GUIDE PRATIQUE. Sécurité des Données à Caractère Personnel

Dimension: px
Commencer à balayer dès la page:

Download "GUIDE PRATIQUE. Sécurité des Données à Caractère Personnel"

Transcription

1 GUIDE PRATIQUE Sécurité des Données à Caractère Personnel

2 CNIL 2009 Commission Nationale de l Informatique et des Libertés 8 rue Vivienne CS Paris Cedex 02 Tel Fax Web ii

3 Sommaire Page Avertissement Introduction Qu entend-on par sécurité des données à caractère personnel? Identification des exigences de sécurité Domaine d'application Termes et définitions Acronymes Appréciation et traitement du risque Appréciation du risque lié à la protection des données à caractère personnel Traitement du risque lié à la protection des données à caractère personnel Organisation de la sécurité de l information Fondement légal Politique de sécurité de l information Organisation interne Sous-traitance Gestion et classification des informations Sécurité liée aux ressources humaines Sensibilisation des utilisateurs Gestion des habilitations Conformité Conformité avec les exigences légales Sécurité physique de l infrastructure Zones sécurisées Sécurité liée aux matériels Sécurité logique Sécurité logique Sécurité des réseaux Sécurité des serveurs et des postes de travail Supports de stockage amovibles Contrôle d accès Politique de contrôle d accès Contrôle d accès réseau Contrôle d accès aux serveurs et aux postes de travail Contrôle d accès aux applications et à l information Informatique mobile Sauvegarde Archivage Gestion opérationnelle Surveillance et traçabilité Gestion des incidents Disponibilité Maintenance Audit Communications externes Développement Exigences de sécurité lors du développement du traitement Conformité avec les politiques et normes de sécurité et conformité technique Feuille de synthèse des mesures...i CNIL

4 Avertissement Ce document présente un ensemble de mesures et de préconisations dans le but de pourvoir à la sécurité de données à caractère personnel. Il comporte deux niveaux de lecture, respectivement destinés à : - tout responsable de traitement ou à toute personne sans connaissance informatique particulière souhaitant évaluer le niveau de sécurité dont bénéficient les données à caractère personnel qu il traite. Un ensemble comprenant une cinquantaine de mesures a été rédigé dans un langage non technique, ce qui correspond à un premier niveau de lecture et permet de poser un diagnostic sur la sécurité d un système d information. Ces mesures sont récapitulées en annexe du document sous la forme d un tableau. - un public plus averti, tels que les Correspondants Informatique et Libertés, les Responsables de la Sécurité des Systèmes d Information etc.. Le guide met à leur disposition un ensemble de préconisations pour l application concrète des mesures, ce qui correspond au second niveau de lecture. Il est à noter que les préconisations s appliquent plus particulièrement à des systèmes d information de taille moyenne. Le document est structuré en six sections : 1. Organisation de la sécurité de l information 2. Sécurité physique de l infrastructure 3. Sécurité logique 4. Gestion opérationnelle 5. Sécurité lors de la communication de données en dehors du système d information 6. Développement Chaque rubrique principale de sécurité comprend : - un objectif de sécurité identifiant le but à atteindre - une ou plusieurs mesures habituellement préconisées par la CNIL en vue d atteindre l objectif de sécurité. Les mesures ont été répertoriées en suivant la nomenclature suivante : - Si une mesure de sécurité peut être identifiée à une mesure définie dans la norme ISO :2005 1, elle est alors indiquée dans le guide sous la forme [ISO-X], où X désigne le chapitre référençant la mesure de sécurité dans cette norme. - Lorsqu il s agit d une exigence qui découle directement de la loi Informatique et Libertés, celle-ci est référencée sous la forme [IL-Artx.y]. L indication Artx. renvoie à l article de la loi, [IL-Chxy] où Chxy renvoie au chapitre xy de la loi, ou encore [IL-xxxx-y] si l objectif ne renvoie pas à un article de loi singulier mais à une thématique. - enfin, il est à souligner que les préconisations relatives à la mise en œuvre d une mesure sont présentées dans des encadrées de couleur grise. 1 ISO est un organisme de standardisation international qui élabore des normes dans de nombreux domaines d activités. Ces normes sont cataloguées par 5 chiffres ; les normes et suivantes traitent la sécurité des systèmes d information. Pour plus d information, CNIL

5 Afin d en faciliter la lecture, différentes icônes ont été définies : L Aides à la lecture Mesure découlant de la loi Mesure primordiale et donc à considérer en priorité Mesure fortement recommandée Mesure recommandée Section ou paragraphe à contenu technique Point présentant un problème fréquemment relevé Pour ne pas alourdir le document, celui-ci renvoie à différentes sources externes telles que la loi Informatique et Libertés, les référentiels de sécurité édictés par le CERTA 2, etc. Ces références sont énumérées ci-après et sont citées entre [ ] lorsque cela est nécessaire. Il convient de préciser qu en cas de différence entre les informations détaillées dans ce document et un référentiel 3, ce dernier fait foi. Enfin, si ce document entend constituer une aide, la seule application des mesures qui y sont répertoriées ne saurait décharger le responsable de traitement du respect des autres dispositions de la loi Informatique et Libertés ni se saurait augurer de l examen par la Commission au regard du niveau de sécurité d un traitement. Références : [1] Loi n du 6 janvier 1978 modifiée en [2] WP 136, Avis 4/2007 sur le concept de données à caractère personnel [3] Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard, n 2741/SGDN/DCSSI/S DS/LCR [4] Guide technique pour la confidentialité des informations enregistrées sur les disques durs à recycler ou exporter, n 972-1/SGDN/DCSSI [5] Règles et recommandations concernant les mécanismes d authentification de niveau de robustesse standard, n 729/SGDN/DCSSI/SDS/AsTeC [6] Communication de la CNIL relative à la mise en œuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données 2 Le CERTA (Centre d'expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) est un service de l ANSSI (Agence Nationale de la Sécurité des Systèmes d'information, ex DCSSI) chargé d «évaluer les menaces pesant sur les systèmes d'information, donner l'alerte, développer les capacités à les contrer et à les prévenir» 3 Cette situation peut notamment se produire du fait de l évolution des référentiels. CNIL

6 0 Introduction La place grandissante de l informatique dans toutes les sphères de notre société entraine la production d un nombre croissant de données personnelles, ainsi que leur dissémination dans des systèmes plus nombreux et moins perceptibles pour les personnes. Les menaces pesant sur les systèmes et réseaux d information, telles que la fraude informatique, le détournement de finalité, la captation frauduleuse, la perte de données, le vandalisme, ou encore les sinistres les plus fréquents, tels que l incendie ou l inondation, requièrent que toutes les précautions soient prises pour assurer la sécurité de ces données, ce qui se traduit par la mise en œuvre de mesures organisationnelles et techniques adaptées. 0.1 Qu entend-on par sécurité des données à caractère personnel? Par sécurité des données à caractère personnel on entend l ensemble des «précautions utiles, au regard de la nature des données et des risques présentés par le traitement», pour notamment, «empêcher que les données soient déformées, endommagées, ou que des tiers non autorisés y aient accès.». Cette sécurité se conçoit pour l ensemble des processus relatifs à ces données, qu il s agisse de leur création, leur utilisation, leur sauvegarde, leur archivage ou leur destruction et concerne leur confidentialité, leur intégrité, leur authenticité et leur disponibilité. 0.2 Identification des exigences de sécurité L identification des exigences en matière de sécurité nécessite de tenir compte : - du risque propre à la nature du traitement, afin d identifier les menaces pesant sur les données à caractère personnel il convient donc d analyser la vraisemblance des attaques et d en évaluer l impact potentiel, - de l environnement socioculturel en effet, des solutions a priori très sécurisées peuvent s avérer inadaptées au regard de comportements établis, - des exigences légales du secteur concerné (la santé, les télécommunications, ) auxquelles le responsable de traitement et ses prestataires de service doivent se conformer, - de l ensemble des exigences métier préexistantes en matière de traitement de l information, - des exigences légales en matière de transfert de données à caractère personnel hors de l Union Européenne. CNIL

