GUIDE PRATIQUE. Sécurité des Données à Caractère Personnel

Dimension: px
Commencer à balayer dès la page:

Download "GUIDE PRATIQUE. Sécurité des Données à Caractère Personnel"

Transcription

1 GUIDE PRATIQUE Sécurité des Données à Caractère Personnel

2 CNIL 2009 Commission Nationale de l Informatique et des Libertés 8 rue Vivienne CS Paris Cedex 02 Tel Fax Web ii

3 Sommaire Page Avertissement Introduction Qu entend-on par sécurité des données à caractère personnel? Identification des exigences de sécurité Domaine d'application Termes et définitions Acronymes Appréciation et traitement du risque Appréciation du risque lié à la protection des données à caractère personnel Traitement du risque lié à la protection des données à caractère personnel Organisation de la sécurité de l information Fondement légal Politique de sécurité de l information Organisation interne Sous-traitance Gestion et classification des informations Sécurité liée aux ressources humaines Sensibilisation des utilisateurs Gestion des habilitations Conformité Conformité avec les exigences légales Sécurité physique de l infrastructure Zones sécurisées Sécurité liée aux matériels Sécurité logique Sécurité logique Sécurité des réseaux Sécurité des serveurs et des postes de travail Supports de stockage amovibles Contrôle d accès Politique de contrôle d accès Contrôle d accès réseau Contrôle d accès aux serveurs et aux postes de travail Contrôle d accès aux applications et à l information Informatique mobile Sauvegarde Archivage Gestion opérationnelle Surveillance et traçabilité Gestion des incidents Disponibilité Maintenance Audit Communications externes Développement Exigences de sécurité lors du développement du traitement Conformité avec les politiques et normes de sécurité et conformité technique Feuille de synthèse des mesures...i CNIL

4 Avertissement Ce document présente un ensemble de mesures et de préconisations dans le but de pourvoir à la sécurité de données à caractère personnel. Il comporte deux niveaux de lecture, respectivement destinés à : - tout responsable de traitement ou à toute personne sans connaissance informatique particulière souhaitant évaluer le niveau de sécurité dont bénéficient les données à caractère personnel qu il traite. Un ensemble comprenant une cinquantaine de mesures a été rédigé dans un langage non technique, ce qui correspond à un premier niveau de lecture et permet de poser un diagnostic sur la sécurité d un système d information. Ces mesures sont récapitulées en annexe du document sous la forme d un tableau. - un public plus averti, tels que les Correspondants Informatique et Libertés, les Responsables de la Sécurité des Systèmes d Information etc.. Le guide met à leur disposition un ensemble de préconisations pour l application concrète des mesures, ce qui correspond au second niveau de lecture. Il est à noter que les préconisations s appliquent plus particulièrement à des systèmes d information de taille moyenne. Le document est structuré en six sections : 1. Organisation de la sécurité de l information 2. Sécurité physique de l infrastructure 3. Sécurité logique 4. Gestion opérationnelle 5. Sécurité lors de la communication de données en dehors du système d information 6. Développement Chaque rubrique principale de sécurité comprend : - un objectif de sécurité identifiant le but à atteindre - une ou plusieurs mesures habituellement préconisées par la CNIL en vue d atteindre l objectif de sécurité. Les mesures ont été répertoriées en suivant la nomenclature suivante : - Si une mesure de sécurité peut être identifiée à une mesure définie dans la norme ISO :2005 1, elle est alors indiquée dans le guide sous la forme [ISO-X], où X désigne le chapitre référençant la mesure de sécurité dans cette norme. - Lorsqu il s agit d une exigence qui découle directement de la loi Informatique et Libertés, celle-ci est référencée sous la forme [IL-Artx.y]. L indication Artx. renvoie à l article de la loi, [IL-Chxy] où Chxy renvoie au chapitre xy de la loi, ou encore [IL-xxxx-y] si l objectif ne renvoie pas à un article de loi singulier mais à une thématique. - enfin, il est à souligner que les préconisations relatives à la mise en œuvre d une mesure sont présentées dans des encadrées de couleur grise. 1 ISO est un organisme de standardisation international qui élabore des normes dans de nombreux domaines d activités. Ces normes sont cataloguées par 5 chiffres ; les normes et suivantes traitent la sécurité des systèmes d information. Pour plus d information, CNIL

5 Afin d en faciliter la lecture, différentes icônes ont été définies : L Aides à la lecture Mesure découlant de la loi Mesure primordiale et donc à considérer en priorité Mesure fortement recommandée Mesure recommandée Section ou paragraphe à contenu technique Point présentant un problème fréquemment relevé Pour ne pas alourdir le document, celui-ci renvoie à différentes sources externes telles que la loi Informatique et Libertés, les référentiels de sécurité édictés par le CERTA 2, etc. Ces références sont énumérées ci-après et sont citées entre [ ] lorsque cela est nécessaire. Il convient de préciser qu en cas de différence entre les informations détaillées dans ce document et un référentiel 3, ce dernier fait foi. Enfin, si ce document entend constituer une aide, la seule application des mesures qui y sont répertoriées ne saurait décharger le responsable de traitement du respect des autres dispositions de la loi Informatique et Libertés ni se saurait augurer de l examen par la Commission au regard du niveau de sécurité d un traitement. Références : [1] Loi n du 6 janvier 1978 modifiée en [2] WP 136, Avis 4/2007 sur le concept de données à caractère personnel [3] Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard, n 2741/SGDN/DCSSI/S DS/LCR [4] Guide technique pour la confidentialité des informations enregistrées sur les disques durs à recycler ou exporter, n 972-1/SGDN/DCSSI [5] Règles et recommandations concernant les mécanismes d authentification de niveau de robustesse standard, n 729/SGDN/DCSSI/SDS/AsTeC [6] Communication de la CNIL relative à la mise en œuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données 2 Le CERTA (Centre d'expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) est un service de l ANSSI (Agence Nationale de la Sécurité des Systèmes d'information, ex DCSSI) chargé d «évaluer les menaces pesant sur les systèmes d'information, donner l'alerte, développer les capacités à les contrer et à les prévenir» 3 Cette situation peut notamment se produire du fait de l évolution des référentiels. CNIL

6 0 Introduction La place grandissante de l informatique dans toutes les sphères de notre société entraine la production d un nombre croissant de données personnelles, ainsi que leur dissémination dans des systèmes plus nombreux et moins perceptibles pour les personnes. Les menaces pesant sur les systèmes et réseaux d information, telles que la fraude informatique, le détournement de finalité, la captation frauduleuse, la perte de données, le vandalisme, ou encore les sinistres les plus fréquents, tels que l incendie ou l inondation, requièrent que toutes les précautions soient prises pour assurer la sécurité de ces données, ce qui se traduit par la mise en œuvre de mesures organisationnelles et techniques adaptées. 0.1 Qu entend-on par sécurité des données à caractère personnel? Par sécurité des données à caractère personnel on entend l ensemble des «précautions utiles, au regard de la nature des données et des risques présentés par le traitement», pour notamment, «empêcher que les données soient déformées, endommagées, ou que des tiers non autorisés y aient accès.». Cette sécurité se conçoit pour l ensemble des processus relatifs à ces données, qu il s agisse de leur création, leur utilisation, leur sauvegarde, leur archivage ou leur destruction et concerne leur confidentialité, leur intégrité, leur authenticité et leur disponibilité. 0.2 Identification des exigences de sécurité L identification des exigences en matière de sécurité nécessite de tenir compte : - du risque propre à la nature du traitement, afin d identifier les menaces pesant sur les données à caractère personnel il convient donc d analyser la vraisemblance des attaques et d en évaluer l impact potentiel, - de l environnement socioculturel en effet, des solutions a priori très sécurisées peuvent s avérer inadaptées au regard de comportements établis, - des exigences légales du secteur concerné (la santé, les télécommunications, ) auxquelles le responsable de traitement et ses prestataires de service doivent se conformer, - de l ensemble des exigences métier préexistantes en matière de traitement de l information, - des exigences légales en matière de transfert de données à caractère personnel hors de l Union Européenne. CNIL

