Fedict Règlement général de sécurité de l'information

Dimension: px
Commencer à balayer dès la page:

Download "Fedict Règlement général de sécurité de l'information"

Transcription

1 Fedict Règlement général de sécurité de l'information V 1.0 Table des matières 1 Politique de sécurité de l information 2 2 Gestion des actifs 4 3 Organisation de la sécurité de l information 5 4 Ressources humaines 11 5 Sécurité physique 13 6 Gestion des communications et opérations 15 7 Gestion des accès 16 8 Acquisition, développement et maintenance de systèmes 17 9 Gestion des incidents de sécurité de l'information Gestion de la continuité des activités Conformité 20 1

2 Ce document, approuvé par le Comité de Direction le 17 mars 2008, décrit le cadre de la politique de sécurité de l'information suivie par Fedict. Le Comité de Direction le considère comme un élément essentiel de bonne gouvernance. 1 POLITIQUE DE SECURITE DE L INFORMATION 1.1 Objectifs de la politique de sécurité de l'information Assurer aux citoyens et aux entreprises un niveau adéquat de sécurité pour les informations traitées, en particulier pour les systèmes d e-government où Fedict joue un rôle, ce qui implique une bonne disponibilité des systèmes et réseaux, et le respect de la confidentialité et de l'intégrité des données traitées. Faire respecter les dispositions légales en matière de sécurité de l information, en particulier les principes de finalité, proportionnalité et transparence prévus pour la protection des données à caractère personnel, ainsi que les règles en matière de classification de l information. Promouvoir une harmonisation de la sécurité de l'information dans les organisations publiques et privées qui collaborent avec Fedict pour rendre le service attendu. Assurer aux collaborateurs de Fedict un niveau adéquat de sécurité pour les systèmes nécessaires à leur travail. Intégrer la sécurité aux méthodes et outils de travail de Fedict. 1.2 Cadre méthodologique et structure de la réglementation Le cadre méthodologique du règlement est constitué des normes ISO et ISO , qui définissent une liste d enjeux de sécurité à maîtriser, ainsi que l organisation adéquate à cette fin. Chacun des domaines de la norme ISO fait l objet d un chapitre du présent document 2. Définition de la sécurité de l information 3 Stratégie, règles, procédures et moyens aptes à protéger l information, aussi bien dans les systèmes de transmission que dans les systèmes de traitement, en vue d en assigner la responsabilité et d en garantir la confidentialité, la disponibilité, l intégrité, la fiabilité, l authenticité et l irrévocabilité ; cette définition s applique à tout type d information, aussi bien les informations classifiées (au sens de la loi du 11 décembre 1998 et des règlements résultant de traités ratifiés par la Belgique), les informations à caractère personnel (au sens de la loi du 8 décembre 1992) ou médicales, que les informations qui ne bénéficient pas de protection légale particulière. La gestion du risque constitue le moteur de la politique de sécurité de l'information. Les mesures de sécurité sont élaborées à la suite d'une analyse de risque formalisée. Celle-ci tient compte d'une métrique de risque permettant d'évaluer la nature et la gravité des conséquences résultant de problèmes affectant la disponibilité, l'intégrité, la confidentialité ou la preuve des informations traitées Nouvelle dénomination de la norme ISO 17799:2005. Toutefois, les chapitres 2 et 3 sont inversés par rapport à la norme, dans le but de clarifier la notion d' "actif" avant de déterminer les responsabilités des différents acteurs de la sécurité. Définition proposée le 09/05/2006 par la plate-forme de concertation fédérale sur la sécurité de l information. Nature des conséquences : atteinte aux règles de classification, menace pour l'ordre public, pertes financières, conséquences juridiques, atteinte à l'image du service public, atteintes personnelles,... La notion de preuve recouvre les exigences d'imputabilité et de traçabilité. 2

3 La réglementation agit à un niveau stratégique, tactique et opérationnel :. au niveau stratégique : c est le présent document, qui donne des directives générales quant aux 11 domaines de la norme ISO 27002, et qui décrit l'organisation de la sécurité de l'information au sein de Fedict ;. au niveau tactique : ce sont des directives plus précises quant aux différents domaines de la norme ISO 27002, applicables en principe à tout système d information 5 ;. au niveau opérationnel : ce sont les règles de sécurité relatives à un système d information particulier, énoncées dans son manuel d'utilisation. Dans la suite du document est utilisée la notion d'information ou de support sensible, sans autre précision. Il s'agit de tout actif de Fedict dont l'utilisation inadéquate peut entraîner un préjudice. 1.3 Elaboration, approbation et diffusion des règlements Les projets de règlement des niveaux stratégique et tactique sont élaborés par la cellule Infosec et le conseiller en sécurité de l'information, en conformité avec les disposition légales, normes et bonnes pratiques de la profession, en tenant compte des besoins et spécificités de Fedict. Ils sont approuvés formellement par le Comité de Direction, qui les considère comme un élément essentiel de la bonne gouvernance de Fedict, et les porte à la connaissance de ses collaborateurs. Ils sont portés à la connaissance du public via le portail fédéral. Les appels d'offres en reprennent les points pertinents pour le marché envisagé. 1.4 Evaluation et adaptation de la politique de sécurité de l'information L'efficacité et l'efficience de la politique suivie sont évaluées annuellement à la lumière de l'évolution des risques et des bonnes pratiques de sécurité, des incidents constatés, ainsi que des audits effectués dans le cadre de l'arrêté royal du 02/10/2002. Cette évaluation est traduite dans le Balance Score Card de Fedict. Accompagnée de propositions, elle est présentée au Comité de Direction, qui prend les décisions utiles. Le présent document est révisé le cas échéant. 5 Chaque directive comprend des instructions destinées aux différents rôles impliqués, est généralement modulée en fonction de la sensibilité du système concerné, et contient des conseils quant à sa diffusion auprès des intéressés. 3

4 2 GESTION DES ACTIFS 2.1 Définition Par actif 6, on entend : tout élément ayant une valeur (matérielle ou immatérielle) pour l organisation, en rapport avec le système d information. Par exemple : informations : fichiers, bases de données, données en transit, documentation, contrats, procédures, logiciels : programmes applicatifs, logiciels de base, moyens physiques : matériels, supports d information, environnement physique : bâtiment, alimentation électrique, En particulier, un actif peut être constitué d'un composant d'architecture mis à disposition par Fedict, ou d'un système d'information complet pour lequel il joue un rôle. 2.2 Principes Pour tout actif qui intéresse Fedict est désigné un business owner 7, chargé de toutes les décisions importantes à son sujet. Le business owner peut - appartenir à Fedict (p. ex. pour un composant d'architecture e-government de son service catalog), - ou se situer dans une autre administration (p. ex. pour un système d'information destiné à supporter l'activité d'un autre service public, mais dont la réalisation a été confiée à Fedict). Sa responsabilité porte essentiellement sur les aspects suivants : respect des contraintes légales et réglementaires, exigences fonctionnelles, règles et limites d'utilisation, suivi de la gestion journalière, gestion des risques. Pour la plupart des actifs, les rôles suivants doivent généralement être définis, outre celui du business owner : - project manager, - architecte, - développeur, - opérateur, - service manager, - gestionnaire d'accès, - service desk, - utilisateur final (différents types). La liste des rôles doit évidemment être adaptée au type d'actif. Des distinctions peuvent être faites suivant le statut de l'acteur concerné (interne à Fedict, interne à l'administration fédérale, consultant, sous-traitant,...) ; il ne faut toutefois pas multiplier inutilement les rôles. Pour chaque rôle est établi un profil d'accès à l'actif concerné 8, à l'intention du gestionnaire d'accès. Les actifs sont en principe gérés en conformité avec les règles d'accès et d'utilisation énoncées. Sur demande motivée, le business owner peut toutefois accorder des dérogations. Tous les actifs intéressant Fedict sont identifiés et inventoriés, aussi bien ses actifs propres que ceux d'autres services publics pour lesquels il joue un rôle Angl. "asset" dans les normes ISO et Nl. "activa". Voir le 3.1. Voir le 7. 4

