Guide d exigences de sécurité des téléprocédures types

Transcription

1 M i n i s t è r e d u B u d g e t e t d e l a R é f o r m e d e l E t a t D G M E / S D A E P R E M I E R M I N I S T R E S G D N - D C S S I =========== Guide d exigences de sécurité des téléprocédures types Guide d exigences =========== VERSION 1.0 Guide d' Types V1.0 15/12/2006 Public 1/82

2 Guide d' Types - Guide d' Types. Référence Date Types- V1.0.doc 15/12/2006 Identification d objet (OID) Racine OID et gestionnaire DGME/SDAE Version DGME/SDAE-SGDN/DCSSI V1.0 Critère de diffusion Nombre de pages Public 82 HISTORIQUE DES VERSIONS DATE VERSION EVOLUTION DU DOCUMENT REDACTEUR Octobre Création du document FIDENS Décembre Modification de l homologation DCSSI/SDAE Guide d' Types /12/2006 Public 2/82

3 Guide d' Types - SOMMAIRE 1 GESTION DES RISQUES DE SECURITE DES SYSTEMES D'INFORMATION [GR] APPRECIATION ET TRAITEMENT DES RISQUES ACCEPTATION / HOMOLOGATION POLITIQUE DE SECURITE ORGANISATION DE LA SECURITE TIERS GESTION DES BIENS SECURITE LIEE AU PERSONNEL SECURITE PHYSIQUE ET ENVIRONNEMENTALE SECURITE RESEAU SECURITE DES ECHANGES DE DONNEES SECURITE DES SERVEURS ET DES SYSTEMES SECURITE DES APPLICATIONS ET DES DONNEES APPLICATIVES GESTION DE L EXPLOITATION CONTROLE D ACCES ACQUISITION, DEVELOPPEMENT ET MAINTENANCE GESTION DES INCIDENTS GESTION DU PCA CONFORMITE ET VERIFICATION Guide d' Types /12/2006 Public 3/82

4 Guide d' Types - 1 Gestion des risques de sécurité des systèmes d'information [GR] 1.1 Appréciation et traitement des risques [GR_AR] Appréciation des risques (analyse et évaluation) Promoteur d application Sécurité Fonctionnel, promoteur d application, représentant «métiers», représentant maîtrise d oeuvre Dossier d analyse et de traitement réalisé Niveau minimal Tout promoteur d application doit mettre en évidence les risques pesant sur sa téléprocédure (analyse des risques) et les hiérarchiser (évaluation des risques). Il est recommandé de procéder à l appréciation des risques (analyse et évaluation) à l aide de la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), publiée par la DCSSI. Le Promoteur d Application pourra s appuyer sur les dossiers d analyse des besoins des téléprocédures type élaborés par la DGME, en se référant à la téléprocédure proche de sa problématique. Une échelle de besoin a été définie par la DGME pour aider les promoteurs d application dans leur analyse ; il est recommandé d utiliser cette échelle, de manière à produire des résultats homogènes et comparables en terme d expression de besoin. L échelle de besoin proposée est présentée dans la collection documentaire support à l analyse de risques élaborée par la DGME. [GR_TR] Traitement des risques Promoteur d application Sécurité Fonctionnel, promoteur d application Composante traitement du dossier d analyse de risques renseignée Niveau minimal Pour chaque risque identifié, le promoteur d application devra signifier son choix : Guide d' Types /12/2006 Public 4/82

5 Guide d' Types - Application de mesures du guide d exigences pour traiter le risque Acceptation du risque, avec planification de traitement ultérieur ou non Annulation du risque en interdisant les actions susceptibles de les provoquer Transfert du risque à un tiers Il conviendra également de mettre en évidence les éventuels risques résiduels induits par ce choix. Les objectifs de sécurité seront précisés afin de permettre la sélection des exigences adaptées dans le présent guide. [GR_AG] Approbation de la stratégie de traitement des risques Autorité d Homologation Autorité d Homologation Dossier d analyse et de traitement des risques approuvé Niveau minimal Un rapport d appréciation et de traitement des risques sera transmis à l autorité d homologation pour approbation (la forme de communication sera adaptée à l'autorité d'homologation). [GR_IN] Identification du niveau de sécurité nécessaire Promoteur d application Sécurité Fonctionnel, promoteur d application Niveau de sécurité identifié et justifié Le promoteur d'application doit identifier le niveau de sécurité correspondant à ses besoins. Le niveau de sécurité sera exprimé selon le référentiel suivant : Niveau Minimal Standard élevé Guide d' Types /12/2006 Public 5/82

6 Guide d' Types - Minimal Les informations traitées par la téléprocédure ont un caractère public ; ce sont des informations pour lesquelles le non respect de la confidentialité, la disponibilité ou l intégrité aurait une incidence mineure pour leur propriétaire ou leur dépositaire. Standard Les informations traitées peuvent présenter un caractère privé, sans être du type sensible non classifié de défense ; ce sont des informations pour lesquelles le non respect de la confidentialité, l intégrité ou la disponibilité pourrait avoir une incidence non négligeable en terme d image, en terme financier, en terme de savoir faire, pour leur dépositaire ou leur propriétaire. Élevé Les informations traitées par la téléprocédure sont de type sensible non classifiées de défense : ce sont des informations pour lesquelles le non respect de la confidentialité, la disponibilité ou l intégrité mettrait en cause la responsabilité du propriétaire ou du dépositaire, ou causerait un préjudice à eux-mêmes ou à des tiers. A titre d exemple, on peut citer : 1/ Les informations citées à l article 6 de la loi n du 17 juillet 1978 portant diverses mesures d amélioration des relations entre l administration et le public, dont la consultation ou la communication, selon les termes de la loi, porteraient atteinte : Au secret des délibérations du Gouvernement et des autorités responsables relevant du pouvoir exécutif (si elles ne sont pas, par ailleurs, protégées par le secret de défense) ; A la monnaie et au crédit public, à la sécurité publique ; Au déroulement des procédures engagées devant les juridictions ou d opérations préliminaires à de telles procédures ; Au secret de la vie privée, des dossiers personnels et médicaux ; Au secret en matière commerciale et industrielle ; A la recherche, par les services compétents, des infractions fiscales et douanières ; Ou de façon générale, aux secrets protégés par la loi. 2/ Les informations qui ne présentent pas un caractère de secret mais qui restent soumises à l obligation de réserve ou de discrétion professionnelle. 3/ Les informations constitutives du patrimoine scientifique, industriel et technologique. [GR_AN] Approbation du niveau de sécurité retenu Autorité d Homologation Autorité d Homologation, responsable sécurité fonctionnel, promoteur d application Niveau de sécurité approuvé Guide d' Types /12/2006 Public 6/82

7 Guide d' Types - Niveau minimal Le niveau de sécurité retenu, ainsi que les justificatifs du choix, seront transmis à l autorité d homologation pour approbation. [GR_ER] Évolution de l appréciation, du traitement des risques et du niveau de sécurité Sécurité Opérationnel Sécurité Opérationnel, responsable du projet, administrateur, exploitant. Dossier d analyse et de traitement des risques mis à jour Niveau de sécurité mis à jour Niveau minimal L appréciation et le traitement des risques, et le niveau nécessaire, seront réévalués en cas de modification majeure de l architecture, de changement du contexte, ou de modification de l exposition aux risques. Il appartient au responsable sécurité opérationnel de juger de l opportunité d une telle révision en fonction des modifications apportées. Niveau élevé Une réévaluation annuelle sera effectuée. [GR_CV] Contrôle et validation des réévaluations Promoteur d application Promoteur d application, responsable sécurité opérationnel Dossier d analyse et de traitement des risques mis à jour validé Niveau minimal Il appartient au promoteur d application de mettre en place une structure de suivi pour s assurer que les réévaluations de l analyse de risques et du niveau de sécurité ont été effectuées, et de valider le dossier mis à jour. Guide d' Types /12/2006 Public 7/82

8 Guide d' Types Acceptation / Homologation [GR_AH] Acceptation / homologation de la téléprocédure Autorité d Homologation Autorité d Homologation, responsable sécurité opérationnel Dossier de sécurité accepté Niveau minimal L homologation est systématique et conditionne la décision d emploi. Elle sera prononcée par l autorité d homologation, sur la base de l analyse de risques réalisée, du niveau de sécurité retenu et de sa justification. Les résultats de l homologation peuvent être les suivants : Une homologation provisoire, qui peut devenir définitive après l application des préconisations formulées par la commission ; Un refus d homologation ; Une homologation «définitive» pour une durée maximale de 5 ans. Niveau standard L homologation est systématique et conditionne la décision d emploi. Dès lors que le système requiert un niveau de sécurité standard, l homologation sera prononcée sur la base de : - l analyse de risque réalisée ; - la justification du niveau de sécurité retenu ; - la politique de sécurité. Les résultats de l homologation peuvent être les suivants : Une homologation provisoire, qui peut devenir définitive après l application des préconisations formulées par la commission ; Un refus d homologation ; Une homologation «définitive» pour une durée maximale de 5 ans. Niveau élevé L homologation est systématique et conditionne la décision d emploi. Pour une téléprocédure sollicitant un niveau de sécurité élevé, la condition sine qua non d une homologation repose sur l élaboration d un dossier de sécurité. Ce dernier devra comporter les éléments suivants : L analyse de risques ; L identification du niveau de sécurité ; La politique de sécurité ; La déclaration d applicabilité ; Les documents d applications ; Guide d' Types /12/2006 Public 8/82

9 Guide d' Types - Un rapport d audit. Les résultats de l homologation peuvent être les suivants : Une homologation provisoire, qui peut devenir définitive après l application des préconisations formulées par la commission ; Un refus d homologation ; Une homologation «définitive» pour une durée maximale de 5 ans. Guide d' Types /12/2006 Public 9/82

10 Guide d' Types - 2 Politique de sécurité [PS_DE] Définition de la politique de sécurité Sécurité Fonctionnel Sécurité Fonctionnel, promoteur d application, responsable sécurité de l organisation Politique de Sécurité rédigée Niveau minimal En phase de définition, le de Sécurité Fonctionnel doit spécifier, dans un document de politique de sécurité, l organisation de la sécurité dans le projet, les responsabilités des intervenants concernés et les mesures de sécurité mises en place pour répondre aux objectifs identifiés. La politique de sécurité pourra référencer d autres documents de l organisation (politique de sécurité interne, politique de sécurité physique ) pour un certain nombre de mesures déjà mises en place et tracées dans le référentiel sécurité de l organisation. Un plan type de politique de sécurité est proposé en annexe. [PS_AP] Approbation Autorité d Homologation Autorité d Homologation, responsable sécurité fonctionnel, promoteur d application Politique de Sécurité approuvée Niveau minimal Le document de politique de sécurité est communiqué à l autorité d homologation qui le valide. [PS_DF] Diffusion Guide d' Types /12/2006 Public 10/82

11 Guide d' Types - Promoteur d application Sécurité Fonctionnel, promoteur d application, assistance à maîtrise d ouvrage Contrôle d application de la politique. Audit Niveau minimal Le document de politique de sécurité est diffusé aux intervenants concernés (maîtrise d œuvre, administrateurs, exploitants, tiers ) en fonction de leur besoin d en connaître ; il est connu de ces intervenants. La forme de communication doit être adaptée aux intervenants concernés. [PS_EV] Evolution Sécurité Opérationnel Sécurité Opérationnel, responsable sécurité de l organisation, chef de projet, administrateur, exploitant Dossier de politique de sécurité mis à jour Niveau minimal Le de Sécurité Opérationnel est en charge de la révision et du suivi du document de politique de sécurité. Le document est systématiquement mis à jour lorsque la téléprocédure entre en phase de production. La politique de sécurité sera réexaminée et réévaluée en cas de modification majeure de l architecture, de changement du contexte, ou de modification de l exposition aux risques. Niveau élevé Une réévaluation annuelle sera effectuée. [PS_VE] Validation des évolutions de la politique Autorité d homologation Autorité d homologation Guide d' Types /12/2006 Public 11/82

12 Guide d' Types - Dossier de politique de sécurité à jour validé Niveau minimal Il appartient à l autorité d homologation de s assurer que les mises à jours de la politique de sécurité ont été effectuées, et de valider les documents produits. [PS_CS] Contrôle et Suivi de la politique Sécurité Opérationnel Sécurité Opérationnel, auditeur, administrateur, exploitant, responsable sécurité de l organisation, responsable sécurité tiers, auditeur Application de la politique contrôlée et / ou auditée Niveau minimal Il appartient au responsable sécurité opérationnel de mettre en place les moyens nécessaires pour contrôler l application de la politique par les intervenants internes ou tiers concernés. Le responsable sécurité prend les mesures nécessaires le cas échéant pour améliorer la prise en compte opérationnelle de la politique. Niveau élevé Un audit annuel visant à contrôler l application de la politique de sécurité sera effectué. Guide d' Types /12/2006 Public 12/82

13 Guide d' Types - 3 Organisation de la sécurité [OS_OI] Organisation interne Promoteur d application Promoteur d application. sécurité fonctionnel, sécurité opérationnel, autorité d homologation, responsable sécurité de l organisation, responsable sécurité tiers, administrateurs, exploitants, auditeurs Organisation en place Niveau minimal En fonction de l avancement du projet, le promoteur d application mettra en place l organisation suivante pour adresser la problématique sécurité : Risques, objectifs et niveau de sécurité et politique Mise en œuvre Contrôle et suivi Evolutions sécurité fonctionnel sécurité opérationnel Autorité d homologation Commission d homologation sécurité de l organisme Administrateurs Exploitants s sécurité tiers Auditeurs Niveau standard Niveau élevé Pas d exigence supplémentaire Pas d exigence supplémentaire Guide d' Types /12/2006 Public 13/82

14 Guide d' Types - [OS_RSF] Sécurité Fonctionnel Sécurité Fonctionnel Sécurité Fonctionnel en poste Niveau minimal Dès la phase d étude amont, le promoteur d application nomme un responsable sécurité fonctionnel, en charge de la gestion de la sécurité pendant les phases de faisabilité, de définition et de développement. Le responsable sécurité fonctionnel dirige l analyse de risques et la définition des objectifs de sécurité, procède à la définition des exigences de sécurité et à la rédaction de la politique de sécurité selon le niveau identifié. Le responsable sécurité fonctionnel peut être le promoteur d application lui-même. Il s appuie sur l autorité d homologation et le responsable sécurité de l organisation (ou la voie fonctionnelle de sécurité selon l organisme d appartenance) pour : Obtenir des prestations de conseil dans l appréciation des risques, la définition des objectifs et des exigences, et la rédaction de la politique de sécurité. Faire valider la stratégie de gestion des risques, le niveau de sécurité et la politique de sécurité selon le niveau identifié (Autorité d homologation) Collaborer avec les responsables sécurité de l organisation à la mise en œuvre de mesures en réponse aux exigences retenues (RSSI ou AQSSI), en particulier pour les mesures de sécurité qui ne concernent pas directement l application mise en œuvre et qui peuvent exister nativement dans l organisation. Il communique les exigences de sécurité aux intervenants concernés (RSSI ou AQSSI, maîtrise d œuvre interne ou externe) et s assure de leur prise en compte par les équipes. [OS_RSO] Sécurité Opérationnel Sécurité opérationnel Sécurité opérationnel en poste Niveau minimal Le responsable sécurité opérationnel est en charge de la mise en œuvre, du contrôle et du suivi des exigences de sécurité, et des évolutions de la politique. Il intervient dès lors que la téléprocédure est en phase d utilisation. Guide d' Types /12/2006 Public 14/82