7 1 Domaine d'application Les objectifs et mesures décrits dans ce document sont destinés à être mis en œuvre dans le but de répondre aux exigences identifiées par une évaluation du risque portant sur la sécurité des données à caractère personnel au regard de la loi Informatique et Libertés. 2 Termes et définitions Authentification : «l'authentification a pour but de vérifier l'identité dont une entité se réclame. Généralement l'authentification est précédée d'une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l'a doté. En résumé, s'identifier c'est communiquer son identité, s'authentifier c'est apporter la preuve de son identité.» (ANSSI) Destinataire des données : «toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données.» (Art. 3 loi I&L) Donnée à caractère personnel : «toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.» (Art. 2 loi I&L). Données sensibles : les «données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.» (Art. 8 loi I&L). Responsable de traitement : «la personne, l autorité publique, le service ou l organisme qui détermine les finalités et les moyens dudit traitement, sauf désignation expresse par des dispositions législatives ou réglementaires relatives à ce traitement.» (Art. 3 loi I&L). Tiers : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données; (directive 95/46/CE) Traitement : sauf mention explicite, un traitement s entend dans ce document comme un traitement de données à caractère personnel. Traitement de données à caractère personnel : «toute opération ou tout ensemble d opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l enregistrement, l organisation, la conservation, l adaptation ou la modification, l extraction, la consultation, l utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l interconnexion, ainsi que le verrouillage, l effacement ou la destruction.» (Art. 2 loi I&L). 3 Acronymes DHCP : Dynamic Host Configuration protocole, un protocole permettant l attribution la configuration dynamique des paramètres réseau d une machine (dont son adresse Internet) lorsque celle-ci se connecte à un réseau local et afin qu elle puisse communiquer sur ce dernier. DNS : Domain Name Server, Serveur de nom de domaine, Ces serveurs font la correspondance entre un nom de domaine, par exemple cnil.fr, et un adresse internet, par exemple EBIOS : Une méthodologie d évaluation des risques des Systèmes d Information. HTTP : HyperText Transfer Protocole, le protocole du web. RSA : Un algorithme de cryptographie asymétrique, du nom de ses trois concepteurs Rivest, Shamir et Adelman. SQL : Structure Query Language, le protocole servant la gestion des bases de données. CNIL

8 SSL : Secure Socket Layer, un protocole sécurisé compatible avec HTTP, parfois dénommé https. VNC : Virtual Network Computer, un protocole permettant la prise de contrôle à distance d un poste de travail. VPN : Virtual Private Network, cet acronyme traduit un tunnel sécurisé, c'est-à-dire une canal de communication garantissant la confidentialité des échanges. 4 Appréciation et traitement du risque 4.1 Appréciation du risque lié à la protection des données à caractère personnel Une appréciation du risque portant sur l ensemble des données à caractère personnel dont l organisme est dépositaire doit être réalisée afin de garantir le strict respect des dispositions de la loi. Toutefois l évolution des systèmes rend nécessaire la révision périodique des mesures de sécurité. Idéalement, il conviendrait pour tout responsable de traitement de formaliser d emblée une analyse méthodique des risques du point de vue de la protection des données à caractère personnel. Cette analyse devrait prendre en compte : - la probabilité de réalisation du risque - les conséquences sur la sécurité des données Avant d envisager le traitement d un risque, il conviendrait également que le responsable de traitement définisse des critères permettant de déterminer si le risque est acceptable ou non. Des méthodes éprouvées permettent de conduire une analyse de risque en matière de Systèmes d Information, c est le cas notamment de la méthode EBIOS préconisée par la ANSSI. 4.2 Traitement du risque lié à la protection des données à caractère personnel Pour chacun des risques identifiés, une décision relative au traitement du risque doit être prise. Les solutions envisageables sont les suivantes: a) application de mesures appropriées visant à réduire le risque; b) acceptation des risques en connaissance de cause et avec objectivité, dans la mesure où ils sont acceptables au regard du cadre législatif et notamment de la loi Informatique et Libertés ; c) annulation des risques en interdisant les actions susceptibles de les engendrer. Dans le cadre de la loi Informatique et Libertés, le transfert de risques à des tiers n est pas envisageable car la loi reconnait des obligations au responsable de traitement dont il ne peut se décharger. L 5 Organisation de la sécurité de l information L expérience montre que le facteur organisationnel joue un rôle crucial dans la sécurité de l information. Ceci inclut les aspects suivants : - La définition d une politique de sécurité de l information; - Une mise en œuvre et un suivi effectif de la sécurité de l information; - Une communication efficace sur la sécurité de l information auprès de toutes les personnes partie-prenantes afin de les sensibiliser; 5.0 Fondement légal Objectif: se conformer à l obligation légale en matière de traitements de données à caractère personnel. [IL-Art5-1] Il est nécessaire de se conformer avec les exigences de la loi du 6 janvier 1978 dès lors que le responsable de traitement est établi ou que les moyens de traitement sont utilisés sur le territoire français (Art. 5-1 loi I&L). CNIL

9 5.1 Politique de sécurité de l information Objectif: garantir la sécurité de l information par la publication d un document décrivant la politique de sécurité. [ISO-5.1.1] Il convient qu un document de politique de sécurité de l information soit validé par le responsable de traitement, puis diffusé auprès de l ensemble des personnes concernées. Ce document devrait préciser les enjeux propres à la sécurité des données à caractère personnel. Il convient que cette politique soit revue de manière périodique. L 5.2 Organisation interne Objectif: s assurer que la sécurité des données à caractère personnel est bien prise en considération. [IL-Art34] La sécurité des données à caractère personnel doit être assurée conformément à l article 34 de la loi du 6 janvier 1978 modifiée : «Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès» (Art. 34 loi I&L). [ISO-6.1.8] Il convient de procéder à des revues régulières et indépendantes de la sécurité du système mettant en œuvre le traitement; de telles revues sont également nécessaires lors de changements importants du traitement. 5.3 Sous-traitance Objectif: assurer la sécurité des moyens de traitement portant sur des données à caractère personnel communiquées à ou gérées par des sous-traitants. [ISO-6.2.1] Il convient d identifier les risques pesant sur les données à caractère personnel impliquant des sous-traitants. L [IL-Art35-1] La loi I&L dispose que : «Le contrat liant le sous-traitant au responsable du traitement comporte l indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données» et prévoit que «le sous-traitant ne peut agir que sur instruction du responsable de traitement» (Art. 35 loi I&L). 5.4 Gestion et classification des informations Objectif: garantir un niveau de protection approprié aux données à caractère personnel. L [IL-Art6-3] Il est impératif de collecter des données à caractère personnel qui soient en adéquation avec la finalité du traitement (Art. 6, alinéa 3 loi I&L). L [IL-Art6-4] I&L). Il est impératif de garantir l exactitude des données à caractère personnel (Art. 6, alinéa 4 loi [ISO-7.2.1] Il convient de classifier les informations de manière notamment à indiquer si celles-ci sont des données sensibles. Cette classification a pour but notamment de rendre compte du niveau de sécurité à appliquer. L [IL-Art6-5] Il est nécessaire de définir des durées de conservation des données à caractère personnel en adéquation avec la finalité du traitement et limitées dans le temps (Art. 6, alinéa 5 loi I&L). CNIL

