RÈGLES ADOPTION : Comité de direction Résolution : CD TABLE DES MATIÈRES PRÉAMBULE... 3 TERMINOLOGIE... 4

Transcription

1 RÈGLES TITRE : Règles de sécurité informatique ADOPTION : Comité de direction Résolution : CD ENTRÉE EN VIGUEUR : 24 janvier 2006 TABLE DES MATIÈRES PRÉAMBULE... 3 TERMINOLOGIE... 4 PARTIE I : RÉSEAUX ET ZONES LES RÉSEAUX VUE D ENSEMBLE LES DIFFÉRENTS TYPES DE RÉSEAUX Réseau local Réseau dorsal Réseau universitaire Réseau de laboratoire Réseau sans fil LES ZONES VUE D ENSEMBLE LES DIFFÉRENTS TYPES DE ZONES Zone Internet Zone autonome Zone publique Zone protégée Zone démilitarisée (ou «DMZ») Zone privée Zone à accès direct RELATION ENTRE LES RÉSEAUX ET LES ZONES LES MOUVEMENTS D INFORMATIONS D UNE ZONE À L AUTRE SCHÉMA... 10

2 PARTIE II : RÈGLES DE SÉCURITÉ CONCERNANT L AUTHENTIFICATION VUE D'ENSEMBLE BUT ÉTENDUE CODE D ACCÈS ET MOTS DE PASSE INTRODUCTION RESPONSABILITÉ TYPES DE CODES D ACCÈS Code d accès personnel Code d accès de groupe Code d accès système Code d accès générique RÈGLES GÉNÉRALES CONCERNANT LES MOTS DE PASSE Changement et choix du mot de passe Divulgation, conservation et transfert d un mot de passe Mot de passe compromis Divers Règles particulières concernant les codes d accès système AUTRES MÉTHODES D AUTHENTIFICATION BIOMÉTRIE INFRASTRUCTURE À CLÉ PUBLIQUE SERRURE PHYSIQUE PARTIE III : RÈGLES D AUDIT BUT ÉTENDUE RÈGLES AUTO-ÉVALUATION PARTIE IV : RÈGLES DE SÉCURITÉ POUR LES POSTES DE TRAVAIL BUT ÉTENDUE RESPONSABILITÉS RÈGLES RÈGLES DE CONFIGURATION D UN POSTE DE TRAVAIL RÈGLES PARTICULIÈRES POUR LES ZONES PROTÉGÉES RÈGLES PARTICULIÈRES POUR LES ZONES PUBLIQUES PARTIE V : RÈGLES DE SÉCURITÉ POUR LES SERVEURS BUT ÉTENDUE RÈGLES RÈGLES GÉNÉRALES RÈGLES DE CONFIGURATION D UN SERVEUR RÈGLES PARTICULIÈRES POUR CERTAINS TYPES DE SERVEURS RÈGLES DE SURVEILLANCE Règles de sécurité informatique Page 2

3 5.4 CONFORMITÉ PARTIE VI : RÈGLES RELATIVES À LA DISPOSITION D ÉQUIPEMENTS BUT ÉTENDUE RÈGLES PARTIE VII : RÈGLES DE SÉCURITÉ POUR LES COMMUNICATIONS SANS FIL BUT ÉTENDUE RÈGLES INFRASTRUCTURE SANS FIL DISPOSITIONS RELATIVES À L AUTHENTIFICATION DISPOSITIONS RELATIVES AU CHIFFREMENT TECHNOLOGIES SANS FIL À COURTE PORTÉE PARTIE VIII : RÈGLES DE SÉCURITÉ POUR L UTILISATION DES RÉSEAUX PRIVÉS VIRTUELS (RPV) BUT ÉTENDUE RÈGLES PARTIE IX : RÈGLES DE GESTION DES INCIDENTS DE SÉCURITÉ INFORMATIQUE BUT ÉTENDUE RÈGLES PARTIE X : SANCTIONS PRÉAMBULE Le présent document accompagne la Directive de sécurité informatique et a pour but de décrire différentes responsabilités des usagères et usagers de même que les règles de configuration applicables aux serveurs et postes de travail avant de pouvoir être reliés au réseau universitaire. La collaboration de toute la communauté universitaire est essentielle à la préservation d un environnement technologique sécuritaire; ainsi des opérations de sensibilisation et de formation accompagneront les usagères et usagers dans leur utilisation des ressources informationnelles universitaires. De façon plus générale, les dispositions à l égard de la sécurité informatique à l Université de Sherbrooke sont rattachées au Règlement : Utilisation des équipements et des ressources informatiques et de télécommunication. Règles de sécurité informatique Page 3

4 TERMINOLOGIE Chiffrement Code d accès Coupe-feu Opération selon laquelle est substitué, à un texte en clair, un texte inintelligible, inexploitable pour quiconque ne possède pas la clé permettant de le ramener à sa forme initiale. Représente le nom de l usagère ou de l usager, le numéro de compte, l identification de départ, ou tout mécanisme servant à s identifier auprès d un système pour y accéder. Dispositif qui permet le passage sélectif des flux d information entre un réseau interne et un réseau externe, ainsi que la neutralisation des tentatives de pénétration en provenance du réseau externe. Information confidentielle Information sur une entreprise, un produit, un service, protégée ou non par le droit d'auteur ou par un brevet (par exemple, une information financière ou un projet de recherche en cours), ou information nominative sur des individus que l'on protège par des moyens techniques (par un coupe-feu, par exemple) ou en restreignant son accès à certaines personnes autorisées. Information nominative Information sensible Information de caractère non public concernant une personne physique et permettant de l'identifier, directement ou indirectement, par exemple : le nom ou le matricule d un individu. Information dont la divulgation, l altération, la perte ou la destruction risquent de paralyser ou de mettre en péril soit un service, soit l organisation ellemême, et qui, de ce fait, devient vulnérable. «relié» L expression «relié au réseau» ou «relié à une zone» est utilisée pour désigner tout appareil dont l adresse IP est située dans une plage d adresses appartenant à l Université de Sherbrooke. Ceci inclut donc autant les connexions faites par l intermédiaire d un câble, les connexions sans fil, de même que les connexions faites par l intermédiaire d un RPV. Réseau Ensemble d'équipements (commutateurs, aiguilleurs, ordinateurs, etc.) qui sont reliés les uns aux autres afin qu'ils puissent échanger, distribuer ou diffuser des informations et partager différentes ressources. La Partie I du présent document («Réseaux et zones») définit plusieurs types de réseaux qui sont utilisés dans le cadre de ces règles de sécurité. Responsable de secteur Personne qualifié dans le domaine de l informatique agissant comme personne référant auprès de l équipe de sécurité informatique du STI. Pour les services dont le soutien technique est assuré par le STI, une personne désignée par ce dernier agit comme responsable de secteur. Ressource informationnelle Ressource utilisée par l Université dans le cadre direct de ses activités de traitement de l information, pour mener à bien sa mission, pour la prise de décision, ou encore pour la résolution de problèmes; une ressource informationnelle peut être une ressource humaine, matérielle ou financière directement affectée à la gestion, l acquisition, au développement, à l entretien, à l exploitation, à l accès, à l utilisation, à la protection, à la conservation et à la destruction des éléments d information. RPV Réseau Privé Virtuel (aussi connu sous l abréviation anglophone VPN) : technique utilisée pour accéder à distance à des portions du réseau universitaire habituellement inaccessibles à partir de l extérieur. Règles de sécurité informatique Page 4

