GUIDE PRATIQUE. Sécurité des Données à Caractère Personnel

Dimension: px
Commencer à balayer dès la page:

Download "GUIDE PRATIQUE. Sécurité des Données à Caractère Personnel"

Transcription

1 GUIDE PRATIQUE Sécurité des Données à Caractère Personnel

2 CNIL 2009 Commission Nationale de l Informatique et des Libertés 8 rue Vivienne CS Paris Cedex 02 Tel Fax Web ii

3 Sommaire Page Avertissement Introduction Qu entend-on par sécurité des données à caractère personnel? Identification des exigences de sécurité Domaine d'application Termes et définitions Acronymes Appréciation et traitement du risque Appréciation du risque lié à la protection des données à caractère personnel Traitement du risque lié à la protection des données à caractère personnel Organisation de la sécurité de l information Fondement légal Politique de sécurité de l information Organisation interne Sous-traitance Gestion et classification des informations Sécurité liée aux ressources humaines Sensibilisation des utilisateurs Gestion des habilitations Conformité Conformité avec les exigences légales Sécurité physique de l infrastructure Zones sécurisées Sécurité liée aux matériels Sécurité logique Sécurité logique Sécurité des réseaux Sécurité des serveurs et des postes de travail Supports de stockage amovibles Contrôle d accès Politique de contrôle d accès Contrôle d accès réseau Contrôle d accès aux serveurs et aux postes de travail Contrôle d accès aux applications et à l information Informatique mobile Sauvegarde Archivage Gestion opérationnelle Surveillance et traçabilité Gestion des incidents Disponibilité Maintenance Audit Communications externes Développement Exigences de sécurité lors du développement du traitement Conformité avec les politiques et normes de sécurité et conformité technique Feuille de synthèse des mesures...i CNIL

4 Avertissement Ce document présente un ensemble de mesures et de préconisations dans le but de pourvoir à la sécurité de données à caractère personnel. Il comporte deux niveaux de lecture, respectivement destinés à : - tout responsable de traitement ou à toute personne sans connaissance informatique particulière souhaitant évaluer le niveau de sécurité dont bénéficient les données à caractère personnel qu il traite. Un ensemble comprenant une cinquantaine de mesures a été rédigé dans un langage non technique, ce qui correspond à un premier niveau de lecture et permet de poser un diagnostic sur la sécurité d un système d information. Ces mesures sont récapitulées en annexe du document sous la forme d un tableau. - un public plus averti, tels que les Correspondants Informatique et Libertés, les Responsables de la Sécurité des Systèmes d Information etc.. Le guide met à leur disposition un ensemble de préconisations pour l application concrète des mesures, ce qui correspond au second niveau de lecture. Il est à noter que les préconisations s appliquent plus particulièrement à des systèmes d information de taille moyenne. Le document est structuré en six sections : 1. Organisation de la sécurité de l information 2. Sécurité physique de l infrastructure 3. Sécurité logique 4. Gestion opérationnelle 5. Sécurité lors de la communication de données en dehors du système d information 6. Développement Chaque rubrique principale de sécurité comprend : - un objectif de sécurité identifiant le but à atteindre - une ou plusieurs mesures habituellement préconisées par la CNIL en vue d atteindre l objectif de sécurité. Les mesures ont été répertoriées en suivant la nomenclature suivante : - Si une mesure de sécurité peut être identifiée à une mesure définie dans la norme ISO :2005 1, elle est alors indiquée dans le guide sous la forme [ISO-X], où X désigne le chapitre référençant la mesure de sécurité dans cette norme. - Lorsqu il s agit d une exigence qui découle directement de la loi Informatique et Libertés, celle-ci est référencée sous la forme [IL-Artx.y]. L indication Artx. renvoie à l article de la loi, [IL-Chxy] où Chxy renvoie au chapitre xy de la loi, ou encore [IL-xxxx-y] si l objectif ne renvoie pas à un article de loi singulier mais à une thématique. - enfin, il est à souligner que les préconisations relatives à la mise en œuvre d une mesure sont présentées dans des encadrées de couleur grise. 1 ISO est un organisme de standardisation international qui élabore des normes dans de nombreux domaines d activités. Ces normes sont cataloguées par 5 chiffres ; les normes et suivantes traitent la sécurité des systèmes d information. Pour plus d information, CNIL

5 Afin d en faciliter la lecture, différentes icônes ont été définies : L Aides à la lecture Mesure découlant de la loi Mesure primordiale et donc à considérer en priorité Mesure fortement recommandée Mesure recommandée Section ou paragraphe à contenu technique Point présentant un problème fréquemment relevé Pour ne pas alourdir le document, celui-ci renvoie à différentes sources externes telles que la loi Informatique et Libertés, les référentiels de sécurité édictés par le CERTA 2, etc. Ces références sont énumérées ci-après et sont citées entre [ ] lorsque cela est nécessaire. Il convient de préciser qu en cas de différence entre les informations détaillées dans ce document et un référentiel 3, ce dernier fait foi. Enfin, si ce document entend constituer une aide, la seule application des mesures qui y sont répertoriées ne saurait décharger le responsable de traitement du respect des autres dispositions de la loi Informatique et Libertés ni se saurait augurer de l examen par la Commission au regard du niveau de sécurité d un traitement. Références : [1] Loi n du 6 janvier 1978 modifiée en [2] WP 136, Avis 4/2007 sur le concept de données à caractère personnel [3] Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard, n 2741/SGDN/DCSSI/S DS/LCR [4] Guide technique pour la confidentialité des informations enregistrées sur les disques durs à recycler ou exporter, n 972-1/SGDN/DCSSI [5] Règles et recommandations concernant les mécanismes d authentification de niveau de robustesse standard, n 729/SGDN/DCSSI/SDS/AsTeC [6] Communication de la CNIL relative à la mise en œuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données 2 Le CERTA (Centre d'expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) est un service de l ANSSI (Agence Nationale de la Sécurité des Systèmes d'information, ex DCSSI) chargé d «évaluer les menaces pesant sur les systèmes d'information, donner l'alerte, développer les capacités à les contrer et à les prévenir» 3 Cette situation peut notamment se produire du fait de l évolution des référentiels. CNIL

6 0 Introduction La place grandissante de l informatique dans toutes les sphères de notre société entraine la production d un nombre croissant de données personnelles, ainsi que leur dissémination dans des systèmes plus nombreux et moins perceptibles pour les personnes. Les menaces pesant sur les systèmes et réseaux d information, telles que la fraude informatique, le détournement de finalité, la captation frauduleuse, la perte de données, le vandalisme, ou encore les sinistres les plus fréquents, tels que l incendie ou l inondation, requièrent que toutes les précautions soient prises pour assurer la sécurité de ces données, ce qui se traduit par la mise en œuvre de mesures organisationnelles et techniques adaptées. 0.1 Qu entend-on par sécurité des données à caractère personnel? Par sécurité des données à caractère personnel on entend l ensemble des «précautions utiles, au regard de la nature des données et des risques présentés par le traitement», pour notamment, «empêcher que les données soient déformées, endommagées, ou que des tiers non autorisés y aient accès.». Cette sécurité se conçoit pour l ensemble des processus relatifs à ces données, qu il s agisse de leur création, leur utilisation, leur sauvegarde, leur archivage ou leur destruction et concerne leur confidentialité, leur intégrité, leur authenticité et leur disponibilité. 0.2 Identification des exigences de sécurité L identification des exigences en matière de sécurité nécessite de tenir compte : - du risque propre à la nature du traitement, afin d identifier les menaces pesant sur les données à caractère personnel il convient donc d analyser la vraisemblance des attaques et d en évaluer l impact potentiel, - de l environnement socioculturel en effet, des solutions a priori très sécurisées peuvent s avérer inadaptées au regard de comportements établis, - des exigences légales du secteur concerné (la santé, les télécommunications, ) auxquelles le responsable de traitement et ses prestataires de service doivent se conformer, - de l ensemble des exigences métier préexistantes en matière de traitement de l information, - des exigences légales en matière de transfert de données à caractère personnel hors de l Union Européenne. CNIL

