Début navigation principale

Fin navigation principale


Début secteur de contenu

Début navigateur

Fin navigateur



Thèmes principaux de l'édition 45

Portier intelligent pour applications Web

Les hackers sont toujours à la recherche de failles de sécurité. De plus en plus souvent, ils les trouvent dans des applications Web. Afin d'améliorer la sécurité, l'OFIT lance un essai d'exploitation d'un pare-feu pour application Web.  

Pour le groupe électronique japonais Sony, ce fut une catastrophe. L'an dernier, des hackers ont pu accéder aux données de plusieurs millions de clients après une attaque contre le réseau Playstation. Des noms, des adresses, des mots de passe et même des données de cartes de crédit tombèrent en de mauvaises mains. Cette intrusion spectaculaire ne constitue toutefois pas un cas particulier. Les menaces et les attaques sur Internet sont en forte croissance, et les applications Web de l'administration fédérale ne sont pas épargnées. Afin d'accroître la sécurité de ces applications, l'OFIT utilise, en exploitation pilote, un pare-feu d'application Web (Web Application Firewall, WAF). Il a pour objectif de poursuivre le déploiement de cette prestation et de la proposer à l'avenir pour toutes les applications Web.

Plus de 2500 tentatives d'attaque en un seul mois
Comme dans le cas de Sony, les cybercriminels ciblent toujours plus leurs attaques sur les points faibles des applications Web. Les instruments de sécurité informatique classiques, tels que les pare-feu ou les systèmes de détection d'intrusion, offrent une protection au niveau du réseau. Celle-ci n'est toutefois pas toujours suffisante pour parer les attaques contre des applications Web. A la différence d'un pare-feu classique, le WAF vérifie la légitimité de chaque demande adressée au serveur Web qu'il protège. Il en bloque l'accès si le modèle de comportement est suspect ou en cas de risque de sécurité. Le WAF consigne dans son journal les accès bloqués et leurs adresses d'origine. Ainsi, le nombre et la provenance des demandes suspectes peuvent être analysés.

Actuellement, de premières applications Web sont protégées par un WAF en accord avec les clients concernés. L'OFIT a analysé les tentatives d'attaque contre ces applications Web: les premiers résultats montrent combien la menace est sérieuse. «Pour le seul mois de décembre 2011, nous avons enregistré plus de 2500 tentatives d'attaque contre les applications Web protégées par un WAF» dit Manuel Künzi, responsable de l'exploitation des WAF à l'OFIT. «Un grand nombre de ces tentatives sont automatisées et n'aboutiraient que très rarement, même sans protection WAF. En effet, le succès d'une telle attaque dépend fortement de la sécurité avec laquelle l'application elle-même est programmée.»


Nombre, par jour sur une période de 31 jours, des tentatives d’attaque contre des applications Web protégées par un WAF en exploitation pilote. Les résultats sont représentés sous forme logarithmique.

Les constatations faites nous aident toutefois à affiner les règles à respecter pour un accès conforme et à diminuer ainsi le risque des attaques futures. Les tentatives bloquées en décembre provenaient de trente pays, répartis sur cinq continents. Leur type était aussi diversifié que leur provenance: au total, le Computer Security Incident Response Team (CSIRT) de l'OFIT a identifié 28 différentes sortes d'attaques.

Convient pour la plupart des applications Web
«Le WAF de l'OFIT peut être utilisé pour la plupart des applications Web de l'administration fédérale» explique Manuel Künzi. Pour chaque nouvelle application Web à protéger, le WAF est d'abord exploité dans une phase d'apprentissage de deux semaines environ, dans ce qu'on appelle le mode transparent. Celui-ci a pour but d'apprendre à distinguer les accès conformes des attaques potentielles et de générer ainsi une politique de sécurité pour les actions autorisées. Cette phase est importante, car les modèles d'interaction entre l'utilisateur et le serveur Web considérés comme «normaux» diffèrent suivant l'application. Se fondant sur les informations de la phase d'apprentissage, l'administrateur peut définir les actions qui sont autorisées et celles qui ne le sont pas pour le mode «blocking» qui sera activé ensuite.