7 1 Domaine d'application Les objectifs et mesures décrits dans ce document sont destinés à être mis en œuvre dans le but de répondre aux exigences identifiées par une évaluation du risque portant sur la sécurité des données à caractère personnel au regard de la loi Informatique et Libertés. 2 Termes et définitions Authentification : «l'authentification a pour but de vérifier l'identité dont une entité se réclame. Généralement l'authentification est précédée d'une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l'a doté. En résumé, s'identifier c'est communiquer son identité, s'authentifier c'est apporter la preuve de son identité.» (ANSSI) Destinataire des données : «toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données.» (Art. 3 loi I&L) Donnée à caractère personnel : «toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.» (Art. 2 loi I&L). Données sensibles : les «données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.» (Art. 8 loi I&L). Responsable de traitement : «la personne, l autorité publique, le service ou l organisme qui détermine les finalités et les moyens dudit traitement, sauf désignation expresse par des dispositions législatives ou réglementaires relatives à ce traitement.» (Art. 3 loi I&L). Tiers : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données; (directive 95/46/CE) Traitement : sauf mention explicite, un traitement s entend dans ce document comme un traitement de données à caractère personnel. Traitement de données à caractère personnel : «toute opération ou tout ensemble d opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l enregistrement, l organisation, la conservation, l adaptation ou la modification, l extraction, la consultation, l utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l interconnexion, ainsi que le verrouillage, l effacement ou la destruction.» (Art. 2 loi I&L). 3 Acronymes DHCP : Dynamic Host Configuration protocole, un protocole permettant l attribution la configuration dynamique des paramètres réseau d une machine (dont son adresse Internet) lorsque celle-ci se connecte à un réseau local et afin qu elle puisse communiquer sur ce dernier. DNS : Domain Name Server, Serveur de nom de domaine, Ces serveurs font la correspondance entre un nom de domaine, par exemple cnil.fr, et un adresse internet, par exemple EBIOS : Une méthodologie d évaluation des risques des Systèmes d Information. HTTP : HyperText Transfer Protocole, le protocole du web. RSA : Un algorithme de cryptographie asymétrique, du nom de ses trois concepteurs Rivest, Shamir et Adelman. SQL : Structure Query Language, le protocole servant la gestion des bases de données. CNIL

8 SSL : Secure Socket Layer, un protocole sécurisé compatible avec HTTP, parfois dénommé https. VNC : Virtual Network Computer, un protocole permettant la prise de contrôle à distance d un poste de travail. VPN : Virtual Private Network, cet acronyme traduit un tunnel sécurisé, c'est-à-dire une canal de communication garantissant la confidentialité des échanges. 4 Appréciation et traitement du risque 4.1 Appréciation du risque lié à la protection des données à caractère personnel Une appréciation du risque portant sur l ensemble des données à caractère personnel dont l organisme est dépositaire doit être réalisée afin de garantir le strict respect des dispositions de la loi. Toutefois l évolution des systèmes rend nécessaire la révision périodique des mesures de sécurité. Idéalement, il conviendrait pour tout responsable de traitement de formaliser d emblée une analyse méthodique des risques du point de vue de la protection des données à caractère personnel. Cette analyse devrait prendre en compte : - la probabilité de réalisation du risque - les conséquences sur la sécurité des données Avant d envisager le traitement d un risque, il conviendrait également que le responsable de traitement définisse des critères permettant de déterminer si le risque est acceptable ou non. Des méthodes éprouvées permettent de conduire une analyse de risque en matière de Systèmes d Information, c est le cas notamment de la méthode EBIOS préconisée par la ANSSI. 4.2 Traitement du risque lié à la protection des données à caractère personnel Pour chacun des risques identifiés, une décision relative au traitement du risque doit être prise. Les solutions envisageables sont les suivantes: a) application de mesures appropriées visant à réduire le risque; b) acceptation des risques en connaissance de cause et avec objectivité, dans la mesure où ils sont acceptables au regard du cadre législatif et notamment de la loi Informatique et Libertés ; c) annulation des risques en interdisant les actions susceptibles de les engendrer. Dans le cadre de la loi Informatique et Libertés, le transfert de risques à des tiers n est pas envisageable car la loi reconnait des obligations au responsable de traitement dont il ne peut se décharger. L 5 Organisation de la sécurité de l information L expérience montre que le facteur organisationnel joue un rôle crucial dans la sécurité de l information. Ceci inclut les aspects suivants : - La définition d une politique de sécurité de l information; - Une mise en œuvre et un suivi effectif de la sécurité de l information; - Une communication efficace sur la sécurité de l information auprès de toutes les personnes partie-prenantes afin de les sensibiliser; 5.0 Fondement légal Objectif: se conformer à l obligation légale en matière de traitements de données à caractère personnel. [IL-Art5-1] Il est nécessaire de se conformer avec les exigences de la loi du 6 janvier 1978 dès lors que le responsable de traitement est établi ou que les moyens de traitement sont utilisés sur le territoire français (Art. 5-1 loi I&L). CNIL

9 5.1 Politique de sécurité de l information Objectif: garantir la sécurité de l information par la publication d un document décrivant la politique de sécurité. [ISO-5.1.1] Il convient qu un document de politique de sécurité de l information soit validé par le responsable de traitement, puis diffusé auprès de l ensemble des personnes concernées. Ce document devrait préciser les enjeux propres à la sécurité des données à caractère personnel. Il convient que cette politique soit revue de manière périodique. L 5.2 Organisation interne Objectif: s assurer que la sécurité des données à caractère personnel est bien prise en considération. [IL-Art34] La sécurité des données à caractère personnel doit être assurée conformément à l article 34 de la loi du 6 janvier 1978 modifiée : «Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès» (Art. 34 loi I&L). [ISO-6.1.8] Il convient de procéder à des revues régulières et indépendantes de la sécurité du système mettant en œuvre le traitement; de telles revues sont également nécessaires lors de changements importants du traitement. 5.3 Sous-traitance Objectif: assurer la sécurité des moyens de traitement portant sur des données à caractère personnel communiquées à ou gérées par des sous-traitants. [ISO-6.2.1] Il convient d identifier les risques pesant sur les données à caractère personnel impliquant des sous-traitants. L [IL-Art35-1] La loi I&L dispose que : «Le contrat liant le sous-traitant au responsable du traitement comporte l indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données» et prévoit que «le sous-traitant ne peut agir que sur instruction du responsable de traitement» (Art. 35 loi I&L). 5.4 Gestion et classification des informations Objectif: garantir un niveau de protection approprié aux données à caractère personnel. L [IL-Art6-3] Il est impératif de collecter des données à caractère personnel qui soient en adéquation avec la finalité du traitement (Art. 6, alinéa 3 loi I&L). L [IL-Art6-4] I&L). Il est impératif de garantir l exactitude des données à caractère personnel (Art. 6, alinéa 4 loi [ISO-7.2.1] Il convient de classifier les informations de manière notamment à indiquer si celles-ci sont des données sensibles. Cette classification a pour but notamment de rendre compte du niveau de sécurité à appliquer. L [IL-Art6-5] Il est nécessaire de définir des durées de conservation des données à caractère personnel en adéquation avec la finalité du traitement et limitées dans le temps (Art. 6, alinéa 5 loi I&L). CNIL

10 5.5 Sécurité liée aux ressources humaines Sensibilisation des utilisateurs Objectif: garantir que les utilisateurs connaissent leurs responsabilités. [ISO-8.1.1] Il convient de définir et de documenter les rôles et responsabilités des utilisateurs en matière de sécurité. Il convient par ailleurs de veiller à ce que ceux-ci soient conscients des menaces en termes de sécurité. Lorsque le niveau de responsabilité des personnes le justifie, il est recommandé de prévoir la signature d une clause de confidentialité. [ISO-8.2.2] Il convient que l ensemble des utilisateurs soient sensibilisés à la sécurité informatique et reçoivent régulièrement les mises à jour des politiques et procédures pertinentes pour leurs fonctions. Il convient notamment d organiser des séances de formation et de sensibilisation à la sécurité de l information. Des rappels périodiques peuvent être faits par le biais de la messagerie électronique. Il est recommandé de rédiger une charte informatique et que celle-ci soit annexée au règlement intérieur. Cette charte devrait comporter les éléments suivants : 1. Le champ d application de la charte, qui inclut notamment - Les modalités d intervention du service de l informatique interne - Les moyens d authentification - Les règles de sécurité auxquelles se conformer, ce qui peut inclure par exemple de : - Signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement - Ne jamais confier son identifiant/mot de passe - Ne pas masquer sa véritable identité - Ne pas usurper l'identité d'autrui - Ne pas modifier les paramétrages du poste de travail - Ne pas installer, copier, modifier, détruire des logiciels sans autorisation - Verrouiller son ordinateur en cas d absence - Ne pas accéder, tenter d'accéder, ou supprimer des informations qui n appartiennent pas à l utilisateur - De définir les modalités de copie de données sur un support externe, notamment en obtenant l accord préalable du supérieur hiérarchique et en respectant les règles définies par le service de l informatique interne. 2. Les modalités d utilisation des moyens informatiques et de télécommunication mis à disposition comme : - Le poste de travail - Les équipements nomades - L espace de stockage individuel. - Le réseau local - Internet - La messagerie électronique - Le téléphone 3. Les conditions d administration du système d Information, et l existence, le cas échéant, de: - systèmes automatiques de filtrage - systèmes automatiques de traçabilité - gestion du poste de travail CNIL