15 Guide d' Types - Il gère en direct l ensemble des mesures de sécurité applicatives, et collabore avec le responsable sécurité de l organisation (RSSI ou AQSSI par exemple) pour les mesures mises en œuvre par l organisation indépendamment du projet (par exemple sécurité physique, sécurité réseau, sécurité des personnes ) ; il collabore avec les responsables sécurité tiers impliqués dans le projet pour s assurer que les exigences de sécurité spécifiées sont effectivement mises en œuvre par les tiers. Le responsable sécurité opérationnel est également en charge de la gestion des droits des utilisateurs, en collaboration avec les administrateurs et exploitants concernés. Il collabore avec les équipes d audit interne ou tiers pour le contrôle de la mise en œuvre de la politique par les intervenants internes ou externes. [OS_AH] Autorité d homologation Autorité d homologation Autorité d homologation identifiée Niveau minimal Selon les organismes concernés, l autorité d homologation peut être un supérieur hiérarchique du promoteur d application, le HFD, ou une personne à laquelle l autorité désignée a délégué cette mission pour le projet. L autorité d homologation est garant que la mise en œuvre de la sécurité dans le projet est conforme aux besoins identifiés, et au niveau retenu. Elle doit valider le compromis entre la sécurité et les contraintes opérationnelles. Pour ce faire, elle peut s appuyer sur une commission d homologation, qu elle constitue en fonction du projet sur proposition du promoteur d application. Pour tout projet, l autorité d homologation doit approuver le niveau de sécurité identifié, ainsi que la stratégie de traitement des risques. Les autres éléments pris en compte pour l homologation de la téléprocédure dépendent du niveau identifié. Ils sont définis au paragraphe «appréciation et traitement des risques». [OS_CH] Commission d homologation Autorité d homologation Guide d' Types /12/2006 Public 15/82

16 Guide d' Types - Commission d homologation instituée Niveau minimal La commission d homologation est instituée pour la durée de la téléprocédure ; ses membres sont désignés par l autorité d homologation, sur proposition du promoteur d application. Le responsable sécurité fonctionnel ou opérationnel selon l avancement du projet est membre de fait de cette commission ; la commission est chargée de l instruction du dossier d homologation. Elle rend compte à l autorité d homologation. [OS_RSOrg] Sécurité de l organisation sécurité de l organisation sécurité identifié et impliqué dans le projet Niveau minimal Le sécurité de l organisation (RSSI ou AQSSI) tient un rôle essentiel dans la mise en œuvre de la sécurité. Il collabore avec le responsable de sécurité fonctionnel dans l analyse de faisabilité des exigences, identifie les mesures déjà en place au niveau de l organisme, et le reste à faire. Il collabore ensuite avec le responsable sécurité opérationnel dans l exploitation et l administration des mesures de sécurité pour ce qui le concerne (sécurité physique, réseau, système, ). [OS_RST] Sécurité Tiers Sécurité Tiers s Sécurité Tiers identifiés et impliqués dans le projet Niveau minimal Les responsables sécurité tiers sont les correspondants des responsables sécurité fonctionnels et opérationnels. Ils s assurent de la recevabilité des exigences par leur organisation, en contrôlent la mise en œuvre et collaborent au suivi de ces mesures par le responsable opérationnel. Guide d' Types /12/2006 Public 16/82

17 Guide d' Types - Niveau élevé Pas d exigence supplémentaire [OS_AE] Administrateurs et exploitants Administrateurs et exploitants Administrateurs et exploitants identifiés et impliqués dans le projet Niveau minimal Les administrateurs et exploitants collaborent à la prise en compte de la sécurité : ils mettent en oeuvre les règles de sécurité applicatives, systèmes et réseau, conformément aux orientations du responsable opérationnel, en effectuent le suivi et le contrôle sous la direction du responsable sécurité opérationnel ; ils participent au pilotage opérationnel de la sécurité coordonné par le responsable opérationnel. [OS_AU] Auditeurs Auditeur Equipes d audit identifiées Niveau minimal Les auditeurs internes ou tiers collaborent au contrôle de la mise en œuvre de la politique de sécurité. Les missions d audit visent à s assurer de l adéquation de la politique par rapport au traitement des risques, et de l efficacité des mesures mises en œuvre. Les résultats d audit sont exploités par le responsable opérationnel dans la phase d évolution de la politique et des mesures mises en œuvre. Niveau élevé Un audit annuel sera effectué. Guide d' Types /12/2006 Public 17/82

18 Guide d' Types - 4 Tiers [TIERS_ID] Identification des tiers Promoteur d application Sécurité Fonctionnel, promoteur d application externes dans la téléprocédure identifiés Niveau minimal Dès qu il a connaissance de l organisation projet, le promoteur d application doit prendre en compte la participation d intervenants externes dans la réalisation ou l exploitation de la téléprocédure : hébergeur, développeur, intégrateur, tiers d archivage, partenaires étatiques ou privés, sous-traitants intervenant sur site ou à distance dans l administration ou l exploitation d éléments. En collaboration avec le responsable sécurité fonctionnel, le promoteur d application doit identifier clairement les prestations externalisées ayant une incidence sur la sécurité du projet. [TIERS_RE] Report des exigences Sécurité Fonctionnel Sécurité Fonctionnel, promoteur d application sécurité formalisées au tiers Niveau minimal En fonction des prestations externalisées, le responsable sécurité fonctionnel doit reporter les exigences correspondantes de la politique vers le prestataire concerné, au travers d exigences sécurité dans les cahiers des charges, ou de clauses de sécurité dans les accords de partenariat. Les exigences seront contractualisées. Niveau élevé Un Plan d Assurance Sécurité sera demandé aux prestataires [TIERS_CS] Contrôle des exigences Guide d' Types /12/2006 Public 18/82

19 Guide d' Types - Sécurité Fonctionnel puis Sécurité Opérationnel Sécurité Fonctionnel. Sécurité Opérationnel, Sécurité Tiers, Promoteur d application sécurité prises en compte par les tiers Niveau minimal Il appartient aux responsables sécurité fonctionnel puis opérationnel selon la phase du projet de s assurer de la prise en compte des exigences communiquées au tiers dans les réponses à consultation et dans les développements, ou dans les accords de partenariat. Toute externalisation (hébergement, archivage, développement, administration ou exploitation distante) sera soumise à contrôle préalable de la prise en compte des exigences de sécurité par le prestataire. Niveau élevé Une matrice de conformité sera demandée au prestataire visant à tracer la prise en compte des exigences. Les non conformités identifiées seront présentées par le prestataire avec les risques résiduels induits. Les non conformités et risques résiduels devront être acceptés par le promoteur d application. [TIERS_SE] Suivi et évolution des exigences Sécurité Opérationnel Sécurité Fonctionnel, Sécurité Opérationnel, Sécurité Tiers, Maîtrise d œuvre sécurité mises en œuvre par les tiers Niveau minimal Le responsable sécurité opérationnel est en charge du suivi de la mise en œuvre des exigences de sécurité par les tiers. Il informe les tiers en cas d évolution de la politique de sécurité ayant une incidence sur les exigences les concernant, et s assure de la prise en compte des évolutions par les tiers. Pour ce faire, il collabore avec le responsable sécurité tiers, et la maîtrise d œuvre le cas échéant [TIERS_AE] Audit de la prise en compte des exigences par les tiers Sécurité Opérationnel Guide d' Types /12/2006 Public 19/82

20 Guide d' Types - Sécurité Opérationnel, Sécurité Tiers, Auditeurs Mesures de sécurité auditées Niveau minimal Avec l assistance du responsable sécurité tiers, le responsable sécurité opérationnel peut faire réaliser des audits sur le site d un tiers pour s assurer de la prise en compte opérationnelle des exigences de sécurité. Si l Le rapport d audit sera présenté à la commission d homologation. Des mesures correctives pourront être définies par le responsable de sécurité opérationnel, et transmises au tiers concerné pour prise en compte. Niveau élevé Des audits annuels seront effectués. [TIERS_IS] Intervention sur site Sécurité Opérationnel Sécurité Opérationnel, personnel sous-traitant Engagement formalisé des intervenants Niveau minimal Tout intervenant tiers opérant sur site devra s engager à respecter les éléments applicables de la politique de sécurité, au même titre que les intervenants de l organisation. Niveau élevé Un engagement formalisé sera exigé. Guide d' Types /12/2006 Public 20/82

21 Guide d' Types - 5 Gestion des biens [GB_ID] Identification des biens propres Sécurité Fonctionnel, Sécurité Opérationnel Sécurité Fonctionnel, Sécurité Opérationnel, administrateurs, exploitants Biens sensibles identifiés et répertoriés Niveau minimal Le responsable sécurité fonctionnel, puis le responsable sécurité opérationnel doivent inventorier tous les biens sensibles (informations, entités) de la téléprocédure, et leur attribuer un propriétaire, responsable de la gestion des mesures de sécurité appropriées. Les informations doivent être répertoriées, conformément au niveau de sensibilité apprécié dans l analyse effectuée par le responsable de sécurité fonctionnel lors de l analyse de risques. Niveau élevé Les biens sensibles doivent comporter une mention informant de leur niveau de sensibilité. [GB_IM] Identification des moyens supports Sécurité Opérationnel Sécurité Opérationnel, RSSI Organisation Moyens support sensibles identifiés et classifiés Niveau minimal Le responsable de sécurité opérationnel ne gère que les biens spécifiques à la téléprocédure, et s appuie sur le RSSI ou l AQSSI responsable sécurité de l organisation pour les biens supports (équipements réseaux par exemple). [GB_CC] Continuité, contrôle et suivi de l identification Guide d' Types /12/2006 Public 21/82

22 Guide d' Types - Sécurité Opérationnel Sécurité Opérationnel, administrateur, exploitant Audit de l identification et de l affectation des biens sensibles Niveau minimal L identification des biens propres et la gestion des mesures de sécurité adaptées doivent être continues, c'est-à-dire suivre le bien quel que soit leur détenteur et leur support, dans la mesure où il reste dans le périmètre de la téléprocédure (les informations détenues par l usager de la téléprocédure sur son poste de travail ne sont donc pas soumises à cette exigence). Niveau élevé L audit annuel de contrôle de l application de la politique de sécurité prendra en compte le contrôle et le suivi de l identification et la catégorisation des biens sensibles. Guide d' Types /12/2006 Public 22/82

23 Guide d' Types - 6 Sécurité liée au personnel [PER_SE] Sélection du personnel et des sous-traitants sur site O.Personnel Sécurité Opérationnel Sécurité Opérationnel, Direction des Ressources Humaines Validation de références à des prestations similaires Niveau minimal L aptitude à se comporter conformément à un code déontologique sera prise en considération lors de l affectation des ressources humaines au projet. Niveau élevé Les ressources humaines affectées à des postes sensibles devront présenter des références à des prestations de sensibilité équivalente à celle pour laquelle ils sont pressentis. [PER_RE] Responsabilités du personnel Sécurité Opérationnel Sécurité Opérationnel, administrateurs, exploitants Dossier de gestion des rôles (description de poste) des intervenants rédigé et à jour. Accord des intervenants Niveau minimal Le responsable sécurité opérationnel tient à jour un document définissant les rôles et responsabilités des intervenants en terme de sécurité. Ce document est connu des intervenants de l organisation et des tiers opérant sur site, pour la partie qui les concerne ; ils sont informés des responsabilités affectées, des procédures disciplinaires de l organisation, et les acceptent. [PER_FO] Sensibilisation et formation du personnel O.Personnel ; O.lutte contre les sinistres ; O.continuité de services essentiels ; O.continuité de l exploitation Sécurité Opérationnel Guide d' Types /12/2006 Public 23/82

24 Guide d' Types - Sécurité Opérationnel, administrateurs, exploitants Sessions de formation organisées et validées Niveau minimal Pas d exigence Niveau standard Les intervenants sont sensibilisés aux enjeux sécurité du projet, formés de manière à pouvoir gérer les mesures de sécurité qui leur incombent. Ils sont au fait des structures supports nécessaires à l exécution de leur tâche (organisation du reporting sécurité, gestion des incidents) Niveau élevé Les intervenants sont également informés de la sensibilité des informations traitées, et formés aux moyens spécifiques mis en œuvre. [PER_VO] Volant de personnel O.personnel ; O.continuité de services essentiels ; O.continuité de l exploitation Sécurité Opérationnel Sécurité Opérationnel, Direction des Ressources Humaines, administrateurs, exploitants Affectation de ressources cohérente avec les besoins de gestion de la sécurité Niveau minimal Une gestion adaptée des ressources humaines doit être mise en place de manière à ce qu il n y ait pas de vacance sur un poste critique qui puisse impacter la sécurité de la téléprocédure, ou induire une indisponibilité de la téléprocédure incompatible avec les objectifs de sécurité retenus. Il convient en particulier que les ressources affectées soient en cohérence avec les objectifs en matière de disponibilité. [PER_EN] Engagement de confidentialité O.personnel ; O.confidentialité des échanges ; O.confidentialité des données enregistrées Sécurité Opérationnel Sécurité Opérationnel, administrateurs, exploitants Engagements de confidentialité signés pour les postes sensibles Niveau minimal Niveau standard Pas d exigence Pas d exigence Guide d' Types /12/2006 Public 24/82

25 Guide d' Types - Niveau élevé Dès lors que des objectifs de sécurité ont été identifiés en matière de confidentialité, les intervenants amenés par leur fonction à connaître ou détenir des informations confidentielles signeront un engagement de confidentialité propre au projet. [PER_RS] Restitution des données sensibles O.confidentialité des données enregistrées ; O.personnel Sécurité Opérationnel Sécurité Opérationnel, administrateurs, exploitants Dossier d affectation des biens sensibles à jour Niveau minimal Pas d exigence Niveau standard Pas d exigence Niveau élevé Le responsable sécurité opérationnel tient à jour la liste des intervenants amenés à détenir des informations sensibles. Une procédure de restitution est mise en place de manière à s assurer de la restitution des éléments détenus en cas de changement d affectation. [PER_SU] Suppression des droits d accès O.confidentialité des données enregistrées ; O.locaux ; O contrôle des droits administrateurs et exploitants Sécurité Opérationnel Sécurité Opérationnel, administrateurs, RSSI organisation, exploitants Gestion des droits d accès à jour Niveau minimal Le responsable sécurité opérationnel s assure que les authentifiants et droits d accès des intervenants changeant d affectation sont invalidés dans un délai n excédant pas deux semaines. Niveau élevé Le responsable sécurité opérationnel s assure que les authentifiants et droits d accès des intervenants changeant d affectation sont invalidés dans un délai n excédant pas une semaine. Guide d' Types /12/2006 Public 25/82