7 1 Domaine d'application Les objectifs et mesures décrits dans ce document sont destinés à être mis en œuvre dans le but de répondre aux exigences identifiées par une évaluation du risque portant sur la sécurité des données à caractère personnel au regard de la loi Informatique et Libertés. 2 Termes et définitions Authentification : «l'authentification a pour but de vérifier l'identité dont une entité se réclame. Généralement l'authentification est précédée d'une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l'a doté. En résumé, s'identifier c'est communiquer son identité, s'authentifier c'est apporter la preuve de son identité.» (ANSSI) Destinataire des données : «toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données.» (Art. 3 loi I&L) Donnée à caractère personnel : «toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.» (Art. 2 loi I&L). Données sensibles : les «données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.» (Art. 8 loi I&L). Responsable de traitement : «la personne, l autorité publique, le service ou l organisme qui détermine les finalités et les moyens dudit traitement, sauf désignation expresse par des dispositions législatives ou réglementaires relatives à ce traitement.» (Art. 3 loi I&L). Tiers : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données; (directive 95/46/CE) Traitement : sauf mention explicite, un traitement s entend dans ce document comme un traitement de données à caractère personnel. Traitement de données à caractère personnel : «toute opération ou tout ensemble d opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l enregistrement, l organisation, la conservation, l adaptation ou la modification, l extraction, la consultation, l utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l interconnexion, ainsi que le verrouillage, l effacement ou la destruction.» (Art. 2 loi I&L). 3 Acronymes DHCP : Dynamic Host Configuration protocole, un protocole permettant l attribution la configuration dynamique des paramètres réseau d une machine (dont son adresse Internet) lorsque celle-ci se connecte à un réseau local et afin qu elle puisse communiquer sur ce dernier. DNS : Domain Name Server, Serveur de nom de domaine, Ces serveurs font la correspondance entre un nom de domaine, par exemple cnil.fr, et un adresse internet, par exemple EBIOS : Une méthodologie d évaluation des risques des Systèmes d Information. HTTP : HyperText Transfer Protocole, le protocole du web. RSA : Un algorithme de cryptographie asymétrique, du nom de ses trois concepteurs Rivest, Shamir et Adelman. SQL : Structure Query Language, le protocole servant la gestion des bases de données. CNIL

8 SSL : Secure Socket Layer, un protocole sécurisé compatible avec HTTP, parfois dénommé https. VNC : Virtual Network Computer, un protocole permettant la prise de contrôle à distance d un poste de travail. VPN : Virtual Private Network, cet acronyme traduit un tunnel sécurisé, c'est-à-dire une canal de communication garantissant la confidentialité des échanges. 4 Appréciation et traitement du risque 4.1 Appréciation du risque lié à la protection des données à caractère personnel Une appréciation du risque portant sur l ensemble des données à caractère personnel dont l organisme est dépositaire doit être réalisée afin de garantir le strict respect des dispositions de la loi. Toutefois l évolution des systèmes rend nécessaire la révision périodique des mesures de sécurité. Idéalement, il conviendrait pour tout responsable de traitement de formaliser d emblée une analyse méthodique des risques du point de vue de la protection des données à caractère personnel. Cette analyse devrait prendre en compte : - la probabilité de réalisation du risque - les conséquences sur la sécurité des données Avant d envisager le traitement d un risque, il conviendrait également que le responsable de traitement définisse des critères permettant de déterminer si le risque est acceptable ou non. Des méthodes éprouvées permettent de conduire une analyse de risque en matière de Systèmes d Information, c est le cas notamment de la méthode EBIOS préconisée par la ANSSI. 4.2 Traitement du risque lié à la protection des données à caractère personnel Pour chacun des risques identifiés, une décision relative au traitement du risque doit être prise. Les solutions envisageables sont les suivantes: a) application de mesures appropriées visant à réduire le risque; b) acceptation des risques en connaissance de cause et avec objectivité, dans la mesure où ils sont acceptables au regard du cadre législatif et notamment de la loi Informatique et Libertés ; c) annulation des risques en interdisant les actions susceptibles de les engendrer. Dans le cadre de la loi Informatique et Libertés, le transfert de risques à des tiers n est pas envisageable car la loi reconnait des obligations au responsable de traitement dont il ne peut se décharger. L 5 Organisation de la sécurité de l information L expérience montre que le facteur organisationnel joue un rôle crucial dans la sécurité de l information. Ceci inclut les aspects suivants : - La définition d une politique de sécurité de l information; - Une mise en œuvre et un suivi effectif de la sécurité de l information; - Une communication efficace sur la sécurité de l information auprès de toutes les personnes partie-prenantes afin de les sensibiliser; 5.0 Fondement légal Objectif: se conformer à l obligation légale en matière de traitements de données à caractère personnel. [IL-Art5-1] Il est nécessaire de se conformer avec les exigences de la loi du 6 janvier 1978 dès lors que le responsable de traitement est établi ou que les moyens de traitement sont utilisés sur le territoire français (Art. 5-1 loi I&L). CNIL

9 5.1 Politique de sécurité de l information Objectif: garantir la sécurité de l information par la publication d un document décrivant la politique de sécurité. [ISO-5.1.1] Il convient qu un document de politique de sécurité de l information soit validé par le responsable de traitement, puis diffusé auprès de l ensemble des personnes concernées. Ce document devrait préciser les enjeux propres à la sécurité des données à caractère personnel. Il convient que cette politique soit revue de manière périodique. L 5.2 Organisation interne Objectif: s assurer que la sécurité des données à caractère personnel est bien prise en considération. [IL-Art34] La sécurité des données à caractère personnel doit être assurée conformément à l article 34 de la loi du 6 janvier 1978 modifiée : «Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès» (Art. 34 loi I&L). [ISO-6.1.8] Il convient de procéder à des revues régulières et indépendantes de la sécurité du système mettant en œuvre le traitement; de telles revues sont également nécessaires lors de changements importants du traitement. 5.3 Sous-traitance Objectif: assurer la sécurité des moyens de traitement portant sur des données à caractère personnel communiquées à ou gérées par des sous-traitants. [ISO-6.2.1] Il convient d identifier les risques pesant sur les données à caractère personnel impliquant des sous-traitants. L [IL-Art35-1] La loi I&L dispose que : «Le contrat liant le sous-traitant au responsable du traitement comporte l indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données» et prévoit que «le sous-traitant ne peut agir que sur instruction du responsable de traitement» (Art. 35 loi I&L). 5.4 Gestion et classification des informations Objectif: garantir un niveau de protection approprié aux données à caractère personnel. L [IL-Art6-3] Il est impératif de collecter des données à caractère personnel qui soient en adéquation avec la finalité du traitement (Art. 6, alinéa 3 loi I&L). L [IL-Art6-4] I&L). Il est impératif de garantir l exactitude des données à caractère personnel (Art. 6, alinéa 4 loi [ISO-7.2.1] Il convient de classifier les informations de manière notamment à indiquer si celles-ci sont des données sensibles. Cette classification a pour but notamment de rendre compte du niveau de sécurité à appliquer. L [IL-Art6-5] Il est nécessaire de définir des durées de conservation des données à caractère personnel en adéquation avec la finalité du traitement et limitées dans le temps (Art. 6, alinéa 5 loi I&L). CNIL

