GUIDE PRATIQUE. Sécurité des Données à Caractère Personnel
|
|
- Pierre David
- il y a 8 ans
- Total affichages :
Transcription
1 GUIDE PRATIQUE Sécurité des Données à Caractère Personnel
2 CNIL 2009 Commission Nationale de l Informatique et des Libertés 8 rue Vivienne CS Paris Cedex 02 Tel Fax Web ii
3 Sommaire Page Avertissement Introduction Qu entend-on par sécurité des données à caractère personnel? Identification des exigences de sécurité Domaine d'application Termes et définitions Acronymes Appréciation et traitement du risque Appréciation du risque lié à la protection des données à caractère personnel Traitement du risque lié à la protection des données à caractère personnel Organisation de la sécurité de l information Fondement légal Politique de sécurité de l information Organisation interne Sous-traitance Gestion et classification des informations Sécurité liée aux ressources humaines Sensibilisation des utilisateurs Gestion des habilitations Conformité Conformité avec les exigences légales Sécurité physique de l infrastructure Zones sécurisées Sécurité liée aux matériels Sécurité logique Sécurité logique Sécurité des réseaux Sécurité des serveurs et des postes de travail Supports de stockage amovibles Contrôle d accès Politique de contrôle d accès Contrôle d accès réseau Contrôle d accès aux serveurs et aux postes de travail Contrôle d accès aux applications et à l information Informatique mobile Sauvegarde Archivage Gestion opérationnelle Surveillance et traçabilité Gestion des incidents Disponibilité Maintenance Audit Communications externes Développement Exigences de sécurité lors du développement du traitement Conformité avec les politiques et normes de sécurité et conformité technique Feuille de synthèse des mesures...i CNIL
4 Avertissement Ce document présente un ensemble de mesures et de préconisations dans le but de pourvoir à la sécurité de données à caractère personnel. Il comporte deux niveaux de lecture, respectivement destinés à : - tout responsable de traitement ou à toute personne sans connaissance informatique particulière souhaitant évaluer le niveau de sécurité dont bénéficient les données à caractère personnel qu il traite. Un ensemble comprenant une cinquantaine de mesures a été rédigé dans un langage non technique, ce qui correspond à un premier niveau de lecture et permet de poser un diagnostic sur la sécurité d un système d information. Ces mesures sont récapitulées en annexe du document sous la forme d un tableau. - un public plus averti, tels que les Correspondants Informatique et Libertés, les Responsables de la Sécurité des Systèmes d Information etc.. Le guide met à leur disposition un ensemble de préconisations pour l application concrète des mesures, ce qui correspond au second niveau de lecture. Il est à noter que les préconisations s appliquent plus particulièrement à des systèmes d information de taille moyenne. Le document est structuré en six sections : 1. Organisation de la sécurité de l information 2. Sécurité physique de l infrastructure 3. Sécurité logique 4. Gestion opérationnelle 5. Sécurité lors de la communication de données en dehors du système d information 6. Développement Chaque rubrique principale de sécurité comprend : - un objectif de sécurité identifiant le but à atteindre - une ou plusieurs mesures habituellement préconisées par la CNIL en vue d atteindre l objectif de sécurité. Les mesures ont été répertoriées en suivant la nomenclature suivante : - Si une mesure de sécurité peut être identifiée à une mesure définie dans la norme ISO :2005 1, elle est alors indiquée dans le guide sous la forme [ISO-X], où X désigne le chapitre référençant la mesure de sécurité dans cette norme. - Lorsqu il s agit d une exigence qui découle directement de la loi Informatique et Libertés, celle-ci est référencée sous la forme [IL-Artx.y]. L indication Artx. renvoie à l article de la loi, [IL-Chxy] où Chxy renvoie au chapitre xy de la loi, ou encore [IL-xxxx-y] si l objectif ne renvoie pas à un article de loi singulier mais à une thématique. - enfin, il est à souligner que les préconisations relatives à la mise en œuvre d une mesure sont présentées dans des encadrées de couleur grise. 1 ISO est un organisme de standardisation international qui élabore des normes dans de nombreux domaines d activités. Ces normes sont cataloguées par 5 chiffres ; les normes et suivantes traitent la sécurité des systèmes d information. Pour plus d information, CNIL
5 Afin d en faciliter la lecture, différentes icônes ont été définies : L Aides à la lecture Mesure découlant de la loi Mesure primordiale et donc à considérer en priorité Mesure fortement recommandée Mesure recommandée Section ou paragraphe à contenu technique Point présentant un problème fréquemment relevé Pour ne pas alourdir le document, celui-ci renvoie à différentes sources externes telles que la loi Informatique et Libertés, les référentiels de sécurité édictés par le CERTA 2, etc. Ces références sont énumérées ci-après et sont citées entre [ ] lorsque cela est nécessaire. Il convient de préciser qu en cas de différence entre les informations détaillées dans ce document et un référentiel 3, ce dernier fait foi. Enfin, si ce document entend constituer une aide, la seule application des mesures qui y sont répertoriées ne saurait décharger le responsable de traitement du respect des autres dispositions de la loi Informatique et Libertés ni se saurait augurer de l examen par la Commission au regard du niveau de sécurité d un traitement. Références : [1] Loi n du 6 janvier 1978 modifiée en [2] WP 136, Avis 4/2007 sur le concept de données à caractère personnel [3] Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard, n 2741/SGDN/DCSSI/S DS/LCR [4] Guide technique pour la confidentialité des informations enregistrées sur les disques durs à recycler ou exporter, n 972-1/SGDN/DCSSI [5] Règles et recommandations concernant les mécanismes d authentification de niveau de robustesse standard, n 729/SGDN/DCSSI/SDS/AsTeC [6] Communication de la CNIL relative à la mise en œuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données 2 Le CERTA (Centre d'expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) est un service de l ANSSI (Agence Nationale de la Sécurité des Systèmes d'information, ex DCSSI) chargé d «évaluer les menaces pesant sur les systèmes d'information, donner l'alerte, développer les capacités à les contrer et à les prévenir» 3 Cette situation peut notamment se produire du fait de l évolution des référentiels. CNIL
6 0 Introduction La place grandissante de l informatique dans toutes les sphères de notre société entraine la production d un nombre croissant de données personnelles, ainsi que leur dissémination dans des systèmes plus nombreux et moins perceptibles pour les personnes. Les menaces pesant sur les systèmes et réseaux d information, telles que la fraude informatique, le détournement de finalité, la captation frauduleuse, la perte de données, le vandalisme, ou encore les sinistres les plus fréquents, tels que l incendie ou l inondation, requièrent que toutes les précautions soient prises pour assurer la sécurité de ces données, ce qui se traduit par la mise en œuvre de mesures organisationnelles et techniques adaptées. 0.1 Qu entend-on par sécurité des données à caractère personnel? Par sécurité des données à caractère personnel on entend l ensemble des «précautions utiles, au regard de la nature des données et des risques présentés par le traitement», pour notamment, «empêcher que les données soient déformées, endommagées, ou que des tiers non autorisés y aient accès.». Cette sécurité se conçoit pour l ensemble des processus relatifs à ces données, qu il s agisse de leur création, leur utilisation, leur sauvegarde, leur archivage ou leur destruction et concerne leur confidentialité, leur intégrité, leur authenticité et leur disponibilité. 0.2 Identification des exigences de sécurité L identification des exigences en matière de sécurité nécessite de tenir compte : - du risque propre à la nature du traitement, afin d identifier les menaces pesant sur les données à caractère personnel il convient donc d analyser la vraisemblance des attaques et d en évaluer l impact potentiel, - de l environnement socioculturel en effet, des solutions a priori très sécurisées peuvent s avérer inadaptées au regard de comportements établis, - des exigences légales du secteur concerné (la santé, les télécommunications, ) auxquelles le responsable de traitement et ses prestataires de service doivent se conformer, - de l ensemble des exigences métier préexistantes en matière de traitement de l information, - des exigences légales en matière de transfert de données à caractère personnel hors de l Union Européenne. CNIL
