Guide d exigences de sécurité des téléprocédures types

Transcription

1 M i n i s t è r e d u B u d g e t e t d e l a R é f o r m e d e l E t a t D G M E / S D A E P R E M I E R M I N I S T R E S G D N - D C S S I =========== Guide d exigences de sécurité des téléprocédures types Guide d exigences =========== VERSION 1.0 Guide d' Types V1.0 15/12/2006 Public 1/82

2 Guide d' Types - Guide d' Types. Référence Date Types- V1.0.doc 15/12/2006 Identification d objet (OID) Racine OID et gestionnaire DGME/SDAE Version DGME/SDAE-SGDN/DCSSI V1.0 Critère de diffusion Nombre de pages Public 82 HISTORIQUE DES VERSIONS DATE VERSION EVOLUTION DU DOCUMENT REDACTEUR Octobre Création du document FIDENS Décembre Modification de l homologation DCSSI/SDAE Guide d' Types /12/2006 Public 2/82

3 Guide d' Types - SOMMAIRE 1 GESTION DES RISQUES DE SECURITE DES SYSTEMES D'INFORMATION [GR] APPRECIATION ET TRAITEMENT DES RISQUES ACCEPTATION / HOMOLOGATION POLITIQUE DE SECURITE ORGANISATION DE LA SECURITE TIERS GESTION DES BIENS SECURITE LIEE AU PERSONNEL SECURITE PHYSIQUE ET ENVIRONNEMENTALE SECURITE RESEAU SECURITE DES ECHANGES DE DONNEES SECURITE DES SERVEURS ET DES SYSTEMES SECURITE DES APPLICATIONS ET DES DONNEES APPLICATIVES GESTION DE L EXPLOITATION CONTROLE D ACCES ACQUISITION, DEVELOPPEMENT ET MAINTENANCE GESTION DES INCIDENTS GESTION DU PCA CONFORMITE ET VERIFICATION Guide d' Types /12/2006 Public 3/82

4 Guide d' Types - 1 Gestion des risques de sécurité des systèmes d'information [GR] 1.1 Appréciation et traitement des risques [GR_AR] Appréciation des risques (analyse et évaluation) Promoteur d application Sécurité Fonctionnel, promoteur d application, représentant «métiers», représentant maîtrise d oeuvre Dossier d analyse et de traitement réalisé Niveau minimal Tout promoteur d application doit mettre en évidence les risques pesant sur sa téléprocédure (analyse des risques) et les hiérarchiser (évaluation des risques). Il est recommandé de procéder à l appréciation des risques (analyse et évaluation) à l aide de la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), publiée par la DCSSI. Le Promoteur d Application pourra s appuyer sur les dossiers d analyse des besoins des téléprocédures type élaborés par la DGME, en se référant à la téléprocédure proche de sa problématique. Une échelle de besoin a été définie par la DGME pour aider les promoteurs d application dans leur analyse ; il est recommandé d utiliser cette échelle, de manière à produire des résultats homogènes et comparables en terme d expression de besoin. L échelle de besoin proposée est présentée dans la collection documentaire support à l analyse de risques élaborée par la DGME. [GR_TR] Traitement des risques Promoteur d application Sécurité Fonctionnel, promoteur d application Composante traitement du dossier d analyse de risques renseignée Niveau minimal Pour chaque risque identifié, le promoteur d application devra signifier son choix : Guide d' Types /12/2006 Public 4/82

5 Guide d' Types - Application de mesures du guide d exigences pour traiter le risque Acceptation du risque, avec planification de traitement ultérieur ou non Annulation du risque en interdisant les actions susceptibles de les provoquer Transfert du risque à un tiers Il conviendra également de mettre en évidence les éventuels risques résiduels induits par ce choix. Les objectifs de sécurité seront précisés afin de permettre la sélection des exigences adaptées dans le présent guide. [GR_AG] Approbation de la stratégie de traitement des risques Autorité d Homologation Autorité d Homologation Dossier d analyse et de traitement des risques approuvé Niveau minimal Un rapport d appréciation et de traitement des risques sera transmis à l autorité d homologation pour approbation (la forme de communication sera adaptée à l'autorité d'homologation). [GR_IN] Identification du niveau de sécurité nécessaire Promoteur d application Sécurité Fonctionnel, promoteur d application Niveau de sécurité identifié et justifié Le promoteur d'application doit identifier le niveau de sécurité correspondant à ses besoins. Le niveau de sécurité sera exprimé selon le référentiel suivant : Niveau Minimal Standard élevé Guide d' Types /12/2006 Public 5/82

6 Guide d' Types - Minimal Les informations traitées par la téléprocédure ont un caractère public ; ce sont des informations pour lesquelles le non respect de la confidentialité, la disponibilité ou l intégrité aurait une incidence mineure pour leur propriétaire ou leur dépositaire. Standard Les informations traitées peuvent présenter un caractère privé, sans être du type sensible non classifié de défense ; ce sont des informations pour lesquelles le non respect de la confidentialité, l intégrité ou la disponibilité pourrait avoir une incidence non négligeable en terme d image, en terme financier, en terme de savoir faire, pour leur dépositaire ou leur propriétaire. Élevé Les informations traitées par la téléprocédure sont de type sensible non classifiées de défense : ce sont des informations pour lesquelles le non respect de la confidentialité, la disponibilité ou l intégrité mettrait en cause la responsabilité du propriétaire ou du dépositaire, ou causerait un préjudice à eux-mêmes ou à des tiers. A titre d exemple, on peut citer : 1/ Les informations citées à l article 6 de la loi n du 17 juillet 1978 portant diverses mesures d amélioration des relations entre l administration et le public, dont la consultation ou la communication, selon les termes de la loi, porteraient atteinte : Au secret des délibérations du Gouvernement et des autorités responsables relevant du pouvoir exécutif (si elles ne sont pas, par ailleurs, protégées par le secret de défense) ; A la monnaie et au crédit public, à la sécurité publique ; Au déroulement des procédures engagées devant les juridictions ou d opérations préliminaires à de telles procédures ; Au secret de la vie privée, des dossiers personnels et médicaux ; Au secret en matière commerciale et industrielle ; A la recherche, par les services compétents, des infractions fiscales et douanières ; Ou de façon générale, aux secrets protégés par la loi. 2/ Les informations qui ne présentent pas un caractère de secret mais qui restent soumises à l obligation de réserve ou de discrétion professionnelle. 3/ Les informations constitutives du patrimoine scientifique, industriel et technologique. [GR_AN] Approbation du niveau de sécurité retenu Autorité d Homologation Autorité d Homologation, responsable sécurité fonctionnel, promoteur d application Niveau de sécurité approuvé Guide d' Types /12/2006 Public 6/82

