Sécurité Informatique

Transcription

1 École Nationale des Techniciens de l Équipement Établissement de Valenciennes juin 2015 Sécurité Informatique Charte du bon usage des ressources informatiques

2 Historique des versions du document Version Date Commentaire 1 Réalisée sur la base du projet de modèle de charte établi par la DGPA dans le cadre de la mise en œuvre du référentiel de sécurité 2 Correction après vérification du Secrétaire Général. 3 Juillet 2008 Correction après vérification de la Directrice des Études 4 Janvier 2009 Mise à jour de sécurité suite à incident informatique 4.1 Janvier 2009 Mise à jour mineure 5 Février 2009 Mise à jour sur vérification du Secrétaire Général Validation en Comité Consultatif Local le 25 février Mai 2009 Mise à jour mineure (le réseau internet passe à 10 postes) 5.2 Avril 2010 Mise à jour mineure (évolution des accès internet et supports USB) 5.3 Juillet 2010 Mise à jour mineure (évolution des accès internet et supports USB) 5.4 août 2011 Mises à jour (évolution du parc, politique de changement des mots de passe, précision de la surveillance de l activité) 5.5 Juin 2012 Mises à jour (toilettage suite à réorganisation du ministère et de l ENTE, suppression des mentions concernant Windows XP, création d une septième salle informatique, installation d un poste dans le bureau des stagiaires, retrait du poste destiné aux formateurs en salle A306, redéploiement des 2 postes du foyer vers l hébergement, mise à jour des références en annexe) 5.6 Août 2013 Mises à jour (extension de la portée la charte aux nouveaux utilisateurs (élèves non fonctionnaires), la charte n a plus besoin d être signée (référence au règlement intérieur), retrait de la mention concernant la circulaire DPSM/SI du 23 mars 2005, retrait de la mention concernant les obligations statutaires, projet de septième salle informatique abandonné, ajout d un poste réservé aux formateurs en salle E101, retrait des 3 postes du foyer, 3 postes supplémentaires au centre de ressources sur le réseau Enseignement, actualisation du chapitre 4.1 (en particulier sur la durée de conservation des journaux), 5.7 Juin Juin 2015 diverses corrections) Mises à jour (soulignées dans le texte) : procédure d accès à la messagerie Melanie2 par les agents de l ENTE sur leur smartphone personnel, mise en place de l accès WiFi (hébergement + hall), démantèlement du réseau internet à l hébergement, suppression du poste pour le Bureau des Stagiaires. Mises à jour (soulignées dans le texte) : déploiement du Réseau Interministériel de l État ; référence à la loi n du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme. Affaire suivie par Jérémy SZYMCZAK Pôle Informatique et Multimédia Tél. : / Fax : Courriel : assistance-informatique.ente-val@developpement-durable.gouv.fr Rédacteur Jérémy SZYMCZAK Pôle Informatique et Multimédia Le 29 juin 2015 Relecteur Franck MUNDUBELTZ Secrétariat Général Le 3 juillet 2015 Référence(s) intranet

3 SOMMAIRE 1 - INTRODUCTION STATUT DE LA CHARTE Objet Domaine d application Les obligations Les sanctions prévues RÈGLES D UTILISATION DES RESSOURCES Règles générales Règles de sécurité Confidentialité Intégrité de vos données Antivirus Messagerie Mélanie Internet-Intranet Mesures de sécurité spécifiques Applications Postes partagés Ordinateurs portables Droits et devoirs des administrateurs ou gestionnaires Que faire en cas d incident CONTRÔLE ET SURVEILLANCE Les journaux Les contrôles ANNEXES Extraits des lois et règlements en vigueur Politique ministérielle...14

