Token fonctionnaire Version /10/2003. Politique de sécurité concernant les règles d utilisation d un token fonctionnaire.

Transcription

1 ISMS (Information Security Management System) Politique de sécurité concernant les règles d utilisation d un token fonctionnaire. Version control please always check if you re using the latest version Doc. Ref.(BCSS) : isms.028.token Release Status Date Written by Approved by 1.0 Draft 02/09/03 V1 (BCSS) 2.0 Approved 24/11/03 V1 (BCSS) Groupe de Travail Sécurité de l Information. Remarque : ce document reprend les remarques d'un groupe de travail auquel ont participé Messieurs Bollen (ONSS), Costrop (SMALS-MvM), De Ronne (ONVA), Gossiaux (BCSS), Goumet (BCSS), Petit (FMP), Symons (ONEM), Van Cutsem (ONSS-APL), Van Der Goten (INAMI). Ce document est la propriété de la Banque Carrefour de la sécurité sociale. La publication de ce document ne préjudicie nullement aux droits de la Banque Carrefour de la sécurité sociale à l'égard de ce document. Le contenu de ce document peut être diffusé librement à des fins non commerciales à condition de mentionner la source (Banque Carrefour de la sécurité sociale, La diffusion éventuelle à des fins commerciales doit faire l objet d une autorisation écrite préalable de la part de la Banque Carrefour de la sécurité sociale. P 1

2 1 Introduction et scope L objectif est de définir les règles d utilisation d un TOKEN (1) du rôle fonctionnaire dans le processus d identification / authentification sur le portail fédéral. Cette POLICY s inscrit dans le cadre de la stratégie de la politique de sécurité du réseau de la Sécurité Sociale énoncée dans le document Information Security Management System publié en mars 2003 et approuvée par le Comité Général de Coordination de la Banque carrefour de la sécurité sociale en juin Etendue Cette politique se rapporte à l ensemble des fonctionnaires répartis dans les différents départements (2) de l agence SPF Sécurité Sociale et Institutions de sécurité sociale (3) au sein du portail fédéral. Par fonctionnaire, dans le contexte de l utilisation du portail fédéral, on entend toute personne d une institution ou travaillant pour une institution de la sécurité sociale ou pour une institution qui coopère à l application de la sécurité sociale qui s est vue octroyer un token du rôle fonctionnaire. 3 Policy générale L utilisation d un TOKEN du rôle fonctionnaire est strictement limitée à l accès et à l utilisation des services octroyés au fonctionnaire dans le cadre des missions qui lui sont confiées par l institution sociale à laquelle il appartient ou pour laquelle il travaille. P 2

3 4 Exigences 4.1. Conditions L utilisation du TOKEN du rôle fonctionnaire est conditionnée par le respect des exigences suivantes : Ce token est strictement personnel, il ne peut être confié à personne. Son contenu ne peut pas être photocopié ni recopié sur un autre support. Il est interdit d écrire quoique ce soit sur le token, de le laisser accessible au regard ou à la portée d un tiers. Son utilisation est strictement limitée à un usage dans le cadre des missions confiées au fonctionnaire. Son utilisation dans le cadre des services sécurisés pour le citoyen est formellement interdite. Sauf dérogation, son utilisation est limitée au poste de travail fourni par l institution. Sauf dérogation, son utilisation est limitée dans le cadre des horaires de travail autorisé par l institution. En cas de perte, de vol ou de détérioration du token, le fonctionnaire doit avertir dans les plus brefs délais, l administrateur des autorisations d accès au portail fédéral ou à défaut le conseiller en sécurité de son institution. En cas de départ définitif de l institution, le collaborateur doit remettre son token fonctionnaire à l administrateur des autorisations d accès au portail fédéral ou au conseiller en sécurité de son institution. Le processus d identification / authentification basé sur le contrôle d un compte utilisateur, d un mot de passe et d un numéro de code aléatoire du TOKEN est strictement personnel. Les accès obtenus au travers du processus d identification / authentification sont strictement personnels et ne peuvent en aucun être cas confiés à un tiers. L utilisation du TOKEN est conditionnée par l acceptation par le fonctionnaire de l ensemble des règles déclarées dans cette politique. Il est interdit d ouvrir l enveloppe contenant le token du rôle fonctionnaire, elle doit être remise en main propre à l intéressé par l administrateur des autorisations d accès du portail fédéral (ou à défaut par le conseiller en sécurité de l institution) repris en C/O. dans l adresse d expédition du courrier émanant du Service public fédéral Technologie de l Information et de la Communication Dérogation Sauf dérogation : Son utilisation est limitée au poste de travail fourni par l institution. Son utilisation est limitée dans le cadre des horaires de travail autorisé par l institution. 5 Réglementation Le non-respect de cette politique en matière d utilisation d un token fonctionnaire donnera lieu à une sanction conformément à la réglementation en vigueur au sein de l institution. P 3

4 La réglementation en vigueur au sein de l institution devra éventuellement être adaptée afin de pouvoir sanctionner le non-respect de cette politique ou à défaut les sanctions prévues dans la loi organique de la Banque Carrefour de la Sécurité Sociale seront d application. (1) (2) (3) Définition au chapitre 8. 6 Maintenance, suivi et révision La maintenance, le suivi et la révision de cette POLICY est de la responsabilité du groupe de travail sécurité de l information. 7 Validation Cette POLICY a été approuvée par le groupe de travail sécurité de l information en novembre P 4

5 8 Annexes et glossaire La terminologie utilisée au sein du portail fédéral se différencie de celle en vigueur au sein de la sécurité sociale par l emploi de termes tels que : TOKEN Un Token est une carte sur laquelle sont imprimés 24 codes. Le Token sera utilisé pour s authentifier pour des transactions confidentielles. Quand vous aurez accès à ces transactions, vous serez invité à introduire un code de Token correspondant à une position sur le Token. Le token fonctionnaire doit être demandé par l administrateur des autorisations s d accès au portail fédéral ou à défaut par le conseiller en sécurité de votre institution. Pour les différencier, les types de token (citoyen ou fonctionnaire) sont écrits dans le coin supérieur gauche du token. FEDICT SPF Technologie de l'information et de la Communication. Il administre le portail fédéral et crée les différentes agences qui composent son arborescence AGENCE (agency) : Regroupe l ensemble des institutions de la sécurité sociale. Le portail fédéral est une arborescence à trois niveaux, l agence est le niveau intermédiaire. L agence est administrée par niveau supérieur FEDICT. L agence est constituée de plusieurs départements qu elle administre. SPF Sécurité Sociale et Institutions de sécurité sociale regroupe l ensemble des institutions sociales du réseau de la sécurité sociale. Cette agence est administrée par la Banque carrefour. DEPARTEMENT (department) : Chaque institution du réseau primaire, secondaire(s) et coopérante de la sécurité sociale. Le portail fédéral est une arborescence à trois niveaux, le département est le niveau le plus bas. Il définit une institution rattachée à une agence. Une institution peut être subdivisée en plusieurs départements tous rattachés à la même agence. Chaque département peut demander, via le conseiller en sécurité de son institution, à l agence de désigner un ou plusieurs administrateurs des autorisations d accès au portail fédéral. PORTAIL Un portail est un espace Internet qui donne accès à un ensemble de services communs à une clientèle donnée. Le portail est le point d'entrée et le point de retour du client sur Internet. P 5