7 Guide d' Types - Niveau minimal Le niveau de sécurité retenu, ainsi que les justificatifs du choix, seront transmis à l autorité d homologation pour approbation. [GR_ER] Évolution de l appréciation, du traitement des risques et du niveau de sécurité Sécurité Opérationnel Sécurité Opérationnel, responsable du projet, administrateur, exploitant. Dossier d analyse et de traitement des risques mis à jour Niveau de sécurité mis à jour Niveau minimal L appréciation et le traitement des risques, et le niveau nécessaire, seront réévalués en cas de modification majeure de l architecture, de changement du contexte, ou de modification de l exposition aux risques. Il appartient au responsable sécurité opérationnel de juger de l opportunité d une telle révision en fonction des modifications apportées. Niveau élevé Une réévaluation annuelle sera effectuée. [GR_CV] Contrôle et validation des réévaluations Promoteur d application Promoteur d application, responsable sécurité opérationnel Dossier d analyse et de traitement des risques mis à jour validé Niveau minimal Il appartient au promoteur d application de mettre en place une structure de suivi pour s assurer que les réévaluations de l analyse de risques et du niveau de sécurité ont été effectuées, et de valider le dossier mis à jour. Guide d' Types /12/2006 Public 7/82

8 Guide d' Types Acceptation / Homologation [GR_AH] Acceptation / homologation de la téléprocédure Autorité d Homologation Autorité d Homologation, responsable sécurité opérationnel Dossier de sécurité accepté Niveau minimal L homologation est systématique et conditionne la décision d emploi. Elle sera prononcée par l autorité d homologation, sur la base de l analyse de risques réalisée, du niveau de sécurité retenu et de sa justification. Les résultats de l homologation peuvent être les suivants : Une homologation provisoire, qui peut devenir définitive après l application des préconisations formulées par la commission ; Un refus d homologation ; Une homologation «définitive» pour une durée maximale de 5 ans. Niveau standard L homologation est systématique et conditionne la décision d emploi. Dès lors que le système requiert un niveau de sécurité standard, l homologation sera prononcée sur la base de : - l analyse de risque réalisée ; - la justification du niveau de sécurité retenu ; - la politique de sécurité. Les résultats de l homologation peuvent être les suivants : Une homologation provisoire, qui peut devenir définitive après l application des préconisations formulées par la commission ; Un refus d homologation ; Une homologation «définitive» pour une durée maximale de 5 ans. Niveau élevé L homologation est systématique et conditionne la décision d emploi. Pour une téléprocédure sollicitant un niveau de sécurité élevé, la condition sine qua non d une homologation repose sur l élaboration d un dossier de sécurité. Ce dernier devra comporter les éléments suivants : L analyse de risques ; L identification du niveau de sécurité ; La politique de sécurité ; La déclaration d applicabilité ; Les documents d applications ; Guide d' Types /12/2006 Public 8/82

9 Guide d' Types - Un rapport d audit. Les résultats de l homologation peuvent être les suivants : Une homologation provisoire, qui peut devenir définitive après l application des préconisations formulées par la commission ; Un refus d homologation ; Une homologation «définitive» pour une durée maximale de 5 ans. Guide d' Types /12/2006 Public 9/82

10 Guide d' Types - 2 Politique de sécurité [PS_DE] Définition de la politique de sécurité Sécurité Fonctionnel Sécurité Fonctionnel, promoteur d application, responsable sécurité de l organisation Politique de Sécurité rédigée Niveau minimal En phase de définition, le de Sécurité Fonctionnel doit spécifier, dans un document de politique de sécurité, l organisation de la sécurité dans le projet, les responsabilités des intervenants concernés et les mesures de sécurité mises en place pour répondre aux objectifs identifiés. La politique de sécurité pourra référencer d autres documents de l organisation (politique de sécurité interne, politique de sécurité physique ) pour un certain nombre de mesures déjà mises en place et tracées dans le référentiel sécurité de l organisation. Un plan type de politique de sécurité est proposé en annexe. [PS_AP] Approbation Autorité d Homologation Autorité d Homologation, responsable sécurité fonctionnel, promoteur d application Politique de Sécurité approuvée Niveau minimal Le document de politique de sécurité est communiqué à l autorité d homologation qui le valide. [PS_DF] Diffusion Guide d' Types /12/2006 Public 10/82

11 Guide d' Types - Promoteur d application Sécurité Fonctionnel, promoteur d application, assistance à maîtrise d ouvrage Contrôle d application de la politique. Audit Niveau minimal Le document de politique de sécurité est diffusé aux intervenants concernés (maîtrise d œuvre, administrateurs, exploitants, tiers ) en fonction de leur besoin d en connaître ; il est connu de ces intervenants. La forme de communication doit être adaptée aux intervenants concernés. [PS_EV] Evolution Sécurité Opérationnel Sécurité Opérationnel, responsable sécurité de l organisation, chef de projet, administrateur, exploitant Dossier de politique de sécurité mis à jour Niveau minimal Le de Sécurité Opérationnel est en charge de la révision et du suivi du document de politique de sécurité. Le document est systématiquement mis à jour lorsque la téléprocédure entre en phase de production. La politique de sécurité sera réexaminée et réévaluée en cas de modification majeure de l architecture, de changement du contexte, ou de modification de l exposition aux risques. Niveau élevé Une réévaluation annuelle sera effectuée. [PS_VE] Validation des évolutions de la politique Autorité d homologation Autorité d homologation Guide d' Types /12/2006 Public 11/82