4 1 - Introduction Cette charte a pour objet de définir les droits et obligations des utilisateurs des ressources informatiques et téléphoniques de l ENTE de Valenciennes. Elle découle de la mise en œuvre de la politique générale de sécurité des systèmes d information (PGSSI) du ministère (cf. annexes). Elle a été validée par le directeur de l ENTE, établissement de Valenciennes. Elle constitue le volet «sécurité informatique» du règlement intérieur. Les ressources informatiques et les systèmes d information font partie du patrimoine du ministère, et sont indispensables au fonctionnement des services. La protection de ce patrimoine nécessite d appliquer des mesures physiques de contrôle d accès aux locaux techniques, de configuration des équipements et des logiciels, et des mesures réglementaires. Celles-ci doivent prémunir le service contre les sinistres et permettre de contrôler le bon usage des équipements. On distingue à l ENTE plusieurs types d utilisateurs : agent de l ENTE, élève (fonctionnaire ou non), formateur du ministère, personne extérieure. Les principes de base d attribution du matériel sont : les postes sont affectés individuellement à chaque agent. Ils doivent être utilisés à des fins exclusivement professionnelles. Chaque agent est responsable de l usage fait de son poste ; les formateurs du ministère et les élèves utilisent des postes en libre accès avec compte et mot de passe mais sont responsables de l usage qu ils font des équipements du SI et doivent les utiliser à des fins uniquement pédagogiques ; il n est pas prévu de mettre à disposition des personnes extérieures du matériel informatique. Seule l utilisation du matériel de projection (vidéo-projecteur) est autorisé. Outre la présente charte, l utilisateur doit se conformer aux circulaires ministérielles sur l utilisation des outils et respecter la législation dans le domaine des technologies de l information et de la communication (cf. annexes). 2 - Statut de la charte Objet L objet de ce document vise à définir les règles d utilisation et de protection des ressources informatiques : le poste de travail ; les postes nomades ; les ressources serveurs ; la messagerie ; l accès aux différents réseaux : RIE et WiFi ; les imprimantes multifonctions et les traceurs ; Sécurité Informatique Charte du bon usage des ressources informatiques juin /15

5 les données et la documentation Domaine d application La charte s applique à l ensemble des utilisateurs des ressources informatiques mises en place dans le service. Elle s applique en particulier aux personnes ayant accès à des informations sensibles ou confidentielles dans le cadre de leur mission : informations concernant le personnel ou des administrés, informations de sécurité, Les obligations Les utilisateurs doivent connaître les dispositions de cette charte et les appliquer. Les administrateurs (ie : utilisateurs ayant des droits spécifiques) ont accès à des informations confidentielles ; ils doivent respecter des règles de déontologie complémentaires Les sanctions prévues Le non-respect de la présente charte engage la responsabilité personnelle de l utilisateur. Celui-ci s expose aux sanctions disciplinaires, notamment l avertissement, le blâme ou l exclusion. Par ailleurs la loi interdit certains comportements sur internet, en particulier : consultations de sites pédophiles ; stockage de photos illégales ; incitations à la haine raciale dans des forums ; messages d injures ; révisionnisme, négationnisme. En plus des sanctions disciplinaires, les utilisateurs s exposent à des sanctions pénales. 3 - Règles d utilisation des ressources Règles générales L utilisateur est responsable de l usage qu il fait des ressources du service. Il est en particulier responsable de l équipement informatique qu il utilise et de la sécurité des données qu il gère. L utilisateur s engage à n utiliser ces ressources qu à des fins strictement professionnelles ou pédagogiques. Le poste de travail est mis à disposition de l utilisateur dans le cadre de sa mission ou de sa formation. Le Pôle Informatique et Multimédia est seul habilité à intervenir sur le poste de travail pour en changer la configuration ou installer de nouveaux logiciels. Sécurité Informatique Charte du bon usage des ressources informatiques juin /15