Différentes procédures de détection
En mode «blocking», le WAF peut autoriser ou refuser les accès de deux manières différentes. La première consiste à autoriser en principe les demandes entrantes, mais à les examiner pour voir si elles correspondent au modèle d'une attaque connue et à les bloquer si tel est le cas. Avec ce type de détection, on parle de sécurité négative, ou de blacklisting. Le principe de la sécurité négative peut être configuré relativement rapidement pour une application Web et offre une bonne protection de base. Certaines applications exigent toutefois un meilleur niveau de protection. On appliquera alors le principe de la sécurité positive, dont on parle quand le trafic entrant est bloqué d'une manière générale, seuls les accès correspondant à un modèle conforme étant autorisés (whitelisting).

Pour que les nombreux avantages du WAF produisent entièrement leurs effets, des efforts administratifs supplémentaires sont nécessaires dans certains cas. Il peut arriver, en effet, qu'une demande conforme soit bloquée. On parle alors de «faux positif». Si cela se passe lors d'un accès à une application Web de l'administration fédérale, l'utilisateur est réacheminé vers un autre site Internet, d'où un avis peut être envoyé au Service Desk de l'OFIT. L'OFIT contrôle ce cas à l'interne et modifie les paramètres du WAF pour que l'accès fonctionne sans accroc la prochaine fois. Les «faux positifs» sont toutefois extrêmement rares: en janvier 2012, l'OFIT n'a reçu aucun avis de blocage erroné.

Conseil sans complication
Suivant la configuration concernée, le WAF apporte un niveau élevé, voire très élevé, de sécurité supplémentaire pour les applications Web. La sécurité d'applications Web déjà productives peut en outre être renforcée sans que celles-ci soient modifiées. «Un WAF ne peut toutefois pas remplacer la programmation sûre d'une application» souligne Markus Hänsli, chef du domaine produits de base de l'OFIT. «Il représente toutefois un complément précieux.»

Le WAF est encore en phase d'exploitation pilote. Des clients peuvent toutefois d'ores et déjà profiter de cette prestation. Les personnes intéressées peuvent s'adresser à tout moment à Manuel Künzi, responsable du WAF, pour lui poser des questions à ce propos.

Les questions concernant le pare-feu d'application Web (WAF) peuvent être adressées à waf@bit.admin.ch. Les questions générales en matière de sécurité informatique peuvent être posées à it-sicherheit@bit.admin.ch

Contact au sein de l'OFIT:
Manuel Künzi

Spécialiste systèmes
Plateformes UNIX     
031 324 57 94
Texte: Daniel Wunderli
Top

Informatique fédérale 2012-2015

Depuis début 2012, la nouvelle ordonnance sur l'informatique et la télécommunication dans l'administration fédérale (OIAF) et la stratégie en matière de TIC 2012-2015 font foi. Ces dernières ont été arrêtées par le Conseil fédéral le 9 décembre 2011. L'Unité de pilotage informatique de la Confédération (UPIC), anciennement Unité de stratégie informatique de la Confédération, est chargée de leur mise en œuvre. Quelles sont les étapes de cette application ? Quelles modifications et nouveautés sont prévues ? Peter Fischer, délégué au pilotage informatique de la Confédération, nous répond.

« Eisbrecher » : l'OIAF règle les tâches, les compétences et les responsabilités relatives au pilotage et à la gestion de l'utilisation des technologies de l'information et de la communication (TIC) au sein de l'administration fédérale. La stratégie en matière de TIC définit les axes principaux qui seront suivis ces prochaines années. Quels sont les principaux changements ?

Peter Fischer : La principale différence concerne le pilotage et la gestion des TIC au niveau de la Confédération : le Conseil fédéral assume désormais la responsabilité stratégique générale précédemment confiée au Conseil de l'informatique de la Confédération, dans le but de renforcer l'orientation commerciale des TIC et l'intégration de leur gestion dans les autres processus. En outre, certaines prestations en matière de TIC seront à l'avenir coordonnées de manière centralisée, en tant que services standard destinés à l'ensemble de l'administration fédérale.

Quelles sont les tâches liées à la responsabilité stratégique générale ?