5 Les actifs dont l'utilisation inappropriée peut porter un préjudice à la Belgique ou à un autre Etat membre de l'union Européenne 9 sont classifiés conformément aux dispositions légales et réglementaires en la matière. La sous-traitance éventuelle de certains rôles ne modifie en rien la responsabilité générale du business owner. Les documents (lettres, notes internes, cahiers de charges, offres des fournisseurs, contrats,...) constituent une classe particulière d'actifs. Il est utile de faire la distinction entre l'original et les copies : - les principes énoncés ci-dessus s'appliquent à l'original : il faut un business owner, qui précise les règles d'utilisation (mise à jour, conservation, copie, distribution,...) ; - l'utilisation du document (envoi par courrier électronique,...) est assimilée à une copie, qui doit être traitée suivant les règles édictées par le business owner ; en outre, les supports physiques mobiles (papiers, CD, module de mémoire,...) suivent les règles du 5.4 ; 3 ORGANISATION DE LA SECURITE DE L INFORMATION La sécurité de l information concerne les rôles suivants. Les business owners ( 3.1). Le Comité de Direction de Fedict ( 3.2). Les directeurs généraux de Fedict ( 3.3). Le conseiller en sécurité de l information de Fedict ( 3.4). La cellule Infosec de Fedict ( 3.5). La cellule juridique de Fedict ( 3.6). La cellule FSO 10 de Fedict ( 3.7). Les senior responsible owners (SRO) de Fedict ( 3.8). OPERA ( 3.9). Les programme matrix teams (PMT) de Fedict ( 3.10). Les project boards ( 3.11). Les project managers de Fedict ( 3.12). Les architectes de Fedict ( 3.13). Les développeurs informatiques ( 3.14). Les service managers de Fedict ( 3.15). Les service desks ( 3.16). Les ICT operation managers ( 3.17). Le service d audit ( 3.18). 9 P. ex. données techniques dont la connaissance peut faciliter une intrusion, en particulier pour les systèmes traitant des informations classifiées. 10 Fedict Support Office. 5

6 3.1 Les business owners 11 Pour tout actif qui intéresse Fedict est désigné un business owner chargé de toutes les décisions importantes à son sujet : pour les actifs de Fedict (p. ex. pour un composant d'architecture e-government de son service catalog), le Comité de Direction le désigne parmi les directeurs généraux ; pour les actifs externes à Fedict (p. ex. pour un système d'information dont la réalisation a été confiée à Fedict par un autre SPF), le SRO (voir le 3.8) veille à le faire désigner et à lui faire accepter les responsabilités liées à ce rôle ; il s'agit généralement du responsable de l'activité supportée par l'actif concerné (un directeur général p. ex.). Le business owner assume les responsabilités suivantes : l'identification des contraintes légales et réglementaires ; l'établissement des spécifications fonctionnelles ; la réalisation d'une analyse de risque formalisée, destinée à identifier les risques pouvant affecter l'activité supportée par l'actif concerné ; la formulation des exigences de sécurité nécessaires pour maîtriser les risques identifiés ; l'acceptation du risque résiduel ; la gestion budgétaire et la réalisation des mesures de sécurité qu'entraînent ces exigences ; l'établissement des spécifications de test des mesures de sécurité ; l'élaboration des règles opérationnelles : - rôles impliqués dans la gestion et l'utilisation, ainsi que leur profil d'accès 12, - règles de gestion et d'utilisation (y compris les limites d'emploi),... ; la diffusion de ces règles auprès des parties intéressées, et leur acceptation par celles-ci ; le contrôle du respect de ces règles ; la réception de l'actif concerné (après examen des rapports de test) et la décision de le rendre opérationnel ; le suivi des incidents résultant des dysfonctionnements courants ; la gestion des crises pouvant résulter de dysfonctionnements graves. Les tâches impliquées peuvent être déléguées ou sous-traitées, sans que cela modifie la responsabilité générale du business owner. Des conventions écrites assurent la bonne compréhension des obligations entre les parties. Les systèmes complexes étant généralement constitués d'actifs dépendant de business owners différents, la compatibilité des différentes règles d'utilisation doit être vérifiée ; ceci relève de la responsabilité du business owner qui met le service à la disposition des utilisateurs finaux. Exemples illustratifs : ICT Shared Services ICT Shared Services met à la disposition de Fedict (notamment) une infrastructure informatique constituée - d'un réseau local, - de PC pour les utilisateurs, - de différents serveurs (pour le courrier électronique, pour l'accès à l'internet,...), - de différents logiciels bureautiques et autres (antivirus,...). ICT Shared Services est donc le business owner d'une infrastructure technique ; à ce titre, il édicte et fait respecter, par les fournisseurs et les utilisateurs, des règles d'usage destinées à préserver la qualité et la sécurité du service offert : 11 Le business owner est représenté par le "senior user " dans l'organisation de projet de Fedict. 12 Voir le 7. 6

7 - filtrage du spam et des accès à l'internet, - interdiction de connecter des équipements privés ou d'installer des programmes sans autorisation, - interdiction de désactiver l'antivirus, - comportement attendu en cas d'anomalie, -... Par ailleurs, le Comité de Direction de Fedict édicte et fait respecter des règles quant à l'utilisation des fonctionnalités disponibles : - PC : organisation de la gestion documentaire,... - courrier électronique : clarté, courtoisie, confidentialité, respect de la vie privée, règles de délégation, archivage, délai de réponse,... - internet : participation à des forums, limites à l'usage privé,... Ce faisant, le Comité de Direction assume le rôle de business owner du service d information offert à ses collaborateurs. Système d'information destiné aux citoyens Un SPF met en place une application destinée aux citoyens, utilisant une source authentique, ainsi qu'un middleware de Fedict. Le directeur général pour la source authentique en est le business owner ; il en formule les règles d'accès, tant fonctionnelles (usages autorisés, limites de responsabilité,...) que techniques (canaux autorisés, qualité des systèmes clients,...). Fedict est le business owner pour le middleware ; il en formule les conditions d'emploi, tant fonctionnelles (limites de sensibilité,...) que techniques (mise en oeuvre dans l'application,...). Le SPF est le business owner du service offert aux citoyens ; il veille au respect des règles émises par la source authentique et par Fedict, non seulement dans le développement et l'exploitation du système, mais aussi en promouvant un comportement adéquat chez les citoyens utilisateurs du service. 3.2 Le Comité de Direction de Fedict Le Comité de Direction prend les décisions relatives à la sécurité des actifs de Fedict, et veille à leur mise en œuvre dans les directions générales. Il décide de l'application des règlements proposés par la cellule Infosec, ainsi que des plans de sécurité proposés par le conseiller en sécurité de l information, alloue les moyens nécessaires et contrôle leur mise en oeuvre. Il désigne le business owner de tout actif de Fedict parmi les directeurs généraux. Il est le business owner des règlements de Fedict. 3.3 Les directeurs généraux de Fedict Chaque directeur général veille à ce que ses collaborateurs possèdent les connaissances nécessaires à l'exercice de leur fonction ; veille à faire appliquer les règles de sécurité par ses collaborateurs ; autorise ses collaborateurs à accéder aux locaux et ressources nécessaires à l'exercice de leur fonction ; révise annuellement son domaine de responsabilité au regard des règlements et standards de sécurité, et communique ses observations au conseiller en sécurité de l'information. 3.4 Le conseiller en sécurité de l'information de Fedict Le conseiller en sécurité de l'information se tient au courant de l'évolution des menaces, ainsi que des méthodes et outils de sécurité ; apporte une assistance méthodologique à la maîtrise des risques liés aux systèmes d'information, afin de développer les mesures organisationnelles et techniques aptes à prévenir les incidents et à en contenir les conséquences éventuelles ; 7

