Charte de sécurité des Administrateurs Informatiques

Transcription

1 Direction des Ressources Humaines et des Relations Sociales Direction Sécurité des Systèmes d'information Destinataires DIFFUSION NATIONALE Tous services Contact P. Langrand et F. Gratiolet Tél : et Fax : patrick.langrand@laposte.fr Date de validité A partir du 11/07/2008 Charte de sécurité des Administrateurs Informatiques OBJET : Circulaire du 11 juillet Politique de sécurité des SI du groupe La Poste : Charte de sécurité des Administrateurs Informatiques. Georges LEFEBVRE 1 / 9

2 Sommaire Page 1. L ADMINISTRATEUR INFORMATIQUE 3 2. LES DROITS DE L ADMINISTRATEUR INFORMATIQUE 3 3. LES DEVOIRS DE L ADMINISTRATEUR INFORMATIQUE 4 4. RESPECT DE LA LEGISLATION ET DE LA PRESENTE CHARTE 6 5. STATUT DE LA CHARTE 6 ANNEXE 1 : ENGAGEMENT PERSONNEL DE L AGENT 8 ANNEXE 2 : ENGAGEMENT DU RESPONSABLE HIERARCHIQUE 9 2 / 9

3 1. L ADMINISTRATEUR INFORMATIQUE La présente charte s adresse à tout agent de La Poste, fonctionnaire, contractuel de droit public ou salarié titulaire ou stagiaire, ainsi que tout intérimaire, consultant ou prestataire. Au sens utilisé dans le présent document, le terme «Administrateur Informatique» désigne tout agent quelle que soit sa Fonction, qui a pour rôle et missions d assurer le bon fonctionnement et la sécurité des ressources des Systèmes d Information (SI) de La Poste placées sous sa responsabilité (tels que les serveurs, les équipements réseaux, les équipements de sécurité, les applications, les bases de données, les postes de travail utilisateurs, etc.), au titre de son activité professionnelle, dans le cadre de ses droits d accès privilégiés aux outils bureautiques ou aux réseaux. Afin de conduire les actions quotidiennes d administration et d exploitation informatique afférentes à sa mission (configuration, supervision, maintenance, évolution, support, etc.), l Administrateur Informatique est doté de droits d accès privilégiés sur les ressources des SI sous sa responsabilité. Les risques associés à ces droits d accès privilégiés peuvent être : 1 l accès à des informations dont il n'est pas destinataire, certaines étant confidentielles (bases de données, documents sur les postes de travail utilisateurs, etc.) ou à caractère personnel (courriels, fichiers personnels des utilisateurs, etc.) ou encore relatives aux activités des utilisateurs (telles que par exemple, les caractéristiques d utilisation de la messagerie électronique de La Poste et de l Internet, les données de connexion aux ressources des Systèmes d Information, etc.) ; 2 la réalisation des actions potentiellement dangereuses pour la sécurité des Systèmes d Information : modification ou contournement de mécanismes de protection, création ou modification de comptes utilisateurs, destruction ou modification de fichiers, etc. Ainsi, l Administrateur Informatique a un rôle de confiance, sa démarche doit être impartiale et son action ne doit pas découler d'une action personnelle. Aussi il convient de fixer les règles de déontologie qu il s'engage à respecter. La présente charte a pour objectif de préciser les droits et devoirs de l Administrateur Informatique dans l exercice de sa fonction ou de son activité professionnelle. 2. LES DROITS DE L ADMINISTRATEUR INFORMATIQUE En application des consignes formelles qui lui ont été transmises et dans le cadre des procédures préalablement définies, l Administrateur peut prendre toute disposition nécessaire afin d assurer le bon fonctionnement et la sécurité des composants des Systèmes d Information dans son périmètre de responsabilité tel que défini dans sa fiche de poste. 3 / 9