7 1 Domaine d'application Les objectifs et mesures décrits dans ce document sont destinés à être mis en œuvre dans le but de répondre aux exigences identifiées par une évaluation du risque portant sur la sécurité des données à caractère personnel au regard de la loi Informatique et Libertés. 2 Termes et définitions Authentification : «l'authentification a pour but de vérifier l'identité dont une entité se réclame. Généralement l'authentification est précédée d'une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l'a doté. En résumé, s'identifier c'est communiquer son identité, s'authentifier c'est apporter la preuve de son identité.» (ANSSI) Destinataire des données : «toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données.» (Art. 3 loi I&L) Donnée à caractère personnel : «toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.» (Art. 2 loi I&L). Données sensibles : les «données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.» (Art. 8 loi I&L). Responsable de traitement : «la personne, l autorité publique, le service ou l organisme qui détermine les finalités et les moyens dudit traitement, sauf désignation expresse par des dispositions législatives ou réglementaires relatives à ce traitement.» (Art. 3 loi I&L). Tiers : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données; (directive 95/46/CE) Traitement : sauf mention explicite, un traitement s entend dans ce document comme un traitement de données à caractère personnel. Traitement de données à caractère personnel : «toute opération ou tout ensemble d opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l enregistrement, l organisation, la conservation, l adaptation ou la modification, l extraction, la consultation, l utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l interconnexion, ainsi que le verrouillage, l effacement ou la destruction.» (Art. 2 loi I&L). 3 Acronymes DHCP : Dynamic Host Configuration protocole, un protocole permettant l attribution la configuration dynamique des paramètres réseau d une machine (dont son adresse Internet) lorsque celle-ci se connecte à un réseau local et afin qu elle puisse communiquer sur ce dernier. DNS : Domain Name Server, Serveur de nom de domaine, Ces serveurs font la correspondance entre un nom de domaine, par exemple cnil.fr, et un adresse internet, par exemple EBIOS : Une méthodologie d évaluation des risques des Systèmes d Information. HTTP : HyperText Transfer Protocole, le protocole du web. RSA : Un algorithme de cryptographie asymétrique, du nom de ses trois concepteurs Rivest, Shamir et Adelman. SQL : Structure Query Language, le protocole servant la gestion des bases de données. CNIL
8 SSL : Secure Socket Layer, un protocole sécurisé compatible avec HTTP, parfois dénommé https. VNC : Virtual Network Computer, un protocole permettant la prise de contrôle à distance d un poste de travail. VPN : Virtual Private Network, cet acronyme traduit un tunnel sécurisé, c'est-à-dire une canal de communication garantissant la confidentialité des échanges. 4 Appréciation et traitement du risque 4.1 Appréciation du risque lié à la protection des données à caractère personnel Une appréciation du risque portant sur l ensemble des données à caractère personnel dont l organisme est dépositaire doit être réalisée afin de garantir le strict respect des dispositions de la loi. Toutefois l évolution des systèmes rend nécessaire la révision périodique des mesures de sécurité. Idéalement, il conviendrait pour tout responsable de traitement de formaliser d emblée une analyse méthodique des risques du point de vue de la protection des données à caractère personnel. Cette analyse devrait prendre en compte : - la probabilité de réalisation du risque - les conséquences sur la sécurité des données Avant d envisager le traitement d un risque, il conviendrait également que le responsable de traitement définisse des critères permettant de déterminer si le risque est acceptable ou non. Des méthodes éprouvées permettent de conduire une analyse de risque en matière de Systèmes d Information, c est le cas notamment de la méthode EBIOS préconisée par la ANSSI. 4.2 Traitement du risque lié à la protection des données à caractère personnel Pour chacun des risques identifiés, une décision relative au traitement du risque doit être prise. Les solutions envisageables sont les suivantes: a) application de mesures appropriées visant à réduire le risque; b) acceptation des risques en connaissance de cause et avec objectivité, dans la mesure où ils sont acceptables au regard du cadre législatif et notamment de la loi Informatique et Libertés ; c) annulation des risques en interdisant les actions susceptibles de les engendrer. Dans le cadre de la loi Informatique et Libertés, le transfert de risques à des tiers n est pas envisageable car la loi reconnait des obligations au responsable de traitement dont il ne peut se décharger. L 5 Organisation de la sécurité de l information L expérience montre que le facteur organisationnel joue un rôle crucial dans la sécurité de l information. Ceci inclut les aspects suivants : - La définition d une politique de sécurité de l information; - Une mise en œuvre et un suivi effectif de la sécurité de l information; - Une communication efficace sur la sécurité de l information auprès de toutes les personnes partie-prenantes afin de les sensibiliser; 5.0 Fondement légal Objectif: se conformer à l obligation légale en matière de traitements de données à caractère personnel. [IL-Art5-1] Il est nécessaire de se conformer avec les exigences de la loi du 6 janvier 1978 dès lors que le responsable de traitement est établi ou que les moyens de traitement sont utilisés sur le territoire français (Art. 5-1 loi I&L). CNIL
9 5.1 Politique de sécurité de l information Objectif: garantir la sécurité de l information par la publication d un document décrivant la politique de sécurité. [ISO-5.1.1] Il convient qu un document de politique de sécurité de l information soit validé par le responsable de traitement, puis diffusé auprès de l ensemble des personnes concernées. Ce document devrait préciser les enjeux propres à la sécurité des données à caractère personnel. Il convient que cette politique soit revue de manière périodique. L 5.2 Organisation interne Objectif: s assurer que la sécurité des données à caractère personnel est bien prise en considération. [IL-Art34] La sécurité des données à caractère personnel doit être assurée conformément à l article 34 de la loi du 6 janvier 1978 modifiée : «Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès» (Art. 34 loi I&L). [ISO-6.1.8] Il convient de procéder à des revues régulières et indépendantes de la sécurité du système mettant en œuvre le traitement; de telles revues sont également nécessaires lors de changements importants du traitement. 5.3 Sous-traitance Objectif: assurer la sécurité des moyens de traitement portant sur des données à caractère personnel communiquées à ou gérées par des sous-traitants. [ISO-6.2.1] Il convient d identifier les risques pesant sur les données à caractère personnel impliquant des sous-traitants. L [IL-Art35-1] La loi I&L dispose que : «Le contrat liant le sous-traitant au responsable du traitement comporte l indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données» et prévoit que «le sous-traitant ne peut agir que sur instruction du responsable de traitement» (Art. 35 loi I&L). 5.4 Gestion et classification des informations Objectif: garantir un niveau de protection approprié aux données à caractère personnel. L [IL-Art6-3] Il est impératif de collecter des données à caractère personnel qui soient en adéquation avec la finalité du traitement (Art. 6, alinéa 3 loi I&L). L [IL-Art6-4] I&L). Il est impératif de garantir l exactitude des données à caractère personnel (Art. 6, alinéa 4 loi [ISO-7.2.1] Il convient de classifier les informations de manière notamment à indiquer si celles-ci sont des données sensibles. Cette classification a pour but notamment de rendre compte du niveau de sécurité à appliquer. L [IL-Art6-5] Il est nécessaire de définir des durées de conservation des données à caractère personnel en adéquation avec la finalité du traitement et limitées dans le temps (Art. 6, alinéa 5 loi I&L). CNIL
