Qualité et sécurité informatique

Transcription

1 MARCHES PUBLICS DE FOURNITURES COURANTES ET SERVICES AMIENS METROPOLE POLE COMMUNICATION COMMUNICATION EXTERNE BP AMIENS CEDEX CREATION DU SITE INTERNET D AMIENS METROPOLE LOT N 2 «Annexe au CCTP» Qualité et sécurité informatique Page 1 sur 13

2 Sommaire Caractéristiques des logiciels... 3 Liens avec l infrastructure et les réseaux... 3 Authentification et gestion des accès... 3 Gestion des mots de passe... 4 Gestion des droits et de la sécurité logique... 4 Audit, preuve et contrôle... 5 Protection de l intégrité... 5 Lutte contre la malveillance... 6 Modalités d exécution des prestations... 7 Organisation et prise en compte de la sécurité... 7 Habilitations des prestataires... 7 Authentification et mots de passe... 7 Protection de l information et des supports d information... 8 Installation du logiciels et du site : généralités... 8 Interventions... 9 Relations contractuelles avec les prestataires Support informatique Maintenance Gestion des incidents Sauvegardes - Continuité des activités Page 2 sur 13

3 Caractéristiques des logiciels Note importante : dans toute la suite du document, le ou les outil(s) d administration du site seront globalement désignés par le terme «le logiciel». Le terme d «application(s)» désignera le site lui-même, et particulièrement les programmes qu il contient (généralement des scripts, mais pas seulement) Liens avec l infrastructure et les réseaux Les solutions proposées par le prestataire devront être cohérentes avec l architecture informatique et réseau d Amiens Métropole, en particulier avec l architecture de sécurité, en n introduisant aucun dispositif matériel ou logiciel ayant pour effet de la contourner. Les modalités de la supervision par l outil «Nagios» du système proposé doivent être précisées en détail : système d exploitation, services ou démons, bases de données, etc. En cas d utilisation de la messagerie électronique pour la génération d envoi en masse par le logiciel applicatif, les flux réseaux générés devront être maîtrisés, de manière à ne pas causer de déni de service ou d autres perturbations. L'ensemble des services réseaux (du /des serveur(s) supportant le(s) site(s) web) doit être configuré de manière à ne pas pouvoir être utilisé pour d'autres fonctionnalités que celles prévues. Authentification et gestion des accès L authentification de l administrateur, des modérateurs s effectue sur l annuaire «Active Directory» d Amiens Métropole, exclusivement. Les fonctions définies comme sensibles, au minimum : l administration du site, doivent faire l'objet d'une authentification forte (par certificat, «token», ou équivalent, et non par simple mot de passe). Auquel cas, cette authentification forte sera en relation avec l Active Directory (et son autorité de certification) depuis laquelle le logiciel récupèrera les éléments d authentification. Le dispositif d authentification forte (par exemple : lecteur de badge + driver) sera fourni par Amiens Métropole L'accès aux ports de diagnostic doit pouvoir être réservé aux personnes habilitées. Une session interactive sur le logiciel (dans sa partie réservée aux professionnels et à l administration informatique) doit pouvoir être verrouillée à la suite d'une durée (15 à 30 minutes à définir) d'inactivité d'un utilisateur en rendant le contenu des écrans d'affichage illisibles et en désactivant tout moyen d'accès aux données excepté le déverrouillage de la session. Page 3 sur 13