5 Poste de travail Secteur Serveur Système embarqué Usagère ou usager Zone Ordinateur personnel, typiquement relié au réseau universitaire, destiné à être utilisé par une seule usagère ou un seul usager à la fois et n agissant qu à titre de client de services réseau hébergés par des serveurs. Ensemble d appareils reliés au réseau partageant une plage d adresse ayant été déléguée à une entité (faculté, département, service, groupe de recherche ou autre) et gérée par une ou un responsable de secteur. Appareil donnant accès à des données, des ressources de traitement ou des services aux autres appareils appelés clients (typiquement des postes de travail). Un serveur Web, un serveur de courrier électronique ou un serveur d impression sont des exemples de serveurs. Système informatique qui est intégré à un dispositif, une machine ou un autre système et qui, le cas échéant, pilote ce dispositif, cette machine ou ce système. Membres du personnel de direction de l Université, professeures et professeurs, chargées et chargés de cours, membres du personnel professionnel et administratif, employées et employés de soutien, étudiantes et étudiants, assistantes et assistants de recherche, ainsi que toute personne physique ou morale appelée ou autorisée à utiliser les équipements et ressources informatiques et de télécommunication ou le réseau universitaire. Regroupement logique d ordinateurs ou de réseaux en fonction de leur utilisation et de la façon selon laquelle ils sont reliés entre eux. Les paramètres de sécurité sont directement reliés au type de zone dans lequel un poste de travail ou un serveur se trouve. La Partie I du présent document («Réseaux et zones») définit les zones utilisées dans le cadre des présentes règles de sécurité. Règles de sécurité informatique Page 5

6 PARTIE I : RÉSEAUX ET ZONES 1.1 Les réseaux Vue d ensemble On peut définir un réseau de façon générale comme étant un ensemble d équipements qui sont reliés les uns aux autres afin qu ils puissent échanger, distribuer ou diffuser des informations et partager différentes ressources. On peut cependant distinguer plusieurs types de réseaux. La prochaine section définit les types de réseaux utilisés aux fins des présentes règles de sécurité informatique Les différents types de réseaux Réseau local Réseau qui regroupe l ensemble des équipements informatiques d un secteur ou d une unité administrative. C est le type de réseau que l on retrouve le plus souvent puisque la majorité des postes de travail et des serveurs y sont reliés Réseau dorsal Réseau central caractérisé par son haut débit qui permet d'interconnecter les différents réseaux locaux entre eux et l ensemble de ces réseaux aux réseaux publics (incluant Internet). L'affaiblissement de ce réseau résulterait en la perte directe de fonctionnalités à l Université de Sherbrooke Réseau universitaire Il n y a qu un seul réseau universitaire, que l on définit comme le regroupement des réseaux locaux des différents secteurs et du réseau dorsal de l Université de Sherbrooke Réseau de laboratoire Réseau utilisé pour les besoins de tests, démonstrations, formation, etc. Tout réseau qui est autonome ou derrière un pare-feu et dont l affaiblissement ne causerait pas de perte directe à l Université de Sherbrooke et n affecterait pas le réseau universitaire Réseau sans fil Réseau utilisant les ondes hertziennes plutôt que des câbles pour relier les équipements entre eux. Ces réseaux demandent une attention particulière en ce qui concerne la sécurité puisque le contrôle que nous confère la connexion physique (le fil) avec les réseaux conventionnels câblés n est plus présent. 1.2 Les zones Vue d ensemble Une zone est un regroupement logique d ordinateurs ou de réseaux en fonction de leur utilisation et de la façon selon laquelle ils sont reliés entre eux. Les paramètres de sécurité sont directement reliés au type de zone dans lequel un poste de travail ou un serveur se trouve. On distingue sept types de zones dont les paramètres de sécurité sont de plus en plus serrés. Ces zones sont la zone Internet, les zones autonomes, les zones publiques, les zones protégées, les zones Règles de sécurité informatique Page 6

