Sécurité informatique et protection de l information dans l'administration cantonale

Transcription

1 Sécurité informatique et protection de l information dans l'administration cantonale Votre point de contact pour obtenir une réponse aux questions que vous vous posez au sujet de la sécurité de l information : Direction des systèmes d'information Unité de sécurité des systèmes d information - USSI - Avenue de Longemalle 1 CH-1020 Renens Tél USSI Unité de sécurité des systèmes d'information de la Direction des systèmes d information de l'administration cantonale vaudoise

2 L USSI en bref L Unité de sécurité des systèmes d'information - USSI - de la Direction des systèmes d information - DSI - a pour mission de s assurer de la sécurité des systèmes d information de l Administration cantonale vaudoise. Soit mettre en œuvre et piloter une organisation qui permet de recenser, mesurer, gérer et minimiser les risques inhérents à l'exploitation des systèmes d'information étatiques. Eu égard aux orientations prises par le Conseil d'état, les rôles de l USSI sont les suivants : rôle de conseiller (recommandations) rôle de formateur (sensibilisation, formation) rôle de normalisateur (directives, prescriptions) rôle d autorité de contrôle interne (audits) rôle de surveillance (contrôle) La multiplicité, la complexité et la rapidité d évolution des environnements informatiques actuels, ainsi que la limitation des moyens alloués, nous obligent à orienter nos efforts de protection sur les biens informatiques de l Etat les plus critiques et les plus sensibles en adoptant une approche pilotée par les risques. Pour que la DSI puisse garantir la délivrance de ses prestations et assurer la continuité des activités des services métier bénéficiaires, l USSI édicte des règles et développe des outils permettant de limiter l impact ou de réduire la probabilité de survenance des certains risques. Toujours dans le but de limiter la prise de risque, l USSI apporte son soutien et du conseil dans les projets et tâches d exploitation de la DSI (DSOL et CEI), ainsi qu à des utilisateurs et responsables métier de l Etat, notamment au travers de formations organisées au CEP et en ligne.

3 Pourquoi nous protéger? Les informations gérées par l État sont, pour la plupart, des données personnelles de citoyens et de collaborateurs ou des données sensibles ou critiques qui nécessitent de : Répondre aux obligations légales et réglementaires Maintenir la confiance entre nous et les citoyens Protéger efficacement notre patrimoine informationnel Préserver notre image, notre réputation et notre crédibilité Maîtriser les risques et minimiser les menaces liés aux systèmes d information et à la cyberadministration Assurer la continuité de nos activités et garantir l offre de nos services La sécurité de l information concerne chacun d entre nous!

4 Formation sécurité pour l État de Vaud Après la sensibilisation à la sécurité en ligne, le séminaire CEP de «Sécurité informatique et de gestion de l e-réputation» à l'état de Vaud permet de préciser certains thèmes et bonnes pratiques. Ce cours aborde la sécurité informatique au travail et en famille, les risques liés aux appareils mobiles, la protection des données personnelles, ainsi que l influence sur la réputation de l'état et de ses collaboratrices et collaborateurs sur Internet et dans les médias. Il est conduit par l'unité de sécurité des systèmes d information - USSI - de la Direction des systèmes d information, dans le but de faire prendre conscience aux utilisateurs des outils informatiques, de leurs prises de risques quotidiennes, de leurs responsabilités et de les initier aux bons comportements; le but étant d'éveiller une réflexion sécuritaire chez les participants. Ce cours gratuit d une demi-journée est organisé régulièrement. Il est utile de rappeler qu'en cas de problème, la responsabilité de l Administration cantonale et des employés peut être engagée. Il permet aux cadres et aux collaborateurs de se faire une idée précise des risques qui menacent nos systèmes d information, nos applications, ainsi que les données internes et personnelles des citoyens. Chaque séminaire a l objectif pédagogique de partager des comportements et méthodes de travail simples, permettant de limiter de façon significative l exposition de l Administration cantonale vaudoise à de graves conséquences. Ce séminaire permet d acquérir les réflexes de sécurité minimaux en adoptant un comportement adéquat dans l'utilisation de son ordinateur, de sa messagerie, de l'accès à Internet, aux réseaux sociaux ou encore, dans la diffusion d information professionnelle et privée. Nous vous recommandons de profiter, ou de faire profiter, vos collègues ou collaborateurs, de ces séances de formation en vous inscrivant sur rubrique informatique, cours «Sécurité informatique et gestion de l e-réputation».