26 Guide d' Types - 7 Sécurité physique et environnementale [PHY_ZO] Zonage Sécurité Fonctionnel, Sécurité Opérationnel Sécurité Fonctionnel, Sécurité Opérationnel, développeurs, hébergeurs, RSSI, tierce maintenance, tiers exploitant Répartition des biens sensibles en zone conforme aux besoins Niveau minimal Des périmètres de sécurité devront être définis de manière à empêcher l accès non autorisé aux biens sensibles, et à limiter les risques de dommage aux biens et personnes. Ces zones doivent prendre en compte les contraintes opérationnelles. Il convient de distinguer : Des zones publiques, accessibles à tous, qui n hébergent aucune ressource dédiée à la téléprocédure Des zones privées 1, dont les accès sont limités. Ces zones privées peuvent héberger : - Des plates-formes de développement de téléprocédure - Des moyens d administration ou d exploitation de téléprocédure - Les bureaux des intervenants Les moyens de développement et d administration / exploitation d une téléprocédure ne pourront pas être localisés sur une même zone privée. Des zones sensibles 2, dont les accès sont contrôlés. Ces zones sensibles doivent être réservées au traitement d informations sensibles, et à l hébergement de ressources sensibles. Ce sont : - Des zones sensibles de type datacenter, réservées à l hébergement des moyens informatiques : serveurs applicatifs, bases de données, serveurs d authentification, Zone Privée Zone sensible Data Center Zone Privée Zone Publique 1 Equivalentes aux zones administratives définies par l OTAN ou l UE 2 Equivalentes aux zones de sécurité définies par l OTAN ou l UE Guide d' Types /12/2006 Public 26/82

27 Guide d' Types - Le responsable sécurité fonctionnel puis le responsable sécurité opérationnel collaborent avec le responsable sécurité de l organisation de manière à héberger les ressources sensibles dans les zones correspondantes existantes, ou à mettre en place les locaux adaptés le cas échéant. Il n est pas nécessaire que les zones soient dédiées à une téléprocédure donnée ; elles peuvent être partagées par des intervenants ou des moyens présentant des besoins de sécurité analogues. Niveau élevé Des périmètres de sécurité devront être définis de manière à empêcher l accès non autorisé aux biens sensibles, et à limiter les risques de dommage aux biens et personnes. Ces zones doivent prendre en compte les contraintes opérationnelles. Il convient de distinguer : Des zones publiques, accessibles à tous, qui n hébergent aucune ressource dédiée à la téléprocédure Des zones privées 3, dont les accès sont limités. Ces zones privées peuvent héberger : - Les bureaux des intervenants qui ne sont pas amenés à détenir d informations sensibles Des zones sensibles 4, dont les accès sont contrôlés. Ces zones sensibles doivent être réservées au traitement d informations sensibles, et à l hébergement de ressources sensibles. Ce sont : - Les plates-formes de développement de téléprocédure - Les moyens d administration ou d exploitation de téléprocédure - Les bureaux des intervenants amenés à détenir des informations sensibles Les moyens de développement et d administration / exploitation d une téléprocédure ne pourront pas être localisés sur une même zone sensible. Des zones sensibles de type datacenter, réservées à l hébergement des moyens informatiques : serveurs applicatifs, bases de données, serveurs d authentification, Zone sensible Admin / Exploit Zone sensible Développement Data Center Bureaux Zone Privée Zone Privée Zone Publique 3 Equivalentes aux zones administratives définies par l OTAN ou l UE 4 Equivalentes aux zones de sécurité définies par l OTAN ou l UE Guide d' Types /12/2006 Public 27/82

28 Guide d' Types - Le responsable sécurité fonctionnel puis le responsable sécurité opérationnel collaborent avec le responsable sécurité de l organisation de manière à héberger les ressources sensibles dans les zones correspondantes existantes, ou à mettre en place les locaux adaptés le cas échéant. Il n est pas nécessaire que les zones soient dédiées à une téléprocédure donnée ; elles peuvent être partagées par des intervenants ou des moyens présentant des besoins de sécurité analogues. [PHY_ZP] Accès aux zones privées [PER_SU] Sécurité de l Organisation Sécurité Opérationnel, Sécurité de l organisation Contrôle et Audit des mesures physiques sur zones privées Niveau minimal Les zones privées doivent avoir un périmètre clairement défini, et sont protégées contre les accès non autorisés. Un avertissement quant aux limites d accès sur zone est affiché à l entrée des zones privées. Un contrôle d accès est mis en œuvre, de manière à ce que seules les personnes autorisées puissent accéder à la zone privée. Le contrôle d accès sera basé sur la détention d un secret (code d accès), ou la détention d un moyen (badge). Les plages horaires d accès sur zones seront déterminées conformément aux besoins des intervenants. Des mesures spécifiques doivent être mises en œuvre pour autoriser l accès de visiteurs. Ceux-ci seront systématiquement accompagnés lors de leurs accès sur zones privées. Les accès des visiteurs sont systématiquement tracés dans un journal. Un dispositif de surveillance ou de détection d intrusion est mis en place et opéré en dehors des heures d accès des intervenants. Les bureaux inoccupés sont systématiquement fermés. Le Sécurité Opérationnel collabore avec le de la Sécurité de l Organisme à la prise en compte de ces exigences. Le contrôle peut ne pas être spécifique à la téléprocédure, mais être effectué au travers des contrôles et audits réalisés par l organisme. Niveau standard Niveau élevé Pas d exigence supplémentaire Pas d exigence supplémentaire [PHY_ZS] Accès aux zones sensibles [PER_SU] Sécurité de l Organisation Guide d' Types /12/2006 Public 28/82

29 Guide d' Types - Sécurité Opérationnel, Sécurité de l Organisation Contrôle et audit des mesures physiques sur zones sensibles Niveau minimal Les zones sensibles doivent avoir un périmètre clairement défini, et sont protégées contre les accès non autorisés. L architecture de la zone est conçue de manière à limiter les risques d intrusion physique. Un avertissement quant aux limites d accès sur zone est affiché à l entrée des zones privées. Un contrôle d accès est mis en œuvre, de manière à ce que seules les personnes autorisées puissent accéder à la zone privée. Le contrôle d accès sera basé sur la détention d un secret (code d accès), et la détention d un moyen (badge). Les plages horaires d accès sur zones seront déterminées conformément aux besoins des intervenants. Les accès sont systématiquement journalisés et les traces exploitées. Des mesures spécifiques doivent être mises en œuvre pour autoriser l accès de visiteurs. Ceux-ci seront systématiquement accompagnés lors de leurs accès sur zones privées. Les accès des visiteurs sont systématiquement tracés dans un journal. Le port d un badge visible identifiant la qualité (visiteur, personnel autorisé) de la personne est requis sur zone sensible. Un dispositif de surveillance ou de détection d intrusion est mis en place et opéré en dehors des heures d accès des intervenants. Des moyens dédiés sont mis à disposition du personnel pour stocker de manière sécurisée les informations et supports sensibles. Le Sécurité Opérationnel collabore avec le de la Sécurité de l Organisation à la prise en compte de ces exigences. Le contrôle peut ne pas être spécifique à la téléprocédure, mais être effectué au travers des contrôles et audits réalisés par l organisation. [PHY_ZD] Protection de la zone Datacenter Sécurité de l Organisation Sécurité Opérationnel, Sécurité de l Organisation Contrôle et audit des mesures de protection physique du datacenter Niveau minimal Le datacenter doit être localisé de manière à minimiser les risques inhérents aux sinistres physiques incendie, dégât des eaux et événements naturels climatique, crue. L architecture de la zone est conçue de manière à limiter les risques d intrusion physique, ainsi que les risques de propagation de feu. Guide d' Types /12/2006 Public 29/82

30 Guide d' Types - Des mesures sont prises pour prévenir et limiter les conséquences d une coupure d alimentation électrique, de manière à permettre une reprise conforme aux besoins de disponibilité notifiés. Des moyens de climatisation sont mis en place pour maintenir des conditions de température et d humidité adaptées aux équipements. Des mesures sont prises pour prévenir les pannes de climatisation, et en limiter les conséquences. Des mesures sont mises en œuvre pour détecter les départs de feu et en limiter les conséquences. Les équipements de détection et de protection mis en œuvre sont régulièrement contrôlés et maintenus. Le câblage supportant les liaisons télécommunication est protégé contre les coupures accidentelles ou intentionnelles. [PHY_AD] Accès au Datacenter [PER_SU] Sécurité de l Organisation Sécurité Opérationnel, Sécurité de l Organisation Contrôle et audit des mesures de contrôle d accès au datacenter Niveau minimal La zone hébergeant le datacenter doit avoir un périmètre clairement défini, et être protégée contre les accès non autorisés. L architecture de la zone est conçue de manière à limiter les risques d intrusion physique. Un avertissement quant aux limites d accès sur zone est affiché à l entrée du datacenter. Un contrôle d accès est mis en œuvre, de manière à ce que seules les personnes autorisées puissent accéder au datacenter. Le contrôle d accès sera basé sur la détention d un secret (code d accès), et la détention d un moyen (badge) Les plages horaires d accès sur zones seront déterminées conformément aux besoins des intervenants. Les accès sont systématiquement journalisés et les traces exploitées. Le port d un badge visible identifiant la qualité (visiteur, personnel autorisé) de la personne est requis sur zone sensible. Des mesures spécifiques doivent être mises en œuvre pour autoriser l accès de visiteurs. Ceux-ci seront systématiquement accompagnés lors de leurs accès au datacenter. Les accès des visiteurs sont systématiquement tracés dans un journal. Les demandes d accès doivent être validées par le responsable sécurité de l organisation. Un dispositif de surveillance ou de détection d intrusion est mis en place et opéré en dehors des heures d accès des intervenants. Guide d' Types /12/2006 Public 30/82

31 Guide d' Types - Niveau élevé Un contrôle d accès renforcé (biométrique par exemple) sera mis en place. - une présence simultanée de deux personnes sur zone est requise, en dehors des situations d urgence. [PHY_GS] Gestion des supports en zone datacenter Sécurité Opérationnel Sécurité Opérationnel, Sécurité de l Organisation, administrateur, exploitant Contrôle et audit des mesures de gestion des supports du datacenter Niveau minimal Les moyens supports (bande par exemple) utilisés dans le datacenter sont conservés dans des armoires sécurisées. Les supports de back up sont conservés de manière sécurisée dans des locaux correspondant à la sensibilité des données traitées, à une distance suffisante de manière à ce qu un sinistre impactant le datacenter n affecte pas les supports de back up La sortie de supports du datacenter est limitée aux seules personnes autorisées (cf. définition des rôles). Seuls les moyens nécessaires au bon fonctionnement du datacenter sont présents sur la zone. Le Sécurité Opérationnel collabore avec le Sécurité de l Organisation à la prise en compte de ces exigences. Le contrôle peut ne pas être spécifique à la téléprocédure, mais être effectué au travers des contrôles et audits réalisés par l organisation. Guide d' Types /12/2006 Public 31/82

32 Guide d' Types - 8 Sécurité réseau [RES_IS] Identification des ressources réseau Sécurité Opérationnel Exploitant réseau, Sécurité Opérationnel Document de référencement réseau mis à jour Niveau minimal L ensemble des ressources réseau (serveur ou poste de travail) interagissant avec la téléprocédure doivent être identifiées et répertoriées dans un document. - Les postes des usagers de la téléprocédure dont les connexions proviennent de la zone Internet seront identifiés par leur appartenance à un ensemble d adresses IP routable depuis Internet. - Les postes utilisés pour des fonctions d Administration ou d Exploitation de la téléprocédure doivent être identifiés au minimum par leur adresse IP appartenant à un sous-réseau défini, et éventuellement par un nom réseau. - Les postes et serveurs appartenant à des organismes partenaires ou tiers, accédant à la téléprocédure doivet être identifiés de façon unique par leur adresse IP et appartenant à un réseau de confiance (Extranet) autre que celui d Internet. [RES_IP] : Réseau : Protection des informations d identification des ressources O. confidentialité des éléments d adressage sécurité opérationnel Exploitant réseau Procédure d exploitation validée Niveau minimal L ensemble des informations relatives à l identification des ressources, renseignées dans un document ou fichier de référencement IP du réseau, doit être protégé contre un accès non autorisé (lecture, modification). [RES_AA] Authentification équipements réseau et Contrôle d accès des administrateurs sur les Guide d' Types /12/2006 Public 32/82

33 Guide d' Types - [PER_Su] sécurité opérationnel Administrateurs et exploitants des équipements réseau Procédure de contrôle d accès validée et contrôlée ; journaux exploités Niveau minimal Authentification : Tout accès logique (au moyen d une console d administration) d un administrateur aux équipements réseau doit pouvoir être authentifié par l équipement réseau. Les tentatives d accès non autorisées doivent être rejetées et tracées. Profil : Les administrateurs appartiennent à un ou plusieurs groupes en fonction de leur rôle et leurs tâches au sein du système, selon une procédure qui définit les droits d accès (pas d accès, accès en lecture, accès en lecture et écriture, ). Administration distante : L administration distante des équipements réseau n est autorisée que depuis la Zone Intranet uniquement. La liaison devra mettre en œuvre des mécanismes d authentification éprouvés, avec nécessité de confidentialité des échanges de données (utilisation de SSH par exemple) Contrôle : Il sera procédé périodiquement à un contrôle des listes d accès et des privilèges associés en fonction du rôle de l administrateur et de son appartenance à un ou plusieurs groupes. [RES_ZO] Cloisonnement des réseaux par contrôle de flux sécurité opérationnel sécurité opérationnel ; Administrateur réseau des équipements de filtrage Document politique de contrôle de flux approuvé ; Fichiers de configuration de filtrage réseau mis à jour Niveau minimal Des zones ou périmètres de sécurité devront être définies afin de cloisonner le système d information en périmètres de niveaux de confiance différents : - Zone Internet : zone de confiance basse, d où proviennent les requêtes des Usagers de la téléprocédure - Zone Extranet : zone de confiance faible, où les ressources ne sont pas maîtrisées par le gestionnaire de la téléprocédure. C est une zone d où proviennent les connexions des Partenaires tiers de la téléprocédure, administrations, banques, partenaires privés ayant besoin d interagir avec la téléprocédure. Guide d' Types /12/2006 Public 33/82

34 Guide d' Types - - Zone Intranet : zone de confiance modérée, d où proviennent les connexions des Administateurs, Exploitants et Opérateurs de la téléprocédure, comme les agents habilités de l administration. - Zone de la téléprocédure : zone de confiance bonne, où est situé l ensemble des ressources de la téléprocédure Zone Confiance Téléprocédure Bonne Administrateurs locaux Intranet Modérée Administrateurs / exploitants / opérateurs Extranet Faible Organismes Tiers, partenaires financiers, recruteurs, administration Internet Basse Usagers de la téléprocédure Représentation logique des Zones : L accès à la téléprocédure est découpé en un ensemble de zones de sécurité disjointes. Ce découpage en zones s inspire du concept générique IP de «domaine autonome de routage». Les communications entre ces différentes zones devront systématiquement passer par un dispositif dimensionné en conséquence qui aura la charge de contrôler les flux et le respect des exigences particulières à chaque périmètre. Principes du cloisonnement réseau : Un cloisonnement logique sera mis en place entre ces différentes zones par l intermédiaire de technologie de firewall à filtrage de flux : Guide d' Types /12/2006 Public 34/82

