Fedict Règlement général de sécurité de l'information

Dimension: px
Commencer à balayer dès la page:

Download "Fedict Règlement général de sécurité de l'information"

Transcription

1 Fedict Règlement général de sécurité de l'information V 1.0 Table des matières 1 Politique de sécurité de l information 2 2 Gestion des actifs 4 3 Organisation de la sécurité de l information 5 4 Ressources humaines 11 5 Sécurité physique 13 6 Gestion des communications et opérations 15 7 Gestion des accès 16 8 Acquisition, développement et maintenance de systèmes 17 9 Gestion des incidents de sécurité de l'information Gestion de la continuité des activités Conformité 20 1

2 Ce document, approuvé par le Comité de Direction le 17 mars 2008, décrit le cadre de la politique de sécurité de l'information suivie par Fedict. Le Comité de Direction le considère comme un élément essentiel de bonne gouvernance. 1 POLITIQUE DE SECURITE DE L INFORMATION 1.1 Objectifs de la politique de sécurité de l'information Assurer aux citoyens et aux entreprises un niveau adéquat de sécurité pour les informations traitées, en particulier pour les systèmes d e-government où Fedict joue un rôle, ce qui implique une bonne disponibilité des systèmes et réseaux, et le respect de la confidentialité et de l'intégrité des données traitées. Faire respecter les dispositions légales en matière de sécurité de l information, en particulier les principes de finalité, proportionnalité et transparence prévus pour la protection des données à caractère personnel, ainsi que les règles en matière de classification de l information. Promouvoir une harmonisation de la sécurité de l'information dans les organisations publiques et privées qui collaborent avec Fedict pour rendre le service attendu. Assurer aux collaborateurs de Fedict un niveau adéquat de sécurité pour les systèmes nécessaires à leur travail. Intégrer la sécurité aux méthodes et outils de travail de Fedict. 1.2 Cadre méthodologique et structure de la réglementation Le cadre méthodologique du règlement est constitué des normes ISO et ISO , qui définissent une liste d enjeux de sécurité à maîtriser, ainsi que l organisation adéquate à cette fin. Chacun des domaines de la norme ISO fait l objet d un chapitre du présent document 2. Définition de la sécurité de l information 3 Stratégie, règles, procédures et moyens aptes à protéger l information, aussi bien dans les systèmes de transmission que dans les systèmes de traitement, en vue d en assigner la responsabilité et d en garantir la confidentialité, la disponibilité, l intégrité, la fiabilité, l authenticité et l irrévocabilité ; cette définition s applique à tout type d information, aussi bien les informations classifiées (au sens de la loi du 11 décembre 1998 et des règlements résultant de traités ratifiés par la Belgique), les informations à caractère personnel (au sens de la loi du 8 décembre 1992) ou médicales, que les informations qui ne bénéficient pas de protection légale particulière. La gestion du risque constitue le moteur de la politique de sécurité de l'information. Les mesures de sécurité sont élaborées à la suite d'une analyse de risque formalisée. Celle-ci tient compte d'une métrique de risque permettant d'évaluer la nature et la gravité des conséquences résultant de problèmes affectant la disponibilité, l'intégrité, la confidentialité ou la preuve des informations traitées Nouvelle dénomination de la norme ISO 17799:2005. Toutefois, les chapitres 2 et 3 sont inversés par rapport à la norme, dans le but de clarifier la notion d' "actif" avant de déterminer les responsabilités des différents acteurs de la sécurité. Définition proposée le 09/05/2006 par la plate-forme de concertation fédérale sur la sécurité de l information. Nature des conséquences : atteinte aux règles de classification, menace pour l'ordre public, pertes financières, conséquences juridiques, atteinte à l'image du service public, atteintes personnelles,... La notion de preuve recouvre les exigences d'imputabilité et de traçabilité. 2

3 La réglementation agit à un niveau stratégique, tactique et opérationnel :. au niveau stratégique : c est le présent document, qui donne des directives générales quant aux 11 domaines de la norme ISO 27002, et qui décrit l'organisation de la sécurité de l'information au sein de Fedict ;. au niveau tactique : ce sont des directives plus précises quant aux différents domaines de la norme ISO 27002, applicables en principe à tout système d information 5 ;. au niveau opérationnel : ce sont les règles de sécurité relatives à un système d information particulier, énoncées dans son manuel d'utilisation. Dans la suite du document est utilisée la notion d'information ou de support sensible, sans autre précision. Il s'agit de tout actif de Fedict dont l'utilisation inadéquate peut entraîner un préjudice. 1.3 Elaboration, approbation et diffusion des règlements Les projets de règlement des niveaux stratégique et tactique sont élaborés par la cellule Infosec et le conseiller en sécurité de l'information, en conformité avec les disposition légales, normes et bonnes pratiques de la profession, en tenant compte des besoins et spécificités de Fedict. Ils sont approuvés formellement par le Comité de Direction, qui les considère comme un élément essentiel de la bonne gouvernance de Fedict, et les porte à la connaissance de ses collaborateurs. Ils sont portés à la connaissance du public via le portail fédéral. Les appels d'offres en reprennent les points pertinents pour le marché envisagé. 1.4 Evaluation et adaptation de la politique de sécurité de l'information L'efficacité et l'efficience de la politique suivie sont évaluées annuellement à la lumière de l'évolution des risques et des bonnes pratiques de sécurité, des incidents constatés, ainsi que des audits effectués dans le cadre de l'arrêté royal du 02/10/2002. Cette évaluation est traduite dans le Balance Score Card de Fedict. Accompagnée de propositions, elle est présentée au Comité de Direction, qui prend les décisions utiles. Le présent document est révisé le cas échéant. 5 Chaque directive comprend des instructions destinées aux différents rôles impliqués, est généralement modulée en fonction de la sensibilité du système concerné, et contient des conseils quant à sa diffusion auprès des intéressés. 3

4 2 GESTION DES ACTIFS 2.1 Définition Par actif 6, on entend : tout élément ayant une valeur (matérielle ou immatérielle) pour l organisation, en rapport avec le système d information. Par exemple : informations : fichiers, bases de données, données en transit, documentation, contrats, procédures, logiciels : programmes applicatifs, logiciels de base, moyens physiques : matériels, supports d information, environnement physique : bâtiment, alimentation électrique, En particulier, un actif peut être constitué d'un composant d'architecture mis à disposition par Fedict, ou d'un système d'information complet pour lequel il joue un rôle. 2.2 Principes Pour tout actif qui intéresse Fedict est désigné un business owner 7, chargé de toutes les décisions importantes à son sujet. Le business owner peut - appartenir à Fedict (p. ex. pour un composant d'architecture e-government de son service catalog), - ou se situer dans une autre administration (p. ex. pour un système d'information destiné à supporter l'activité d'un autre service public, mais dont la réalisation a été confiée à Fedict). Sa responsabilité porte essentiellement sur les aspects suivants : respect des contraintes légales et réglementaires, exigences fonctionnelles, règles et limites d'utilisation, suivi de la gestion journalière, gestion des risques. Pour la plupart des actifs, les rôles suivants doivent généralement être définis, outre celui du business owner : - project manager, - architecte, - développeur, - opérateur, - service manager, - gestionnaire d'accès, - service desk, - utilisateur final (différents types). La liste des rôles doit évidemment être adaptée au type d'actif. Des distinctions peuvent être faites suivant le statut de l'acteur concerné (interne à Fedict, interne à l'administration fédérale, consultant, sous-traitant,...) ; il ne faut toutefois pas multiplier inutilement les rôles. Pour chaque rôle est établi un profil d'accès à l'actif concerné 8, à l'intention du gestionnaire d'accès. Les actifs sont en principe gérés en conformité avec les règles d'accès et d'utilisation énoncées. Sur demande motivée, le business owner peut toutefois accorder des dérogations. Tous les actifs intéressant Fedict sont identifiés et inventoriés, aussi bien ses actifs propres que ceux d'autres services publics pour lesquels il joue un rôle Angl. "asset" dans les normes ISO et Nl. "activa". Voir le 3.1. Voir le 7. 4