11 4. Les règles de protection des données à caractère personnel 5. Les responsabilités et sanctions encourues en cas de non respect de la charte [ISO-8.3.3] Il convient que les droits d accès des utilisateurs soient supprimés dès lors qu ils ne sont plus légitimés à accéder à un local ou à une ressource, ainsi qu à la fin de la période d emploi. Il convient notamment d être vigilant à supprimer toute donnée à caractère biométrique intervenant dans des dispositifs de contrôle d accès Gestion des habilitations Objectif: assurer la sûreté de l exploitation des moyens de traitement de l information. [ISO ] Il convient que les procédures d exploitation soient documentées, tenues à jour et disponibles pour tous les utilisateurs concernés. [ISO ] Il convient de définir des profils d habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité, afin de limiter l accès à des données à caractère personnel qu aux seuls utilisateurs dûment habilités. 5.6 Conformité Conformité avec les exigences légales Objectif: éviter toute violation des obligations législatives, réglementaires, statutaires ou contractuelles et des exigences de sécurité. L L [IL-Art30-II] Il est nécessaire que tout traitement et que toute évolution d un traitement, notamment quant à sa finalité, l extension des données collectées, fasse l objet des formalités ad hoc (Art. 30-II loi I&L). [IL-ChXII] La loi «informatique et libertés» prévoient qu un responsable d un traitement ne peut transférer des données à caractère personnel vers un État hors de l Union européenne que si cet État assure un niveau de protection des données adéquat. Ce principe subordonne les échanges internationaux de données à l existence de garanties minimales comme l adoption de législations particulières dans ce domaine par le pays tiers ou la signature d un contrat liant l exportateur de données à l importateur. Il est à souligner que La transmission de données hors UE est soumise à l autorisation préalable de la CNIL. [ISO ] Le cas échéant, il est nécessaire de recourir à des mesures cryptographiques qui soient conformes aux réglementations applicables. 6 Sécurité physique de l infrastructure La sécurité physique de l infrastructure représente le premier maillon de la chaine garantissant la sécurité de l information d un organisme. Une infrastructure est généralement constituée de différents éléments tels que des bâtiments, des équipements, des ressources techniques (énergie, connexion) etc. Certains éléments de l infrastructure revêtent une criticité forte dans la mesure où une atteinte à leur intégrité pourrait compromettre le traitement de manière significative. Cette criticité peut concerner l indisponibilité du traitement pour une durée dépassant un seuil acceptable prédéfini, la compromission de données en très grand nombre, etc 6.1 Zones sécurisées Hormis pour les infrastructures de taille très réduite, on distingue habituellement trois zones : - la zone ouverte au public, lorsqu il y a une obligation fonctionnelle d accueil (comptoir d accueil, salle d attente ou de réunion, ) CNIL

12 - la zone réservée au service : zone à accès contrôlé correspondant aux bureaux où sont traitées les données - la zone de sécurité : elle héberge les serveurs, les stations d administration du réseau, les éléments actifs du réseau, ou certains locaux ou postes de travail plus sensibles Afin de protéger efficacement ces zones, il convient de considérer trois principes concourants à garantir la sécurité physique, c'est-à-dire prévoir pour les tentatives d intrusion: - une capacité de détection : des alarmes doivent permettre de déceler une intrusion au sein d une zone sécurisée. - une capacité de ralentissement : des mesures doivent être prévues en prévention d une éventuelle intrusion afin d en limiter la progression - une capacité d intervention : des moyens doivent être prévus pour réagir à l intrusion afin d y mettre fin. Objectif: empêcher tout accès physique non autorisé, dommage ou intrusion dans les locaux ou doivent être hébergées le traitement et les données à caractère personnel. [ISO-9.1.2] Selon la criticité des traitements mis en œuvre et des données, il convient de protéger les zones sécurisées par des contrôles visant à s assurer que seul le personnel dûment habilité est admis dans ces zones. La réalisation de cette mesure peut se faire par la prise en compte des recommandations suivantes: - concernant les zones dans lesquelles des informations sensibles sont traitées ou stockées, il convient de prévoir des contrôles d authentification, comme les cartes d accès accompagnées d un numéro d identification personnelle pour autoriser et valider tous les accès. Il convient de tenir à jour de façon sécurisée un journal des accès intervenus lors des trois derniers mois au plus; - à l intérieur des zones à accès réglementé, il convient d exiger le port d un moyen d identification visible pour toutes les personnes ; - il convient d accorder à tous les visiteurs (personnel en charge de l assistance technique, etc.) un accès limité, et de consigner la date et l heure de leur arrivée et départ ; - il convient de réexaminer et de mettre à jour régulièrement les droits d accès aux zones sécurisées et de les supprimer si nécessaire. [ISO-9.1.3] Il convient de concevoir et d appliquer des mesures de sécurité physique pour les bureaux, les salles et les équipements. Les accès aux salles ou bureaux susceptibles d héberger du matériel recevant des données à caractère personnel doivent être restreints par l usage de sas d accès ou de portes verrouillées. [ISO-9.1.4] Il convient de concevoir et d appliquer des mesures de protection physique contre les dommages causés par les incendies, les inondations, etc. 6.2 Sécurité liée aux matériels Objectif: Assurer la disponibilité matérielle du système. [ISO-9.2.2] Il convient de protéger le matériel des coupures de courant et autres perturbations dues à une défaillance des services généraux. Tous les services généraux, tels que l électricité, l alimentation en eau, etc. doivent être correctement dimensionnés pour les systèmes pris en charge et inspecter régulièrement pour écarter tout risque de CNIL

13 dysfonctionnement ou de panne. L utilisation d un onduleur gérant l arrêt normal ou le fonctionnement en continu est recommandée pour le matériel prenant en charge des traitements critiques. La climatisation des salles serveurs doit être correctement dimensionnée et entretenue. Une panne sur cette installation a souvent comme corollaire l ouverture des portes des salles et donc la neutralisation de facto d éléments concourants à la sécurité physique de l infrastructure. Pour les traitements revêtant des exigences fortes de disponibilité, il convient de connecter l infrastructure de télécommunications par au moins deux voies différentes pour empêcher que la défaillance d une voie de connexion ne rende le service inopérant. Il convient de plus de prévoir une redondance matérielle des unités de stockage par une technologie RAID pour les mêmes raisons. Objectif: Prévenir la perte, le vol ou la compromission des données sur les matériels. [ISO-9.2.6] Il convient de vérifier que tout matériel contenant des supports de stockage soit inspecté avant sa mise au rebut ou sa sortie du périmètre de l organisme pour s assurer que toute donnée sensible en a bien été supprimée de façon sécurisée. Il convient de se référer au document [4] (Guide technique pour la confidentialité des informations enregistrées sur les disques durs à recycler ou exporter). A titre d exemple, l ANSSI accorde des certifications de premier niveau à des logiciels pour réaliser cet objectif (http://www.ssi.gouv.fr/archive/fr/confiance/certif-cspn.html ) Concernant la mise au rebut de matériels, on peut mentionner: - Les broyeurs et déchiqueteurs pour le papier ainsi que les supports numériques tels que les CD et DVD - Les «dégausseurs 4» pour les unités de stockage à technologie magnétique. Il convient de noter que ces préconisations concernent également les matériels en location lorsqu ils sont retournés à l expiration du délai contractuel. 7 Sécurité logique Par sécurité logique on entend la sécurité fonctionnelle des systèmes, la gestion des droits d accès et la conservation des données. 7.1 Sécurité logique Sécurité des réseaux Objectif: assurer la protection de l infrastructure réseau ainsi que la confidentialité et l intégrité des données transmises. [ISO ] Pour tous les services réseau, il convient d identifier les fonctions réseau et les niveaux de service nécessaires au bon fonctionnement du traitement et de n autoriser que ceux-ci. 4 Un «dégausseur» est un équipement réalisant une destruction irrémédiable de données confidentielles par démagnétisation. CNIL