10 5.5 Sécurité liée aux ressources humaines Sensibilisation des utilisateurs Objectif: garantir que les utilisateurs connaissent leurs responsabilités. [ISO-8.1.1] Il convient de définir et de documenter les rôles et responsabilités des utilisateurs en matière de sécurité. Il convient par ailleurs de veiller à ce que ceux-ci soient conscients des menaces en termes de sécurité. Lorsque le niveau de responsabilité des personnes le justifie, il est recommandé de prévoir la signature d une clause de confidentialité. [ISO-8.2.2] Il convient que l ensemble des utilisateurs soient sensibilisés à la sécurité informatique et reçoivent régulièrement les mises à jour des politiques et procédures pertinentes pour leurs fonctions. Il convient notamment d organiser des séances de formation et de sensibilisation à la sécurité de l information. Des rappels périodiques peuvent être faits par le biais de la messagerie électronique. Il est recommandé de rédiger une charte informatique et que celle-ci soit annexée au règlement intérieur. Cette charte devrait comporter les éléments suivants : 1. Le champ d application de la charte, qui inclut notamment - Les modalités d intervention du service de l informatique interne - Les moyens d authentification - Les règles de sécurité auxquelles se conformer, ce qui peut inclure par exemple de : - Signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement - Ne jamais confier son identifiant/mot de passe - Ne pas masquer sa véritable identité - Ne pas usurper l'identité d'autrui - Ne pas modifier les paramétrages du poste de travail - Ne pas installer, copier, modifier, détruire des logiciels sans autorisation - Verrouiller son ordinateur en cas d absence - Ne pas accéder, tenter d'accéder, ou supprimer des informations qui n appartiennent pas à l utilisateur - De définir les modalités de copie de données sur un support externe, notamment en obtenant l accord préalable du supérieur hiérarchique et en respectant les règles définies par le service de l informatique interne. 2. Les modalités d utilisation des moyens informatiques et de télécommunication mis à disposition comme : - Le poste de travail - Les équipements nomades - L espace de stockage individuel. - Le réseau local - Internet - La messagerie électronique - Le téléphone 3. Les conditions d administration du système d Information, et l existence, le cas échéant, de: - systèmes automatiques de filtrage - systèmes automatiques de traçabilité - gestion du poste de travail CNIL

11 4. Les règles de protection des données à caractère personnel 5. Les responsabilités et sanctions encourues en cas de non respect de la charte [ISO-8.3.3] Il convient que les droits d accès des utilisateurs soient supprimés dès lors qu ils ne sont plus légitimés à accéder à un local ou à une ressource, ainsi qu à la fin de la période d emploi. Il convient notamment d être vigilant à supprimer toute donnée à caractère biométrique intervenant dans des dispositifs de contrôle d accès Gestion des habilitations Objectif: assurer la sûreté de l exploitation des moyens de traitement de l information. [ISO ] Il convient que les procédures d exploitation soient documentées, tenues à jour et disponibles pour tous les utilisateurs concernés. [ISO ] Il convient de définir des profils d habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité, afin de limiter l accès à des données à caractère personnel qu aux seuls utilisateurs dûment habilités. 5.6 Conformité Conformité avec les exigences légales Objectif: éviter toute violation des obligations législatives, réglementaires, statutaires ou contractuelles et des exigences de sécurité. L L [IL-Art30-II] Il est nécessaire que tout traitement et que toute évolution d un traitement, notamment quant à sa finalité, l extension des données collectées, fasse l objet des formalités ad hoc (Art. 30-II loi I&L). [IL-ChXII] La loi «informatique et libertés» prévoient qu un responsable d un traitement ne peut transférer des données à caractère personnel vers un État hors de l Union européenne que si cet État assure un niveau de protection des données adéquat. Ce principe subordonne les échanges internationaux de données à l existence de garanties minimales comme l adoption de législations particulières dans ce domaine par le pays tiers ou la signature d un contrat liant l exportateur de données à l importateur. Il est à souligner que La transmission de données hors UE est soumise à l autorisation préalable de la CNIL. [ISO ] Le cas échéant, il est nécessaire de recourir à des mesures cryptographiques qui soient conformes aux réglementations applicables. 6 Sécurité physique de l infrastructure La sécurité physique de l infrastructure représente le premier maillon de la chaine garantissant la sécurité de l information d un organisme. Une infrastructure est généralement constituée de différents éléments tels que des bâtiments, des équipements, des ressources techniques (énergie, connexion) etc. Certains éléments de l infrastructure revêtent une criticité forte dans la mesure où une atteinte à leur intégrité pourrait compromettre le traitement de manière significative. Cette criticité peut concerner l indisponibilité du traitement pour une durée dépassant un seuil acceptable prédéfini, la compromission de données en très grand nombre, etc 6.1 Zones sécurisées Hormis pour les infrastructures de taille très réduite, on distingue habituellement trois zones : - la zone ouverte au public, lorsqu il y a une obligation fonctionnelle d accueil (comptoir d accueil, salle d attente ou de réunion, ) CNIL

12 - la zone réservée au service : zone à accès contrôlé correspondant aux bureaux où sont traitées les données - la zone de sécurité : elle héberge les serveurs, les stations d administration du réseau, les éléments actifs du réseau, ou certains locaux ou postes de travail plus sensibles Afin de protéger efficacement ces zones, il convient de considérer trois principes concourants à garantir la sécurité physique, c'est-à-dire prévoir pour les tentatives d intrusion: - une capacité de détection : des alarmes doivent permettre de déceler une intrusion au sein d une zone sécurisée. - une capacité de ralentissement : des mesures doivent être prévues en prévention d une éventuelle intrusion afin d en limiter la progression - une capacité d intervention : des moyens doivent être prévus pour réagir à l intrusion afin d y mettre fin. Objectif: empêcher tout accès physique non autorisé, dommage ou intrusion dans les locaux ou doivent être hébergées le traitement et les données à caractère personnel. [ISO-9.1.2] Selon la criticité des traitements mis en œuvre et des données, il convient de protéger les zones sécurisées par des contrôles visant à s assurer que seul le personnel dûment habilité est admis dans ces zones. La réalisation de cette mesure peut se faire par la prise en compte des recommandations suivantes: - concernant les zones dans lesquelles des informations sensibles sont traitées ou stockées, il convient de prévoir des contrôles d authentification, comme les cartes d accès accompagnées d un numéro d identification personnelle pour autoriser et valider tous les accès. Il convient de tenir à jour de façon sécurisée un journal des accès intervenus lors des trois derniers mois au plus; - à l intérieur des zones à accès réglementé, il convient d exiger le port d un moyen d identification visible pour toutes les personnes ; - il convient d accorder à tous les visiteurs (personnel en charge de l assistance technique, etc.) un accès limité, et de consigner la date et l heure de leur arrivée et départ ; - il convient de réexaminer et de mettre à jour régulièrement les droits d accès aux zones sécurisées et de les supprimer si nécessaire. [ISO-9.1.3] Il convient de concevoir et d appliquer des mesures de sécurité physique pour les bureaux, les salles et les équipements. Les accès aux salles ou bureaux susceptibles d héberger du matériel recevant des données à caractère personnel doivent être restreints par l usage de sas d accès ou de portes verrouillées. [ISO-9.1.4] Il convient de concevoir et d appliquer des mesures de protection physique contre les dommages causés par les incendies, les inondations, etc. 6.2 Sécurité liée aux matériels Objectif: Assurer la disponibilité matérielle du système. [ISO-9.2.2] Il convient de protéger le matériel des coupures de courant et autres perturbations dues à une défaillance des services généraux. Tous les services généraux, tels que l électricité, l alimentation en eau, etc. doivent être correctement dimensionnés pour les systèmes pris en charge et inspecter régulièrement pour écarter tout risque de CNIL