4 L'utilisateur doit pouvoir verrouiller sa propre session interactive en rendant le contenu des écrans d'affichage et en désactivant tout moyen d'accès aux données excepté le déverrouillage de la session. Les accès aux systèmes applicatifs doivent être journalisées au même titre que les accès aux systèmes avec au minimum l'identité de l'utilisateur, le système concerné et la date et l'heure de l'accès ainsi que l action demandée ou réalisée. Gestion des mots de passe L'organisation mise en place au sein d Amiens Métropole et envers ses partenaires doit favoriser l'identification individuelle des utilisateurs. Tous les utilisateurs professionnels doivent au minimum avoir un couple identificateur unique (code utilisateur et mot de passe) pour leur utilisation personnelle exclusive, de sorte que les activités puissent être associées rétrospectivement à l'individu responsable. Les comptes génériques doivent être bannis. Les systèmes de gestion des mots de passe doivent être conformes à la politique de sécurité d Amiens Métropole et fournir une fonction interactive efficace qui assure la qualité des mots de passe (pas de mots de passe trop courts ou trop simples, pas de réutilisation de mots de passe immédiatement précédents...), soit : - au moins 8 caractères. - mots de passe à blanc non autorisés - utilisation d au moins 3 formes différentes de caractères: majuscules, minuscules, chiffres, caractères spéciaux - rotation sur 4 mots de passe Gestion des droits et de la sécurité logique Des profils définiront les droits en lecture, écriture, modification, suppression de donnés dont disposent les utilisateurs du logiciel applicatif. Ils s appuieront sur les groupes définis dans Active Directory à cette fin. Les règles de définition des droits pourront s appuyer aussi : - sur la localisation du poste client, - les réseaux utilisés - les protocoles employés, et intégrer la définition de créneaux horaires d utilisation de l application. L'aptitude de changer les valeurs par défaut dans les systèmes et les logiciels, d'interroger, d y modifier ou supprimer certaines valeurs ou paramètres doit être restreinte à l administrateur. En particulier, il est le seul à pouvoir affecter : - les droits aux profils, - et les profils aux utilisateurs. Page 4 sur 13

5 Si elle existe, la possibilité de déléguer à d autres utilisateurs cette faculté pour tout ou partie des ressources considérées ne peut être mise en œuvre que par lui. L utilisation : - d outils de requêtage interrogeant directement la /les base(s) de données (SQL, Business Objects, autres ) - de connexions ODBC ou assimilées, ne doit pas permettre de contourner les autorisations définies au niveau du logiciel, et se traduire par une dégradation du niveau de sécurité logique La liste des profils et des droits attribués doit être aisément et à tout moment consultable par le(s) utilisateur(s) professionnel(s) autorisé(s). L'authentification d'une application doit être basée sur un système garantissant qu'il n'y a pas d'usurpation d'application (certificat de signature par exemple). Audit, preuve et contrôle Des journaux (système, ou logiciel) doivent être générés en permanence, en intégrant toutefois le dispositif de «rotation de log» adéquat (fréquence à déterminer en fonction de l utilisation particulière). Chaque événement sur le S.I. d Amiens Métropole pour être auditable, doit pouvoir être associé de façon irréfutable avec sa chronologie (date et heure) et l'identité de l'utilisateur qui est l'origine de l'événement. Les enregistrements d'audit doivent donc comprendre au minimum la date, l'heure, le type d'événement, l'identité du sujet ou du programme automatique à l origine de l action, l opération ou transaction effectuée et les paramètres, le résultat (succès ou échec) de l'événement. Les événements intègrent en particulier, toute action de l administrateur ou d un utilisateur professionnel (modérateurs ), sur tout objet ou fichier du site, et surtout sur les paramétrages du logiciel (gestion des droits ) et les applications. Les enregistrements d'audit stockés doivent être protégés contre: - toute modification ; - toute suppression non autorisée. Protection de l intégrité L'authenticité des codes des programmes doit être garantie. Leur intégrité doit être protégée contre les modifications non autorisées. Des signatures numériques doivent être utilisées pour protéger l'authenticité et l'intégrité des fichiers de paramétrage du logiciel, en particulier ceux définissant les droits d accès. Page 5 sur 13