14 Selon les services réseau requis pour le traitement, il convient de limiter les flux réseau au strict nécessaire. Par exemple, si l accès à un serveur web passe obligatoirement et uniquement par l utilisation du protocole SSL, il convient de n autoriser que les flux réseau IP entrants sur cette machine sur le port de communication 443 et de bloquer tous les autres ports de communication. A propos des questions de filtrage, il convient de prendre connaissance du document du CERTA sur ce sujet disponible à l adresse suivante : Pour une mise en œuvre du protocole SSL, il convient de se référer aux préconisations données par le CERTA disponibles à l adresse Il convent également de mettre en place des systèmes de Détection d'intrusions (Intrusion Detection Systems ou IDS) : il s agit de dispositifs dont l'objectif est d'analyser en temps réel le trafic réseau afin d y détecter toute activité suspecte évoquant un scénario d'attaque informatique de manière à déjouer les attaques informatiques au plus tôt. En complément des dispositions énumérées ci-dessus, il peut être envisagé de mettre en place l identification automatique de matériels comme moyen d authentification des connexions à partir de lieux et matériels spécifiques dans le but de prévenir la connexion de tout dispositif non autorisé Sécurité des serveurs et des postes de travail Objectif: protéger l intégrité des logiciels et de l information. [ISO ] Il convient que les systèmes d exploitation et les applications soient tenus à jour. Il convient de ne pas installer de systèmes d exploitation obsolètes dont on peut trouver une liste actualisée à l adresse suivante : Il convient d installer les mises à jour critiques des systèmes d exploitation sans délai en programmant une vérification automatique périodique hebdomadaire. Enfin il convient de mettre à jour les applications lorsque des failles critiques ont été identifiées et corrigées. [ISO ] Il convient de mettre en œuvre des mesures de détection, de prévention et de récupération pour se protéger des codes malveillants (virus ou malware). Par ailleurs, afin de limiter les risques de compromission des serveurs et des postes de travail, il convient : - de limiter les services s exécutant à ceux qui sont strictement nécessaires, - de limiter l exécution d applications avec des droits administrateur, - d installer un logiciel antivirus et de le mettre à jour régulièrement, - éventuellement d installer un parefeu personnel afin de protéger le poste contre des requêtes réseau non conformes. Le document du CERTA situé à l adresse internet suivante : 007/ mentionne certains éléments pour une mise en œuvre des points exposés ci-dessus. Selon la nature de l application, il convient de garantir l intégrité des traitements par le recours à des signatures du code exécutable garantissant qu il n a subi aucune altération. A cet égard, une vérification de signature tout au long de et non seulement avant l exécution rend plus difficile la compromission d un programme. S agissant des logiciels s exécutant sur des serveurs, il convient pour les traitements les plus critiques CNIL

15 d utiliser des outils de détection des vulnérabilités (des scanners, etc.) afin de détecter d éventuelles failles de sécurité, ou encore des systèmes de détection et prévention des attaques sur des systèmes/serveurs critiques dénommés Host Intrusion Prevention Supports de stockage amovibles Objectif: empêcher la divulgation de données à caractère personnel du fait de supports de stockage susceptibles de quitter le périmètre physique de l infrastructure d hébergement. [ISO ] Il convient de mettre en place des procédures pour la gestion des supports de stockage amovibles et des supports de stockage contenus dans les systèmes informatiques mobiles. Il convient de prévoir des moyens de chiffrement pour les espaces de stockage pour les matériels informatiques mobiles (ordinateur portable, périphérique de stockage amovible tels que clés USB, CD-ROM, DVD-RW, etc., dès lors que des données à caractère personnel y sont stockées. Parmi ces moyens, on peut citer : - le chiffrement de disque dur dans sa totalité au niveau hardware - le chiffrement de disque dur dans sa totalité à un niveau logique via le système d exploitation - le chiffrement fichier par fichier - la création de fichiers containeurs chiffrés A titre d exemple, la ANSSI a accordé une certification de premier niveau pour la mise en œuvre de containeurs chiffrés au logiciel TrueCrypt version 6.0a (http://www.ssi.gouv.fr/archive/fr/confiance/cspn/cspn html ) Pour une mise en œuvre concernant les supports amovibles (clés USB, CD-ROM, ), il convient de se référer aux préconisations données par le CERTA disponibles à l adresse suivante : Si l informatique mobile est susceptible de contenir des s, il convient de ne pas conserver ceux pouvant contenir des données à caractère personnel. 7.2 Contrôle d accès Politique de contrôle d accès Objectif: maîtriser l accès à l information. [ISO ] Il convient d établir, de documenter et de réexaminer une politique de contrôle d accès en rapport avec la finalité du traitement. La politique de contrôle d accès doit inclure : - les procédures d enregistrement et de désinscription des utilisateurs destinées à accorder et à ôter l accès au traitement (cf [ISO-8.3.3]) ; - les mesures incitant les utilisateurs à respecter les bonnes pratiques de sécurité lors de la sélection et l utilisation de mots de passe ou d autres moyens d authentification ; - les mesures permettant de restreindre et de contrôler l attribution et l utilisation des privilèges au CNIL

16 traitement Contrôle d accès réseau Objectif: empêcher les accès non autorisés aux services disponibles sur le réseau. [ISO ] Il convient d utiliser des méthodes éprouvées pour contrôler l accès d utilisateurs distants. Le contrôle d accès des utilisateurs distants peut être réalisé par exemple : - par l utilisation de lignes privées dédiées - à l aide d une technique cryptographique Dans le cas du recours à une technique cryptographique, il convient de suivre les préconisations édictées par le document [3] (Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard) sur les différents algorithmes pouvant être envisagés : Ce référentiel précise notamment les longueurs de clé à considérer. A la date de rédaction de ce document, il est par exemple préconisé que : - La taille minimale d une clé RSA est de 1536 bits, pour une utilisation ne devant pas dépasser l année 2010 [RègleSFact-1] - La taille minimale d une clé RSA est de 2048 bits, pour une utilisation ne devant pas dépasser l année 2020 [RègleSFact-2] - Pour une utilisation au-delà de 2020, la taille minimale de la clé RSA est de 4096 bits [RègleSFact-3] Ces valeurs sont données à titre indicatif et dépendantes du contexte propre à chaque traitement. Pour l accès aux réseaux sans fil, il convient de mettre en œuvre des mesures d authentification supplémentaires telles que celles préconisées sur le site du CERTA à l adresse [ISO ] Il convient de restreindre voire interdire l accès physique et logique aux ports 5 de diagnostic et de configuration à distance. [ISO ] Il convient de cloisonner les communications sur le réseau en tenant compte des séparations fonctionnelles des différents départements de l organisme et des différents groupes d utilisateurs. Il convient d agir de telle manière que la compromission d un poste n induise pas de facto la compromission de l ensemble du système. Une pratique permettant à tout le moins de freiner la compromission d un système est de cloisonner les ressources disponibles au strict besoin d en connaitre. Ceci est le cas des ressources disponibles via le réseau. Une méthode permettant de garantir la confidentialité des informations transitant sur les réseaux consiste à les diviser en sous-réseaux logiques. Il est possible également de restreindre les connexions autorisées en différenciant par exemple un réseau interne pour lequel aucune connexion venant d Internet n est autorisé, et un sous-réseau dit DMZ (acronyme anglais de DeMilitarized Zone, zone démilitarisée en français) accessible 5 Un port physique est un emplacement permettant de brancher un câble, tandis qu un port logique est un numéro utilisé dans un protocole de communication, notamment le protocole Internet TCP. CNIL

17 depuis Internet. Un exemple d une telle architecture est représenté ci-dessous. Informatique mobile Réseau local Zone accessible depuis Internet Internet Routeur Parefeu (Firewall) (DMZ) Routeur Parefeu (Firewall) Modem Postes Serveurs d application Unités de sauvegarde Imprimantes Serveurs techniques (DHCP, DNS) Serveur de messagerie Portail Web Figure 1: Exemple d'architecture d'un réseau informatique Pour mettre en œuvre un tel cloisonnement, plusieurs méthodes sont envisageables : - l installation d une passerelle sécurisée (un parefeu) entre les deux réseaux à relier afin de contrôler les flux d information entrants et sortants, - la mise en place de commutateurs physiques (switches) : il est alors possible de cloisonner les différents réseaux en contrôlant les flux de données sur la base des adresses réseaux par le biais de fonctions de routage/commutation, telles que les listes de contrôle d accès, - le cloisonnement par le recours à des réseaux virtuels, dénommés VLAN, destinés à des groupes d utilisateurs : l objectif de cette technologie est de cloisonner le réseau informatique, c est à dire d isoler l'ensemble des composants réseaux connectés à un équipement physique (commutateur Ethernet) par groupes selon des critères logiques (appartenance à un département, etc.), pour séparer le trafic réseau. - le recours à des connexions sécurisés dénommées VPN Contrôle d accès aux serveurs et aux postes de travail Objectif: empêcher les accès non autorisés aux couches logicielles des systèmes d exploitation. [ISO ] Il convient que l accès aux systèmes d exploitation soit soumis à une procédure sécurisée d ouverture de session. [ISO ] Il convient d attribuer à chaque utilisateur un identifiant unique et exclusif et de choisir une technique d authentification adéquate. A propos des identifiants : Il convient que les identifiants utilisés soient différents de ceux des comptes par défaut et que ces derniers soient désactivés. Il convient par ailleurs qu aucun compte ne soit partagé entre plusieurs utilisateurs. En matière d authentification : Les mécanismes permettant de réaliser l authentification des personnes sont catégorisés en quatre familles selon qu ils font intervenir: - ce que l on sait, par exemple un mot de passe ; - ce que l on a, par exemple une carte à puce ; CNIL

