Fiche n 4 Sensibilisation des salariés. Vos salariés ont accès à des données confidentielles

Transcription

1 Fiche n 4 Sensibilisation des salariés. Vos salariés ont accès à des données confidentielles 1. Introduction Définitions La sécurité est l'affaire de chacun des salariés. Une bonne politique de sécurité doit être partagée et comprise par tous. La plus grande partie des brèches de sécurité sont le fait des salariés par ignorance souvent ou par intention frauduleuse (vol de données et transfert par Internet). Risques Faciliter par inadvertance l'activité frauduleuse d'un pirate informatique, Engager la responsabilités de salariés non responsables, Engager le responsabilité de l'entreprise Comment se protéger Limiter les accès aux seules personnes habilitées (voir 2. "ingénierie sociale") S'assurer que les collaborateurs se connectant, de l'extérieur, au réseau de l'entreprise, maîtrisent les conditions de sécurité et veillent à leur application Expliquer aux collaborateurs : - Pourquoi il est nécessaire de limiter l'accès à certains sites et le transfert de fichiers dangereux ou de taille importante - Qu ilest nécessaire de faire valider toute connexion (sans fil ou filaire) à des moyens de communication informatiques. - Qu ill est nécessaire de faire valider toute installation de matériel/ logiciel sur leur équipement bureautique - De ne communiquer qu'aux seules personnes internes ou externes ayant besoin d'en connaître les informations relatives aux caractéristiques des systèmes d'information de la société - De ne réserver qu'au seul usage professionnel les moyens informatiques et le réseau de la société - De ne communiquer aucun mot de passe et code d'accès personnel à quiconque (voir 3. "mot de passe") Mettre en place une charte d'utilisation (voir 4. "charte d'utilisation") A quels coûts? 3 jours d'expert (interne ou externe) dont 3 demi-journées avec l'ensemble des salariés clés suffisent à définir la charte et sensibiliser 2 jours par an pour un diagnostic rapide et re-sensibiliser Contact : Catherine Gabay, Directeur - Innovation, Recherche et Nouvelles Technologies, MEDEF, cgabay@medef.frp.1/10

2 2. L Ingénierie sociale Définitions On dit d'un manipulateur qu'il pratique l'«ingénierie sociale» lorsqu'il utilise l'influence et la persuasion pour duper ses interlocuteurs en se faisant passer pour quelqu'un qu'il n'est pas. In fine, le manipulateur sait exploiter autrui afin d'obtenir des renseignements, en s'aidant ou non de moyens technologiques. Risques : le cycle de manipulation Recherche : peut porter sur des sources publiques (rapports annuels, brochures, communiqués de presse, site Web, ), les poubelles, Mise en place d'un rapport de confiance : le manipulateur montre qu'il est «dans le coup», usurpe une identité, fait valoir son autorité Exploitation de la confiance : le manipulateur demande à la victime de lui fournir des informations ou d'agir à sa place Utilisation des informations : le manipulateur répète les manœuvres précédentes du cycle jusqu'à ce que le but et l'objectif final soient atteint. Comment se protéger «Ne jamais faire spontanément confiance à quiconque sans vérification préalable» «Ne jamais hésiter à demander des justifications supplémentaires.» Vérifier, vérifier, vérifier l identité de son interlocuteur de manière sûre et qu'il a le droit d'obtenir les informations qu'il demande Classification des données en fonction de leur sensibilité Plan de formation et d'information des salariés (droit à en connaître, ) Exemples de populations visées Individu qui ne connaît pas la valeur des informations (réceptionniste, standardiste), Individu qui a des privilèges spéciaux (comptable), Individu non pérenne/non maîtrisable (stagiaire, intérimaire), Fabricant/fournisseur, Service spécifique Contact : Catherine Gabay, Directeur - Innovation, Recherche et Nouvelles Technologies, MEDEF, cgabay@medef.frp.2/10

