Foire aux questions (FAQ)

Question Réponse
Comment se déroule le test public de sécurité? Le test public de sécurité sera mené dès le 28 mai 2020 et vise une transparence totale. Ses résultats peuvent être notifiés sur le site Internet du NCSC et commentés en détail au moyen d’un formulaire. Le NCSC réceptionne les notifications, les analyse, définit leur priorité en fonction de leur capacité de nuisance et, le cas échéant, supprime les failles. Les notifications reçues sont publiées sur le site du NCSC et mises à jour quotidiennement.
Pourquoi effectuer un test public de sécurité?   Le test public de sécurité doit permettre d’accroître la sécurité du système SwissCovid, de développer et de partager les connaissances relatives à ce système, et de garantir la transparence. Les notifications et les observations concernant les résultats du test contribuent à accroître sans délai la sécurité de l’application SwissCovid et permettent également aux spécialistes indépendants de développer des compétences et des connaissances relatives à ce modèle décentralisé de traçage de proximité.  
Pourquoi le NCSC est-il chargé de mener le test public de sécurité?   L'Office fédéral de la santé publique (OFSP) a chargé le Centre national pour la cybersécurité (National Cyber Security Centre, NCSC) d’effectuer le test public de sécurité du système de traçage de proximité. Le NCSC, placé sous la direction du délégué de la Confédération à la cybersécurité, a pour mandat de protéger la population et l’économie contre les cyberrisques, et d’améliorer la sécurité des systèmes informatiques de l’administration fédérale.
Quel est l’objectif du test public de sécurité? La population suisse doit pouvoir faire usage de l’application SwissCovid tout en bénéficiant d’une protection optimale de sa sphère privée. L’ensemble du système de traçage de proximité doit répondre à des normes de sécurité élevées. Ce test permet d’examiner en détail le système de traçage de proximité. Il appartient ainsi aux nombreuses mesures de sécurité mises en place. 
Quels sont exactement les aspects pouvant être testés? Où le code source sera-t-il publié?

Les référentiels (respositories) de code peuvent être consultés aux liens suivants (en anglais):

 
Qui peut prendre part au test public de sécurité? Le test public de sécurité est ouvert à toutes les personnes, en Suisse comme à l’étranger, qui souhaitent contribuer à l’amélioration de la sécurité du système de traçage de proximité.
Est-il nécessaire de s’inscrire pour prendre part au test public de sécurité? Il n’est pas nécessaire de s’inscrire. Le résultat du test peut être notifié directement et sans inscription sur le site Internet du NCSC. Lors de la saisie du résultat, les personnes qui le souhaitent peuvent entrer leurs coordonnées. Cela permet au NCSC de prendre contact avec les participants en cas de questions. 
Que se passe-t-il si une faille critique est découverte? Le NCSC réceptionne les notifications, les analyse, définit leur priorité en fonction de leur capacité de nuisance et, le cas échéant, supprime les failles. Si le résultat ou son impact sont considérés comme critiques, la faille sera traitée en priorité.
Les résultats du test sont-ils publiés? Les notifications reçues sont publiées sur le site du NCSC et mises à jour quotidiennement.
Le test public de sécurité a-t-il été mis en place en raison de l’attention accrue portée sur l’application par le Parlement? Non. Le test public de sécurité fait partie des nombreuses mesures mises en place pour garantir la sécurité et l’intégrité du système de traçage de proximité (application SwissCovid et ses systèmes périphériques). Ce test était déjà planifié à un stade précoce de la conception du projet. Il s’agit de la procédure usuelle pour la mise en œuvre de ce type de projets et de systèmes. 
Les participants au test public de sécurité doivent-ils signer un accord de confidentialité (Non-Disclosure Agreement)? Non. Il n’est pas non plus nécessaire de s’enregistrer ou de s’inscrire. Veuillez consulter les informations et les conditions cadres relatives au test: Scope & Rules of Engagement, en anglais uniquement.
N’est-il pas illégal de mener une attaque contre un système?
Dans le cadre du présent test public de sécurité du système de traçage de proximité, il est autorisé, en respectant le cadre et les règles, de tester de manière intensive le système et de lui faire subir des attaques. Veuillez consulter les informations et les conditions cadres relatives au test pour éviter toute incertitude: Scope & Rules of Engagement, en anglais uniquement.
Quelle est la différence entre le test public de sécurité et la phase pilote d’exploitation de l’application SwissCovid?   La phase pilote d’exploitation a principalement pour objectif d’évaluer la convivialité et le fonctionnement de l’application SwissCovid. Le test public de sécurité, quant à lui, vise à tester les systèmes périphériques de l’application SwissCovid, principalement du point de vue de la sécurité.
  La version française des questions suivantes suivra prochainement.
Wieso macht man die beiden «Test-Phasen» nicht gemeinsam? Die beiden Phasen richten sich an unterschiedliche Personengruppen. In der Pilotphase wird die (eigentliche) Funktionsweise und Benutzbarkeit der SwissCovid-App durch den App-Nutzer in einem dafür vorgesehenen Umfeld getestet. Im Public Security Test geht es um die Sicherheit – IT-Experten sind deshalb eingeladen, das Proximity Tracing System einer vertieften Sicherheitsprüfung zu unterziehen. Beim Public Security Test stehen die Sicherheitsaspekte im Vordergrund.
Welches System genau wird getestet? Die «Rules of Engagement» definieren die Rahmenbedingungen des Public Security Tests und dessen Abgrenzungen. https://www.melani.admin.ch/melani/de/home/public-security-test/scope_and_rules.html
Dürfen auch ausländische Tester mitmachen? Am Public Security Testing können alle Personen teilnehmen - auf nationaler wie internationaler Ebene - welche zur Erhöhung der Sicherheit des Proximity Tracing Systems einen Beitrag leisten wollen.
Wie lange dauert der Test? Die Sicherheit der APP steht im Vordergrund, daher wurde erst ein Startdatum festgelegt. Damit die Sicherheitsexperten genügend Zeit haben die Systeme zu prüfen, wurde noch kein Endtermin definiert.
Kann es sein, dass die Ergebnisse einen Start der App im Juni verhindern? Wer entscheidet das?

Das NCSC nimmt die Testresultate entgegen, bewertet deren Inhalte, priorisiert diese in Anbetracht ihrer Kritikalität und veranlasst ggf. die Behebung.  Wird ein Testresultat bzw. dessen Auswirkung als kritisch bewertet, wird die Behebung entsprechend priorisiert. Bei jeder identifizierten Schwachstelle muss die Situation neu beurteilt werden.

Der Entscheid ob die App im Juni der Öffentlichkeit zur Verfügung gestellt werden kann, obliegt dem BAG. Zusätzlich muss die gesetzliche Grundlage vorliegen.

Si vous avez d'autres questions, vous pouvez envoyer un courriel à l'adresse suivante: media@bag.admin.ch .

Contact spécialisé
Dernière modification 05.06.2020

Début de la page

https://www.melani.admin.ch/content/melani/fr/home/public-security-test/faq.html