18 - une caractéristique qui nous est propre, par exemple une empreinte digitale ou encore une signature manuscrite. La loi Informatique et Libertés subordonne l utilisation de la biométrie à autorisation préalable. A ce sujet, la doctrine de la CNIL sur l emploi de la biométrie par empreinte digitale dans une base centrale est décrite dans le document [6] (Communication de la CNIL relative à la mise en œuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données). Dans le cas de l utilisation de mots de passe, il convient que : - la complexité des mots de passe suive les règles suivantes dérivées de celles édictées par le CERTA 6 : - avoir des mots de passe de 8 caractères minimum, - utiliser des caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux). - ne pas utiliser de mot de passe ayant un lien avec soi (noms, dates de naissance ). - le même mot de passe ne doit pas être utilisé pour des accès différents. - changer de mot de passe régulièrement. - en règle générale, ne pas configurer les logiciels pour qu ils retiennent les mots de passe. - éviter de stocker ses mots de passe dans un fichier ou lieu proche de l ordinateur si celui-ci est accessible par d autres personnes. - si possible, limiter le nombre de tentatives d accès. Ces mesures dépendent du contexte propre à chaque traitement et peuvent être assouplies ou durcies selon la criticité de l information accessible à l issue de l authentification. Cependant, il faut savoir qu une attaque par recherche exhaustive 7 à partir de la connaissance du haché 8 d un mot de passe de 6 caractères alphabétiques 9 requiert de l ordre de quelques heures de calcul avec un ordinateur personnel. La transmission du mot de passe doit mettre en œuvre des techniques introduisant un aléa à chaque tentative de connexion afin d éviter leur réutilisation 10 suite à une interception de la communication. Dans le cas de l utilisation d une méthode d authentification basée sur des mots de passe à usage unique (en anglais OTP, One-Time Password), il convient de suivre les préconisations données en annexe du document [5] (Règles et recommandations concernant les mécanismes d authentification de niveau de robustesse standard). Dans les cas de l utilisation de dispositifs tels qu une carte à puce ou de schémas d authentification mettant en œuvre des algorithmes cryptographiques, il convient que ceux-ci suivent les règles édictées dans le document [3] (Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard). [ISO ] Il convient que soit automatiquement mis fin aux sessions inactives après une période définie. Cette période dépend de la sensibilité du traitement et de la criticité de l opération. En cas d opération 6 disponibles à l adresse 7 Cf. 8 Le haché est le résultat obtenu à partir d un algorithme appliqué à un mot de passe et dont une propriété est qu il est extrêmement difficile d en déduire le mot de passe à partir de celui-ci. 9 Numérique : chiffres de 0 à 9, soit 10 caractères Alphabétique : lettres de a à z, soit 26 caractères Alphanumérique : lettres de a à z et A à Z, et chiffres de 0 à 9 soit 62 caractères Alphanum complexe : alphanumérique + certaines etc. 10 Cette attaque est appelée le rejeu. CNIL

19 particulièrement critique (opération de télémaintenance d un système par exemple), il convient de mettre fin à une session après une à cinq minutes d inactivité. Pour d autres opérations moins critiques (accès à une application métier par exemple), un délai de quinze minutes doit permettre de garantir la sécurité sans compromettre l ergonomie d utilisation Contrôle d accès aux applications et à l information Objectif: empêcher les accès non autorisés aux informations stockées dans les applications. [ISO ] Pour les utilisateurs et le personnel chargé de l assistance technique, il convient de restreindre l accès aux données à caractère personnel à leur strict besoin d en connaitre. En matière d administration de bases de données: - il est impératif de changer les mots de passe par défaut par des mots de passe respectant les préconisations du CERTA (http://www.certa.ssi.gouv.fr/site/certa-2005-inf-001/) - il convient, dans la mesure du possible, d utiliser des comptes nominatifs pour l accès aux bases de données - il est préférable d homogénéiser les systèmes sur lesquels les bases sont installées afin de faciliter leur exploitation - il convient de mettre à jour les serveurs de manière régulière afin de corriger les vulnérabilités connues - il convient de bannir les services non sécurisés (authentification en clair, flux en clair, etc ) - il convient de ne pas utiliser les serveurs hébergeant les bases de données à d autres fins (notamment pour se naviguer sur des sites internet, accéder à la messagerie électronique ) - il convient de mettre en œuvre des mesures et/ou d installer des dispositifs de filtrage pour se prémunir des attaques par injection de code SQL, scripts (ex :Nessus ) - les bases de données ne doivent pas être placées dans une zone directement accessible depuis Internet - il convient de limiter et de contrôler les opérations de télémaintenance sur les serveurs de bases de données (note : attention aux vulnérabilités connues de certains xvnc) - il convient de mettre en œuvre des mesures particulières pour les bases de données «sensibles» (chiffrement en base, chiffrement des sauvegardes) En matière d assistance sur les postes clients : - il convient de configurer les outils d administration à distance de manière à recueillir le consentement de l utilisateur avant toute intervention sur son poste - il convient également que l utilisateur puisse constater que la prise de main à distance est en cours. En matière de renouvellement de mots de passe : - lorsque le mot de passe d un utilisateur a été réinitialisé, il convient que ce dernier soit obligé de changer le mot de passe qui lui a été transmis dès sa première connexion. [ISO ] Il convient que les systèmes sensibles, c'est-à-dire tout système traitant de données sensibles, disposent d un environnement informatique dédié (isolé). En matière d hébergement dédié ou mutualisé, il convient de se référer au document du CERTA disponible à l adresse suivante : 7.3 Informatique mobile Objectif: garantir la sécurité des communications ainsi que des données lors de l utilisation d appareils informatiques mobiles. CNIL

20 [ISO ] Il convient de définir des mesures de protection des informations transmises ou conservées dans des appareils d informatiques mobiles. Il convient que les accès au système d information au moyen d appareils informatiques mobiles tels que des ordinateurs portables soient sécurisés. Cela peut être réalisé notamment par la mise en place de connexions VPN reposant sur des algorithmes cryptographiques réputés forts et mettant en œuvre un matériel (carte à puce, boitier générateur de mots de passe à usage unique (OTP), etc.). Il convient de sécuriser les unités de stockage contenues dans les appareils mobiles (cf. [ISO ], page 13). Lorsque des appareils mobiles servent à la collecte de données en itinérance (ex : PDA, Smartphones ou PC portables, etc.), il convient de sécuriser les données qui y sont stockées. 7.4 Sauvegarde Objectif: maintenir l intégrité et la disponibilité des données à caractère personnel et des moyens de traitement y afférant. [ISO ] Il convient de réaliser des copies de sauvegarde des données à caractère personnel et de les soumettre régulièrement à essai conformément à la politique de sauvegarde convenue. Il convient également de procéder à une sauvegarde des logiciels servant au traitement afin de garantir la pérennité de celui-ci. Il convient de réaliser des sauvegardes avec une fréquence suffisante pour éviter la perte d information. Selon le volume d information à sauvegarder, il peut être opportun de prévoir des sauvegardes incrémentales 11 avec une fréquence quotidienne, et des sauvegardes complètes avec une fréquence moindre (hebdomadaires ou bimensuelles). Il convient par ailleurs de prévoir de stocker les supports de sauvegarde dans des armoires à l épreuve du feu, de l eau etc. et de prévoir leur stockage sur un site extérieur. [IL-Sauv-1] sensibles. Il convient de particulièrement sécuriser les sauvegardes si les données sont des données La sécurisation des sauvegardes peut être réalisée de différentes manières : - Soit en chiffrant les sauvegardes elles-mêmes - Soit en chiffrant les données à la source - Soit en prévoyant un stockage dans un lieu sécurisé. Le convoyage éventuel des sauvegardes doit suivre des règles en adéquation avec la politique de sécurité. 7.5 Archivage Objectif: garantir la conservation des données à caractère personnel. 11 Une sauvegarde incrémentale consiste à n enregistrer que les modifications faites par rapport à une précédente sauvegarde. CNIL

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

Comment protéger ses systèmes d'information légalement et à moindre coût?