6 Les données doivent être contrôlées à la recherche d'erreurs d'intégrité. Les administrateurs informatiques ou les utilisateurs professionnels autorisés doivent avoir la capacité de déclencher à la demande ce contrôle. Le système devra intégrer des journaux transactionnels dans son fonctionnement, de manière à minimiser la perte d information en cas d arrêt total de fonctionnement ou de dysfonctionnement grave, alors qu une mise à jour du site web est en train d être effectuée. Lutte contre la malveillance Les candidats indiqueront s ils ont appliqué à leurs développements les recommandations telles que celles de l OWASP ( Les candidats devront préciser : - s ils ont recherché, ou fait rechercher, dans les logiciels et applications qu ils proposent, des failles de sécurité déjà publiées par le CERT américain, ou par le CERTA français (site : ), et en particulier (liste non limitative): o «cross scripting» ; o injection de code SQL ; o acceptation d URL mal formées ; o attaques sur les identifiants de session ; o saisie de données non contrôlées ; o «cross-site request forgery» ; o attaques en rebond vers d autres machines ou sites - comment a été effectuée cette recherche (par quel expert[*], disposant de quelles qualifications ou certifications, ou par un dispositif automatique du type scanner de vulnérabilités) - si cette recherche a été effectuée pour une configuration système et logicielle représentative de celle qui serait proposée à Amiens Métropole - quels efforts ils ont déployé pour corriger les vulnérabilités éventuellement découvertes et les documenter. [*] idéalement : certifié CISA ou CISSP, ou autre certification dûment reconnue comme équivalente Page 6 sur 13

7 Modalités d exécution des prestations Organisation et prise en compte de la sécurité Le prestataire doit être conscient des risques pesant sur le système d'information, des méthodes d'attaque, des problèmes de sécurité potentiels et des mesures pour couvrir les risques ou en limiter les impacts. Il devra désigner et indiquer quel est -parmi son personnel- l interlocuteur chargé des questions de protection des informations ainsi que des aspects techniques afférents. Cette personne désignée devra être en contact permanent avec le responsable de la sécurité des S.I. d Amiens Métropole, et tout particulièrement : - durant le projet ou la prestation; - au moment du recettage ; - lors du bilan post-installation. La mise en application de la politique de sécurité des systèmes d information d Amiens Métropole fera l'objet de revues indépendantes régulières (audits à la demande d Amiens Métropole), pour lesquelles le prestataire devra fournir toutes informations nécessaires, pour ce qui le concerne. Le personnel du prestataire est réputé avoir eu connaissance du présent document, et doit en respecter les dispositions. La violation manifeste des dispositions de sécurité par le prestataire ou ses commettants fera l objet de pénalités (les différents contrats seront rédigés en conséquence). Habilitations des prestataires Les employés du prestataire doivent être habilités par le responsable sécurité des S.I. d Amiens Métropole à consulter et / ou modifier les éléments du système d information en fonction des besoins liés à leur prestation. Cette habilitation doit être la moins élevé possible, mais suffisante pour mener à bien leurs activités (principe du «moindre privilège»). Authentification et mots de passe L'organisation mise en place au sein d Amiens Métropole et envers ses partenaires doit favoriser l'identification individuelle des utilisateurs. Les identifiants de connexion (quels qu ils soient) fournis aux personnels habilités du prestataire seront donc nominatifs. Tous les utilisateurs, y compris au niveau des prestataires, doivent avoir un couple identificateur unique (code utilisateur et mot de passe) pour leur utilisation Page 7 sur 13