5 Les actifs dont l'utilisation inappropriée peut porter un préjudice à la Belgique ou à un autre Etat membre de l'union Européenne 9 sont classifiés conformément aux dispositions légales et réglementaires en la matière. La sous-traitance éventuelle de certains rôles ne modifie en rien la responsabilité générale du business owner. Les documents (lettres, notes internes, cahiers de charges, offres des fournisseurs, contrats,...) constituent une classe particulière d'actifs. Il est utile de faire la distinction entre l'original et les copies : - les principes énoncés ci-dessus s'appliquent à l'original : il faut un business owner, qui précise les règles d'utilisation (mise à jour, conservation, copie, distribution,...) ; - l'utilisation du document (envoi par courrier électronique,...) est assimilée à une copie, qui doit être traitée suivant les règles édictées par le business owner ; en outre, les supports physiques mobiles (papiers, CD, module de mémoire,...) suivent les règles du 5.4 ; 3 ORGANISATION DE LA SECURITE DE L INFORMATION La sécurité de l information concerne les rôles suivants. Les business owners ( 3.1). Le Comité de Direction de Fedict ( 3.2). Les directeurs généraux de Fedict ( 3.3). Le conseiller en sécurité de l information de Fedict ( 3.4). La cellule Infosec de Fedict ( 3.5). La cellule juridique de Fedict ( 3.6). La cellule FSO 10 de Fedict ( 3.7). Les senior responsible owners (SRO) de Fedict ( 3.8). OPERA ( 3.9). Les programme matrix teams (PMT) de Fedict ( 3.10). Les project boards ( 3.11). Les project managers de Fedict ( 3.12). Les architectes de Fedict ( 3.13). Les développeurs informatiques ( 3.14). Les service managers de Fedict ( 3.15). Les service desks ( 3.16). Les ICT operation managers ( 3.17). Le service d audit ( 3.18). 9 P. ex. données techniques dont la connaissance peut faciliter une intrusion, en particulier pour les systèmes traitant des informations classifiées. 10 Fedict Support Office. 5

6 3.1 Les business owners 11 Pour tout actif qui intéresse Fedict est désigné un business owner chargé de toutes les décisions importantes à son sujet : pour les actifs de Fedict (p. ex. pour un composant d'architecture e-government de son service catalog), le Comité de Direction le désigne parmi les directeurs généraux ; pour les actifs externes à Fedict (p. ex. pour un système d'information dont la réalisation a été confiée à Fedict par un autre SPF), le SRO (voir le 3.8) veille à le faire désigner et à lui faire accepter les responsabilités liées à ce rôle ; il s'agit généralement du responsable de l'activité supportée par l'actif concerné (un directeur général p. ex.). Le business owner assume les responsabilités suivantes : l'identification des contraintes légales et réglementaires ; l'établissement des spécifications fonctionnelles ; la réalisation d'une analyse de risque formalisée, destinée à identifier les risques pouvant affecter l'activité supportée par l'actif concerné ; la formulation des exigences de sécurité nécessaires pour maîtriser les risques identifiés ; l'acceptation du risque résiduel ; la gestion budgétaire et la réalisation des mesures de sécurité qu'entraînent ces exigences ; l'établissement des spécifications de test des mesures de sécurité ; l'élaboration des règles opérationnelles : - rôles impliqués dans la gestion et l'utilisation, ainsi que leur profil d'accès 12, - règles de gestion et d'utilisation (y compris les limites d'emploi),... ; la diffusion de ces règles auprès des parties intéressées, et leur acceptation par celles-ci ; le contrôle du respect de ces règles ; la réception de l'actif concerné (après examen des rapports de test) et la décision de le rendre opérationnel ; le suivi des incidents résultant des dysfonctionnements courants ; la gestion des crises pouvant résulter de dysfonctionnements graves. Les tâches impliquées peuvent être déléguées ou sous-traitées, sans que cela modifie la responsabilité générale du business owner. Des conventions écrites assurent la bonne compréhension des obligations entre les parties. Les systèmes complexes étant généralement constitués d'actifs dépendant de business owners différents, la compatibilité des différentes règles d'utilisation doit être vérifiée ; ceci relève de la responsabilité du business owner qui met le service à la disposition des utilisateurs finaux. Exemples illustratifs : ICT Shared Services ICT Shared Services met à la disposition de Fedict (notamment) une infrastructure informatique constituée - d'un réseau local, - de PC pour les utilisateurs, - de différents serveurs (pour le courrier électronique, pour l'accès à l'internet,...), - de différents logiciels bureautiques et autres (antivirus,...). ICT Shared Services est donc le business owner d'une infrastructure technique ; à ce titre, il édicte et fait respecter, par les fournisseurs et les utilisateurs, des règles d'usage destinées à préserver la qualité et la sécurité du service offert : 11 Le business owner est représenté par le "senior user " dans l'organisation de projet de Fedict. 12 Voir le 7. 6

7 - filtrage du spam et des accès à l'internet, - interdiction de connecter des équipements privés ou d'installer des programmes sans autorisation, - interdiction de désactiver l'antivirus, - comportement attendu en cas d'anomalie, -... Par ailleurs, le Comité de Direction de Fedict édicte et fait respecter des règles quant à l'utilisation des fonctionnalités disponibles : - PC : organisation de la gestion documentaire,... - courrier électronique : clarté, courtoisie, confidentialité, respect de la vie privée, règles de délégation, archivage, délai de réponse,... - internet : participation à des forums, limites à l'usage privé,... Ce faisant, le Comité de Direction assume le rôle de business owner du service d information offert à ses collaborateurs. Système d'information destiné aux citoyens Un SPF met en place une application destinée aux citoyens, utilisant une source authentique, ainsi qu'un middleware de Fedict. Le directeur général pour la source authentique en est le business owner ; il en formule les règles d'accès, tant fonctionnelles (usages autorisés, limites de responsabilité,...) que techniques (canaux autorisés, qualité des systèmes clients,...). Fedict est le business owner pour le middleware ; il en formule les conditions d'emploi, tant fonctionnelles (limites de sensibilité,...) que techniques (mise en oeuvre dans l'application,...). Le SPF est le business owner du service offert aux citoyens ; il veille au respect des règles émises par la source authentique et par Fedict, non seulement dans le développement et l'exploitation du système, mais aussi en promouvant un comportement adéquat chez les citoyens utilisateurs du service. 3.2 Le Comité de Direction de Fedict Le Comité de Direction prend les décisions relatives à la sécurité des actifs de Fedict, et veille à leur mise en œuvre dans les directions générales. Il décide de l'application des règlements proposés par la cellule Infosec, ainsi que des plans de sécurité proposés par le conseiller en sécurité de l information, alloue les moyens nécessaires et contrôle leur mise en oeuvre. Il désigne le business owner de tout actif de Fedict parmi les directeurs généraux. Il est le business owner des règlements de Fedict. 3.3 Les directeurs généraux de Fedict Chaque directeur général veille à ce que ses collaborateurs possèdent les connaissances nécessaires à l'exercice de leur fonction ; veille à faire appliquer les règles de sécurité par ses collaborateurs ; autorise ses collaborateurs à accéder aux locaux et ressources nécessaires à l'exercice de leur fonction ; révise annuellement son domaine de responsabilité au regard des règlements et standards de sécurité, et communique ses observations au conseiller en sécurité de l'information. 3.4 Le conseiller en sécurité de l'information de Fedict Le conseiller en sécurité de l'information se tient au courant de l'évolution des menaces, ainsi que des méthodes et outils de sécurité ; apporte une assistance méthodologique à la maîtrise des risques liés aux systèmes d'information, afin de développer les mesures organisationnelles et techniques aptes à prévenir les incidents et à en contenir les conséquences éventuelles ; 7

8 veille à la sensibilisation et à la formation du personnel en matière de sécurité de l'information afin d'encourager un comportement responsable et adéquat ; veille à la tenue de l'inventaire des actifs intéressant Fedict ; collabore avec le service manager à l'analyse des incidents de sécurité, afin d'en identifier les causes et de rechercher des solutions ; évalue dans un rapport annuel l'efficacité et l'efficience de la politique de sécurité suivie, compte tenu de l'évolution des risques et des bonnes pratiques, des incidents de sécurité constatés, ainsi que des audits effectués dans le cadre de l'arrêté royal du 02/10/2002 ; propose, en fonction de cette évaluation, un plan d'action annuel au Comité de Direction ; pilote la réalisation du plan d'action décidé par celui-ci ; collabore avec la cellule Infosec à la rédaction des règlements de sécurité de Fedict ; collabore avec les cellules FSO et Infosec en vue d'intégrer la démarche de sécurité aux méthodes de Fedict ; collabore avec ses homologues des autres institutions fédérales, afin de développer une politique et des règlements harmonisés, et de partager les connaissances et expériences (méthodes, outils, évolution des menaces,...) ; collabore avec ses homologues d'autres niveaux de pouvoir, afin de partager les connaissances et expériences ; exerce différentes fonctions en rapport avec la sécurité, prévues par la loi (officier de sécurité, conseiller en sécurité de l'information et protection de la vie privée,...). Le conseiller en sécurité de l'information rapporte au fonctionnaire dirigeant de Fedict et collabore étroitement avec la cellule Infosec. 3.5 La cellule Infosec de Fedict La cellule Infosec se tient au courant de l'évolution des menaces, ainsi que des méthodes et outils de sécurité ; tient la liste des dispositions légales en matière de sécurité de l'information 13, en collaboration avec la cellule juridique ; prépare les règlements de sécurité, en conformité avec les dispositions légales et les besoins de Fedict, et les soumet à l'approbation du Comité de Direction ; collabore avec la cellule FSO et le conseiller en sécurité de l'information en vue d'intégrer la démarche de sécurité aux méthodes de gestion de projet pratiquées par Fedict ; apporte son assistance aux directions générales de Fedict, en particulier dans le cadre des appels d'offres et de la mise en oeuvre des systèmes d'information ; étudie et évalue des méthodes et outils de gestion des risques ; prépare les dossiers de certification et d'homologation des systèmes de Fedict transportant ou traitant des informations classifiées ; collabore à la concertation en matière de sécurité de l information, tant au niveau fédéral 14 qu'avec les autres niveaux de pouvoir ; aide les services publics fédéraux - en coordonnant la collaboration des conseillers en sécurité de l information, - en élaborant des règlements de sécurité adaptés aux besoins de l'administration fédérale, - en leur apportant une assistance méthodologique, en particulier dans les domaines suivants : gestion de la continuité, gestion des risques, certification et homologation 13 Voir le Plate-forme de concertation sur la sécurité de l information, groupe de travail ENISA au sein du Comité Consultatif des Télécommunications, 8