13 dysfonctionnement ou de panne. L utilisation d un onduleur gérant l arrêt normal ou le fonctionnement en continu est recommandée pour le matériel prenant en charge des traitements critiques. La climatisation des salles serveurs doit être correctement dimensionnée et entretenue. Une panne sur cette installation a souvent comme corollaire l ouverture des portes des salles et donc la neutralisation de facto d éléments concourants à la sécurité physique de l infrastructure. Pour les traitements revêtant des exigences fortes de disponibilité, il convient de connecter l infrastructure de télécommunications par au moins deux voies différentes pour empêcher que la défaillance d une voie de connexion ne rende le service inopérant. Il convient de plus de prévoir une redondance matérielle des unités de stockage par une technologie RAID pour les mêmes raisons. Objectif: Prévenir la perte, le vol ou la compromission des données sur les matériels. [ISO-9.2.6] Il convient de vérifier que tout matériel contenant des supports de stockage soit inspecté avant sa mise au rebut ou sa sortie du périmètre de l organisme pour s assurer que toute donnée sensible en a bien été supprimée de façon sécurisée. Il convient de se référer au document [4] (Guide technique pour la confidentialité des informations enregistrées sur les disques durs à recycler ou exporter). A titre d exemple, l ANSSI accorde des certifications de premier niveau à des logiciels pour réaliser cet objectif (http://www.ssi.gouv.fr/archive/fr/confiance/certif-cspn.html ) Concernant la mise au rebut de matériels, on peut mentionner: - Les broyeurs et déchiqueteurs pour le papier ainsi que les supports numériques tels que les CD et DVD - Les «dégausseurs 4» pour les unités de stockage à technologie magnétique. Il convient de noter que ces préconisations concernent également les matériels en location lorsqu ils sont retournés à l expiration du délai contractuel. 7 Sécurité logique Par sécurité logique on entend la sécurité fonctionnelle des systèmes, la gestion des droits d accès et la conservation des données. 7.1 Sécurité logique Sécurité des réseaux Objectif: assurer la protection de l infrastructure réseau ainsi que la confidentialité et l intégrité des données transmises. [ISO ] Pour tous les services réseau, il convient d identifier les fonctions réseau et les niveaux de service nécessaires au bon fonctionnement du traitement et de n autoriser que ceux-ci. 4 Un «dégausseur» est un équipement réalisant une destruction irrémédiable de données confidentielles par démagnétisation. CNIL

14 Selon les services réseau requis pour le traitement, il convient de limiter les flux réseau au strict nécessaire. Par exemple, si l accès à un serveur web passe obligatoirement et uniquement par l utilisation du protocole SSL, il convient de n autoriser que les flux réseau IP entrants sur cette machine sur le port de communication 443 et de bloquer tous les autres ports de communication. A propos des questions de filtrage, il convient de prendre connaissance du document du CERTA sur ce sujet disponible à l adresse suivante : Pour une mise en œuvre du protocole SSL, il convient de se référer aux préconisations données par le CERTA disponibles à l adresse Il convent également de mettre en place des systèmes de Détection d'intrusions (Intrusion Detection Systems ou IDS) : il s agit de dispositifs dont l'objectif est d'analyser en temps réel le trafic réseau afin d y détecter toute activité suspecte évoquant un scénario d'attaque informatique de manière à déjouer les attaques informatiques au plus tôt. En complément des dispositions énumérées ci-dessus, il peut être envisagé de mettre en place l identification automatique de matériels comme moyen d authentification des connexions à partir de lieux et matériels spécifiques dans le but de prévenir la connexion de tout dispositif non autorisé Sécurité des serveurs et des postes de travail Objectif: protéger l intégrité des logiciels et de l information. [ISO ] Il convient que les systèmes d exploitation et les applications soient tenus à jour. Il convient de ne pas installer de systèmes d exploitation obsolètes dont on peut trouver une liste actualisée à l adresse suivante : Il convient d installer les mises à jour critiques des systèmes d exploitation sans délai en programmant une vérification automatique périodique hebdomadaire. Enfin il convient de mettre à jour les applications lorsque des failles critiques ont été identifiées et corrigées. [ISO ] Il convient de mettre en œuvre des mesures de détection, de prévention et de récupération pour se protéger des codes malveillants (virus ou malware). Par ailleurs, afin de limiter les risques de compromission des serveurs et des postes de travail, il convient : - de limiter les services s exécutant à ceux qui sont strictement nécessaires, - de limiter l exécution d applications avec des droits administrateur, - d installer un logiciel antivirus et de le mettre à jour régulièrement, - éventuellement d installer un parefeu personnel afin de protéger le poste contre des requêtes réseau non conformes. Le document du CERTA situé à l adresse internet suivante : 007/ mentionne certains éléments pour une mise en œuvre des points exposés ci-dessus. Selon la nature de l application, il convient de garantir l intégrité des traitements par le recours à des signatures du code exécutable garantissant qu il n a subi aucune altération. A cet égard, une vérification de signature tout au long de et non seulement avant l exécution rend plus difficile la compromission d un programme. S agissant des logiciels s exécutant sur des serveurs, il convient pour les traitements les plus critiques CNIL

15 d utiliser des outils de détection des vulnérabilités (des scanners, etc.) afin de détecter d éventuelles failles de sécurité, ou encore des systèmes de détection et prévention des attaques sur des systèmes/serveurs critiques dénommés Host Intrusion Prevention Supports de stockage amovibles Objectif: empêcher la divulgation de données à caractère personnel du fait de supports de stockage susceptibles de quitter le périmètre physique de l infrastructure d hébergement. [ISO ] Il convient de mettre en place des procédures pour la gestion des supports de stockage amovibles et des supports de stockage contenus dans les systèmes informatiques mobiles. Il convient de prévoir des moyens de chiffrement pour les espaces de stockage pour les matériels informatiques mobiles (ordinateur portable, périphérique de stockage amovible tels que clés USB, CD-ROM, DVD-RW, etc., dès lors que des données à caractère personnel y sont stockées. Parmi ces moyens, on peut citer : - le chiffrement de disque dur dans sa totalité au niveau hardware - le chiffrement de disque dur dans sa totalité à un niveau logique via le système d exploitation - le chiffrement fichier par fichier - la création de fichiers containeurs chiffrés A titre d exemple, la ANSSI a accordé une certification de premier niveau pour la mise en œuvre de containeurs chiffrés au logiciel TrueCrypt version 6.0a (http://www.ssi.gouv.fr/archive/fr/confiance/cspn/cspn html ) Pour une mise en œuvre concernant les supports amovibles (clés USB, CD-ROM, ), il convient de se référer aux préconisations données par le CERTA disponibles à l adresse suivante : Si l informatique mobile est susceptible de contenir des s, il convient de ne pas conserver ceux pouvant contenir des données à caractère personnel. 7.2 Contrôle d accès Politique de contrôle d accès Objectif: maîtriser l accès à l information. [ISO ] Il convient d établir, de documenter et de réexaminer une politique de contrôle d accès en rapport avec la finalité du traitement. La politique de contrôle d accès doit inclure : - les procédures d enregistrement et de désinscription des utilisateurs destinées à accorder et à ôter l accès au traitement (cf [ISO-8.3.3]) ; - les mesures incitant les utilisateurs à respecter les bonnes pratiques de sécurité lors de la sélection et l utilisation de mots de passe ou d autres moyens d authentification ; - les mesures permettant de restreindre et de contrôler l attribution et l utilisation des privilèges au CNIL