6 À l exception des fichiers qualifiés de «personnel» et couverts par les règles de la protection de la vie privée, qui doivent être mis dans un répertoire ou un dossier dont le nom est suffisamment explicite (ex : privé, perso, personnel), les fichiers concernent l activité professionnelle. L accès aux sites de téléchargement (musique, film, de loisirs et de jeux en ligne) est prohibé. Certains postes ont des données qualifiées de sensibles ; ces postes sont concernés par des mesures spécifiques. Chaque utilisateur est informé par sa hiérarchie du fait qu il rentre dans cette catégorie ou non. L utilisateur ne doit pas désactiver le verrouillage de l écran par mot de passe (en général après 5 minutes d inactivité) Règles de sécurité Confidentialité Mots de passe L utilisateur n a pas le droit de modifier la configuration BIOS de son poste qui doit être protégée par un mot de passe connu du seul Pôle Informatique et Multimédia. Les données sensibles du poste de travail doivent être protégées par les permissions, gérant les droits d accès des fichiers du poste. Chaque utilisateur a un identifiant et un mot de passe, ouvrant les droits sur les ressources du réseau. Par ailleurs, il existe des mots de passe d application qui protègent l accès à certaines applications. Les mots de passe sont personnels, et ne doivent être ni communiqués ni affichés. Ces mots de passe doivent : être changés au minimum tous les 6 mois ; être composés d un minimum de 8 caractères, dont au moins une majuscule, une minuscule, un chiffre et un caractère spécial ; le mot de passe doit être différent des 12 précédents. Partage de données Les données partagées doivent l être sur les répertoires partagés de serveurs prévus à cet effet. Le partage de ressources locales sur un poste individuel est strictement interdit. Les fichiers possédés par des utilisateurs ou des administrateurs doivent être considérés comme privés à un certain groupe, qu ils soient ou non accessibles pour les autres utilisateurs : le fait qu un tiers ait la possibilité matérielle de lire ou de modifier un fichier ne veut pas dire qu il en ait le droit. Un fichier ne doit pas être modifié sans l accord de son auteur. Sécurité Informatique Charte du bon usage des ressources informatiques juin /15

7 Accès aux données Certains utilisateurs sont autorisés à accéder aux ressources intranet du ministère. Ils ne sont en aucun cas autorisés à assurer la diffusion des données auxquelles ils auraient eu accès. L accès aux informations ne peut s effectuer ni à l initiative d un informaticien ni de la hiérarchie de l utilisateur. Dans le cas d une enquête administrative ou judiciaire, des contrôles ponctuels pourront être effectués sur demande écrite de la direction du service concerné Intégrité de vos données Pour préserver vos données : appliquer les règles de sauvegarde des données du poste en vigueur dans le service ; ranger les sauvegardes dans un lieu séparé du poste de travail. Pour les données confidentielles, mettre ces sauvegardes dans un lieu sûr ; suivre les recommandations du Pôle Informatique et Multimédia. Stockage et archivage des documents Tous les documents autres que confidentiels (ou privés) doivent être stockés sur les serveurs dans l espace commun du service ou de l unité selon le plan de classement que chaque service et unité doit établir. Ces données sont sauvegardées sur bandes. Ces espaces de stockage ne concernent que les documents vivants ou utilisés fréquemment et sont limités par les ressources des serveurs. Lorsqu un dossier n est plus utilisé couramment, un archivage sur support optique doit être effectué auprès du Pôle Informatique et Multimédia. Les espaces disques sur les postes individuels en particulier «Mes documents» doivent être utilisés pour héberger les documents confidentiels ou privés. Chaque utilisateur a également accès à un espace individuel sur serveur destiné à la sauvegarde de son dossier «Mes documents». Transport de données Le transfert des données depuis l extérieur vers le réseau de l ENTE (administration ou enseignement) peut se faire de la manière suivante : par supports amovibles (CD, DVD, périphériques USB, cartes mémoires, ) Les supports amovibles doivent être systématiquement remis au Pôle Informatique et Multimédia pour analyse virale complète et systématique. Les manquements à cette consigne seront sanctionnés. par messagerie cf. paragraphe : Messagerie Attention aux informations diffusées à votre insu L utilisateur ne doit jamais envoyer un rapport d erreur vers internet. Il est conseillé de demander au Pôle Informatique et Multimédia de désactiver l outil de rapport d erreurs Sécurité Informatique Charte du bon usage des ressources informatiques juin /15