8 veille à la sensibilisation et à la formation du personnel en matière de sécurité de l'information afin d'encourager un comportement responsable et adéquat ; veille à la tenue de l'inventaire des actifs intéressant Fedict ; collabore avec le service manager à l'analyse des incidents de sécurité, afin d'en identifier les causes et de rechercher des solutions ; évalue dans un rapport annuel l'efficacité et l'efficience de la politique de sécurité suivie, compte tenu de l'évolution des risques et des bonnes pratiques, des incidents de sécurité constatés, ainsi que des audits effectués dans le cadre de l'arrêté royal du 02/10/2002 ; propose, en fonction de cette évaluation, un plan d'action annuel au Comité de Direction ; pilote la réalisation du plan d'action décidé par celui-ci ; collabore avec la cellule Infosec à la rédaction des règlements de sécurité de Fedict ; collabore avec les cellules FSO et Infosec en vue d'intégrer la démarche de sécurité aux méthodes de Fedict ; collabore avec ses homologues des autres institutions fédérales, afin de développer une politique et des règlements harmonisés, et de partager les connaissances et expériences (méthodes, outils, évolution des menaces,...) ; collabore avec ses homologues d'autres niveaux de pouvoir, afin de partager les connaissances et expériences ; exerce différentes fonctions en rapport avec la sécurité, prévues par la loi (officier de sécurité, conseiller en sécurité de l'information et protection de la vie privée,...). Le conseiller en sécurité de l'information rapporte au fonctionnaire dirigeant de Fedict et collabore étroitement avec la cellule Infosec. 3.5 La cellule Infosec de Fedict La cellule Infosec se tient au courant de l'évolution des menaces, ainsi que des méthodes et outils de sécurité ; tient la liste des dispositions légales en matière de sécurité de l'information 13, en collaboration avec la cellule juridique ; prépare les règlements de sécurité, en conformité avec les dispositions légales et les besoins de Fedict, et les soumet à l'approbation du Comité de Direction ; collabore avec la cellule FSO et le conseiller en sécurité de l'information en vue d'intégrer la démarche de sécurité aux méthodes de gestion de projet pratiquées par Fedict ; apporte son assistance aux directions générales de Fedict, en particulier dans le cadre des appels d'offres et de la mise en oeuvre des systèmes d'information ; étudie et évalue des méthodes et outils de gestion des risques ; prépare les dossiers de certification et d'homologation des systèmes de Fedict transportant ou traitant des informations classifiées ; collabore à la concertation en matière de sécurité de l information, tant au niveau fédéral 14 qu'avec les autres niveaux de pouvoir ; aide les services publics fédéraux - en coordonnant la collaboration des conseillers en sécurité de l information, - en élaborant des règlements de sécurité adaptés aux besoins de l'administration fédérale, - en leur apportant une assistance méthodologique, en particulier dans les domaines suivants : gestion de la continuité, gestion des risques, certification et homologation 13 Voir le Plate-forme de concertation sur la sécurité de l information, groupe de travail ENISA au sein du Comité Consultatif des Télécommunications, 8

9 des systèmes transportant ou traitant des informations classifiées, - en collaborant à des campagnes de sensibilisation à la sécurité. 3.6 La cellule juridique de Fedict La cellule juridique collabore avec la cellule Infosec à la tenue de la liste des dispositions légales en matière de sécurité de l'information 15 ; fournit tout conseil utile en la matière ; veille au respect de ces dispositions dans les contrats ; établit les avis destinés au comité sectoriel compétent en vertu de la loi relative à la protection de la vie privée. 3.7 La cellule FSO de Fedict La cellule FSO (Fedict Support Office) collabore avec la cellule Infosec et avec le conseiller en sécurité de l'information en vue d'intégrer la démarche de sécurité aux méthodes de Fedict. 3.8 Les senior responsible owners (SRO) de Fedict Chaque SRO veille à la désignation du business owner du système, et à l'acceptation de ses responsabilités 16 ; s'assure que la démarche de sécurité de l'information est correctement mise en oeuvre par le PMT (voir le 3.10). 3.9 OPERA (Fedict) Les SRO, dans le cadre d'opera, veillent à intégrer les enjeux de sécurité dans la gestion des programmes Les programme matrix teams (PMT) de Fedict Chaque PMT met en oeuvre dans son programme la démarche de sécurité définie par les cellules Infosec et FSO. Chacun de ses membres applique les règles de sécurité propres à son rôle Les project boards Le project board débat des enjeux de sécurité aux différentes étapes du projet, et en particulier de l'arbitrage entre le coût des mesures de sécurité et le risque résiduel lié au service visé, de façon à préparer les décisions du business owner Les project managers de Fedict Lors du développement d'un nouveau système d'information, ou à l'occasion de toute révision importante, le project manager s assure que les acteurs du projet (responsable d architecture, développeur, service manager, ) tiennent compte des bonnes pratiques et des dispositions réglementaires (règlements fédéraux, propres à Fedict,...) ; collabore avec le business owner à l'analyse de risque du système suivant la méthode proposée par la cellule Infosec ; 15 Voir le Voir le

10 veille à inclure les exigences de sécurité dans les appels d'offres et les contrats ; veille au dépôt des sources et de la documentation technique quand il faut se prémunir de la défaillance d'un fournisseur ; veille à la réalisation et au test des mesures de sécurité décidées à la suite de l'analyse de risque, et en fait rapport au business owner ; veille à mettre en place un suivi adéquat des vulnérabilités pouvant affecter les actifs concernés Les architectes de Fedict Chaque responsable d'architecture veille, dans son domaine, au respect des bonnes pratiques et des dispositions réglementaires (règlements fédéraux, propres à Fedict,...) ; pour les composants d'architecture du service catalog de Fedict, il en évalue la sensibilité à l'aide d'une analyse de risque, et il propose des mesures de sécurité adéquates et les règles opérationnelles (y compris les conditions et limites d'emploi) ; pour les systèmes d'information dont il conçoit l'architecture, il traduit les exigences de sécurité décidées à la suite de l'analyse de risque ; apporte son aide à la solution des incidents de sécurité et à la gestion des crises résultant de dysfonctionnements techniques Les développeurs informatiques Chaque développeur (interne ou externe) respecte les bonnes pratiques et les dispositions réglementaires et conventionnelles (règlements fédéraux, propres à Fedict, contrats,...) ; réalise les mesures de sécurité décidées à la suite de l'analyse de risque Les service managers de Fedict Chaque service manager veille, en matière de gestion de service et d'exploitation, au respect des bonnes pratiques et des dispositions réglementaires et conventionnelles (bonnes pratiques ITIL 19, règlements élaborés par le Forum, règlements propres à Fedict, contrats,...) ; veille à la mise en œuvre des mesures de sécurité décidées, et en fait rapport au business owner ; veille à la mise en oeuvre de la gestion d'accès définie par le business owner ; veille à la sécurité des sources de programme et de la documentation technique, et gère l'accès à celles-ci ; veille au respect des licences d'utilisation et des droits de propriété ; analyse les incidents de sécurité, recherche des solutions et les met en oeuvre 20 ; participe à la gestion des crises pouvant résulter de dysfonctionnements éventuels, sous l'autorité du business owner de l actif concerné ; veille à ce que l examen technique des systèmes n'en menace pas la sécurité. 17 Voir le Voir le Voir les 6, 8 et Voir les 8.6 et 9. 10

11 3.16 Les service desks Les service desks (internes ou externes) enregistrent les incidents de sécurité qui lui sont rapportés, et en avertissent les service managers potentiellement touchés, ainsi que le conseiller en sécurité de l'information Les ICT operation managers Chaque ICT operation manager (généralement externe à Fedict) respecte les bonnes pratiques et les dispositions réglementaires et conventionnelles (règlements fédéraux, propres à Fedict, contrats,...) ; applique les mesures de sécurité décidées à la suite de l'analyse de risque Le service d audit En rapport avec les missions définies par l arrêté royal du 02/10/2002, le service d audit contrôle la conformité des mesures de sécurité aux dispositions légales et réglementaires. 4 RESSOURCES HUMAINES 4.1 Catégories de collaborateurs Les collaborateurs de Fedict relèvent d'un des statuts suivants : 4.2 Probité fonctionnaires fédéraux, statutaires ou contractuels (relevant de la fonction publique), employés EGOV (relevant d'un contrat de travail passé avec l'asbl), consultants et autres travailleurs (utilisés dans le cadre de contrats passés par Fedict), divers : stagiaires, étudiants,... Les collaborateurs de Fedict doivent présenter une conduite compatible avec leur fonction. Pour les fonctionnaires, cette condition est vérifiée conformément au statut de la fonction publique. Pour les employés EGOV, ceci est vérifié à l'engagement de façon analogue. Pour les consultants, dans les cas jugés nécessaires, le cahier des charges et le contrat imposent au soumissionnaire de garantir l'absence d'un antécédent judiciaire révélateur d'un comportement incompatible avec la mission envisagée. 4.3 Respect des valeurs de Fedict Les collaborateurs ont constamment à l'esprit les valeurs de Fedict : innovation, loyauté, intégrité, proactivité, orientation résultat, collégialité, orientation client. 4.4 Définition des responsabilités Les responsabilités des collaborateurs sont définies dans une description de fonction précisant leur(s) rôle(s) et les attentes qui y sont liées, notamment les compétences nécessaires. 21 Voir les 8.6 et 9. 11