Comment protéger ses systèmes d'information légalement et à moindre coût? Se protéger légalement et à moindre coût. Comment protéger ses systèmes d'information légalement et à moindre coût? Thierry RAMARD Président d AGERIS Group SAS Président du Clusir Est mardi 19 juin 2012

Plus en détail

9 Sécurité et architecture informatique

9 Sécurité et architecture informatique 9 Sécurité et architecture informatique 1) Nom(s) du (des) système(s) d exploitation impliqués dans le traitement* : Windows Server 2008 R2 et CentOS 5 et 6. 2) Le système informatique est constitué :*

Plus en détail

40 règles «d hygiène informatique» pour assurer la sécurité informatique d un cabinet/service d imagerie médicale

40 règles «d hygiène informatique» pour assurer la sécurité informatique d un cabinet/service d imagerie médicale 40 règles «d hygiène informatique» pour assurer la sécurité informatique d un cabinet/service d imagerie médicale Le système d information (RIS, PACS, internet, ) est au cœur de l organisation de tout

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Prénom Nom : Signature : Date : Service : Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur des entités, a pour objet de préciser la responsabilité

Plus en détail

CHARTE WIFI ET INTERNET

CHARTE WIFI ET INTERNET PAVILLON BLANC MÈDIATHÉQUE CENTRE D ART DE COLOMIERS CHARTE WIFI ET INTERNET MISSION : Le Pavillon Blanc Médiathèque Centre d Art de Colomiers a pour mission de permettre à tous ses visiteurs d accéder

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur de l Observatoire de Paris (désigné dans la suite comme l Établissement) et ceux de ses

Plus en détail

Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine

Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine La présente charte définit les règles d usages et de sécurité que l Université de Lorraine

Plus en détail

Conditions générales d hébergement de l application La-Vie-Scolaire.fr

Conditions générales d hébergement de l application La-Vie-Scolaire.fr de l application La-Vie-Scolaire.fr Référence :.. Date : Définitions «Contrat d accès au Service» : désigne le bon de commande, les conditions générales de vente et les éventuels annexes ou avenants conclus

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL

RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL Cette page doit fournir aux clients toutes les informations concernant la sécurité du site d internet banking transactionnel, en particulier les

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

La Cnil et le Chu de Poitiers. 15/02/2012 : Jean-Jacques Sallaberry Présentation CNIL - CHU Poitiers

La Cnil et le Chu de Poitiers. 15/02/2012 : Jean-Jacques Sallaberry Présentation CNIL - CHU Poitiers La Cnil et le Chu de Poitiers 15/02/2012 : Jean-Jacques Sallaberry Présentation CNIL - CHU Poitiers 1 La Cnil et le CHU de Poitiers Sommaire La Loi «Informatique et Libertés» La CNIL Les Mots clés Les

Plus en détail

Se conformer à la Loi Informatique et Libertés

Se conformer à la Loi Informatique et Libertés Se conformer à la Loi Informatique et Libertés Le cadre législatif Loi n 78-17 du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés modifiée par la loi du 6 août 2004 dite loi Informatique

Plus en détail

Conditions Générales d Utilisation du service de dématérialisation des courriers assurances

Conditions Générales d Utilisation du service de dématérialisation des courriers assurances Conditions Générales d Utilisation du service de dématérialisation des courriers assurances Sommaire Préambule... 2 Article 1 er : Définitions... 2 Article 2 : Objet de l Espace Assurance Cyberplus...

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

SSI Sensibilisation à la sécurité de l'information**

SSI Sensibilisation à la sécurité de l'information** SSI Sensibilisation à la sécurité de l'information** Prérequis Compétence opérationnelle Objectifs d apprentissage Durée d apprentissage Connaissances de base en informatique Etre capable de comprendre

Plus en détail

Décision de dispense de déclaration n 3

Décision de dispense de déclaration n 3 Délibération n 2005-003 du 13 janvier 2005 décidant la dispense de déclaration des traitements mis en œuvre par les organismes publics dans le cadre de la dématérialisation des marchés publics Décision

Plus en détail

Informations Sécurité

Informations Sécurité Bonnes pratiques Informations Sécurité La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques pour protéger vos ordinateurs et vos intérêts dans l usage des moyens informatiques,

Plus en détail

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM Le WiFi sécurisé 16 Octobre 2008 PRATIC RIOM Plan Introduction Les réseaux sans fil WiFi Les risques majeurs liés à l utilisation d un réseau WiFi Comment sécuriser son réseau WiFi La cohabitation entre

Plus en détail

Le contrat Cloud : plus simple et plus dangereux

Le contrat Cloud : plus simple et plus dangereux 11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin

Plus en détail

CONSERVATION DES DOCUMENTS ELECTRONIQUES SANS SYSTEME D ARCHIVAGE ELECTRONIQUE

CONSERVATION DES DOCUMENTS ELECTRONIQUES SANS SYSTEME D ARCHIVAGE ELECTRONIQUE Cadre législatif et règlementaire Code du patrimoine Code général des collectivités territoriales Décret n 79-1037 du 3 décembre 1979 modifié relatif à la compétence des services d publics et à la coopération

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Vu la Loi n 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Vu la Loi n 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ; DELIBERATION N 2012-118 DU 16 JUILLET 2012 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT RECOMMANDATION SUR LES DISPOSITIFS D ENREGISTREMENT DES CONVERSATIONS TELEPHONIQUES MIS EN ŒUVRE

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

OPAC 36 - Conditions Générales d Utilisation

OPAC 36 - Conditions Générales d Utilisation OPAC 36 - Conditions Générales d Utilisation L OPAC 36 propose sur son site internet www.opac36.fr un espace locataire avec différents services destinés à simplifier les démarches liées à ses activités

Plus en détail

POLITIQUE GENERALE DE LA SECURITE ET DE LA PROTECTION DES DONNEES A LA CRAMIF DOCUMENT PUBLIC

POLITIQUE GENERALE DE LA SECURITE ET DE LA PROTECTION DES DONNEES A LA CRAMIF DOCUMENT PUBLIC POLITIQUE GENERALE DE LA SECURITE ET DE LA PROTECTION DES DONNEES A LA CRAMIF DOCUMENT Version 1 du 13 mai 2015 SOMMAIRE Page 1 Présentation du document et enjeux... 3 2 Le contexte applicable... 4 2.1

Plus en détail

Politique de Protection de la Vie Privée

Politique de Protection de la Vie Privée Politique de Protection de la Vie Privée Décembre 2013 Champ d application: La présente Politique de Protection de la Vie Privée s applique chaque fois que vous utilisez les services d accès à internet

Plus en détail

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CSG-16\S Novembre Page intentionnellement laissée en blanc. Avant-propos Le document est non classifié et il

Plus en détail

Service de Banque à Distance- Mascareignes Direct. Conditions générales. Banque des Mascareignes

Service de Banque à Distance- Mascareignes Direct. Conditions générales. Banque des Mascareignes Service de Banque à Distance- Mascareignes Direct Conditions générales Banque des Mascareignes 1.1 Objet Les dispositions suivantes ont pour objet de définir les Conditions Générales d accès et d utilisation

Plus en détail

Sécurité : les principaux risques et les moyens de protection associés

Sécurité : les principaux risques et les moyens de protection associés Sécurité : les principaux risques et les moyens de protection associés Les dangers sont très nombreux et divers. De plus, ils évoluent rapidement dans le temps. Néanmoins, les principaux risques pour les

Plus en détail

2. Les droits des salariés en matière de données personnelles

2. Les droits des salariés en matière de données personnelles QUESTIONS/ REPONSES PROTECTION DES DONNEES PERSONNELLES Ce FAQ contient les trois parties suivantes : La première partie traite des notions générales en matière de protection des données personnelles,

Plus en détail

Paris, le 3 septembre 2009

Paris, le 3 septembre 2009 Sophie Martinet Société d Avocat inscrite au barreau de Paris 73, bd de Clichy - 75009 Paris Tel :01 48 74 52 61 - fax : 01 53 01 38 19 Palais : J 125 sophie.martinet@cassiopee-avocats.fr Paris, le 3 septembre

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

DELIBERATION N 2015-12 DU 28 JANVIER 2015 DE LA COMMISSION DE CONTROLE

DELIBERATION N 2015-12 DU 28 JANVIER 2015 DE LA COMMISSION DE CONTROLE DELIBERATION N 2015-12 DU 28 JANVIER 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION A LA MISE EN ŒUVRE DU TRAITEMENT AUTOMATISE D INFORMATIONS NOMINATIVES AYANT POUR

Plus en détail

SAFE&SMARTSOLUTIONS. Atelier «Contrer les menaces USB» Les Assises de la Sécurité & des Systèmes d Information 30/09/2015

SAFE&SMARTSOLUTIONS. Atelier «Contrer les menaces USB» Les Assises de la Sécurité & des Systèmes d Information 30/09/2015 BT.D46.D SAFE&SMARTSOLUTIONS Atelier «Contrer les menaces USB» Les Assises de la Sécurité & des Systèmes d Information 30/09/2015 2 I. La menace USB est-elle «has been»? 1. De quoi parle-t-on? 2. Des usages