7 démilitarisées (ou «DMZ»), les zones privées et les zones à accès direct. Certaines de ces zones sont imbriquées les unes dans les autres, selon la hiérarchie suivante (plus la couleur est foncée plus il y a de mesures de sécurité) : Zone publique Zone privée Zone autonome Zone autonome Zone Internet Zone DMZ Zone protégée Les différents types de zones Zone Internet Il n y a qu une seule zone Internet; elle est définie comme l ensemble de tous les réseaux qui ne font pas partie du réseau universitaire, incluant les réseaux autonomes. À titre d exemple, les réseaux de fournisseurs comme Bell ou Vidéotron et des sites Web externes comme font partie de la zone Internet Zone autonome Une zone autonome est composée d un ou plusieurs appareils situés sur un des campus de l Université de Sherbrooke qui peuvent être reliés en réseau (local, de laboratoire, sans fil, etc.) mais qui ne sont pas reliés au réseau universitaire. Si la zone est reliée à la zone Internet, c est par un moyen qui n est ni fourni ni géré par le Service des technologies de l information (STI). Aux fins des présentes règles de sécurité, on considère qu une zone autonome ainsi reliée fait partie de la zone Internet. Afin d éviter l affaiblissement des règles de sécurité, toute connexion d une zone autonome à la zone Internet doit être déclarée au STI et supervisée par la ou le responsable du secteur (on parle ici par exemple de connexions par modem conventionnel, modem câble ou DSL). L Université de Sherbrooke se dégage de toute responsabilité concernant l opération des appareils d une zone autonome ainsi reliée et l usagère ou l usager principal de ces appareils accepte cette responsabilité Zone publique Une zone publique en est une qui peut être accédée par un grand nombre d usagères ou d usagers et où ne circule typiquement aucune information à caractère confidentiel ou sensible. Les règles de sécurité y étant moins sévères, des mesures particulières doivent être prises lorsque des données confidentielles ou sensibles sont traitées. Les ordinateurs qui s y trouvent n appartiennent pas nécessairement à l Université de Sherbrooke; des ordinateurs appartenant à des individus (membres du personnel, étudiantes ou étudiants, visiteuses ou visiteurs) peuvent donc y être reliés. Les caractéristiques des zones publiques sont les suivantes : a) une authentification (voir «Partie II : Authentification») est nécessaire pour sortir de la zone; b) on doit pouvoir appliquer au moins un niveau de filtre (pour bloquer, par exemple, le protocole de communication Netbios); Règles de sécurité informatique Page 7

8 c) aucun serveur n est toléré dans une zone publique sauf ceux qui sont requis pour le bon fonctionnement de la zone (exemple : serveur DHCP) Zone protégée Une zone protégée en est une où sont appliquées des règles de sécurité sévères afin de protéger les informations à caractère confidentiel ou sensible qui y sont traitées. Les ordinateurs reliés à une zone protégée appartiennent typiquement à l Université de Sherbrooke et sont gérés par la ou le responsable du secteur. Les caractéristiques suivantes s appliquent aux zones protégées : a) une authentification (voir «Partie II : Authentification») est nécessaire pour accéder à un poste dans une zone protégée; b) on doit pouvoir appliquer au moins un niveau de filtre (pour bloquer, par exemple, le protocole de communication Netbios); c) une adresse IP ne peut être obtenue de façon anonyme dans une zone protégée; l adresse IP doit toujours être reliée directement au poste Zone démilitarisée (ou «DMZ») Une zone démilitarisée est un cas particulier d une zone protégée qui sert de relais entre une zone privée et une zone possédant un moins grand niveau de sécurité (Internet, publique ou protégée) Zone privée Une zone privée est une zone protégée où sont traitées des informations hautement confidentielles. Les règles de sécurité y sont les plus strictes. Une zone privée contient plus souvent des serveurs que des postes de travail. Il est généralement impossible d accéder aux données d une zone privée sans passer par une zone démilitarisée qui sert de relais Zone à accès direct Une zone à accès direct est un cas particulier d une zone protégée ou privée qui n est pas reliée derrière le coupe-feu central. Une approbation préalable du membre du comité de direction responsable du STI est nécessaire à l établissement d une telle zone. 1.3 Relation entre les réseaux et les zones Le tableau suivant montre dans quels types de zones peuvent se trouver certains types de réseaux. Zones Réseau Publique Protégée DMZ Privée Local sans serveur Peut être Peut être Ne peut être Peut être Local avec serveur Ne peut être Peut être Peut être Peut être Dorsal Ne peut être Doit être S/O S/O De laboratoire Peut être Peut être Ne peut être Peut être Sans fil Devrait être Sous condition (*) Ne peut être Ne peut être S/O : sans objet (*) : des dispositions d authentification et de chiffrement telles que décrites aux sections 3.2 et 3.3 de la partie VII doivent être mises en place Notez que le réseau universitaire n apparaît pas dans le tableau qui précède puisqu il s agit d un regroupement logique de réseaux d autres types (locaux, dorsal). De même, les zones à accès direct n apparaissent pas parce qu il s agit de cas particuliers d autres types de zones. Finalement, les zones autonomes et la zone Internet n apparaissent pas non plus dans le tableau puisqu ils ne font pas partie du réseau universitaire. Règles de sécurité informatique Page 8

9 Afin d éviter l affaiblissement des règles de sécurité, toute connexion à la zone Internet qui n est pas fournie ou gérée par le STI doit être déclarée au STI et supervisée par la ou le responsable du secteur (on parle ici par exemple de connexions par modem conventionnel, modem câble ou modem DSL). Une telle connexion n est permise que dans le cas de réseaux autonomes. 1.4 Les mouvements d informations d une zone à l autre Le tableau suivant montre les mouvements d informations qui sont permis entre les différents types de zones. C est l initiation d une nouvelle connexion qui est régie par ces règles, les réponses à des connexions permises initiées dans un sens étant implicitement permises dans l autre sens. Connexion initiée de Vers Internet Publique Protégée DMZ Privée Internet S/O Contrôlé Contrôlé Contrôlé Non permis Publique Permis S/O Contrôlé Contrôlé Non permis Protégée Permis Permis S/O Contrôlé Restreint DMZ Permis Permis Permis S/O Restreint Privée Restreint Restreint Restreint Permis S/O Légende : S/O : Permis : Contrôlé : sans objet (il ne s agit pas d un changement de zone) permis sans restriction communication chiffrée et/ou contrôlée par des filtres, par exemple sur le numéro de port, mais sans authentification (accès anonyme) Restreint : accès très restreint, contrôlé par l adresse IP du poste client ou par le CIP de la personne qui veut accéder à une ressource Règles de sécurité informatique Page 9