12 4.5 Gestion des compétences Les collaborateurs doivent posséder les compétences nécessaires à l'exercice de leur fonction, ce dont s'assure le directeur général responsable. Ces compétences résultent d'une qualification acquise préalablement, complétée par des formations suivies chaque année et par l'expérience acquise sur le terrain. La qualification initiale est vérifiée avant l'entrée chez Fedict. 4.6 Attention portée aux risques Les collaborateurs pensent aux conséquences de leur négligence éventuelle, et adaptent leur comportement en conséquence. Exemples de comportements à risque (liste non exhaustive) : - documents sensibles laissés sans surveillance (bureau inoccupé, documents laissés sur une imprimante,...), - oubli du verrouillage physique (locaux, armoires,...) ou logiciel (signoff, PC lock,...), - communication d'informations à un correspondant inconnu ("social engineering"), - communication d'information sensible par courrier électronique, - perte de supports d'informations sensibles (documents, mémoires électroniques,...), - lecture de documents sensibles dans un lieu public. - installation non autorisée de logiciel, - désactivation ou reconfiguration de logiciel (antivirus, options de browser,...), - écriture de mots de passe sur des documents aisément accessibles, choix de mots de passe "faibles",... Le conseiller en sécurité de l'information sensibilise les collaborateurs à ces risques et propose des comportements adéquats. 4.7 Communication des incidents de sécurité Dès la constatation d'un incident de sécurité, le collaborateur prend immédiatement les mesures de bon sens qui s'imposent, et avertit le service desk de Fedict, ainsi que son responsable hiérarchique Gestion des droits d'accès L'accès des collaborateurs aux actifs de Fedict (systèmes, informations,...) est géré conformément aux principes exposés au 7 ("Gestion des accès"). En particulier, les droits d'accès sont adaptés en cas de changement de fonction, et sont désactivés lors du départ du collaborateur. Le directeur général du collaborateur concerné est responsable de l'application de ces règles. 4.9 Sanctions Les fautes des fonctionnaires (et employés EGOV) sont sanctionnées dans le respect des règles de leur statut (ou convention collective). Les sanctions applicables aux consultants sont explicitées dans les contrats Habilitations de sécurité Les collaborateurs qui ont accès à des actifs dont l'utilisation inappropriée peut porter un préjudice à la Belgique ou à un autre Etat membre de l'union Européenne sont habilités conformément aux dispositions légales et réglementaires en la matière. Pour les fonctionnaires et les employés EGOV, la procédure d'habilitation est gérée par le conseiller en sécurité de l'information. Pour les consultants, la présentation d'un certificat d'habilitation est 22 Voir le 9. 12

13 prévue au cahier des charges Devoir de discrétion Les informations recueillies ne peuvent être utilisées et communiquées que dans le strict cadre du travail. Même dans ce cas, le collaborateur pense aux conséquences possibles de la divulgation d'informations sensibles. Les informations classifiées ne peuvent être communiquées que dans le strict respect des dispositions réglementaires en la matière 23. En cas de départ, le collaborateur rend, efface ou détruit tout support contenant de telles informations. Le devoir de discrétion persiste au-delà de la période de collaboration avec Fedict. 5 SECURITE PHYSIQUE 5.1 Locaux Les locaux administratifs de Fedict, ainsi que les salles informatiques abritant ses actifs, sont organisés en zones circonscrites par des périmètres : - périmètre 1 : entre l'espace public et la zone 1 du bâtiment ; - zone 1 : zone d'accueil du bâtiment ; dans la mesure du possible, des salles de réunion y sont disponibles pour les visiteurs 24 ; - périmètre 2 : entre la zone 1 et la zone 2 ; - zone 2 : locaux administratifs de Fedict ; - périmètre 3 : entre la zone 2 et la zone 3 ; - zone 3 : salle informatique abritant des actifs de Fedict ; - périmètre 4 : entre la zone 3 et la zone 4 ; - zone 4 : locaux ou armoires à sécurité renforcée 25. Ces zones sont munies de systèmes de détection et de protection contre les menaces physiques (incendie, inondation, intrusion,...), adaptés à leur sensibilité. Une intrusion dans une zone 1 n'est possible que moyennant une effraction visible du périmètre 1. Une intrusion dans des zones 2 à 4 déclenche une alarme entraînant l'intervention rapide du service de gardiennage. Les périmètres 3 et 4 sont physiquement renforcés de façon à retarder significativement l'action d'un agresseur éventuel. Si une zone n'existe pas, les contrôles prévus à ses périmètres extérieur et intérieur sont fusionnés en choisissant le niveau de protection le plus élevé. L'accès à toute zone nécessite un contrôle d'identité. Le contrôle effectué à un périmètre extérieur peut être réutilisé à un périmètre intérieur si la fiabilité peut être assurée. 23 Contrôle de l'habilitation du destinataire et de son besoin d'en connaître, sécurité de la transmission, De façon à réduire le nombre de visiteurs en zone P. ex. local abritant des informations classifiées ou des équipements traitant de telles informations. 13

14 L'accès aux différentes zones est réglé comme suit. Fonctionnaire / EGOV (Fedict) Autre collaborateur (Fedict) Visiteur Zone Contrôle d'identité préalable Accès soumis à autorisation préalable * Autorisation limitée au temps nécessaire Enregistrement des accès * Autorisation signée par un directeur général de Fedict ou un collaborateur mandaté. Les visiteurs sont accompagnés d'un collaborateur de Fedict (fonctionnaire ou EGOV) durant tout leur séjour en zones 2 à 4. Les armoires situées en zone 2 sont verrouillées en dehors des heures de présence des collaborateurs, qui veillent à la conservation sûre des clés. Un double des clés est conservé en zone 3. Les armoires situées en zone 3 et 4 sont verrouillées en permanence ; les clés et/ou codes d'accès sont conservés de façon sûre. Le cas échéant, il faut se conformer aux instructions relatives à la protection des informations classifiées. Les journaux d'accès sont tenus et conservés de façon à en assurer l'intégrité. Leur consultation nécessite une autorisation écrite préalable du conseiller en sécurité de l'information, qui veille au respect des règles en matière de protection de données à caractère personnel. Il est interdit d'emporter en zone 3 et 4 des équipements et supports informatiques non strictement nécessaires (laptop, GSM, appareil photo, mémoires électroniques,...). L'utilisation de tels équipements et supports est soumise à l autorisation écrite d un directeur général de Fedict. L'accès aux zones 3 et 4 fait l'objet de rapports transmis au conseiller en sécurité de l'information. Ces modalités s'appliquent aux zones 3 et 4 résidant dans une autre organisation, mais celle-ci peut gérer elle-même l'accès de ses propres collaborateurs en zone Connectique Les équipements connectiques sont placés dans des armoires dont l'accès est géré comme une zone 3 ou 4. La connexion de tout équipement nécessite une procédure formelle de changement Alimentations L alimentation des équipements (électricité, refroidissement, ) est assurée au niveau de qualité adéquat. 5.4 Supports physiques d'information Les supports physiques mobiles (papiers, CD, modules de mémoire,...) sont des actifs au sens du 2.1. Outre les éventuelles dispositions légales 27 et les instructions édictées par le business owner des informations qu'ils contiennent, il convient de respecter des règles générales pour leur conservation, leur utilisation et leur transport. Conservation Les supports d'information sont conservés dans des armoires verrouillées en zone 2, ou en zone 3, en fonction de leur sensibilité. Les supports sensibles ne peuvent pas être abandonnés sans surveillance. Une attention particulière est requise pour les documents sortant d'une imprimante. En fin de journée, les espaces de travail doivent être libres de tout support d'information ("clear desk policy"). 26 Voir le Règles relatives à la classification de l'information p. ex. 14