3 3. Les Mots de passe Définitions A quoi sert un mot de passe? A authentifier un utilisateur de manière : A garantir la confidentialité des informations auxquelles il a accès A ce qu il puisse accéder aux ressources d'un réseau informatique. Nous utilisons tous les jours des mots de passe pour vous connecter à des ressources sécurisées, mais fait-on bien attention sur le choix, la durée vie de ce dernier? Risques Voir sa responsabilité engagée ( sécurité de son système et intégrité de ses données). Divulgation de données sensibles et /ou confidentielles. Empêcher en cas de détérioration ou de vol de données, l'analyse des connexions, trace de connexions et utilisation des systèmes et réseaux informatiques Comment se protéger Bases d'une protection de 1er degré: pas de nom figurant au dictionnaire, pas de code basic («AAAAA», prénom, date de naissance ou nombre familier ), pas de code écrit en clair sur un support (papier sous le clavier), Pas de tierce personne dans la confidence Un renouvellement régulier (3 à 6 mois selon la sensibilité des informations). Notion d'analyse de fréquence. Chaque langue possède des lettres qui reviennent plus souvent que les autres : en français, E, A et I sont récurrentes, E, T et N pour l'anglais. Exemples Utiliser une combinaison de 8 caractères au minimum (des chiffres et des lettres plus des caractères autres tels que!:?) Trouver non pas un mot mais une phrase de passe : " Nesoyezpasfou" Pour limiter le nombre de caractères, il est possible de ne taper que le 1er caractère de chaque mot d'une phrase (LTEedl8 pour "La Tour Eiffel est dans le 8 ème ") ou plaques minéralogiques ou écrire des noms avec une autre orthographe (manteau = manto, c'est génial = cgnial). Contact : Catherine Gabay, Directeur - Innovation, Recherche et Nouvelles Technologies, MEDEF, cgabay@medef.frp.3/10

4 4. La Charte d utilisation 4.1. Le contenu de la charte Définitions Document qui définit clairement et de façon transparente les modalités et limites de l'utilisation des moyens informatiques mis à la disposition du salarié par l'entreprise. A une valeur d'abord informative puis normative lorsqu'elle est acceptée par le salarié (par exemple, visa, mention dans le contrat de travail, annexe du Règlement Intérieur, ). Risques Dommages causés aux tiers (par exemple, responsabilité de l'employeur engagée du fait de son salarié en cas par exemple en cas de consultation d'un site illicite, de violation du droit d'auteur, de fraude informatique) Dommages causés à l'entreprise (par exemple impossibilité de fonctionner du système d'information ou atteinte à la confidentialité des données salariés, client, ) Comment se protéger La mise en place d'une Charte permet d'assurer la protection du système d'information, de limiter la responsabilité de l'entreprise et de ses dirigeants et d'assurer la confidentialité et la sécurité du système d'information. S'agissant du contenu de la charte, les dispositions porteront sur les thèmes suivants : - Protection/sécurité et confidentialité du système d'information dont les dispositions encadrant la cybersurveillance, - Mise à disposition et limites d'utilisation de la messagerie, d'internet et Intranet par les salariés et les institutions représentatives du personnel (dont certaines dispositions encadrant la cybersurveillance), - Sanctions en cas de non-respect de la Charte (Tout ce que la Charte n'interdit pas reste autorisé). A savoir : Des sanctions peuvent être encourues par l'utilisateur en cas de violation de la charte et le juge peut mettre en cause la charte ou la sanction Contact : Catherine Gabay, Directeur - Innovation, Recherche et Nouvelles Technologies, MEDEF, cgabay@medef.frp.4/10