8 personnelle exclusive, de sorte que les activités puissent être associées rétrospectivement à l'individu responsable. Ils ne doivent jamais utiliser de comptes génériques, sauf exceptions de nature technique dûment validées par les responsables de l exploitation et de la sécurité des systèmes d information d Amiens Métropole. Protection de l information et des supports d information L accès des employés du prestataire à un local technique informatique ou à tout autre local ayant des besoins de sécurité spécifiques doivent faire l'objet d'une autorisation préalable. Les intervenants doivent veiller à ce que le matériel sans surveillance ait une protection sécuritaire appropriée. Aucun matériel, aucune information ni aucun logiciel ne doivent être ajoutés, modifiés ou enlevés sans autorisation. Installation du logiciels et du site : généralités L'implantation de logiciels sur les systèmes opérationnels doit être contrôlée, en particulier par les administrateurs informatiques d Amiens Métropole. Les modifications apportées aux infrastructures de traitement de l'information et aux systèmes informatiques y compris les configurations et les paramètres doivent être documentées, en particulier pour ce qui concerne l installation des logiciels (par exemple : base de registre Windows). Le prestataire ou ses employés signaleront sans délai toute anomalie aux responsables d Amiens Métropole qui leur auront été indiqués. Des critères de recette pour le logiciel et le système, les mises à niveau et les nouvelles versions doivent être : - établis et des essais adéquats du système doivent être effectués avant sa recette, - transmis aux agents concernés d Amiens Métropole (Chef de Projet, Responsable d exploitation, Responsable Sécurité d Amiens Métropole).. Les recettes et tests de bon fonctionnement des logiciels doivent être effectués sur l'ensemble des plates-formes sur lesquelles ils sont susceptibles d'être installés et notifiées sur une fiche ad hoc transmis aux personnes listées au paragraphe précédent. Toute modification des configurations matérielles ou logicielles doit prendre en compte la compatibilité avec le reste du système d'information et les anciennes sauvegardes ou archives et prévoir une procédure de retour arrière en cas d'anomalie et notifiées sur une fiche ad hoc transmis au Responsable de l Infrastructure Informatique et au Responsable Sécurité d Amiens Métropole. Page 8 sur 13

9 Interventions Chaque visite de prestataire pour intervention doit être planifiée et annoncée : - au responsable fonctionnel de l application ; - aux agents concernés de la Direction des Technologies de l Information, sauf circonstances exceptionnelles (urgence, cas de force majeure ). Toute action du prestataire sur le système d information d Amiens Métropole devra respecter le processus suivant : - formalisation de la demande d intervention et de sa description, précisant la durée prévue en vue de sa planification; - validation et / ou approbation de l intervention et de sa planification, prévoyant une démarche de retour arrière en cas de problème ; - après validation, déroulement de la prestation conformément à sa description, en présence des administrateurs informatiques d Amiens Métropole, avec retour arrière en cas d incident; - recettage de l intervention avec établissement d un rapport de recette détaillé ; - fourniture d une copie de ce rapport au responsable des infrastructures ; - validation de ce rapport par le responsable des infrastructures ; - transmission de ce rapport validé au responsable sécurité des S.I. d Amiens Métropole. Pour les interventions effectuées à distance, le prestataire utilise les connexions mises à sa disposition par Amiens Métropole: - IPSEC (le client et le(s) certificat(s) seront fournis par Amiens Métropole) ; - https / SSL (via Internet Explorer, Firefox, Opera ) - le cas échéant, SCP (transfert de fichiers sous SSH) Le déroulement de l intervention doit être compatible avec les niveaux de services définis par Amiens Métropole. Les supports informatiques utilisés par les intervenants, quels qu ils soient : - ordinateurs portables ou non ; - tout support de mémoire de masse magnétique ou optique (CD-Rom, DVD) ; - mémoire amovible ; - etc., ne devront contenir aucun programme malveillant (ver, virus, Cheval de Troie, rootkit ou autre ). Ils devront avoir été vérifiés par deux anti-virus à jour, l un choisi par le prestataire, l autre par Amiens Métropole. L'utilisation de programmes utilitaires doit être restreinte et étroitement maîtrisée : le prestataire produira la liste des utilitaires dont il a besoin et qu il emploiera pour effectuer les prestations demandées, à l exclusion de tous autres. Amiens Métropole mettra à la disposition des intervenants les moyens de se connecter de manière sécurisée au Web, dans la mesure où cela serait nécessaire. Aucun autre type de connexion ne sera admis. Page 9 sur 13