10 1.5 Schéma Le schéma suivant illustre les différents concepts exposés dans cette section et montre la relation entre les réseaux et les zones. Internet sites éloignés réseau dorsal réseaux locaux Zone réseaux RPV réseaux sans-fil Secteur Réseau Universitaire secteur Dorsal routeur Internet secteur fac/serv Zone accès direct Zone DMZ UdeS routeur dorsal coupe-feu UdeS avec contrôle d'accès coupe-feu fac/serv coupe-feu fac/serv Zone protégée Zone privée routeur dorsal Réseau dorsal UdeS routeur dorsal routeur distribution Zone DMZ interne Zone autonome coupe-feu avec contrôle d'accès Zone publique Règles de sécurité informatique Page 10

11 PARTIE II : RÈGLES DE SÉCURITÉ CONCERNANT L AUTHENTIFICATION 2.1 Vue d'ensemble L authentification est une procédure consistant à vérifier ou à valider l identité d une personne ou l identification de toute autre entité, lors d un échange électronique, pour contrôler l'accès à un réseau, à un système informatique ou à un logiciel. La méthode d authentification de loin la plus courante consiste en un code d accès et un mot de passe mais d autres méthodes existent aussi. Les sections suivantes définissent en détail la protection des codes d accès et des mots de passe et survolent les autres méthodes d authentification. 2.2 But Le but de ces règles de sécurité est d établir des normes en ce qui consiste l authentification, de même que la création de mots de passe suffisamment sécuritaires, la protection de ces mots de passe, et leur fréquence de changement. 2.3 Étendue Ces règles de sécurité s appliquent à toute personne qui s authentifie pour accéder à un poste de travail, un serveur, un réseau ou un logiciel sur le réseau universitaire. 2.4 Code d accès et mots de passe Introduction La méthode d authentification de loin la plus courante consiste en un code d accès qui peut être public (par exemple le CIP) et un mot de passe qui lui est associé et qui est toujours privé. Les codes d accès et les mots de passe sont un aspect important de la sécurité d un poste de travail ou d un serveur; ils sont la ligne de front pour la protection des données de l usagère ou de l usager. Un mot de passe mal choisi peut même compromettre l intégrité du réseau universitaire. Toute usagère ou tout usager du réseau universitaire, de même que les entreprises et leurs représentants ayant accès au réseau universitaire, est responsable de prendre les mesures appropriées, comme décrites ci-dessous, pour choisir et sécuriser son mot de passe Responsabilité L usagère ou l usager est en tout temps responsable de toute forme de communication effectuée grâce à l utilisation d un code d accès et du mot de passe qui lui est associé et elle ou il voit à les protéger Types de codes d accès On peut distinguer quatre types de codes d accès : Code d accès personnel Un code d accès personnel en est un qui est alloué individuellement à une usagère ou un usager par l administratrice ou l administrateur à titre strictement personnel et confidentiel. Il ne comporte que les privilèges minimaux nécessaires pour accomplir les tâches régulières requises par la personne à qui il est alloué. Un code d accès personnel peut donner accès à différents types de services, par exemple : Règles de sécurité informatique Page 11

12 a) l accès à un poste de travail, soit pour l authentification initiale au début de la session de travail ou pour désactiver l économiseur d écran; b) l accès à un compte de courriel; c) l accès à des fichiers ou à des imprimantes disponibles sur un serveur; d) l accès à une application administrative; e) l accès à des données stockées dans une base de données; f) pour les gestionnaires de sites Web, l accès au contenu d un site Web; g) l accès à site Web transactionnel; h) l accès à un serveur de copies de sécurité Code d accès de groupe a) Un code d accès et un mot de passe de groupe peuvent être alloués à un membre désigné responsable de ce groupe. Dans ce cas la personne responsable du groupe se porte garante de l utilisation qui est faite du code d accès de groupe. b) Seul le responsable d un groupe peut dévoiler le mot de passe associé au code d accès, ou le modifier Code d accès système Un code d accès système comporte les particularités suivantes : a) beaucoup plus de privilèges sont associés aux codes d accès système qu aux autres types de codes d accès; b) un code d accès système est utilisé pour modifier la configuration d un serveur ou d un poste de travail, ou encore pour accéder à la configuration d une composante importante d un progiciel comme c est le cas pour les codes d administrateurs de bases de données. Ces caractéristiques font qu il est crucial de bien encadrer l utilisation des codes d accès système et des mots de passe qui leur sont associés. Des règles particulières à cet effet sont d ailleurs énumérées à la section Code d accès générique Dans certaines circonstances particulières, lorsqu il n y a pas moyen de faire autrement, un code d accès et un mot de passe générique peuvent être utilisés. Toutes les précautions doivent alors être prises pour limiter au minimum les privilèges du code d accès générique Règles générales concernant les mots de passe Changement et choix du mot de passe a) Chaque usagère ou usager a la responsabilité de choisir un mot de passe difficile à deviner; un mot de passe est plus sécuritaire s il contient au moins 8 caractères et inclut des lettres minuscules et majuscules de même que des chiffres et des caractères spéciaux. b) Plus un mot de passe est utilisé pendant une longue période, plus les chances qu il soit compromis sont grandes; ainsi il est recommandé de changer un mot de passe régulièrement, au moins une fois par année Divulgation, conservation et transfert d un mot de passe a) Une usagère ou un usager, de même qu une ou qu un responsable de groupe ou un membre du groupe à qui les informations sont communiquées, ne peut, en aucun cas, communiquer, transmettre ou dévoiler d aucune façon son mot de passe à une autre usagère ou à un autre usager, ou à un tiers, incluant les adjointes administratives ou adjoints administratifs, les responsables de secteur et les secrétaires. Règles de sécurité informatique Page 12