Le Conseil fédéral définit la stratégie en matière de TIC et surveille sa mise en œuvre ; il définit également les services standard et décide dans quels domaines il convient d'édicter ou d'adapter des directives concernant les TIC. Il décide, dans le cadre du processus budgétaire, de l'attribution aux projets en matière de TIC de ressources budgétisées de manière centralisée. Enfin, il dirige le controlling stratégique opéré par l'UPIC.

Services standard - un nouveau concept dans l'informatique de la Confédération. Que signifie-t-il exactement ?

Ce sont des prestations informatiques que les unités administratives de la Confédération utilisent dans une fonctionnalité et une qualité identiques ou semblables, par exemple certains segments de la télécommunication comme le réseau et la téléphonie mobile. Avant la nouvelle version de l'ordonnance, ces services étaient gérés en tant que prestations transversales. Le Conseil fédéral a décidé d'en faire des services standard. Ils seront complétés par la bureautique et les prestations de base dans la gestion des identités et des accès. La définition et le modèle de marché doivent cependant encore être clarifiés avant d'être présentés au Conseil fédéral.

Selon la version révisée de l'OIAF, c'est l'UPIC qui assume la gestion centralisée des services standard. Quelles conséquences cela entraîne-t-il pour cet organe ? Pour la collaboration avec l'Office fédéral de l'informatique et de la télécommunication (OFIT) ?

Outre les tâches nouvelles ou différentes résultant de l'OIAF et de la stratégie en matière de TIC, ce mandat signifie pour nous surtout une réorganisation et un renforcement en personnel de l'UPIC. Nous devons développer de nouvelles compétences, en particulier dans la gestion des spécifications, des produits et des fournisseurs. Depuis le début de l'année, l'UPIC assure la gestion opérationnelle des anciennes prestations transversales. Grâce à la bonne collaboration avec l'OFIT, cinq employés ont pu rejoindre nos rangs début 2012. D'une manière générale, mais plus encore concernant la gestion des services standard, l'UPIC souhaite établir avec tous les fournisseurs de prestations des relations de partenariat solides et efficaces. Comme le montre l'exemple ci-dessus, nous coopérons déjà étroitement avec l'OFIT sur les produits, et ce travail en commun porte ses fruits. Nous poursuivons le même objectif : une informatique rentable, sûre et adéquate pour l'administration fédérale.

Outre la gestion des services standard TIC, l'UPIC assume des tâches nouvelles. Lesquelles ?

Ces tâches concernent, d'une part, les directives subordonnées à la stratégie en matière de TIC : l'UPIC définit les directives concernant les TIC au niveau de la Confédération, dans le cadre de la stratégie en matière de TIC, en tenant bien entendu compte à cet effet des exigences des départements et de la Chancellerie fédérale. Nous souhaitons diminuer le volume des directives - ou du moins en vérifier le bien-fondé -, notamment pour ce qui est des applications spécialisées des départements. Nous souhaitons également nous conformer aux exigences du Parlement et mieux mettre en pratique les directives définies. Le contrôle des directives fait partie de la mise en œuvre par l'UPIC de la stratégie en matière de TIC. D'ici aux premiers résultats, ce sont toujours les anciennes directives qui font foi.

Et d'autre part ?

Nous allons devoir adapter les processus TIC à la nouvelle gouvernance, c'est-à-dire essentiellement l'aspect financier de la gestion des TIC au niveau de la Confédération. La plupart des ressources financières affectées aux TIC sont utilisées de manière décentralisée par les différents départements et unités administratives, et la révision de l'OIAF ne modifie en rien ce principe. Désormais, c'est toutefois le Conseil fédéral qui décide, dans le cadre de son processus budgétaire ordinaire, de l'attribution de ressources budgétisées de manière centralisée : crédit d'investissement pour les services standard TIC et projets informatiques qui, selon la planification, ne peuvent pas être financés par les unités administratives, ce que l'on appelait auparavant la croissance TIC. L'administration fédérale doit parvenir à assurer le financement des futures innovations, entre autres par une amélioration constante de l'efficacité.

L'application de l'OIAF et la mise en œuvre de la stratégie en matière de TIC constituent un défi de taille. Comment l'UPIC aborde-t-elle cette mission ?