12 Guide d' Types - Dossier de politique de sécurité à jour validé Niveau minimal Il appartient à l autorité d homologation de s assurer que les mises à jours de la politique de sécurité ont été effectuées, et de valider les documents produits. [PS_CS] Contrôle et Suivi de la politique Sécurité Opérationnel Sécurité Opérationnel, auditeur, administrateur, exploitant, responsable sécurité de l organisation, responsable sécurité tiers, auditeur Application de la politique contrôlée et / ou auditée Niveau minimal Il appartient au responsable sécurité opérationnel de mettre en place les moyens nécessaires pour contrôler l application de la politique par les intervenants internes ou tiers concernés. Le responsable sécurité prend les mesures nécessaires le cas échéant pour améliorer la prise en compte opérationnelle de la politique. Niveau élevé Un audit annuel visant à contrôler l application de la politique de sécurité sera effectué. Guide d' Types /12/2006 Public 12/82

13 Guide d' Types - 3 Organisation de la sécurité [OS_OI] Organisation interne Promoteur d application Promoteur d application. sécurité fonctionnel, sécurité opérationnel, autorité d homologation, responsable sécurité de l organisation, responsable sécurité tiers, administrateurs, exploitants, auditeurs Organisation en place Niveau minimal En fonction de l avancement du projet, le promoteur d application mettra en place l organisation suivante pour adresser la problématique sécurité : Risques, objectifs et niveau de sécurité et politique Mise en œuvre Contrôle et suivi Evolutions sécurité fonctionnel sécurité opérationnel Autorité d homologation Commission d homologation sécurité de l organisme Administrateurs Exploitants s sécurité tiers Auditeurs Niveau standard Niveau élevé Pas d exigence supplémentaire Pas d exigence supplémentaire Guide d' Types /12/2006 Public 13/82

14 Guide d' Types - [OS_RSF] Sécurité Fonctionnel Sécurité Fonctionnel Sécurité Fonctionnel en poste Niveau minimal Dès la phase d étude amont, le promoteur d application nomme un responsable sécurité fonctionnel, en charge de la gestion de la sécurité pendant les phases de faisabilité, de définition et de développement. Le responsable sécurité fonctionnel dirige l analyse de risques et la définition des objectifs de sécurité, procède à la définition des exigences de sécurité et à la rédaction de la politique de sécurité selon le niveau identifié. Le responsable sécurité fonctionnel peut être le promoteur d application lui-même. Il s appuie sur l autorité d homologation et le responsable sécurité de l organisation (ou la voie fonctionnelle de sécurité selon l organisme d appartenance) pour : Obtenir des prestations de conseil dans l appréciation des risques, la définition des objectifs et des exigences, et la rédaction de la politique de sécurité. Faire valider la stratégie de gestion des risques, le niveau de sécurité et la politique de sécurité selon le niveau identifié (Autorité d homologation) Collaborer avec les responsables sécurité de l organisation à la mise en œuvre de mesures en réponse aux exigences retenues (RSSI ou AQSSI), en particulier pour les mesures de sécurité qui ne concernent pas directement l application mise en œuvre et qui peuvent exister nativement dans l organisation. Il communique les exigences de sécurité aux intervenants concernés (RSSI ou AQSSI, maîtrise d œuvre interne ou externe) et s assure de leur prise en compte par les équipes. [OS_RSO] Sécurité Opérationnel Sécurité opérationnel Sécurité opérationnel en poste Niveau minimal Le responsable sécurité opérationnel est en charge de la mise en œuvre, du contrôle et du suivi des exigences de sécurité, et des évolutions de la politique. Il intervient dès lors que la téléprocédure est en phase d utilisation. Guide d' Types /12/2006 Public 14/82

15 Guide d' Types - Il gère en direct l ensemble des mesures de sécurité applicatives, et collabore avec le responsable sécurité de l organisation (RSSI ou AQSSI par exemple) pour les mesures mises en œuvre par l organisation indépendamment du projet (par exemple sécurité physique, sécurité réseau, sécurité des personnes ) ; il collabore avec les responsables sécurité tiers impliqués dans le projet pour s assurer que les exigences de sécurité spécifiées sont effectivement mises en œuvre par les tiers. Le responsable sécurité opérationnel est également en charge de la gestion des droits des utilisateurs, en collaboration avec les administrateurs et exploitants concernés. Il collabore avec les équipes d audit interne ou tiers pour le contrôle de la mise en œuvre de la politique par les intervenants internes ou externes. [OS_AH] Autorité d homologation Autorité d homologation Autorité d homologation identifiée Niveau minimal Selon les organismes concernés, l autorité d homologation peut être un supérieur hiérarchique du promoteur d application, le HFD, ou une personne à laquelle l autorité désignée a délégué cette mission pour le projet. L autorité d homologation est garant que la mise en œuvre de la sécurité dans le projet est conforme aux besoins identifiés, et au niveau retenu. Elle doit valider le compromis entre la sécurité et les contraintes opérationnelles. Pour ce faire, elle peut s appuyer sur une commission d homologation, qu elle constitue en fonction du projet sur proposition du promoteur d application. Pour tout projet, l autorité d homologation doit approuver le niveau de sécurité identifié, ainsi que la stratégie de traitement des risques. Les autres éléments pris en compte pour l homologation de la téléprocédure dépendent du niveau identifié. Ils sont définis au paragraphe «appréciation et traitement des risques». [OS_CH] Commission d homologation Autorité d homologation Guide d' Types /12/2006 Public 15/82