8 vers internet. Il faut enlever les textes invisibles des documents transmis et éviter de télécharger des codes exécutables à votre insu en adaptant les niveaux de sécurité des logiciels Antivirus Un antivirus doit être installé et activé sur chaque poste, fixe ou nomade. Cet antivirus doit être mis à jour quotidiennement. L utilisateur ne doit en aucun cas le désactiver ou gêner son fonctionnement. N installez pas de vous-même un autre antivirus sur votre poste de travail : les 2 antivirus se neutralisent et permettent aux virus de se propager. Si vous avez installé un autre antivirus, anti-spam sur votre poste, contactez impérativement le Pôle Informatique et Multimédia. Ne lisez pas, n exécutez pas de fichier dont l extension est autre qu une extension LibreOffice (.odt,.ods,.odp), Word (.doc), Excel (.xls), Acrobat Reader (.pdf), Access (.mdb) ou un fichier propre à une application de travail que vous utilisez régulièrement. En cas de doute, même si l émetteur de message est connu, vérifiez auprès de cet émetteur. Son identité peut avoir été usurpée Messagerie Mélanie2 Dispositions Tout agent qui dispose d un poste de travail dispose d une adresse de messagerie à son nom. Il peut parfois aussi avoir accès à une ou plusieurs boîtes aux lettres d unité ou fonctionnelles. Les agents disposent en plus d'un courrielleur Thunderbird installé sur leur poste, et d'un accès via intranet par webmail. A la demande de l'agent transmise via la voie hiérarchique, et soumise à l'accord du Responsable de Sécurité des Systèmes d'information (RSSI) du service, des accès à la messagerie peuvent être proposés : par webmail via internet ; par synchronisation sur un smartphone personnel. À des fins pédagogiques, il est attribué à chaque élève de l ENTE de Valenciennes une adresse de messagerie. Elle est cependant soumise aux mêmes règles d utilisation qu une adresse «agents». Pour leur permettre d avoir un large accès à l application durant leurs périodes passées à l extérieur de l établissement, un accès webmail par internet leur sera attribué. Par contre, aucun accès ne sera accordé aux élèves par synchronisation sur leurs smartphones personnels. Le stockage, sur les serveurs distants, des boîtes de messagerie est limité à 100 Mo. Les pièces jointes ne peuvent excéder 5 Mo. Toutefois, l application Mélanissimo, associée au compte de messagerie, permet l envoi et la réception (y compris depuis et vers des extérieurs au ministère) de pièce jointe jusqu à 1 Go, via internet ou intranet. Règles d utilisation Les principales règles de la directive sur l utilisation de la messagerie (cf annexe) sont : la messagerie Mélanie2 est destinée aux usages professionnels et pédagogiques ; la diffusion de messages non professionnels n est pas autorisée ; Sécurité Informatique Charte du bon usage des ressources informatiques juin /15

9 l utilisateur ne doit pas renvoyer les chaînes de message ; l utilisateur évitera d encombrer la messagerie avec des messages lourds, ou des listes de destinataires trop importantes ; tout courrier officiel doit être émis depuis une boîte aux lettres de service ou d unité ; tout renseignement envoyé par un utilisateur engage la responsabilité de l État : le devoir de réserve s impose aussi avec la messagerie ; l utilisateur doit être discret, y compris dans les forums, sur lesquels il ne doit pas laisser son adresse de messagerie Mélanie2, mais utiliser une adresse privée ; les utilisateurs ne doivent transmettre aucune information susceptible d être confidentielle sans l autorisation du supérieur hiérarchique ; l utilisateur doit faire attention aux courriers indésirables (spams). Il ne doit pas ouvrir les pièces jointes dont il ne connaît pas l objet ; l utilisateur doit régulièrement sauvegarder les messages de sa boîte de réception et d envoi dans les dossiers personnels installés dans le courrielleur Thunderbird. Cela concerne aussi bien sa boîte individuelle que l ensemble des boîtes d unité ou fonctionnelle dont il a la charge. Cette disposition est impérative afin d assurer la sauvegarde des messages sur serveur et afin d éviter la saturation des boîtes Internet-Intranet L ENTE de Valenciennes dispose de trois réseaux distincts : Réseau Administration À destination des agents de l ENTE. Les postes sont reliés au Réseau Interministériel de l Etat (architecture intranet/internet commune à plusieurs ministères). Toute connexion du poste à internet en dehors du réseau RIE est interdite (ex : modem, clé 3G, téléphone portable). Le paramétrage du navigateur internet doit être conforme aux recommandations du Pôle Informatique et Multimédia. L utilisateur évitera de télécharger des fichiers volumineux risquant de saturer le réseau. Réseau Enseignement À destination des élèves et formateurs, durant les plages horaires définies dans le livret d accueil. Le réseau Enseignement est constitué de : 6 salles informatiques pédagogiques de 13 postes chacune ; 15 salles de cours classiques et un amphithéâtre, équipés d un ordinateur portable ; 3 postes au centre de ressources ; Leur usage est réservé aux cours ou aux ateliers encadrés. 1 poste en E101 (salle réservée aux formateurs). Les postes sont reliés au Réseau Interministériel de l Etat (architecture intranet/internet Sécurité Informatique Charte du bon usage des ressources informatiques juin /15