15 Utilisation Les supports sensibles - ne peuvent être utilisés qu'avec précaution dans des espaces non protégés (lieu public p. ex.), - ne peuvent pas être utilisés au moyen d'équipements dont la sécurité n'est pas assurée (PC privé p. ex.). Transport Les supports sensibles doivent être transportés dans des conditions qui garantissent leur confidentialité et leur intégrité, ainsi que la traçabilité des personnes responsables. La perte ou le vol d'un support d'information doit être enregistré en tant qu'incident de sécurité Equipements mobiles (PC portables, assistants personnels, téléphones mobiles,...) L'utilisateur se conforme aux règles édictées par le business owner de l'équipement mobile (PC portable, PDA, ) 29. En particulier, il vérifie la conformité de sa configuration et signale toute déviation éventuelle en tant qu'incident de sécurité 30. En outre, les équipements mobiles sont soumis aux règles des supports physiques Elimination d'équipements ou de supports d'information Les équipements et supports déclassés doivent être détruits ou effacés de façon à éviter tout risque de divulgation. Les papiers non sensibles peuvent toutefois être jetés à la corbeille. 6 GESTION DES COMMUNICATIONS ET OPERATIONS La gestion des communications et des opérations est réalisée dans le cadre de la gestion de service suivant le référentiel ITIL. En complément de ce référentiel, le service manager veille au respect des mesures de sécurité décrites dans la norme ISO 27002, en particulier les aspects suivants 32 : procédures et responsabilités opérationnelles, gestion du service délivré par des tiers, planification et réception de système, protection vis-à-vis des programmes nocifs et mobiles, sauvegardes, sécurité des réseaux, traitement des supports d'information, échange d'informations, commerce électronique, monitoring. En particulier, il veille à inclure les dispositions adéquates dans les contrats de sous-traitance, et suit leur bonne exécution, en conformité avec les décisions prises par le business owner à la suite de l'analyse de risque. 28 Voir le Pour un laptop p. ex. : utilisation d'un boot password, d'un screen saver sécurisé, d'un antivirus mis à jour, d'un firewall, Voir le Voir le ISO 27002, 10.1 à

16 7 GESTION DES ACCES 7.1 Principes généraux Le business owner assume la responsabilité de la gestion d accès aux actifs dont il est responsable. Le business owner définit les règles d accès des différents profils d utilisateurs intéressés par l actif concerné : project manager,, opérateur,, utilisateur final 33. Tout autre accès est interdit, sauf obligation légale 34. Les utilisateurs et leurs droits d accès sont gérés suivant une procédure formelle conforme aux règles définies par le business owner. Le business owner gère lui-même les droits d accès des utilisateurs conformément aux règles définies, ou délègue cette mission à un tiers. Dans ce dernier cas, une convention explicite est signée entre les deux parties, permettant au business owner de contrôler à tout moment le respect des règles. Les privilèges spéciaux sont gérés de façon restrictive et leur bon usage est contrôlé. La gestion des mots de passe et autres crédentiels 35 fait l objet de règles précises. Les droits d'accès sont adaptés en cas de changement de fonction, et sont désactivés lors du départ du collaborateur. Ils font aussi l objet de révisions périodiques conformément aux règles définies par le business owner. 7.2 Responsabilités de l utilisateur final L'utilisateur respecte les bonnes pratiques pour les mots de passe et autres crédentiels (mot de passe difficile à deviner, changement régulier, saisie à l abri des regards indiscrets, ). L'utilisateur protège les équipements mobiles et les supports d'information physiques 36. L'utilisateur bloque l accès aux équipements qu il quitte temporairement. 7.3 Architecture de contrôle d'accès L'architecte veille au respect des mesures de sécurité décrites dans la norme ISO 27002, en particulier pour les aspects suivants 37 : procédures et responsabilités opérationnelles, gestion d'accès système, gestion d'accès applicative. 7.4 Equipements mobiles (PC portables, assistants personnels, téléphones mobiles,...) Voir les 5.4 et 5.5. L'utilisateur veille à ne pas transmettre d'information sensible sur un réseau non protégé 38. L'information traitée sur ces équipements est copiée dès que possible dans l'environnement normal de Fedict, de façon à limiter les conséquences de perte accidentelle. Les informations sensibles sont effacées de l'équipement mobile dès que possible. 33 Voir la liste type au Sur mandat de l autorité judiciaire p. ex. 35 Information liée à une personne, comportant souvent un élément secret (mot de passe, clé privée PKI, ) lui permettant, généralement à distance, de prouver son identité (authentification) et/ou ses qualités et pouvoirs (fonctionnaire, notaire, ). 36 Voir les 5.4, 5.5 et ISO 27002, 11.4 à Internet, réseau sans fil,... 16

17 L'installation d'applications privées est interdite. 7.5 Télétravail Le télétravail n'est autorisé que moyennant un contrat passé entre Fedict et le collaborateur. Le collaborateur assure une protection physique des locaux privés équivalente aux locaux administratifs de Fedict. Le traitement d'informations sensibles à l'aide d'un équipement privé est interdit. La connectique et la gestion d'accès font l'objet de mesures de précaution (analyse de risque, règles, procédures,...) au même titre que tout composant du système d'information. 8 ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DE SYSTEMES 8.1 Exigences de sécurité des systèmes d'information Les risques pouvant affecter l'activité supportée par le système d'information doivent être analysés et maîtrisés dès son développement. Le business owner pilote un exercice formel d'analyse des risques consistant à - évaluer les conséquences des problèmes pouvant affecter la disponibilité, l'intégrité, la confidentialité ou la preuve des informations traitées, - déterminer les exigences de sécurité nécessaires pour ramener le risque à un niveau acceptable. Le project manager veille à la réalisation et au test des mesures de sécurité décidées à la suite de cet exercice, et en fait rapport au business owner. Ce processus est intégré aux méthodes de gestion de projet pratiquées par Fedict. 8.2 Sécurité applicative Les bonnes pratiques générales et les exigences de sécurité particulières décidées à la suite de l analyse des risques sont intégrées aux spécifications du système à développer. 8.3 Cryptographie Les exigences de sécurité peuvent nécessiter l'utilisation de la cryptographie (chiffrement, signature électronique,...). La cellule Infosec apporte un support quant aux dispositions réglementaires à respecter lors de la mise en oeuvre de moyens cryptographiques, en particulier pour la protection d'informations classifiées. 8.4 Sécurité des fichiers techniques du système d'information Les programmes sont installés suivant des procédures strictes, en conformité avec les principes ITIL, sous la responsabilité du service manager. Les données de production ne peuvent être utilisées dans le cadre de tests que si une protection adéquate est mise en place, et dans le respect des dispositions légales relatives à ces données P. ex., dans le cas de données à caractère personnel, l'accès aux données de test ne peut être accordé que dans le respect des finalités déclarées. 17

18 8.5 Sécurité du développement et du support Les changements au système d'information sont mis en oeuvre suivant des procédures strictes, en conformité avec les principes ITIL 40, ce dont s'assure le service manager. Le project manager veille au respect des bonnes pratiques et à l'exécution des tests de sécurité spécifiés, et en fait rapport au business owner. Le service manager - veille à la sécurité des sources de programme et de la documentation technique, et gère l'accès à celles-ci dans le respect des règles du 7, - veille au respect des licences d'utilisation et des droits de propriété. Le project manager veille au dépôt des sources et de la documentation technique dans les cas où il faut de prémunir contre la défaillance d'un fournisseur. 8.6 Gestion des vulnérabilités Les vulnérabilités pouvant affecter les actifs font l'objet d'une gestion attentive. Le project manager veille à faire respecter des pratiques de développement aptes à réduire les vulnérabilités 41, veille à mettre en place un suivi adéquat des vulnérabilités pouvant affecter les actifs concernés ; les informations nécessaires à ce suivi sont recueillies auprès des fournisseurs informatiques et des centres d'alerte et sont transmises au service manager. 9 GESTION DES INCIDENTS DE SECURITE DE L'INFORMATION 9.1 Définition Un incident de sécurité est constitué de tout événement portant (ou risquant de porter) préjudice aux actifs de Fedict, y compris ceux dont le service est sous-traité. Exemples de tels événements (liste non exhaustive) : - comportement suspect d'inconnus dans les locaux, - anomalie de contrôle d'accès, - désactivation ou mise à niveau incorrecte de composant informatique lié à la sécurité (antivirus,...), - suspicion de virus ou d'intrusion dans un système, - disparition d'actif physique, - information relative à une vulnérabilité pouvant affecter un actif. 9.2 Enregistrements des incidents de sécurité Tout incident de sécurité est immédiatement signalé au service desk compétent, qui l'enregistre avec un code approprié, et avertit immédiatement les service managers concernés, ainsi que le conseiller en sécurité de l'information. L'accès à la documentation des incidents est géré de façon restrictive. Les membres du Comité de Direction, le conseiller en sécurité de l'information et la cellule Infosec y ont un accès complet et permanent. Les autres collaborateurs n'ont accès qu'aux incidents relatifs à des actifs pour lesquels ils jouent un rôle. 40 Voir le Programmation défensive, immunité à l'injection de code,... 18

