Politique de sécurité

Transcription

1 Politique de sécurité 1. Environnement Un CPAS dépend pour son bon fonctionnement d'un ensemble d'éléments: - de son personnel et son savoir-faire (expérience); - de ses informations (données sociales, données comptables, données légales); - de ses moyens pour obtenir de l'information (informatique, organismes de sécurité sociale, mutuelles, etc);. - de son organisation et de la législation (fonctionnement des services, règlements internes, loi organique, législation, ) Un CPAS fournit des services: aide aux démunis, octroi de RIS, médiation de dette, assistance aux réfugiés, hébergement en cas de catastrophe et bien d'autres missions encore. Dans notre société, le CPAS est sans doute le dernier rempart devant l'inéluctable, l'ultime chance pour certaines personnes de trouver une aide, un refuge, un soutien matériel. Il est donc important qu'il veille à garantir ce service en se protégeant contre tout événement risquant de l'empêcher de fonctionner. Quelles sont donc les menaces éventuelles liées aux CPAS ou à tout autre organisme? 2. Les menaces Les menaces qui peuvent causer un préjudice sont nombreuses et souvent sousestimées car méconnues: - les accès non autorisés dans les locaux ou dans les ordinateurs; - les vols d'information ou de matériel; - la fraude; - l'agression physique ou informatique (vol de données, dégâts provoqués aux données, pertes de données); - le vandalisme; - les risques naturels; - les défaillances techniques. La politique de sécurité du CPAS veillera donc à apporter une attention particulière aux menaces qui pourraient survenir dans son environnement. Pour ce faire, le CPAS va tenter de réduire les menaces auxquelles il peut être confronté. 1

2 Attention: chaque CPAS a des menaces plus ou moins présentes selon sa situation: - risque d'inondation si le CPAS est le long d'un cours d'eau; - risque d'incendie si les bâtiments sont vétustes et en bois; - risque de vol si les écrans et les ordinateurs sont laissés sans surveillance; - risque de vol de données si les pirates peuvent se connecter facilement au réseau informatique; - risque de vandalisme si le CPAS est installé dans une banlieue fréquemment touchée par ce type d acte; - etc. Les risques varieront en intensité de CPAS à CPAS. Tel CPAS est dans un quartier où la police enregistre plusieurs plaintes de vandalisme par jour, tel autre CPAS a déjà eu trois inondations, enfin tel CPAS a vu une partie de ses locaux brûler et n'a pas pu adopter de mesures contre l'incendie. 3. Définition La politique de sécurité est conçue pour appliquer des mesures de sécurité destinées à réduire les risques et les dommages. La politique de sécurité est créée pour protéger le personnel, préserver la confidentialité, la disponibilité et l'intégrité des biens, des services et des informations et assurer la continuité de fonctionnement du CPAS. Puisque les CPAS font et feront de plus en plus appel aux technologies de l'information (informatique), la politique de sécurité souligne l'importance pour eux de surveiller et préserver leurs opérations électroniques. 4. Objectif de la politique de sécurité Assurer la sauvegarde du personnel et des biens ainsi que la continuité de son fonctionnement. 5. Comment rédiger une politique de sécurité? En dehors des mesures de sécurité à adopter pour répondre aux normes minimales de la Banque Carrefour de la Sécurité Sociale, il faut passer revue les risques existants ou faire une analyse de risque par domaine de sécurité (cf les normes minimales de sécurité). a) L'organisation de la sécurité. Ceci concerne plus spécialement le relevé des incidents, la communication des incidents et la 2