4 En particulier, il peut : isoler, arrêter avec l autorisation préalable de la Maîtrise d Ouvrage ou reconfigurer des comptes utilisateurs, équipements ou applications informatiques pouvant compromettre la sécurité d ensemble des Systèmes d Information. procéder à des vérifications techniques sur les fichiers et bases de données, la messagerie, les connexions à Internet, les fichiers de journalisation, etc., afin de déceler toute anomalie ou incident de sécurité qui pourrait porter atteinte au bon fonctionnement et à la sécurité des Systèmes d Information conformément aux dispositions de la «Charte relative à l accès et à l utilisation des ressources des Systèmes d Information de La Poste». traiter (détection, analyse, éradication, filtrage, etc.) tout flux informatique présentant des risques de sécurité (par exemple : virus, intrusion, utilisation d un logiciel interdit, etc.). Il appartient à l'administrateur de faire remonter à son supérieur hiérarchique, des informations relatives à la sécurité, sous forme de statistiques régulières ou de signalisation ponctuelle. Sur la base de ces données statistiques, l'administrateur peut alerter son supérieur hiérarchique, quant à toute utilisation des Ressources Informatiques par tout utilisateur, non-conforme à la Charte Informatique. Les limites de l'intervention de l Administrateur Informatique sont fixées de manière générale par la règlementation en vigueur, par la présente Charte et par la fiche de poste et/ou le contrat de travail de l agent qui définit ses missions et fait apparaître la clause de confidentialité à laquelle il est tenu. Il ne peut être contraint à enfreindre la loi. 3. LES DEVOIRS DE L ADMINISTRATEUR INFORMATIQUE L Administrateur est soumis à une obligation de confidentialité et de non divulgation liée à ses activités, et dans ce cadre : il ne prend connaissance des informations des Systèmes d Information ou n y donne accès que dans le cadre de ses fonctions et/ou sur demande explicite du (ou des) donneur d ordre / Maîtrise d Ouvrage, dans le cadre de procédures formalisées ou dans les cas particuliers prévus par la loi. il ne prend pas connaissance de données personnelles d utilisateurs, sauf, ponctuellement, sur demande formelle de l utilisateur lui-même, et n autorise quiconque à y accéder, sauf cas particuliers prévus par la loi (par exemple, enquête judiciaire) ou habilitations formelles et légitimes préalablement déclarées. 4 / 9

5 il respecte ses engagements de confidentialité et de non divulgation. Il ne fait pas état et n utilise pas les informations qu il peut être amené à connaître dans le cadre de ses fonctions. il ne se connecte pas à une ressource du SI sans autorisation explicite de la personne à qui elle est attribuée, notamment dans le cas de l utilisation d un logiciel de prise de main à distance sur un poste de travail utilisateur. Par ailleurs : il documente ses actions et interventions de telle sorte que La Poste ne soit pas dans un état de dépendance lors de son départ. il collabore et coopère avec le Correspondant Informatique et Libertés (CIL). De plus, l Administrateur observe strictement les règles de sécurité et les limites fixées à ses interventions : il n abuse pas de ses privilèges, et limite ses actions aux ressources informatiques dont il a la charge, dans le respect de la finalité de sa mission. En particulier, il ne modifie les configurations et les droits d accès que dans le respect de procédures d administration ou d exploitation définies. il ne prend pas ses consignes d une personne non identifiée et fait remonter auprès de son responsable hiérarchique toute requête lui paraissant inappropriée. il ne contourne pas les procédures de sécurité établies, et en particulier ne désactive pas de sa propre initiative les mécanismes de traçabilité, et ne porte pas atteinte à l intégrité des fichiers de journalisation. dans le cadre de la conduite de sa mission et vis-à-vis des ressources à sa charge (serveurs, bases de données, postes de travail utilisateurs, etc.), il n utilise que des logiciels faisant partie des standards approuvés par La Poste. Toute installation de logiciel ne faisant pas partie de ces standards doit faire l objet d une autorisation préalable et explicite du responsable hiérarchique. Dans le cas où un incident de sécurité se produit : il informe son responsable hiérarchique - et selon le cas, le Responsable de la Sécurité des Systèmes d Information de son entité - de toute faille ou incident de sécurité qu il pourrait découvrir ou dont il pourrait avoir connaissance. il préserve, conserve et sauvegarde les «traces» nécessaires à la résolution de l incident et à toute investigation ultérieure, y compris judiciaire, dans des conditions permettant de garantir la valeur probante des «traces». Enfin, l Administrateur s assure de la protection des droits d accès liés à sa fonction : il observe les règles de sécurité en vigueur visant à protéger l'utilisation des comptes et des privilèges qui lui ont été attribués. Il veille notamment à la protection des postes de travail à partir desquels il exerce ses fonctions et à la gestion des identifiants et authentifiants des comptes privilégiés. En particulier, les mots de passe utilisés pour les opérations d administration 5 / 9