10 5.5 Sécurité liée aux ressources humaines Sensibilisation des utilisateurs Objectif: garantir que les utilisateurs connaissent leurs responsabilités. [ISO-8.1.1] Il convient de définir et de documenter les rôles et responsabilités des utilisateurs en matière de sécurité. Il convient par ailleurs de veiller à ce que ceux-ci soient conscients des menaces en termes de sécurité. Lorsque le niveau de responsabilité des personnes le justifie, il est recommandé de prévoir la signature d une clause de confidentialité. [ISO-8.2.2] Il convient que l ensemble des utilisateurs soient sensibilisés à la sécurité informatique et reçoivent régulièrement les mises à jour des politiques et procédures pertinentes pour leurs fonctions. Il convient notamment d organiser des séances de formation et de sensibilisation à la sécurité de l information. Des rappels périodiques peuvent être faits par le biais de la messagerie électronique. Il est recommandé de rédiger une charte informatique et que celle-ci soit annexée au règlement intérieur. Cette charte devrait comporter les éléments suivants : 1. Le champ d application de la charte, qui inclut notamment - Les modalités d intervention du service de l informatique interne - Les moyens d authentification - Les règles de sécurité auxquelles se conformer, ce qui peut inclure par exemple de : - Signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement - Ne jamais confier son identifiant/mot de passe - Ne pas masquer sa véritable identité - Ne pas usurper l'identité d'autrui - Ne pas modifier les paramétrages du poste de travail - Ne pas installer, copier, modifier, détruire des logiciels sans autorisation - Verrouiller son ordinateur en cas d absence - Ne pas accéder, tenter d'accéder, ou supprimer des informations qui n appartiennent pas à l utilisateur - De définir les modalités de copie de données sur un support externe, notamment en obtenant l accord préalable du supérieur hiérarchique et en respectant les règles définies par le service de l informatique interne. 2. Les modalités d utilisation des moyens informatiques et de télécommunication mis à disposition comme : - Le poste de travail - Les équipements nomades - L espace de stockage individuel. - Le réseau local - Internet - La messagerie électronique - Le téléphone 3. Les conditions d administration du système d Information, et l existence, le cas échéant, de: - systèmes automatiques de filtrage - systèmes automatiques de traçabilité - gestion du poste de travail CNIL

11 4. Les règles de protection des données à caractère personnel 5. Les responsabilités et sanctions encourues en cas de non respect de la charte [ISO-8.3.3] Il convient que les droits d accès des utilisateurs soient supprimés dès lors qu ils ne sont plus légitimés à accéder à un local ou à une ressource, ainsi qu à la fin de la période d emploi. Il convient notamment d être vigilant à supprimer toute donnée à caractère biométrique intervenant dans des dispositifs de contrôle d accès Gestion des habilitations Objectif: assurer la sûreté de l exploitation des moyens de traitement de l information. [ISO ] Il convient que les procédures d exploitation soient documentées, tenues à jour et disponibles pour tous les utilisateurs concernés. [ISO ] Il convient de définir des profils d habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité, afin de limiter l accès à des données à caractère personnel qu aux seuls utilisateurs dûment habilités. 5.6 Conformité Conformité avec les exigences légales Objectif: éviter toute violation des obligations législatives, réglementaires, statutaires ou contractuelles et des exigences de sécurité. L L [IL-Art30-II] Il est nécessaire que tout traitement et que toute évolution d un traitement, notamment quant à sa finalité, l extension des données collectées, fasse l objet des formalités ad hoc (Art. 30-II loi I&L). [IL-ChXII] La loi «informatique et libertés» prévoient qu un responsable d un traitement ne peut transférer des données à caractère personnel vers un État hors de l Union européenne que si cet État assure un niveau de protection des données adéquat. Ce principe subordonne les échanges internationaux de données à l existence de garanties minimales comme l adoption de législations particulières dans ce domaine par le pays tiers ou la signature d un contrat liant l exportateur de données à l importateur. Il est à souligner que La transmission de données hors UE est soumise à l autorisation préalable de la CNIL. [ISO ] Le cas échéant, il est nécessaire de recourir à des mesures cryptographiques qui soient conformes aux réglementations applicables. 6 Sécurité physique de l infrastructure La sécurité physique de l infrastructure représente le premier maillon de la chaine garantissant la sécurité de l information d un organisme. Une infrastructure est généralement constituée de différents éléments tels que des bâtiments, des équipements, des ressources techniques (énergie, connexion) etc. Certains éléments de l infrastructure revêtent une criticité forte dans la mesure où une atteinte à leur intégrité pourrait compromettre le traitement de manière significative. Cette criticité peut concerner l indisponibilité du traitement pour une durée dépassant un seuil acceptable prédéfini, la compromission de données en très grand nombre, etc 6.1 Zones sécurisées Hormis pour les infrastructures de taille très réduite, on distingue habituellement trois zones : - la zone ouverte au public, lorsqu il y a une obligation fonctionnelle d accueil (comptoir d accueil, salle d attente ou de réunion, ) CNIL

12 - la zone réservée au service : zone à accès contrôlé correspondant aux bureaux où sont traitées les données - la zone de sécurité : elle héberge les serveurs, les stations d administration du réseau, les éléments actifs du réseau, ou certains locaux ou postes de travail plus sensibles Afin de protéger efficacement ces zones, il convient de considérer trois principes concourants à garantir la sécurité physique, c'est-à-dire prévoir pour les tentatives d intrusion: - une capacité de détection : des alarmes doivent permettre de déceler une intrusion au sein d une zone sécurisée. - une capacité de ralentissement : des mesures doivent être prévues en prévention d une éventuelle intrusion afin d en limiter la progression - une capacité d intervention : des moyens doivent être prévus pour réagir à l intrusion afin d y mettre fin. Objectif: empêcher tout accès physique non autorisé, dommage ou intrusion dans les locaux ou doivent être hébergées le traitement et les données à caractère personnel. [ISO-9.1.2] Selon la criticité des traitements mis en œuvre et des données, il convient de protéger les zones sécurisées par des contrôles visant à s assurer que seul le personnel dûment habilité est admis dans ces zones. La réalisation de cette mesure peut se faire par la prise en compte des recommandations suivantes: - concernant les zones dans lesquelles des informations sensibles sont traitées ou stockées, il convient de prévoir des contrôles d authentification, comme les cartes d accès accompagnées d un numéro d identification personnelle pour autoriser et valider tous les accès. Il convient de tenir à jour de façon sécurisée un journal des accès intervenus lors des trois derniers mois au plus; - à l intérieur des zones à accès réglementé, il convient d exiger le port d un moyen d identification visible pour toutes les personnes ; - il convient d accorder à tous les visiteurs (personnel en charge de l assistance technique, etc.) un accès limité, et de consigner la date et l heure de leur arrivée et départ ; - il convient de réexaminer et de mettre à jour régulièrement les droits d accès aux zones sécurisées et de les supprimer si nécessaire. [ISO-9.1.3] Il convient de concevoir et d appliquer des mesures de sécurité physique pour les bureaux, les salles et les équipements. Les accès aux salles ou bureaux susceptibles d héberger du matériel recevant des données à caractère personnel doivent être restreints par l usage de sas d accès ou de portes verrouillées. [ISO-9.1.4] Il convient de concevoir et d appliquer des mesures de protection physique contre les dommages causés par les incendies, les inondations, etc. 6.2 Sécurité liée aux matériels Objectif: Assurer la disponibilité matérielle du système. [ISO-9.2.2] Il convient de protéger le matériel des coupures de courant et autres perturbations dues à une défaillance des services généraux. Tous les services généraux, tels que l électricité, l alimentation en eau, etc. doivent être correctement dimensionnés pour les systèmes pris en charge et inspecter régulièrement pour écarter tout risque de CNIL