10 commune à plusieurs ministères). Toute connexion du poste à internet en dehors du réseau RIE est interdite (ex : modem, clé 3G, téléphone portable). Le paramétrage du navigateur internet doit être conforme aux recommandations du Pôle Informatique et Multimédia. L utilisateur évitera de télécharger des fichiers volumineux risquant de saturer le réseau. Réseau WiFi À destination de tout usager de l ENTE, 24h/24, depuis un équipement personnel équipé d une antenne WiFi (ex : PC portable, smartphone, tablette), et après validation des conditions générales d utilisation du service. Ce réseau couvre le hall d accueil et l hébergement. L accès au réseau WiFi depuis un équipement relié au RIE est interdit Mesures de sécurité spécifiques Ces mesures sont spécifiques à certaines catégories d utilisateurs Applications Des applications basées sur une architecture client-serveur sont mises à disposition des utilisateurs (par exemple : SYFOADD pour la formation à distance). Les règles de sécurité concernant les mots de passe de ces applications sont les mêmes que celles valant pour le poste de travail. Des mots de passe par défaut sont fournis à l initialisation des comptes. Les utilisateurs sont tenus à leur première connexion de changer le mot de passe par défaut Postes partagés Les postes partagés correspondent à l ensemble des postes des réseaux Enseignement, et certains postes du réseau Administration. Lorsque des utilisateurs partagent le même poste, chacun doit utiliser son propre identifiant / mot de passe pour se connecter au réseau, et se déconnecter après utilisation Ordinateurs portables Des précautions contre le vol ou le piratage doivent être prises lorsque les portables sont utilisés en dehors du service. L utilisateur doit veiller à la sécurité du poste, mettre à jour l antivirus régulièrement, scanner le disque dur et suivre les recommandations du Pôle Informatique et Multimédia. Il est interdit de connecter un portable non fourni par le service au réseau du ministère. L utilisation personnelle est interdite (jeux, ). Sécurité Informatique Charte du bon usage des ressources informatiques juin /15