3 concertation entre le conseiller en sécurité et son éventuel adjoint, le secrétaire, le Président et le conseil de l'aide sociale. Une politique simple et particulière à la communication et la concertation peut être rédigée. b) La sécurité physique. Quels sont les risques auxquels le CPAS doit faire face? Risques d'incendie, risques d'inondation, risques de vol? Combien de fois ces événements ont-ils eu lieu par le passé au CPAS ou dans l'environnement du CPAS? Quels sont les dégâts que pourrait subir le CPAS si un de ces risques survenait? Comment le CPAS pourrait-il apporter une réponse à ces risques et maintenir son activité? c) La sécurité logique. Les normes minimales sont d'application. Il est important de se rappeler que seules les données à caractère social sont visées mais que la sécurité est étendue à toutes les autres données, applications et logiciels nécessaires au bon fonctionnement de ces données sociales. Une politique de mot de passe est conseillée (comment donner les mots de passe, à qui, comment le renouveler, qui peut en donner, avec quel accès, quelle est la longueur du mot de passe, combien de temps est-il valable?.). d) La sécurité du développement et de la maintenance. Voir les normes minimales applicables uniquement aux CPAS qui développent euxmêmes leurs applications. e) La sécurité du réseau. Outre les normes minimales, la protection du réseau implique que l'accès au réseau est réservé aux utilisateurs du CPAS seulement et qu'il y a lieu de le protéger s'il est partagé. Cela signifie concrètement qu'aucun utilisateur d'une autre administration ne peut avoir accès au réseau du CPAS hormis l'informaticien responsable. La même politique de mot de passe qu'au point b est applicable. f) Le plan de continuité. Quels que soient les risques, tout CPAS devra envisager de mettre sur pied un plan de continuité. Un exemplaire sera publié sur le site du SPP IS. g) L'inventaire: un inventaire physique (meubles, chaises, PC, imprimantes) doit normalement être établi chaque année selon la loi 3

4 organique des CPAS. Un inventaire des logiciels, applications et programmes doit également être fait chaque année. Le CPAS peut s'adresser à sa firme de logiciels pour l'aider à le réaliser ou installer un logiciel (certains logiciels sont gratuits) pour faire cet inventaire. h) L'antivirus. Il y a lieu de respecter les normes minimales. i) L'audit. Il y a lieu de respecter les normes minimales et les règles de l'audit peuvent être définies dans une politique d'audit. Le schéma ci-dessous résume la manière de procéder: 6. Applicabilité de la politique de sécurité La politique de sécurité s'applique au personnel concerné (quel que soit son statut: statutaire, contractuel, interémaire, autre)et aux données à caractère social qu'elles soient conservées sur du papier ou informatisées. 4

5 7. Exemple de politique de sécurité. Introduction Le CPAS de xxxxxxxxx dépend de son personnel et de ses biens afin de fournir les services qui aident les personnes dans une situation de nécessité. Le CPAS doit gérer ses ressources avec une diligence raisonnable et conformément à la législation. Il prend les mesures appropriées pour sauvegarder ses ressources de tout préjudice. Les menaces qui peuvent créer un préjudice au personnel et aux biens du CPAS sont la violence, le vol, la fraude, le vandalisme, l'incendie, les catastrophes naturelles, les défaillances techniques et les dommages fortuits. Les menaces d'attaques informatiques et les actes malveillants par internet sont fréquents et peuvent nuire tant à l'informatique qu'aux biens du CPAS. La politique de sécurité du CPAS recommande l'application de mesures de sauvegarde pour réduire le préjudice. Cette politique est conçue pour protéger le personnel, préserver la confidentialité, la disponibilité et la valeur des biens et assurer son fonctionnement permanent. Puisque le CPAS doit se fier aux technologies de l information pour la bonne exécution de ses missions, cette politique souligne l importance de surveiller les opérations électroniques dans le cadre des normes minimales de sécurité de la Banque Carrefour de la Sécurité Sociale. Cette politique est complémentaire aux politiques existantes tant au niveau fédéral que régional et communautaire notamment pour la gestion des ressources humaines, des langues, des régions, du matériel et des ressources du CPAS. A. Objectif de la politique de sécurité Assurer la sauvegarde du personnel et des biens du CPAS ainsi que son fonctionnement permanent. B. Obligations légales Arrêté royal du 12 août 1993 organisant la sécurité de l information dans les institutions de sécurité sociale, moniteur belge du 21 août 1993 modifié par l Arrêté royal du 8 octobre 1998 (moniteur belge du 24 décembre 1998). Normes minimales de sécurité à respecter par les Institutions Sociale en vue de leur connexion au réseau de la Banque Carrefour de la Sécurité Sociale. 5