13 dysfonctionnement ou de panne. L utilisation d un onduleur gérant l arrêt normal ou le fonctionnement en continu est recommandée pour le matériel prenant en charge des traitements critiques. La climatisation des salles serveurs doit être correctement dimensionnée et entretenue. Une panne sur cette installation a souvent comme corollaire l ouverture des portes des salles et donc la neutralisation de facto d éléments concourants à la sécurité physique de l infrastructure. Pour les traitements revêtant des exigences fortes de disponibilité, il convient de connecter l infrastructure de télécommunications par au moins deux voies différentes pour empêcher que la défaillance d une voie de connexion ne rende le service inopérant. Il convient de plus de prévoir une redondance matérielle des unités de stockage par une technologie RAID pour les mêmes raisons. Objectif: Prévenir la perte, le vol ou la compromission des données sur les matériels. [ISO-9.2.6] Il convient de vérifier que tout matériel contenant des supports de stockage soit inspecté avant sa mise au rebut ou sa sortie du périmètre de l organisme pour s assurer que toute donnée sensible en a bien été supprimée de façon sécurisée. Il convient de se référer au document [4] (Guide technique pour la confidentialité des informations enregistrées sur les disques durs à recycler ou exporter). A titre d exemple, l ANSSI accorde des certifications de premier niveau à des logiciels pour réaliser cet objectif (http://www.ssi.gouv.fr/archive/fr/confiance/certif-cspn.html ) Concernant la mise au rebut de matériels, on peut mentionner: - Les broyeurs et déchiqueteurs pour le papier ainsi que les supports numériques tels que les CD et DVD - Les «dégausseurs 4» pour les unités de stockage à technologie magnétique. Il convient de noter que ces préconisations concernent également les matériels en location lorsqu ils sont retournés à l expiration du délai contractuel. 7 Sécurité logique Par sécurité logique on entend la sécurité fonctionnelle des systèmes, la gestion des droits d accès et la conservation des données. 7.1 Sécurité logique Sécurité des réseaux Objectif: assurer la protection de l infrastructure réseau ainsi que la confidentialité et l intégrité des données transmises. [ISO ] Pour tous les services réseau, il convient d identifier les fonctions réseau et les niveaux de service nécessaires au bon fonctionnement du traitement et de n autoriser que ceux-ci. 4 Un «dégausseur» est un équipement réalisant une destruction irrémédiable de données confidentielles par démagnétisation. CNIL

14 Selon les services réseau requis pour le traitement, il convient de limiter les flux réseau au strict nécessaire. Par exemple, si l accès à un serveur web passe obligatoirement et uniquement par l utilisation du protocole SSL, il convient de n autoriser que les flux réseau IP entrants sur cette machine sur le port de communication 443 et de bloquer tous les autres ports de communication. A propos des questions de filtrage, il convient de prendre connaissance du document du CERTA sur ce sujet disponible à l adresse suivante : Pour une mise en œuvre du protocole SSL, il convient de se référer aux préconisations données par le CERTA disponibles à l adresse Il convent également de mettre en place des systèmes de Détection d'intrusions (Intrusion Detection Systems ou IDS) : il s agit de dispositifs dont l'objectif est d'analyser en temps réel le trafic réseau afin d y détecter toute activité suspecte évoquant un scénario d'attaque informatique de manière à déjouer les attaques informatiques au plus tôt. En complément des dispositions énumérées ci-dessus, il peut être envisagé de mettre en place l identification automatique de matériels comme moyen d authentification des connexions à partir de lieux et matériels spécifiques dans le but de prévenir la connexion de tout dispositif non autorisé Sécurité des serveurs et des postes de travail Objectif: protéger l intégrité des logiciels et de l information. [ISO ] Il convient que les systèmes d exploitation et les applications soient tenus à jour. Il convient de ne pas installer de systèmes d exploitation obsolètes dont on peut trouver une liste actualisée à l adresse suivante : Il convient d installer les mises à jour critiques des systèmes d exploitation sans délai en programmant une vérification automatique périodique hebdomadaire. Enfin il convient de mettre à jour les applications lorsque des failles critiques ont été identifiées et corrigées. [ISO ] Il convient de mettre en œuvre des mesures de détection, de prévention et de récupération pour se protéger des codes malveillants (virus ou malware). Par ailleurs, afin de limiter les risques de compromission des serveurs et des postes de travail, il convient : - de limiter les services s exécutant à ceux qui sont strictement nécessaires, - de limiter l exécution d applications avec des droits administrateur, - d installer un logiciel antivirus et de le mettre à jour régulièrement, - éventuellement d installer un parefeu personnel afin de protéger le poste contre des requêtes réseau non conformes. Le document du CERTA situé à l adresse internet suivante : 007/ mentionne certains éléments pour une mise en œuvre des points exposés ci-dessus. Selon la nature de l application, il convient de garantir l intégrité des traitements par le recours à des signatures du code exécutable garantissant qu il n a subi aucune altération. A cet égard, une vérification de signature tout au long de et non seulement avant l exécution rend plus difficile la compromission d un programme. S agissant des logiciels s exécutant sur des serveurs, il convient pour les traitements les plus critiques CNIL

15 d utiliser des outils de détection des vulnérabilités (des scanners, etc.) afin de détecter d éventuelles failles de sécurité, ou encore des systèmes de détection et prévention des attaques sur des systèmes/serveurs critiques dénommés Host Intrusion Prevention Supports de stockage amovibles Objectif: empêcher la divulgation de données à caractère personnel du fait de supports de stockage susceptibles de quitter le périmètre physique de l infrastructure d hébergement. [ISO ] Il convient de mettre en place des procédures pour la gestion des supports de stockage amovibles et des supports de stockage contenus dans les systèmes informatiques mobiles. Il convient de prévoir des moyens de chiffrement pour les espaces de stockage pour les matériels informatiques mobiles (ordinateur portable, périphérique de stockage amovible tels que clés USB, CD-ROM, DVD-RW, etc., dès lors que des données à caractère personnel y sont stockées. Parmi ces moyens, on peut citer : - le chiffrement de disque dur dans sa totalité au niveau hardware - le chiffrement de disque dur dans sa totalité à un niveau logique via le système d exploitation - le chiffrement fichier par fichier - la création de fichiers containeurs chiffrés A titre d exemple, la ANSSI a accordé une certification de premier niveau pour la mise en œuvre de containeurs chiffrés au logiciel TrueCrypt version 6.0a (http://www.ssi.gouv.fr/archive/fr/confiance/cspn/cspn html ) Pour une mise en œuvre concernant les supports amovibles (clés USB, CD-ROM, ), il convient de se référer aux préconisations données par le CERTA disponibles à l adresse suivante : Si l informatique mobile est susceptible de contenir des s, il convient de ne pas conserver ceux pouvant contenir des données à caractère personnel. 7.2 Contrôle d accès Politique de contrôle d accès Objectif: maîtriser l accès à l information. [ISO ] Il convient d établir, de documenter et de réexaminer une politique de contrôle d accès en rapport avec la finalité du traitement. La politique de contrôle d accès doit inclure : - les procédures d enregistrement et de désinscription des utilisateurs destinées à accorder et à ôter l accès au traitement (cf [ISO-8.3.3]) ; - les mesures incitant les utilisateurs à respecter les bonnes pratiques de sécurité lors de la sélection et l utilisation de mots de passe ou d autres moyens d authentification ; - les mesures permettant de restreindre et de contrôler l attribution et l utilisation des privilèges au CNIL