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Référentiel Général de Sécurité. version 1.0. Annexe A3

Référentiel Général de Sécurité. version 1.0. Annexe A3 Premier ministre Agence nationale de la sécurité des systèmes d information Ministère du budget, des comptes publics et de la réforme de l État Direction générale de la modernisation de l État Référentiel

Plus en détail

3. Guide Technique Type de l «utilisateur»

3. Guide Technique Type de l «utilisateur» 3. Guide Technique Type de l «utilisateur» Sommaire 1. Préambule.......................... page 25 2. Champ d application................... page 25 3. Procédures de sécurité................. page 25 3.1

Plus en détail

Référentiel Général de Sécurité. version 1.0. Annexe A4

Référentiel Général de Sécurité. version 1.0. Annexe A4 Premier ministre Agence nationale de la sécurité des systèmes d information Ministère du budget, des comptes publics et de la réforme de l État Direction générale de la modernisation de l État Référentiel

Plus en détail

Ce que dit la norme 2009

Ce que dit la norme 2009 Mettre en œuvre un système d archivage électronique : les apports de la norme révisée Ce que dit la norme 2009 Formation APROGED 2009 1 Domaine d application de la norme Politique et pratiques d archivage

Plus en détail

Institut de Recherche pour le Développement Charte utilisateur pour l usage de ressources informatiques, de services Internet et de services Intranet

Institut de Recherche pour le Développement Charte utilisateur pour l usage de ressources informatiques, de services Internet et de services Intranet Institut de Recherche pour le Développement Charte utilisateur pour l usage de ressources informatiques, de services Internet et de services Intranet Ce texte est avant tout un code de bonne conduite.

Plus en détail

Politique de Signature du Secrétariat général de l ACPR

Politique de Signature du Secrétariat général de l ACPR Politique de Signature du Secrétariat général de l ACPR Pour les remises réglementaires du domaine Assurance mentionnant l application de l instruction n 2015-I-18 relative à la signature électronique

Plus en détail

CHARTE INFORMATIQUE. Bon usage des moyens informatiques et du réseau des prestations de l association Comput Yourself

CHARTE INFORMATIQUE. Bon usage des moyens informatiques et du réseau des prestations de l association Comput Yourself CHARTE INFORMATIQUE Bon usage des moyens informatiques et du réseau des prestations de l association Comput Yourself Ce texte, bien qu ayant un caractère réglementaire, est avant tout un code de bonne

Plus en détail

Réseaux CPL par la pratique

Réseaux CPL par la pratique Réseaux CPL par la pratique X a v i e r C a r c e l l e A v e c l a c o n t r i b u t i o n d e D a v o r M a l e s e t G u y P u j o l l e, e t l a c o l l a b o r a t i o n d e O l i v i e r S a l v

Plus en détail

IBM Managed Security Services for Web Security

IBM Managed Security Services for Web Security Description des services 1. Nature des services IBM Managed Security Services for Web Security Les services IBM Managed Security Services for Web Security («MSS for Web Security») peuvent inclure : a.

Plus en détail

DELIBERATION N 2015-33 DU 25 MARS 2015 PORTANT RECOMMANDATION SUR LES

DELIBERATION N 2015-33 DU 25 MARS 2015 PORTANT RECOMMANDATION SUR LES DELIBERATION N 2015-33 DU 25 MARS 2015 PORTANT RECOMMANDATION SUR LES TRAITEMENTS AUTOMATISES D INFORMATIONS NOMINATIVES AYANT POUR FINALITE «VIDEO-PROTECTION DU DOMICILE» EXCLUSIVEMENT MIS EN ŒUVRE PAR

Plus en détail

Yourcegid Fiscalité On Demand

Yourcegid Fiscalité On Demand Yourcegid Fiscalité On Demand LS -YC Fiscalité - OD - 06/2012 LIVRET SERVICE YOURCEGID FISCALITE ON DEMAND ARTICLE 1 : OBJET Le présent Livret Service fait partie intégrante du Contrat et ce conformément

Plus en détail

MARCHE A PROCEDURE ADAPTEE

MARCHE A PROCEDURE ADAPTEE MARCHE A PROCEDURE ADAPTEE Pouvoir adjudicateur : Centre Hospitalier de Béziers 2 rue Valentin Haüy BP 740 34525 BEZIERS Libellé de la consultation : REMPLACEMENT DU PAREFEU-PROXY Objet du marché : Acquisition

Plus en détail

Mission Val de Loire 81 rue Colbert BP 4322 37043 TOURS CEDEX 1 Siret 254 503 048 00012. Cahier des charges MAINTENANCE INFORMATIQUE

Mission Val de Loire 81 rue Colbert BP 4322 37043 TOURS CEDEX 1 Siret 254 503 048 00012. Cahier des charges MAINTENANCE INFORMATIQUE Mission Val de Loire 81 rue Colbert BP 4322 37043 TOURS CEDEX 1 Siret 254 503 048 00012 Cahier des charges MAINTENANCE INFORMATIQUE Mai 2013 Table des matières Sommaire 1 Introduction... 3 1.1 Objectifs...

Plus en détail

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Guide de bonnes pratiques de sécurisation du système d information des cliniques Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,

Plus en détail

3 ème Concours de technicien de classe normale des systèmes d information et de communication. «Session 2009»

3 ème Concours de technicien de classe normale des systèmes d information et de communication. «Session 2009» 3 ème Concours de technicien de classe normale des systèmes d information et de communication «Session 2009» Meilleure copie "Etude de cas" Note : 11/20 Thème : réseaux de télécommunication et équipements

Plus en détail

Comment sécuriser les communications vers des tiers et des établissements partenaires?

Comment sécuriser les communications vers des tiers et des établissements partenaires? Comment sécuriser les communications vers des tiers et des établissements partenaires? Olivier Mazade Responsable Réseaux Centre Hospitalier Universitaire de Clermont Ferrand Xavier Hameroux Directeur

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

Modalité de gestion et d utilisation du cluster de calcul de l UMR AGAP

Modalité de gestion et d utilisation du cluster de calcul de l UMR AGAP 27/01/2014 Page 1 sur 5 Modalité de gestion et d utilisation du cluster de calcul de l UMR AGAP Historique des versions Référence : Gestionnaire : qualité Version date de version Historique des modifications

Plus en détail

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec Contrôles informatiques dans le cadre de l audit l des états financiers Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec 1 Objectifs de la présentation Identifier le rôle de

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

Charte déontologique de la vidéoprotection de l OPH de Saint-Dizier

Charte déontologique de la vidéoprotection de l OPH de Saint-Dizier Préambule Charte déontologique de la vidéoprotection de l OPH de Saint-Dizier Validé par le Conseil d Administration du 28 juin 2013. Souhaitant améliorer la sécurité des personnes et des biens, répondre

Plus en détail

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES 2013 ASSOCIATION CANADIENNE DES PAIEMENTS 2013 CANADIAN PAYMENTS ASSOCIATION Cette règle est protégée

Plus en détail

LES RÉSEAUX INFORMATIQUES

LES RÉSEAUX INFORMATIQUES LES RÉSEAUX INFORMATIQUES Lorraine Le développement d Internet et de la messagerie électronique dans les entreprises a été, ces dernières années, le principal moteur de la mise en place de réseau informatique

Plus en détail

VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA.

VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA. VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA 1 6 décembre 2005 2 Plan Contexte INRIA Enjeux et objectifs de VISON Service d authentification

Plus en détail

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique Fiche Technique Cisco Secure Access Control Server Solution Engine Cisco Secure Access Control Server (ACS) est une solution réseau d identification complète qui offre à l utilisateur une expérience sécurisée

Plus en détail

L application doit être validée et l infrastructure informatique doit être qualifiée.