9 des systèmes transportant ou traitant des informations classifiées, - en collaborant à des campagnes de sensibilisation à la sécurité. 3.6 La cellule juridique de Fedict La cellule juridique collabore avec la cellule Infosec à la tenue de la liste des dispositions légales en matière de sécurité de l'information 15 ; fournit tout conseil utile en la matière ; veille au respect de ces dispositions dans les contrats ; établit les avis destinés au comité sectoriel compétent en vertu de la loi relative à la protection de la vie privée. 3.7 La cellule FSO de Fedict La cellule FSO (Fedict Support Office) collabore avec la cellule Infosec et avec le conseiller en sécurité de l'information en vue d'intégrer la démarche de sécurité aux méthodes de Fedict. 3.8 Les senior responsible owners (SRO) de Fedict Chaque SRO veille à la désignation du business owner du système, et à l'acceptation de ses responsabilités 16 ; s'assure que la démarche de sécurité de l'information est correctement mise en oeuvre par le PMT (voir le 3.10). 3.9 OPERA (Fedict) Les SRO, dans le cadre d'opera, veillent à intégrer les enjeux de sécurité dans la gestion des programmes Les programme matrix teams (PMT) de Fedict Chaque PMT met en oeuvre dans son programme la démarche de sécurité définie par les cellules Infosec et FSO. Chacun de ses membres applique les règles de sécurité propres à son rôle Les project boards Le project board débat des enjeux de sécurité aux différentes étapes du projet, et en particulier de l'arbitrage entre le coût des mesures de sécurité et le risque résiduel lié au service visé, de façon à préparer les décisions du business owner Les project managers de Fedict Lors du développement d'un nouveau système d'information, ou à l'occasion de toute révision importante, le project manager s assure que les acteurs du projet (responsable d architecture, développeur, service manager, ) tiennent compte des bonnes pratiques et des dispositions réglementaires (règlements fédéraux, propres à Fedict,...) ; collabore avec le business owner à l'analyse de risque du système suivant la méthode proposée par la cellule Infosec ; 15 Voir le Voir le

10 veille à inclure les exigences de sécurité dans les appels d'offres et les contrats ; veille au dépôt des sources et de la documentation technique quand il faut se prémunir de la défaillance d'un fournisseur ; veille à la réalisation et au test des mesures de sécurité décidées à la suite de l'analyse de risque, et en fait rapport au business owner ; veille à mettre en place un suivi adéquat des vulnérabilités pouvant affecter les actifs concernés Les architectes de Fedict Chaque responsable d'architecture veille, dans son domaine, au respect des bonnes pratiques et des dispositions réglementaires (règlements fédéraux, propres à Fedict,...) ; pour les composants d'architecture du service catalog de Fedict, il en évalue la sensibilité à l'aide d'une analyse de risque, et il propose des mesures de sécurité adéquates et les règles opérationnelles (y compris les conditions et limites d'emploi) ; pour les systèmes d'information dont il conçoit l'architecture, il traduit les exigences de sécurité décidées à la suite de l'analyse de risque ; apporte son aide à la solution des incidents de sécurité et à la gestion des crises résultant de dysfonctionnements techniques Les développeurs informatiques Chaque développeur (interne ou externe) respecte les bonnes pratiques et les dispositions réglementaires et conventionnelles (règlements fédéraux, propres à Fedict, contrats,...) ; réalise les mesures de sécurité décidées à la suite de l'analyse de risque Les service managers de Fedict Chaque service manager veille, en matière de gestion de service et d'exploitation, au respect des bonnes pratiques et des dispositions réglementaires et conventionnelles (bonnes pratiques ITIL 19, règlements élaborés par le Forum, règlements propres à Fedict, contrats,...) ; veille à la mise en œuvre des mesures de sécurité décidées, et en fait rapport au business owner ; veille à la mise en oeuvre de la gestion d'accès définie par le business owner ; veille à la sécurité des sources de programme et de la documentation technique, et gère l'accès à celles-ci ; veille au respect des licences d'utilisation et des droits de propriété ; analyse les incidents de sécurité, recherche des solutions et les met en oeuvre 20 ; participe à la gestion des crises pouvant résulter de dysfonctionnements éventuels, sous l'autorité du business owner de l actif concerné ; veille à ce que l examen technique des systèmes n'en menace pas la sécurité. 17 Voir le Voir le Voir les 6, 8 et Voir les 8.6 et 9. 10

11 3.16 Les service desks Les service desks (internes ou externes) enregistrent les incidents de sécurité qui lui sont rapportés, et en avertissent les service managers potentiellement touchés, ainsi que le conseiller en sécurité de l'information Les ICT operation managers Chaque ICT operation manager (généralement externe à Fedict) respecte les bonnes pratiques et les dispositions réglementaires et conventionnelles (règlements fédéraux, propres à Fedict, contrats,...) ; applique les mesures de sécurité décidées à la suite de l'analyse de risque Le service d audit En rapport avec les missions définies par l arrêté royal du 02/10/2002, le service d audit contrôle la conformité des mesures de sécurité aux dispositions légales et réglementaires. 4 RESSOURCES HUMAINES 4.1 Catégories de collaborateurs Les collaborateurs de Fedict relèvent d'un des statuts suivants : 4.2 Probité fonctionnaires fédéraux, statutaires ou contractuels (relevant de la fonction publique), employés EGOV (relevant d'un contrat de travail passé avec l'asbl), consultants et autres travailleurs (utilisés dans le cadre de contrats passés par Fedict), divers : stagiaires, étudiants,... Les collaborateurs de Fedict doivent présenter une conduite compatible avec leur fonction. Pour les fonctionnaires, cette condition est vérifiée conformément au statut de la fonction publique. Pour les employés EGOV, ceci est vérifié à l'engagement de façon analogue. Pour les consultants, dans les cas jugés nécessaires, le cahier des charges et le contrat imposent au soumissionnaire de garantir l'absence d'un antécédent judiciaire révélateur d'un comportement incompatible avec la mission envisagée. 4.3 Respect des valeurs de Fedict Les collaborateurs ont constamment à l'esprit les valeurs de Fedict : innovation, loyauté, intégrité, proactivité, orientation résultat, collégialité, orientation client. 4.4 Définition des responsabilités Les responsabilités des collaborateurs sont définies dans une description de fonction précisant leur(s) rôle(s) et les attentes qui y sont liées, notamment les compétences nécessaires. 21 Voir les 8.6 et 9. 11

12 4.5 Gestion des compétences Les collaborateurs doivent posséder les compétences nécessaires à l'exercice de leur fonction, ce dont s'assure le directeur général responsable. Ces compétences résultent d'une qualification acquise préalablement, complétée par des formations suivies chaque année et par l'expérience acquise sur le terrain. La qualification initiale est vérifiée avant l'entrée chez Fedict. 4.6 Attention portée aux risques Les collaborateurs pensent aux conséquences de leur négligence éventuelle, et adaptent leur comportement en conséquence. Exemples de comportements à risque (liste non exhaustive) : - documents sensibles laissés sans surveillance (bureau inoccupé, documents laissés sur une imprimante,...), - oubli du verrouillage physique (locaux, armoires,...) ou logiciel (signoff, PC lock,...), - communication d'informations à un correspondant inconnu ("social engineering"), - communication d'information sensible par courrier électronique, - perte de supports d'informations sensibles (documents, mémoires électroniques,...), - lecture de documents sensibles dans un lieu public. - installation non autorisée de logiciel, - désactivation ou reconfiguration de logiciel (antivirus, options de browser,...), - écriture de mots de passe sur des documents aisément accessibles, choix de mots de passe "faibles",... Le conseiller en sécurité de l'information sensibilise les collaborateurs à ces risques et propose des comportements adéquats. 4.7 Communication des incidents de sécurité Dès la constatation d'un incident de sécurité, le collaborateur prend immédiatement les mesures de bon sens qui s'imposent, et avertit le service desk de Fedict, ainsi que son responsable hiérarchique Gestion des droits d'accès L'accès des collaborateurs aux actifs de Fedict (systèmes, informations,...) est géré conformément aux principes exposés au 7 ("Gestion des accès"). En particulier, les droits d'accès sont adaptés en cas de changement de fonction, et sont désactivés lors du départ du collaborateur. Le directeur général du collaborateur concerné est responsable de l'application de ces règles. 4.9 Sanctions Les fautes des fonctionnaires (et employés EGOV) sont sanctionnées dans le respect des règles de leur statut (ou convention collective). Les sanctions applicables aux consultants sont explicitées dans les contrats Habilitations de sécurité Les collaborateurs qui ont accès à des actifs dont l'utilisation inappropriée peut porter un préjudice à la Belgique ou à un autre Etat membre de l'union Européenne sont habilités conformément aux dispositions légales et réglementaires en la matière. Pour les fonctionnaires et les employés EGOV, la procédure d'habilitation est gérée par le conseiller en sécurité de l'information. Pour les consultants, la présentation d'un certificat d'habilitation est 22 Voir le 9. 12