5 4.2. Le Cadre juridique de la charte Le juge pourra toujours remettre en cause la Charte ou la sanction prononcée par l'employeur (en cas de violation de cette dernière par un salarié). La Charte permet à l'employeur de mettre en place un contrôle à condition que ce dernier soit loyal, transparent et proportionné : - Respect du principe de proportionnalité : Lors de la rédaction de la Charte, l'employeur doit respecter certains principes (respect de la vie privée ou encore le principe de proportionnalité), dans le cas contraire, sa responsabilité pourrait être engagée. Il ne doit pas commettre d'abus en posant des interdictions absolues injustifiées, les éventuelles restrictions aux libertés individuelles et collectives doivent être proportionnées au but recherché. Si la Charte implique une présomption selon laquelle les outils mis à disposition par l'employeur sont à vocation professionnelle, une utilisation personnelle raisonnable est socialement admise. - Information du salarié et des institutions représentatives du personnel : Avant de mettre en place une mesure telle que la cybersurveillance, l'employeur devra informer le salarié par une mention spécifique dans le contrat de travail ou par une Charte informatique ou un communiqué intégré au RI de l'entreprise. L'employeur doit également informer et consulter le Comité d'entreprise préalablement à la mise en place d'une telle surveillance en vue d'obtenir un avis sur la pertinence et la proportionnalité du contrôle envisagé. Exemples : Voir en annexe le guide contractuel «Charte d'utilisation d'internet et du système d'information de l'entreprise». Informations utiles : - Rapport de la CNIL, «La cybersurveillance sur les lieux de travail» mis à jour en février 2004 ( - Vademecum du MEDEF, l utilisation des nouvelles technologies dans l entreprise, février 2003 Contact : Catherine Gabay, Directeur - Innovation, Recherche et Nouvelles Technologies, MEDEF, cgabay@medef.frp.5/10

6 Annexe : Guide contractuel en vue de la rédaction d une «Charte d utilisation de l Internet et du système d information de l entreprise» Préambule : Exposer les raisons qui président à la rédaction d une Charte d utilisation (dérives constatées, sensibilisation des utilisateurs, transparence, garantie offerte aux salariés de l entreprise quant au respect de leurs droits et libertés ). Article 1 : Généralités 1-1 Objet de la Charte Etablir un cadre clair et transparent des règles d utilisation des moyens informatiques au sein de l entreprise. 1-2 Nature juridique de la Charte La Charte d utilisation sera au choix : - Une annexe du Règlement Intérieur (la mise en place de la Charte et sa modification suivront la procédure applicable au Règlement Intérieur), - Un document unilatéral qui peut prendre la forme d une note interne et qui répond à une procédure d information (collective et individuelle) et de consultation. La Charte renverra dans tous les cas au Règlement Intérieur de l entreprise pour les sanctions disciplinaires applicables en cas de violation. 1-3 Champ d application de la Charte La Charte d utilisation s applique à tous les utilisateurs du système d information de la société dans les rapports : - Des utilisateurs entre eux, - De l utilisateur avec son employeur, - Des utilisateurs avec l extérieur, et ce quelque soit la destination des informations. 1-4 Définitions : - Définition le système d information de l entreprise (ensemble des ordinateurs, des logiciels ), - Définition du rôle et des fonctions de l administrateur du système d information (protection, maintenance, responsabilités ). 1-5 Avis du comité d entreprise Indiquer que : - La Charte a été soumise au Comité d entreprise pour avis conformément à l Article L alinéa 3 du Code du travail (ou conformément à l Article L du Code du travail lorsque la Charte est portée en annexe du Règlement Intérieur), - Le Comité d entreprise a été informé conformément à l Article L alinéa 3 du Code du travail (ou conformément à l Article L du Code du travail lorsque la Charte est portée en annexe du Règlement Intérieur). Contact : Catherine Gabay, Directeur - Innovation, Recherche et Nouvelles Technologies, MEDEF, cgabay@medef.frp.6/10