35 Guide d' Types - Tous les flux de données susceptibles d être établis vers la Zone de Téléprocédure doivent être identifiés, déclarés et contrôlés. Le contrôle de la nature et de la teneur des flux entrant et sortant sera assuré par des dispositifs de protection selon le principe de restriction «tout ce qui n est pas explicitement autorisé est interdit». Ainsi, seuls les flux ayant fait l objet d une déclaration et ayant explicitement été autorisés par les responsables sécurité impliqués seront autorisés à transiter. Tous les flux externes provenant de la Zone Internet, considérée comme étant de confiance minimale, devront obligatoirement transiter par une plate-forme dédiée aux accès externes. Cette plateforme effectuera un ensemble de contrôle répondant aux exigences de protection de code malveillant. Auncun flux d administration ne doit provenir de la Zone Internet Seuls les flux pour lesquels les dispositifs de sécurité disposeront des données nécessaires à l identification précise du protocole de transport utilisé, de l origine et de la destination des données ainsi que du service demandé seront acceptés. Toute autre requête de connexion d accès devra être refusée. Une documentation décrivant la politique de filtrage de flux doit identifier chaque ressource de chaque zone et les relations de communication que la ressource aura le droit d établir avec une ressource identifiée d une autre zone. Une matrice de flux documentée et détaillée devra recenser l ensemble des flux autorisés entre les différents domaines. Exemple de matrice des flux autorisés à destination de la téléprocédure : Origine Destination Justification de l autorisation du flux Internet Téléprocédure Usage standard de la téléprocédure par les Usagers : échanges HTTP/S, messages SMTP Extranet Téléprocédure Exploitation de la téléprocédure par les Partenaires : flux HTTP/S, SMTP Administration distante et mise à jour : flux HTTP/S, SSH (TELNET, FTP) Données applicatives Intranet Téléprocédure Exploitation de la téléprocédure par les Opérateurs : flux HTTP/S, SMTP Administration locale et mise à jour : flux HTTP/S, SSH (TELNET, FTP) Téléprocédure Internet Messages d information : notifications SMTP Téléprocédure Extranet Données du dossier Usager : flux FTP Téléprocédure Intranet Sauvegarde / archivage de données : flux FTP Les solutions matérielles ou logicielles retenues pour mettre en œuvre ce contrôle de flux doivent répondre aux exigences identifiées dans [ACQ_CS]. Guide d' Types /12/2006 Public 35/82

36 Guide d' Types -. Les solutions matérielles ou logicielles retenues pour mettre en œuvre ce contrôle de flux doivent répondre aux exigences identifiées dans [ACQ_CS].. Les solutions matérielles ou logicielles retenues pour mettre en œuvre ce contrôle de flux doivent répondre aux exigences identifiées dans [ACQ_CS]. [RES_ PH] Suppression des points d accès non maîtrisés au réseau Sécurité de l Organisation Administrateur et Exploitant réseau ; Sécurité Opérationnel ; Sécurité de l Organisation Document de politique de contrôle des flux validé ; Fichier de contrôle des accès mis à jour Niveau minimal Le Sécurité Opérationnel collabore avec le Sécurité de l Organisation et les administrateurs et exploitant réseau pour s assurer que sont systématiquement interdits dans la zone de la téléprocédure : - Les équipements connectés au système d information de la téléprocédure disposant d un accès public direct [type modem], - Les connexions non autorisées d un poste de travail sur un accès physique du réseau. [RES_JT] Traçabilité des actions des administrateurs sur les équipements réseau O. contrôle des droits administrateurs et exploitants sécurité opérationnel Exploitant des équipements réseau ; Sécurité de l Organisation, administrateur réseau Politique de contrôle des flux validée ; Procédure d exploitation réseau appliquée ; Document de traçabilité à jour Niveau minimal Toute action d un administrateur sur un équipement réseau doit pouvoir être tracée : - pour les interventions physiques (modification de connexion de câblage, mise en route ou extinction d équipement, ), par le biais de rapport sur un document d intervention. Guide d' Types /12/2006 Public 36/82

37 Guide d' Types - - Pour les interventions logiques (modification de configuration d équipement, paramétrage de firewall ou d équipement anti-virus), par le biais d une identification de l administrateur par l équipement, et par l enregistrement des actions qu il effectue. - L enregistrement des actions des administrateurs devra être conservé et archivé selon une durée adaptée à la sensibilité des informations traitées par la téléprocédure [RES_JA] Enregistrement des accès des ressources réseau O. contrôle d accès et contrôle des droits usagers ; O continuité de l exploitation ; O continuité de service télécom ; O contrôle des droits administrateurs et exploitants ; O.preuve sécurité opérationnel Exploitant des serveurs ; Sécurité de l Organisation Politique de contrôle des flux validée ; Procédure d exploitation et serveur appliquée ; Fichier d enregistrement à jour Niveau minimal Le système d information permettant de fournir les accès à la téléprocédure devra comporter des composants d imputation qui soient capables pour chacun des événements suivants d enregistrer l événement avec les données exigées 5 : - Enregistrements des accès licites des ressources à la téléprocédure (date, heure, identité de la ressource accédante et accédée, réussite ou échec de la connexion) - Détection et enregistrement d une tentative d accès illicite à une zone de sécurité (date, heure, identité présumée de la ressource accédante et accédée, réussite ou échec de la tentative) ; - Tentative visant à outrepasser les règles de sécurité réseau inter zones et cellules de sécurité réseau. [ RES_JS] Procédures de sauvegarde des données d accès réseau O contrôle d accès et contrôle des droits usagers ; O continuité de l exploitation ; O continuité de service télécom ; O contrôle des droits administrateurs et exploitants ; O.preuve ; O gestion de preuve [RES_JA] sécurité opérationnel 5 La faisabilité de cette mesure est à valider opérationnellement Guide d' Types /12/2006 Public 37/82

38 Guide d' Types - Exploitant des équipements réseau (archivage) Procédure d exploitation appliquée ; Fichiers d enregistrements sauvegardés Niveau minimal Des procédures de sauvegarde des données d imputation relatives à la sécurité réseau doivent exister et être décrites de façon complète, en terme de : - Collecte sécurisée des données d imputation - Archivage des données d imputation - Effacement des données obsolètes - Filtrage et analyse - Protection contre toute altération et accès non autorisé - Alerte en cas de détection d un évènement majeur - Contrôle de l intégrité des mécanismes de journalisation - Procédure d exploitation des données d imputation Les données d imputation doivent être sauvegardées et conservées selon une durée adaptée à la sensibilité des informations traitées par la téléprocédure [RES_ AE] Analyse des enregistrements réseau O. contrôle d accès ; O continuité de l exploitation ; O continuité de service télécom ; O contrôle des droits administrateurs et exploitants ; O. gestion preuve ; O preuve [RES_JA] [RES_JS] sécurité opérationnel Exploitant des équipements réseau, auditeur Procédure d exploitation des équipements réseau appliquée ; Procédure d utilisation des outils d analyse mise en œuvre Niveau minimal Tout enregistrement d accès enregistré doit pouvoir être exploitable [identification de la ressource, date, type d opération, cible, ]. Le système d information de la téléprocédure devra comporter des outils permettant l examen des fichiers d imputation pour les besoins d audit et ces outils devront être documentés. Ils devront permettre d identifier sélectivement les actions d une ou plusieurs ressources. Niveau élevé Les enregistrements et leur exploitation seront pris en compte lors des audits annuels. [RES_ AL] Alerte de sécurité réseau Guide d' Types /12/2006 Public 38/82

39 Guide d' Types - O. continuité de l exploitation ; O continuité de service essentiels ; O continuité de service télécom ; O filtrage [RES_JA] sécurité opérationnel Exploitant des équipements réseau (pare-feu) Politique d alerte validée et appliquée ; configuration pare-feu appliquée ; Niveau minimal Tout incident de sécurité pertinent doit être tracé et doit pouvoir être exploitable [identification de la ressource, de la date, du type d opération, de la cible, ]. Chaque incident doit pouvoir être catégorisé en type (tentative d intrusion caractérisée, configuration inadaptée du pare feu, dysfonctionnement d un équipement réseau, ), en gravité, et en fréquence d événement. En fonction de ces trois paramètres, un certain nombre d alertes doivent pouvoir être remontées à l exploitant réseau. Une procédure documentée doit décrire les conditions de réponse à fournir face à chaque type d incident. [RES_VI] Protection réseau contre le code malveillant O. filtrage ; O contrôle pièce jointe sécurité opérationnel Exploitant de la passerelle sécurisée (DMZ) Politique de contrôle des flux validée ; Fichiers de configuration des passerelles anti-virus mis à jour Niveau minimal L architecture des infrastructures de communication doit comprendre des dispositifs assurant le niveau adéquat de protection contre les intrusions de type code malveillant (virus). Le cloisonnement logique de filtrage de contenu sera mis en place entre ces différentes zones d échange par l intermédiaire d une technologie de logiciels de détection anti-virale. Les solutions matérielles ou logicielles retenues pour mettre en œuvre ce contrôle de flux doivent répondre aux exigences identifiées dans [ACQ_CS]. Niveau standard Le cloisonnement logique de filtrage de contenu sera mis en place entre ces différentes zones d échange par l intermédiaire d une technologie de logiciels de détection anti-virale. Une technologie de filtrage de protocole web ou de messagerie doit compléter les contrôles. Les solutions matérielles ou logicielles retenues pour mettre en œuvre ce contrôle de flux doivent répondre aux exigences identifiées dans [ACQ_CS]. Niveau élevé Le cloisonnement logique de filtrage de contenu sera mis en place entre ces différentes zones d échange par l intermédiaire de plusieurs technologies Guide d' Types /12/2006 Public 39/82

40 Guide d' Types - complémentaires de logiciels de détection anti-virale (bases de signature de virus de différents fournisseurs). Une technologie de filtrage de protocole web ou de messagerie doit compléter les contrôles. Les solutions matérielles ou logicielles retenues pour mettre en œuvre ce contrôle de flux doivent répondre aux exigences identifiées dans [ACQ_CS]. [RES_VA] Vérification des accès au travers du réseau O. Contrôle des droits administrateurs / exploitants ; O continuité de l exploitation ; O contrôle des droits et contrôle d accès usagers sécurité opérationnel d exploitation réseau ; auditeur Politique de contrôle des flux réseau validé ; Document de référencement des accès ressources à jour Niveau minimal Afin de maintenir la maîtrise des accès au système d information, une procédure de contrôle périodique de la liste des accès et des privilèges associés devra être mise en oeuvre au sein de chaque environnement réseau de la téléprocédure, sur la base d un document qui référence les identités et droits d accès. La procédure devra être exploitée en cas de détection de non conformité ou incident (accès apparaissant comme non justifiés, privilèges paraissant trop élevés), et lors des audits. Guide d' Types /12/2006 Public 40/82

41 Guide d' Types - 9 Sécurité des échanges de données Note Le paragraphe sécurité des échanges de données présentent les mesures à mettre en place au niveau des flux échangés (couche réseau et transport), par opposition à la sécurité applicative qui traite des mesures à mettre en place au niveau de l application elle-même. Cette séparation est marquée car les intervenants en charge de la mise en œuvre et de l exploitation des mesures ne sont pas les mêmes. Les échanges de données concernent les flux entre usagers et serveur de téléprocédure, ainsi que les flux entre la téléprocédure et les partenaires, et les flux d administration ou d exploitation distantes, selon les architectures retenues. [DATA_OA] Authentification du Serveur de téléprocédure O. authentification serveur sécurité opérationnel Administrateur des serveurs ou des équipements dédiés Audit de configuration des serveurs. Contrôle des journaux de connexions Niveau minimal Tout usager d une téléprocédure doit être à même de vérifier l authenticité du serveur auquel il se connecte. Pour ce faire, un protocole sécurisé tel que SSL v2 doit être mis en œuvre. Il appartient à l usager de vérifier le certificat utilisé par le serveur ; celui-ci sera averti de cette possibilité. [DATA_PA] Authentification mutuelle des entités en communication O. authentification serveur ; O authentification usagers ; O authentification administrateurs et exploitants ; O détection de rejeu sécurité opérationnel Administrateur des serveurs ou des équipements dédiés Audit de configuration des serveurs. Contrôle des journaux de connexions Niveau minimal Une authentification mutuelle des entités en communication sera réalisée systématiquement entre serveurs, et peut être exigée entre serveurs et poste usagers, ou entre serveurs et moyens d administration ou d exploitation. Le protocole SSL v3 pourra être mis en œuvre pour implanter cette mesure. Guide d' Types /12/2006 Public 41/82

42 Guide d' Types - [DATA_CO] Confidentialité des flux d information O. confidentialité des échanges sécurité opérationnel Administrateur des serveurs ou des équipements dédiés Audit de configuration des serveurs, audit des flux Niveau minimal Un canal de communication sécurisé doit être établi entre l usager et le serveur de téléprocédure, permettant de garantir la confidentialité des éléments échangés. Un moyen de mettre en place ce canal de communication chiffré pourra être l utilisation du protocole SSL. Un tel canal sera également mis en place pour les flux d administration ou d exploitation. Il pourra l être entre serveurs si l analyse de risques a également conclu à un besoin en matière de confidentialité des données échangées entre serveur. Si des objectifs élevés sont identifiés en matière de confidentialité, ils doivent être satisfaits au niveau applicatif. [DATA_IN] authentification d origine et intégrité des données échangées O. authentification d origine des données applicatives ; O authentification d origine des données d administration et d exploitation ; O authentification d origine des données usagers ; O détection de rejeu Sécurité opérationnel Administrateur des serveurs ou des équipements dédiés Audit de configuration des serveurs Niveau minimal Un canal de communication sécurisé doit être établi du serveur de téléprocédure vers l usager, permettant de garantir l authentification d origine et l intégrité des éléments transmis par le serveur. Un moyen de mettre en place cette mesure pourra être l utilisation du protocole SSL v2 pour l authentification d origine et l intégrité des données, ou le protocole SSL v3 pour une authentification réciproque et l intégrité des données. Un tel canal devra également être mis en place sur les flux d administration et d exploitation Guide d' Types /12/2006 Public 42/82

43 Guide d' Types - Il pourra l être entre serveurs si l analyse de risques a conclu à un besoin en matière d authentification d origine et d intégrité des données échangées entre serveur. Si des objectifs élevés sont identifiés en matière d intégrité, ils doivent être satisfaits au niveau applicatif. Guide d' Types /12/2006 Public 43/82