10 5.5 Sécurité liée aux ressources humaines Sensibilisation des utilisateurs Objectif: garantir que les utilisateurs connaissent leurs responsabilités. [ISO-8.1.1] Il convient de définir et de documenter les rôles et responsabilités des utilisateurs en matière de sécurité. Il convient par ailleurs de veiller à ce que ceux-ci soient conscients des menaces en termes de sécurité. Lorsque le niveau de responsabilité des personnes le justifie, il est recommandé de prévoir la signature d une clause de confidentialité. [ISO-8.2.2] Il convient que l ensemble des utilisateurs soient sensibilisés à la sécurité informatique et reçoivent régulièrement les mises à jour des politiques et procédures pertinentes pour leurs fonctions. Il convient notamment d organiser des séances de formation et de sensibilisation à la sécurité de l information. Des rappels périodiques peuvent être faits par le biais de la messagerie électronique. Il est recommandé de rédiger une charte informatique et que celle-ci soit annexée au règlement intérieur. Cette charte devrait comporter les éléments suivants : 1. Le champ d application de la charte, qui inclut notamment - Les modalités d intervention du service de l informatique interne - Les moyens d authentification - Les règles de sécurité auxquelles se conformer, ce qui peut inclure par exemple de : - Signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement - Ne jamais confier son identifiant/mot de passe - Ne pas masquer sa véritable identité - Ne pas usurper l'identité d'autrui - Ne pas modifier les paramétrages du poste de travail - Ne pas installer, copier, modifier, détruire des logiciels sans autorisation - Verrouiller son ordinateur en cas d absence - Ne pas accéder, tenter d'accéder, ou supprimer des informations qui n appartiennent pas à l utilisateur - De définir les modalités de copie de données sur un support externe, notamment en obtenant l accord préalable du supérieur hiérarchique et en respectant les règles définies par le service de l informatique interne. 2. Les modalités d utilisation des moyens informatiques et de télécommunication mis à disposition comme : - Le poste de travail - Les équipements nomades - L espace de stockage individuel. - Le réseau local - Internet - La messagerie électronique - Le téléphone 3. Les conditions d administration du système d Information, et l existence, le cas échéant, de: - systèmes automatiques de filtrage - systèmes automatiques de traçabilité - gestion du poste de travail CNIL
11 4. Les règles de protection des données à caractère personnel 5. Les responsabilités et sanctions encourues en cas de non respect de la charte [ISO-8.3.3] Il convient que les droits d accès des utilisateurs soient supprimés dès lors qu ils ne sont plus légitimés à accéder à un local ou à une ressource, ainsi qu à la fin de la période d emploi. Il convient notamment d être vigilant à supprimer toute donnée à caractère biométrique intervenant dans des dispositifs de contrôle d accès Gestion des habilitations Objectif: assurer la sûreté de l exploitation des moyens de traitement de l information. [ISO ] Il convient que les procédures d exploitation soient documentées, tenues à jour et disponibles pour tous les utilisateurs concernés. [ISO ] Il convient de définir des profils d habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité, afin de limiter l accès à des données à caractère personnel qu aux seuls utilisateurs dûment habilités. 5.6 Conformité Conformité avec les exigences légales Objectif: éviter toute violation des obligations législatives, réglementaires, statutaires ou contractuelles et des exigences de sécurité. L L [IL-Art30-II] Il est nécessaire que tout traitement et que toute évolution d un traitement, notamment quant à sa finalité, l extension des données collectées, fasse l objet des formalités ad hoc (Art. 30-II loi I&L). [IL-ChXII] La loi «informatique et libertés» prévoient qu un responsable d un traitement ne peut transférer des données à caractère personnel vers un État hors de l Union européenne que si cet État assure un niveau de protection des données adéquat. Ce principe subordonne les échanges internationaux de données à l existence de garanties minimales comme l adoption de législations particulières dans ce domaine par le pays tiers ou la signature d un contrat liant l exportateur de données à l importateur. Il est à souligner que La transmission de données hors UE est soumise à l autorisation préalable de la CNIL. [ISO ] Le cas échéant, il est nécessaire de recourir à des mesures cryptographiques qui soient conformes aux réglementations applicables. 6 Sécurité physique de l infrastructure La sécurité physique de l infrastructure représente le premier maillon de la chaine garantissant la sécurité de l information d un organisme. Une infrastructure est généralement constituée de différents éléments tels que des bâtiments, des équipements, des ressources techniques (énergie, connexion) etc. Certains éléments de l infrastructure revêtent une criticité forte dans la mesure où une atteinte à leur intégrité pourrait compromettre le traitement de manière significative. Cette criticité peut concerner l indisponibilité du traitement pour une durée dépassant un seuil acceptable prédéfini, la compromission de données en très grand nombre, etc 6.1 Zones sécurisées Hormis pour les infrastructures de taille très réduite, on distingue habituellement trois zones : - la zone ouverte au public, lorsqu il y a une obligation fonctionnelle d accueil (comptoir d accueil, salle d attente ou de réunion, ) CNIL
12 - la zone réservée au service : zone à accès contrôlé correspondant aux bureaux où sont traitées les données - la zone de sécurité : elle héberge les serveurs, les stations d administration du réseau, les éléments actifs du réseau, ou certains locaux ou postes de travail plus sensibles Afin de protéger efficacement ces zones, il convient de considérer trois principes concourants à garantir la sécurité physique, c'est-à-dire prévoir pour les tentatives d intrusion: - une capacité de détection : des alarmes doivent permettre de déceler une intrusion au sein d une zone sécurisée. - une capacité de ralentissement : des mesures doivent être prévues en prévention d une éventuelle intrusion afin d en limiter la progression - une capacité d intervention : des moyens doivent être prévus pour réagir à l intrusion afin d y mettre fin. Objectif: empêcher tout accès physique non autorisé, dommage ou intrusion dans les locaux ou doivent être hébergées le traitement et les données à caractère personnel. [ISO-9.1.2] Selon la criticité des traitements mis en œuvre et des données, il convient de protéger les zones sécurisées par des contrôles visant à s assurer que seul le personnel dûment habilité est admis dans ces zones. La réalisation de cette mesure peut se faire par la prise en compte des recommandations suivantes: - concernant les zones dans lesquelles des informations sensibles sont traitées ou stockées, il convient de prévoir des contrôles d authentification, comme les cartes d accès accompagnées d un numéro d identification personnelle pour autoriser et valider tous les accès. Il convient de tenir à jour de façon sécurisée un journal des accès intervenus lors des trois derniers mois au plus; - à l intérieur des zones à accès réglementé, il convient d exiger le port d un moyen d identification visible pour toutes les personnes ; - il convient d accorder à tous les visiteurs (personnel en charge de l assistance technique, etc.) un accès limité, et de consigner la date et l heure de leur arrivée et départ ; - il convient de réexaminer et de mettre à jour régulièrement les droits d accès aux zones sécurisées et de les supprimer si nécessaire. [ISO-9.1.3] Il convient de concevoir et d appliquer des mesures de sécurité physique pour les bureaux, les salles et les équipements. Les accès aux salles ou bureaux susceptibles d héberger du matériel recevant des données à caractère personnel doivent être restreints par l usage de sas d accès ou de portes verrouillées. [ISO-9.1.4] Il convient de concevoir et d appliquer des mesures de protection physique contre les dommages causés par les incendies, les inondations, etc. 6.2 Sécurité liée aux matériels Objectif: Assurer la disponibilité matérielle du système. [ISO-9.2.2] Il convient de protéger le matériel des coupures de courant et autres perturbations dues à une défaillance des services généraux. Tous les services généraux, tels que l électricité, l alimentation en eau, etc. doivent être correctement dimensionnés pour les systèmes pris en charge et inspecter régulièrement pour écarter tout risque de CNIL