13 b) Les mots de passe ne doivent jamais être conservés par écrit ou en ligne à moins d utiliser un mécanisme sécuritaire. De même, les mots de passe ne peuvent en aucun cas être stockés sur disque ou circuler sur le réseau en texte clair; ils doivent être chiffrés. c) Lorsque techniquement réalisable, un algorithme de chiffrement à sens unique doit être utilisé pour le stockage des mots de passe Mot de passe compromis a) Une usagère ou un usager qui croit que son mot de passe a pu être deviné ou compromis doit rapporter l'incident à la ou au responsable de son secteur ou à l équipe de sécurité informatique du STI et modifier immédiatement ce mot de passe Divers a) Le même mot de passe ne doit pas être utilisé à l Université de Sherbrooke et dans un contexte personnel (par exemple, un compte de fournisseur d accès Internet pour la maison, un site de commerce en ligne, un serveur public de courrier électronique comme hotmail ou yahoo, etc.). b) Une recherche de mots de passe peut être réalisée périodiquement ou aléatoirement par la ou le responsable d un secteur ou l équipe de sécurité informatique du STI dans le but de découvrir des mots de passe trop faciles à découvrir. Si un mot de passe est trouvé pendant une de ces recherches, l usagère ou l usager devra le modifier ou, à défaut, son code d accès sera désactivé. c) Lorsque techniquement réalisable, des mécanismes empêchant les usagères et usagers de choisir des mots de passe simples doivent être mis en place Règles particulières concernant les codes d accès système a) En temps normal seul le personnel spécialisé en informatique travaillant sous la supervision de la ou du responsable du secteur peut détenir un code d accès système et le mot de passe qui lui est associé. Si ce n est pas le cas, une autorisation préalable de la ou du responsable du secteur est nécessaire. b) Lorsqu un code d accès système est partagé par plus d une personne, le nombre de personnes doit être maintenu au minimum. c) Les mots de passe des codes d accès système doivent être différents de tous les autres codes d accès personnels ou de groupe détenus par une même personne. d) Les mots de passe des codes d accès système doivent être changés au moins à tous les quatre mois. e) Lorsque ceci est techniquement possible, des mécanismes de journalisation doivent être mis en place pour qu il soit possible d identifier qui a utilisé un code système partagé par plusieurs personnes. f) On doit maintenir un registre sécurisé des codes d accès système, des mots de passe qui leur sont associés et des personnes qui les détiennent. 2.5 Autres méthodes d authentification D autres méthodes d authentification existent; dans tous les cas, toutes les précautions nécessaires doivent être prises pour que le but visé par le processus d authentification soit respecté et que seules les personnes autorisées puissent accéder à la ressource protégée. Voici d autres méthodes d authentification et les précautions à prendre lorsque chacune de ces méthodes est utilisée Biométrie La biométrie consiste en l analyse mathématique des caractéristiques biologiques d'une personne (empreintes digitales, pupille des yeux, visage, voix), destinée à déterminer son identité de manière irréfutable. Règles de sécurité informatique Page 13

14 Lorsque la biométrie est utilisée, il faut s assurer que l algorithme utilisé pour reconnaître une personne par rapport à une autre soit suffisamment raffiné pour ne pas que la mauvaise personne soit authentifiée. Si des mots de passe sont impliqués dans le processus d authentification (par exemple, lorsque l empreinte digitale de la bonne usagère ou du bon usager est reconnue, un logiciel fournit le mot de passe préalablement enregistré au système), toutes les dispositions relatives aux mots de passe doivent aussi être respectées. Notez que les articles 44 et 45 de la Section II du Chapitre III de la Loi concernant le cadre juridique des technologies de l information (L.Q. 2001, c.32) (Loi sur les technologies de l information) contient certaines dispositions particulières concernant la biométrie, notamment l obligation d obtenir le consentement exprès de la personne concernée et de divulguer à la Commission d accès à l information la création ou l existence d une banque de mesures ou caractéristiques biométriques Infrastructure à clé publique Une infrastructure à clé publique (appelée «PKI» en anglais) est un système de cryptographie asymétrique utilisant deux clés (clé publique et clé privée) permettant de sécuriser les transactions électroniques et les échanges d information confidentiels. Si ce système d authentification est utilisé, il faut absolument fournir une phrase secrète lors de la génération de la clé privée lorsque c est techniquement réalisable. De même, la protection de la clé secrète est cruciale Serrure physique Dans certains cas la seule méthode de contrôle disponible en est une physique, à savoir une serrure pouvant être ouverte avec un code numérique ou une clé physique. S il s agit d une serrure avec un code numérique, il faut donner un code numérique différent à chaque personne ayant accès au local. Les codes doivent être désactivés lorsqu une personne quitte ou perd le droit d accès au local. Il est aussi fortement recommandé d enregistrer toutes les entrées et sorties. Lorsqu il s agit d une serrure à clé physique, les règles normales de sécurité physique s appliquent : comptabiliser les clés qui sont distribuées, les récupérer lorsque les gens quittent, etc. Dans tous les cas où une serrure est impliquée, les usagères et usagers doivent être sensibilisés à la sécurité des accès; ils doivent ainsi refermer derrière eux une porte barrée et ne pas laisser entrer avec eux des personnes n ayant pas droit d accès. Règles de sécurité informatique Page 14

15 PARTIE III : RÈGLES D AUDIT 3.1 But Fournir l'autorité nécessaire aux responsables de secteurs et à l équipe de sécurité informatique du STI pour mener, lorsque requis, un audit de sécurité sur toute ressource informationnelle de l Université de Sherbrooke, en collaboration avec l usagère ou l usager de la ressource ou la ou le responsable du secteur sauf en cas de force majeure. Les audits peuvent être menés pour : a) assurer l intégrité, la confidentialité et la disponibilité des informations et des ressources; b) enquêter sur des incidents touchant la sécurité; c) s assurer de la conformité de tout système informatique aux présentes règles. 3.2 Étendue Ces règles d audit s appliquent à toutes les ressources informationnelles de l Université de Sherbrooke. 3.3 Règles La ou le responsable d un secteur ou un membre de l équipe de sécurité informatique peut initier une opération d audit sur un poste de travail ou un serveur si des opérations suspectes y sont constatées ou pour des raisons préventives. La ou le responsable du poste ou du serveur visé collabore avec l initiatrice ou l initiateur de l opération d audit par une ou plusieurs des actions suivantes : a) en répondant aux questions posées par l initiatrice ou l initiateur de l opération d audit; b) en initiant une session de travail avec un code d accès détenant suffisamment de privilèges (typiquement un code d accès système) et en exécutant certaines commandes demandées par l initiatrice ou l initiateur de l opération d audit; c) en initiant une session de travail avec un code d accès détenant suffisamment de privilèges (typiquement un code d accès système) et en laissant l initiatrice ou l initiateur de l opération d audit exécuter elle-même certaines commandes; d) en corrigeant les lacunes qui pourraient être constatées lors de l opération d audit. Les accès directs via la console du poste ou du serveur seront privilégiés, les accès distants n étant utilisés qu en dernier recours. Les commandes exécutées ne doivent pas gêner le bon fonctionnement d un serveur, sauf en cas d urgence où l arrêt d un service ou le redémarrage d un serveur pourrait être rendu nécessaire. Suite à une opération d audit, un rapport écrit sera remis à la ou au responsable du poste ou du serveur et, selon la gravité, à la responsable administrative ou au responsable administratif. 3.4 Auto-évaluation L Université encourage les usagères et les usagers à évaluer périodiquement leur situation en sécurité informatique. L équipe de sécurité informatique du STI et les responsables de secteurs peuvent assister les usagères et usagers dans cette démarche. Règles de sécurité informatique Page 15