13 prévue au cahier des charges Devoir de discrétion Les informations recueillies ne peuvent être utilisées et communiquées que dans le strict cadre du travail. Même dans ce cas, le collaborateur pense aux conséquences possibles de la divulgation d'informations sensibles. Les informations classifiées ne peuvent être communiquées que dans le strict respect des dispositions réglementaires en la matière 23. En cas de départ, le collaborateur rend, efface ou détruit tout support contenant de telles informations. Le devoir de discrétion persiste au-delà de la période de collaboration avec Fedict. 5 SECURITE PHYSIQUE 5.1 Locaux Les locaux administratifs de Fedict, ainsi que les salles informatiques abritant ses actifs, sont organisés en zones circonscrites par des périmètres : - périmètre 1 : entre l'espace public et la zone 1 du bâtiment ; - zone 1 : zone d'accueil du bâtiment ; dans la mesure du possible, des salles de réunion y sont disponibles pour les visiteurs 24 ; - périmètre 2 : entre la zone 1 et la zone 2 ; - zone 2 : locaux administratifs de Fedict ; - périmètre 3 : entre la zone 2 et la zone 3 ; - zone 3 : salle informatique abritant des actifs de Fedict ; - périmètre 4 : entre la zone 3 et la zone 4 ; - zone 4 : locaux ou armoires à sécurité renforcée 25. Ces zones sont munies de systèmes de détection et de protection contre les menaces physiques (incendie, inondation, intrusion,...), adaptés à leur sensibilité. Une intrusion dans une zone 1 n'est possible que moyennant une effraction visible du périmètre 1. Une intrusion dans des zones 2 à 4 déclenche une alarme entraînant l'intervention rapide du service de gardiennage. Les périmètres 3 et 4 sont physiquement renforcés de façon à retarder significativement l'action d'un agresseur éventuel. Si une zone n'existe pas, les contrôles prévus à ses périmètres extérieur et intérieur sont fusionnés en choisissant le niveau de protection le plus élevé. L'accès à toute zone nécessite un contrôle d'identité. Le contrôle effectué à un périmètre extérieur peut être réutilisé à un périmètre intérieur si la fiabilité peut être assurée. 23 Contrôle de l'habilitation du destinataire et de son besoin d'en connaître, sécurité de la transmission, De façon à réduire le nombre de visiteurs en zone P. ex. local abritant des informations classifiées ou des équipements traitant de telles informations. 13

14 L'accès aux différentes zones est réglé comme suit. Fonctionnaire / EGOV (Fedict) Autre collaborateur (Fedict) Visiteur Zone Contrôle d'identité préalable Accès soumis à autorisation préalable * Autorisation limitée au temps nécessaire Enregistrement des accès * Autorisation signée par un directeur général de Fedict ou un collaborateur mandaté. Les visiteurs sont accompagnés d'un collaborateur de Fedict (fonctionnaire ou EGOV) durant tout leur séjour en zones 2 à 4. Les armoires situées en zone 2 sont verrouillées en dehors des heures de présence des collaborateurs, qui veillent à la conservation sûre des clés. Un double des clés est conservé en zone 3. Les armoires situées en zone 3 et 4 sont verrouillées en permanence ; les clés et/ou codes d'accès sont conservés de façon sûre. Le cas échéant, il faut se conformer aux instructions relatives à la protection des informations classifiées. Les journaux d'accès sont tenus et conservés de façon à en assurer l'intégrité. Leur consultation nécessite une autorisation écrite préalable du conseiller en sécurité de l'information, qui veille au respect des règles en matière de protection de données à caractère personnel. Il est interdit d'emporter en zone 3 et 4 des équipements et supports informatiques non strictement nécessaires (laptop, GSM, appareil photo, mémoires électroniques,...). L'utilisation de tels équipements et supports est soumise à l autorisation écrite d un directeur général de Fedict. L'accès aux zones 3 et 4 fait l'objet de rapports transmis au conseiller en sécurité de l'information. Ces modalités s'appliquent aux zones 3 et 4 résidant dans une autre organisation, mais celle-ci peut gérer elle-même l'accès de ses propres collaborateurs en zone Connectique Les équipements connectiques sont placés dans des armoires dont l'accès est géré comme une zone 3 ou 4. La connexion de tout équipement nécessite une procédure formelle de changement Alimentations L alimentation des équipements (électricité, refroidissement, ) est assurée au niveau de qualité adéquat. 5.4 Supports physiques d'information Les supports physiques mobiles (papiers, CD, modules de mémoire,...) sont des actifs au sens du 2.1. Outre les éventuelles dispositions légales 27 et les instructions édictées par le business owner des informations qu'ils contiennent, il convient de respecter des règles générales pour leur conservation, leur utilisation et leur transport. Conservation Les supports d'information sont conservés dans des armoires verrouillées en zone 2, ou en zone 3, en fonction de leur sensibilité. Les supports sensibles ne peuvent pas être abandonnés sans surveillance. Une attention particulière est requise pour les documents sortant d'une imprimante. En fin de journée, les espaces de travail doivent être libres de tout support d'information ("clear desk policy"). 26 Voir le Règles relatives à la classification de l'information p. ex. 14

15 Utilisation Les supports sensibles - ne peuvent être utilisés qu'avec précaution dans des espaces non protégés (lieu public p. ex.), - ne peuvent pas être utilisés au moyen d'équipements dont la sécurité n'est pas assurée (PC privé p. ex.). Transport Les supports sensibles doivent être transportés dans des conditions qui garantissent leur confidentialité et leur intégrité, ainsi que la traçabilité des personnes responsables. La perte ou le vol d'un support d'information doit être enregistré en tant qu'incident de sécurité Equipements mobiles (PC portables, assistants personnels, téléphones mobiles,...) L'utilisateur se conforme aux règles édictées par le business owner de l'équipement mobile (PC portable, PDA, ) 29. En particulier, il vérifie la conformité de sa configuration et signale toute déviation éventuelle en tant qu'incident de sécurité 30. En outre, les équipements mobiles sont soumis aux règles des supports physiques Elimination d'équipements ou de supports d'information Les équipements et supports déclassés doivent être détruits ou effacés de façon à éviter tout risque de divulgation. Les papiers non sensibles peuvent toutefois être jetés à la corbeille. 6 GESTION DES COMMUNICATIONS ET OPERATIONS La gestion des communications et des opérations est réalisée dans le cadre de la gestion de service suivant le référentiel ITIL. En complément de ce référentiel, le service manager veille au respect des mesures de sécurité décrites dans la norme ISO 27002, en particulier les aspects suivants 32 : procédures et responsabilités opérationnelles, gestion du service délivré par des tiers, planification et réception de système, protection vis-à-vis des programmes nocifs et mobiles, sauvegardes, sécurité des réseaux, traitement des supports d'information, échange d'informations, commerce électronique, monitoring. En particulier, il veille à inclure les dispositions adéquates dans les contrats de sous-traitance, et suit leur bonne exécution, en conformité avec les décisions prises par le business owner à la suite de l'analyse de risque. 28 Voir le Pour un laptop p. ex. : utilisation d'un boot password, d'un screen saver sécurisé, d'un antivirus mis à jour, d'un firewall, Voir le Voir le ISO 27002, 10.1 à