44 Guide d' Types - 10 Sécurité des serveurs et des systèmes Note : Sont entendus par la suite sous le terme «serveur» tout composant matériel (serveurs) et logiciel (système) utilisé comme support hébergeant les données et composants fonctionnels de l application de téléprocédure. [SER_IA] Unicité de l identité des administrateurs serveur [PER_SU] Sécurité Opérationnel Administrateurs serveur et système Document de référencement des administrateurs et exploitants mis à jour ; journal de connexion Niveau minimal Tout serveur de la téléprocédure doit identifier et authentifier chaque administrateur ou exploitant de façon unique. Pour chaque interaction, l application doit pouvoir établir l identité de l administrateur ou de l exploitant, ou encore des comptes sous lesquels se lancent certains processus. [SER_AU] Mode d authentification au serveur sécurité opérationnel Administrateurs serveur et système Politique de sécurité validée ; Procédure d exploitation serveur appliquée Niveau minimal, standard et élevé Authentification des administrateurs et exploitants sur les serveurs Tout accès au système par les administrateurs et exploitants doit être conditionné par la mise en œuvre d une procédure d authentification réussie. Le principe d authentification à mettre en œuvre dépend du niveau de sécurité retenu, et de la zone à partir de laquelle opèrent les administrateurs et les exploitants. Quatre zones sont définies : Téléprocédure, Intranet, Extranet, Internet. Deux grand types d authentification sont identifiés : - authentification de type basique avec utilisation d un couple identifiant / mot de passe Guide d' Types /12/2006 Public 44/82

45 Guide d' Types - - authentification par certificat dont l accès est protégé : (protection matérielle (PC) logicielle (navigateur), stockage sur support mobile, identification biométrique. Le tableau suivant présente le mode d authentification requis pour l administrateur ou l exploitant de la téléprocédure. Il indique également l exigence d utilisation de communication chiffrée du flux d administration. Zone d administration Téléprocédure Intranet Extranet Internet Niveau de sécurité [Minimal] Basique Basique / SSL Certificat / SSL non autorisé [Standard] Basique / SSL Certificat / SSL non autorisé non autorisé [Élevé] Certificat / SSL Certificat / SSL non autorisé non autorisé Si les serveurs et systèmes ne permettent pas de mettre en place une procédure d authentification par certificat, il sera possible d utiliser une authentification par login / mot de passe quelque soit le niveau. [SER_AG] Gestion de l authentification aux serveurs et systèmes sécurité opérationnel Administrateurs serveur et système Politique de sécurité validée ; Procédure d exploitation serveur appliquée Niveau minimal Le système devra se conformer à une politique de gestion des identifications et mot de passe système : - mode de délivrance des mots de passe - taille du mot de passe - durée de validité maximum - non réutilisation d un ancien mot de passe.. Dans le cadre d une authentification au système par certificat, le système devra effectuer les opérations de contrôle définies par une politique de certification applicable aux administrateurs et exploitants. Cette politique de certification pourra être globale à l organisme (et non spécifique à la téléprocédure).. Guide d' Types /12/2006 Public 45/82

46 Guide d' Types - [SER_AP] Politique d accès des administrateurs et exploitants serveur sécurité opérationnel Administrateurs serveur et système Politique de sécurité validée ; Procédure d exploitation serveur appliquée Niveau minimal L accès aux serveurs doit faire l objet d une politique d accès traitant des points suivants : - conditions d accès - identification et authentification - attribution de profil rôles et droits - contrôle périodique des droits, des accès physiques et logiques - traçabilité des actions. [SER_PA] Profil des administrateurs et exploitants serveur sécurité opérationnel Administrateurs serveur et système Politique de droits d accès définie ; droits administrateur et exploitants configurés Niveau minimal Les administrateurs et exploitants doivent être catégorisés en terme de fonction ou de rôle. Les rôles administrateur et exploitant sont définis par des profils génériques spécifiant les droits d accès aux ressources (accès autorisé ou interdit) et types d actions réalisables (lecture, écriture, modification, suppression, copie, diffusion, appropriation, exécution, ).. [SER_VA] Vérification périodique des accès au serveur [PER_SU] sécurité opérationnel Guide d' Types /12/2006 Public 46/82

47 Guide d' Types - Administrateurs serveur et système. Auditeur Politique de sécurité serveur validé ; Document de référencement des accès administrateurs à jour Niveau minimal L ensemble des accès logiques doit être maîtrisé. Une procédure de vérification périodique doit permettre de valider les comptes d accès administrateur et exploitant au serveur et les droits alloués, afin de pouvoir supprimer les comptes obsolètes. L ensemble des accès aux serveurs doit être maîtrisé. Tout équipement connecté aux serveurs permettant un accès public direct est prohibé (cas des accès RTC de maintenance par exemple).. [SER_JE] Enregistrement des opérations administrateur serveur sécurité opérationnel Administrateurs serveur et système Politique de sécurité validée ; Procédure d exploitation serveur appliquée ; Fichier d enregistrement à jour Niveau minimal Les serveurs devront comporter des composants d imputation capables pour chacun des évènements suivants d enregistrer cet évènement avec les données exigées : - Utilisation du mécanisme d identification et d authentification (date, heure, identité de l administrateur, processus, réussite ou échec de la tentative) - Actions tentant d exercer des droits d accès sur un objet (date, heure, identité de l administrateur, processus, objet, type d accès) - Création ou suppression d un objet critique (date, heure, identité de l administrateur, processus, objet, type d action) - Attribution ou révocation des droits d accès sur un objet (date, heure, identité de l administrateur, processus, objet, type du droit d accès, type d action). [SER_JA] Gestion des données d imputation du serveur sécurité opérationnel Guide d' Types /12/2006 Public 47/82

48 Guide d' Types - Administrateurs serveur et système Procédure d exploitation serveur appliquée ; Fichiers d enregistrements sauvegardés Niveau minimal Des procédures de sauvegarde et d archivage des données d imputation relatives aux enregistrements systèmes doivent exister et être décrites de façon complète, en terme de : - Collecte sécurisée des données d imputation - Archivage des données - Effacement des données obsolètes - Filtrage et analyse - Protection contre toute altération et accès non autorisé - Alerte en cas de détection d un évènement majeur - Contrôle de l intégrité des mécanismes de journalisation - Procédure d exploitation des données d imputation - Les données d imputation doivent être sauvegardées et conservées pendant une durée adaptée à la sensibilité des informations traitées. [SER_AU] Audit des enregistrements serveur sécurité opérationnel Administrateurs serveur et système ; auditeur Procédure d exploitation serveur appliquée ; Procédure d utilisation des outils d analyse mis en œuvre Niveau minimal Le système devra comporter des outils permettant l examen des fichiers d imputation pour des besoins d audits et ces outils devront être documentés. Ils devront permettre d identifier sélectivement les actions d un ou plusieurs administrateurs. De manière générale, tout incident de sécurité pertinent doit être tracé et pouvoir être exploitable.. [SER_CB] Carnet de bord des serveurs Guide d' Types /12/2006 Public 48/82

49 Guide d' Types - Administrateur serveur et système Administrateur serveur et système ; Sécurité Opérationnel Carnet de bord tenu à jour et validé Niveau minimal Un carnet de bord sera tenu afin de notifier tout changement important effectué sur un serveur (modification d emplacement réseau, modification système d exploitation, changement de matériel, modification de contrôle d accès, ).. [SER_VE] Verrouillage des sessions de travail des administrateurs et exploitants du serveur sécurité opérationnel Administrateur serveur et système Politique sécurité validée ; Procédure d exploitation serveur appliquée Niveau minimal Dans le cadre d utilisation d une console d administration locale au système ou d administration distante, des mesures de protection automatique sont implémentées sur la base d un délai d inactivité dans une session de travail : - déconnexion automatique - verrouillage automatique de la session ouverte en cours La déconnexion ou le verrouillage de session sera automatique après 15 minutes d inactivité. Niveau standard La déconnexion ou le verrouillage de session sera automatique après 10 minutes d inactivité. Niveau élevé La déconnexion ou le verrouillage de session sera automatique après 5 minutes d inactivité. [SER_IN] Protection des informations du serveur sécurité opérationnel Administrateur serveur et système Procédure d exploitation serveur validée et appliquée Guide d' Types /12/2006 Public 49/82

50 Guide d' Types - Niveau minimal Les informations relatives aux fonctions d authentification sur les serveurs et aux données d authentification devront être protégées contre un accès non autorisé ou une contrefaçon, afin de garantir l imputabilité d accès au système. Les informations relatives aux enregistrements de l ensemble des actions réalisées sur le serveur doivent être protégées contre tout type de modification ou suppression, afin de garantir l imputabilité de l utilisation du système. [SER_DM] Dimensionnement de l espace d enregistrement du serveur d exploitation serveur Architecte ; exploitant serveur Procédure d exploitation serveur validée et appliquée ; absence d incident relevé Niveau minimal Un dimensionnement suffisant des espaces de stockages des informations de journalisation des événements et d archivage des dossiers des usagers de la téléprocédure doit être mis en œuvre pour prévenir à des risques d indisponibilité par saturation du système de la téléprocédure. Une documentation décrivant les procédures de traitement et d archivage doivent être disponibles. Il faut convenir d un espace de stockage et d archivage sur les systèmes qui soient de taille suffisante : - dans le système de stockage de la téléprocédure : taille de disque au moins 10 fois supérieure au volume moyen journaliers de données enregistrées, et au moins 3 fois supérieure au volume maximum journalier de données (correspondant à des pics d activité). - Mettre en œuvre une procédure d archivage des données de la téléprocédure assurant que, à tout moment, la capacité de stockage ne dépasse pas plus de la moitié de l espace disque disponible... [SER_BO] Protection de la séquence de démarrage du serveur Sécurité opérationnelle Guide d' Types /12/2006 Public 50/82

51 Guide d' Types - Exploitant serveur Politique sécurité validée ; Procédure d exploitation serveur appliquée Niveau minimal Il ne sera pas possible d initier une séquence de démarrage des serveurs de la téléprocédure à partir d un autre support que celui nominalement utilisé, en dehors de modes dégradés documentés... [SER_DO] Disponibilité des serveurs et systèmes O. continuité de l exploitation ; O dimensionnement Architecte du système d information Architecte, administrateur et exploitant, responsable sécurité opérationnel Absence d incident relevé relatif à la disponibilité serveurs et systèmes Niveau minimal L architecture et la technologie des serveurs sensibles hébergeant la téléprocédure doivent pourvoir à la disponibilité de l application. Des équipements serveur complémentaires ou de secours doivent être disponibles pour remplacer les équipements défaillants. Suivant les objectifs identifiés en matière de disponibilité, il pourra être nécessaire de garantir la disponibilité des fonctionnalités de la téléprocédure par la disponibilité de matériels de remplacement (spare) pré-configurés de manière à remplacer rapidement le serveur défaillant. Si des objectifs forts son identifiés en terme de disponibilité, il est nécessaire de garantir à la disponibilité des fonctionnalités de la téléprocédure par la mise en œuvre d une architecture de secours. La disponibilité doit être assurée par une architecture serveur redondée (serveurs doublés, ressources partagées, disques RAID, ) Si des objectifs très forts son identifiés en terme de disponibilité,, une architecture de secours fonctionnellement identique à l architecture d exploitation doit pouvoir être mise à disposition sur un site géographique différent de celui en exploitation normale. Des procédures documentées de retour à l activité des équipements défaillants sont obligatoires (restauration du système, remplacement par équipements pré-configurés, mise en ligne d une architecture redondée)... Guide d' Types /12/2006 Public 51/82

52 Guide d' Types - 11 Sécurité des applications et des données applicatives [APP_IU] Identification des usagers de la téléprocédure O. identification des usagers sécurité opérationnel ; responsable développement Développeur, Administrateur de la téléprocédure, sécurité fonctionnel et opérationnel Politique de sécurité (identifiants / droits d accès) validée. Fonctionnalité testée Niveau minimal La téléprocédure doit identifier et authentifier chaque utilisateur de façon unique. Pour chaque interaction, l application doit pouvoir établir l identité de l utilisateur ainsi que ses groupes d appartenance. Niveau standard Un complément d identification pourra être demandé à l usager, par exemple sur la base d un numéro d identification communiqué par des moyens extérieurs à la téléprocédure (courrier postal par exemple).. [APP_PU] Profil des usagers de la téléprocédure [APP_IU] sécurité opérationnel ; responsable développement Développeurs de l application ; administrateur de l application, sécurité fonctionnel et opérationnel Fonctionnalité testée. Document de définition des profils mis à jour Niveau minimal L application doit fournir des mécanismes permettant de distinguer et d administrer les droits d accès aux ressources pour chaque utilisateur ou groupe d utilisateur. Ce mécanisme doit permettre d utiliser la donnée d accréditation fournie par l usager et d en déduire la donnée profil utilisée par la téléprocédure. Les droits d accès doivent être déclinés suivant des profils usagers selon le mode RBAC [Role Based Access Control]. La notion de groupe d utilisateurs permet de mettre en place le concept de profil d utilisation de la téléprocédure, comme la présentation d un contexte personnalisé. Les droits d accès aux fonctions et informations de la téléprocédure sont définis dans le cadre de la gestion des droits en fonction des profils et métiers des utilisateurs. Un profil doit permettre de déterminer pour chaque téléprocédure : - les informations et fonctions auxquelles l Usager à droit d accès Guide d' Types /12/2006 Public 52/82

53 Guide d' Types - - le type d action que l Usager à le droit de réaliser : lecture, écriture, modification, suppression, exécution, copie, transmission,.. [APP_AU] Authentification des usagers de la téléprocédure O. authentification des Usagers [APP_IU] sécurité opérationnel ; responsable développement Développeurs de l application ; administrateur de l application, PSCE Politique de sécurité validée ; fonctionnalité testée Niveau minimal Une phase d authentification est obligatoire pour les téléprocédures dont les données nécessitent un contrôle d accès. L authentification pour l accès à la téléprocédure peut être reportée au niveau d un frontal d authentification, et ne pas être gérée directement par l application. Dans ce cas, un chemin de confiance devra être mis en place entre le frontal d authentification et la téléprocédure. Le frontal d authentification devra fournir l identité (identifiant unique) de l usager à la téléprocédure pour qu elle puisse effectuer les traitements applicatifs et la journalisation des événements. Les éléments échangés lors de la phase d authentification pouvant présenter des besoins élevés en matière de confidentialité, toute phase d authentification devra être effectuée au travers d un canal d échange confidentiel (exemple SSLv2 au minimum, cf paragraphe sécurité des échanges de données). L authentification pourra être basée sur l utilisation d un couple (identifiant / mot de passe) Niveau standard L authentification de l usager pourra être basée sur l utilisation d un certificat électronique. Les solutions matérielles ou logicielles retenues pour mettre en œuvre ce mécanisme doivent répondre aux exigences identifiées dans [ACQ_CS]. Niveau élevé L authentification de l usager devra être basée sur l utilisation d un certificat électronique. Les solutions matérielles ou logicielles retenues pour mettre en œuvre ce mécanisme doivent répondre aux exigences identifiées dans [ACQ_CS]. [APP_AG] Gestion des éléments d authentification O. authentification des usagers ; [APP_AU] sécurité opérationnel ; responsable développement Développeurs ; Administrateur ; Prestataires de Services de Certification Politique validée ; Fonctionnalité testée Guide d' Types /12/2006 Public 53/82