13 dysfonctionnement ou de panne. L utilisation d un onduleur gérant l arrêt normal ou le fonctionnement en continu est recommandée pour le matériel prenant en charge des traitements critiques. La climatisation des salles serveurs doit être correctement dimensionnée et entretenue. Une panne sur cette installation a souvent comme corollaire l ouverture des portes des salles et donc la neutralisation de facto d éléments concourants à la sécurité physique de l infrastructure. Pour les traitements revêtant des exigences fortes de disponibilité, il convient de connecter l infrastructure de télécommunications par au moins deux voies différentes pour empêcher que la défaillance d une voie de connexion ne rende le service inopérant. Il convient de plus de prévoir une redondance matérielle des unités de stockage par une technologie RAID pour les mêmes raisons. Objectif: Prévenir la perte, le vol ou la compromission des données sur les matériels. [ISO-9.2.6] Il convient de vérifier que tout matériel contenant des supports de stockage soit inspecté avant sa mise au rebut ou sa sortie du périmètre de l organisme pour s assurer que toute donnée sensible en a bien été supprimée de façon sécurisée. Il convient de se référer au document [4] (Guide technique pour la confidentialité des informations enregistrées sur les disques durs à recycler ou exporter). A titre d exemple, l ANSSI accorde des certifications de premier niveau à des logiciels pour réaliser cet objectif ( ) Concernant la mise au rebut de matériels, on peut mentionner: - Les broyeurs et déchiqueteurs pour le papier ainsi que les supports numériques tels que les CD et DVD - Les «dégausseurs 4» pour les unités de stockage à technologie magnétique. Il convient de noter que ces préconisations concernent également les matériels en location lorsqu ils sont retournés à l expiration du délai contractuel. 7 Sécurité logique Par sécurité logique on entend la sécurité fonctionnelle des systèmes, la gestion des droits d accès et la conservation des données. 7.1 Sécurité logique Sécurité des réseaux Objectif: assurer la protection de l infrastructure réseau ainsi que la confidentialité et l intégrité des données transmises. [ISO ] Pour tous les services réseau, il convient d identifier les fonctions réseau et les niveaux de service nécessaires au bon fonctionnement du traitement et de n autoriser que ceux-ci. 4 Un «dégausseur» est un équipement réalisant une destruction irrémédiable de données confidentielles par démagnétisation. CNIL
14 Selon les services réseau requis pour le traitement, il convient de limiter les flux réseau au strict nécessaire. Par exemple, si l accès à un serveur web passe obligatoirement et uniquement par l utilisation du protocole SSL, il convient de n autoriser que les flux réseau IP entrants sur cette machine sur le port de communication 443 et de bloquer tous les autres ports de communication. A propos des questions de filtrage, il convient de prendre connaissance du document du CERTA sur ce sujet disponible à l adresse suivante : Pour une mise en œuvre du protocole SSL, il convient de se référer aux préconisations données par le CERTA disponibles à l adresse Il convent également de mettre en place des systèmes de Détection d'intrusions (Intrusion Detection Systems ou IDS) : il s agit de dispositifs dont l'objectif est d'analyser en temps réel le trafic réseau afin d y détecter toute activité suspecte évoquant un scénario d'attaque informatique de manière à déjouer les attaques informatiques au plus tôt. En complément des dispositions énumérées ci-dessus, il peut être envisagé de mettre en place l identification automatique de matériels comme moyen d authentification des connexions à partir de lieux et matériels spécifiques dans le but de prévenir la connexion de tout dispositif non autorisé Sécurité des serveurs et des postes de travail Objectif: protéger l intégrité des logiciels et de l information. [ISO ] Il convient que les systèmes d exploitation et les applications soient tenus à jour. Il convient de ne pas installer de systèmes d exploitation obsolètes dont on peut trouver une liste actualisée à l adresse suivante : Il convient d installer les mises à jour critiques des systèmes d exploitation sans délai en programmant une vérification automatique périodique hebdomadaire. Enfin il convient de mettre à jour les applications lorsque des failles critiques ont été identifiées et corrigées. [ISO ] Il convient de mettre en œuvre des mesures de détection, de prévention et de récupération pour se protéger des codes malveillants (virus ou malware). Par ailleurs, afin de limiter les risques de compromission des serveurs et des postes de travail, il convient : - de limiter les services s exécutant à ceux qui sont strictement nécessaires, - de limiter l exécution d applications avec des droits administrateur, - d installer un logiciel antivirus et de le mettre à jour régulièrement, - éventuellement d installer un parefeu personnel afin de protéger le poste contre des requêtes réseau non conformes. Le document du CERTA situé à l adresse internet suivante : 007/ mentionne certains éléments pour une mise en œuvre des points exposés ci-dessus. Selon la nature de l application, il convient de garantir l intégrité des traitements par le recours à des signatures du code exécutable garantissant qu il n a subi aucune altération. A cet égard, une vérification de signature tout au long de et non seulement avant l exécution rend plus difficile la compromission d un programme. S agissant des logiciels s exécutant sur des serveurs, il convient pour les traitements les plus critiques CNIL
15 d utiliser des outils de détection des vulnérabilités (des scanners, etc.) afin de détecter d éventuelles failles de sécurité, ou encore des systèmes de détection et prévention des attaques sur des systèmes/serveurs critiques dénommés Host Intrusion Prevention Supports de stockage amovibles Objectif: empêcher la divulgation de données à caractère personnel du fait de supports de stockage susceptibles de quitter le périmètre physique de l infrastructure d hébergement. [ISO ] Il convient de mettre en place des procédures pour la gestion des supports de stockage amovibles et des supports de stockage contenus dans les systèmes informatiques mobiles. Il convient de prévoir des moyens de chiffrement pour les espaces de stockage pour les matériels informatiques mobiles (ordinateur portable, périphérique de stockage amovible tels que clés USB, CD-ROM, DVD-RW, etc., dès lors que des données à caractère personnel y sont stockées. Parmi ces moyens, on peut citer : - le chiffrement de disque dur dans sa totalité au niveau hardware - le chiffrement de disque dur dans sa totalité à un niveau logique via le système d exploitation - le chiffrement fichier par fichier - la création de fichiers containeurs chiffrés A titre d exemple, la ANSSI a accordé une certification de premier niveau pour la mise en œuvre de containeurs chiffrés au logiciel TrueCrypt version 6.0a ( ) Pour une mise en œuvre concernant les supports amovibles (clés USB, CD-ROM, ), il convient de se référer aux préconisations données par le CERTA disponibles à l adresse suivante : Si l informatique mobile est susceptible de contenir des s, il convient de ne pas conserver ceux pouvant contenir des données à caractère personnel. 7.2 Contrôle d accès Politique de contrôle d accès Objectif: maîtriser l accès à l information. [ISO ] Il convient d établir, de documenter et de réexaminer une politique de contrôle d accès en rapport avec la finalité du traitement. La politique de contrôle d accès doit inclure : - les procédures d enregistrement et de désinscription des utilisateurs destinées à accorder et à ôter l accès au traitement (cf [ISO-8.3.3]) ; - les mesures incitant les utilisateurs à respecter les bonnes pratiques de sécurité lors de la sélection et l utilisation de mots de passe ou d autres moyens d authentification ; - les mesures permettant de restreindre et de contrôler l attribution et l utilisation des privilèges au CNIL