19 9.3 Traitement des incidents de sécurité Les service managers concernés et le conseiller en sécurité de l'information évaluent la situation et recherchent des solutions le cas échéant ; à cette fin, ils peuvent recourir en urgence à tout collaborateur de Fedict, en particulier aux architectes compétents pour les actifs concernés. Les solutions sont évaluées, testées et mises en oeuvre suivant les procédures de gestion de changement 42, avec l'accord des business owners des actifs concernés. Les business owners gèrent les crises pouvant résulter de dysfonctionnements graves. 9.4 Collecte de preuves Dans le cas d'incidents de sécurité résultant d'actes délibérés, les éléments de preuve pouvant étayer une sanction ou une action judiciaire doivent être préservés. 9.5 Synthèse des incidents de sécurité Le conseiller en sécurité de l'information synthétise les incidents de sécurité et leurs conséquences dans son rapport annuel adressé au Comité de Direction. 10 GESTION DE LA CONTINUITE DES ACTIVITES 10.1 Référentiel La gestion de continuité est basée sur le processus "IT service continuity management" du référentiel ITIL Organisation Pour les systèmes en développement, la maîtrise de la continuité fait partie des exigences normales du projet. Les exigences de continuité résultent de l'analyse de risque produite par le business owner de l'actif concerné, et les étapes suivantes font partie du développement normal du système, coordonné par le project manager. Dans le cas de systèmes en service pour lesquels il n existe pas encore de plan de continuité, le Comité de Direction désigne un project manager chargé de coordonner les différentes étapes du processus décrit au 10.1, en collaboration avec les parties intéressées (business owner, service manager, ) Qualité des plans de continuité Le conseiller en sécurité de l information révise régulièrement les plans de continuité et les résultats de test, de façon à en détecter les lacunes et incohérences, et propose des améliorations dans son rapport annuel adressé au Comité de Direction. 42 Voir le 6. 19

20 11 CONFORMITE 11.1 Responsabilités Le business owner d un actif est responsable en premier ressort du respect des dispositions légales et réglementaires y relatifs. Il identifie celles-ci, les traduit en règles opérationnelles, qu il diffuse aux parties concernées et dont il contrôle le respect. Le contrôle de conformité aux dispositions légales et réglementaires fait partie des missions du service d audit institué conformément à l arrêté royal du 02/10/2002 relatif à l audit interne au sein des services publics fédéraux 11.2 Conformité aux dispositions légales La liste des dispositions légales relatives à la sécurité de l information est tenue par la cellule Infosec, avec l'aide de la cellule juridique. Le collaborateur qui copie, installe ou utilise des actifs informationnels doit s assurer du respect des droits intellectuels qui y sont éventuellement attachés. Les licences nécessaires doivent être acquittées, dans le respect des règles relatives aux marchés publics. Les informations dont la conservation répond à des exigences légales doivent être préservées sous une forme garantissant leur utilisation sur toute la période nécessaire. La cellule juridique procure le conseil et l encadrement nécessaires au respect des dispositions légales en matière de traitement des données à caractère personnel. Le conseiller en sécurité informe et sensibilise le personnel à leur respect. L utilisateur doit être informé des limites d emploi des moyens mis à sa disposition, et plus particulièrement des usages illégaux ou inadéquats. La mise en oeuvre de moyens cryptographiques peut être soumise à des contraintes réglementaires, pour lesquelles la cellule Infosec assure un support Conformité aux règlements et standards de sécurité Les directeur généraux révisent annuellement leur domaine de responsabilité au regard des règlements et standards de sécurité, et communiquent leurs observations au conseiller en sécurité de l information, qui les utilise dans son rapport annuel destiné au Comité de Direction. Un examen technique détaillé de la sécurité des systèmes est effectué suivant un planning établi par le Comité de Direction. Les service managers veillent à ce que de tels examens ne menacent pas la sécurité des actifs concernés. 20

Les normes minimales de sécurité

Les normes minimales de sécurité Les normes minimales de sécurité Patrick BOCHART Conseiller en sécurité de l information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be 11/7/2014

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

CONVENTION D'UTILISATION FAS

CONVENTION D'UTILISATION FAS CONVENTION D'UTILISATION Objectif du document : Une convention d'utilisation est un contrat spécifique à un service qui stipule les conditions liées à l'utilisation d'un service spécifique de Fedict. Il

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

ISMS. Normes Minimales. Version 2011. (Information Security Management System)

ISMS. Normes Minimales. Version 2011. (Information Security Management System) ISMS Normes Minimales Version 2011 Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes: messieurs Bochart (BCSS), Costrop (Smals),

Plus en détail

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Page : 1/9 de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Note Importante : La charte de bon usage des ressources informatiques, de la messagerie et de l internet est une

Plus en détail

Charte régissant l'usage du système d information par les personnels de l'académie de NANCY-METZ

Charte régissant l'usage du système d information par les personnels de l'académie de NANCY-METZ Charte régissant l'usage du système d information par les personnels de l'académie de NANCY-METZ Charte d'usages du système d'information 1/8 Sommaire Préambule...3 Article I. Champ d'application...4 Article

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Evaluation Gouvernance de la Sécurité de l'information

Evaluation Gouvernance de la Sécurité de l'information CLUSIS Association suisse de sécurité des systèmes d'information Case postale 9 1000 Lausanne 26 Evaluation Gouvernance de la Sécurité de l'information Organisation: Date: Lieu: Interlocuteur(s): Consultant:

Plus en détail

ISO 17799 la norme de la sécurité de l'information

ISO 17799 la norme de la sécurité de l'information ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

Charte régissant l'usage du système d information par les personnels de l Université Bordeaux 1

Charte régissant l'usage du système d information par les personnels de l Université Bordeaux 1 Charte régissant l'usage du système d information par les personnels de l Université Bordeaux 1 Sommaire Champ d'application 2 Article I. Conditions d'utilisation des systèmes d'information 2 Section I.1

Plus en détail

Règlement régissant l'usage du système d information par les utilisateurs de l Université Lille 1

Règlement régissant l'usage du système d information par les utilisateurs de l Université Lille 1 Règlement régissant l'usage du système d information par les utilisateurs de l Université Lille 1 1/ 9 Sommaire Article I. Champ d'application...4 Article II. Conditions d'utilisation des systèmes d'information...4

Plus en détail

Les salariés, dans l'exercice de leurs fonctions, sont conduits à accéder aux moyens de communication mis à leur disposition et à les utiliser.

Les salariés, dans l'exercice de leurs fonctions, sont conduits à accéder aux moyens de communication mis à leur disposition et à les utiliser. Charte informatique Préambule L'entreprise < NOM > met en œuvre un système d'information et de communication nécessaire à son activité, comprenant notamment un réseau informatique et téléphonique. Les

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

Charte d'usage des TIC

Charte d'usage des TIC Schéma Informatique Ministériel Groupe Chartes d usage des TIC Introduction Charte d'usage des TIC Le développement et la diffusion au sein du MINEFI des nouveaux moyens de communication et d information

Plus en détail

Cisco Data Center Facilities Planning and Design Service (Service de conception et de planification des installations de centre de données Cisco)

Cisco Data Center Facilities Planning and Design Service (Service de conception et de planification des installations de centre de données Cisco) Cisco Data Center Facilities Planning and Design Service (Service de conception et de planification des installations de centre de données Cisco) Concevez un centre de données flexible à même de répondre

Plus en détail

ISMS. Normes Minimales. Version 2015 (ISO 27002:2013) (Information Security Management System)

ISMS. Normes Minimales. Version 2015 (ISO 27002:2013) (Information Security Management System) ISMS Normes Minimales Version 2015 (ISO 27002:2013) Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes: messieurs Houbaille (BCSS),

Plus en détail

PREMIER MINISTRE PROCEDURE. Validée par le sous-directeur de la régulation. Pascal CHAUVE [ORIGINAL SIGNE]

PREMIER MINISTRE PROCEDURE. Validée par le sous-directeur de la régulation. Pascal CHAUVE [ORIGINAL SIGNE] PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Paris, le 25 juin 2009 N 1632 /SGDN/DCSSI Référence : AGR/P/02.1 PROCEDURE SECURITE

Plus en détail

CHARTE DU SYSTEME D INFORMATION

CHARTE DU SYSTEME D INFORMATION CHARTE DU SYSTEME D INFORMATION SOMMAIRE Domaine D APPLICATION... 4 Objet de la Charte 4 Définitions 4 Les personnes concernées 5 Les ressources matérielles 5 Les habilitations 5 Respect des lois et de

Plus en détail

Objectifs et gestion de la sécurité

Objectifs et gestion de la sécurité INF4470 : Fiabilité et sécurité informatique Par Eric Gingras Hiver 2010 Objectifs et gestion de la sécurité Qu'est ce que la sécurité? «Situation où l'on a aucun danger à craindre.» (dictionnaire Larousse)