16 7 GESTION DES ACCES 7.1 Principes généraux Le business owner assume la responsabilité de la gestion d accès aux actifs dont il est responsable. Le business owner définit les règles d accès des différents profils d utilisateurs intéressés par l actif concerné : project manager,, opérateur,, utilisateur final 33. Tout autre accès est interdit, sauf obligation légale 34. Les utilisateurs et leurs droits d accès sont gérés suivant une procédure formelle conforme aux règles définies par le business owner. Le business owner gère lui-même les droits d accès des utilisateurs conformément aux règles définies, ou délègue cette mission à un tiers. Dans ce dernier cas, une convention explicite est signée entre les deux parties, permettant au business owner de contrôler à tout moment le respect des règles. Les privilèges spéciaux sont gérés de façon restrictive et leur bon usage est contrôlé. La gestion des mots de passe et autres crédentiels 35 fait l objet de règles précises. Les droits d'accès sont adaptés en cas de changement de fonction, et sont désactivés lors du départ du collaborateur. Ils font aussi l objet de révisions périodiques conformément aux règles définies par le business owner. 7.2 Responsabilités de l utilisateur final L'utilisateur respecte les bonnes pratiques pour les mots de passe et autres crédentiels (mot de passe difficile à deviner, changement régulier, saisie à l abri des regards indiscrets, ). L'utilisateur protège les équipements mobiles et les supports d'information physiques 36. L'utilisateur bloque l accès aux équipements qu il quitte temporairement. 7.3 Architecture de contrôle d'accès L'architecte veille au respect des mesures de sécurité décrites dans la norme ISO 27002, en particulier pour les aspects suivants 37 : procédures et responsabilités opérationnelles, gestion d'accès système, gestion d'accès applicative. 7.4 Equipements mobiles (PC portables, assistants personnels, téléphones mobiles,...) Voir les 5.4 et 5.5. L'utilisateur veille à ne pas transmettre d'information sensible sur un réseau non protégé 38. L'information traitée sur ces équipements est copiée dès que possible dans l'environnement normal de Fedict, de façon à limiter les conséquences de perte accidentelle. Les informations sensibles sont effacées de l'équipement mobile dès que possible. 33 Voir la liste type au Sur mandat de l autorité judiciaire p. ex. 35 Information liée à une personne, comportant souvent un élément secret (mot de passe, clé privée PKI, ) lui permettant, généralement à distance, de prouver son identité (authentification) et/ou ses qualités et pouvoirs (fonctionnaire, notaire, ). 36 Voir les 5.4, 5.5 et ISO 27002, 11.4 à Internet, réseau sans fil,... 16

17 L'installation d'applications privées est interdite. 7.5 Télétravail Le télétravail n'est autorisé que moyennant un contrat passé entre Fedict et le collaborateur. Le collaborateur assure une protection physique des locaux privés équivalente aux locaux administratifs de Fedict. Le traitement d'informations sensibles à l'aide d'un équipement privé est interdit. La connectique et la gestion d'accès font l'objet de mesures de précaution (analyse de risque, règles, procédures,...) au même titre que tout composant du système d'information. 8 ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DE SYSTEMES 8.1 Exigences de sécurité des systèmes d'information Les risques pouvant affecter l'activité supportée par le système d'information doivent être analysés et maîtrisés dès son développement. Le business owner pilote un exercice formel d'analyse des risques consistant à - évaluer les conséquences des problèmes pouvant affecter la disponibilité, l'intégrité, la confidentialité ou la preuve des informations traitées, - déterminer les exigences de sécurité nécessaires pour ramener le risque à un niveau acceptable. Le project manager veille à la réalisation et au test des mesures de sécurité décidées à la suite de cet exercice, et en fait rapport au business owner. Ce processus est intégré aux méthodes de gestion de projet pratiquées par Fedict. 8.2 Sécurité applicative Les bonnes pratiques générales et les exigences de sécurité particulières décidées à la suite de l analyse des risques sont intégrées aux spécifications du système à développer. 8.3 Cryptographie Les exigences de sécurité peuvent nécessiter l'utilisation de la cryptographie (chiffrement, signature électronique,...). La cellule Infosec apporte un support quant aux dispositions réglementaires à respecter lors de la mise en oeuvre de moyens cryptographiques, en particulier pour la protection d'informations classifiées. 8.4 Sécurité des fichiers techniques du système d'information Les programmes sont installés suivant des procédures strictes, en conformité avec les principes ITIL, sous la responsabilité du service manager. Les données de production ne peuvent être utilisées dans le cadre de tests que si une protection adéquate est mise en place, et dans le respect des dispositions légales relatives à ces données P. ex., dans le cas de données à caractère personnel, l'accès aux données de test ne peut être accordé que dans le respect des finalités déclarées. 17

18 8.5 Sécurité du développement et du support Les changements au système d'information sont mis en oeuvre suivant des procédures strictes, en conformité avec les principes ITIL 40, ce dont s'assure le service manager. Le project manager veille au respect des bonnes pratiques et à l'exécution des tests de sécurité spécifiés, et en fait rapport au business owner. Le service manager - veille à la sécurité des sources de programme et de la documentation technique, et gère l'accès à celles-ci dans le respect des règles du 7, - veille au respect des licences d'utilisation et des droits de propriété. Le project manager veille au dépôt des sources et de la documentation technique dans les cas où il faut de prémunir contre la défaillance d'un fournisseur. 8.6 Gestion des vulnérabilités Les vulnérabilités pouvant affecter les actifs font l'objet d'une gestion attentive. Le project manager veille à faire respecter des pratiques de développement aptes à réduire les vulnérabilités 41, veille à mettre en place un suivi adéquat des vulnérabilités pouvant affecter les actifs concernés ; les informations nécessaires à ce suivi sont recueillies auprès des fournisseurs informatiques et des centres d'alerte et sont transmises au service manager. 9 GESTION DES INCIDENTS DE SECURITE DE L'INFORMATION 9.1 Définition Un incident de sécurité est constitué de tout événement portant (ou risquant de porter) préjudice aux actifs de Fedict, y compris ceux dont le service est sous-traité. Exemples de tels événements (liste non exhaustive) : - comportement suspect d'inconnus dans les locaux, - anomalie de contrôle d'accès, - désactivation ou mise à niveau incorrecte de composant informatique lié à la sécurité (antivirus,...), - suspicion de virus ou d'intrusion dans un système, - disparition d'actif physique, - information relative à une vulnérabilité pouvant affecter un actif. 9.2 Enregistrements des incidents de sécurité Tout incident de sécurité est immédiatement signalé au service desk compétent, qui l'enregistre avec un code approprié, et avertit immédiatement les service managers concernés, ainsi que le conseiller en sécurité de l'information. L'accès à la documentation des incidents est géré de façon restrictive. Les membres du Comité de Direction, le conseiller en sécurité de l'information et la cellule Infosec y ont un accès complet et permanent. Les autres collaborateurs n'ont accès qu'aux incidents relatifs à des actifs pour lesquels ils jouent un rôle. 40 Voir le Programmation défensive, immunité à l'injection de code,... 18

19 9.3 Traitement des incidents de sécurité Les service managers concernés et le conseiller en sécurité de l'information évaluent la situation et recherchent des solutions le cas échéant ; à cette fin, ils peuvent recourir en urgence à tout collaborateur de Fedict, en particulier aux architectes compétents pour les actifs concernés. Les solutions sont évaluées, testées et mises en oeuvre suivant les procédures de gestion de changement 42, avec l'accord des business owners des actifs concernés. Les business owners gèrent les crises pouvant résulter de dysfonctionnements graves. 9.4 Collecte de preuves Dans le cas d'incidents de sécurité résultant d'actes délibérés, les éléments de preuve pouvant étayer une sanction ou une action judiciaire doivent être préservés. 9.5 Synthèse des incidents de sécurité Le conseiller en sécurité de l'information synthétise les incidents de sécurité et leurs conséquences dans son rapport annuel adressé au Comité de Direction. 10 GESTION DE LA CONTINUITE DES ACTIVITES 10.1 Référentiel La gestion de continuité est basée sur le processus "IT service continuity management" du référentiel ITIL Organisation Pour les systèmes en développement, la maîtrise de la continuité fait partie des exigences normales du projet. Les exigences de continuité résultent de l'analyse de risque produite par le business owner de l'actif concerné, et les étapes suivantes font partie du développement normal du système, coordonné par le project manager. Dans le cas de systèmes en service pour lesquels il n existe pas encore de plan de continuité, le Comité de Direction désigne un project manager chargé de coordonner les différentes étapes du processus décrit au 10.1, en collaboration avec les parties intéressées (business owner, service manager, ) Qualité des plans de continuité Le conseiller en sécurité de l information révise régulièrement les plans de continuité et les résultats de test, de façon à en détecter les lacunes et incohérences, et propose des améliorations dans son rapport annuel adressé au Comité de Direction. 42 Voir le 6. 19

