ISMS. (Information Security Management System) LOGO Institution. Politique de télétravail Versie /06/2008

Transcription

1 ISMS (Information Security Management System) Politique d accès à distance au réseau interne d une institution en utilisant la solution VPN Smals. Politique technique pour les institutions clientes et les utilisateurs finaux Version control please always check if you re using the latest version Doc. Ref. : isms.032.vpn.end Release Status Date Written by Approved by FR_1.0 Proposition pour les institutions de sécurité sociale 25/06/2008 J.Costrop Groupe de Travail Sécurité de l information Remarque : Ce document intègre les remarques d un groupe de travail auquel ont participé madame Minnaert (INASTI) et messieurs Bochart (BCSS), Bouamor (CIMIRe), Costrop (Smals), De Ronne (ONVA), De Vuyst (BCSS), Petit (FMP), Quewet (SPP SP), Symons (ONEm), Van Cutsem (ONSS APL), Van den Heuvel (BCSS), Vandergoten (INAMI) et Vertongen (ONSS). Ce document est la propriété de la Banque Carrefour de la sécurité sociale. La publication de ce document ne préjudicie nullement aux droits de la Banque Carrefour de la sécurité sociale à l'égard de ce document. Le contenu de ce document peut être diffusé librement à des fins non commerciales à condition de mentionner la source (Banque Carrefour de la sécurité sociale, La diffusion éventuelle à des fins commerciales doit faire l objet d une autorisation écrite préalable de la part de la Banque Carrefour de la sécurité sociale. P 1

2 Table des matières 1 INTRODUCTION ET PORTEE POLITIQUE POUR LES INSTITUTIONS PARTICIPANTES POLITIQUE AU NIVEAU DU SYSTEME POLITIQUE POUR LES UTILISATEURS FINAUX UTILISATION D UN MEME PC PAR PLUSIEURS UTILISATEURS... 6 P 2

3 1 Introduction et portée Ce document cadre avec la mise en oeuvre de l'isms (Information Security Management System) de la sécurité sociale. Il peut être classé parmi les mesures de contrôle "Développement et maintenance de systèmes". Ce document se limite aux conditions d'utilisation du système de télétravail tel que développé par la SmalS 1. Ce système permet d'accéder de manière sécurisée, via un accès direct ou l Internet, au réseau d'une organisation cliente VPN 2. Ce document ne décrit pas la politique interne d'une institution qui détermine à quelles fins cet accès télétravail aux systèmes de l institution peut être utilisé (autorisation). Si l'on veut que cette politique interne à l'institution inspire le respect, des systèmes internes doivent être établis (ex. firewall au niveau de l institution). Ces dispositifs doivent assurer que le collaborateur n'ait pas plus de droits d'accès en travaillant via le système de télétravail que depuis un accès interne. D'autres systèmes (tels que les scanners de virus) restent aussi nécessaires au sein de l institution. 1 Si une institution souhaite utiliser un autre système VPN, il doit au moins satisfaire aux conditions de sécurité telles que décrites dans le présent document. 2 Par organisation cliente VPN, il faut ici comprendre une organisation (par exemple institution de sécurité sociale) qui fait appel au service VPN de la Smals. Dans la suite du document, l organisation cliente VPN est appelée «institution». P 3

4 2 Politique pour les institutions participantes 2.1 Politique au niveau du système Un firewall propre à l institution doit être installé pour la gestion des flux entre le système VPN et le réseau interne de l'institution. Ce firewall doit être utilisé pour l'autorisation des flux et à des fins d'identification et de logging. L'institution est responsable de ce firewall, mais peut éventuellement déléguer cette responsabilité à un prestataire de services. Des accords doivent être passés avec la Smals concernant la gamme d'adresses IP utilisées. Une politique cohérente est en effet obligatoire pour établir une relation univoque entre l institution et l adresse IP. La Smals gère l'infrastructure PKI locale (authentification du client VPN) et est responsable de la gestion des certificats spécifiques requis pour ce système. Cette infrastructure PKI locale sert à authentifier le client VPN 3, après quoi le système VPN réalise les contrôles nécessaires (obligatoire pour l antivirus, recommandé pour d autres composants de sécurité tels que le firewall personnel) en fonction du groupe auquel appartient ce client VPN et du group policy. La Smals gère le système nécessaire à l'authentification de l'utilisateur et est responsable de la gestion des moyens physiques d'authentification forte (authentification à 2 facteurs) Politique pour les utilisateurs finaux L'accès est uniquement autorisé par un matériel sous le contrôle de l institution et dont l'installation et la configuration ont été réalisés par les services désignés à cette fin par l institution ; Si des fournisseurs externes souhaitent l'accès jusqu à leur systèmes, des mesures de sécurité efficaces devront être implémentées. Il y a lieu de vérifier la compatibilité du matériel de l utilisateur avec le système VPN. L'authentification est exécutée à 3 niveaux : Utilisation obligatoire d'un mot de passe BIOS 5, différent du mot de passe éventuellement utilisé au sein de l'institution sur le matériel utilisateur interne spécifique. Utilisation obligatoire de l'authentification du client VPN avec un certificat géré par la Smals et généré par l infrastructure PKI précitée Utilisation obligatoire d'un RSA SecurID géré par la Smals ou de l EID. Il est recommandé de protéger les données du disque dur par une encryption adéquate. L'utilisation d'un logiciel antivirus compatible avec le système VPN est obligatoire. 3 On entend par client VPN le composant logiciel qui est installé sur le matériel de l utilisateur final afin de rendre possible l accès VPN. 4 Actuellement, le système RSA SecurID qui est basé sur la connaissance (un mot de passe) et la possession d'un authentifiant (SecurID) est utilisé. Toutefois, l usage d un système basé sur l EID qui est basé sur la connaissance (un mot de passe) et la possession d une carte EID est cependant aussi autorisé. 5 Il est supposé que l'utilisateur ne reçoit pas de droits d'administrateur pour le matériel final. P 4

5 Il est recommandé d utiliser un firewall personnel qui soit compatible avec le système VPN. Avant que le «client» n'ait accès, le système VPN s'assurera au minimum que les bonnes versions du logiciel antivirus et des fichiers de signatures des virus soient installées. L institution veille à ce que le certificat soit protégé comme il se doit. L institution veille à ce que les utilisateurs finaux reçoivent une information appropriée sur l'utilisation du système dans laquelle les risques à la sécurité leur seront expliqués. P 5

6 3 Utilisation d un même PC par plusieurs utilisateurs Dans le cadre de la technologie VPN, ou de toute autre technologie similaire, et du partage d un même PC entre plusieurs utilisateurs, les règles suivantes doivent être respectées : Désigner la personne responsable du PC et l organisation de son utilisation entre plusieurs utilisateurs. Les utilisateurs doivent appartenir au même groupe VPN. Un seul et unique certificat est attribué au responsable du PC (le certificat est dédicacé à l authentification du client VPN installé sur le PC). Un token individuel (RSA SecurID) doit être attribué à chaque utilisateur. Chaque utilisateur doit disposer d une identification propre au niveau de windows. L octroi des autorisations d accès des différents utilisateurs aux données du client VPN relève de la responsabilité du service compétent de l institution. P 6