16 Guide d' Types - Commission d homologation instituée Niveau minimal La commission d homologation est instituée pour la durée de la téléprocédure ; ses membres sont désignés par l autorité d homologation, sur proposition du promoteur d application. Le responsable sécurité fonctionnel ou opérationnel selon l avancement du projet est membre de fait de cette commission ; la commission est chargée de l instruction du dossier d homologation. Elle rend compte à l autorité d homologation. [OS_RSOrg] Sécurité de l organisation sécurité de l organisation sécurité identifié et impliqué dans le projet Niveau minimal Le sécurité de l organisation (RSSI ou AQSSI) tient un rôle essentiel dans la mise en œuvre de la sécurité. Il collabore avec le responsable de sécurité fonctionnel dans l analyse de faisabilité des exigences, identifie les mesures déjà en place au niveau de l organisme, et le reste à faire. Il collabore ensuite avec le responsable sécurité opérationnel dans l exploitation et l administration des mesures de sécurité pour ce qui le concerne (sécurité physique, réseau, système, ). [OS_RST] Sécurité Tiers Sécurité Tiers s Sécurité Tiers identifiés et impliqués dans le projet Niveau minimal Les responsables sécurité tiers sont les correspondants des responsables sécurité fonctionnels et opérationnels. Ils s assurent de la recevabilité des exigences par leur organisation, en contrôlent la mise en œuvre et collaborent au suivi de ces mesures par le responsable opérationnel. Guide d' Types /12/2006 Public 16/82

17 Guide d' Types - Niveau élevé Pas d exigence supplémentaire [OS_AE] Administrateurs et exploitants Administrateurs et exploitants Administrateurs et exploitants identifiés et impliqués dans le projet Niveau minimal Les administrateurs et exploitants collaborent à la prise en compte de la sécurité : ils mettent en oeuvre les règles de sécurité applicatives, systèmes et réseau, conformément aux orientations du responsable opérationnel, en effectuent le suivi et le contrôle sous la direction du responsable sécurité opérationnel ; ils participent au pilotage opérationnel de la sécurité coordonné par le responsable opérationnel. [OS_AU] Auditeurs Auditeur Equipes d audit identifiées Niveau minimal Les auditeurs internes ou tiers collaborent au contrôle de la mise en œuvre de la politique de sécurité. Les missions d audit visent à s assurer de l adéquation de la politique par rapport au traitement des risques, et de l efficacité des mesures mises en œuvre. Les résultats d audit sont exploités par le responsable opérationnel dans la phase d évolution de la politique et des mesures mises en œuvre. Niveau élevé Un audit annuel sera effectué. Guide d' Types /12/2006 Public 17/82

18 Guide d' Types - 4 Tiers [TIERS_ID] Identification des tiers Promoteur d application Sécurité Fonctionnel, promoteur d application externes dans la téléprocédure identifiés Niveau minimal Dès qu il a connaissance de l organisation projet, le promoteur d application doit prendre en compte la participation d intervenants externes dans la réalisation ou l exploitation de la téléprocédure : hébergeur, développeur, intégrateur, tiers d archivage, partenaires étatiques ou privés, sous-traitants intervenant sur site ou à distance dans l administration ou l exploitation d éléments. En collaboration avec le responsable sécurité fonctionnel, le promoteur d application doit identifier clairement les prestations externalisées ayant une incidence sur la sécurité du projet. [TIERS_RE] Report des exigences Sécurité Fonctionnel Sécurité Fonctionnel, promoteur d application sécurité formalisées au tiers Niveau minimal En fonction des prestations externalisées, le responsable sécurité fonctionnel doit reporter les exigences correspondantes de la politique vers le prestataire concerné, au travers d exigences sécurité dans les cahiers des charges, ou de clauses de sécurité dans les accords de partenariat. Les exigences seront contractualisées. Niveau élevé Un Plan d Assurance Sécurité sera demandé aux prestataires [TIERS_CS] Contrôle des exigences Guide d' Types /12/2006 Public 18/82

19 Guide d' Types - Sécurité Fonctionnel puis Sécurité Opérationnel Sécurité Fonctionnel. Sécurité Opérationnel, Sécurité Tiers, Promoteur d application sécurité prises en compte par les tiers Niveau minimal Il appartient aux responsables sécurité fonctionnel puis opérationnel selon la phase du projet de s assurer de la prise en compte des exigences communiquées au tiers dans les réponses à consultation et dans les développements, ou dans les accords de partenariat. Toute externalisation (hébergement, archivage, développement, administration ou exploitation distante) sera soumise à contrôle préalable de la prise en compte des exigences de sécurité par le prestataire. Niveau élevé Une matrice de conformité sera demandée au prestataire visant à tracer la prise en compte des exigences. Les non conformités identifiées seront présentées par le prestataire avec les risques résiduels induits. Les non conformités et risques résiduels devront être acceptés par le promoteur d application. [TIERS_SE] Suivi et évolution des exigences Sécurité Opérationnel Sécurité Fonctionnel, Sécurité Opérationnel, Sécurité Tiers, Maîtrise d œuvre sécurité mises en œuvre par les tiers Niveau minimal Le responsable sécurité opérationnel est en charge du suivi de la mise en œuvre des exigences de sécurité par les tiers. Il informe les tiers en cas d évolution de la politique de sécurité ayant une incidence sur les exigences les concernant, et s assure de la prise en compte des évolutions par les tiers. Pour ce faire, il collabore avec le responsable sécurité tiers, et la maîtrise d œuvre le cas échéant [TIERS_AE] Audit de la prise en compte des exigences par les tiers Sécurité Opérationnel Guide d' Types /12/2006 Public 19/82

20 Guide d' Types - Sécurité Opérationnel, Sécurité Tiers, Auditeurs Mesures de sécurité auditées Niveau minimal Avec l assistance du responsable sécurité tiers, le responsable sécurité opérationnel peut faire réaliser des audits sur le site d un tiers pour s assurer de la prise en compte opérationnelle des exigences de sécurité. Si l Le rapport d audit sera présenté à la commission d homologation. Des mesures correctives pourront être définies par le responsable de sécurité opérationnel, et transmises au tiers concerné pour prise en compte. Niveau élevé Des audits annuels seront effectués. [TIERS_IS] Intervention sur site Sécurité Opérationnel Sécurité Opérationnel, personnel sous-traitant Engagement formalisé des intervenants Niveau minimal Tout intervenant tiers opérant sur site devra s engager à respecter les éléments applicables de la politique de sécurité, au même titre que les intervenants de l organisation. Niveau élevé Un engagement formalisé sera exigé. Guide d' Types /12/2006 Public 20/82