16 traitement Contrôle d accès réseau Objectif: empêcher les accès non autorisés aux services disponibles sur le réseau. [ISO ] Il convient d utiliser des méthodes éprouvées pour contrôler l accès d utilisateurs distants. Le contrôle d accès des utilisateurs distants peut être réalisé par exemple : - par l utilisation de lignes privées dédiées - à l aide d une technique cryptographique Dans le cas du recours à une technique cryptographique, il convient de suivre les préconisations édictées par le document [3] (Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard) sur les différents algorithmes pouvant être envisagés : Ce référentiel précise notamment les longueurs de clé à considérer. A la date de rédaction de ce document, il est par exemple préconisé que : - La taille minimale d une clé RSA est de 1536 bits, pour une utilisation ne devant pas dépasser l année 2010 [RègleSFact-1] - La taille minimale d une clé RSA est de 2048 bits, pour une utilisation ne devant pas dépasser l année 2020 [RègleSFact-2] - Pour une utilisation au-delà de 2020, la taille minimale de la clé RSA est de 4096 bits [RègleSFact-3] Ces valeurs sont données à titre indicatif et dépendantes du contexte propre à chaque traitement. Pour l accès aux réseaux sans fil, il convient de mettre en œuvre des mesures d authentification supplémentaires telles que celles préconisées sur le site du CERTA à l adresse [ISO ] Il convient de restreindre voire interdire l accès physique et logique aux ports 5 de diagnostic et de configuration à distance. [ISO ] Il convient de cloisonner les communications sur le réseau en tenant compte des séparations fonctionnelles des différents départements de l organisme et des différents groupes d utilisateurs. Il convient d agir de telle manière que la compromission d un poste n induise pas de facto la compromission de l ensemble du système. Une pratique permettant à tout le moins de freiner la compromission d un système est de cloisonner les ressources disponibles au strict besoin d en connaitre. Ceci est le cas des ressources disponibles via le réseau. Une méthode permettant de garantir la confidentialité des informations transitant sur les réseaux consiste à les diviser en sous-réseaux logiques. Il est possible également de restreindre les connexions autorisées en différenciant par exemple un réseau interne pour lequel aucune connexion venant d Internet n est autorisé, et un sous-réseau dit DMZ (acronyme anglais de DeMilitarized Zone, zone démilitarisée en français) accessible 5 Un port physique est un emplacement permettant de brancher un câble, tandis qu un port logique est un numéro utilisé dans un protocole de communication, notamment le protocole Internet TCP. CNIL

17 depuis Internet. Un exemple d une telle architecture est représenté ci-dessous. Informatique mobile Réseau local Zone accessible depuis Internet Internet Routeur Parefeu (Firewall) (DMZ) Routeur Parefeu (Firewall) Modem Postes Serveurs d application Unités de sauvegarde Imprimantes Serveurs techniques (DHCP, DNS) Serveur de messagerie Portail Web Figure 1: Exemple d'architecture d'un réseau informatique Pour mettre en œuvre un tel cloisonnement, plusieurs méthodes sont envisageables : - l installation d une passerelle sécurisée (un parefeu) entre les deux réseaux à relier afin de contrôler les flux d information entrants et sortants, - la mise en place de commutateurs physiques (switches) : il est alors possible de cloisonner les différents réseaux en contrôlant les flux de données sur la base des adresses réseaux par le biais de fonctions de routage/commutation, telles que les listes de contrôle d accès, - le cloisonnement par le recours à des réseaux virtuels, dénommés VLAN, destinés à des groupes d utilisateurs : l objectif de cette technologie est de cloisonner le réseau informatique, c est à dire d isoler l'ensemble des composants réseaux connectés à un équipement physique (commutateur Ethernet) par groupes selon des critères logiques (appartenance à un département, etc.), pour séparer le trafic réseau. - le recours à des connexions sécurisés dénommées VPN Contrôle d accès aux serveurs et aux postes de travail Objectif: empêcher les accès non autorisés aux couches logicielles des systèmes d exploitation. [ISO ] Il convient que l accès aux systèmes d exploitation soit soumis à une procédure sécurisée d ouverture de session. [ISO ] Il convient d attribuer à chaque utilisateur un identifiant unique et exclusif et de choisir une technique d authentification adéquate. A propos des identifiants : Il convient que les identifiants utilisés soient différents de ceux des comptes par défaut et que ces derniers soient désactivés. Il convient par ailleurs qu aucun compte ne soit partagé entre plusieurs utilisateurs. En matière d authentification : Les mécanismes permettant de réaliser l authentification des personnes sont catégorisés en quatre familles selon qu ils font intervenir: - ce que l on sait, par exemple un mot de passe ; - ce que l on a, par exemple une carte à puce ; CNIL

18 - une caractéristique qui nous est propre, par exemple une empreinte digitale ou encore une signature manuscrite. La loi Informatique et Libertés subordonne l utilisation de la biométrie à autorisation préalable. A ce sujet, la doctrine de la CNIL sur l emploi de la biométrie par empreinte digitale dans une base centrale est décrite dans le document [6] (Communication de la CNIL relative à la mise en œuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données). Dans le cas de l utilisation de mots de passe, il convient que : - la complexité des mots de passe suive les règles suivantes dérivées de celles édictées par le CERTA 6 : - avoir des mots de passe de 8 caractères minimum, - utiliser des caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux). - ne pas utiliser de mot de passe ayant un lien avec soi (noms, dates de naissance ). - le même mot de passe ne doit pas être utilisé pour des accès différents. - changer de mot de passe régulièrement. - en règle générale, ne pas configurer les logiciels pour qu ils retiennent les mots de passe. - éviter de stocker ses mots de passe dans un fichier ou lieu proche de l ordinateur si celui-ci est accessible par d autres personnes. - si possible, limiter le nombre de tentatives d accès. Ces mesures dépendent du contexte propre à chaque traitement et peuvent être assouplies ou durcies selon la criticité de l information accessible à l issue de l authentification. Cependant, il faut savoir qu une attaque par recherche exhaustive 7 à partir de la connaissance du haché 8 d un mot de passe de 6 caractères alphabétiques 9 requiert de l ordre de quelques heures de calcul avec un ordinateur personnel. La transmission du mot de passe doit mettre en œuvre des techniques introduisant un aléa à chaque tentative de connexion afin d éviter leur réutilisation 10 suite à une interception de la communication. Dans le cas de l utilisation d une méthode d authentification basée sur des mots de passe à usage unique (en anglais OTP, One-Time Password), il convient de suivre les préconisations données en annexe du document [5] (Règles et recommandations concernant les mécanismes d authentification de niveau de robustesse standard). Dans les cas de l utilisation de dispositifs tels qu une carte à puce ou de schémas d authentification mettant en œuvre des algorithmes cryptographiques, il convient que ceux-ci suivent les règles édictées dans le document [3] (Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard). [ISO ] Il convient que soit automatiquement mis fin aux sessions inactives après une période définie. Cette période dépend de la sensibilité du traitement et de la criticité de l opération. En cas d opération 6 disponibles à l adresse 7 Cf. 8 Le haché est le résultat obtenu à partir d un algorithme appliqué à un mot de passe et dont une propriété est qu il est extrêmement difficile d en déduire le mot de passe à partir de celui-ci. 9 Numérique : chiffres de 0 à 9, soit 10 caractères Alphabétique : lettres de a à z, soit 26 caractères Alphanumérique : lettres de a à z et A à Z, et chiffres de 0 à 9 soit 62 caractères Alphanum complexe : alphanumérique + certaines etc. 10 Cette attaque est appelée le rejeu. CNIL