16 PARTIE IV : RÈGLES DE SÉCURITÉ POUR LES POSTES DE TRAVAIL 4.1 But Le but de ces règles de sécurité est d établir les standards de sécurité pour la configuration des postes de travail qui sont possédés et/ou opérés par l Université de Sherbrooke. La mise en oeuvre efficace de ces règles minimisera l'accès non autorisé aux informations et aux technologies de l Université de Sherbrooke. 4.2 Étendue Ces règles de sécurité s appliquent à tous les postes de travail qui sont reliés au réseau universitaire. Dans le cas des systèmes embarqués, toute règle techniquement applicable doit être mise en œuvre. 4.3 Responsabilités a) Chaque usagère ou usager d un poste de travail respecte les dispositions contenues dans le Règlement : Utilisation des équipements et des ressources informatiques et de télécommunication. b) Chaque usagère ou usager d un poste de travail relié au réseau de l Université de Sherbrooke est responsable de son activité sur celui-ci. Elle ou il s abstient notamment de toute activité illégale, malicieuse ou contraire à la mission de l Université. c) Chaque usagère ou usager d un poste de travail rapporte à la ou au responsable de son secteur toute violation de ces règles et toute information relative à un défaut du système de sécurité ou à une intrusion. d) Chaque usagère ou usager d un poste de travail prend des mesures raisonnables pour protéger l accès aux données accessibles via le poste, par exemple en verrouillant le poste s il est laissé sans surveillance, en ne laissant pas directement sur le poste des informations sensibles transférées d une autre source ou d un serveur, ou en utilisant le moins possible des accès supérieurs à la normale.. e) La ou le responsable de secteur (ou la ou le propriétaire d un poste personnel, le cas échéant) voit à ce que toutes les mesures soient prises pour que le poste ne puisse se livrer à aucune activité illégale, malicieuse ou contraire à la mission de l Université. Ceci inclut autant les actions sur le réseau universitaire lui-même que celles sur la zone Internet par l intermédiaire du réseau universitaire. 4.4 Règles Règles de configuration d un poste de travail Les règles de configuration suivantes doivent être respectées pour qu un poste puisse être branché sur le réseau universitaire : a) Le système d exploitation du poste doit nécessiter une authentification (par code d accès et mot de passe ou mieux voir «Partie II : Authentification») avant qu il ne soit possible d utiliser le poste. b) Des copies de sécurité doivent être prises régulièrement, idéalement à tous les jours. c) Les logiciels du poste, incluant le système d exploitation, doivent être le plus à jour possible, conformément aux recommandations du fournisseur. d) Le poste doit être muni d un logiciel antivirus à jour et fonctionnel. e) Le poste doit être muni d un économiseur d écran protégé par un mot de passe et s activant dans un délai raisonnablement court sauf si de telles pratiques nuisent à l accessibilité des ressources (c est le cas dans des laboratoires ou des salles publiques partagées par un grand nombre de personnes) ou si un autre moyen existe pour empêcher l accès au poste par des personnes non autorisées (c est le cas des bureaux individuels verrouillés). Règles de sécurité informatique Page 16

17 f) Lorsque techniquement réalisable, la journalisation des activités système doit être activée; l information la plus importante à journaliser est le code d accès de toute personne utilisant le poste de travail, accompagné de la date et de l heure de l utilisation. g) Le poste doit se comporter comme un client de services réseau, et non comme un serveur sauf lorsque requis par une procédure d audit ou de support technique. h) Le poste ne doit effectuer aucune opération qui ne soit conforme à la mission de l Université; notamment, tel que l article 3.4 du Règlement sur l utilisation des équipements et des ressources informatiques et de télécommunication l y autorise, l Université de Sherbrooke interdit toute utilisation des logiciels d échange poste à poste (souvent désignés selon les appellations «peer-to-peer» ou «p2p» en anglais), sauf pour des usages professionnels justifiés. En outre, le personnel de soutien informatique du STI, des facultés et des services peut refuser toute demande de service, ou choisir de débrancher le poste du réseau selon les règles locales, tant qu un tel logiciel est installé sur un poste de travail. i) Tout autre logiciel avide de bande passante doit être utilisé modérément, en particulier s il ne correspond pas à la mission de l Université; la radio Internet, par exemple, est à proscrire à moins d en justifier l usage Règles particulières pour les zones protégées a) Toute personne désirant relier un poste au réseau dans une zone protégée obtient préalablement la permission de la ou du responsable du secteur. Cette dernière voit à la configuration et l administration du poste, ou, le cas échéant, elle vérifie au moins que le poste respecte les règles de configuration de la section 4.1. Dans certains cas (groupes de recherche, organismes, etc.), cette responsabilité peut être déléguée à une autre personne (le cas échéant, ceci doit être indiqué dans l inventaire). b) L usagère ou l usager s engage à ne pas modifier la configuration du poste de façon à ce que les dispositions de la section 4.1 ne soient plus respectées à moins d en avertir la ou le responsable du secteur. c) L administratrice ou l administrateur d une zone protégée voit à ce qu aucun poste ne puisse obtenir une adresse IP dynamiquement qui ne soit pas liée directement au poste. d) Toutes les prises réseau desservant une zone protégée doivent être dans des locaux à accès limité, à l exception des laboratoires d enseignement. e) Tout poste de travail doit être enregistré dans un inventaire; lorsqu un outil d inventaire centralisé sera disponible, cette information devra s y trouver. Cette information doit être gardée à jour en tout temps. Le minimum d informations requis est : o la ou le responsable du poste; o son emplacement; o le type d usage qui est fait (administration, recherche, enseignement, etc.); o le système d exploitation installé et sa version; o l adresse IP du poste; o l adresse MAC (adresse Ethernet de bas niveau) du poste Règles particulières pour les zones publiques a) Dans une zone publique, l obtention d une adresse IP de façon «anonyme» est tolérée même si une approbation préalable par la ou le responsable de secteur n est pas toujours possible, mais une authentification par code d accès personnel et mot de passe est requise avant que le poste ne puisse accéder au réseau. L information d authentification doit être journalisée pour pouvoir à tout moment associer une personne à l activité réseau d un poste. b) Pour protéger l intégrité du réseau dorsal, les accès peuvent être limités puisque personne ne peut garantir que les directives de la section 4.1 sont respectées. c) Les responsables de secteurs doivent regrouper les prises publiques dans un ou plusieurs segments différents des zones protégées pour qu il soit facile de les identifier. Règles de sécurité informatique Page 17