21 Guide d' Types - 5 Gestion des biens [GB_ID] Identification des biens propres Sécurité Fonctionnel, Sécurité Opérationnel Sécurité Fonctionnel, Sécurité Opérationnel, administrateurs, exploitants Biens sensibles identifiés et répertoriés Niveau minimal Le responsable sécurité fonctionnel, puis le responsable sécurité opérationnel doivent inventorier tous les biens sensibles (informations, entités) de la téléprocédure, et leur attribuer un propriétaire, responsable de la gestion des mesures de sécurité appropriées. Les informations doivent être répertoriées, conformément au niveau de sensibilité apprécié dans l analyse effectuée par le responsable de sécurité fonctionnel lors de l analyse de risques. Niveau élevé Les biens sensibles doivent comporter une mention informant de leur niveau de sensibilité. [GB_IM] Identification des moyens supports Sécurité Opérationnel Sécurité Opérationnel, RSSI Organisation Moyens support sensibles identifiés et classifiés Niveau minimal Le responsable de sécurité opérationnel ne gère que les biens spécifiques à la téléprocédure, et s appuie sur le RSSI ou l AQSSI responsable sécurité de l organisation pour les biens supports (équipements réseaux par exemple). [GB_CC] Continuité, contrôle et suivi de l identification Guide d' Types /12/2006 Public 21/82

22 Guide d' Types - Sécurité Opérationnel Sécurité Opérationnel, administrateur, exploitant Audit de l identification et de l affectation des biens sensibles Niveau minimal L identification des biens propres et la gestion des mesures de sécurité adaptées doivent être continues, c'est-à-dire suivre le bien quel que soit leur détenteur et leur support, dans la mesure où il reste dans le périmètre de la téléprocédure (les informations détenues par l usager de la téléprocédure sur son poste de travail ne sont donc pas soumises à cette exigence). Niveau élevé L audit annuel de contrôle de l application de la politique de sécurité prendra en compte le contrôle et le suivi de l identification et la catégorisation des biens sensibles. Guide d' Types /12/2006 Public 22/82

23 Guide d' Types - 6 Sécurité liée au personnel [PER_SE] Sélection du personnel et des sous-traitants sur site O.Personnel Sécurité Opérationnel Sécurité Opérationnel, Direction des Ressources Humaines Validation de références à des prestations similaires Niveau minimal L aptitude à se comporter conformément à un code déontologique sera prise en considération lors de l affectation des ressources humaines au projet. Niveau élevé Les ressources humaines affectées à des postes sensibles devront présenter des références à des prestations de sensibilité équivalente à celle pour laquelle ils sont pressentis. [PER_RE] Responsabilités du personnel Sécurité Opérationnel Sécurité Opérationnel, administrateurs, exploitants Dossier de gestion des rôles (description de poste) des intervenants rédigé et à jour. Accord des intervenants Niveau minimal Le responsable sécurité opérationnel tient à jour un document définissant les rôles et responsabilités des intervenants en terme de sécurité. Ce document est connu des intervenants de l organisation et des tiers opérant sur site, pour la partie qui les concerne ; ils sont informés des responsabilités affectées, des procédures disciplinaires de l organisation, et les acceptent. [PER_FO] Sensibilisation et formation du personnel O.Personnel ; O.lutte contre les sinistres ; O.continuité de services essentiels ; O.continuité de l exploitation Sécurité Opérationnel Guide d' Types /12/2006 Public 23/82

24 Guide d' Types - Sécurité Opérationnel, administrateurs, exploitants Sessions de formation organisées et validées Niveau minimal Pas d exigence Niveau standard Les intervenants sont sensibilisés aux enjeux sécurité du projet, formés de manière à pouvoir gérer les mesures de sécurité qui leur incombent. Ils sont au fait des structures supports nécessaires à l exécution de leur tâche (organisation du reporting sécurité, gestion des incidents) Niveau élevé Les intervenants sont également informés de la sensibilité des informations traitées, et formés aux moyens spécifiques mis en œuvre. [PER_VO] Volant de personnel O.personnel ; O.continuité de services essentiels ; O.continuité de l exploitation Sécurité Opérationnel Sécurité Opérationnel, Direction des Ressources Humaines, administrateurs, exploitants Affectation de ressources cohérente avec les besoins de gestion de la sécurité Niveau minimal Une gestion adaptée des ressources humaines doit être mise en place de manière à ce qu il n y ait pas de vacance sur un poste critique qui puisse impacter la sécurité de la téléprocédure, ou induire une indisponibilité de la téléprocédure incompatible avec les objectifs de sécurité retenus. Il convient en particulier que les ressources affectées soient en cohérence avec les objectifs en matière de disponibilité. [PER_EN] Engagement de confidentialité O.personnel ; O.confidentialité des échanges ; O.confidentialité des données enregistrées Sécurité Opérationnel Sécurité Opérationnel, administrateurs, exploitants Engagements de confidentialité signés pour les postes sensibles Niveau minimal Niveau standard Pas d exigence Pas d exigence Guide d' Types /12/2006 Public 24/82

25 Guide d' Types - Niveau élevé Dès lors que des objectifs de sécurité ont été identifiés en matière de confidentialité, les intervenants amenés par leur fonction à connaître ou détenir des informations confidentielles signeront un engagement de confidentialité propre au projet. [PER_RS] Restitution des données sensibles O.confidentialité des données enregistrées ; O.personnel Sécurité Opérationnel Sécurité Opérationnel, administrateurs, exploitants Dossier d affectation des biens sensibles à jour Niveau minimal Pas d exigence Niveau standard Pas d exigence Niveau élevé Le responsable sécurité opérationnel tient à jour la liste des intervenants amenés à détenir des informations sensibles. Une procédure de restitution est mise en place de manière à s assurer de la restitution des éléments détenus en cas de changement d affectation. [PER_SU] Suppression des droits d accès O.confidentialité des données enregistrées ; O.locaux ; O contrôle des droits administrateurs et exploitants Sécurité Opérationnel Sécurité Opérationnel, administrateurs, RSSI organisation, exploitants Gestion des droits d accès à jour Niveau minimal Le responsable sécurité opérationnel s assure que les authentifiants et droits d accès des intervenants changeant d affectation sont invalidés dans un délai n excédant pas deux semaines. Niveau élevé Le responsable sécurité opérationnel s assure que les authentifiants et droits d accès des intervenants changeant d affectation sont invalidés dans un délai n excédant pas une semaine. Guide d' Types /12/2006 Public 25/82