6 doivent être robustes et changés régulièrement, conformément à la Politique de Sécurité des SI du Groupe. Il est rappelé que les droits confiés à un administrateur (et par conséquent les couples identifiants/authentifiants associés) sont personnels et incessibles. il n utilise les comptes privilégiés que pour les activités et besoins directement liés aux tâches d administration ou d exploitation dont il a la charge, étant donné que toute action sur les Systèmes d Information peut faire l objet d une journalisation permettant leur imputabilité. 4. RESPECT DE LA LEGISLATION ET DE LA PRESENTE CHARTE L Administrateur Informatique s engage à respecter en toutes circonstances la législation en vigueur et les règles de la présente charte. En cas de non-respect de la législation en vigueur et des dispositions de la présente charte, l Administrateur Informatique sera tenu responsable de ses actes et pourra encourir les sanctions prévues dans le Règlement Intérieur de La Poste ainsi que toute autre sanction civile ou pénale prévue par la loi. 5. STATUT DE LA CHARTE La présente charte constitue une annexe du règlement intérieur de La Poste. Le Comité Technique Paritaire (CTP) en a examiné les dispositions lors de sa séance du 10 Juillet Elle fait l'objet d'une communication, ainsi que le Règlement Intérieur auquel elle est annexée, à l'inspecteur du Travail et, d un dépôt auprès du Secrétariat Greffe du Conseil des Prud'hommes. Sa date d'entrée en vigueur est fixée au 11 Juillet Chaque utilisateur sera invité à prendre connaissance de la charte qui sera librement consultable sur l intranet de La Poste. Le non-respect de la charte est susceptible d'engager la responsabilité professionnelle de l utilisateur et peut aboutir à des sanctions disciplinaires définies par le règlement intérieur. Par ailleurs, l utilisateur engage pleinement sa responsabilité en cas d infraction ou de complicité à la législation ou à la réglementation en vigueur. Les principales dispositions légales en vigueur prévues par la législation française dans le domaine de la sécurité des Systèmes d Information sont notamment les suivantes : la loi n du 06/01/78 dite «informatique et liberté», modifiée par la loi n du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. la législation relative à la fraude informatique (articles 323-1à du Code pénal). la législation relative à la propriété intellectuelle. 6 / 9

7 la loi du 04/08/94 relative à l emploi de la langue française. la législation applicable en matière de cryptologie. la législation en matière de transmission d'informations à caractère violent, pornographique ou de nature à porter gravement atteinte à la dignité humaine et la diffusion de contenus illicites à caractère injurieux, diffamatoire, raciste, xénophobe, révisionniste et sexiste (articles et du Code pénal et loi du 29 juillet 1881). Le cadre légal et réglementaire applicable aux S.I. est disponible sur l intranet de la Direction des Systèmes d Information Groupe. 7 / 9

8 ANNEXE 1 : ENGAGEMENT PERSONNEL DE L AGENT (1) Je soussigné,..., dans ma fonction d'administrateur, déclare avoir pris connaissance et compris la «Charte à l usage des administrateurs informatiques de La Poste» et m'engage à la respecter. Fait à... le... (1) Pour les salariés, rajouter une clause de confidentialité, de non divulgation et de réversibilité sauf si ces clauses figurent déjà dans le contrat de travail. Pour les fonctionnaires prévoir un document à signer. 8 / 9

9 ANNEXE 2 : ENGAGEMENT DU RESPONSABLE HIERARCHIQUE Je soussigné,... Agissant en tant que responsable hiérarchique de..., déclare avoir pris connaissance et compris la «Charte à l usage des administrateurs informatiques de La Poste» et m engage à en respecter les limites définies. Fait à... le... 9 / 9