16 traitement Contrôle d accès réseau Objectif: empêcher les accès non autorisés aux services disponibles sur le réseau. [ISO ] Il convient d utiliser des méthodes éprouvées pour contrôler l accès d utilisateurs distants. Le contrôle d accès des utilisateurs distants peut être réalisé par exemple : - par l utilisation de lignes privées dédiées - à l aide d une technique cryptographique Dans le cas du recours à une technique cryptographique, il convient de suivre les préconisations édictées par le document [3] (Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard) sur les différents algorithmes pouvant être envisagés : Ce référentiel précise notamment les longueurs de clé à considérer. A la date de rédaction de ce document, il est par exemple préconisé que : - La taille minimale d une clé RSA est de 1536 bits, pour une utilisation ne devant pas dépasser l année 2010 [RègleSFact-1] - La taille minimale d une clé RSA est de 2048 bits, pour une utilisation ne devant pas dépasser l année 2020 [RègleSFact-2] - Pour une utilisation au-delà de 2020, la taille minimale de la clé RSA est de 4096 bits [RègleSFact-3] Ces valeurs sont données à titre indicatif et dépendantes du contexte propre à chaque traitement. Pour l accès aux réseaux sans fil, il convient de mettre en œuvre des mesures d authentification supplémentaires telles que celles préconisées sur le site du CERTA à l adresse [ISO ] Il convient de restreindre voire interdire l accès physique et logique aux ports 5 de diagnostic et de configuration à distance. [ISO ] Il convient de cloisonner les communications sur le réseau en tenant compte des séparations fonctionnelles des différents départements de l organisme et des différents groupes d utilisateurs. Il convient d agir de telle manière que la compromission d un poste n induise pas de facto la compromission de l ensemble du système. Une pratique permettant à tout le moins de freiner la compromission d un système est de cloisonner les ressources disponibles au strict besoin d en connaitre. Ceci est le cas des ressources disponibles via le réseau. Une méthode permettant de garantir la confidentialité des informations transitant sur les réseaux consiste à les diviser en sous-réseaux logiques. Il est possible également de restreindre les connexions autorisées en différenciant par exemple un réseau interne pour lequel aucune connexion venant d Internet n est autorisé, et un sous-réseau dit DMZ (acronyme anglais de DeMilitarized Zone, zone démilitarisée en français) accessible 5 Un port physique est un emplacement permettant de brancher un câble, tandis qu un port logique est un numéro utilisé dans un protocole de communication, notamment le protocole Internet TCP. CNIL
17 depuis Internet. Un exemple d une telle architecture est représenté ci-dessous. Informatique mobile Réseau local Zone accessible depuis Internet Internet Routeur Parefeu (Firewall) (DMZ) Routeur Parefeu (Firewall) Modem Postes Serveurs d application Unités de sauvegarde Imprimantes Serveurs techniques (DHCP, DNS) Serveur de messagerie Portail Web Figure 1: Exemple d'architecture d'un réseau informatique Pour mettre en œuvre un tel cloisonnement, plusieurs méthodes sont envisageables : - l installation d une passerelle sécurisée (un parefeu) entre les deux réseaux à relier afin de contrôler les flux d information entrants et sortants, - la mise en place de commutateurs physiques (switches) : il est alors possible de cloisonner les différents réseaux en contrôlant les flux de données sur la base des adresses réseaux par le biais de fonctions de routage/commutation, telles que les listes de contrôle d accès, - le cloisonnement par le recours à des réseaux virtuels, dénommés VLAN, destinés à des groupes d utilisateurs : l objectif de cette technologie est de cloisonner le réseau informatique, c est à dire d isoler l'ensemble des composants réseaux connectés à un équipement physique (commutateur Ethernet) par groupes selon des critères logiques (appartenance à un département, etc.), pour séparer le trafic réseau. - le recours à des connexions sécurisés dénommées VPN Contrôle d accès aux serveurs et aux postes de travail Objectif: empêcher les accès non autorisés aux couches logicielles des systèmes d exploitation. [ISO ] Il convient que l accès aux systèmes d exploitation soit soumis à une procédure sécurisée d ouverture de session. [ISO ] Il convient d attribuer à chaque utilisateur un identifiant unique et exclusif et de choisir une technique d authentification adéquate. A propos des identifiants : Il convient que les identifiants utilisés soient différents de ceux des comptes par défaut et que ces derniers soient désactivés. Il convient par ailleurs qu aucun compte ne soit partagé entre plusieurs utilisateurs. En matière d authentification : Les mécanismes permettant de réaliser l authentification des personnes sont catégorisés en quatre familles selon qu ils font intervenir: - ce que l on sait, par exemple un mot de passe ; - ce que l on a, par exemple une carte à puce ; CNIL
18 - une caractéristique qui nous est propre, par exemple une empreinte digitale ou encore une signature manuscrite. La loi Informatique et Libertés subordonne l utilisation de la biométrie à autorisation préalable. A ce sujet, la doctrine de la CNIL sur l emploi de la biométrie par empreinte digitale dans une base centrale est décrite dans le document [6] (Communication de la CNIL relative à la mise en œuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données). Dans le cas de l utilisation de mots de passe, il convient que : - la complexité des mots de passe suive les règles suivantes dérivées de celles édictées par le CERTA 6 : - avoir des mots de passe de 8 caractères minimum, - utiliser des caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux). - ne pas utiliser de mot de passe ayant un lien avec soi (noms, dates de naissance ). - le même mot de passe ne doit pas être utilisé pour des accès différents. - changer de mot de passe régulièrement. - en règle générale, ne pas configurer les logiciels pour qu ils retiennent les mots de passe. - éviter de stocker ses mots de passe dans un fichier ou lieu proche de l ordinateur si celui-ci est accessible par d autres personnes. - si possible, limiter le nombre de tentatives d accès. Ces mesures dépendent du contexte propre à chaque traitement et peuvent être assouplies ou durcies selon la criticité de l information accessible à l issue de l authentification. Cependant, il faut savoir qu une attaque par recherche exhaustive 7 à partir de la connaissance du haché 8 d un mot de passe de 6 caractères alphabétiques 9 requiert de l ordre de quelques heures de calcul avec un ordinateur personnel. La transmission du mot de passe doit mettre en œuvre des techniques introduisant un aléa à chaque tentative de connexion afin d éviter leur réutilisation 10 suite à une interception de la communication. Dans le cas de l utilisation d une méthode d authentification basée sur des mots de passe à usage unique (en anglais OTP, One-Time Password), il convient de suivre les préconisations données en annexe du document [5] (Règles et recommandations concernant les mécanismes d authentification de niveau de robustesse standard). Dans les cas de l utilisation de dispositifs tels qu une carte à puce ou de schémas d authentification mettant en œuvre des algorithmes cryptographiques, il convient que ceux-ci suivent les règles édictées dans le document [3] (Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard). [ISO ] Il convient que soit automatiquement mis fin aux sessions inactives après une période définie. Cette période dépend de la sensibilité du traitement et de la criticité de l opération. En cas d opération 6 disponibles à l adresse 7 Cf. 8 Le haché est le résultat obtenu à partir d un algorithme appliqué à un mot de passe et dont une propriété est qu il est extrêmement difficile d en déduire le mot de passe à partir de celui-ci. 9 Numérique : chiffres de 0 à 9, soit 10 caractères Alphabétique : lettres de a à z, soit 26 caractères Alphanumérique : lettres de a à z et A à Z, et chiffres de 0 à 9 soit 62 caractères Alphanum complexe : alphanumérique + certaines caractères!@#$ etc. 10 Cette attaque est appelée le rejeu. CNIL