19 particulièrement critique (opération de télémaintenance d un système par exemple), il convient de mettre fin à une session après une à cinq minutes d inactivité. Pour d autres opérations moins critiques (accès à une application métier par exemple), un délai de quinze minutes doit permettre de garantir la sécurité sans compromettre l ergonomie d utilisation Contrôle d accès aux applications et à l information Objectif: empêcher les accès non autorisés aux informations stockées dans les applications. [ISO ] Pour les utilisateurs et le personnel chargé de l assistance technique, il convient de restreindre l accès aux données à caractère personnel à leur strict besoin d en connaitre. En matière d administration de bases de données: - il est impératif de changer les mots de passe par défaut par des mots de passe respectant les préconisations du CERTA (http://www.certa.ssi.gouv.fr/site/certa-2005-inf-001/) - il convient, dans la mesure du possible, d utiliser des comptes nominatifs pour l accès aux bases de données - il est préférable d homogénéiser les systèmes sur lesquels les bases sont installées afin de faciliter leur exploitation - il convient de mettre à jour les serveurs de manière régulière afin de corriger les vulnérabilités connues - il convient de bannir les services non sécurisés (authentification en clair, flux en clair, etc ) - il convient de ne pas utiliser les serveurs hébergeant les bases de données à d autres fins (notamment pour se naviguer sur des sites internet, accéder à la messagerie électronique ) - il convient de mettre en œuvre des mesures et/ou d installer des dispositifs de filtrage pour se prémunir des attaques par injection de code SQL, scripts (ex :Nessus ) - les bases de données ne doivent pas être placées dans une zone directement accessible depuis Internet - il convient de limiter et de contrôler les opérations de télémaintenance sur les serveurs de bases de données (note : attention aux vulnérabilités connues de certains xvnc) - il convient de mettre en œuvre des mesures particulières pour les bases de données «sensibles» (chiffrement en base, chiffrement des sauvegardes) En matière d assistance sur les postes clients : - il convient de configurer les outils d administration à distance de manière à recueillir le consentement de l utilisateur avant toute intervention sur son poste - il convient également que l utilisateur puisse constater que la prise de main à distance est en cours. En matière de renouvellement de mots de passe : - lorsque le mot de passe d un utilisateur a été réinitialisé, il convient que ce dernier soit obligé de changer le mot de passe qui lui a été transmis dès sa première connexion. [ISO ] Il convient que les systèmes sensibles, c'est-à-dire tout système traitant de données sensibles, disposent d un environnement informatique dédié (isolé). En matière d hébergement dédié ou mutualisé, il convient de se référer au document du CERTA disponible à l adresse suivante : 7.3 Informatique mobile Objectif: garantir la sécurité des communications ainsi que des données lors de l utilisation d appareils informatiques mobiles. CNIL

20 [ISO ] Il convient de définir des mesures de protection des informations transmises ou conservées dans des appareils d informatiques mobiles. Il convient que les accès au système d information au moyen d appareils informatiques mobiles tels que des ordinateurs portables soient sécurisés. Cela peut être réalisé notamment par la mise en place de connexions VPN reposant sur des algorithmes cryptographiques réputés forts et mettant en œuvre un matériel (carte à puce, boitier générateur de mots de passe à usage unique (OTP), etc.). Il convient de sécuriser les unités de stockage contenues dans les appareils mobiles (cf. [ISO ], page 13). Lorsque des appareils mobiles servent à la collecte de données en itinérance (ex : PDA, Smartphones ou PC portables, etc.), il convient de sécuriser les données qui y sont stockées. 7.4 Sauvegarde Objectif: maintenir l intégrité et la disponibilité des données à caractère personnel et des moyens de traitement y afférant. [ISO ] Il convient de réaliser des copies de sauvegarde des données à caractère personnel et de les soumettre régulièrement à essai conformément à la politique de sauvegarde convenue. Il convient également de procéder à une sauvegarde des logiciels servant au traitement afin de garantir la pérennité de celui-ci. Il convient de réaliser des sauvegardes avec une fréquence suffisante pour éviter la perte d information. Selon le volume d information à sauvegarder, il peut être opportun de prévoir des sauvegardes incrémentales 11 avec une fréquence quotidienne, et des sauvegardes complètes avec une fréquence moindre (hebdomadaires ou bimensuelles). Il convient par ailleurs de prévoir de stocker les supports de sauvegarde dans des armoires à l épreuve du feu, de l eau etc. et de prévoir leur stockage sur un site extérieur. [IL-Sauv-1] sensibles. Il convient de particulièrement sécuriser les sauvegardes si les données sont des données La sécurisation des sauvegardes peut être réalisée de différentes manières : - Soit en chiffrant les sauvegardes elles-mêmes - Soit en chiffrant les données à la source - Soit en prévoyant un stockage dans un lieu sécurisé. Le convoyage éventuel des sauvegardes doit suivre des règles en adéquation avec la politique de sécurité. 7.5 Archivage Objectif: garantir la conservation des données à caractère personnel. 11 Une sauvegarde incrémentale consiste à n enregistrer que les modifications faites par rapport à une précédente sauvegarde. CNIL

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL L important développement à l international du groupe OVH et de ses filiales, conduit à l adoption des présentes règles internes en matière

Plus en détail

Règles pour les interventions à distance sur les systèmes d information de santé

Règles pour les interventions à distance sur les systèmes d information de santé VERSION V0.3 Règles pour les interventions à distance sur les systèmes d information de santé Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Avril 2014 MINISTÈRE DES AFFAIRES

Plus en détail

Comment protéger ses systèmes d'information légalement et à moindre coût?

Comment protéger ses systèmes d'information légalement et à moindre coût? Se protéger légalement et à moindre coût. Comment protéger ses systèmes d'information légalement et à moindre coût? Thierry RAMARD Président d AGERIS Group SAS Président du Clusir Est mardi 19 juin 2012

Plus en détail

CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes.

CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes. Infos sécurité Charte d usage des TIC au sein de l Université de Bourgogne CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes.

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

Charte d'usage des TIC

Charte d'usage des TIC Schéma Informatique Ministériel Groupe Chartes d usage des TIC Introduction Charte d'usage des TIC Le développement et la diffusion au sein du MINEFI des nouveaux moyens de communication et d information

Plus en détail

État Réalisé En cours Planifié

État Réalisé En cours Planifié 1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture

Plus en détail

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg E-réputation : protection des données en ligne Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg CONTEXTE La cybersécurité est un facteur de productivité, de compétitivité et donc de croissance pour

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

Guide pratique spécifique pour la mise en place d un accès Wifi

Guide pratique spécifique pour la mise en place d un accès Wifi MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ Guide pratique spécifique pour la mise en place d un accès Wifi Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S)- Mai 2014 - V1.0

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités

Plus en détail

L hygiène informatique en entreprise Quelques recommandations simples

L hygiène informatique en entreprise Quelques recommandations simples L hygiène informatique en entreprise Quelques recommandations simples Avant-propos à destination des décideurs Les formidables développements de l informatique et d Internet ont révolutionné nos manières

Plus en détail

CRISTALLIN KIT D INFORMATION INFORMATIQUE ET LIBERTES A DESTINATION DES OPTICIENS

CRISTALLIN KIT D INFORMATION INFORMATIQUE ET LIBERTES A DESTINATION DES OPTICIENS CRISTALLIN KIT D INFORMATION INFORMATIQUE ET LIBERTES A DESTINATION DES OPTICIENS 19 06 2012 SOMMAIRE 1. Préambule 3 2. Réaliser les formalités préalables adéquates 3 3. Informer vos clients 3 4. Obtenir

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Date : 2010-09-08 Référence 20100906-CSPN-CibleSécurité-V1.1.doc VALIDITE DU DOCUMENT Identification Client Projet Fournisseur

Plus en détail

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD o CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD Conditions Générales de Vente et d Utilisation du Service B CLOUD Les présents termes et conditions sont conclus

Plus en détail

Conditions Générales d Utilisation de la plateforme depot-doublage.fr

Conditions Générales d Utilisation de la plateforme depot-doublage.fr Conditions Générales d Utilisation de la plateforme depot-doublage.fr ARTICLE 1 : Préambule Le présent document a pour objet de définir les conditions générales d utilisation de la plateforme «depot-doublage.fr»

Plus en détail

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................