18 PARTIE V : RÈGLES DE SÉCURITÉ POUR LES SERVEURS 5.1 But Le but de ces règles de sécurité est d établir les standards de sécurité pour la configuration des serveurs qui sont possédés et/ou opérés par l Université de Sherbrooke. La mise en oeuvre efficace de ces règles minimisera l'accès non autorisé aux informations et aux technologies de l Université de Sherbrooke. 5.2 Étendue Ces règles de sécurité s appliquent à tous matériels serveurs possédés et/ou opérés par l Université de Sherbrooke de même qu aux applications qui y sont installées, qu ils soient localisés dans les locaux de l Université de Sherbrooke ou ailleurs. Dans le cas des systèmes embarqués, toute règle techniquement applicable doit être mise en œuvre. 5.3 Règles Règles générales a) Tous les serveurs déployés à l Université de Sherbrooke doivent appartenir à un groupe opérationnel (secteur) dont la ou le responsable voit à la configuration et à l administration. Dans certains cas (groupes de recherche, organismes, etc.), cette responsabilité peut être déléguée à une autre personne (le cas échéant, ceci doit être indiqué dans l inventaire). b) La meilleure protection contre les attaques consistant à limiter le nombre de serveurs et de services en fonction, il est fortement recommandé de ne déployer que le nombre strictement minimal de serveurs de chaque type (serveurs de fichiers, serveur Web, etc.) dans un secteur, particulièrement dans le cas de ceux qui sont visibles à partir de l extérieur du campus. c) Les configurations sécuritaires des serveurs doivent être établies et maintenues par chaque groupe en fonction des recommandations du STI. d) Les serveurs doivent être reliés à une zone dont le niveau de sécurité est proportionnel à la sensibilité des informations qu ils contiennent. e) Les serveurs doivent être physiquement localisés dans un local à accès restreint. f) Les serveurs doivent être enregistrés dans l inventaire des serveurs du STI. Cette information doit être gardée à jour en tout temps. Le minimum d informations requis est : o la ou le responsable du serveur; o son emplacement; o le type de matériel; o le système d exploitation installé et sa version; o l adresse IP du serveur; o l adresse MAC (adresse Ethernet de bas niveau) du serveur; o les services rendus avec, pour chacun, le logiciel d application qui rend le service, sa version, et une indication à savoir si le service doit être visible de l extérieur du campus ou pas. Seuls les services ainsi déclarés seront visibles à partir de l extérieur du réseau universitaire; o le type d usage qui est fait (administration, recherche, enseignement, etc.) Règles de configuration d un serveur a) Le système d exploitation d un serveur doit nécessiter une authentification (par code d accès et mot de passe ou mieux) approuvée par le STI avant qu il ne soit possible d utiliser le serveur. b) Lorsque techniquement réalisable, des mécanismes empêchant les usagères et usagers de choisir des mots de passe simples doivent être mis en place. c) Les logiciels d un serveur, incluant le système d exploitation, doivent être le plus à jour possible, conformément aux recommandations du fournisseur. En outre, les plus récents correctifs logiciels doivent être installés sur le système dès que ceux-ci sont disponibles, sauf en cas de dysfonctionnement du système provoqué par ces correctifs. Règles de sécurité informatique Page 18

19 d) Des copies de sécurité doivent être prises régulièrement, idéalement à tous les jours. e) Le serveur doit être muni d un logiciel antivirus à jour et fonctionnel. f) L utilisation d un économiseur d écran avec mot de passe s activant dans un délai raisonnablement court est fortement recommandée. g) Les services et applications qui ne seront pas utilisés doivent être désactivés. h) L'accès aux services doit être journalisé et/ou protégé par l intermédiaire de systèmes d authentification lorsque techniquement possible. i) Le principe du «privilège minimal» pour effectuer une opération doit être mis en pratique. Ainsi, il ne faut pas utiliser un compte système pour faire des opérations qu un compte personnel peut effectuer Règles particulières pour certains types de serveurs Dans certains cas, des règles particulières peuvent exister pour régir certains types de serveurs, par exemple les serveurs de courrier électronique ou les serveurs de noms. Ces règles doivent être respectées comme si elles faisaient partie du présent document Règles de surveillance a) Tous les journaux d activité doivent être révisés à intervalle régulier proportionnel à leur importance pour détecter des événements inhabituels de sécurité informatique. Pour les journaux les plus critiques, la fréquence recommandée est à tous les jours, mais ne doit pas être moindre qu une fois par semaine. b) Les journaux d activité doivent être conservés en ligne pour accès rapide pour au moins un mois, et hors ligne (par exemple archivés sur CD ou sur ruban magnétique) pour au moins un an. c) Tous les événements en rapport avec la sécurité des systèmes sensibles doivent être rapportés à l équipe de sécurité informatique du STI qui les examinera, et les conservera. Des mesures correctives pourront alors être prescrites. Les événements en rapport avec la sécurité incluent, mais ne sont pas limités : o aux attaques par détection de port. o aux tentatives d accès non autorisé aux comptes systèmes. o aux événements anormaux qui ne sont pas en rapport avec les applications spécifiques sur le serveur. 5.4 Conformité Dans le but de vérifier que les serveurs se conforment aux présentes règles de sécurité, des audits seront exécutés sur une base régulière et/ou aléatoire par les responsables de secteurs ou l équipe de sécurité informatique du STI, conformément à la «Partie III : Règles d audit». Règles de sécurité informatique Page 19