7 Article 2 : Protection du système d information 2-1 Objectifs de la protection Objectifs de sécurité et de confidentialité recherchés par la société. 2-2 Mesures techniques de protection - Accès au réseau sécurisé et protégé par des mots de passe accordés à un utilisateur ou à l ensemble des utilisateurs du système d information et confidentialité de ces derniers, - Mise en place de pare-feux et obligation qui incombe au salarié de mettre à jour régulièrement ceux-ci en raison du risque de virus auquel pourrait être exposé la société dans le cas contraire, - Obligation pour l utilisateur d effectuer des sauvegardes régulières afin de minimiser le risque de perte de données. 2-3 Contrôle - Droit d accès de l administrateur à l ensemble des éléments du système d information afin de le contrôler ou de le maintenir dans un soucis de protection de ce dernier, - Définition des actes de contrôle ou de maintenance du système d information (liste exhaustive ou exclusions). Article 3 : Matériels, programmes et logiciels 3-1 Mise à disposition - Définition des matériels, des programmes ou des logiciels mis à la disposition de l utilisateur, - Définition de l utilisation qui doit être faite des matériels, programmes et logiciels susvisés, - Possibilité de mise en place d un nouveau matériel, programme ou logiciel (dans le respect des dispositions de l Article 3-2) en cas de besoin exprimé par un utilisateur. 3-2 Introduction de nouveaux matériels, programmes et logiciels Préciser que l introduction de tout nouveau matériel, programme ou logiciel est interdite aux utilisateurs sans autorisation de l employeur ou de l administrateur du système d information en raison du risque de perturbation dans le fonctionnement dudit système pouvant être occasionné par une telle action. Article 4 : Messagerie électronique 4-1 Mise à disposition d une adresse électronique - Mise à disposition d une messagerie électronique au bénéfice de chaque utilisateur, - Règles d attribution et de modification de l adresse électronique (il sera par exemple indiqué que cette adresse est composée du nom de l utilisateur ). Contact : Catherine Gabay, Directeur - Innovation, Recherche et Nouvelles Technologies, MEDEF, cgabay@medef.frp.7/10

8 4-2 Utilisation privée de la messagerie - Droit pour le salarié d utiliser la messagerie électronique mise à sa disposition à des fins privées dans la limite du raisonnable, - Obligation pour l utilisateur de distinguer les données professionnelles des données à caractère privé, - Possibilité pour l employeur de sanctionner l utilisation privée de la messagerie lorsqu elle est abusive et compromet le fonctionnement normal de la messagerie professionnelle. 4-3 Contenu des messages électroniques et protection des informations - Rappel de l obligation, pour l utilisateur, de respecter les dispositions de la loi de 1881 sur la liberté de la presse. Les messages électroniques ne devront pas avoir, par exemple, un contenu illicite ou encore diffamatoire, - La transmission des données confidentielles ou sensibles par le biais de la messagerie électronique sera limitée et éventuellement soumise à autorisation en raison du risque d interception auquel serait exposée la société. 4-4 Format et taille des messages électroniques - Limitation du format, du type et de la taille des messages électroniques. La taille des messages électroniques ne devra pas venir compromettre le bon fonctionnement du système d information et notamment sa fluidité, - Possibilité pour l employeur de modifier ces mesures par note de service. 4-5 Règles de conservation de la messagerie Doit pour l employeur de conserver la messagerie électronique pendant une durée fixée dans la Charte. Article 5 : Règles relatives à l utilisation d Internet 5-1 Accès à Internet - Limitation de la durée de connexion à Internet, - Préciser qu une note de service pourra imposer certains critères à l utilisateur, notamment en matière de taille de téléchargement. 5-2 Règles d utilisation d Internet - Mesure dans laquelle la consultation d Internet à des fins privées est permise au salarié (une consultation raisonnable est socialement admise, la Charte ne doit pas être abusive en édictant une interdiction absolue. Cette utilisation ne doit pas venir perturber le travail du salarié), - Interdiction de télécharger des œuvres protégées et rappel des règles selon lesquelles la responsabilité de l employeur peut être engagée en cas de téléchargement par un utilisateur d œuvres protégées sans l autorisation des ayants droits (logiciel, fichiers mp3...), Contact : Catherine Gabay, Directeur - Innovation, Recherche et Nouvelles Technologies, MEDEF, cgabay@medef.frp.8/10