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

Délibération. 13 Janvier 2005 - Thème(s) : Gestion du personnel. La Commission nationale de l'informatique et des libertés,

Délibération. 13 Janvier 2005 - Thème(s) : Gestion du personnel. La Commission nationale de l'informatique et des libertés, Accueil > En savoir plus > Délibérations > Délibération Délibération Norme simplifiée n 46 : Délibération n 2005-002 du 13 janvier 2005 portant adoption d'une norme destinée à simplifier l'obligation de

Plus en détail

Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine

Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine La présente charte définit les règles d usages et de sécurité que l Université de Lorraine

Plus en détail

Politique sur la protection des renseignements personnels

Politique sur la protection des renseignements personnels Page : 1 de 9 Émis : 2014-09-22 Note : Les textes modifiés d une politique existante sont identifiés par un trait vertical dans la marge de gauche. A. PRÉAMBULE La Charte des droits et libertés de la personne

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

Conditions Particulières de Maintenance. Table des matières. Ref : CPM-1.2 du 08/06/2011

Conditions Particulières de Maintenance. Table des matières. Ref : CPM-1.2 du 08/06/2011 Conditions Particulières de Maintenance Ref : Table des matières 1 CONDITIONS PARTICULIÈRES APPLICABLES AUX CONTRATS DE MAINTENANCE...2 1.1 Préambule...2 1.2 Obligations d'atreal et services rendus...2

Plus en détail

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée «Des acteurs non sensibilisés aux risques liés à l usage des technologies de

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments

Plus en détail

Politique de gouvernance et de gestion des ressources informationnelles

Politique de gouvernance et de gestion des ressources informationnelles Politique de gouvernance et de gestion des ressources informationnelles 1. Introduction La gouvernance et la gestion des ressources informationnelles au sein du gouvernement soulèvent des enjeux majeurs

Plus en détail

Politique de sécurité de l information

Politique de sécurité de l information 5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des

Plus en détail

Doc cctld 36-F. Original: anglais SECTEUR DE LA NORMALISATION DES TÉLÉCOMMUNICATIONS

Doc cctld 36-F. Original: anglais SECTEUR DE LA NORMALISATION DES TÉLÉCOMMUNICATIONS UNION INTERNATIONALE DES TÉLÉCOMMUNICATIONS SECTEUR DE LA NORMALISATION DES TÉLÉCOMMUNICATIONS PERIODE D ÉTUDES 2001-2004 Origine: Titre: Original: anglais Atelier sur les expériences des Pays Membres

Plus en détail

DEONTOLOGIE. Règles de bonne conduite. professionnelle et personnelle

DEONTOLOGIE. Règles de bonne conduite. professionnelle et personnelle DEONTOLOGIE Règles de bonne conduite professionnelle et personnelle Fonds de Réserve pour les Retraites 56 rue de Lille 75007 Paris Tel : 01 58 50 99 12 Fax : 01 58 50 05 33 www.fondsdereserve.fr Le Président

Plus en détail

CHARTE INFORMATIQUE. Bon usage des moyens informatiques et du réseau des prestations de l association Comput Yourself

CHARTE INFORMATIQUE. Bon usage des moyens informatiques et du réseau des prestations de l association Comput Yourself CHARTE INFORMATIQUE Bon usage des moyens informatiques et du réseau des prestations de l association Comput Yourself Ce texte, bien qu ayant un caractère réglementaire, est avant tout un code de bonne

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Les principes de la sécurité

Les principes de la sécurité Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes

Plus en détail

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4 Catalogue de critères pour la reconnaissance de plateformes alternatives Annexe 4 Table des matières 1 Objectif et contenu 3 2 Notions 3 2.1 Fournisseur... 3 2.2 Plateforme... 3 3 Exigences relatives à

Plus en détail

Loi sur le guichet sécurisé unique (LGSU)

Loi sur le guichet sécurisé unique (LGSU) 28 septembre 2004 Loi sur le guichet sécurisé unique (LGSU) Etat au 1 er janvier 2011 Le Grand Conseil de la République et Canton de Neuchâtel, sur la proposition du Conseil d'etat, du 11 août 2004, décrète:

Plus en détail

Fiche méthodologique Rédiger un cahier des charges

Fiche méthodologique Rédiger un cahier des charges Fiche méthodologique Rédiger un cahier des charges Plan de la fiche : 1 : Présentation de la fiche 2 : Introduction : les grands principes 3 : Contenu, 1 : positionnement et objectifs du projet 4 : Contenu,

Plus en détail

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations DDN/RSSI Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations Page 1 10/03/2015 SOMMAIRE. Article I. Définitions...3 Section I.1 Administrateur...3 Section

Plus en détail

Conditions Particulières applicables aux Contrats de Maintenance du Logiciel

Conditions Particulières applicables aux Contrats de Maintenance du Logiciel Conditions Particulières applicables aux Contrats de Maintenance du Logiciel Ref : Table des matières 1 CONDITIONS PARTICULIÈRES APPLICABLES AUX CONTRATS DE MAINTENANCE...2 1.1 Préambule...2 1.2 Obligations

Plus en détail

Pour la gestion du personnel Norme simplifiée n 46

Pour la gestion du personnel Norme simplifiée n 46 Pour la gestion du personnel Norme simplifiée n 46 1. Les finalités suivantes : La gestion administrative des personnels : gestion du dossier professionnel des employés, tenu conformément aux dispositions

Plus en détail

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Charte informatique Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Préambule L'entreprise < NOM > met en œuvre un système d'information et

Plus en détail

Directive de sécurité

Directive de sécurité Préparé et sous la responsabilité du Secrétariat Approuvé le : 20 février 2014 à la séance du Comité exécutif Mis à jour le : s/o Par : Catherine Bolduc, Secrétaire adjoint de l Ordre Table des matières

Plus en détail

REPUBLIQUE FRANCAISE. INSTITUT NATIONAL DE LA RECHERCHE AGRONOMIQUE 147, Rue de l Université 75338 PARIS CEDEX 07 Tél.

REPUBLIQUE FRANCAISE. INSTITUT NATIONAL DE LA RECHERCHE AGRONOMIQUE 147, Rue de l Université 75338 PARIS CEDEX 07 Tél. REPUBLIQUE FRANCAISE INSTITUT NATIONAL DE LA RECHERCHE AGRONOMIQUE 147, Rue de l Université 75338 PARIS CEDEX 07 Tél. : 01 42 75 90 00 DIRECTION DU SYSTÈME D INFORMATION Note de service N 2008-51 du 13

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES REPUBLIQUE FRANÇAISE PREMIER MINISTRE Secrétariat Général de la Défense Nationale N 730/ SCSSI Issy-les-Moulineaux, le 13 janvier 1997 GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS

Plus en détail

Charte utilisateur pour l usage de ressources. informatiques et de services Internet de. l Observatoire Océanologique de Banyuls-sur-mer

Charte utilisateur pour l usage de ressources. informatiques et de services Internet de. l Observatoire Océanologique de Banyuls-sur-mer Approbation de la charte informatique de l OOB Charte utilisateur pour l usage de ressources informatiques et de services Internet de l Observatoire Océanologique de Banyuls-sur-mer Approuvé par le Conseil

Plus en détail

Manuel Qualité. Toutes les activités de l ICEDD sont dans le domaine d application du référentiel ISO 9001 :2000.