20 PARTIE VI : RÈGLES RELATIVES À LA DISPOSITION D ÉQUIPEMENTS 6.1 But Le but de ces règles est de s assurer que la disposition de tout équipement informatique se fait sans causer de fuite d information confidentielle ou sensible et dans le respect des lois de propriété intellectuelle. 6.2 Étendue Ces règles de sécurité s appliquent lors de la disposition de tout équipement informatique tels les postes de travail, serveurs, commutateurs, coupe-feu, systèmes embarqués ou autres. Ces règles s appliquent aussi à toute unité de stockage d information telles les disquettes, les CD, les clés USB ou les disques durs externes. 6.3 Règles Lors de la disposition d équipements informatiques, la ou le responsable de secteur voit à ce que les règles suivantes soient respectées : a) Dans tous les cas la réutilisation d un appareil ou d une unité de stockage est préférée (le programme de revalorisation des équipements informatiques est un bon exemple de réutilisation d équipements). Lorsque la réutilisation est non bénéfique ou impossible, des méthodes de disposition permettant la récupération des matériaux sont fortement encouragées; b) S il s agit d un ordinateur (poste de travail, serveur ou système embarqué) possédant un ou plusieurs disques durs avec un système d exploitation, des logiciels et des données, le ou les disques durs devraient être complètement reformatés. Même si les licences du système d exploitation et de certains logiciels peuvent être cédées sans contrevenir aux droits de propriété intellectuelle, le ou les disques durs doivent tout de même être reformatés, après quoi le système d exploitation et les logiciels pouvant légalement être cédés doivent être réinstallés. c) S il s agit d un commutateur, d un coupe-feu d un système embarqué ou de tout autre système dont la configuration est stockée dans une mémoire non volatile, tous les paramètres de configuration doivent être effacés en restaurant la configuration d origine, souvent appelée «réglages d usine» ou «factory default». d) S il s agit d une unité de stockage sur laquelle l information peut être effacée (disquette, clé USB, disque dur externe, etc.), l information doit être effacée de façon à ne pas pouvoir être récupérée; e) S il s agit d une unité de stockage sur laquelle l information ne peut être effacée parce qu elle est stockée en lecture seulement (CD, DVD, etc.), l information doit être rendue illisible avant que l on dispose de l unité de stockage. Règles de sécurité informatique Page 20

21 PARTIE VII : RÈGLES DE SÉCURITÉ POUR LES COMMUNICATIONS SANS FIL 7.1 But Ces règles de sécurité ont pour objectif d interdire l accès au réseau universitaire par des dispositifs de connexion réseau sans fil non sécuritaires. Seuls les systèmes de réseaux sans fil qui respecteront ces règles ou ceux qui auront reçu l autorisation du STI seront autorisés à accéder au réseau universitaire. 7.2 Étendue Ces règles de sécurité s appliquent à tous les appareils de communication sans fil (par exemple ordinateurs individuels, téléphones cellulaires, agendas électroniques, etc.) connectés au réseau de l Université de Sherbrooke. Les appareils et/ou les réseaux sans fil qui ne sont pas connectés au réseau de l Université de Sherbrooke ne sont pas soumis à ces règles à moins qu ils n interfèrent avec un réseau sans fil de l Université de Sherbrooke. 7.3 Règles Infrastructure sans fil Étant donné la difficulté de contrôler la portée des ondes et les appareils qui s en servent (ordinateurs, assistants numériques personnels), nous devons appliquer les dispositions suivantes : a) tout appareil utilisant une connexion sans fil doit être relié à l infrastructure sans fil institutionnelle de l Université de Sherbrooke; b) dans les cas où l infrastructure sans fil institutionnelle ne répondrait pas à des besoins particuliers, une autorisation préalable du STI doit avoir été obtenue avant le déploiement d une autre infrastructure sans fil; c) le STI peut prendre tous les moyens nécessaires pour détecter et désactiver tout appareil de réseau sans fil non autorisé; d) un réseau sans fil devrait se trouver dans une zone publique; il peut par exception se trouver dans une zone protégée; dans ce cas des dispositions d authentification et de chiffrement doivent être mises en place; e) l ajout d une borne sans fil sans chiffrement ou sans authentification à une zone existante la transforme en zone publique Dispositions relatives à l authentification a) Les dispositions du paragraphe de la «Partie I : Réseaux et zones» s appliquent, en particulier le fait qu une authentification est nécessaire pour sortir de la zone. b) Dans le cas particulier d un accès sans fil, une authentification par adresse MAC (le point d accès sans fil n accepte pas d établir la communication avec la carte d accès sans fil d un poste si son adresse MAC n est pas connue de lui) est acceptable Dispositions relatives au chiffrement Le chiffrement d une communication sans fil est fortement souhaité. Si le réseau sans fil se trouve dans une zone publique, qu aucune donnée confidentielle n est échangée et que les usagères et usagers en sont bien informés, on peut tolérer qu un réseau sans fil ne soit pas chiffré. Si par contre le réseau sans fil est dans une zone protégée ou que des informations confidentielles sont échangées, les accès sans fil doivent être chiffrés par une des méthodes suivantes : a) l établissement d une session RPV tel que décrit dans la «Partie VIII : Règles de sécurité pour l utilisation des Réseaux Privés Virtuels (RPV)», ou b) l utilisation de la meilleure méthode de chiffrement disponible sur les appareils utilisés (par exemple, WEP ou WPA); c) le chiffrement au niveau applicatif (ssl, ssh, https, imaps, ldaps, etc.). Règles de sécurité informatique Page 21