20 11 CONFORMITE 11.1 Responsabilités Le business owner d un actif est responsable en premier ressort du respect des dispositions légales et réglementaires y relatifs. Il identifie celles-ci, les traduit en règles opérationnelles, qu il diffuse aux parties concernées et dont il contrôle le respect. Le contrôle de conformité aux dispositions légales et réglementaires fait partie des missions du service d audit institué conformément à l arrêté royal du 02/10/2002 relatif à l audit interne au sein des services publics fédéraux 11.2 Conformité aux dispositions légales La liste des dispositions légales relatives à la sécurité de l information est tenue par la cellule Infosec, avec l'aide de la cellule juridique. Le collaborateur qui copie, installe ou utilise des actifs informationnels doit s assurer du respect des droits intellectuels qui y sont éventuellement attachés. Les licences nécessaires doivent être acquittées, dans le respect des règles relatives aux marchés publics. Les informations dont la conservation répond à des exigences légales doivent être préservées sous une forme garantissant leur utilisation sur toute la période nécessaire. La cellule juridique procure le conseil et l encadrement nécessaires au respect des dispositions légales en matière de traitement des données à caractère personnel. Le conseiller en sécurité informe et sensibilise le personnel à leur respect. L utilisateur doit être informé des limites d emploi des moyens mis à sa disposition, et plus particulièrement des usages illégaux ou inadéquats. La mise en oeuvre de moyens cryptographiques peut être soumise à des contraintes réglementaires, pour lesquelles la cellule Infosec assure un support Conformité aux règlements et standards de sécurité Les directeur généraux révisent annuellement leur domaine de responsabilité au regard des règlements et standards de sécurité, et communiquent leurs observations au conseiller en sécurité de l information, qui les utilise dans son rapport annuel destiné au Comité de Direction. Un examen technique détaillé de la sécurité des systèmes est effectué suivant un planning établi par le Comité de Direction. Les service managers veillent à ce que de tels examens ne menacent pas la sécurité des actifs concernés. 20

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

Les normes minimales de sécurité

Les normes minimales de sécurité Les normes minimales de sécurité Patrick BOCHART Conseiller en sécurité de l information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be 11/7/2014

Plus en détail

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Page : 1/9 de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Note Importante : La charte de bon usage des ressources informatiques, de la messagerie et de l internet est une

Plus en détail

Evaluation Gouvernance de la Sécurité de l'information

Evaluation Gouvernance de la Sécurité de l'information CLUSIS Association suisse de sécurité des systèmes d'information Case postale 9 1000 Lausanne 26 Evaluation Gouvernance de la Sécurité de l'information Organisation: Date: Lieu: Interlocuteur(s): Consultant:

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Charte d'usage des TIC

Charte d'usage des TIC Schéma Informatique Ministériel Groupe Chartes d usage des TIC Introduction Charte d'usage des TIC Le développement et la diffusion au sein du MINEFI des nouveaux moyens de communication et d information

Plus en détail

ISMS. Normes Minimales. Version 2015 (ISO 27002:2013) (Information Security Management System)

ISMS. Normes Minimales. Version 2015 (ISO 27002:2013) (Information Security Management System) ISMS Normes Minimales Version 2015 (ISO 27002:2013) Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes: messieurs Houbaille (BCSS),

Plus en détail

ISO 17799 la norme de la sécurité de l'information

ISO 17799 la norme de la sécurité de l'information ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.

Plus en détail

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Charte informatique Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Préambule L'entreprise < NOM > met en œuvre un système d'information et

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

Politique de sécurité de l information

Politique de sécurité de l information 5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Pour la gestion du personnel Norme simplifiée n 46

Pour la gestion du personnel Norme simplifiée n 46 Pour la gestion du personnel Norme simplifiée n 46 1. Les finalités suivantes : La gestion administrative des personnels : gestion du dossier professionnel des employés, tenu conformément aux dispositions

Plus en détail

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations DDN/RSSI Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations Page 1 10/03/2015 SOMMAIRE. Article I. Définitions...3 Section I.1 Administrateur...3 Section

Plus en détail

Conditions Particulières de Maintenance. Table des matières. Ref : CPM-1.2 du 08/06/2011

Conditions Particulières de Maintenance. Table des matières. Ref : CPM-1.2 du 08/06/2011 Conditions Particulières de Maintenance Ref : Table des matières 1 CONDITIONS PARTICULIÈRES APPLICABLES AUX CONTRATS DE MAINTENANCE...2 1.1 Préambule...2 1.2 Obligations d'atreal et services rendus...2

Plus en détail

Charte régissant l'usage du système d information par les personnels du ministère de l éducation nationale

Charte régissant l'usage du système d information par les personnels du ministère de l éducation nationale Charte régissant l'usage du système d information par les personnels du ministère de l éducation nationale DGRH Version du 21/08/2008 1/ 9 Sommaire Article I. Champ d'application...4 Article II. Conditions

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES REPUBLIQUE FRANÇAISE PREMIER MINISTRE Secrétariat Général de la Défense Nationale N 730/ SCSSI Issy-les-Moulineaux, le 13 janvier 1997 GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS

Plus en détail

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET Glossaire La terminologie propre au projet, ainsi que les abréviations et sigles utilisés sont définis dans le Glossaire. Approbation Décision formelle, donnée

Plus en détail

Politique de gestion documentaire

Politique de gestion documentaire Politique de gestion documentaire Responsabilité de gestion : Secrétariat général Date d approbation : 24 avril 1979 C.A. C.E. Direction générale Direction Date d'entrée en vigueur : 24 avril 1995 Date

Plus en détail

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments

Plus en détail

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (89) 2 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (89) 2 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (89) 2 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES SUR LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL UTILISÉES À DES FINS D'EMPLOI 1 (adoptée

Plus en détail

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES informatiques d Inria CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES Table des matières 1. Préambule...3 2. Définitions...3 3. Domaine d application...4 4. Autorisation d accès aux ressources informatiques...5

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO/CEI 27001:2005 ISMS -Information Security Management System ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

Les principes de la sécurité

Les principes de la sécurité Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes

Plus en détail

La politique de sécurité

La politique de sécurité La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,

Plus en détail

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4 Catalogue de critères pour la reconnaissance de plateformes alternatives Annexe 4 Table des matières 1 Objectif et contenu 3 2 Notions 3 2.1 Fournisseur... 3 2.2 Plateforme... 3 3 Exigences relatives à

Plus en détail

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse

Plus en détail

Doc cctld 36-F. Original: anglais SECTEUR DE LA NORMALISATION DES TÉLÉCOMMUNICATIONS

Doc cctld 36-F. Original: anglais SECTEUR DE LA NORMALISATION DES TÉLÉCOMMUNICATIONS UNION INTERNATIONALE DES TÉLÉCOMMUNICATIONS SECTEUR DE LA NORMALISATION DES TÉLÉCOMMUNICATIONS PERIODE D ÉTUDES 2001-2004 Origine: Titre: Original: anglais Atelier sur les expériences des Pays Membres

Plus en détail

Securité de l information :

Securité de l information : Information Security Guidlines Securité de l information : (Politique:2013.0020) Responsabilité de l utilisateur final à propos de la politique " du bureau propre et de l écran vide" Version control please

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Décision 04/78/ILR du 6 juillet 2004

Décision 04/78/ILR du 6 juillet 2004 Décision 04/78/ILR du 6 juillet 2004 concernant les règles relatives à la solution technique pour l'introduction de la portabilité des numéros mobiles Vu la loi modifiée du 21 mars 1997 sur les télécommunications

Plus en détail

CERTIFICAT D ACCREDITATION ET DOMAINE D APPLICATION D UNE ACCREDITATION : Lignes directrices générales pour la formulation et l évaluation

CERTIFICAT D ACCREDITATION ET DOMAINE D APPLICATION D UNE ACCREDITATION : Lignes directrices générales pour la formulation et l évaluation BELAC 2-002 Rev 2-2014 CERTIFICAT D ACCREDITATION ET DOMAINE D APPLICATION D UNE ACCREDITATION : Lignes directrices générales pour la formulation et l évaluation Les dispositions de la présente procédure

Plus en détail

CHARTE INFORMATIQUE. Usage de ressources informatiques et de service Internet

CHARTE INFORMATIQUE. Usage de ressources informatiques et de service Internet CHARTE INFORMATIQUE Usage de ressources informatiques et de service Internet Le développement des ressources informatiques sur les districts et sur les navires ravitailleurs des districts des TAAF résulte

Plus en détail

Contrôle interne et organisation comptable de l'entreprise

Contrôle interne et organisation comptable de l'entreprise Source : "Comptable 2000 : Les textes de base du droit comptable", Les Éditions Raouf Yaïch. Contrôle interne et organisation comptable de l'entreprise Le nouveau système comptable consacre d'importants

Plus en détail

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy) ISMS (Information Security Management System) Politique de sécurité de l'information (Information Security Policy) P 1 1 Définition de la sécurité de l'information L'information est une ressource qui,

Plus en détail

Politique de gestion documentaire

Politique de gestion documentaire Politique de gestion documentaire L application de cette politique est sous la responsabilité du cadre de direction qui remplit les fonctions de secrétaire général Adopté par le conseil d administration

Plus en détail

Mandats attribués à des entreprises externes

Mandats attribués à des entreprises externes Mandats attribués à des entreprises externes Directive DIT-17 Champ d application : Université 1 Buts Le but de cette directive est de rendre les entreprises externes attentives à la législation à laquelle