26 Guide d' Types - 7 Sécurité physique et environnementale [PHY_ZO] Zonage Sécurité Fonctionnel, Sécurité Opérationnel Sécurité Fonctionnel, Sécurité Opérationnel, développeurs, hébergeurs, RSSI, tierce maintenance, tiers exploitant Répartition des biens sensibles en zone conforme aux besoins Niveau minimal Des périmètres de sécurité devront être définis de manière à empêcher l accès non autorisé aux biens sensibles, et à limiter les risques de dommage aux biens et personnes. Ces zones doivent prendre en compte les contraintes opérationnelles. Il convient de distinguer : Des zones publiques, accessibles à tous, qui n hébergent aucune ressource dédiée à la téléprocédure Des zones privées 1, dont les accès sont limités. Ces zones privées peuvent héberger : - Des plates-formes de développement de téléprocédure - Des moyens d administration ou d exploitation de téléprocédure - Les bureaux des intervenants Les moyens de développement et d administration / exploitation d une téléprocédure ne pourront pas être localisés sur une même zone privée. Des zones sensibles 2, dont les accès sont contrôlés. Ces zones sensibles doivent être réservées au traitement d informations sensibles, et à l hébergement de ressources sensibles. Ce sont : - Des zones sensibles de type datacenter, réservées à l hébergement des moyens informatiques : serveurs applicatifs, bases de données, serveurs d authentification, Zone Privée Zone sensible Data Center Zone Privée Zone Publique 1 Equivalentes aux zones administratives définies par l OTAN ou l UE 2 Equivalentes aux zones de sécurité définies par l OTAN ou l UE Guide d' Types /12/2006 Public 26/82

27 Guide d' Types - Le responsable sécurité fonctionnel puis le responsable sécurité opérationnel collaborent avec le responsable sécurité de l organisation de manière à héberger les ressources sensibles dans les zones correspondantes existantes, ou à mettre en place les locaux adaptés le cas échéant. Il n est pas nécessaire que les zones soient dédiées à une téléprocédure donnée ; elles peuvent être partagées par des intervenants ou des moyens présentant des besoins de sécurité analogues. Niveau élevé Des périmètres de sécurité devront être définis de manière à empêcher l accès non autorisé aux biens sensibles, et à limiter les risques de dommage aux biens et personnes. Ces zones doivent prendre en compte les contraintes opérationnelles. Il convient de distinguer : Des zones publiques, accessibles à tous, qui n hébergent aucune ressource dédiée à la téléprocédure Des zones privées 3, dont les accès sont limités. Ces zones privées peuvent héberger : - Les bureaux des intervenants qui ne sont pas amenés à détenir d informations sensibles Des zones sensibles 4, dont les accès sont contrôlés. Ces zones sensibles doivent être réservées au traitement d informations sensibles, et à l hébergement de ressources sensibles. Ce sont : - Les plates-formes de développement de téléprocédure - Les moyens d administration ou d exploitation de téléprocédure - Les bureaux des intervenants amenés à détenir des informations sensibles Les moyens de développement et d administration / exploitation d une téléprocédure ne pourront pas être localisés sur une même zone sensible. Des zones sensibles de type datacenter, réservées à l hébergement des moyens informatiques : serveurs applicatifs, bases de données, serveurs d authentification, Zone sensible Admin / Exploit Zone sensible Développement Data Center Bureaux Zone Privée Zone Privée Zone Publique 3 Equivalentes aux zones administratives définies par l OTAN ou l UE 4 Equivalentes aux zones de sécurité définies par l OTAN ou l UE Guide d' Types /12/2006 Public 27/82

28 Guide d' Types - Le responsable sécurité fonctionnel puis le responsable sécurité opérationnel collaborent avec le responsable sécurité de l organisation de manière à héberger les ressources sensibles dans les zones correspondantes existantes, ou à mettre en place les locaux adaptés le cas échéant. Il n est pas nécessaire que les zones soient dédiées à une téléprocédure donnée ; elles peuvent être partagées par des intervenants ou des moyens présentant des besoins de sécurité analogues. [PHY_ZP] Accès aux zones privées [PER_SU] Sécurité de l Organisation Sécurité Opérationnel, Sécurité de l organisation Contrôle et Audit des mesures physiques sur zones privées Niveau minimal Les zones privées doivent avoir un périmètre clairement défini, et sont protégées contre les accès non autorisés. Un avertissement quant aux limites d accès sur zone est affiché à l entrée des zones privées. Un contrôle d accès est mis en œuvre, de manière à ce que seules les personnes autorisées puissent accéder à la zone privée. Le contrôle d accès sera basé sur la détention d un secret (code d accès), ou la détention d un moyen (badge). Les plages horaires d accès sur zones seront déterminées conformément aux besoins des intervenants. Des mesures spécifiques doivent être mises en œuvre pour autoriser l accès de visiteurs. Ceux-ci seront systématiquement accompagnés lors de leurs accès sur zones privées. Les accès des visiteurs sont systématiquement tracés dans un journal. Un dispositif de surveillance ou de détection d intrusion est mis en place et opéré en dehors des heures d accès des intervenants. Les bureaux inoccupés sont systématiquement fermés. Le Sécurité Opérationnel collabore avec le de la Sécurité de l Organisme à la prise en compte de ces exigences. Le contrôle peut ne pas être spécifique à la téléprocédure, mais être effectué au travers des contrôles et audits réalisés par l organisme. Niveau standard Niveau élevé Pas d exigence supplémentaire Pas d exigence supplémentaire [PHY_ZS] Accès aux zones sensibles [PER_SU] Sécurité de l Organisation Guide d' Types /12/2006 Public 28/82