16 traitement Contrôle d accès réseau Objectif: empêcher les accès non autorisés aux services disponibles sur le réseau. [ISO ] Il convient d utiliser des méthodes éprouvées pour contrôler l accès d utilisateurs distants. Le contrôle d accès des utilisateurs distants peut être réalisé par exemple : - par l utilisation de lignes privées dédiées - à l aide d une technique cryptographique Dans le cas du recours à une technique cryptographique, il convient de suivre les préconisations édictées par le document [3] (Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard) sur les différents algorithmes pouvant être envisagés : Ce référentiel précise notamment les longueurs de clé à considérer. A la date de rédaction de ce document, il est par exemple préconisé que : - La taille minimale d une clé RSA est de 1536 bits, pour une utilisation ne devant pas dépasser l année 2010 [RègleSFact-1] - La taille minimale d une clé RSA est de 2048 bits, pour une utilisation ne devant pas dépasser l année 2020 [RègleSFact-2] - Pour une utilisation au-delà de 2020, la taille minimale de la clé RSA est de 4096 bits [RègleSFact-3] Ces valeurs sont données à titre indicatif et dépendantes du contexte propre à chaque traitement. Pour l accès aux réseaux sans fil, il convient de mettre en œuvre des mesures d authentification supplémentaires telles que celles préconisées sur le site du CERTA à l adresse [ISO ] Il convient de restreindre voire interdire l accès physique et logique aux ports 5 de diagnostic et de configuration à distance. [ISO ] Il convient de cloisonner les communications sur le réseau en tenant compte des séparations fonctionnelles des différents départements de l organisme et des différents groupes d utilisateurs. Il convient d agir de telle manière que la compromission d un poste n induise pas de facto la compromission de l ensemble du système. Une pratique permettant à tout le moins de freiner la compromission d un système est de cloisonner les ressources disponibles au strict besoin d en connaitre. Ceci est le cas des ressources disponibles via le réseau. Une méthode permettant de garantir la confidentialité des informations transitant sur les réseaux consiste à les diviser en sous-réseaux logiques. Il est possible également de restreindre les connexions autorisées en différenciant par exemple un réseau interne pour lequel aucune connexion venant d Internet n est autorisé, et un sous-réseau dit DMZ (acronyme anglais de DeMilitarized Zone, zone démilitarisée en français) accessible 5 Un port physique est un emplacement permettant de brancher un câble, tandis qu un port logique est un numéro utilisé dans un protocole de communication, notamment le protocole Internet TCP. CNIL

17 depuis Internet. Un exemple d une telle architecture est représenté ci-dessous. Informatique mobile Réseau local Zone accessible depuis Internet Internet Routeur Parefeu (Firewall) (DMZ) Routeur Parefeu (Firewall) Modem Postes Serveurs d application Unités de sauvegarde Imprimantes Serveurs techniques (DHCP, DNS) Serveur de messagerie Portail Web Figure 1: Exemple d'architecture d'un réseau informatique Pour mettre en œuvre un tel cloisonnement, plusieurs méthodes sont envisageables : - l installation d une passerelle sécurisée (un parefeu) entre les deux réseaux à relier afin de contrôler les flux d information entrants et sortants, - la mise en place de commutateurs physiques (switches) : il est alors possible de cloisonner les différents réseaux en contrôlant les flux de données sur la base des adresses réseaux par le biais de fonctions de routage/commutation, telles que les listes de contrôle d accès, - le cloisonnement par le recours à des réseaux virtuels, dénommés VLAN, destinés à des groupes d utilisateurs : l objectif de cette technologie est de cloisonner le réseau informatique, c est à dire d isoler l'ensemble des composants réseaux connectés à un équipement physique (commutateur Ethernet) par groupes selon des critères logiques (appartenance à un département, etc.), pour séparer le trafic réseau. - le recours à des connexions sécurisés dénommées VPN Contrôle d accès aux serveurs et aux postes de travail Objectif: empêcher les accès non autorisés aux couches logicielles des systèmes d exploitation. [ISO ] Il convient que l accès aux systèmes d exploitation soit soumis à une procédure sécurisée d ouverture de session. [ISO ] Il convient d attribuer à chaque utilisateur un identifiant unique et exclusif et de choisir une technique d authentification adéquate. A propos des identifiants : Il convient que les identifiants utilisés soient différents de ceux des comptes par défaut et que ces derniers soient désactivés. Il convient par ailleurs qu aucun compte ne soit partagé entre plusieurs utilisateurs. En matière d authentification : Les mécanismes permettant de réaliser l authentification des personnes sont catégorisés en quatre familles selon qu ils font intervenir: - ce que l on sait, par exemple un mot de passe ; - ce que l on a, par exemple une carte à puce ; CNIL

18 - une caractéristique qui nous est propre, par exemple une empreinte digitale ou encore une signature manuscrite. La loi Informatique et Libertés subordonne l utilisation de la biométrie à autorisation préalable. A ce sujet, la doctrine de la CNIL sur l emploi de la biométrie par empreinte digitale dans une base centrale est décrite dans le document [6] (Communication de la CNIL relative à la mise en œuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données). Dans le cas de l utilisation de mots de passe, il convient que : - la complexité des mots de passe suive les règles suivantes dérivées de celles édictées par le CERTA 6 : - avoir des mots de passe de 8 caractères minimum, - utiliser des caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux). - ne pas utiliser de mot de passe ayant un lien avec soi (noms, dates de naissance ). - le même mot de passe ne doit pas être utilisé pour des accès différents. - changer de mot de passe régulièrement. - en règle générale, ne pas configurer les logiciels pour qu ils retiennent les mots de passe. - éviter de stocker ses mots de passe dans un fichier ou lieu proche de l ordinateur si celui-ci est accessible par d autres personnes. - si possible, limiter le nombre de tentatives d accès. Ces mesures dépendent du contexte propre à chaque traitement et peuvent être assouplies ou durcies selon la criticité de l information accessible à l issue de l authentification. Cependant, il faut savoir qu une attaque par recherche exhaustive 7 à partir de la connaissance du haché 8 d un mot de passe de 6 caractères alphabétiques 9 requiert de l ordre de quelques heures de calcul avec un ordinateur personnel. La transmission du mot de passe doit mettre en œuvre des techniques introduisant un aléa à chaque tentative de connexion afin d éviter leur réutilisation 10 suite à une interception de la communication. Dans le cas de l utilisation d une méthode d authentification basée sur des mots de passe à usage unique (en anglais OTP, One-Time Password), il convient de suivre les préconisations données en annexe du document [5] (Règles et recommandations concernant les mécanismes d authentification de niveau de robustesse standard). Dans les cas de l utilisation de dispositifs tels qu une carte à puce ou de schémas d authentification mettant en œuvre des algorithmes cryptographiques, il convient que ceux-ci suivent les règles édictées dans le document [3] (Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard). [ISO ] Il convient que soit automatiquement mis fin aux sessions inactives après une période définie. Cette période dépend de la sensibilité du traitement et de la criticité de l opération. En cas d opération 6 disponibles à l adresse 7 Cf. 8 Le haché est le résultat obtenu à partir d un algorithme appliqué à un mot de passe et dont une propriété est qu il est extrêmement difficile d en déduire le mot de passe à partir de celui-ci. 9 Numérique : chiffres de 0 à 9, soit 10 caractères Alphabétique : lettres de a à z, soit 26 caractères Alphanumérique : lettres de a à z et A à Z, et chiffres de 0 à 9 soit 62 caractères Alphanum complexe : alphanumérique + certaines etc. 10 Cette attaque est appelée le rejeu. CNIL