11 Droits et devoirs des administrateurs ou gestionnaires Des pouvoirs sont donnés aux administrateurs et aux gestionnaires d applications dans le but d administrer ou de gérer les systèmes. Ceux-ci peuvent avoir accès à des informations personnelles. Ils sont tenus de respecter la déontologie informatique. Ils ont l obligation de préserver la confidentialité des informations privées qu ils sont amenés à connaître dans ce cadre. Ils ne doivent pas abuser de ce pouvoir pour leur propre intérêt. Ce droit ne doit s exercer qu à des fins de diagnostic et d administration des systèmes Que faire en cas d incident En cas d incident, l utilisateur doit immédiatement alerter le Pôle Informatique et Multimédia. Afin de permettre la recherche des causes de l incident, l utilisateur doit laisser son poste tel quel, c est-à-dire ne pas éteindre ni redémarrer son poste. En cas de problème manifeste de virus, il doit immédiatement débrancher le câble réseau de son poste. 4 - Contrôle et surveillance Les journaux En mettant à disposition des ressources et accès aux systèmes d information (poste de travail, messagerie, serveurs, accès internet, applications, téléphone, ) le ministère est tenu de garantir le respect de la législation. Le code des postes et télécommunications oblige à conserver différentes traces (liste non exhaustive) : les informations permettant d identifier l utilisateur et/ou le(s) destinataire(s) de la communication ; les données relatives aux équipements terminaux de communication utilisés ; les caractéristiques techniques, la date, l heure et la durée de chaque communication. En référence à ce code, à la loi relative à la sécurité et la lutte contre le terrorisme (loi n du 23 janvier 2006, modifiée par la loi n du 13 novembre 2014), ainsi qu à la loi informatique et liberté (LIL), le ministère, tout en veillant au respect de la vie privée, a mis en place la conservation de traces : sur douze mois glissants pour les journaux d accès à Internet ; de six mois à un an pour les autres journaux (traces systèmes, applications, etc.) hors contraintes légales et réglementaires particulières imposant des durées d archivage spécifiques. Ces traces sont conservées dans des fichiers «journaux». Les traitements autorisés sur les fichiers «journaux» ainsi constitués peuvent avoir pour finalité : la réalisation de tableaux de bord d activité ; le suivi des ressources consommées par les unités et les utilisateurs ; Sécurité Informatique Charte du bon usage des ressources informatiques juin /15

12 l aide aux enquêtes associées aux procédures administratives ou pénales. Les traces répondant à une finalité bien précise, elles ne peuvent faire l objet d une diffusion allant au-delà de celle-ci. Ainsi, les traces conservées pour les obligations légales ne pourront être transmises que sur réquisition judiciaire. De même, les traces d exploitation ne peuvent être fournies qu en lien avec leur finalité. Le droit d accès et de rectification prévu par la loi n du 6 janvier 1978 peut se faire auprès du RSSI du service Les contrôles Pour des nécessités techniques ou d administration de la sécurité, le service peut faire des contrôles. Le service peut notamment contrôler la liste des logiciels installés sur un poste de travail, et la configuration du poste. Dans le cadre du contrôle hiérarchique ou légal, à la demande écrite du chef de service, avec l accord du RSSI du service, des recherches peuvent être effectuées dans les fichiers «journaux». Ces contrôles doivent être faits dans les conditions légales : proportionnalité et légitimité du contrôle, information préalable et discussion collective. En cas de constatation d abus ou de mauvaise utilisation, le responsable hiérarchique de l utilisateur sera averti pour suite à donner. 5 - Annexes Extraits des lois et règlements en vigueur La protection des personnes, visée par la Loi du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés, qui réglemente les traitements automatisés des informations nominatives La loi impose de procéder à une déclaration auprès de la CNIL avant toute mise en œuvre de traitement de ce type. Les informations nominatives sont celles qui permettent l identification directe ou indirecte des personnes physiques. Toute personne auprès de laquelle sont collectées des informations mises en œuvre dans un système automatisé de traitement doit être préalablement informée du caractère obligatoire ou facultatif des réponses, des conséquences d un défaut de réponse, de l identité des destinataires de l information, de l existence et des modalités du droit d accès et de rectification. Sécurité Informatique Charte du bon usage des ressources informatiques juin /15