29 Guide d' Types - Sécurité Opérationnel, Sécurité de l Organisation Contrôle et audit des mesures physiques sur zones sensibles Niveau minimal Les zones sensibles doivent avoir un périmètre clairement défini, et sont protégées contre les accès non autorisés. L architecture de la zone est conçue de manière à limiter les risques d intrusion physique. Un avertissement quant aux limites d accès sur zone est affiché à l entrée des zones privées. Un contrôle d accès est mis en œuvre, de manière à ce que seules les personnes autorisées puissent accéder à la zone privée. Le contrôle d accès sera basé sur la détention d un secret (code d accès), et la détention d un moyen (badge). Les plages horaires d accès sur zones seront déterminées conformément aux besoins des intervenants. Les accès sont systématiquement journalisés et les traces exploitées. Des mesures spécifiques doivent être mises en œuvre pour autoriser l accès de visiteurs. Ceux-ci seront systématiquement accompagnés lors de leurs accès sur zones privées. Les accès des visiteurs sont systématiquement tracés dans un journal. Le port d un badge visible identifiant la qualité (visiteur, personnel autorisé) de la personne est requis sur zone sensible. Un dispositif de surveillance ou de détection d intrusion est mis en place et opéré en dehors des heures d accès des intervenants. Des moyens dédiés sont mis à disposition du personnel pour stocker de manière sécurisée les informations et supports sensibles. Le Sécurité Opérationnel collabore avec le de la Sécurité de l Organisation à la prise en compte de ces exigences. Le contrôle peut ne pas être spécifique à la téléprocédure, mais être effectué au travers des contrôles et audits réalisés par l organisation. [PHY_ZD] Protection de la zone Datacenter Sécurité de l Organisation Sécurité Opérationnel, Sécurité de l Organisation Contrôle et audit des mesures de protection physique du datacenter Niveau minimal Le datacenter doit être localisé de manière à minimiser les risques inhérents aux sinistres physiques incendie, dégât des eaux et événements naturels climatique, crue. L architecture de la zone est conçue de manière à limiter les risques d intrusion physique, ainsi que les risques de propagation de feu. Guide d' Types /12/2006 Public 29/82

30 Guide d' Types - Des mesures sont prises pour prévenir et limiter les conséquences d une coupure d alimentation électrique, de manière à permettre une reprise conforme aux besoins de disponibilité notifiés. Des moyens de climatisation sont mis en place pour maintenir des conditions de température et d humidité adaptées aux équipements. Des mesures sont prises pour prévenir les pannes de climatisation, et en limiter les conséquences. Des mesures sont mises en œuvre pour détecter les départs de feu et en limiter les conséquences. Les équipements de détection et de protection mis en œuvre sont régulièrement contrôlés et maintenus. Le câblage supportant les liaisons télécommunication est protégé contre les coupures accidentelles ou intentionnelles. [PHY_AD] Accès au Datacenter [PER_SU] Sécurité de l Organisation Sécurité Opérationnel, Sécurité de l Organisation Contrôle et audit des mesures de contrôle d accès au datacenter Niveau minimal La zone hébergeant le datacenter doit avoir un périmètre clairement défini, et être protégée contre les accès non autorisés. L architecture de la zone est conçue de manière à limiter les risques d intrusion physique. Un avertissement quant aux limites d accès sur zone est affiché à l entrée du datacenter. Un contrôle d accès est mis en œuvre, de manière à ce que seules les personnes autorisées puissent accéder au datacenter. Le contrôle d accès sera basé sur la détention d un secret (code d accès), et la détention d un moyen (badge) Les plages horaires d accès sur zones seront déterminées conformément aux besoins des intervenants. Les accès sont systématiquement journalisés et les traces exploitées. Le port d un badge visible identifiant la qualité (visiteur, personnel autorisé) de la personne est requis sur zone sensible. Des mesures spécifiques doivent être mises en œuvre pour autoriser l accès de visiteurs. Ceux-ci seront systématiquement accompagnés lors de leurs accès au datacenter. Les accès des visiteurs sont systématiquement tracés dans un journal. Les demandes d accès doivent être validées par le responsable sécurité de l organisation. Un dispositif de surveillance ou de détection d intrusion est mis en place et opéré en dehors des heures d accès des intervenants. Guide d' Types /12/2006 Public 30/82

31 Guide d' Types - Niveau élevé Un contrôle d accès renforcé (biométrique par exemple) sera mis en place. - une présence simultanée de deux personnes sur zone est requise, en dehors des situations d urgence. [PHY_GS] Gestion des supports en zone datacenter Sécurité Opérationnel Sécurité Opérationnel, Sécurité de l Organisation, administrateur, exploitant Contrôle et audit des mesures de gestion des supports du datacenter Niveau minimal Les moyens supports (bande par exemple) utilisés dans le datacenter sont conservés dans des armoires sécurisées. Les supports de back up sont conservés de manière sécurisée dans des locaux correspondant à la sensibilité des données traitées, à une distance suffisante de manière à ce qu un sinistre impactant le datacenter n affecte pas les supports de back up La sortie de supports du datacenter est limitée aux seules personnes autorisées (cf. définition des rôles). Seuls les moyens nécessaires au bon fonctionnement du datacenter sont présents sur la zone. Le Sécurité Opérationnel collabore avec le Sécurité de l Organisation à la prise en compte de ces exigences. Le contrôle peut ne pas être spécifique à la téléprocédure, mais être effectué au travers des contrôles et audits réalisés par l organisation. Guide d' Types /12/2006 Public 31/82

32 Guide d' Types - 8 Sécurité réseau [RES_IS] Identification des ressources réseau Sécurité Opérationnel Exploitant réseau, Sécurité Opérationnel Document de référencement réseau mis à jour Niveau minimal L ensemble des ressources réseau (serveur ou poste de travail) interagissant avec la téléprocédure doivent être identifiées et répertoriées dans un document. - Les postes des usagers de la téléprocédure dont les connexions proviennent de la zone Internet seront identifiés par leur appartenance à un ensemble d adresses IP routable depuis Internet. - Les postes utilisés pour des fonctions d Administration ou d Exploitation de la téléprocédure doivent être identifiés au minimum par leur adresse IP appartenant à un sous-réseau défini, et éventuellement par un nom réseau. - Les postes et serveurs appartenant à des organismes partenaires ou tiers, accédant à la téléprocédure doivet être identifiés de façon unique par leur adresse IP et appartenant à un réseau de confiance (Extranet) autre que celui d Internet. [RES_IP] : Réseau : Protection des informations d identification des ressources O. confidentialité des éléments d adressage sécurité opérationnel Exploitant réseau Procédure d exploitation validée Niveau minimal L ensemble des informations relatives à l identification des ressources, renseignées dans un document ou fichier de référencement IP du réseau, doit être protégé contre un accès non autorisé (lecture, modification). [RES_AA] Authentification équipements réseau et Contrôle d accès des administrateurs sur les Guide d' Types /12/2006 Public 32/82