6 C. Sécurité des télécommunications Loi du 30 juin 1994 relative à la protection de la vie privée contre les écoutes, la prise de connaissance et l enregistrement de communications et de télécommunications privées. D. Vie privée Loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel. Loi du 8 août 1983 organisant un Registre national des personnes physiques. Loi du 30 juin 1994 sur la protection de la vie privée contre les écoutes, la prise de connaissance et l'enregistrement de communications et de télécommunications privées. Loi du 31 mars 1991 portant réforme de certaines entreprises publiques économiques. Arrêté royal du 4 février 1997 organisant la communication des données entre institutions de sécurité sociale. E. Fraude informatique Loi du 28 novembre 2000 en matière de criminalité informatique. F. Protection des programmes informatiques Loi du 30 juin 1994 sur le droit d'auteur et les droits voisins. Loi du 30 juin 1994 transposant la directive européenne du 14 mai 1991 sur la protection juridique des programmes d'ordinateur. G. Banques de données Loi du 31 août 1998 transposant la directive européenne du 11 mars 1996 sur la protection juridique des bases de données. H. Communication commerciale électronique Directive 2001/29/Eg du Parlement européen et du Conseil du 22 mai 2001 sur l'harmonisation de certains aspects du droit d'auteur et des droits voisins dans la société de l'information. Loi du 9 juillet 2001 fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification. 6

7 I. Protection de produits semi-conducteurs Loi du 10 janvier 1990 concernant la protection juridique des topographies de produits semi-conducteurs. J. Droit social CCT n 81 relative à la protection de la vie privée des travailleurs à l'égard du contrôle des données de communication électroniques en réseau. K. Responsabilités La responsabilité de la bonne application de la politique de sécurité appartient au responsable de la gestion journalière du CPAS. Les responsabilités du conseiller en sécurité sont définies dans l Arrêté royal du 12 août Le service informatique est tenu de travailler en conformité avec les polices de sécurité définies par le CPAS et d apporter son soutien au conseiller en sécurité et aux utilisateurs pour qu ils puissent réaliser leurs missions. L. Organisation de la sécurité Les normes minimales sont d application. Une politique de sécurité doit être adoptée pour veiller à la communication d informations au conseiller en sécurité pour le tenir au courant et lui permettre d exécuter sa mission. La sécurité sera abordée périodiquement (toutes les semaines ou tous les mois ou tous les trimestres et lorsque cela s avère nécessaire) avec toutes les personnes concernées. M. Sécurité liée au personnel Cette politique a pour but de prendre les mesures nécessaires au maintien de la sécurité. Le personnel doit être informé des risques liés à l utilisation des données à caractère social, à l utilisation du mail, de l accès à internet et des systèmes de sécurité existants. 1 Arrêté royal du 12 août 1993 organisant la sécurité de l information dans les institutions de sécurité sociale, moniteur belge du 21 août 1993 modifié par l Arrêté royal du 8 octobre 1998 (moniteur belge du 24 décembre 1998). 7