L application doit être validée et l infrastructure informatique doit être qualifiée. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés

Plus en détail

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES. DQ- Version 1 SSR Saint-Christophe CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES. I] INTRODUCTION L emploi des nouvelles technologies nécessite l application

Plus en détail

La sécurité informatique

La sécurité informatique La sécurité informatique SOMMAIRE 1. Présentation générale a. La SARL Invesys b. Pourquoi la sécurité informatique? c. Qu est-ce qu un audit de sécurité? 2. Espionnage industriel a. Définition b. Enjeux

Plus en détail

POLITIQUE DE PRÉVENTION ET DE GESTION DES CONFLITS D INTÉRÊTS AU SEIN D HOSPIMUT SOLIDARIS RÉSUMÉ

POLITIQUE DE PRÉVENTION ET DE GESTION DES CONFLITS D INTÉRÊTS AU SEIN D HOSPIMUT SOLIDARIS RÉSUMÉ POLITIQUE DE PRÉVENTION ET DE GESTION DES CONFLITS D INTÉRÊTS AU SEIN D HOSPIMUT SOLIDARIS RÉSUMÉ Rue Saint-Jean 32-38 à 1000 Bruxelles Table des matières 1. Introduction 3 2. Réglementation 3 3. Rappel

Plus en détail

CONDITIONS GÉNÉRALES MY ETHIAS

CONDITIONS GÉNÉRALES MY ETHIAS CONDITIONS GÉNÉRALES MY ETHIAS Table des matières Définition de My Ethias 3 Conditions d accès à My Ethias 3 Procédure d accès 3 Disponibilité 3 Frais 3 Aspects techniques 4 Droits, devoirs et responsabilités

Plus en détail

Diplôme de technicien / Diplôme d'aptitude professionnelle. Technicien(ne) en informatique / Informaticien(ne) qualifié(e)

Diplôme de technicien / Diplôme d'aptitude professionnelle. Technicien(ne) en informatique / Informaticien(ne) qualifié(e) Profil professionnel du Diplôme de technicien / Diplôme d'aptitude professionnelle (ne) en informatique / Informaticien(ne) qualifié(e) Finalisé le /0/009 PROFIL PROFESSIONNEL (BERUFSPROFIL) Partie A a.

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

Politique de Signature du Secrétariat Général de la Commission Bancaire

Politique de Signature du Secrétariat Général de la Commission Bancaire Secrétariat Général de la Commission Bancaire --------- Politique de Signature du Secrétariat Général de la Commission Bancaire Pour les remises de type COREP/FINREP et BAFI Date : 26 avril 2007 Version

Plus en détail

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL L important développement à l international du groupe OVH et de ses filiales, conduit à l adoption des présentes règles internes en matière

Plus en détail

Cahier des charges des dispositifs de télétransmission des actes soumis au contrôle de légalité. Annexe 2 : sécurisation des échanges

Cahier des charges des dispositifs de télétransmission des actes soumis au contrôle de légalité. Annexe 2 : sécurisation des échanges Cahier des charges des dispositifs de télétransmission des actes Annexe 2 : sécurisation des échanges Page 2 / 7 1. OBJET DU DOCUMENT...3 2. PRINCIPES...3 3. SÉCURISATION DES DÉPÔTS DE FICHIERS SUR LES

Plus en détail

CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes.

CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes. Infos sécurité Charte d usage des TIC au sein de l Université de Bourgogne CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes.

Plus en détail

Business Central Wireless Manager

Business Central Wireless Manager Business Central Wireless Manager Guide de présentation Sommaire CATÉGORIE DE PRODUIT... 3 PRÉSENTATION... 3 PRÉSENTATION DE BUSINESS CENTRAL... 3 FONCTIONNALITÉS ET ATOUTS... 4 POINTS D ACCÈS WIFI PRIS

Plus en détail

Identification du document. Référence. ASIP_PGSSI_Referentiel_Destruction_Donnees_V0.0.4.Docx. Version V 0.0.4. Nombre de pages 9

Identification du document. Référence. ASIP_PGSSI_Referentiel_Destruction_Donnees_V0.0.4.Docx. Version V 0.0.4. Nombre de pages 9 PGSSI - Politique générale de sécurité des systèmes d information de santé Règles de destruction de données lors du transfert de matériels informatiques des Systèmes d Information de Santé (SIS) «ASIP

Plus en détail

Dématérialisation des données. Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes PROGRAMME

Dématérialisation des données. Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes PROGRAMME Les petits déjeuner du CT M Réunion n 4 du Club de Laboratoires Accrédités Dématérialisation des données Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes

Plus en détail

Charte du bon usage des moyens informatiques et du réseau de l université Paul Sabatier

Charte du bon usage des moyens informatiques et du réseau de l université Paul Sabatier Charte du bon usage des moyens informatiques et du réseau de l université Paul Sabatier La présente charte a pour objet de formaliser les règles de déontologie et de sécurité que les Utilisateurs s engagent

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

Loi Informatique et libertés Cadre réglementaire

Loi Informatique et libertés Cadre réglementaire Loi Informatique et libertés Cadre réglementaire 1 Loi Informatique et Libertés La loi Informatique et Libertés du 6 janvier 1978 modifiée par la loi du 6 août 2004 définit les principes à respecter lors

Plus en détail

Profil de protection d une borne sans-fil industrielle

Profil de protection d une borne sans-fil industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

RECOMMANDATIONS EN TERME DE SECURITE POUR LA MISE EN PLACE DE SERVICES INTRANET - INTERNET D ÉTABLISSEMENTS SCOLAIRES ET D ÉCOLES (S2i2e) PREAMBULE

RECOMMANDATIONS EN TERME DE SECURITE POUR LA MISE EN PLACE DE SERVICES INTRANET - INTERNET D ÉTABLISSEMENTS SCOLAIRES ET D ÉCOLES (S2i2e) PREAMBULE RECOMMANDATIONS EN TERME DE SECURITE POUR LA MISE EN PLACE DE SERVICES INTRANET - INTERNET D ÉTABLISSEMENTS SCOLAIRES ET D ÉCOLES (S2i2e) PREAMBULE La généralisation de l utilisation des réseaux, l interconnexion

Plus en détail

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS Février 2015 SOMMAIRE 1. INTRODUCTION... 3 2. PÉRIMÈTRE... 4 3. MISE EN OEUVRE... 5 4. PRÉSENTATION DES OBJECTIFS DE SÉCURITÉ...

Plus en détail

Réseaux CPL par la pratique

Réseaux CPL par la pratique x CPL par la pratique X a v i e r C a r c e l l e A v e c l a c o n t r i b u t i o n d e D a v o r M a l e s e t G u y P u j o l l e, e t l a c o l l a b o r a t i o n d e O l i v i e r S a l v a t o

Plus en détail

VIE PRIVEE CIRCUS BELGIUM

VIE PRIVEE CIRCUS BELGIUM VIE PRIVEE CIRCUS BELGIUM CIRCUS BELGIUM reconnaît l'importance de la protection des informations et données à caractère personnel. C'est pourquoi nous faisons tout ce qui est en notre pouvoir pour protéger

Plus en détail

Accès aux courriers électroniques d un employé absent

Accès aux courriers électroniques d un employé absent Accès aux courriers électroniques d un employé absent Les maîtres-mots en la matière : mesures préventives, responsabilisation, proportionnalité et transparence 1. Il convient, à ce sujet, de se référer

Plus en détail

Contrat d abonnement Internet

Contrat d abonnement Internet Contrat d Abonnement Internet Entre la Banque de Saint-Pierre et Miquelon, S.A. au Capital de 16 288 935 EUR dont le siège social est à Saint Pierre & Miquelon, 24, rue du 11 novembre, 97500 Saint Pierre

Plus en détail

Préambule. Définitions. Accès aux ressources informatiques et services Internet

Préambule. Définitions. Accès aux ressources informatiques et services Internet Préambule Charte informatique ou Charte de bon usage des ressources informatiques Unité Mixte de Recherche (UMR 7287) CNRS - Université d'aix-marseille "Institut des Sciences du Mouvement" Cette charte

Plus en détail

DIRECTIVE SUR L UTILISATION DES OUTILS INFORMATIQUES, D INTERNET, DE LA MESSAGERIE ELECTRONIQUE ET DU TELEPHONE ( JUIN 2005.-V.1.

DIRECTIVE SUR L UTILISATION DES OUTILS INFORMATIQUES, D INTERNET, DE LA MESSAGERIE ELECTRONIQUE ET DU TELEPHONE ( JUIN 2005.-V.1. 1 BUT 1.1 Le but de la présente directive est de définir les droits et les devoirs des utilisateurs à propos des moyens de communication (Internet, messagerie électronique, téléphonie) et des postes de

Plus en détail

Charte d'utilisation des systèmes informatiques

Charte d'utilisation des systèmes informatiques Charte d'utilisation des systèmes informatiques I. Préambule Les outils informatiques mis à la disposition des agents de la commune de Neufchâteau se sont multipliés et diversifiés au cours de ces dernières

Plus en détail

Charte sur le respect de la vie privée. Mars 2014

Charte sur le respect de la vie privée. Mars 2014 Charte sur le respect de la vie privée Mars 2014 Préambule L existence d une charte sur le respect de la vie privée souligne l engagement d Ethias quant à la protection de la vie privée. Cet engagement

Plus en détail

NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES

NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES SDTICE/SDITE Version : 1.0 - Date création : 09/01/09 1. Périmètre des S2i2e Les S2i2e ont pour objectif principal

Plus en détail