Plus en détail

Charte régissant l'usage du système d information par les personnels du ministère de l éducation nationale

Charte régissant l'usage du système d information par les personnels du ministère de l éducation nationale Charte régissant l'usage du système d information par les personnels du ministère de l éducation nationale DGRH Version du 21/08/2008 1/ 9 Sommaire Article I. Champ d'application...4 Article II. Conditions

Plus en détail

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56) Pack de conformité - Assurance 14 FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56) LES TRAITEMENTS DE DONNÉES PERSONNELLES AU REGARD DE LA LOI I&L Finalités

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

Concilier mobilité et sécurité pour les postes nomades

Concilier mobilité et sécurité pour les postes nomades Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de

Plus en détail

Authentification. Règles et recommandations concernant les mécanismes d authentification de niveau de robustesse standard

Authentification. Règles et recommandations concernant les mécanismes d authentification de niveau de robustesse standard PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Paris, le 12 avril 2007 N 729/SGDN/DCSSI/SDS/AsTeC Authentification Règles et recommandations

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

La sécurité des systèmes d information

La sécurité des systèmes d information Ntic consultant contact@ntic-consultant.fr 02 98 89 04 89 www.ntic-consultant.fr La sécurité des systèmes d information Ce document intitulé «La sécurité des systèmes d information» est soumis à la licence

Plus en détail

CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK

CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK 1. OBJET Les présentes conditions générales fixent les modalités d accès et de fonctionnement du service de banque en ligne fourni par ECOBANK (le

Plus en détail

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1

Plus en détail

Bibliographie. Gestion des risques

Bibliographie. Gestion des risques Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes

Plus en détail

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique

Plus en détail

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Page : 1/9 de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Note Importante : La charte de bon usage des ressources informatiques, de la messagerie et de l internet est une

Plus en détail

CHARTE WIFI ET INTERNET

CHARTE WIFI ET INTERNET PAVILLON BLANC MÈDIATHÉQUE CENTRE D ART DE COLOMIERS CHARTE WIFI ET INTERNET MISSION : Le Pavillon Blanc Médiathèque Centre d Art de Colomiers a pour mission de permettre à tous ses visiteurs d accéder

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3 VERSION V0.3 Guide Pratique Règles de sauvegarde des Systèmes d Information de Santé (SIS) Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Juillet 2014 MINISTÈRE DES AFFAIRES

Plus en détail

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés LES OUTILS Connaître et appliquer la loi Informatique et Libertés SEPTEMBRE 2011 QUE FAUT-IL DÉCLARER? Tous les fichiers informatiques contenant des données à caractère personnel sont soumis à la Loi Informatique

Plus en détail

Dispositions relatives à la sécurité des technologies de l information

Dispositions relatives à la sécurité des technologies de l information Dispositions relatives à la sécurité des technologies de l information Conception : Paul Athaide Date de conception : 1 er décembre 2010 Révision : Paul Athaide Date de révision : 27 janvier 2011 Version

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché SéCURITé Konica Minolta, un leader aux standards de sécurité les plus élevés du marché A l ère du numérique, les communications mondiales connaissent une croissance sans précédent, et les risques de failles

Plus en détail

Groupe Banque européenne d investissement. Politique de vidéosurveillance

Groupe Banque européenne d investissement. Politique de vidéosurveillance Groupe Banque européenne d investissement TABLE DES MATIERES 1. Objet et champ d application de la politique de vidéosurveillance... 2 2. Respect de la vie privée, protection des données et conformité

Plus en détail

Le présent site accessible à l adresse http://www.o2.fr/ (ci-après le Site ) est la propriété de la société O 2 Développement.

Le présent site accessible à l adresse http://www.o2.fr/ (ci-après le Site ) est la propriété de la société O 2 Développement. Mentions légales Le présent site accessible à l adresse http://www.o2.fr/ (ci-après le Site ) est la propriété de la société Il est édité par la société Développement, SAS au capital de 737 600 euros,

Plus en détail

POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0

POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0 POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT Version 1.0 HISTORIQUE DES VERSIONS DATE VERSION ÉVOLUTION DU DOCUMENT 17/07/2014 1.0 Publication de la première version de la Politique de sécurité

Plus en détail

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1. Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05

Plus en détail

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Charte informatique Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Préambule L'entreprise < NOM > met en œuvre un système d'information et

Plus en détail

Conditions générales d hébergement de l application La-Vie-Scolaire.fr

Conditions générales d hébergement de l application La-Vie-Scolaire.fr de l application La-Vie-Scolaire.fr Référence :.. Date : Définitions «Contrat d accès au Service» : désigne le bon de commande, les conditions générales de vente et les éventuels annexes ou avenants conclus

Plus en détail

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES DÉFINIR UNE POLITIQUE INTERNE DE SÉCURITÉ RELATIVE À L INFORMATION STRATÉGIQUE DE VOTRE ENTREPRISE Vous n avez pas effectué de diagnostic interne

Plus en détail

La sécurité informatique

La sécurité informatique La sécurité informatique SOMMAIRE 1. Présentation générale a. La SARL Invesys b. Pourquoi la sécurité informatique? c. Qu est-ce qu un audit de sécurité? 2. Espionnage industriel a. Définition b. Enjeux

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

OPAC 36 - Conditions Générales d Utilisation

OPAC 36 - Conditions Générales d Utilisation OPAC 36 - Conditions Générales d Utilisation L OPAC 36 propose sur son site internet www.opac36.fr un espace locataire avec différents services destinés à simplifier les démarches liées à ses activités

Plus en détail

VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA.

VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA. VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA 1 6 décembre 2005 2 Plan Contexte INRIA Enjeux et objectifs de VISON Service d authentification

Plus en détail

Ce que nous rencontrons dans les établissements privés : 1-Le réseau basique :

Ce que nous rencontrons dans les établissements privés : 1-Le réseau basique : Ce que nous rencontrons dans les établissements privés : 1-Le réseau basique : Il s agit d un réseau filaire partagé par l ensemble des acteurs de l établissement (administratifs, enseignants, élèves ).

Plus en détail

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR INTRODUCTION A la suite de grands scandales financiers qui ont ébranlés le monde des affaires, les instances législatives et réglementaires des Etats Unis ont remis

Plus en détail

MARCHE A PROCEDURE ADAPTEE

MARCHE A PROCEDURE ADAPTEE MARCHE A PROCEDURE ADAPTEE Pouvoir adjudicateur : Centre Hospitalier de Béziers 2 rue Valentin Haüy BP 740 34525 BEZIERS Libellé de la consultation : REMPLACEMENT DU PAREFEU-PROXY Objet du marché : Acquisition

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

CAHIER DES CHARGES ASSISTANCE ET MAINTENANCE DU RESEAU ET DES SERVEURS. Table des matières

CAHIER DES CHARGES ASSISTANCE ET MAINTENANCE DU RESEAU ET DES SERVEURS. Table des matières 19/07/2012 Table des matières I/ INTRODUCTION... 3 a) Objectif... 4 b) Services attendus... 4 c) Identifications des parties... 4 d) Durée... 4 e) Critères de sélections...5 II/ Description de l existant...

Plus en détail

Commission nationale de l informatique et des libertés

Commission nationale de l informatique et des libertés 1 Commission nationale de l informatique et des libertés Délibération no 2012-209 du 21 juin 2012 portant création d une norme simplifiée concernant les traitements automatisés de données à caractère personnel

Plus en détail

Chiffrement : Échanger et transporter ses données en toute sécurité

Chiffrement : Échanger et transporter ses données en toute sécurité Chiffrement : Échanger et transporter ses données en toute sécurité Septembre 2014 Chiffrement : Confidentialité des données Malgré les déclarations de Google et autres acteurs du Net sur les questions

Plus en détail

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

données à caractère personnel (ci-après la LVP), en particulier l'article 30 ; 1/8 Recommandation n 01/2013 du 21 janvier 2013 Objet : Recommandation d'initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données (CO-AR-2013-001) La Commission de

Plus en détail

Toute utilisation du site www.eau-services.com doit respecter les présentes conditions d utilisation.