54 Guide d' Types - Niveau minimal Une politique de gestion des authentifiants ou une politique de Certification devra énoncer les modalités de gestion des moyens d authentification. Les caractéristiques suivantes devront être définies au niveau du système d accès : - mode d authentification (aucun, mot de passe ou certificat numérique) - protection des secrets (fichiers de mots de passe gérés par les systèmes ou les applications) ; - conditions d attribution d un accès (engagement de l utilisateur au respect des règles élémentaires de protection de l accès) - exigences de robustesse des moyens d accès et des mots de passe - règles de construction - fréquence de changement des mots de passe - historique de mots de passe non réutilisables. - durée de vie de l attribution de l'accès ; - procédure en cas de tentatives de connexion infructueuses répétées ; - limitation des temps de connexion ; - procédure en cas de déclaration de perte d un secret - procédure de suppression des accès. Niveau standard Les solutions matérielles ou logicielles retenues pour la gestion des certificats doivent répondre aux exigences identifiées dans [ACQ_CS]. La politique de certification sera basée sur le niveau jugé pertinent de la PRIS pour le service d authentification. Niveau élevé Les solutions matérielles ou logicielles retenues pour la gestion des certificats doivent répondre aux exigences identifiées dans [ACQ_CS]. La politique de certification sera basée sur le niveau jugé pertinent de la PRIS pour le service d authentification. [APP_PA] Protection des éléments d identification et d authentification O. confidentialité des données enregistrées [APP_AU] sécurité opérationnel ; responsable développement Développeurs de l application ; Sécurité fonctionnel et opérationnel Fonctionnalité validée Niveau minimal Les informations relatives à l authentification des usagers de la téléprocédure et aux données d identification (base de données des identifiants et mot de passe par exemple) devront être protégées contre un accès non autorisé ou une contrefaçon, afin de garantir la traçabilité d accès à la téléprocédure. Le traitement des données relatives à l identification des usagers doit s effectuer conformément aux exigences sur les données personnelles énoncées par la CNIL.. Guide d' Types /12/2006 Public 54/82

55 Guide d' Types -. [APP_SES] Durée de session de connexion à la téléprocédure O. durée de session [APP_AU] sécurité opérationnel ; responsable développement Développeurs de l application ; administrateur Politique Sécurité de la téléprocédure ; Dossier de configuration de la téléprocédure à jour (gestion des accès) Niveau minimal Pour les téléprocédures utilisant une authentification applicative créant un contexte applicatif de l usager (session), des mesures techniques doivent permettre de mettre fin à cette session, en cas d utilisation prolongée. Le contexte d authentification à la téléprocédure sera ré-initialisé à l issue de la session, et l usager devra s authentifier à nouveau pour poursuivre sa connexion. Durée de session : temps de connexion totale La durée de connexion totale maximale est de huit heures Durée de session : temps d inactivité Le temps d inactivité maximal (temps d attente entre deux requêtes) est de une heure. Niveau standard La durée de connexion totale maximale est de 2 heures. Le temps d inactivité maximal (temps d attente entre deux requêtes) est de 20 minutes. Niveau élevé La durée de connexion totale maximale est de 30 minutes. Le temps d inactivité maximal (temps d attente entre deux requêtes) est de 5 minutes [APP_AD] Séparation des fonctions d administration de la téléprocédure [APP_IU] sécurité opérationnel ; responsable développement Développeurs de l application ; administrateur ; Sécurité fonctionnel et opérationnel Architecture logicielle et fonctionnalité validée Niveau minimal Les usagers de la téléprocédure ne doivent en aucune manière être dans la capacité d accéder aux fonctions d administration de la téléprocédure. Seuls les administrateurs déclarés seront autorisés à y accéder. Les fonctions d administration de la téléprocédure doivent être disjointes des fonctions d usage standard de la téléprocédure par les usagers : Guide d' Types /12/2006 Public 55/82

56 Guide d' Types - - composants logiciels d administration indépendants des fonctions usagers de la téléprocédure. - comptes applicatifs des administrateurs sur une base de compte différente de celle des Usagers ; - moyens d accès logique différent (serveur web et port de connexion différent) - accès réseau contrôlé Niveau standard Niveau élevé Pas d exigence supplémentaire. Pas d exigence supplémentaire. [APP_PJ] Vérification des pièces jointes de la téléprocédure O. filtrage [RES_VI] Sécurité opérationnel Développement applicatif ; Exploitant équipement réseau Politique de sécurité réseau validée ; procédure d exploitation validée ; Configuration du filtrage de contenu mis à jour Niveau minimal Toute donnée envoyée en pièce jointe à destination de la téléprocédure doit être identifiée et contrôlée. Des précautions doivent être prises afin de prévenir et détecter l introduction de tout code malveillant par l intermédiaire des informations transmises dans le cadre normal de la téléprocédure, ou pour prévenir toute saturation de l application par l envoi de pièces de taille anormalement volumineuse. Le contrôle du type et format des données entrantes et sortantes sera assuré par des dispositifs de protection permettant l analyse de code malveillant, l analyse de requête autorisée, l analyse de type et format de données échangées. Ainsi, tout type de données ne correspondant pas à un schéma d échange défini doit être refusé : - Les fonctions de contrôle d insertion de code malveillant au sein des informations transmises à destination de la téléprocédure pourront être effectuées par des équipements réseau dédiés en dehors de l application de téléprocédure. - Les contrôles de validité de la pièce jointe (taille, format, type, ) peuvent être réalisés directement sur le moyen de communication de l usager (par l intermédiaire d applet par exemple), ou bien au niveau applicatif au travers des fonctions de saisie et de téléchargement qui intégreront des moyens de contrôle de présence de commande malveillante. Les solutions matérielles ou logicielles retenues pour le contrôle doivent répondre aux exigences identifiées dans [ACQ_CS]. Niveau standard Il est nécessaire d effectuer une analyse systématique des données pour les données en provenance de la Zone Internet. Les solutions matérielles ou logicielles retenues pour le contrôle doivent répondre aux exigences identifiées dans [ACQ_CS]. Guide d' Types /12/2006 Public 56/82

57 Guide d' Types - Niveau élevé Il est nécessaire d effectuer une analyse systématique des données en provenance de la zone partenaires tiers pour les données en provenance de la Zone des Partenaires. Les solutions matérielles ou logicielles retenues pour le contrôle doivent répondre aux exigences identifiées dans [ACQ_CS]. [APP_AO] Authentification d origine, intégrité des données applicatives et rejeu des données transmises par l usager / le serveur de téléprocédure / les partenaires [DATA_IN] ; O. authentification d origine des données applicatives ; O authentification d origine des données usagers ; détection de rejeu sécurité opérationnel ; responsable développement Développement applicatif ; administrateur Fonctionnalité validée ; Politique validée ; Procédure d exploitation validée Niveau minimal Pas d exigence. Niveau standard Dès lors que des informations peuvent être transmises par l usager, le serveur de téléprocédure ou un partenaire, qui présentent des besoins en matière d intégrité, des mesures permettant de garantir l authentification d origine et l intégrité des données transmises seront mises en œuvre au niveau du protocole support (cf. échange de données). Les informations reçues ou émises seront journalisées avec l ensemble des éléments permettant de les associer à leur émetteur : date et heure de l authentification applicative, protocole d échange mis en œuvre, données transmises.. [APP_NR] Non répudiation des données applicatives transmises par l usager serveur de téléprocédure / les partenaires / le O. preuve ; O.authentification d origine des données applicatives ; O authentification d origine des données usagers ; O détection de rejeu ; O gestion de preuve [APP_AU] développement applicatif ; responsable sécurité opérationnel Développement applicatif ; Administrateur téléprocédure Fonctionnalité validée ; Procédure d exploitation validée Niveau minimal Pas d exigence. Niveau standard Dès lors que l analyse de risques a mis en évidence que les informations transmises par l usager, le serveur de téléprocédure ou les partenaires présentent des besoins en matière de non répudiation, des mesures permettant de garantir la preuve de l origine des données transmises seront mises en œuvre au niveau applicatif. Guide d' Types /12/2006 Public 57/82

58 Guide d' Types - Pour ce faire, l émetteur devra signer numériquement les données transmises, en utilisant la composante privée d un certificat électronique spécifique à la fonction signature. La signature sera systématiquement vérifiée avant acceptation des données. En ce qui concerne le serveur de téléprocédure, l ensemble des éléments nécessaires à une vérification ultérieure des éléments signés sera archivé conformément aux exigences «métiers». Les solutions matérielles ou logicielles mises en œuvre pour signer les éléments échangés doivent répondre aux exigences définies dans [ACQ_CS]. la politique de certification sera basée sur le niveau jugé pertinent de la PRIS pour le service considéré. Niveau élevé Les solutions matérielles ou logicielles mises en œuvre pour signer les éléments échangés doivent répondre aux exigences définies dans [ACQ_CS]. la politique de certification sera basée sur le niveau jugé pertinent de la PRIS pour le service considéré [APP_HO] Horodatage des données applicatives O. preuve ; O.horodatage ; O gestion de preuve ; O détection de rejeu [APP_AU] ; sécurité opérationnel ; responsable développement Développement applicatif ; Exploitant téléprocédure Fonctionnalité validée ; Procédure d exploitation validée Niveau minimal Dès lors qu il est nécessaire de prouver l émission ou la réception de données à une date et heure donnée, une marque de temps pourra être ajoutée dans les éléments transmis et signés électroniquement par un des intervenants, sous réserve d accord (confiance) de l usager et de l Administration : - Marque de temps dans l accusé de réception signé du serveur de téléprocédure si l usager ou le partenaire doit disposer d une preuve de dépôt - Marque de temps dans les éléments transmis et signés par l usager ou le partenaire s il est nécessaire de disposer d une preuve d émission S il n existe pas d accord de confiance entre les intervenants impliqués, un jeton d horodatage pourra être élaboré par une autorité d horodatage certifiée, sur les données reçues ou / et transmises en fonction des besoins. Les solutions matérielles ou logicielles mises en œuvre pour horodater les éléments doivent répondre aux exigences définies dans [ACQ_CS]. La politique d horodatage sera basée sur le niveau jugé pertinent de la PRIS pour le service considéré. L ensemble des éléments nécessaires à la vérification de la preuve devra être mémorisé et accessible conformément aux exigences métiers, par le prestataire ou l administration selon la solution mise en œuvre.. Les solutions matérielles ou logicielles mises en œuvre pour horodater les éléments doivent répondre aux exigences définies dans [ACQ_CS]. La politique d horodatage sera basée sur le niveau jugé pertinent de la PRIS pour le service considéré. Guide d' Types /12/2006 Public 58/82

59 Guide d' Types -. Les solutions matérielles ou logicielles mises en œuvre pour horodater les éléments doivent répondre aux exigences définies dans [ACQ_CS]. La politique d horodatage sera basée sur le niveau jugé pertinent de la PRIS pour le service considéré. [APP_CO] Confidentialité des données applicatives transmises par l usager / le serveur de téléprocédure / les partenaires O. confidentialité des échanges [DATA_CO] ; développement applicatif, responsable sécurité opérationnel Développement applicatif, administrateur fonctionnalité validée ; procédure d exploitation validée Niveau minimal Pas d exigence. Niveau standard Pas d exigence. Niveau élevé Si les informations transmises par l usager, le serveur de téléprocédure ou un partenaire présentent des besoins en matière de confidentialité, des mesures permettant de garantir la confidentialité des données transmises seront mises en œuvre au niveau de l application (chiffrement de bout en bout). Pour ce faire, un canal de confiance sera établi entre les deux entités en communication au niveau applicatif. La clé de chiffrement (session), symétrique, pourra être générée par un module logiciel ou matériel dédié, et transmise au destinataire en utilisant son certificat. Les solutions matérielles ou logicielles mises en œuvre pour chiffrer les éléments doivent répondre aux exigences définies dans [ACQ_CS]. La politique de certification sera basée sur le niveau jugé pertinent de la PRIS pour le service considéré. [APP_CL] Confidentialité des données usagers enregistrées par la téléprocédure O. confidentialité des données enregistrées développement applicatif, responsable sécurité opérationnel Administrateur et Exploitant, Développeur Document de configuration validée ; Procédure d exploitation de la téléprocédure appliquée ; fonctionnalité testée Niveau minimal Il n est pas nécessaire d effectuer un chiffrement de la donnée sur le support de stockage. Les mesures de contrôle d accès logique et physique suffisent à limiter les accès aux données mémorisées et sauvegardées. Niveau standard Les données confidentielles seront systématiquement chiffrées, et ce quel que soit leur support. La politique de gestion des clés de chiffrement / déchiffrement sera adaptée à la sensibilité des données traitées. Les solutions matérielles ou logicielles mises en Guide d' Types /12/2006 Public 59/82

60 Guide d' Types - œuvre pour chiffrer les éléments doivent répondre aux exigences définies dans [ACQ_CS]. La politique de certification sera basée sur le niveau jugé pertinent de la PRIS pour le service considéré.. Les solutions matérielles ou logicielles mises en œuvre pour chiffrer les éléments doivent répondre aux exigences définies dans [ACQ_CS]. La politique de certification sera basée sur le niveau jugé pertinent de la PRIS pour le service considéré. [APP_IL] Intégrité des données usagers enregistrées par la téléprocédure O. preuve ; O authentification d origine des données applicatives ; O détection de rejeu ; O gestion de preuve [APP_NR] développement ; sécurité opérationnel Administrateur ; développeur Procédure de contrôle d intégrité; Procédure d exploitation téléprocédure validée ; fonctionnalité testée Niveau minimal La téléprocédure doit fournir un moyen de contrôle d intégrité des données enregistrées et archivées. Il n est pas nécessaire d effectuer un contrôle d intégrité sur le support de stockage. Les mesures de contrôle d accès logique et physique suffisent à limiter les accès aux données mémorisées et sauvegardées. Niveau standard Les données présentant des besoins en non répudiation ont été transmises signées par l émetteur, et seront conservées signées au niveau de la téléprocédure ou des supports d archivage, ainsi que l ensemble des éléments permettant de valider la signature associée. Un document doit indiquer les actions à effectuer en cas de constatation de défaut d intégrité: conservation de la donnée (avec ou sans indication de modification d intégrité), ou restauration de l ancienne valeur préalablement vérifiée comme intègre. [APP_IC] Intégrité du code applicatif de la téléprocédure et des données mises en ligne sécurité opérationnel Développement de la téléprocédure ; Exploitant de la téléprocédure Procédure d exploitation (vérification d intégrité) appliquée. Fonctionnalité testée Niveau minimal Une vérification d intégrité du code de l application de téléprocédure doit être appliquée, afin de garantir l intégrité des fonctions et des données de la Guide d' Types /12/2006 Public 60/82