10 Toutes dispositions (de sensibilisation, organisationnelles et techniques) seront prises par le prestataire pour que les matériels utilisés en intervention soient réservés aux seuls usages prévus avec Amiens Métropole. A chaque fois que les employés du prestataire interviendront sur le système d'information, un responsable d Amiens Métropole devra disposer des moyens de contrôler et valider les opérations réalisées. Les opérations effectuées au niveau informatique seront donc tracées et enregistrées selon les critères de la politique de Sécurité d Amiens Métropole. Les intervenants seront connus d Amiens Métropole, et habilités à intervenir sur ses systèmes. Ils devront avoir reçu la formation technique permettant de mener à bien leurs interventions. Les personnels du prestataire intervenant en tant qu administrateur système ou administrateur de bases de données devront détenir la certification adéquate de l éditeur concerné (Microsoft, Oracle, ou autres ). Une intervention doit être clôturée par une recette d'intervention permettant de contrôler les opérations effectuées et les résultats obtenus, en particulier qu aucune dégradation des performances des systèmes n est constatée. Le rapport de recette d'intervention doit préciser : - le nom de l'intervenant ; - son entreprise : - le jour et les horaires de l'intervention ; - l objet de l intervention ; - les opérations effectuées - le cas échéant, la liste des éléments ajoutés ou retranchés, remplacés ou réparés ; - les résultats obtenus ; - les problèmes éventuels ; - le nom de l'interlocuteur interne. Il doit être signé par le ou les intervenants, par l'interlocuteur interne concerné et par le responsable de la recette d'intervention s'il est différent de l'interlocuteur interne. Les activités du prestataire et de ses commettants (personnels, sous-traitants, etc.) feront ou auront fait l objet de la souscription du contrat d assurance responsabilité civile adéquat («tous risques sauf»). Relations contractuelles avec les prestataires Le contrat précisera les responsabilités attribuées à chaque partie signataire. Les sanctions et pénalités seront définies relativement aux impacts potentiels, en particulier dû à un niveau de service insuffisant, se situant au-delà du tolérable. Un tableau sera fourni au prestataire définissant les objectifs à atteindre, et les niveaux considérés comme intolérables, en matière de Disponibilité, Intégrité, Confidentialité, Preuve et contrôle (DICP) Page 10 sur 13

11 Dépôt des sources du programme : les sources du logiciel (et tout élément permettant de parvenir à un logiciel complet et opérationnel après compilation) doivent être déposés auprès de la personne morale adéquate (APP...), et rendus contractuellement accessibles au client en cas de disparition ou défaillance avérée du fournisseur. Support informatique Un support doit être disponible chez le prestataire pour les matériels et les logiciels concernés. La procédure d'intervention du support doit être connue des utilisateurs du système d'information, et des responsables d applications d Amiens Métropole. Les documentations techniques des installations, matériels et / ou logiciels concernées, en particulier : - manuels d administration et d utilisation ; - manuel d exploitation ; - documentations techniques complémentaires ; - ainsi que leurs mises à jour, dans le cadre de la maintenance du logiciel ou matériel, doivent être à disposition des administrateurs informatiques d Amiens Métropole, des responsables d applications et du responsable fonctionnel, et être accessibles à leurs remplaçants. Cette documentation devra en particulier intégrer : - les modalités de traitement des erreurs et autres procédures exceptionnelles d administration, d utilisation ou d exploitation ; - les coordonnées de contact et les procédures à appliquer en cas d incident (résolution, reprise après incident). Maintenance Un contrat de maintenance est proposé pour chaque composant du système. Pour chaque composant logiciel, il inclut forfaitairement : - la fourniture de ses mise à jours majeures et mineures ; - ainsi que celle du logiciel (généralement de nom commercial différent) qui le remplacerait, le moment venu, au catalogue du prestataire. L'origine des installations, matériels ou logiciels et de leurs mises à jour doit pouvoir être garantie. Le matériel doit être entretenu conformément aux instructions du fabricant et/ou aux procédures documentées afin d'assurer sa disponibilité et son intégrité continues. Les manuels de maintenance et leurs mises à jour doivent être accessibles aux acteurs concernés : responsable fonctionnel, responsables d applications, Page 11 sur 13