Nous aimons relever les défis, mais nous le faisons avec prudence. Au début de l'année, nous avons lancé un projet d'ensemble interne à l'UPIC, regroupant quatre projets consacrés aux services standard, au contrôle des directives en matière de TIC, à la gestion de l'aspect financier au niveau de la Confédération et à notre réorganisation. Dans ce contexte, nous posons les bases nécessaires en associant les départements et la Chancellerie fédérale ainsi que les fournisseurs de prestations internes. Pour ce qui est de sa consolidation, l'UPIC coopère avec les organes existants, en particulier avec le Conseil de l'informatique de la Confédération et le Comité pour la sécurité informatique. Cette collaboration est extrêmement importante pour nous, elle est même vitale !

Stratégie TIC de l'administration fédérale : www.isb.admin.ch > Thèmes > Stratégies > Stratégie TIC de l'administration fédérale

Ordonnance sur l'informatique dans l'administration fédérale, OIAF : www.isb.admin.ch > Documentation > Recueil des lois > Ordonnances

Avancement des projets

La mise en œuvre de l'OIAF et de la stratégie en matière de TIC est progressive. Vous trouverez des informations relatives à l'avancement des projets, des explications substantielles et les premiers résultats sur l'intranet de l'UPIC, à l'adresse : intranet.isb.admin.ch.

Etapes en 2012

  • Mars : soumission du « Plan directeur de la stratégie en matière de TIC » au Conseil fédéral
  • Juin : concept « Pilotage et gestion des TIC au niveau de la Confédération »
  • Juillet : fin de la réorganisation de l'UPIC
  • Septembre : contrôle des directives subordonnées à la stratégie en matière de TIC
  • Septembre : concept « Controlling stratégique des TIC »
  • Décembre : finalisation des modèles de marché des anciennes prestations transversales et de la bureautique


Peter Fischer:
Délégué de l'Unité de pilotage informatique de la Confédération (UPIC)
Interview : Gisela Kipfer (UPIC)
Top

Tester pour ne rien regretter 

Il y a longtemps déjà que le test d'applications est devenu une discipline à part entière. A l'OFIT, une équipe hautement spécialisée s'occupe exclusivement de repérer les erreurs dans les projets de développement.

Imaginez que vous soyez au rayon légumes de votre supermarché préféré et que sur votre liste de courses, vous trouviez la mention salade verte. Avant de déposer une belle laitue dans votre panier, vous vous assurez qu'elle est fraîche et ne comporte pas de taches brunes. Bref, vous vérifiez si la laitue correspond à vos exigences de qualité. «Nous faisons tous des tests, de nombreuses fois par jour, de manière tout à fait spontanée et inconsciente», explique Michael Steger, chef de la section Test et Intégration de l'OFIT. «Notre équipe apporte structure et réflexion au processus de test». Bien sûr, Michael Steger et ses six testeurs testent non pas des laitues mais des applications.

Plus tôt on décèle une erreur mieux c'est. C'est pourquoi les spécialistes de l'OFIT interviennent parfois avant même qu'une seule ligne de code ne soit écrite. Dans la phase de conception, elle mène des tests statiques se basant sur des revues de documents existants. «Ce type de revues nous permettent de mettre le doigt dès la phase de conception sur d'éventuels problèmes de performance ou de sécurité dans l'application à développer», se réjouit Michael Steger. Les tests menés à ce stade précoce sont d'autant plus utiles que le manque de précision dans la rédaction des spécifications est une source d'erreurs des plus fréquentes. (Les testeurs préfèrent du reste parler d'écarts que d'erreurs car leur tâche principale consiste moins à éviter des erreurs qu'à repérer les risques.)

C'est toutefois pendant la phase de développement que l'équipe de testeurs de l'OFIT intervient le plus souvent. Les tests dynamiques effectués sur les applications en cours de développement mettent presque invariablement au jour des écarts. Une fois ceux-ci corrigés par les développeurs, les testeurs soumettent l'application à de nouveaux tests. Selon les normes internationales, les tests devraient représenter 30% environ du temps consacré à la mise au point d'une application. Pour les testeurs, peu importe qu'il s'agisse d'applications développée par l'OFIT ou par des tiers. Dans le second cas, l'équipe se contente cependant de mettre à disposition de ses clients son savoir-faire et ses collaborateurs pour les tests experts et les tests de réception.