19 particulièrement critique (opération de télémaintenance d un système par exemple), il convient de mettre fin à une session après une à cinq minutes d inactivité. Pour d autres opérations moins critiques (accès à une application métier par exemple), un délai de quinze minutes doit permettre de garantir la sécurité sans compromettre l ergonomie d utilisation Contrôle d accès aux applications et à l information Objectif: empêcher les accès non autorisés aux informations stockées dans les applications. [ISO ] Pour les utilisateurs et le personnel chargé de l assistance technique, il convient de restreindre l accès aux données à caractère personnel à leur strict besoin d en connaitre. En matière d administration de bases de données: - il est impératif de changer les mots de passe par défaut par des mots de passe respectant les préconisations du CERTA (http://www.certa.ssi.gouv.fr/site/certa-2005-inf-001/) - il convient, dans la mesure du possible, d utiliser des comptes nominatifs pour l accès aux bases de données - il est préférable d homogénéiser les systèmes sur lesquels les bases sont installées afin de faciliter leur exploitation - il convient de mettre à jour les serveurs de manière régulière afin de corriger les vulnérabilités connues - il convient de bannir les services non sécurisés (authentification en clair, flux en clair, etc ) - il convient de ne pas utiliser les serveurs hébergeant les bases de données à d autres fins (notamment pour se naviguer sur des sites internet, accéder à la messagerie électronique ) - il convient de mettre en œuvre des mesures et/ou d installer des dispositifs de filtrage pour se prémunir des attaques par injection de code SQL, scripts (ex :Nessus ) - les bases de données ne doivent pas être placées dans une zone directement accessible depuis Internet - il convient de limiter et de contrôler les opérations de télémaintenance sur les serveurs de bases de données (note : attention aux vulnérabilités connues de certains xvnc) - il convient de mettre en œuvre des mesures particulières pour les bases de données «sensibles» (chiffrement en base, chiffrement des sauvegardes) En matière d assistance sur les postes clients : - il convient de configurer les outils d administration à distance de manière à recueillir le consentement de l utilisateur avant toute intervention sur son poste - il convient également que l utilisateur puisse constater que la prise de main à distance est en cours. En matière de renouvellement de mots de passe : - lorsque le mot de passe d un utilisateur a été réinitialisé, il convient que ce dernier soit obligé de changer le mot de passe qui lui a été transmis dès sa première connexion. [ISO ] Il convient que les systèmes sensibles, c'est-à-dire tout système traitant de données sensibles, disposent d un environnement informatique dédié (isolé). En matière d hébergement dédié ou mutualisé, il convient de se référer au document du CERTA disponible à l adresse suivante : 7.3 Informatique mobile Objectif: garantir la sécurité des communications ainsi que des données lors de l utilisation d appareils informatiques mobiles. CNIL

20 [ISO ] Il convient de définir des mesures de protection des informations transmises ou conservées dans des appareils d informatiques mobiles. Il convient que les accès au système d information au moyen d appareils informatiques mobiles tels que des ordinateurs portables soient sécurisés. Cela peut être réalisé notamment par la mise en place de connexions VPN reposant sur des algorithmes cryptographiques réputés forts et mettant en œuvre un matériel (carte à puce, boitier générateur de mots de passe à usage unique (OTP), etc.). Il convient de sécuriser les unités de stockage contenues dans les appareils mobiles (cf. [ISO ], page 13). Lorsque des appareils mobiles servent à la collecte de données en itinérance (ex : PDA, Smartphones ou PC portables, etc.), il convient de sécuriser les données qui y sont stockées. 7.4 Sauvegarde Objectif: maintenir l intégrité et la disponibilité des données à caractère personnel et des moyens de traitement y afférant. [ISO ] Il convient de réaliser des copies de sauvegarde des données à caractère personnel et de les soumettre régulièrement à essai conformément à la politique de sauvegarde convenue. Il convient également de procéder à une sauvegarde des logiciels servant au traitement afin de garantir la pérennité de celui-ci. Il convient de réaliser des sauvegardes avec une fréquence suffisante pour éviter la perte d information. Selon le volume d information à sauvegarder, il peut être opportun de prévoir des sauvegardes incrémentales 11 avec une fréquence quotidienne, et des sauvegardes complètes avec une fréquence moindre (hebdomadaires ou bimensuelles). Il convient par ailleurs de prévoir de stocker les supports de sauvegarde dans des armoires à l épreuve du feu, de l eau etc. et de prévoir leur stockage sur un site extérieur. [IL-Sauv-1] sensibles. Il convient de particulièrement sécuriser les sauvegardes si les données sont des données La sécurisation des sauvegardes peut être réalisée de différentes manières : - Soit en chiffrant les sauvegardes elles-mêmes - Soit en chiffrant les données à la source - Soit en prévoyant un stockage dans un lieu sécurisé. Le convoyage éventuel des sauvegardes doit suivre des règles en adéquation avec la politique de sécurité. 7.5 Archivage Objectif: garantir la conservation des données à caractère personnel. 11 Une sauvegarde incrémentale consiste à n enregistrer que les modifications faites par rapport à une précédente sauvegarde. CNIL

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine

Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine La présente charte définit les règles d usages et de sécurité que l Université de Lorraine

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS Février 2015 SOMMAIRE 1. INTRODUCTION... 3 2. PÉRIMÈTRE... 4 3. MISE EN OEUVRE... 5 4. PRÉSENTATION DES OBJECTIFS DE SÉCURITÉ...

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur de l Observatoire de Paris (désigné dans la suite comme l Établissement) et ceux de ses

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Prénom Nom : Signature : Date : Service : Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur des entités, a pour objet de préciser la responsabilité

Plus en détail

Comment protéger ses systèmes d'information légalement et à moindre coût?

Comment protéger ses systèmes d'information légalement et à moindre coût? Se protéger légalement et à moindre coût. Comment protéger ses systèmes d'information légalement et à moindre coût? Thierry RAMARD Président d AGERIS Group SAS Président du Clusir Est mardi 19 juin 2012

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes.

CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes. Infos sécurité Charte d usage des TIC au sein de l Université de Bourgogne CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes.

Plus en détail

Charte régissant l'usage du système d information par les personnels de l'académie de NANCY-METZ

Charte régissant l'usage du système d information par les personnels de l'académie de NANCY-METZ Charte régissant l'usage du système d information par les personnels de l'académie de NANCY-METZ Charte d'usages du système d'information 1/8 Sommaire Préambule...3 Article I. Champ d'application...4 Article

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

9 Sécurité et architecture informatique

9 Sécurité et architecture informatique 9 Sécurité et architecture informatique 1) Nom(s) du (des) système(s) d exploitation impliqués dans le traitement* : Windows Server 2008 R2 et CentOS 5 et 6. 2) Le système informatique est constitué :*

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

Règles pour les interventions à distance sur les systèmes d information de santé

Règles pour les interventions à distance sur les systèmes d information de santé VERSION V0.3 Règles pour les interventions à distance sur les systèmes d information de santé Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Avril 2014 MINISTÈRE DES AFFAIRES

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL L important développement à l international du groupe OVH et de ses filiales, conduit à l adoption des présentes règles internes en matière

Plus en détail

Charte d'usage des TIC

Charte d'usage des TIC Schéma Informatique Ministériel Groupe Chartes d usage des TIC Introduction Charte d'usage des TIC Le développement et la diffusion au sein du MINEFI des nouveaux moyens de communication et d information

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

Règlement régissant l'usage du système d information par les utilisateurs de l Université Lille 1

Règlement régissant l'usage du système d information par les utilisateurs de l Université Lille 1 Règlement régissant l'usage du système d information par les utilisateurs de l Université Lille 1 1/ 9 Sommaire Article I. Champ d'application...4 Article II. Conditions d'utilisation des systèmes d'information...4

Plus en détail

CRISTALLIN KIT D INFORMATION INFORMATIQUE ET LIBERTES A DESTINATION DES OPTICIENS

CRISTALLIN KIT D INFORMATION INFORMATIQUE ET LIBERTES A DESTINATION DES OPTICIENS CRISTALLIN KIT D INFORMATION INFORMATIQUE ET LIBERTES A DESTINATION DES OPTICIENS 19 06 2012 SOMMAIRE 1. Préambule 3 2. Réaliser les formalités préalables adéquates 3 3. Informer vos clients 3 4. Obtenir

Plus en détail

Charte régissant l'usage du système d information par les personnels de l Université Bordeaux 1