Plus en détail

Code d'ethique des Métiers de la Sécurité des Systèmes d'information

Code d'ethique des Métiers de la Sécurité des Systèmes d'information Code d'ethique des Métiers de la Sécurité des Systèmes d'information CLUB DE LA SECURITE DES SYSTEMES D INFORMATION FRANCAIS 11 rue de Mogador 75009 Paris - Tél : 01 53 25 08 80 Fax : 01.53 25 08 88 email

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

Offre d emploi. Profil de fonction

Offre d emploi. Profil de fonction Offre d emploi Profil de fonction CONSEILLER(ÈRE) - GESTIONNAIRE DE PROJET (m/f) Service Infor Gaz et Electricité / Collectif Solidarité Contre l'exclusion asbl. 1 Contexte de la fonction Référence : CGP

Plus en détail

Enquête 2014 de rémunération globale sur les emplois en TIC

Enquête 2014 de rémunération globale sur les emplois en TIC Enquête 2014 de rémunération globale sur les emplois en TIC Enquête 2014 de rémunération globale sur les emplois en TIC Les emplois repères de cette enquête sont disponibles selon les trois blocs suivants

Plus en détail

Fiche méthodologique Rédiger un cahier des charges

Fiche méthodologique Rédiger un cahier des charges Fiche méthodologique Rédiger un cahier des charges Plan de la fiche : 1 : Présentation de la fiche 2 : Introduction : les grands principes 3 : Contenu, 1 : positionnement et objectifs du projet 4 : Contenu,

Plus en détail

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES 1 FINALITÉ 1 Soutien à la communication et aux relations internes et externes L assistant facilite la communication à tous les niveaux (interpersonnel,

Plus en détail

Service de réplication des données HP pour la gamme de disques Continuous Access P9000 XP

Service de réplication des données HP pour la gamme de disques Continuous Access P9000 XP Service de réplication des données HP pour la gamme de disques Continuous Access P9000 XP Services HP Care Pack Données techniques Le service de réplication des données HP pour Continuous Access offre

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» CSSS/10/101 AVIS N 10/21 DU 7 SEPTEMBRE 2010 CONCERNANT LA DEMANDE DU MINISTRE DES AFFAIRES SOCIALES RELATIVE AU PROTOCOLE,

Plus en détail

Fiche de l'awt Rédiger un cahier des charges

Fiche de l'awt Rédiger un cahier des charges Fiche de l'awt Rédiger un cahier des charges Quels sont les éléments principaux dont il faut tenir compte pour la rédaction d'un cahier des charges dans le cadre d'un projet lié aux TIC (technologies de

Plus en détail

Appendice A I. Mission II. Domaine d'activité A. VÉRIFICATION

Appendice A I. Mission II. Domaine d'activité A. VÉRIFICATION Appendice A Charte du Bureau de l'inspecteur général I. Mission 1. Le Bureau de l'inspecteur général assure la supervision des programmes et des opérations de l'organisation, par des opérations de vérification

Plus en détail

Annexe sur la maîtrise de la qualité

Annexe sur la maîtrise de la qualité Version du 09/07/08 Annexe sur la maîtrise de la qualité La présente annexe précise les modalités d'application, en matière de maîtrise de la qualité, de la circulaire du 7 janvier 2008 fixant les modalités

Plus en détail

Ouverture de l appel : 04 Septembre 2015 Clôture de l appel : 18 Septembre 2015 ---------- AMI N 33.2015

Ouverture de l appel : 04 Septembre 2015 Clôture de l appel : 18 Septembre 2015 ---------- AMI N 33.2015 Conseil Ouest et Centre Africain pour la Recherche et le Développement Agricoles West and Central African Council for Agricultural Research and Development APPEL A MANIFESTATION D INTERET ------------------------

Plus en détail

conséquence, en cas d'une alarme pour les biens, d'une intrusion non permise ou d'une tentative, ou en cas d'une alarme pour les personnes, d'un

conséquence, en cas d'une alarme pour les biens, d'une intrusion non permise ou d'une tentative, ou en cas d'une alarme pour les personnes, d'un 25 AVRIL 2007. - Arrêté royal fixant les conditions d'installation, d'entretien et d'utilisation des systèmes d' et de gestion de centraux d' ALBERT II, Roi des Belges, A tous, présents

Plus en détail

Brève étude de la norme ISO/IEC 27003

Brève étude de la norme ISO/IEC 27003 RECOMMANDATIONS Brève étude de la norme ISO/IEC 27003 Décembre 2011 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11, rue de Mogador 75009 PARIS Tel : 01 53 25 08 80 Fax : 01 53 08 81 clusif@clusif.asso.fr

Plus en détail

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

SPECIFICATION E DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES 92038 PARIS LA DEFENSE CEDEX Page 1 / 11 SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES 29/11/00 13 Indice

Plus en détail

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES*

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* R. GESTION DU RISQUE DANS LES CADRES RÉGLEMENTAIRES* Le Groupe de travail des politiques de coopération en matière de et de normalisation: Reconnaissant que l atténuation du risque qui peut avoir une incidence

Plus en détail

Commission Nationale de l Informatique et des Libertés Recommandation (97-008)

Commission Nationale de l Informatique et des Libertés Recommandation (97-008) RECOMMANDATION Délibération n 97-008 du 4 février 1997 portant adoption d'une recommandation sur le traitement des données de santé à caractère personnel (Journal officiel du 12 avril 1997) La Commission

Plus en détail

Spécifications de l'offre Surveillance d'infrastructure à distance

Spécifications de l'offre Surveillance d'infrastructure à distance Aperçu du service Spécifications de l'offre Surveillance d'infrastructure à distance Ce service comprend les services Dell de surveillance d'infrastructure à distance (RIM, le «service» ou les «services»)

Plus en détail

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Pré-requis Diplôme Foundation Certificate in IT Service Management. Ce cours apporte les connaissances nécessaires et les principes de gestion permettant la formulation d une Stratégie de Services IT ainsi que les Capacités organisationnelles à prévoir dans le cadre d

Plus en détail

Directive de la Direction 6.2. Utilisation d Internet, de la messagerie électronique, des réseaux sociaux, de la téléphonie et du poste de travail

Directive de la Direction 6.2. Utilisation d Internet, de la messagerie électronique, des réseaux sociaux, de la téléphonie et du poste de travail Directive de la Direction Directive de la Direction 6.2. Utilisation d Internet, de la messagerie électronique, des réseaux sociaux, de la téléphonie et du poste de travail 1 Base La présente directive

Plus en détail

Sécurité informatique : règles et pratiques

Sécurité informatique : règles et pratiques Sécurité informatique : règles et pratiques Dominique PRESENT I.U.T. de Marne la Vallée Construire une politique de sécurité : 12 thèmes Règles et pratiques : premières procédures à mettre en place basées

Plus en détail

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final Il y a un astérisque quand des renseignements sensibles ont été enlevés aux termes de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. BUREAU DU CONSEIL

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit McAfee Enterprise Mobility Management 9.7 Préparé par : Centre de la sécurité des télécommunications Canada Organisme de certification Schéma canadien

Plus en détail

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL L important développement à l international du groupe OVH et de ses filiales, conduit à l adoption des présentes règles internes en matière

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque élevé Exigences de cybersécurité Description Raisons de l'importance 1. Protection des actifs et configuration

Plus en détail

ITIL V2. La gestion des incidents

ITIL V2. La gestion des incidents ITIL V2 La gestion des incidents Création : novembre 2004 Mise à jour : août 2009 A propos A propos du document Ce document de référence sur le référentiel ITIL a été réalisé en 2004 et la traduction des

Plus en détail

Type de document : Politique Révision prévue : 2008 Objet : Politique sur la sécurité des actifs informationnels du CSSSNL

Type de document : Politique Révision prévue : 2008 Objet : Politique sur la sécurité des actifs informationnels du CSSSNL Code : CA-139-2007 Page 1 de 14 DOCUMENT DE GESTION Type de document : Politique Révision prévue : 2008 Adopté par : Conseil d'administration du CSSSNL Document(s) remplacé(s) : Adopté le : 28 mars 2007

Plus en détail

CONTRÔLES D'ACCÈS PHYSIQUE AUTOMATISÉS

CONTRÔLES D'ACCÈS PHYSIQUE AUTOMATISÉS Cour Pénale Internationale International Criminal Court Instruction administrative ICC/AI/2007/004 Date : 19/06/2007 CONTRÔLES D'ACCÈS PHYSIQUE AUTOMATISÉS Le Greffier, aux fins d'établir des groupes d'accès

Plus en détail

État Réalisé En cours Planifié

État Réalisé En cours Planifié 1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture

Plus en détail

7.3. Pouvoirs et devoirs des services d inspection du travail

7.3. Pouvoirs et devoirs des services d inspection du travail 7.3. Pouvoirs et devoirs des services d inspection du travail 1. Introduction Afin de rendre possibles une meilleure prévention et une politique de détection efficace, les compétences de l'inspection du