Tous les testeurs de l'OFIT sont certifiés
L'équipe de test de l'OFIT, qui est une section autonome de l'OFIT depuis mai 2010, regroupe exclusivement des spécialistes certifiés ISTQB (International Software Testing Qualifications Board). L'ISTQB propose une formation et des examens standardisés en évaluation et assurance qualité aux testeurs de logiciels professionnels. «Cette certification nous permet d'être surs que nous parlons tous le même langage», souligne Michael Steger. Et d'ajouter avec un clin d'œil: «lorsque je dis que nous allons faire un smoke test, personne ne sort en griller une» (un smoke test consiste à tester une application jusqu'à ce qu'elle «fume»).


L'équipe de test de l'OFIT (d.g.à d.): Michael Steger, Ada Coendoz-Pont, Dridi Kamel, Erica Galli et Urs Gasser. Anna Sferruzza et Roger Schwab manquent sur la photo.

Les principaux rôles dans le domaine du test sont tout d'abord celui du Test manager, comparable à un chef de projet, puis celui des testeurs spécialisés, experts dans différents systèmes. L'automatiseur de tests joue un rôle toujours plus important, proche de celui d'un programmeur. Selon le nombre de projets en cours, l'équipe de test de l'OFIT peut engager jusqu'à 25 externes, eux aussi tous certifiés. En tant qu'embedded scrum testers, les testeurs sont intégrés aux équipes de projet, dont elles accroissent l'objectivité et l'efficacité (pour en savoir plus sur Scrum, cf. le n° 43 du magazine «Eisbrecher»). Nous documentons bien entendu chaque test selon la méthode de gestion de projet Hermes, pour que le client voie exactement ce que font les testeurs.

Spécialité: l'automatisation de tests
Chez certains clients comme l'Office fédéral de la statistique ou Swissmedic, l'équipe de Michael Steger a mis sur pied une équipe de test permanente. «Ces équipes appliquent nos concepts, nos processus et nos documents, de façon que le client puisse tester ses applications de façon autonome.» Ces équipes de test «locales» libèrent des capacités au sein de l'OFIT, dont l'équipe de Michael Steger a profité pour se spécialiser dans l'automatisation de tests. C'est un secteur aussi prometteur que passionnant, dans lequel l'équipe de l'OFIT joue au plus haut niveau.

Lorsqu'il automatise un test, le testeur ne travaille pas «manuellement» sur les applications qu'il s'agit de tester, mais programme des sets de tests qui exécutent cette tâche de manière automatisée, et ce à n'importe quelle heure du jour ou de la nuit. C'est le continuous delivery: le soir, le code mis au point durant la journée est transféré automatiquement sur le serveur pour que des scripts automatisés le passent à la moulinette durant la nuit. Le système établit automatiquement des rapports et annonce tous les écarts constatés. Les développeurs savent ainsi tout de suite le lendemain matin où il reste des erreurs à corriger. Si aucun écart n'a été signalé, le travail de développement peut se poursuivre.

Pour les applications Internet en développement, l'équipe de testeurs de l'OFIT travaille également avec des systèmes cloud, par exemple lorsqu'il s'agit de savoir si une application remplit les attentes du client en termes de performance, autrement dit si elle permet à un nombre suffisant d'utilisateurs d'y accéder en même temps. Le système cloud, qui permet de simuler automatiquement des accès depuis Genève, Neuchâtel, Berne, Zurich, etc, livre des informations bien plus parlantes quant à la performance d'une application que 10 000 tests d'accès effectués d'un même endroit. L'équipe de test contribue ainsi à réduire les risques d'exploitation, sans parler des gains précieux sur la durée de développement.

International Software Testing Qualifications Board ISTQB www.istqb.org

Développer en conversant avec des systèmes virtuels
L'équipe de testeurs de l'OFIT travaille également à l'aide de virtualisations. Il est par exemple possible de virtualiser l'interface entre deux systèmes, ce qui équivaut à développer une application en conversant avec non pas une interface réelle, mais une interface virtuelle. Les interfaces sont une source abondante d'erreurs, par exemple lorsque les développeurs des deux systèmes appelés à interagir interprètent différemment l'interface. La virtualisation réduit le nombre d'interprétations possibles et permet de mener des essais sans mettre en danger le système réel. Elle permet également de simuler des bases de données complexes, des flux de donnée et des systèmes entiers. C'est par exemple utile pour mettre à jour des systèmes productifs pour lesquels il n'existe plus d'environnement test.



