ZEZIS. 4.9.1. Protection de la clé dans les applications du logiciel La clé du mot de passe est enregistrée dans l application du logiciel où elle est à nouveau cryptée par un mot de passe interne. 4.10. Accès aux applications L accès au logiciel même est protégé comme d habitude par un nom d utilisateur et un mot de passe. 4.11. Formation Il n est pas nécessaire de former les utilisateurs à l usage du logiciel de cryptage car il est intégré dans le logiciel de la protection civile. Les organisations cantonales de protection civile ne disposant pas de logiciel pour la protection civile peuvent installer très facilement le logiciel. A la réception de pièces jointes cryptées, celles-ci sont ouvertes et le logiciel démarre automatiquement en demandant le mot de passe. Le fichier est ensuite modifié depuis cet emplacement.
10 5. Site Internet et documents Les interfaces décrites dans ce document peuvent être téléchargées sur Internet. Les documents disponibles sont les suivants: le schéma XML (format XSD), un exemple XML et la documentation des champs et des interfaces dans Excel.