Computer security incident response teams: are they legally regulated? The Swiss example

Computer Security Incident Response Teams (CSIRTs) or Computer Emergency Response Teams (CERTs) are an integral part of incident handling capabilities and are increasingly demanded by organizations such as critical infrastructures. They can hold many different skills and are of great interest to organizations in terms of cyber security and, more concretely, cyber incident management. This contribution seeks to analyze the extent to which their activity is regulated under Swiss law, considering that private CSIRTs are not regulated in the same way as governmental and national CSIRTs such as the Computer Emergency Response Team of the Swiss government and official national CERT of Switzerland (GovCERT)

Loi fédérale sur la sécurité de l’information : version 2.0

La Loi fédérale sur la sécurité de l’information (LSI) servira de cadre légal pour assurer des traitements (informatisés ou non) sécurisés de l’information, principalement au sein de l’administration fédérale. Elle servira également de base légale pour l’activité du Centre national pour la cybersécurité (NCSC) et prévoira une obligation de signaler les cyberattaques visant les infrastructures critiques. Nous allons examiner en quoi consiste exactement cette loi et, plus particulièrement, les conséquences de l’obligation de signaler les cyberattaques pour les organisations qui y seront soumises

Le RGPD et le sous-traitant suisse: quelle application du Règlement général de protection des données à un sous-traitant établi hors de l’Espace économique européen ?

Loin d’être évidente, la question de l’application du RGPD aux traitements de données à caractère personnel confiés à un sous-traitant a mené à de nouvelles discussions suite à la publication, en fin d’année 2019, de la version finale de lignes directrices censées la clarifier – mais qui ont en réalité apporté de nouvelles zones d’ombre. Dans leur article, les auteurs rappellent les différents rôles intervenant dans un traitement de données à caractère personnel ainsi que les dispositions relatives au champ d’application territorial du RGPD, ceci avant d’examiner spécifiquement le cas du sous-traitant. Le RGPD et le sous-traitant suisse: quelle application du Règlement général de protection des données à un sous-traitant établi hors de l’Espace économique européen

La cybersécurité: entre autonomie et soutien étatique

Présentation et analyse d’une enquête sur la position d’experts sur l’implication des différentes parties prenantes en cybersécurité sous le prisme de la transformation du Centre national pour la cybersécurité (NCSC) en office fédéral

Security and Privacy with Second-Hand Storage Devices: A User-Centric Perspective from Switzerland

Second-hand electronic devices are increasingly being sold online. Although more affordable and more environment-friendly than new products, second-hand devices, in particular those with storage capabilities, create security and privacy threats (e.g., malware or confidential data still stored on the device, aka remnant data). Previous work studied this issue from a technical point of view or only from the perspective of the sellers of the devices, but the perspective of the buyers has been largely overlooked. In this paper, we fill this gap and take a multi-disciplinary approach, focusing on the case of Switzerland. First, we conduct a brief legal analysis of the rights and obligations related to second-hand storage devices. Second, in order to understand the buyers’ practices related to these devices and their beliefs about their legal rights and obligations, we deploy a survey in collaboration with a major online platform for transactions of second-hand goods. We demonstrate that the risks highlighted in prior research might not materialize, as many buyers do not inspect the content of the bought devices (e.g., they format it directly). We also found that none of the buyers uses forensic techniques. We identified that the buyers’ decisions about remnant data depend on the type of data. For instance, for data with illegal content, they would keep the data to report it to the authorities, whereas for sensitive personal data they would either delete the data or contact the sellers. We identified several discrepancies between the actual legal rights/obligations and users’ belief

La constitution européenne : adoption et révision

Métille Sylvain. La constitution européenne : adoption et révision. In: Revue Québécoise de droit international, volume 17-1, 2004. pp. 3-38