13 Les dispositions du code de la propriété intellectuelle Toute reproduction d un logiciel est interdite sauf autorisation préalable de son auteur (article L122.6). De même son utilisation doit être autorisée et suppose la conclusion d un contrat de licence. Toute reproduction ou utilisation non autorisée constitue un acte de contrefaçon passible de sanctions civiles et pénales (article L ans d emprisonnement et euros d amende). La protection des systèmes informatiques La réglementation sur la fraude informatique (art et suivants du Code pénal) interdit l accès illicite et le maintien sur les systèmes informatiques, la perturbation volontaire du fonctionnement, l altération des données. Les atteintes aux systèmes informatiques en tant que système de traitement automatisé de données sont sanctionnées au titre de la réglementation sur la fraude informatique qui interdit : l accès illicite par une personne non autorisée, le maintien frauduleux après un accès illicite et après avoir pris connaissance du caractère anormal de ce maintien, l entrave du système, l altération de données avec notamment la volonté de modifier l état du système. La violation des dispositions précitées entraîne des sanctions pénales (3 ans d emprisonnement et euros d amende). La protection des données Les données telles que les textes, les images, les sons, sont également protégés par le droit d auteur dès lors qu elles sont originales. Leur utilisation, reproduction ou exploitation sont soumises au même régime que celui des logiciels. Certains textes ou images portent des mentions copyright qui rappellent que ceux-ci sont protégés par des droits d auteur. Cependant à contrario l absence de mention copyright ne signifie pas que l utilisation des textes ou image est libre. Par ailleurs, les bases de données, entendues comme recueil d œuvre, de données ou d autres éléments indépendants disposés de manière systématique ou méthodique et individuellement accessibles par des moyens électroniques ou autres, bénéficient d un statut juridique qui leur est propre (loi n du 1er juillet 1998). Ce dernier sanctionne notamment l extraction de la totalité ou d une partie substantielle du contenu d une base de données, et sa réutilisation par mise à disposition du public sans autorisation de son producteur. Le secret professionnel Les agents publics, en vertu de l article 26 de la loi du 13 juillet 1983 portant statut de la fonction publique, sont tenus au secret professionnel. Les fonctionnaires sont tenus au secret professionnel dans le cadre des règles instituées dans le Code pénal et astreints à faire preuve de discrétion professionnelle pour tous faits ou informations et documents dont ils ont connaissance dans l exercice de leur fonction. Ainsi tout utilisateur de la messagerie Mélanie est tenu à une obligation de discrétion et de confidentialité qui porte notamment sur les fichiers et bases de données auxquelles il accède dans le cadre de ses fonctions. Sa violation peut constituer un motif de sanction disciplinaire et engager la responsabilité pour faute professionnelle de l agent concerné. Le secret des correspondances En vertu de l art du Code pénal, il est interdit d ouvrir, retarder, supprimer des Sécurité Informatique Charte du bon usage des ressources informatiques juin /15

14 correspondances adressées à des tiers, y compris par télécommunications. Le fait commis de mauvaise foi d ouvrir, de supprimer, de retarder, de détourner des correspondances arrivées ou non à destination et adressées à des tiers, d en prendre connaissance frauduleusement, est puni d un an d emprisonnement et de euros d amende. Est puni de la même peine le fait commis de mauvaise foi d intercepter, de détourner, d utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l installation d appareils conçus pour réaliser de telles interceptions. La protection de l ordre public Les moyens informatiques et de télécommunications mis à la disposition des utilisateurs ne doivent pas véhiculer n importe quelle information ou image. Le code pénal (article ) punit le fait de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et notamment par des réseaux un message à caractère violent, pornographique ou de nature à porter gravement atteinte à la dignité humaine. L article du code pénal réprimande le fait de fixer, d enregistrer ou de transmettre, en vue de sa diffusion, l image d un mineur lorsque cette dernière représente un caractère pornographique et de diffuser une telle image par quelque moyen qui soit. Droit de la preuve et procédures de poursuite Il est rappelé qu en matière commerciale comme en matière administrative, le principe est celui de la liberté de la preuve, qui peut être rapportée par tous moyens. Un message électronique ou un enregistrement de fichier peuvent donc constituer des preuves susceptibles d engager la responsabilité de l administration et de l utilisateur. Par ailleurs, les procédures administratives et les procédures pénales sont indépendantes Politique ministérielle Politique générale de sécurité des systèmes d information : La directive d utilisation des systèmes d information : La directive d utilisation de la messagerie du 8 janvier 2009 : Arrêté du 4 octobre 2000 autorisant la création d un traitement automatisé d informations nominatives relatif à la messagerie Mélanie : Sécurité Informatique Charte du bon usage des ressources informatiques juin /15

15 Ecole Nationale des Techniciens de l Equipement Etablissement de Valenciennes 11 rue de Roubaix BP Valenciennes cedex Tél. :