Charte régissant l'usage du système d information par les personnels de l Université Bordeaux 1 Charte régissant l'usage du système d information par les personnels de l Université Bordeaux 1 Sommaire Champ d'application 2 Article I. Conditions d'utilisation des systèmes d'information 2 Section I.1

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

Informations Sécurité

Informations Sécurité Bonnes pratiques Informations Sécurité La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques pour protéger vos ordinateurs et vos intérêts dans l usage des moyens informatiques,

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

CONSERVATION DES DOCUMENTS ELECTRONIQUES SANS SYSTEME D ARCHIVAGE ELECTRONIQUE

CONSERVATION DES DOCUMENTS ELECTRONIQUES SANS SYSTEME D ARCHIVAGE ELECTRONIQUE Cadre législatif et règlementaire Code du patrimoine Code général des collectivités territoriales Décret n 79-1037 du 3 décembre 1979 modifié relatif à la compétence des services d publics et à la coopération

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Date : 2010-09-08 Référence 20100906-CSPN-CibleSécurité-V1.1.doc VALIDITE DU DOCUMENT Identification Client Projet Fournisseur

Plus en détail

État Réalisé En cours Planifié

État Réalisé En cours Planifié 1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture

Plus en détail

ISO 27002 // Référentiels de la santé

ISO 27002 // Référentiels de la santé ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0 Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en

Plus en détail

RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL

RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL Cette page doit fournir aux clients toutes les informations concernant la sécurité du site d internet banking transactionnel, en particulier les

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Guide pratique spécifique pour la mise en place d un accès Wifi

Guide pratique spécifique pour la mise en place d un accès Wifi VERSION V0.3 Guide pratique spécifique pour la mise en place d un accès Wifi Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Février 2014 MINISTÈRE DES AFFAIRES SOCIALES

Plus en détail

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg E-réputation : protection des données en ligne Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg CONTEXTE La cybersécurité est un facteur de productivité, de compétitivité et donc de croissance pour

Plus en détail

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous-direction scientifique et technique Laboratoire Technologies de l Information

Plus en détail

CHARTE WIFI ET INTERNET

CHARTE WIFI ET INTERNET PAVILLON BLANC MÈDIATHÉQUE CENTRE D ART DE COLOMIERS CHARTE WIFI ET INTERNET MISSION : Le Pavillon Blanc Médiathèque Centre d Art de Colomiers a pour mission de permettre à tous ses visiteurs d accéder

Plus en détail

Bibliographie. Gestion des risques

Bibliographie. Gestion des risques Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes

Plus en détail

Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires de détection des incidents de sécurité

Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires de détection des incidents de sécurité Premier ministre Agence nationale de la sécurité des systèmes d information Prestataires de détection des incidents de sécurité Référentiel d exigences Version 0.9.1 du 17 décembre 2014 HISTORIQUE DES

Plus en détail

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................

Plus en détail

Pandémie : comment assurer la continuité d activité de l entreprise?

Pandémie : comment assurer la continuité d activité de l entreprise? Pandémie : comment assurer la continuité d activité de l entreprise? Les entreprises françaises sont peu préparées à affronter une éventuelle pandémie Le concept de plan de continuité d activité n est

Plus en détail

CHARTE DES BONS USAGES DES MOYENS NUMERIQUES DE L UNIVERSITE

CHARTE DES BONS USAGES DES MOYENS NUMERIQUES DE L UNIVERSITE CHARTE DES BONS USAGES DES MOYENS NUMERIQUES DE L UNIVERSITE Guide de l utilisateur Frédéric DEHAN Directeur général des services Affaire suivie par Philippe PORTELLI Tél. : +33 (0)3 68 85 00 12 philippe.portelli@unistra.fr

Plus en détail

Architecture de join.me

Architecture de join.me Présentation technique de l architecture sécurisée et fiable de join.me 1 Introduction 2 Présentation de l architecture 3 Sécurité des données 4 Sécurité des sessions et du site web 5 Présentation de l

Plus en détail

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités

Plus en détail

Guide pratique spécifique pour la mise en place d un accès Wifi

Guide pratique spécifique pour la mise en place d un accès Wifi MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ Guide pratique spécifique pour la mise en place d un accès Wifi Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S)- Mai 2014 - V1.0

Plus en détail

Rapport de certification ANSSI-CSPN-2012/05. Routeur chiffrant Navista Version 2.8.0

Rapport de certification ANSSI-CSPN-2012/05. Routeur chiffrant Navista Version 2.8.0 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2012/05 Routeur chiffrant

Plus en détail

Charte utilisateur pour l usage de ressources. informatiques et de services Internet de. l Observatoire Océanologique de Banyuls-sur-mer

Charte utilisateur pour l usage de ressources. informatiques et de services Internet de. l Observatoire Océanologique de Banyuls-sur-mer Approbation de la charte informatique de l OOB Charte utilisateur pour l usage de ressources informatiques et de services Internet de l Observatoire Océanologique de Banyuls-sur-mer Approuvé par le Conseil

Plus en détail

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

PLAN DE CONTROLE EXTERNE DU REFERENTIEL AFAQ Service Confiance

PLAN DE CONTROLE EXTERNE DU REFERENTIEL AFAQ Service Confiance PLAN DE CONTROLE EXTERNE DU REFERENTIEL AFAQ Service Confiance REF 118 01 Sauvegarde à distance de données numériques REFERENCE : PCE-118-01 30/03/2001 PCE- 118 01 Page 1 sur 17 30/03/2001 Toute reproduction

Plus en détail

Conditions Générales d Utilisation de la plateforme depot-doublage.fr

Conditions Générales d Utilisation de la plateforme depot-doublage.fr Conditions Générales d Utilisation de la plateforme depot-doublage.fr ARTICLE 1 : Préambule Le présent document a pour objet de définir les conditions générales d utilisation de la plateforme «depot-doublage.fr»

Plus en détail

Réseaux CPL par la pratique

Réseaux CPL par la pratique x CPL par la pratique X a v i e r C a r c e l l e A v e c l a c o n t r i b u t i o n d e D a v o r M a l e s e t G u y P u j o l l e, e t l a c o l l a b o r a t i o n d e O l i v i e r S a l v a t o

Plus en détail

L hygiène informatique en entreprise Quelques recommandations simples

L hygiène informatique en entreprise Quelques recommandations simples L hygiène informatique en entreprise Quelques recommandations simples Avant-propos à destination des décideurs Les formidables développements de l informatique et d Internet ont révolutionné nos manières

Plus en détail

Protection de la vie privée et sécurité des données

Protection de la vie privée et sécurité des données Circulaire n 4577 du 23/09/2013 Protection de la vie privée et sécurité des données Réseaux et niveaux concernés Fédération Wallonie- Bruxelles Libre subventionné libre confessionnel libre non confessionnel)

Plus en détail

3 ème Concours de technicien de classe normale des systèmes d information et de communication. «Session 2009»

3 ème Concours de technicien de classe normale des systèmes d information et de communication. «Session 2009» 3 ème Concours de technicien de classe normale des systèmes d information et de communication «Session 2009» Meilleure copie "Etude de cas" Note : 11/20 Thème : réseaux de télécommunication et équipements

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Page : 1/9 de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Note Importante : La charte de bon usage des ressources informatiques, de la messagerie et de l internet est une

Plus en détail

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56) Pack de conformité - Assurance 14 FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56) LES TRAITEMENTS DE DONNÉES PERSONNELLES AU REGARD DE LA LOI I&L Finalités

Plus en détail

Protection contre les menaces Prévention

Protection contre les menaces Prévention Protection contre les menaces Prévention Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Prévention Routeurs Pare-feu Systèmes de prévention d intrusion Conclusions Jean-Marc

Plus en détail

aroline MASCRET Mission Juridique Pôle «Actes et Produits de Santé» Haute Autorité de Santé

aroline MASCRET Mission Juridique Pôle «Actes et Produits de Santé» Haute Autorité de Santé Champ référentiel 1.2 Chapitre 1, domaine 2 : Juridique La loi Informatique et Liberté aroline MASCRET Mission Juridique Pôle «Actes et Produits de Santé» Haute Autorité de Santé La protection des données

Plus en détail

PREMIER MINISTRE PROCEDURE. Validée par le sous-directeur de la régulation. Pascal CHAUVE [ORIGINAL SIGNE]

PREMIER MINISTRE PROCEDURE. Validée par le sous-directeur de la régulation. Pascal CHAUVE [ORIGINAL SIGNE] PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Paris, le 25 juin 2009 N 1632 /SGDN/DCSSI Référence : AGR/P/02.1 PROCEDURE SECURITE

Plus en détail

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LE METALLURGIE Qualification : Catégorie : D Dernière modification : 02/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Préventeur (trice) en cybersécurité des

Plus en détail

REPUBLIQUE FRANCAISE. INSTITUT NATIONAL DE LA RECHERCHE AGRONOMIQUE 147, Rue de l Université 75338 PARIS CEDEX 07 Tél.