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» SCSZ/09/042 DELIBERATION N 09/030 DU 5 MAI 2009 RELATIVE A LA COMMUNICATION DE DONNEES A CARACTERE PERSONNEL PAR LA BANQUE

Plus en détail

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Agrément des hébergeurs de données de santé. 1 Questions fréquentes Agrément des hébergeurs de données de santé 1 Questions fréquentes QUELS DROITS POUR LES PERSONNES CONCERNEES PAR LES DONNEES DE SANTE HEBERGEES? La loi précise que l'hébergement de données de santé à

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

Sage CRM. 7.2 Guide de Portail Client

Sage CRM. 7.2 Guide de Portail Client Sage CRM 7.2 Guide de Portail Client Copyright 2013 Sage Technologies Limited, éditeur de ce produit. Tous droits réservés. Il est interdit de copier, photocopier, reproduire, traduire, copier sur microfilm,

Plus en détail

Règlement d INTERPOL sur le traitement des données

Règlement d INTERPOL sur le traitement des données BUREAU DES AFFAIRES JURIDIQUES Règlement d INTERPOL sur le traitement des données [III/IRPD/GA/2011(2014)] REFERENCES 51 ème session de l Assemblée générale, résolution AGN/51/RES/1, portant adoption du

Plus en détail

Charte d'utilisation des systèmes informatiques

Charte d'utilisation des systèmes informatiques Charte d'utilisation des systèmes informatiques I. Préambule Les outils informatiques mis à la disposition des agents de la commune de Neufchâteau se sont multipliés et diversifiés au cours de ces dernières

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section «Santé»

Comité sectoriel de la sécurité sociale et de la santé Section «Santé» Comité sectoriel de la sécurité sociale et de la santé Section «Santé» CSSS/11/ DÉLIBÉRATION N 11/66 DU 20 SEPTEMBRE 2011 RELATIVE AU TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL RELATIVES À LA SANTÉ PAR

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

Jean-Louis FELIPE. Consultant en systèmes d information Membre de la commission expertise ITIL d itsmf France SYNTHÈSE PROFESSIONNELLE

Jean-Louis FELIPE. Consultant en systèmes d information Membre de la commission expertise ITIL d itsmf France SYNTHÈSE PROFESSIONNELLE Jean-Louis FELIPE Consultant en systèmes d information Membre de la commission expertise ITIL d itsmf France Diplôme de l Ecole Supérieure d Electronique Armée de terre, 1982 SYNTHÈSE PROFESSIONNELLE Une

Plus en détail

Charte du Bon usage de l'informatique et des réseaux informatiques au Lycée St Jacques de Compostelle

Charte du Bon usage de l'informatique et des réseaux informatiques au Lycée St Jacques de Compostelle Charte du Bon usage de l'informatique et des réseaux informatiques au Lycée St Jacques de Compostelle I - But de la charte Le but de la présente charte est de définir les règles de bonne utilisation des

Plus en détail

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé

Plus en détail

Politique de sécurité

Politique de sécurité Politique de sécurité 1. Environnement Un CPAS dépend pour son bon fonctionnement d'un ensemble d'éléments: - de son personnel et son savoir-faire (expérience); - de ses informations (données sociales,

Plus en détail

SENIOR SERVICE DELIVERY MANAGER E-GOV (M/F)

SENIOR SERVICE DELIVERY MANAGER E-GOV (M/F) SENIOR SERVICE DELIVERY MANAGER E-GOV (M/F) SERVICE PUBLIC FEDERAL TECHNOLOGIE DE L INFORMATION ET DE LA COMMUNICATION (FEDICT) DIRECTION GENERALE «GESTION DES SERVICES» (BRUXELLES) AFG07844 Contexte de

Plus en détail

1 la loi: la loi du 4 août 1996 relative au bien-être des travailleurs lors de l'exécution de leur travail;

1 la loi: la loi du 4 août 1996 relative au bien-être des travailleurs lors de l'exécution de leur travail; Arrêté royal du 30 août 2013 fixant des dispositions générales relatives au choix, à l'achat et à l'utilisation d'équipements de protection collective (M.B. 7.10.2013) Chapitre I er. - Dispositions relatives

Plus en détail

Gestion des services IT Foundation Bridge basée sur la norme ISO/CIE 20000

Gestion des services IT Foundation Bridge basée sur la norme ISO/CIE 20000 Exemple d examen Gestion des services IT Foundation Bridge basée sur la norme ISO/CIE 20000 Édition Novembre 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published,

Plus en détail

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799 David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information

Plus en détail

Politique de Sécurité des Systèmes d Information

Politique de Sécurité des Systèmes d Information Politique de Sécurité des Systèmes d Information Sommaire 1 PREAMBULE...3 2 CONTEXTE...4 3 ORIENTATION STRATEGIQUE...4 4 PERIMETRE...5 5 ENJEUX DE LA PSSI AU CONSEIL DE L EUROPE...6 6 LES BESOINS DE SECURITE...7

Plus en détail

CONVENTION D'UTILISATION SERVICE E-PAYMENT

CONVENTION D'UTILISATION SERVICE E-PAYMENT CONVENTION D'UTILISATION SERVICE E-PAYMENT Objectif du document : Une convention d'utilisation est un contrat spécifique à un service qui stipule les conditions liées à l'utilisation d'un service spécifique

Plus en détail

ANNEXE DU REGLEMENT INTERIEUR DE L UES STERIA CHARTE DE L UTILISATION DES MOYENS INFORMATIQUES ET DE TELECOMMUNICATION DE STERIA

ANNEXE DU REGLEMENT INTERIEUR DE L UES STERIA CHARTE DE L UTILISATION DES MOYENS INFORMATIQUES ET DE TELECOMMUNICATION DE STERIA ANNEXE DU REGLEMENT INTERIEUR DE L UES STERIA CHARTE DE L UTILISATION DES MOYENS INFORMATIQUES ET DE TELECOMMUNICATION DE STERIA Introduction L Entreprise Steria met à la disposition de tout utilisateur

Plus en détail

MISE A DISPOSITION DES CONSEILLERS DEPARTEMENTAUX DE MATERIEL INFORMATIQUE

MISE A DISPOSITION DES CONSEILLERS DEPARTEMENTAUX DE MATERIEL INFORMATIQUE MISE A DISPOSITION DES CONSEILLERS DEPARTEMENTAUX DE MATERIEL INFORMATIQUE ENTRE : Le Conseil départemental des Vosges, représentée par application de la délibération du, agissant en Ci-après dénommé le

Plus en détail

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION 02 CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

Plus en détail

Commission Nationale de l'informatique et des Libertés

Commission Nationale de l'informatique et des Libertés Délibération nº 2015-165 du 4 juin 2015 portant adoption d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics ou privés

Plus en détail

LOI du 4 FEVRIER 2000 relative à la création de l'agence fédérale pour la Sécurité de la Chaîne alimentaire (Mon. 18.II.2000) (1)

LOI du 4 FEVRIER 2000 relative à la création de l'agence fédérale pour la Sécurité de la Chaîne alimentaire (Mon. 18.II.2000) (1) LOI du 4 FEVRIER 2000 relative à la création de l'agence fédérale pour la Sécurité de la Chaîne alimentaire (Mon. 18.II.2000) (1) Modifications: L. 13 juillet 2001 (Mon. 4.VIII.2001) L. 24 décembre 2002

Plus en détail

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés

Plus en détail

DESCRIPTION DU COMPOSANT

DESCRIPTION DU COMPOSANT Gestion des utilisateurs et des accès Composant pour un Egov intégré Qu'est-ce qu'un composant? C est un élément indispensable à l intégration des systèmes e-gov des différents niveaux politiques. Cet

Plus en détail

Sont assimilées à un établissement, les installations exploitées par un employeur;

Sont assimilées à un établissement, les installations exploitées par un employeur; Arrêté royal du 4 décembre 2012 concernant les prescriptions minimales de sécurité des installations électriques sur les lieux de travail (M.B. 21.12.2012) Section I er. - Champ d'application et définitions

Plus en détail

Annexe 5. CONTRAT CYBERPLUS PRO Souscrit dans le cadre du cyberp@iement Titre 1Conditions Particulières

Annexe 5. CONTRAT CYBERPLUS PRO Souscrit dans le cadre du cyberp@iement Titre 1Conditions Particulières Annexe 5 Souscrit dans le cadre du cyberp@iement Titre 1Conditions Particulières DESIGNATION DE L ENTREPRISE ci-après "le Client" Nom ou Dénomination sociale... représentée par.. (Nom et prénom du représentant

Plus en détail

ISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

ISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information NORME INTERNATIONALE ISO/CEI 27005 Deuxième édition 2011-06-01 Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information Information technology Security

Plus en détail