61 Guide d' Types - téléprocédure. Des mesures de contrôle d accès et le calcul de code de contrôle (checksum) pourront être suffisants Niveau standard L intégrité de l application et des données sera assurée par la signature des composantes sensibles du code et des données applicatives. La signature sera contrôlée régulièrement, selon une procédure rédigée par le responsable opérationnel. La procédure décrit également les actions à effectuer en cas de constatation de défaut d intégrité, comme la restauration des composants applicatifs de la téléprocédure. Les solutions matérielles ou logicielles mises en œuvre pour s assurer de l intégrité du code applicatif et des données doivent répondre aux exigences définies dans [ACQ_CS].. Les solutions matérielles ou logicielles mises en œuvre pour s assurer de l intégrité du code applicatif et des données doivent répondre aux exigences définies dans [ACQ_CS]. [APP_JS] Sauvegarde des données applicatives sécurité opérationnel Exploitant de la téléprocédure Procédure d exploitation (archive) approuvée et appliquée; Fichiers d enregistrement sauvegardés Niveau minimal Une procédure de réalisation de copies de sauvegarde des informations transmises à destination de la téléprocédure doit être mise en œuvre. Cette procédure et les informations archivées doivent être régulièrement contrôlées conformément à la politique de sauvegarde, sur un système d archivage dédié indépendant de l application de téléprocédure. Les données d imputation doivent être sauvegardées conformément aux exigences légales et aux contraintes règlementaires. L archivage de toute donnée doit s effectuer conformément aux exigences sur les données personnelles énoncées par la CNIL. [APP_JE] Enregistrement des événements de la téléprocédure O. contrôle d accès et contrôle des droits des usagers ; O preuve ; O gestion de preuve [APP_PU] sécurité opérationnel Développeur, administrateur, exploitant Politique d enregistrement des événements validé ; Fichier d enregistrement à jour Guide d' Types /12/2006 Public 61/82

62 Guide d' Types - Niveau minimal L application de téléprocédure doit offrir un mécanisme de journalisation des fonctions accédées et des données échangées. Pour chaque fonction de la téléprocédure accédée par l usager, l enregistrement doit comporter au minimum les informations : date, heure, fonction accédée, identité Usager, identification de la donnée échangée. [APP_JP] Protection des données journalisées O. confidentialité des données enregistrées [APP_JE] sécurité opérationnel Développeur, administrateur Procédure d exploitation de la téléprocédure appliquée Niveau minimal Les informations relatives aux enregistrements de l ensemble des actions réalisées sur le serveur doivent être protégées contre tout type de modification ou suppression, afin de garantir l imputabilité de l utilisation de la téléprocédure. Les Usagers, Exploitants et Administrateurs ne peuvent avoir au mieux qu un accès consultatif aux données journalisées. Toute action sur une donnée d imputation devra être tracée [APP_JA] Analyse des journaux de la téléprocédure O. contrôle d accès et contrôle des droits des usagers ; O contrôle d accès ; O continuité de l exploitation [APP_JE] sécurité opérationnel Administrateur de la téléprocédure Procédure d exploitation de la téléprocédure appliquée ; Procédure d utilisation de outils d analyse mis en œuvre Niveau minimal Toute donnée d imputation doit pouvoir être analysée par l intermédiaire d un outil de traitement. Leur analyse devra permettre d identifier sélectivement les actions d une ou plusieurs ressources (usager, donnée ou fonction de la téléprocédure). Guide d' Types /12/2006 Public 62/82

63 Guide d' Types - Niveau standard Niveau élevé Pas d exigence supplémentaire Pas d exigence supplémentaire [APP_AL] Alerte de fonctionnement de la téléprocédure O. contrôle d accès et contrôle des droits des usagers ; O continuité de l exploitation [APP_JA] sécurité opérationnel Développeur, Administrateur téléprocédure, auditeur Politique sécurité validée ; configuration téléprocédure appliquée ; Procédure de contrôle appliquée Niveau minimal Toute donnée d imputation doit faire l objet d un audit régulier. Une procédure de traitement du journal d événement doit permettre de remonter des alertes relatives à un usage non attendu de la téléprocédure, pouvant porter atteinte aux exigences de sécurité de l application. [APP_RE] Procédure de restauration de la téléprocédure APP_JS sécurité opérationnel Exploitant de la téléprocédure Document d exploitation applicatif mis à jour ; Document de test validé Niveau minimal Une procédure de restauration complète de la téléprocédure doit être définie afin de permettre une remise en service cohérente avec les objectifs de disponibilité énoncés. Cette procédure doit inclure la récupération des données applicatives (configuration de la téléprocédure) et des données particulières (informations des Usagers). Des tests réalisés à intervalles régulièrement doivent doit permettre de valider la procédure de restauration. La procédure de restauration doit être effectuée avec récupération des données enregistrées et des modifications de configuration effectuées depuis la dernière sauvegarde de la téléprocédure. (données archivées sur un système externe à la téléprocédure), dans un délai conforme aux besoins identifiés lors de l analyse de risques. Guide d' Types /12/2006 Public 63/82

64 Guide d' Types - [APP_DO] Disponibilité des fonctionnalités applicatives de la téléprocédure O. continuité de services essentiels ; O configuration ; O continuité de l exploitation ; O dimensionnement [SER_DO] développement Architecte logiciel, responsable sécurité opérationnel Plan de développement applicatif de la téléprocédure justifié Niveau minimal Pas d exigence Niveau standard Pas d exigence Niveau élevé Si la disponibilité est essentielle au regard de la stratégie de traitement des risques, l architecture logicielle de la téléprocédure doit pouvoir s appuyer sur les serveurs et systèmes pour prendre en compte la mise en œuvre d une solution de haute disponibilité. Le développement de l application de téléprocédure doit pouvoir intégrer : - des installations logicielles réparties sur des serveurs redondés, et supporter la bascule des connexions d un serveur à l autre sans perte de contexte applicatif pour l Usager (haute disponibilité par redondance de serveur) - pouvoir utiliser des bases de données mutualisés entre plusieurs instances applicatives de la téléprocédure sur une même ressource tout en assurant une cohérence des données (haute disponibilité assurée par une solution de disque de type RAID) Guide d' Types /12/2006 Public 64/82

65 Guide d' Types - 12 Gestion de l exploitation [EXP_CE] Cloisonnement des environnements Sécurité de l organisation Sécurité Opérationnel, développeurs, hébergeurs, exploitants, Sécurité de l Organisation, Sécurité Fonctionnel Contrôle et audit des environnements Niveau minimal Les environnements de développement, de pré production et de production sont physiquement ou logiquement séparés.. Niveau élevé Les environnements de développement, de pré production et de production sont physiquement séparés [EXP_CR] Cloisonnement des rôles Sécurité Fonctionnel Sécurité Opérationnel, développeurs, hébergeurs, exploitants, Sécurité de l Organisation, Sécurité Fonctionnel Rôles affectés et contrôlés Niveau minimal Une séparation marquée des rôles entre tâches de développement, de recette, et d exploitation est mise en place... [EXP_CV] Contrôle antiviral des logiciels avant mise en production Sécurité Opérationnel Sécurité Opérationnel, administrateur, développeur Rapport de contrôle viral des logiciels et de validation de la signature Guide d' Types /12/2006 Public 65/82

66 Guide d' Types - Niveau minimal Avant leur mise en production, les logiciels seront contrôlés de manière à protéger l organisation contre la menace virale. Une signature électronique des livrables de type logicielle sera mise en place, au moins de manière partielle (signature de certains fichiers clés de l arborescence logicielle). Les solutions matérielles ou logicielles mises en œuvre pour effectuer le contrôle doivent répondre aux exigences définies dans [ACQ_CS].. Les solutions matérielles ou logicielles mises en œuvre pour effectuer le contrôle doivent répondre aux exigences définies dans [ACQ_CS].. Les solutions matérielles ou logicielles mises en œuvre pour effectuer le contrôle doivent répondre aux exigences définies dans [ACQ_CS]. [EXP_DC] Documentation d exploitation Sécurité Opérationnel Sécurité Opérationnel, Exploitant, développeur et / ou intégrateur Dossier d exploitation rédigé, connu des intéressés. Règles mises en œuvre Niveau minimal Toutes les activités d exploitation sont identifiées. Les procédures et règles d exploitation sont documentées. Les documents d exploitation comportent un volet sécurité définissant précisément les procédures et règles de sécurité à prendre en compte par les exploitants. Les exploitants connaissent et mettent en place les procédures et règles... [EXP_EE] Enregistrement des événements d exploitation Sécurité Opérationnel Sécurité Opérationnel, administrateur, auditeur Existence d une procédure de gestion des événements journalisés. Vérification des événements tracés. Exploitation régulière des rapports d exploitation. Audit des pièces conservées Niveau minimal Les événements d exploitation sont enregistrés conformément aux procédures définies. Les fichiers d audit sont disponibles, exploités et conservés pendant une période préalablement définie afin de faciliter les investigations ultérieures.. Guide d' Types /12/2006 Public 66/82

67 Guide d' Types - Niveau élevé Les enregistrements doivent contenir les identifiants des administrateurs ou exploitants à l origine des événements tracés, ainsi que la date et l heure des événements significatifs (ouverture et fermeture de session par exemple, fichiers consultés sensibles en confidentialité, fichiers modifiés sensible en intégrité, tentatives d activation ou désactivation des mesures de sécurité, accès aux journaux, alarmes de sécurité, ). [EXP_PJ] Protection des événements journalisés O confidentialité des données enregistrées ; O contrôle des droits ; O contrôle d accès Sécurité Opérationnel Sécurité Opérationnel, administrateur Gestion des droits d accès sur les événements journalisés. Suivi de la gestion des droits. Exploitation des journaux. Configuration du système de journalisation Niveau minimal Les événements journalisés doivent être protégés contre les accès non autorisés en lecture ou modification. Les accès aux journaux doivent être limités en conséquence. Des mesures dimensionnement des ressources, organisation -, devront être mises en place pour éviter le dépassement de la capacité de stockage des fichiers journaux... [Exp_GM] Gestion des modifications Sécurité Opérationnel Sécurité Opérationnel, administrateur, exploitant Existence d une procédure de gestion des modifications. Contrôle et audit de la mise en œuvre de la procédure. Accord avant mise en œuvre. Audit des procédures de test Niveau minimal Une procédure de gestion du changement est rédigée qui définit les règles et contrôle en matière de modification des applications et des systèmes. Avant toute modification de la configuration de production, des sauvegardes sont effectuées et testées, qui permettent de remettre en production la dernière configuration opérationnelle. Avant toute opération pouvant impacter le bon fonctionnement de la téléprocédure (mise en place de correctifs applicatifs ou systèmes par exemple), l exploitant doit dans la mesure du possible s assurer que la modification apportée ne risque pas de causer une défaillance de la Guide d' Types /12/2006 Public 67/82

68 Guide d' Types - téléprocédure. Cependant, des tests systématiques ne sont pas toujours envisageables, parce qu ils peuvent induire des délais non acceptables dans la mise en œuvre des correctifs. Les modifications seront systématiquement testées en environnement de test avant leur prise en compte en production. Niveau standard La règle suivante sera adoptée : Si l analyse de risques n a pas mis en évidence de fort besoin en terme de disponibilité, on limitera la validation des modifications mineures de manière à aller vers une mise en œuvre rapide des correctifs. Si l analyse de risques a mis en évidence de fort besoin en terme de disponibilité, les modifications seront systématiquement testées en environnement de test avant leur prise en compte en production. Dans tous les cas, l accord du responsable sécurité opérationnel est un préalable indispensable.. [EXP_SM] Suivi des modifications Sécurité Opérationnel Sécurité Opérationnel, administrateur Existence d un dossier de suivi des modifications. Contrôle de la mise à jour du dossier Niveau minimal Le suivi des modifications effectuées sur l ensemble des constituants du système d information est tracé dans un registre. Les documents de gestion de configuration sont tenus à jour... [EXP_SA] Politique de sauvegarde et de restauration Sécurité Opérationnel Sécurité Opérationnel, administrateur, exploitant Existence d une procédure de gestion des sauvegardes et restauration. des modifications. Contrôle et audit des systèmes de sauvegarde. Tests de reprise Niveau minimal Une politique de sauvegarde et de restauration des données est élaborée ; les systèmes de sauvegarde et d archivage des données applicatives et systèmes Guide d' Types /12/2006 Public 68/82

69 Guide d' Types - sont gérés. Les supports sont stockés en des lieux suffisamment éloignés de la zone de production. La politique de sauvegarde et de restauration doit être cohérente avec les besoins de disponibilité identifiés dans l analyse de risques, c'est-à-dire permettre une reprise dans des délais conformes aux exigences retenues par le promoteur d application... [EXP_MR] Mise au rebut des supports O confidentialité des données enregistrées Sécurité de l organisation Sécurité de l organisation, responsable sécurité opérationnel,, administrateur, exploitant Existence d un document de gestion des supports. Contrôle de la procédure de mise au rebut et de la gestion de la liste des éléments sensibles Niveau minimal Une procédure de mise au rebut des supports est rédigée et connue de tous les intervenants.. Niveau élevé La mise au rebut des supports identifiés comme sensibles doit être réalisée de façon sûre et sécurisée (incinération, broyage, destruction ). La liste des supports sensibles doit être révisée en conséquence. [EXP_MB] Protection contre le code mobile O.Code malveillant Sécurité Opérationnel, responsable du développement Sécurité Opérationnel, développeur, administrateur, exploitant Configuration du système Niveau minimal Une procédure de contrôle de l exécution de code mobile sur le poste de l usager doit être mise en place. Il convient en particulier de garantir à l usager l authentification d origine du code mobile transmis, par exemple par la mise en place d un canal authentifié entre le serveur et le poste de travail client.. Guide d' Types /12/2006 Public 69/82

70 Guide d' Types - 13 Contrôle d accès Les mesures relatives à la mise en place du contrôle d accès sont définies dans les différents chapitres traitant des ressources sur lesquelles le contrôle d accès s applique : 4.14 sécurité réseau 4.16 sécurité des serveurs et des systèmes 4.17 sécurité des applications et des données applicatives Guide d' Types /12/2006 Public 70/82

71 Guide d' Types - 14 Acquisition, développement et maintenance [ACQ_LG] Acquisition et conditions d usage des logiciels Promoteur d application sécurité fonctionnel, Administrateur Documents contractuels de licence d utilisation Niveau minimal Chaque logiciel, progiciel et base de données de la téléprocédure doit avoir été contracté légalement pour être installé et exploité. Les documents contractuels doivent être facilement accessibles. Un processus formel de mise à l essai et d acquisition doit être suivi... [ACQ_CS] Acquisition des composants sécurité du système d information Promoteur d application sécurité fonctionnel, Autorité d homologation Référentiel de produits de sécurité validé par l autorité d homologation Niveau minimal Le promoteur d application est responsable du choix de produits de sécurité adaptés aux besoins de sécurisation de son système d information. Afin de guider les maîtres d œuvre, intégrateurs et autorités d homologation, la DCSSI édite des recommandations sur l emploi des produits qualifiés, en fonction du niveau de qualification et des services de sécurité offerts. Le promoteur d application se référera à ces recommandations pour mettre en place les produits de sécurité adaptés au niveau des informations traitées.. Niveau élevé Les dispositifs matériels et logiciels mis en place doivent avoir été qualifiés au niveau standard par la DCSSI. [ACQ_BF] Bon fonctionnement des applications Guide d' Types /12/2006 Public 71/82