REPUBLIQUE FRANCAISE. INSTITUT NATIONAL DE LA RECHERCHE AGRONOMIQUE 147, Rue de l Université 75338 PARIS CEDEX 07 Tél. REPUBLIQUE FRANCAISE INSTITUT NATIONAL DE LA RECHERCHE AGRONOMIQUE 147, Rue de l Université 75338 PARIS CEDEX 07 Tél. : 01 42 75 90 00 DIRECTION DU SYSTÈME D INFORMATION Note de service N 2008-51 du 13

Plus en détail

Profil de protection d un progiciel serveur applicatif MES

Profil de protection d un progiciel serveur applicatif MES Profil de protection d un progiciel serveur applicatif MES Version 1.0 court-terme GTCSI 1 er juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne

Plus en détail

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés LES OUTILS Connaître et appliquer la loi Informatique et Libertés SEPTEMBRE 2011 QUE FAUT-IL DÉCLARER? Tous les fichiers informatiques contenant des données à caractère personnel sont soumis à la Loi Informatique

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA.

VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA. VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA 1 6 décembre 2005 2 Plan Contexte INRIA Enjeux et objectifs de VISON Service d authentification

Plus en détail

Institut de Recherche pour le Développement Charte utilisateur pour l usage de ressources informatiques, de services Internet et de services Intranet

Institut de Recherche pour le Développement Charte utilisateur pour l usage de ressources informatiques, de services Internet et de services Intranet Institut de Recherche pour le Développement Charte utilisateur pour l usage de ressources informatiques, de services Internet et de services Intranet Ce texte est avant tout un code de bonne conduite.

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

Charte informatique relative à l utilisation des moyens informatiques

Charte informatique relative à l utilisation des moyens informatiques Charte informatique relative à l utilisation des moyens informatiques Vu la loi n 78-17 du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés, modifiée ; Vu la loi n 83-634 du 13 juillet

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition) Généralités sur la sécurité informatique 1. Introduction 15 2. Les domaines et normes associés 18 2.1 Les bonnes pratiques ITIL V3 18 2.1.1 La stratégie des services (Service Strategy) 19 2.1.2 La conception

Plus en détail

Concilier mobilité et sécurité pour les postes nomades

Concilier mobilité et sécurité pour les postes nomades Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de

Plus en détail

Conditions générales d hébergement de l application La-Vie-Scolaire.fr

Conditions générales d hébergement de l application La-Vie-Scolaire.fr de l application La-Vie-Scolaire.fr Référence :.. Date : Définitions «Contrat d accès au Service» : désigne le bon de commande, les conditions générales de vente et les éventuels annexes ou avenants conclus

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

Systeme d authentification biometrique et de transfert de donnees cryptees

Systeme d authentification biometrique et de transfert de donnees cryptees Systeme d authentification biometrique et de transfert de donnees cryptees Securisez vos acces et protegez vos donnees Les composants ActiveX développés par NetInf associés aux produits de sécurisation

Plus en détail

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

données à caractère personnel (ci-après la LVP), en particulier l'article 30 ; 1/8 Recommandation n 01/2013 du 21 janvier 2013 Objet : Recommandation d'initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données (CO-AR-2013-001) La Commission de

Plus en détail

Sensibilisation à la sécurité

Sensibilisation à la sécurité Sensibilisation à la sécurité informatique Sébastien Delcroix Copyright CRI74 GNU Free Documentation License 1 Attentes de son système Disponibilité d'information Intégrité de ses données

Plus en détail

MARCHE A PROCEDURE ADAPTEE

MARCHE A PROCEDURE ADAPTEE MARCHE A PROCEDURE ADAPTEE Pouvoir adjudicateur : Centre Hospitalier de Béziers 2 rue Valentin Haüy BP 740 34525 BEZIERS Libellé de la consultation : REMPLACEMENT DU PAREFEU-PROXY Objet du marché : Acquisition

Plus en détail

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché SéCURITé Konica Minolta, un leader aux standards de sécurité les plus élevés du marché A l ère du numérique, les communications mondiales connaissent une croissance sans précédent, et les risques de failles

Plus en détail

OPAC 36 - Conditions Générales d Utilisation

OPAC 36 - Conditions Générales d Utilisation OPAC 36 - Conditions Générales d Utilisation L OPAC 36 propose sur son site internet www.opac36.fr un espace locataire avec différents services destinés à simplifier les démarches liées à ses activités

Plus en détail

SAFE&SMARTSOLUTIONS. Atelier «Contrer les menaces USB» Les Assises de la Sécurité & des Systèmes d Information 30/09/2015

SAFE&SMARTSOLUTIONS. Atelier «Contrer les menaces USB» Les Assises de la Sécurité & des Systèmes d Information 30/09/2015 BT.D46.D SAFE&SMARTSOLUTIONS Atelier «Contrer les menaces USB» Les Assises de la Sécurité & des Systèmes d Information 30/09/2015 2 I. La menace USB est-elle «has been»? 1. De quoi parle-t-on? 2. Des usages

Plus en détail

Paris, le 3 septembre 2009

Paris, le 3 septembre 2009 Sophie Martinet Société d Avocat inscrite au barreau de Paris 73, bd de Clichy - 75009 Paris Tel :01 48 74 52 61 - fax : 01 53 01 38 19 Palais : J 125 sophie.martinet@cassiopee-avocats.fr Paris, le 3 septembre

Plus en détail

Business Central Wireless Manager

Business Central Wireless Manager Business Central Wireless Manager Guide de présentation Sommaire CATÉGORIE DE PRODUIT... 3 PRÉSENTATION... 3 PRÉSENTATION DE BUSINESS CENTRAL... 3 FONCTIONNALITÉS ET ATOUTS... 4 POINTS D ACCÈS WIFI PRIS

Plus en détail

Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques

Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques WIFI Le wifi est une technologie de réseau informatique sans fil mise en place pour fonctionner en réseau interne Utilisateur

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée «Des acteurs non sensibilisés aux risques liés à l usage des technologies de

Plus en détail

Vulnérabilités SCADA/ICS

Vulnérabilités SCADA/ICS Vulnérabilités SCADA/ICS Listing des 10 vulnérabilités les plus fréquemment rencontrées lors de missions Wilfrid BLANC - LEXSI 1 Réalisation de nombreuses missions en contexte industriel depuis 2011 Audit

Plus en détail

Groupe Banque européenne d investissement. Politique de vidéosurveillance

Groupe Banque européenne d investissement. Politique de vidéosurveillance Groupe Banque européenne d investissement TABLE DES MATIERES 1. Objet et champ d application de la politique de vidéosurveillance... 2 2. Respect de la vie privée, protection des données et conformité

Plus en détail