Toute utilisation du site www.eau-services.com doit respecter les présentes conditions d utilisation. Mentions légales Toute utilisation du site www.eau-services.com doit respecter les présentes conditions d utilisation. I CONDITIONS D UTILISATION DU SITE Ce Site est soumis à la loi française. En consultant

Plus en détail

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES informatiques d Inria CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES Table des matières 1. Préambule...3 2. Définitions...3 3. Domaine d application...4 4. Autorisation d accès aux ressources informatiques...5

Plus en détail

D o s s i e r t e c h n i q u e

D o s s i e r t e c h n i q u e A N N E X E A L A C O N V E N T I O N R E L A T I V E A L A M I S E E N Œ U V R E D U N R E S E A U P R I V E P O U R L E S C O L L E G E S D E S Y V E L I N E S D o s s i e r t e c h n i q u e D é f i

Plus en détail

CONTRAT DE SERVICE DE SAUVEGARDE EN LIGNE

CONTRAT DE SERVICE DE SAUVEGARDE EN LIGNE CONTRAT DE SERVICE DE SAUVEGARDE EN LIGNE ASPSERVEUR SARL au capital de 100 000 - RCS Marseille - Siret 454 777 254 00033 - N intracommunautaire : FR50451777254. Siège : 785 Voie Antiope - Zone Athélia

Plus en détail

CONDITIONS GENERALES

CONDITIONS GENERALES CONDITIONS GENERALES Complex IT sàrl Contents 1 Conditions générales de vente 2 1.1 Préambule............................... 2 1.2 Offre et commande.......................... 3 1.3 Livraison...............................

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

CAHIER DES CLAUSES TECHNIQUES

CAHIER DES CLAUSES TECHNIQUES CAHIER DES CLAUSES TECHNIQUES 1. Contexte Ce document décrit les différentes fournitures et prestations à mettre en œuvre dans le cadre du remplacement de la solution de proxy et firewall actuellement

Plus en détail

Charte Informatique de l Universite

Charte Informatique de l Universite Charte Informatique de l Universite Version 1.0, approuvée par le Conseil d'administration le 16/12/2014. 1 Introduction L Université met à disposition de son personnel, de ses étudiants et de ses collaborateurs

Plus en détail

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences Premier ministre Agence nationale de la sécurité des systèmes d information Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Plus en détail

Conditions générales d utilisation

Conditions générales d utilisation Conditions générales d utilisation de l Espace Client Employeur La Banque Postale Assurance Santé La Banque Postale Assurance Santé a développé le site internet Espace Client Employeur (le Site) pour des

Plus en détail

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2 Table des matières CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2 COMMUTATEUR... 2 ROUTEUR... 2 FIREWALL... 2 VLAN... 2 Types de VLAN :...2 Intérêt des VLAN...3 VPN... 3 DMZ... 3 DECT... 3 DATACENTER...

Plus en détail

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition Licences en volume Addendum à l offre Enrollment for Education Solutions (EES) Microsoft Online Services Agreement (Accord sur les services en ligne de Microsoft) ID de la modification : EES17 N o EES

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

Règlement d INTERPOL sur le traitement des données

Règlement d INTERPOL sur le traitement des données BUREAU DES AFFAIRES JURIDIQUES Règlement d INTERPOL sur le traitement des données [III/IRPD/GA/2011(2014)] REFERENCES 51 ème session de l Assemblée générale, résolution AGN/51/RES/1, portant adoption du

Plus en détail

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES. DQ- Version 1 SSR Saint-Christophe CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES. I] INTRODUCTION L emploi des nouvelles technologies nécessite l application

Plus en détail

Dossier d implantation technique de l offre de services SIHAM-PMS

Dossier d implantation technique de l offre de services SIHAM-PMS Dossier d implantation technique de l offre de services SIHAM-PMS DCSI/SIHAM-PMS AVERTISSEMENT Toute utilisation ou reproduction intégrale ou partielle faite sans le consentement de l Amue est illicite.

Plus en détail

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS DES RESEAUX D ENTREPRISE SO Une sécurité réseau déficiente

Plus en détail

Conseil économique et social

Conseil économique et social NATIONS UNIES E Conseil économique et social Distr. GÉNÉRALE ECE/TRANS/WP.30/AC.2/2008/2 21 novembre 2007 FRANÇAIS Original: ANGLAIS COMMISSION ÉCONOMIQUE POUR L EUROPE Comité de gestion de la Convention

Plus en détail

Pré-requis techniques

Pré-requis techniques Sommaire 1. PRÉAMBULE... 3 2. PRÉ-REQUIS TÉLÉCOM... 4 Généralités... 4 Accès Télécom supporté... 4 Accès Internet... 5 Accès VPN... 5 Dimensionnement de vos accès... 6 3. PRÉ-REQUIS POUR LES POSTES DE

Plus en détail

Cahier des Clauses Techniques Particulières. Convergence Voix - Données

Cahier des Clauses Techniques Particulières. Convergence Voix - Données Cahier des Clauses Techniques Particulières Convergence Voix - Données SOMMAIRE - Objet du document et du marché - Contexte et périmètre du projet - Configurations existantes et besoins - Services attendus

Plus en détail

La sécurité intelligente intégrée pour protéger vos données critiques

La sécurité intelligente intégrée pour protéger vos données critiques IBM Software Livre blanc sur le leadership éclairé Avril 2013 La sécurité intelligente intégrée pour protéger vos données critiques Exploitez des informations décisionnelles afin de réduire les risques

Plus en détail

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM Le WiFi sécurisé 16 Octobre 2008 PRATIC RIOM Plan Introduction Les réseaux sans fil WiFi Les risques majeurs liés à l utilisation d un réseau WiFi Comment sécuriser son réseau WiFi La cohabitation entre

Plus en détail

Le contrat Cloud : plus simple et plus dangereux

Le contrat Cloud : plus simple et plus dangereux 11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin

Plus en détail

LES COMPTEURS COMMUNICANTS

LES COMPTEURS COMMUNICANTS PACK DE CONFORMITÉ LES COMPTEURS COMMUNICANTS PACK DE CONFORMITÉ SUR LES COMPTEURS COMMUNICANTS Le pack de conformité est un nouvel outil de régulation des données personnelles qui recouvre tout à la fois

Plus en détail

MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ

MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ Guide pratique spécifique à la destruction de données lors du transfert de matériels informatiques des Systèmes d Information de Santé (SIS) Politique Générale

Plus en détail

Législation et droit d'un administrateur réseaux

Législation et droit d'un administrateur réseaux Législation et droit d'un administrateur réseaux Réalisé par : GUENGOU Mourad OULD MED LEMINE Ahmedou 1 Plan de présentation I. Introduction générale II. L Administrateur Réseaux 1) Mission de l administrateur

Plus en détail

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX Guide de connexion à RENAULT SA et PSA PEUGEOT CITROËN via ENX Mise en œuvre de votre raccordement à RENAULT SA et/ou PSA PEUGEOT CITROËN via ENX Version française du 31/10/2014 1 Table des matières 1

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un

Plus en détail

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires aujourd'hui. L'utilisation

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

s é c u r i t é Conférence animée par Christophe Blanchot

s é c u r i t é Conférence animée par Christophe Blanchot s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)

Plus en détail

Licence ODbL (Open Database Licence) - IdéesLibres.org

Licence ODbL (Open Database Licence) - IdéesLibres.org Licence ODbL (Open Database Licence) - IdéesLibres.org Stipulations liminaires La licence ODbL (Open Database License) est un contrat de licence ayant pour objet d autoriser les utilisateurs à partager,

Plus en détail

Meilleures pratiques de l authentification:

Meilleures pratiques de l authentification: Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données

Plus en détail