19 particulièrement critique (opération de télémaintenance d un système par exemple), il convient de mettre fin à une session après une à cinq minutes d inactivité. Pour d autres opérations moins critiques (accès à une application métier par exemple), un délai de quinze minutes doit permettre de garantir la sécurité sans compromettre l ergonomie d utilisation Contrôle d accès aux applications et à l information Objectif: empêcher les accès non autorisés aux informations stockées dans les applications. [ISO ] Pour les utilisateurs et le personnel chargé de l assistance technique, il convient de restreindre l accès aux données à caractère personnel à leur strict besoin d en connaitre. En matière d administration de bases de données: - il est impératif de changer les mots de passe par défaut par des mots de passe respectant les préconisations du CERTA ( - il convient, dans la mesure du possible, d utiliser des comptes nominatifs pour l accès aux bases de données - il est préférable d homogénéiser les systèmes sur lesquels les bases sont installées afin de faciliter leur exploitation - il convient de mettre à jour les serveurs de manière régulière afin de corriger les vulnérabilités connues - il convient de bannir les services non sécurisés (authentification en clair, flux en clair, etc ) - il convient de ne pas utiliser les serveurs hébergeant les bases de données à d autres fins (notamment pour se naviguer sur des sites internet, accéder à la messagerie électronique ) - il convient de mettre en œuvre des mesures et/ou d installer des dispositifs de filtrage pour se prémunir des attaques par injection de code SQL, scripts (ex :Nessus ) - les bases de données ne doivent pas être placées dans une zone directement accessible depuis Internet - il convient de limiter et de contrôler les opérations de télémaintenance sur les serveurs de bases de données (note : attention aux vulnérabilités connues de certains xvnc) - il convient de mettre en œuvre des mesures particulières pour les bases de données «sensibles» (chiffrement en base, chiffrement des sauvegardes) En matière d assistance sur les postes clients : - il convient de configurer les outils d administration à distance de manière à recueillir le consentement de l utilisateur avant toute intervention sur son poste - il convient également que l utilisateur puisse constater que la prise de main à distance est en cours. En matière de renouvellement de mots de passe : - lorsque le mot de passe d un utilisateur a été réinitialisé, il convient que ce dernier soit obligé de changer le mot de passe qui lui a été transmis dès sa première connexion. [ISO ] Il convient que les systèmes sensibles, c'est-à-dire tout système traitant de données sensibles, disposent d un environnement informatique dédié (isolé). En matière d hébergement dédié ou mutualisé, il convient de se référer au document du CERTA disponible à l adresse suivante : Informatique mobile Objectif: garantir la sécurité des communications ainsi que des données lors de l utilisation d appareils informatiques mobiles. CNIL
20 [ISO ] Il convient de définir des mesures de protection des informations transmises ou conservées dans des appareils d informatiques mobiles. Il convient que les accès au système d information au moyen d appareils informatiques mobiles tels que des ordinateurs portables soient sécurisés. Cela peut être réalisé notamment par la mise en place de connexions VPN reposant sur des algorithmes cryptographiques réputés forts et mettant en œuvre un matériel (carte à puce, boitier générateur de mots de passe à usage unique (OTP), etc.). Il convient de sécuriser les unités de stockage contenues dans les appareils mobiles (cf. [ISO ], page 13). Lorsque des appareils mobiles servent à la collecte de données en itinérance (ex : PDA, Smartphones ou PC portables, etc.), il convient de sécuriser les données qui y sont stockées. 7.4 Sauvegarde Objectif: maintenir l intégrité et la disponibilité des données à caractère personnel et des moyens de traitement y afférant. [ISO ] Il convient de réaliser des copies de sauvegarde des données à caractère personnel et de les soumettre régulièrement à essai conformément à la politique de sauvegarde convenue. Il convient également de procéder à une sauvegarde des logiciels servant au traitement afin de garantir la pérennité de celui-ci. Il convient de réaliser des sauvegardes avec une fréquence suffisante pour éviter la perte d information. Selon le volume d information à sauvegarder, il peut être opportun de prévoir des sauvegardes incrémentales 11 avec une fréquence quotidienne, et des sauvegardes complètes avec une fréquence moindre (hebdomadaires ou bimensuelles). Il convient par ailleurs de prévoir de stocker les supports de sauvegarde dans des armoires à l épreuve du feu, de l eau etc. et de prévoir leur stockage sur un site extérieur. [IL-Sauv-1] sensibles. Il convient de particulièrement sécuriser les sauvegardes si les données sont des données La sécurisation des sauvegardes peut être réalisée de différentes manières : - Soit en chiffrant les sauvegardes elles-mêmes - Soit en chiffrant les données à la source - Soit en prévoyant un stockage dans un lieu sécurisé. Le convoyage éventuel des sauvegardes doit suivre des règles en adéquation avec la politique de sécurité. 7.5 Archivage Objectif: garantir la conservation des données à caractère personnel. 11 Une sauvegarde incrémentale consiste à n enregistrer que les modifications faites par rapport à une précédente sauvegarde. CNIL
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détailRecommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing
Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés
Plus en détailFiches micro-informatique SECURITE LOGIQUE LOGIxx
Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné
Plus en détailREGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL
REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL L important développement à l international du groupe OVH et de ses filiales, conduit à l adoption des présentes règles internes en matière
Plus en détailComment protéger ses systèmes d'information légalement et à moindre coût?
Se protéger légalement et à moindre coût. Comment protéger ses systèmes d'information légalement et à moindre coût? Thierry RAMARD Président d AGERIS Group SAS Président du Clusir Est mardi 19 juin 2012
Plus en détailÉtat Réalisé En cours Planifié
1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture
Plus en détailCHARTE INFORMATIQUE LGL
CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification
Plus en détailE-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg
E-réputation : protection des données en ligne Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg CONTEXTE La cybersécurité est un facteur de productivité, de compétitivité et donc de croissance pour
Plus en détailL hygiène informatique en entreprise Quelques recommandations simples
L hygiène informatique en entreprise Quelques recommandations simples Avant-propos à destination des décideurs Les formidables développements de l informatique et d Internet ont révolutionné nos manières
Plus en détailGuide pratique spécifique pour la mise en place d un accès Wifi
MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ Guide pratique spécifique pour la mise en place d un accès Wifi Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S)- Mai 2014 - V1.0
Plus en détailCONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD
o CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD Conditions Générales de Vente et d Utilisation du Service B CLOUD Les présents termes et conditions sont conclus
Plus en détailRapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités
Plus en détailConcilier mobilité et sécurité pour les postes nomades
Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de
Plus en détailFICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)
Pack de conformité - Assurance 14 FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56) LES TRAITEMENTS DE DONNÉES PERSONNELLES AU REGARD DE LA LOI I&L Finalités
Plus en détailPolitique de sécurité de l actif informationnel
TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité
Plus en détailVIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ
VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1
Plus en détailSécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique
Plus en détailAuthentification. Règles et recommandations concernant les mécanismes d authentification de niveau de robustesse standard
PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Paris, le 12 avril 2007 N 729/SGDN/DCSSI/SDS/AsTeC Authentification Règles et recommandations
Plus en détailBibliographie. Gestion des risques
Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes
Plus en détailL utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes
L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...
Plus en détailLa sécurité des systèmes d information
Ntic consultant contact@ntic-consultant.fr 02 98 89 04 89 www.ntic-consultant.fr La sécurité des systèmes d information Ce document intitulé «La sécurité des systèmes d information» est soumis à la licence
Plus en détailSécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC
Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................
Plus en détailCe document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.
PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des
Plus en détailConditions Générales d Utilisation de la plateforme depot-doublage.fr
Conditions Générales d Utilisation de la plateforme depot-doublage.fr ARTICLE 1 : Préambule Le présent document a pour objet de définir les conditions générales d utilisation de la plateforme «depot-doublage.fr»
Plus en détailCharte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet
Page : 1/9 de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Note Importante : La charte de bon usage des ressources informatiques, de la messagerie et de l internet est une
Plus en détailCONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK
CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK 1. OBJET Les présentes conditions générales fixent les modalités d accès et de fonctionnement du service de banque en ligne fourni par ECOBANK (le
Plus en détailPOLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0
POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT Version 1.0 HISTORIQUE DES VERSIONS DATE VERSION ÉVOLUTION DU DOCUMENT 17/07/2014 1.0 Publication de la première version de la Politique de sécurité
Plus en détailKonica Minolta, un leader aux standards de sécurité les plus élevés du marché
SéCURITé Konica Minolta, un leader aux standards de sécurité les plus élevés du marché A l ère du numérique, les communications mondiales connaissent une croissance sans précédent, et les risques de failles
Plus en détailLES OUTILS. Connaître et appliquer la loi Informatique et Libertés
LES OUTILS Connaître et appliquer la loi Informatique et Libertés SEPTEMBRE 2011 QUE FAUT-IL DÉCLARER? Tous les fichiers informatiques contenant des données à caractère personnel sont soumis à la Loi Informatique
Plus en détail2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3
VERSION V0.3 Guide Pratique Règles de sauvegarde des Systèmes d Information de Santé (SIS) Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Juillet 2014 MINISTÈRE DES AFFAIRES
Plus en détailGroupe Banque européenne d investissement. Politique de vidéosurveillance
Groupe Banque européenne d investissement TABLE DES MATIERES 1. Objet et champ d application de la politique de vidéosurveillance... 2 2. Respect de la vie privée, protection des données et conformité
Plus en détail2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement
Plus en détailLa sécurité informatique
La sécurité informatique SOMMAIRE 1. Présentation générale a. La SARL Invesys b. Pourquoi la sécurité informatique? c. Qu est-ce qu un audit de sécurité? 2. Espionnage industriel a. Définition b. Enjeux
Plus en détailLA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES
LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES DÉFINIR UNE POLITIQUE INTERNE DE SÉCURITÉ RELATIVE À L INFORMATION STRATÉGIQUE DE VOTRE ENTREPRISE Vous n avez pas effectué de diagnostic interne
Plus en détailManagement de la sécurité des technologies de l information
Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure
Plus en détailCHARTE WIFI ET INTERNET
PAVILLON BLANC MÈDIATHÉQUE CENTRE D ART DE COLOMIERS CHARTE WIFI ET INTERNET MISSION : Le Pavillon Blanc Médiathèque Centre d Art de Colomiers a pour mission de permettre à tous ses visiteurs d accéder
Plus en détailCommission nationale de l informatique et des libertés
1 Commission nationale de l informatique et des libertés Délibération no 2012-209 du 21 juin 2012 portant création d une norme simplifiée concernant les traitements automatisés de données à caractère personnel
Plus en détailSOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS
SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS DES RESEAUX D ENTREPRISE SO Une sécurité réseau déficiente
Plus en détailRouteur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.
Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05
Plus en détailFirewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1
Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité
Plus en détailCAHIER DES CLAUSES TECHNIQUES
CAHIER DES CLAUSES TECHNIQUES 1. Contexte Ce document décrit les différentes fournitures et prestations à mettre en œuvre dans le cadre du remplacement de la solution de proxy et firewall actuellement
Plus en détailDSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2
Table des matières CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2 COMMUTATEUR... 2 ROUTEUR... 2 FIREWALL... 2 VLAN... 2 Types de VLAN :...2 Intérêt des VLAN...3 VPN... 3 DMZ... 3 DECT... 3 DATACENTER...
Plus en détailCharte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.
Charte informatique Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Préambule L'entreprise < NOM > met en œuvre un système d'information et
Plus en détailwww.netexplorer.fr contact@netexplorer.fr
www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...
Plus en détailGuide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX
Guide de connexion à RENAULT SA et PSA PEUGEOT CITROËN via ENX Mise en œuvre de votre raccordement à RENAULT SA et/ou PSA PEUGEOT CITROËN via ENX Version française du 31/10/2014 1 Table des matières 1
Plus en détailRéférentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences
Premier ministre Agence nationale de la sécurité des systèmes d information Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences
Plus en détailCONTRAT DE SERVICE DE SAUVEGARDE EN LIGNE
CONTRAT DE SERVICE DE SAUVEGARDE EN LIGNE ASPSERVEUR SARL au capital de 100 000 - RCS Marseille - Siret 454 777 254 00033 - N intracommunautaire : FR50451777254. Siège : 785 Voie Antiope - Zone Athélia
Plus en détailProjet Sécurité des SI
Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance
Plus en détailCharte Informatique de l Universite
Charte Informatique de l Universite Version 1.0, approuvée par le Conseil d'administration le 16/12/2014. 1 Introduction L Université met à disposition de son personnel, de ses étudiants et de ses collaborateurs
Plus en détailCENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES
informatiques d Inria CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES Table des matières 1. Préambule...3 2. Définitions...3 3. Domaine d application...4 4. Autorisation d accès aux ressources informatiques...5
Plus en détailCe que nous rencontrons dans les établissements privés : 1-Le réseau basique :
Ce que nous rencontrons dans les établissements privés : 1-Le réseau basique : Il s agit d un réseau filaire partagé par l ensemble des acteurs de l établissement (administratifs, enseignants, élèves ).
Plus en détailSécurité de l'information
Maisons de jeunes du Grand- Duché de Luxembourg Sécurité de l'information Charte de bonnes pratiques du responsable opérationnel Informations générales : Version : 1.1 État document : Final Classification
Plus en détailPolitique de Sécurité des Systèmes d Information
Politique de Sécurité des Systèmes d Information Sommaire 1 PREAMBULE...3 2 CONTEXTE...4 3 ORIENTATION STRATEGIQUE...4 4 PERIMETRE...5 5 ENJEUX DE LA PSSI AU CONSEIL DE L EUROPE...6 6 LES BESOINS DE SECURITE...7
Plus en détailLicences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition
Licences en volume Addendum à l offre Enrollment for Education Solutions (EES) Microsoft Online Services Agreement (Accord sur les services en ligne de Microsoft) ID de la modification : EES17 N o EES
Plus en détailRèglement d INTERPOL sur le traitement des données
BUREAU DES AFFAIRES JURIDIQUES Règlement d INTERPOL sur le traitement des données [III/IRPD/GA/2011(2014)] REFERENCES 51 ème session de l Assemblée générale, résolution AGN/51/RES/1, portant adoption du
Plus en détailNote technique. Recommandations relatives à l administration sécurisée des systèmes d information
P R E M I E R M I N I S T R E Secrétariat général Paris, le 20 février 2015 de la défense et de la sécurité nationale N o DAT-NT-22/ANSSI/SDE/NP Agence nationale de la sécurité Nombre de pages du document
Plus en détailIndustrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de
Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un
Plus en détails é c u r i t é Conférence animée par Christophe Blanchot
s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)
Plus en détailToute utilisation du site www.eau-services.com doit respecter les présentes conditions d utilisation.
Mentions légales Toute utilisation du site www.eau-services.com doit respecter les présentes conditions d utilisation. I CONDITIONS D UTILISATION DU SITE Ce Site est soumis à la loi française. En consultant
Plus en détailL ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR
L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR INTRODUCTION A la suite de grands scandales financiers qui ont ébranlés le monde des affaires, les instances législatives et réglementaires des Etats Unis ont remis
Plus en détailCONTRAT D HEBERGEMENT MUTUALISÉ
CONTRAT D HEBERGEMENT MUTUALISÉ ASPSERVEUR SARL au capital de 100 000 - RCS Marseille - Siret 454 777 254 00033 - N intracommunautaire : FR50451777254. Siège : 785 Voie Antiope - Zone Athélia III - 13600
Plus en détailBonnes pratiques en SSI. Présentation OzSSI - CDG 54 1
Bonnes pratiques en SSI Présentation OzSSI - CDG 54 1 Sommaire Présentation de l OZSSI Est La sécurité informatique...quelques chiffres Focus collectivités locales Les bonnes pratiques en SSI Les recommandations
Plus en détailIndustrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.