8 Exemples de politiques de sécurité utiles que chaque CPAS adaptera en fonction de sa situation: - procédure administrative sur la manière de délivrer des autorisations d accès, - procédure sur la manière de supprimer les autorisations en cas de départ, de changement de service, de sanction, - procédure de sécurité à suivre lors de l embauche, - procédure de l utilisation du mail, - procédure de l utilisation d internet, - politique d utilisation interne du matériel informatique ou non, - procédure de non respect des politiques, - etc. N. Sécurité physique Cette politique vise à empêcher l accès non autorisé aux informations confidentielles et à caractère social contenues soit dans les dossiers soit dans les fichiers informatiques, d empêcher la modification, la perte ou le vol d informations, l arrêt du travail ou tout événement ayant des conséquences dommageables pour le CPAS. Exemples de politiques de sécurité utiles que chaque CPAS adaptera en fonction de sa situation: - procédure sur la manière de contrôler les accès aux bureaux du CPAS? - politiques de prévention liées à la protection, la détection, l extinction et l intervention concernant l incendie, l intrusion et les dégâts des eaux ; - procédure d évacuation en cas d incendie, procédure d intervention, procédure concernant une détection d intrusion. O. Gestion interne La politique de sécurité du CPAS accorde une importance particulière aux éléments suivants : * pour les CPAS qui développent eux-mêmes leurs applications, les procédures suivantes sont définies : - les responsabilités des intervenants dans le service informatique, - les modifications apportées aux appareils, aux logiciels et aux procédures, - les traitements des incidents, 8

9 - les séparations de responsabilités et des environnements informatiques. * pour tous les CPAS : - une clause de confidentialité et une attention particulière aux aspects de sécurité lorsque le CPAS fait appel aux services d une société extérieure, informatique ou non, - une politique de sécurité concernant les back ups (sauvegardes des données), - une politique de sécurité concernant la sauvegarde des programmes, applications et logiciels. P. Sécurité d accès logique La politique de sécurité d accès logique vise à protéger les accès aux réseaux, aux applications et aux informations. Les éléments concernés par cette politique sont : - les mots de passe, - les autres modes d accès (token, pin codes, systèmes avec empreinte digitale, etc.) ainsi que leur conservation (sous forme cryptée, c'est-à-dire illisible), - les procédures pour délivrer des mots de passe, - les accès autorisés ou non aux applications, aux réseaux ou à des parties de réseau, - la responsabilité des utilisateurs (responsabilité légale), - les protections des réseaux (routeurs, parefeu ou firewall, proxy, autres), - les protections des applications par les utilisateurs, le gestionnaire de réseau et les fournisseurs, - les protections spécialement appliquées aux ordinateurs portables. Q. Développement et maintenance des systèmes * Pour les CPAS qui développent eux-mêmes leurs applications, les procédures suivantes sont définies : L idée est de s assurer que les systèmes développés offrent les sécurités nécessaires tout au long de leur vie. La politique de sécurité visera donc : - la sécurité à l égard des nouvelles applications en collaboration avec le conseiller en sécurité, - la sécurité lors du développement, 9

10 - la documentation, - la sécurité des input et des output, - un système d auditabilité, - un système hermétique aux autres systèmes de communication, - la prise en compte des faiblesses de certains langages, - la confidentialité, l authenticité, la disponibilité et l intégrité des données, - des procédures formelles pour les modifications et les mises en production, - le maintien de la confidentialité des données utilisées en test, - les techniques suivantes si elles sont utilisées : la cryptographie, la non répudiation et la signature digitale. R. La continuité La politique de gestion de la continuité veut permettre au CPAS de réagir en cas de problèmes critiques. Il s agit pour le CPAS de prévoir de recommencer ses activités en un temps déterminé par le Conseil de l aide sociale. Cette politique prévoira donc les éléments suivants : - un plan de continuité dont un exemple sera disponible sur le site du SPP IS fin 2005, - une mise à jour régulière de ce plan, - un test de ce plan une fois complété, - l aide éventuelle des fournisseurs extérieurs dans le cadre de contrats d assistance (intervention dans les x heures). S. Respect de la politique de sécurité et audit La politique de sécurité respecte les exigences légales et contractuelles en matière de sécurité. Ce respect sera établi par une mise à jour régulière et par un audit interne ou externe. 10