33 Guide d' Types - [PER_Su] sécurité opérationnel Administrateurs et exploitants des équipements réseau Procédure de contrôle d accès validée et contrôlée ; journaux exploités Niveau minimal Authentification : Tout accès logique (au moyen d une console d administration) d un administrateur aux équipements réseau doit pouvoir être authentifié par l équipement réseau. Les tentatives d accès non autorisées doivent être rejetées et tracées. Profil : Les administrateurs appartiennent à un ou plusieurs groupes en fonction de leur rôle et leurs tâches au sein du système, selon une procédure qui définit les droits d accès (pas d accès, accès en lecture, accès en lecture et écriture, ). Administration distante : L administration distante des équipements réseau n est autorisée que depuis la Zone Intranet uniquement. La liaison devra mettre en œuvre des mécanismes d authentification éprouvés, avec nécessité de confidentialité des échanges de données (utilisation de SSH par exemple) Contrôle : Il sera procédé périodiquement à un contrôle des listes d accès et des privilèges associés en fonction du rôle de l administrateur et de son appartenance à un ou plusieurs groupes. [RES_ZO] Cloisonnement des réseaux par contrôle de flux sécurité opérationnel sécurité opérationnel ; Administrateur réseau des équipements de filtrage Document politique de contrôle de flux approuvé ; Fichiers de configuration de filtrage réseau mis à jour Niveau minimal Des zones ou périmètres de sécurité devront être définies afin de cloisonner le système d information en périmètres de niveaux de confiance différents : - Zone Internet : zone de confiance basse, d où proviennent les requêtes des Usagers de la téléprocédure - Zone Extranet : zone de confiance faible, où les ressources ne sont pas maîtrisées par le gestionnaire de la téléprocédure. C est une zone d où proviennent les connexions des Partenaires tiers de la téléprocédure, administrations, banques, partenaires privés ayant besoin d interagir avec la téléprocédure. Guide d' Types /12/2006 Public 33/82

34 Guide d' Types - - Zone Intranet : zone de confiance modérée, d où proviennent les connexions des Administateurs, Exploitants et Opérateurs de la téléprocédure, comme les agents habilités de l administration. - Zone de la téléprocédure : zone de confiance bonne, où est situé l ensemble des ressources de la téléprocédure Zone Confiance Téléprocédure Bonne Administrateurs locaux Intranet Modérée Administrateurs / exploitants / opérateurs Extranet Faible Organismes Tiers, partenaires financiers, recruteurs, administration Internet Basse Usagers de la téléprocédure Représentation logique des Zones : L accès à la téléprocédure est découpé en un ensemble de zones de sécurité disjointes. Ce découpage en zones s inspire du concept générique IP de «domaine autonome de routage». Les communications entre ces différentes zones devront systématiquement passer par un dispositif dimensionné en conséquence qui aura la charge de contrôler les flux et le respect des exigences particulières à chaque périmètre. Principes du cloisonnement réseau : Un cloisonnement logique sera mis en place entre ces différentes zones par l intermédiaire de technologie de firewall à filtrage de flux : Guide d' Types /12/2006 Public 34/82

35 Guide d' Types - Tous les flux de données susceptibles d être établis vers la Zone de Téléprocédure doivent être identifiés, déclarés et contrôlés. Le contrôle de la nature et de la teneur des flux entrant et sortant sera assuré par des dispositifs de protection selon le principe de restriction «tout ce qui n est pas explicitement autorisé est interdit». Ainsi, seuls les flux ayant fait l objet d une déclaration et ayant explicitement été autorisés par les responsables sécurité impliqués seront autorisés à transiter. Tous les flux externes provenant de la Zone Internet, considérée comme étant de confiance minimale, devront obligatoirement transiter par une plate-forme dédiée aux accès externes. Cette plateforme effectuera un ensemble de contrôle répondant aux exigences de protection de code malveillant. Auncun flux d administration ne doit provenir de la Zone Internet Seuls les flux pour lesquels les dispositifs de sécurité disposeront des données nécessaires à l identification précise du protocole de transport utilisé, de l origine et de la destination des données ainsi que du service demandé seront acceptés. Toute autre requête de connexion d accès devra être refusée. Une documentation décrivant la politique de filtrage de flux doit identifier chaque ressource de chaque zone et les relations de communication que la ressource aura le droit d établir avec une ressource identifiée d une autre zone. Une matrice de flux documentée et détaillée devra recenser l ensemble des flux autorisés entre les différents domaines. Exemple de matrice des flux autorisés à destination de la téléprocédure : Origine Destination Justification de l autorisation du flux Internet Téléprocédure Usage standard de la téléprocédure par les Usagers : échanges HTTP/S, messages SMTP Extranet Téléprocédure Exploitation de la téléprocédure par les Partenaires : flux HTTP/S, SMTP Administration distante et mise à jour : flux HTTP/S, SSH (TELNET, FTP) Données applicatives Intranet Téléprocédure Exploitation de la téléprocédure par les Opérateurs : flux HTTP/S, SMTP Administration locale et mise à jour : flux HTTP/S, SSH (TELNET, FTP) Téléprocédure Internet Messages d information : notifications SMTP Téléprocédure Extranet Données du dossier Usager : flux FTP Téléprocédure Intranet Sauvegarde / archivage de données : flux FTP Les solutions matérielles ou logicielles retenues pour mettre en œuvre ce contrôle de flux doivent répondre aux exigences identifiées dans [ACQ_CS]. Guide d' Types /12/2006 Public 35/82