12 administrateurs informatiques, responsable sécurité informatique d Amiens Métropole. Les maintenances et tests de bon fonctionnement doivent suivre les recommandations des constructeurs, des éditeurs et les normes et standards en vigueur. Les dispositions décrites ci-dessus dans la section «Interventions» s appliquent autant que de besoin aux opérations de maintenance. Les moyens de maintenance des systèmes et de matériels doivent bénéficier du même niveau de protection que les systèmes et matériels concernés. Les opérations de maintenance évolutives doivent toujours prévoir une procédure de retour arrière en cas d'anomalie lors d'une modification. Dans le cas où une opération de maintenance à chaud serait nécessaire : - elle sera subordonnée à l accord des administrateurs informatiques d Amiens Métropole, et du responsable fonctionnel ; - une sauvegarde complète du système sera préalablement effectuée ; - toutes les opérations faites seront tracées dans le détail ; - il sera possible de restaurer (en cas d échec) le système dans son état initial. Gestion des incidents Les incidents liés à l utilisation du système applicatif doivent pouvoir être signalés le plus rapidement possible après leur découverte par les utilisateurs, auprès du support du prestataire et par les moyens appropriés. En particulier, pour certains niveaux d urgence ou de gravité prévus par le contrat, les agents concernés doivent avoir la faculté de contacter de manière prioritaire ce support. Si la cause de l incident ne lui est en rien imputable, le prestataire transmet sans délai les informations à Amiens Métropole. Le prestataire doit signaler sans délai, pour sa part, les anomalies qu il constate (voir plus haut) et en particulier noter et signaler sans délai toute faille de sécurité observée ou soupçonnée dans les systèmes ou les services ou toute menace à laquelle ces derniers seraient exposés. Le premier niveau du support du prestataire doit être à même de résoudre la plupart des incidents ordinaires concernant le système applicatif. Il doit avoir la possibilité de contacter rapidement des niveaux d'escalade supérieurs dans le cas d'incident qu'il ne pourrait pas traiter. Si ces problèmes (incidents ou failles) sont imputables aux les logiciels et dispositifs qu il a fourni, le prestataire devra s engager sur un délai maximal : - de correction de(s) faille(s) constatée(s), - ou à défaut de mise en œuvre d une solution de contournement. Page 12 sur 13

13 Le support doit effectuer un suivi des incidents (type d'incident, date, interlocuteur, suivi des interventions, date de clôture). Le suivi des incidents non encore résolus doit être régulièrement effectué afin de s'assurer que les recherches de résolution sont en cours. Tout incident résolu doit être archivé avec notamment une description des symptômes de l'incident, de la cause de l'incident et de la méthode de résolution. Toute modification de l organisation du support doit être signalée à l'ensemble des utilisateurs. Les incidents archivés doivent être exploités au sein d'une base de connaissances de manière à accélérer et à simplifier la résolution d'incidents postérieurs du même type. Sauvegardes - Continuité des activités L'ensemble des informations et documents électroniques doit être pris en compte dans la politique de sauvegarde : le prestataire fournira toute information sur les fichiers à sauvegarder au sein de ses systèmes. Des plans devant être élaborés par Amiens Métropole afin de maintenir ou de rétablir les activités professionnelles dans les délais requis après une interruption ou une défaillance de processus professionnels cruciaux, le prestataire fournira toute information nécessaire à l élaboration de ces plans, telles que : - les procédures d installation des logiciels et de restauration des sauvegardes ; - les prérequis en matière de version du système d exploitation, du S.G.B.D., de matériels, etc., (entre autres). Page 13 sur 13