5 De manière synthétique, la sécurité des systèmes d'information, consiste à respecter un ou plusieurs des critères de sécurité parmi les suivants : CONFIDENTIALITÉ L'information n'est accessible qu'aux ayants droit. Tout doit être entrepris pour éviter leur divulgation à des personnes non autorisées. INTÉGRITÉ Les informations sont protégées de toute manipulation erronée ou malintentionnée. Toutes les mesures nécessaires doivent être prises pour protéger leur exactitude en évitant qu'elles soient modifiées abusivement ou effacées. DISPONIBILITÉ Le réseau informatique et les informations qu'il contient sont accessibles au moment voulu. La sécurité a pour but de garantir la disponibilité des informations au moment voulu et d'éviter qu'elle ne soit perturbée ou rendue impossible par une manipulation inadaptée. CONFORMITÉ Les données sont conformes à la législation et à la réglementation interne. La loi et les règlements doivent être respectés en permanence. TRACABILITÉ L origine des opérations effectuées est connue. En cas de besoin, savoir QUI a fait QUOI et QUAND?

6 Des principes simples et concrets Sphère privée des citoyens Les systèmes informatiques de l État gèrent des données touchant à des biens matériels et à la sphère privée des citoyens. Elles doivent par conséquent être protégées. Responsabilité de chaque utilisateur La protection de l information est une affaire d attitude qui engage la responsabilité de chaque utilisateur. Il s agit d un devoir professionnel auquel chacun est tenu de participer activement. Gestion des droits d accès Chacun ne peut accéder qu aux informations strictement nécessaires à l accomplissement de son travail. Une information n est pas consultable pour la seule raison que l on peut y accéder. Système de contrôle interne L usage du système informatique est soumis à un système de contrôle qui vise à s assurer de son bon fonctionnement global et au respect des règles de conduite. Droits d accès à l'information Le droit d accès à l'information et le principe de transparence offrent, à tout un chacun, un droit d'accès absolu aux données personnelles qui le concernent, traitées par un privé ou une administration, ainsi qu'un droit d'accès aux documents publics qui concernent l'activité de l'état. Atteinte à la sécurité ou qualité du service L usage modéré des outils informatiques à des fins privées est toléré en dehors des heures de travail tant qu il ne porte atteinte ni à la sécurité, ni à la qualité du service et qu il respecte les règles d éthique usuelles.

7 Quelques règles sécuritaires Protection de l accès au PC et au réseau Verrouillez systématiquement votre poste : Win+L Pour changer votre mot de passe : Ctrl+Alt+Del Activez l écran de veille avec mot de passe après 15 min: Clicdroit, Personnaliser, Ecran de veille, cochez «à la reprise». Choisissez des mots de passe complexes et toujours différents à l aide d une partie fixe et d une partie variable. Ex: comme M0t2P@ssXY!faceb. N enregistrez pas de mots de passe dans le navigateur. Un mot de passe est personnel et intransmissible. Intégrité du PC et confidentialité des données Ne modifiez pas l ordinateur. Conservez les paramètres initiaux et n installez pas de logiciels. Si un logiciel est nécessaire pour votre activité professionnelle, faites une demande officielle. Pas de droits administrateur sur le poste de travail. Votre disque local n est jamais sauvegardé. Enregistrez systématiquement les documents professionnels dans les répertoires des serveurs. Garantissez un niveau suffisant de protection des documents lors de leur traitement. N utilisez jamais votre adresse électronique professionnelle dans le cadre d un usage privé. Chaque employé de l Etat est responsable des données qu il traite.

8 Un comportement responsable et sûr Prenez connaissance de la Directive LPers 50.1 sur «Utilisation d Internet, de la messagerie électronique, de la téléphonie et du poste de travail» définissant les droits et devoirs des utilisateurs, les mesures de contrôle, les sanctions, ainsi que les règles d utilisation de : Internet Messagerie électronique Téléphone Poste de travail Stockage des données Données privées Participez au séminaire CEP «Sécurité informatique et gestion de l e-réputation» Inscrivez-vous au cours CEP sur la sécurité informatique pour tous, ½ journée, gratuit, sur Un centre d'assistance En cas de problème, contactez le Service Desk et consultez régulièrement l Intranet de l'etat de Vaud. Des informations sur l intranet sécurité de la DSI : Une adresse pour obtenir une réponse aux questions que vous vous posez au sujet de la sécurité de l information en général : Direction des systèmes d'information Unité de sécurité des systèmes d information - USSI - Avenue de Longemalle 1 CH-1020 Renens Tel Fax