9 - Interdiction de consulter des sites illicites (liste exhaustive des sites que l utilisateur est en droit de consulter ou exclusion des sites contraires aux bonnes mœurs tels que les sites activistes, pédophiles ou pornographiques), - Droit pour l employeur, en cas de violation de cette disposition, de dénoncer l utilisateur aux autorités compétentes, - Interdiction de participer à des forums sauf autorisation de la direction de la communication, ou de la personne en charge de la communication de la société, pour s exprimer au nom de cette dernière. 5-3 Contrôle de l usage Possibilité pour l employeur ou l administrateur d exercer un contrôle sur la nature des sites visités par le salarié, la durée de connexion à Internet, les téléchargements Ce contrôle doit être justifié par un impératif de sécurité et de confidentialité. Article 6 : Règles relatives à l utilisation de l Intranet 6-1 Mise à disposition et fonctionnement - Désignation du ou des responsables du fonctionnement de l Intranet (administrateur réseau, Directeur de communication ), - Obligation pour l utilisateur d obtenir l autorisation de ces responsables avant toute introduction d un élément sur l Intranet. 6-2 Données nominatives et personnelles - Obligation pour l employeur d informer le salarié préalablement à toute diffusion d une information nominative ou personnelle sur l Intranet de l entreprise, - Droit pour le salarié de demander rectification des données erronées. Article 7 : IRP et utilisation des moyens informatiques mis à disposition par l entreprise 7-1 Outils d information mis à disposition - Mise à disposition d une adresse électronique et d un répertoire au sein du système d information au bénéfice du Comité d entreprise et de chaque section syndicale représentative dans l entreprise. - Modalités de gestion du répertoire (gestion autonome par les bénéficiaires), - Droit pour l utilisateur concerné d accéder au répertoire de façon permanente sauf en cas de maintenance et autres opérations de protection du système d information, - Obligation pour l utilisateur d obtenir l autorisation de l administrateur (et de la direction de la communication s il y a lieu) pour compléter ce répertoire par des pages d information sur l Intranet. Contact : Catherine Gabay, Directeur - Innovation, Recherche et Nouvelles Technologies, MEDEF, cgabay@medef.frp.9/10

10 7-2 Règles de communication Les délégués syndicaux et les membres du Comité d entreprise ont : - Obligation de veiller au respect des dispositions de la loi sur la liberté de la presse, - Obligation de respecter les critères de taille et de format des messages qui leur sont imposés par l entreprise, - Interdiction de communiquer des documents dont l objet ne rentre pas dans le cadre de leurs attributions (ils ne doivent notamment pas organiser un mouvement de grève par le biais des moyens informatiques que l entreprise met à leur disposition). Article 8 : Sanctions 8-1 Sanctions disciplinaires Renvoi aux dispositions du Règlement Intérieur en matière de pouvoir disciplinaire et de sanctions applicables en cas de non-respect de la Charte. 8-2 Règles de procédure Modalités d information du salarié et procédure contradictoire en cas de sanction disciplinaire (information par écrit des griefs retenus contre le salarié, convocation écrite à un entretien, possibilité de se faire assister, déroulement de l entretien, motivation de la sanction). Article 9 : Affichage et formalités - entrée en vigueur Lorsque la Charte est portée en annexe du Règlement Intérieur, l employeur devra respecter les obligations suivantes : - Mise en ligne de la Charte sur l Intranet de l entreprise, - Affichage de la Charte dans l entreprise conformément à l Article R du Code du travail, - Communication à l inspecteur du travail après avis du Comité d entreprise (ou à défaut des délégués du personnel), - Dépôt de la Charte au secrétariat au greffe du Conseil des prud hommes du siège social de la société ou de l établissement concerné, - Fixation d une date d entrée en vigueur au plus tôt un mois après l accomplissement des formalités de dépôt près le secrétariat au greffe et à l affichage. Contact : Catherine Gabay, Directeur - Innovation, Recherche et Nouvelles Technologies, MEDEF, cgabay@medef.frp.10/10