Contact au sein de l'OFIT:
Michael Steger

Chef de section
Test et intégration         
031 322 87 55
Texte: Leo Hauser         
Top

Le dédouanement sans papier au moyen d'e-dec web

Depuis le début de l'année 2012, le nouveau service de déclaration en douane sur Internet (e-dec web) est disponible et rend le dédouanement sans papier également possible pour les particuliers ainsi que pour les petites et moyennes entreprises. En tant que partenaire de solutions de l'Administration fédérale des douanes (AFD), l'OFIT exploite cette nouvelle application.

Les déclarants professionnels, par exemple les transitaires, peuvent depuis des années déjà dédouaner des marchandises au moyen de l'application e-dec standard. Les entreprises et les particuliers qui n'importent ou exportent des marchandises qu'occasionnellement devaient jusqu'à présent utiliser les formulaires papier 11.010 (importation) et 11.030 (exportation) pour leur déclaration en douane. Depuis le début de l'année, les déclarants en douane non professionnels peuvent également remplir leur déclaration de manière confortable et entièrement électronique. L'AFD offre avec e-dec web une application Internet qui permet d'établir les déclarations en douane de marchandises de commerce depuis n'importe quel ordinateur équipé d'Internet. Ce service s'adresse par exemple aux entreprises suisses qui exportent de temps à autre des pièces de machines ou aux particuliers qui souhaitent importer une voiture achetée en Allemagne. Le siège de l'entreprise ou le domicile du déclarant ne joue aucun rôle.

Une déclaration en douane peut être établie au moyen d'e-dec au plus tôt 30 jours avant l'importation ou l'exportation. Concernant les importations, e-dec web calcule automatiquement les droits de douane qui seront dus à la frontière. Il suffit ensuite au déclarant de se présenter au bureau de douane de son choix avec les marchandises commerciales correspondantes et de présenter au personnel douanier suisse une impression des documents en format PDF générés par e-dec web (le bulletin de délivrance et la liste d'importation ou d'exportation). Ces documents comportent un code barre et le numéro de déclaration et ne doivent, contrairement aux formulaires papier, pas être signés. Pour dédouaner de manière entièrement électronique, il suffit donc en principe d'indiquer le numéro de déclaration au bureau de douane. Le client paie ensuite les redevances, la TVA par exemple, en liquide ou, le cas échéant, au moyen de son compte douanier.

E-dec connaît le prix d'une Audi
E-dec web n'est pas une plateforme autonome mais dépend de l'application e-dec standard. «E-dec web sert de «couche frontale» pour la saisie des données. Par le biais de divers services Internet, les données saisies dans un formulaire électronique sont échangées avec e-dec standard», explique Turabi Köse, chef du projet e-dec auprès de l'OFIT. En utilisant l'interface Internet, le déclarant travaille ainsi indirectement avec l'application de base d'e-dec. Turabi Köse ajoute: «L'interface utilisateur d'e-dec web a été simplifiée de façon à la rendre accessible même aux déclarants occasionnels». Fonctionnant comme un navigateur, e-dec web est compatible avec tous les systèmes d'exploitation courants.

Les différentes étapes propres au processus de déclaration sont les mêmes dans e-dec web que dans e-dec standard. Les données saisies sont validées (tous les champs obligatoires ont-ils été remplis?) et soumises à un test de plausibilité. Lors de ce test, l'application vérifie si les données concernant les marchandises à dédouaner sont vraisemblables, par exemple si la valeur indiquée pour une voiture de classe moyenne est réaliste. Seules les déclarations validées et qui ont passé le test de plausibilité peuvent être transmises au moyen d'e-dec web, ce qui réduit les risques de fraude et d'erreurs de contenu. Si un éventuel écart par rapport aux montants plausibles peut être justifié, par exemple s'il s'agit d'une voiture de classe moyenne qui a perdu une grande partie de sa valeur suite à un accident, le client de la douane doit justifier cet écart dans e-dec web, puis le prouver au bureau de douane. Vous trouverez de plus amples informations sur le test de plausibilité dans l'«Eisbrecher» n° 43.