72 Guide d' Types - Promoteur d application du développement Applications testées Niveau minimal Des mesures de validation des données en entrée et sortie seront mises en œuvre de manière à limiter les risques de traitement de données incorrectes, et à détecter les éventuelles erreurs de traitement ou les modifications délibérées... [ACQ_GE] Gestion des évolutions O. développement logiciel ; O continuité de l exploitation ; O robustesse sécurité fonctionnel d exploitation de téléprocédure ; Exploitant système ; Développeur de l application de téléprocédure Document contractuel d engagement de support et maintenance Niveau minimal Il convient que les prestataires fournisseurs de logiciels s engagent sur le bon fonctionnement de leurs applications dans le temps, en prenant en compte les contraintes d évolution des systèmes et logiciels supports dues à la mise en place des correctifs de sécurité critiques... [ACQ_GM] Gestion des mises à jour de sécurité opérationnel d exploitation de téléprocédure ; Exploitant système ; Développeur de l application de téléprocédure Procédures de mise à jour documentées et mises en oeuvre Niveau minimal Les mises à jour de logiciels en exploitation, ou des systèmes d exploitation doivent être réalisées uniquement par les administrateurs autorisés, après accord du responsable sécurité opérationnel pour les mises à jour potentiellement critiques. Guide d' Types /12/2006 Public 72/82

73 Guide d' Types - Les mises à jour feront l objet de tests de qualification qui seront effectués sur un environnement dédié. Une stratégie de retour arrière sera documentée, et tous les éléments nécessaires à ce retour arrière seront réunis avant la mise à jour opérationnelle... [ACQ. GV] Gestion des vulnérabilités techniques O. Développement logiciel sécurité opérationnel Exploitant téléprocédure, Développeur application, Document de configuration et mise à jour des systèmes, logiciels et équipements Niveau minimal Une section de la procédure d exploitation générale de la téléprocédure doit décrire une procédure de gestion des vulnérabilités techniques, qui permette l évaluation de l exposition de la téléprocédure à ces vulnérabilités et d entreprendre les actions appropriées pour traiter le risque associé. Pour cela la procédure permet de s assurer que l environnement global de la téléprocédure implémente l ensemble des évolutions et correctifs nécessaires à l atteinte d un niveau de sécurité satisfaisant (mise à jour système, logiciel, équipement). Les systèmes d exploitation utilisés par la téléprocédure sont mis à jour après phase de validation et vérification de succès de retour arrière... Guide d' Types /12/2006 Public 73/82

74 Guide d' Types - 15 Gestion des incidents [GIN_DE] Définition des responsabilités et procédures sécurité opérationnel Exploitants sécurité Procédure de gestion des incidents validée et appliquée Niveau minimal Il convient d établir des responsabilités et des procédures permettant de garantir une réponse rapide, efficace et pertinente en cas d incident lié à la sécurité de l information de la téléprocédure. Le responsable sécurité opérationnel est en charge de maintenir un niveau de sécurité satisfaisant. Il doit mettre en œuvre une procédure permettant : - d analyser et identifier la cause de l incident, - de pouvoir éventuellement confiner l incident, - de planifier les actions correctrices, - d identifier et prendre contact avec les personnes concernées par l incident, ou signaler l incident à l autorité compétente. Cette procédure est destinée à traiter les risques liés à la continuité de la téléprocédure concernant les événements suivants (le choix des événements à prendre en compte dépend des risques identifiés) : - les défaillances de la téléprocédure et les pertes de service, - le code malveillant, - le refus de service, - les erreurs dues à la réception de données incomplètes ou inexactes, - le non respect des exigences de confidentialité et d intégrité, - le mauvais usage de la téléprocédure... [GIN_SI] Signalement des événements liés à la sécurité de l information Sécurité opérationnel Administrateur, Exploitant, Développeur Procédure de signalement des incidents définie et connue Guide d' Types /12/2006 Public 74/82

75 Guide d' Types - Niveau minimal Il convient de signaler dans les meilleurs délais les événements portant atteinte à la sécurité de l information de la téléprocédure, par le biais d une procédure de signalement des incidents. Cette procédure de signalement doit être connue de tous les acteurs participant à l exploitation de la téléprocédure. Il convient de désigner un responsable à contacter pour le signalement des événements liés à la sécurité de l information, qu il soit connu de l organisation, qu il soit disponible et apte a mettre en œuvre une action adéquate et rapide. Des mesures techniques de remontées d incidents sur les équipements informatiques peuvent se réaliser de manière automatique (log des équipements) et doivent en informer le responsable (filtres et traitement des log pour production d alarmes sur événements identifiés).. [GIN_FA] Signalement des failles de sécurité Sécurité opérationnel Promoteur d application, Administrateur, Exploitant, Développeur Procédure de signalement des failles de sécurité validée et appliquée Niveau minimal Il convient que l ensemble des personnes impliquées dans la maintenance, l exploitation, l administration et l utilisation de la téléprocédure puisse noter et signaler toute faille de sécurité observée ou soupçonnée dans l usage normal de la téléprocédure, qui pourrait porter attente à la confidentialité, l intégrité ou la disponibilité des données. La mise en place et l utilisation de la procédure de signalement des failles de sécurité doivent être simple, accessible et disponible. Cela peut être mis en place par une procédure de notification formelle ou informatique au responsable... [GIN_EI] Exploitation des incidents sécurité opérationnel Exploitants sécurité Guide d' Types /12/2006 Public 75/82

76 Guide d' Types - Procédure de gestion des incidents validée et appliquée Niveau minimal Il convient de mettre en place des procédures permettant de répertorier et catégoriser les incidents qui affectent la téléprocédure. Il convient de mettre en œuvre une procédure d exploitation des incidents afin de pouvoir produire rapidement une action corrective adaptée à l occurrence d un incident similaire. L évaluation d incidents peut faire apparaître la nécessité d améliorer les mesures existantes ou d en créer de nouvelles. Il convient d exploiter les informations recueillies lors de la résolution d incidents pour effectuer des améliorations de la téléprocédure sur les incidents les plus impactants. Un plan d action à but préventif doit être mis en place face à l occurrence d incidents récurrents afin d empêcher la reproduction des incidents sur la téléprocédure... Guide d' Types /12/2006 Public 76/82

77 Guide d' Types - 16 Gestion du plan de continuité des activités (PCA) [PCA_STR] Stratégie de traitement de la continuité et validation O. continuité de services essentiels ; O. Continuité de l exploitation ; O lutte contre les sinistres Promoteur d application sécurité fonctionnel, FSSI ou son équivalent Stratégie définie et validée Niveau minimal Si des besoins spécifiques de disponibilité ont été identifiés lors de la phase d analyse de risques, le promoteur d application peut avoir décidé lors de la phase de traitement des risques de mettre en place un PCA. Dans ce cas, le promoteur d application doit identifier parmi les fonctions de la téléprocédure celles qui sont critiques en terme de disponibilité, et les qualifier en fonction du niveau de reprise (Recovery Scope Objective RSO), du délai de reprise (Recovery Time Objective RTO) et du point de reprise (Recovery Point Objective RPO). La méthode EBIOS peut être utilisée pour élaborer le PCA en appréciant les risques spécifiquement liés à la continuité des activités. Suite à cette analyse, le promoteur d application élaborera une stratégie de traitement de la continuité de la téléprocédure qui devra faire l objet d une validation par l autorité d homologation... [PCA_ELB] Élaboration du plan de continuité d activités O. continuité de services essentiels ; O. Continuité de l exploitation ; O lutte contre les sinistres [PCA_STR] Promoteur d application sécurité fonctionnel, sécurité opérationnel, AQSSI ou son équivalent PCA élaboré Niveau minimal Si la stratégie de traitement de la continuité impose la mise en place d un PCA, le promoteur d application devra élaborer les documents composant le PCA. Le PCA référence les instructions, les procédures, l organisation et les ressources permettant le maintien des éléments nécessaires et suffisants à la continuité de la téléprocédure avant, pendant et après un incident ou une crise : Guide d' Types /12/2006 Public 77/82

78 Guide d' Types - - l appréciation des risques liés à la continuité des activités (Business Impact Analysis BIA), - la stratégie de traitement de la continuité, - les différents plans de continuité (par événement), - les procédures d escalade, - l annuaire, - les tableaux de bord, -.. [PCA_IMP] Implémentation du PCA O. continuité de services essentiels ; O. Continuité de l exploitation ; O lutte contre les sinistres [PCA_ELB] Promoteur d application sécurité opérationnel, AQSSI ou son équivalent PCA recetté Niveau minimal Le promoteur d application est chargé de construire le plan de continuité visant à réduire les impacts des risques sur les activités essentielles de la téléprocédure, à assurer une continuité de service tout au long de l événement à un niveau dégradé acceptable et à restaurer le service au niveau nominal. Il s assure de l efficacité des procédures définies dans le plan : - maintenir le plan à jour à chaque changement du contexte, - tester une partie ou la totalité du plan, - mettre à jour le plan après un retour d expérience. En cas d incident, il doit être alerté. En cas de crise, le plan de continuité est activé en fonction des évènements. Il prend alors la responsabilité de mettre en œuvre les plans à activer dont il a la charge. Un ensemble d étapes est nécessaire avant l activation d un plan : - analyser la situation sur la base des informations récoltées, - vérifier les points de contrôles. Lorsque le plan est activé, il procède aux actions suivantes : - vérifier les conditions de mise en œuvre du plan, - estimer les procédures du plan à mettre en œuvre et les acteurs à alerter, - lancer les procédures, - activer la cellule de coordination éventuelle et les équipes opérationnelles : o alerter les acteurs, Guide d' Types /12/2006 Public 78/82

79 Guide d' Types - o transmettre des actions à réaliser adaptée au contexte, o indiquer éventuellement des postures spécifiques à adopter, o demander d un accusé réception ; - coordonner et superviser l application du plan : o demander régulièrement un état courant de la situation, o vérifier régulièrement l état d avancement du traitement de la situation, o s assurer de la bonne communication entre les acteurs : en interne, avec l extérieur ; - rendre compte à la hiérarchie, à la chaine fonctionnelle SSI, à travers la cellule de veille ou le comité de crise, de l évolution des travaux, - alerter les responsables des plans de continuité dépendants. Le promoteur d'application peut être assisté par une cellule de coordination afin de piloter les différentes actions réalisées par les équipes opérationnelles. Niveau standard Niveau élevé Pas d exigence supplémentaire. Pas d exigence supplémentaire. [PCA_CRI] Cellule de crise O. continuité de services essentiels ; O. Continuité de l exploitation ; O lutte contre les sinistres [PCA_ELB] Promoteur d application sécurité opérationnel Cellule de crise en place Niveau minimal Le promoteur d application met en place une cellule de crise, rattachée au comité de crise constitué par l organisation. La cellule de crise est en charge de la gestion et du pilotage du PCA, de l évaluation de la situation et de l arbitrage des décisions stratégiques. La cellule de crise est responsable du déclenchement du plan de continuité adapté au contexte. Elle est également en charge de la communication avec les services internes et externes... [PCA_MCO] Maintien en condition opérationnelle O. continuité de services essentiels ; O. Continuité de l exploitation ; O lutte contre les sinistres [PCA_IMP] ; [PCA_CRI] Guide d' Types /12/2006 Public 79/82

80 Guide d' Types - sécurité opérationnel sécurité opérationnel responsable sécurité organisation PCA testé et à jour Niveau minimal Le PCA définit également la politique à mettre en œuvre pour ce qui est du maintien en condition opérationnelle : formation des équipes, tests et exercices réguliers portant sur les différents plans et sur l'organisation contribuant à la continuité des activités. La maintenance du PCA est effectuée de manière régulière. Le PCA doit être testé et mis à jour de manière annuelle... [PCA_SEC] Intégration de la sécurité dans le PCA O. continuité de services essentiels ; O. Continuité de l exploitation ; O lutte contre les sinistres [PCA_IMP] ; [PCA_CRI] Promoteur d application sécurité fonctionnel ; sécurité opérationnel Mesures de sécurité du PCA validées Niveau minimal La mise en place du PCA doit prendre en compte le niveau de sécurité et les objectifs de sécurité identifiés lors de l analyse de risques. Il convient de mettre en place les mesures de sécurité appropriées, et d identifier les vulnérabilités résiduelles dues par exemple à la difficulté de mettre en place certaines mesures dans une situation d urgence. L autorité d homologation doit être informée de la potentielle dégradation de la sécurité dans un fonctionnement de type continuité d activité, et accepter les vulnérabilités résiduelles... Guide d' Types /12/2006 Public 80/82

81 Guide d' Types - 17 Conformité et vérification [CFT_LEG] Conformité avec les exigences légales Promoteur d application Sécurité fonctionnel, promoteur d application, juriste légales prises en compte dans la politique de sécurité Niveau minimal Le promoteur d application doit identifier les obligations légales et organisationnelles relatives à la mise en œuvre de la téléprocédure. Les points suivants doivent en particulier être analysés : - protection des données et confidentialité des informations relatives à la vie privée des usagers de la téléprocédure - droit de propriété intellectuelle - protection des enregistrements de la téléprocédure - réglementation relative aux mesures cryptographiques (chiffrement de données, signature électronique) - mesures préventives à l égard du mauvais usage des équipements de traitement de l information Le responsable sécurité fonctionnel identifie, définit et documente les mesures spécifiques et les responsabilités individuelles mises en place pour répondre aux exigences légales et en assurer le suivi.. Niveau élevé Les points suivants doivent être analysés en complément : - exigences règlementaires relatives aux systèmes d information traitant des informations sensibles si le niveau retenu est élevé [CFT_POL] Conformité à la politique de sécurité sécurité fonctionnel sécurité opérationnel ; tout personnel de la téléprocédure. Application de la politique contrôlée et / ou auditée Niveau minimal Le responsable sécurité opérationnel s assure de l exécution correcte de l ensemble des procédures de sécurité de la téléprocédure par l ensemble des personnes participant au cycle de vie de la téléprocédure. Guide d' Types /12/2006 Public 81/82

82 Guide d' Types - Il s assure que l ensemble des documents d application de la politique de sécurité de la téléprocédure est porté à la connaissance des personnels, selon le besoin d en connaître de chacun ; il s assure que les exigences sont comprises et appliquées.. Niveau élevé Les mesures de contrôle d application des politiques de sécurité par le personnel seront systématiques et régulières. [CFT_AUD] Processus d audit de la téléprocédure sécurité opérationnel sécurité opérationnel ; tout personnel de la téléprocédure ; exploitants ; auditeurs ; Processus d audit contrôlé Niveau minimal Le responsable sécurité opérationnel s assure que les outils d audit de la téléprocédure (logiciels et fichiers) sont séparés de l environnement de développement et d exploitation de la téléprocédure.. Il s assure que les audits de la téléprocédure sont régulièrement effectués, dans des conditions réduisant au mieux les perturbations sur les services rendus par la téléprocédure en exploitation... Guide d' Types /12/2006 Public 82/82