Industrie des cartes de paiement (PCI) Norme de sécurité des données Conditions et procédures d évaluation de sécurité Version 3.0 Novembre 2013 Modifications apportées au document Date Version Description
Plus en détailMeilleures pratiques de l authentification:
Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données
Plus en détailCONDITIONS GENERALES
CONDITIONS GENERALES Complex IT sàrl Contents 1 Conditions générales de vente 2 1.1 Préambule............................... 2 1.2 Offre et commande.......................... 3 1.3 Livraison...............................
Plus en détailCHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.
DQ- Version 1 SSR Saint-Christophe CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES. I] INTRODUCTION L emploi des nouvelles technologies nécessite l application
Plus en détailLINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation
Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance
Plus en détailPré-requis techniques
Sommaire 1. PRÉAMBULE... 3 2. PRÉ-REQUIS TÉLÉCOM... 4 Généralités... 4 Accès Télécom supporté... 4 Accès Internet... 5 Accès VPN... 5 Dimensionnement de vos accès... 6 3. PRÉ-REQUIS POUR LES POSTES DE
Plus en détailLégislation et droit d'un administrateur réseaux
Législation et droit d'un administrateur réseaux Réalisé par : GUENGOU Mourad OULD MED LEMINE Ahmedou 1 Plan de présentation I. Introduction générale II. L Administrateur Réseaux 1) Mission de l administrateur
Plus en détailLe WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM
Le WiFi sécurisé 16 Octobre 2008 PRATIC RIOM Plan Introduction Les réseaux sans fil WiFi Les risques majeurs liés à l utilisation d un réseau WiFi Comment sécuriser son réseau WiFi La cohabitation entre
Plus en détailLe réseau @ARCHI.FR CHARTE DE BON USAGE DES RESSOURCES INFORMATIQUES DU RESEAU @ARCHI.FR
Le réseau @ARCHI.FR CHARTE DE BON USAGE DES RESSOURCES INFORMATIQUES DU 1 DOMAINE D APPLICATION En adhérant au réseau RENATER, l école d architecture s est engagée à respecter une charte d usage et de
Plus en détailProtection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible
Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires aujourd'hui. L'utilisation
Plus en détaildonnées à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;
1/8 Recommandation n 01/2013 du 21 janvier 2013 Objet : Recommandation d'initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données (CO-AR-2013-001) La Commission de
Plus en détailLICENCE SNCF OPEN DATA
LICENCE SNCF OPEN DATA Préambule Dans l intérêt de ses utilisateurs, SNCF a décidé de s engager dans une démarche «OPEN DATA», de partage de certaines informations liées à son activité, par la mise à disposition
Plus en détailCONDITIONS PARTICULIÈRES SERVICE CDN WEBSITE Version en date du 10/10/2013
CONDITIONS PARTICULIÈRES SERVICE CDN WEBSITE Version en date du 10/10/2013 DEFINITIONS : Cache : Mémoire locale du Serveur CDN (POPs CDN). CDN : (acronyme de «content delivery network») Serveur de Cache
Plus en détail27 mars 2014. Sécurité ECNi. Présentation de la démarche sécurité
Sécurité ECNi Présentation de la démarche sécurité Présentation du cabinet Solucom Cabinet de conseil indépendant en management et système d information Fondé en 1990 / Plus de 1 400 collaborateurs / 2
Plus en détailCahier des Clauses Techniques Particulières. Convergence Voix - Données
Cahier des Clauses Techniques Particulières Convergence Voix - Données SOMMAIRE - Objet du document et du marché - Contexte et périmètre du projet - Configurations existantes et besoins - Services attendus
Plus en détailCODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE
CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE Avis conforme de la CNIL le 22 mars 2005 Mars 2005 Syndicat National de la Communication Directe 44, rue d Alésia 75682 Paris Cedex 14 Tel :
Plus en détailLicence ODbL (Open Database Licence) - IdéesLibres.org
Licence ODbL (Open Database Licence) - IdéesLibres.org Stipulations liminaires La licence ODbL (Open Database License) est un contrat de licence ayant pour objet d autoriser les utilisateurs à partager,
Plus en détailAgrément des hébergeurs de données de santé. 1 Questions fréquentes
Agrément des hébergeurs de données de santé 1 Questions fréquentes QUELS DROITS POUR LES PERSONNES CONCERNEES PAR LES DONNEES DE SANTE HEBERGEES? La loi précise que l'hébergement de données de santé à
Plus en détailMINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ
MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ Mémento de sécurité informatique pour les professionnels de santé en exercice libéral Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S)
Plus en détailLe contrat Cloud : plus simple et plus dangereux
11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin
Plus en détailTableau Online Sécurité dans le cloud
Tableau Online Sécurité dans le cloud Auteur : Ellie Fields Ellie Fields, directrice principale du marketing produits, Tableau Software Juin 2013 p.2 Tableau est conscient que les données font partie des
Plus en détailLe rôle Serveur NPS et Protection d accès réseau
Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS
Plus en détailAudits Sécurité. Des architectures complexes
Audits Sécurité Des architectures complexes L avènement d Internet et le développement des applications Intranet/Extranet ont permis aux entreprises d accroître leur compétitivité par l ouverture de leurs
Plus en détailPolitique d'utilisation (PU)
CONSERVEZ CE DOCUMENT POUR VOUS Y REFERER ULTERIEUREMENT Politique d'utilisation (PU) Systèmes réseaux, Internet, e-mail et téléphone Toute violation de la Politique d'utilisation de Garmin France SAS
Plus en détailMini-Rapport d Audit basé sur la méthode d analyse MEHARI
Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments
Plus en détailUSERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible
USERGATE PROXY & FIREWALL Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires
Plus en détailPré-requis techniques. Yourcegid Secteur Public On Demand Channel
Yourcegid Secteur Public On Demand Channel Sommaire 1. PREAMBULE...3 2. PRE-REQUIS RESEAU...3 Généralités... 3 Accès Télécom supportés... 4 Dimensionnement de vos accès... 5 Nomadisme et mobilité... 6
Plus en détailAdministration de systèmes
Administration de systèmes Windows NT.2000.XP.2003 Copyright IDEC 2002-2004. Reproduction interdite. Sommaire... 2 Eléments logiques et physiques du réseau... 5 Annuaire et domaine... 6 Les utilisateurs
Plus en détailLa messagerie électronique avec La Poste
La messagerie électronique avec La Poste En novembre 2000, le ministère de l Education Nationale a conclu avec La Poste un accord pour la mise à disposition des enseignants et élèves d un service de courrier
Plus en détailIndicateur et tableau de bord
Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72
Plus en détailRelease Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014
ISMS (Information Security Management System) Politique de sécurité relative à des services de Cloud Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing
Plus en détailJE MONTE UN SITE INTERNET
JE MONTE UN SITE INTERNET GUIDE PRATIQUE C O M M I S S I O N N A T I O N A L E D E L I N F O R M A T I Q U E E T D E S L I B E R T E S Janvier 2006 JE MONTE UN SITE INTERNET Le monde virtuel auquel vous
Plus en détailCHARTE D HEBERGEMENT DES SITES INTERNET SUR LA PLATE-FORME DE L ACADEMIE DE STRASBOURG
CHARTE D HEBERGEMENT DES SITES INTERNET SUR LA PLATE-FORME DE L ACADEMIE DE STRASBOURG Version Octobre 2014 Rectorat de l académie de Strasbourg 6 Rue de la Toussaint 67975 Strasbourg cedex 9 1 Page 1/14
Plus en détailVers un nouveau modèle de sécurité
1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et
Plus en détail1 LE L S S ERV R EURS Si 5
1 LES SERVEURS Si 5 Introduction 2 Un serveur réseau est un ordinateur spécifique partageant ses ressources avec d'autres ordinateurs appelés clients. Il fournit un service en réponse à une demande d un
Plus en détail