Déclaration d'eau minérale gazeuse

Une sauvegarde locale en vue de la prochaine déclaration
Au passage frontière, il suffit que le douanier scanne le code barre qui se trouve sur le document PDF ou qu'il saisisse le numéro de déclaration pour pouvoir consulter la déclaration en douane préenregistrée dans e-dec web. Comme l'explique Turabi Köse: «E-dec effectue alors automatiquement le test de plausibilité du jour, car les valeurs de référence enregistrées dans le système (par ex. le taux des droits de douane) peuvent avoir changé entre-temps». En cas d'irrégularités, le client peut directement corriger sa déclaration sur le terminal du bureau de douane. Une fois qu'une déclaration en douane a fait l'objet d'une acceptation manuelle par le personnel douanier, elle devient juridiquement contraignante. Le personnel douanier est libre de procéder à une vérification de la marchandise afin de contrôler si la quantité, la valeur et la qualité correspondent bien à la déclaration. Les irrégularités sont corrigées par le personnel douanier et peuvent avoir des conséquences pénales.

Afin de l'utiliser comme modèle pour de futures déclarations, les déclarants ont la possibilité d'enregistrer sur leur ordinateur, localement et au format XML, la déclaration qu'ils ont saisie dans e-dec web. Si le déclarant ne se présente pas à la douane avec sa marchandise dans les 30 jours suivant la transmission de sa déclaration, cette dernière est caduque et cela n'a aucune autre conséquence. Dès 2013, le dédouanement sans papier gagnera encore en importance. L'Administration des douanes n'acceptera dès lors plus que les déclarations en douane établies électroniquement au moyen d'e-dec standard ou d'e-dec web. Les formulaires papier 11.010 et 11.030 cesseront d'être utilisés.

L'application Internet e-dec web est disponible à l'adresse suivante:
https://e-dec-web.ezv.admin.ch/webdec

«La sauvegarde locale est très appréciée»

L'«Eisbrecher» a abordé le sujet d'e-dec web avec Sandra Schrempp, cheffe de projet auprès de l'AFD.

«Eisbrecher»: Quels sont les avantages d'e-dec web pour l'AFD?

Sandra Schrempp: Grâce à e-dec web, la saisie ultérieure dans un programme informatique des données figurant sur les formulaires papier n'est plus nécessaire. Par rapport aux formulaires papier, les fonctions techniques d'e-dec standard, comme le test de plausibilité et le calcul des redevances, améliorent la qualité des données et de l'analyse des risques.

Comment s'est déroulée la phase pilote?
La phase pilote a surtout servi à tester la capacité de cette nouvelle application à gérer tous les cas particuliers et les procédures spéciales en relation avec la technique douanière. Les changements résultant de la phase pilote ont pu être intégrés en janvier. Les tests de convivialité et d'accessibilité menés n'ont conduit qu'à quelques adaptations mineures portant sur les masques de saisie.

Pourquoi est-il possible d'utiliser e-dec web sans inscription préalable?
Le déroulement de la procédure dans e-dec web se base pour l'essentiel sur la procédure papier. Chaque déclaration en douane doit être présentée à un bureau de douane et le déclarant doit également y présenter sa marchandise. Les données déclarées ne deviennent juridiquement contraignantes qu'après cette présentation en douane. Une inscription ou une certification ne ferait que renforcer les craintes liées à l'utilisation de cette application Internet.

Pourquoi les utilisateurs ne peuvent-ils effectuer qu'un enregistrement local de leur déclaration?
Etant donné que les déclarations en douane contiennent des données confidentielles, la protection des informations et la sécurité des données revêtent une grande importance. C'est pourquoi les déclarations en douane ne sont enregistrées que sur le réseau fédéral (KomBV). Contribuant à réduire fortement la charge de travail liée aux taxations régulières, l'enregistrement local est très apprécié par les partenaires de la douane.

Contact à l'OFIT:
Turabi Köse
Chef de projet e-dec
031 323 86 76
Texte et photos: Leo Hauser
Top
retour à la vue d'ensemble Le magazine «Eisbrecher»

Fin secteur de contenu




http://www.bit.admin.ch/dokumentation/00090/00156/04409/index.html?lang=fr