Manuel Qualité. Toutes les activités de l ICEDD sont dans le domaine d application du référentiel ISO 9001 :2000. Manuel 1 Objectif Décrire brièvement l organisation du système mis en place à l ICEDD afin de démontrer le respect des exigences de la norme ISO 9001 : 2000. Accessoirement, cela peut faciliter la recherche

Plus en détail

Mandats attribués à des entreprises externes

Mandats attribués à des entreprises externes Mandats attribués à des entreprises externes Directive DIT-17 Champ d application : Université 1 Buts Le but de cette directive est de rendre les entreprises externes attentives à la législation à laquelle

Plus en détail

SQ 901 Indice D. Application Ferroviaire Spécification Qualité EXIGENCES EN MATIERE DE SYSTEME DE MANAGEMENT DE LA QUALITE ET DE PLAN QUALITE

SQ 901 Indice D. Application Ferroviaire Spécification Qualité EXIGENCES EN MATIERE DE SYSTEME DE MANAGEMENT DE LA QUALITE ET DE PLAN QUALITE SQ 901 Indice D Application Ferroviaire Spécification Qualité OBTENTION DE LA QUALITE DES PRODUITS ACHETES PAR LA SNCF EXIGENCES EN MATIERE DE SYSTEME DE MANAGEMENT DE LA QUALITE ET DE PLAN QUALITE Édition

Plus en détail

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (89) 2 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (89) 2 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (89) 2 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES SUR LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL UTILISÉES À DES FINS D'EMPLOI 1 (adoptée

Plus en détail

Directive de sécurité

Directive de sécurité Fournisseurs de service d externalisation aux notaires Préparé et sous la responsabilité du Secrétariat de l Ordre Approuvé le : 20 février 2014 à la séance du Comité exécutif Mis à jour le : 18 novembre

Plus en détail

Profils de professions liées à Internet : Responsable Web Marketing

Profils de professions liées à Internet : Responsable Web Marketing ! Profils de professions liées à Internet : Responsable Web Marketing Responsable Web Marketing! 3 1. Description du métier! 3 2. Profil! 4 2.1 Résumé du profil! 4 2.2 Profil détaillé! 5 Responsable Web

Plus en détail

Politique de gestion documentaire

Politique de gestion documentaire Politique de gestion documentaire L application de cette politique est sous la responsabilité du cadre de direction qui remplit les fonctions de secrétaire général Adopté par le conseil d administration

Plus en détail

CHARTE INFORMATIQUE. Usage de ressources informatiques et de service Internet

CHARTE INFORMATIQUE. Usage de ressources informatiques et de service Internet CHARTE INFORMATIQUE Usage de ressources informatiques et de service Internet Le développement des ressources informatiques sur les districts et sur les navires ravitailleurs des districts des TAAF résulte

Plus en détail

Fiche de l'awt Rédiger un cahier des charges

Fiche de l'awt Rédiger un cahier des charges Fiche de l'awt Rédiger un cahier des charges Quels sont les éléments principaux dont il faut tenir compte pour la rédaction d'un cahier des charges dans le cadre d'un projet lié aux TIC (technologies de

Plus en détail

REFERENTIEL IN2P3 CONDUITE DE PROJETS

REFERENTIEL IN2P3 CONDUITE DE PROJETS REFERENTIEL IN2P3 CONDUITE DE PROJETS Gestion de la configuration Mis à jour en mars 2008 Table des matières 1- Synthèse...3 2- Principes généraux relatifs à la gestion de configuration...5 2.1. Quelques

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Prénom Nom : Signature : Date : Service : Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur des entités, a pour objet de préciser la responsabilité

Plus en détail

Politique de gestion documentaire

Politique de gestion documentaire Politique de gestion documentaire Responsabilité de gestion : Secrétariat général Date d approbation : 24 avril 1979 C.A. C.E. Direction générale Direction Date d'entrée en vigueur : 24 avril 1995 Date

Plus en détail

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO/CEI 27001:2005 ISMS -Information Security Management System ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002

Plus en détail

Charte d utilisation. des moyens informatiques. de l'université de la Polynésie Française

Charte d utilisation. des moyens informatiques. de l'université de la Polynésie Française Charte d utilisation des moyens informatiques de l'université de la Polynésie Française 1. Préambule La présente charte est avant tout un code de bonne conduite. Elle a pour objet de préciser la responsabilité

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

Charte régissant l'usage du système d information par les personnels du ministère de l éducation nationale

Charte régissant l'usage du système d information par les personnels du ministère de l éducation nationale Charte régissant l'usage du système d information par les personnels du ministère de l éducation nationale DGRH Version du 21/08/2008 1/ 9 Sommaire Article I. Champ d'application...4 Article II. Conditions

Plus en détail

conséquence, en cas d'une alarme pour les biens, d'une intrusion non permise ou d'une tentative, ou en cas d'une alarme pour les personnes, d'un

conséquence, en cas d'une alarme pour les biens, d'une intrusion non permise ou d'une tentative, ou en cas d'une alarme pour les personnes, d'un 25 AVRIL 2007. - Arrêté royal fixant les conditions d'installation, d'entretien et d'utilisation des systèmes d' et de gestion de centraux d' ALBERT II, Roi des Belges, A tous, présents

Plus en détail

CONVENTION D'UTILISATION SERVICE E-PAYMENT

CONVENTION D'UTILISATION SERVICE E-PAYMENT CONVENTION D'UTILISATION SERVICE E-PAYMENT Objectif du document : Une convention d'utilisation est un contrat spécifique à un service qui stipule les conditions liées à l'utilisation d'un service spécifique

Plus en détail

Spécifications de l'offre Surveillance d'infrastructure à distance

Spécifications de l'offre Surveillance d'infrastructure à distance Aperçu du service Spécifications de l'offre Surveillance d'infrastructure à distance Ce service comprend les services Dell de surveillance d'infrastructure à distance (RIM, le «service» ou les «services»)

Plus en détail

Fiche de l'awt Plate-formes d'intermédiation

Fiche de l'awt Plate-formes d'intermédiation Fiche de l'awt Plate-formes d'intermédiation Présentation de solutions techniques mises en oeuvre dans le cadre des plate-formes d'intermédiation, notamment sur base du standard XML Créée le 14/05/01 Modifiée

Plus en détail

Règles de certification des systèmes de management d'entreprise ISO 14001 ISO 9001

Règles de certification des systèmes de management d'entreprise ISO 14001 ISO 9001 Règles de certification des systèmes de management d'entreprise ISO 14001 ISO 9001 Revision du 03/06/2008 Règles de certification des système de management d entreprise ISO 14001-ISO 9001 1/12 Révision

Plus en détail

Version control please always check if you re using the latest version Doc. Ref. : isms.001.isp. fr v1.10

Version control please always check if you re using the latest version Doc. Ref. : isms.001.isp. fr v1.10 ISMS (Information Security Management System) Politique de sécurité de l'information (Information Security Policy) 2015 Version control please always check if you re using the latest version Doc. Ref.

Plus en détail

Politique de sécurité

Politique de sécurité Politique de sécurité 1. Environnement Un CPAS dépend pour son bon fonctionnement d'un ensemble d'éléments: - de son personnel et son savoir-faire (expérience); - de ses informations (données sociales,

Plus en détail

MANUEL DE MANAGEMENT DE Edition 6 LA QUALITE ET DE LA SECURITE Ind B Février 2014

MANUEL DE MANAGEMENT DE Edition 6 LA QUALITE ET DE LA SECURITE Ind B Février 2014 MANUEL DE MANAGEMENT DE Edition 6 LA Février 2014 DIFFUSION INTERNE CONTROLEE Rédaction Valérie MINSENTI Responsable Management de la Qualité et de la Sécurité Date : 18/02/14 Visa : Approbation M. Vincent

Plus en détail

Charte d éthique pour la vidéo protection

Charte d éthique pour la vidéo protection Charte d éthique pour la vidéo protection La vidéo protection est un dispositif mis au service de la politique de sécurité et de prévention de la Ville du Perreux-sur-Marne. Ses objectifs sont de prévenir

Plus en détail

Ouverture de l appel : 04 Septembre 2015 Clôture de l appel : 18 Septembre 2015 ---------- AMI N 33.2015

Ouverture de l appel : 04 Septembre 2015 Clôture de l appel : 18 Septembre 2015 ---------- AMI N 33.2015 Conseil Ouest et Centre Africain pour la Recherche et le Développement Agricoles West and Central African Council for Agricultural Research and Development APPEL A MANIFESTATION D INTERET ------------------------

Plus en détail

Securité de l information :

Securité de l information : Information Security Guidlines Securité de l information : (Politique:2013.0020) Responsabilité de l utilisateur final à propos de la politique " du bureau propre et de l écran vide" Version control please

Plus en détail

Quadra Entreprise On Demand

Quadra Entreprise On Demand Quadra Entreprise On Demand LS -Quadra Entrepriset OD- 11/2013 ARTICLE 1 : DEFINITIONS LIVRET SERVICE QUADRA ENTREPRISE ON DEMAND Les termes définis ci-après ont la signification suivante au singulier

Plus en détail

CERTIFICAT D ACCREDITATION ET DOMAINE D APPLICATION D UNE ACCREDITATION : Lignes directrices générales pour la formulation et l évaluation

CERTIFICAT D ACCREDITATION ET DOMAINE D APPLICATION D UNE ACCREDITATION : Lignes directrices générales pour la formulation et l évaluation BELAC 2-002 Rev 2-2014 CERTIFICAT D ACCREDITATION ET DOMAINE D APPLICATION D UNE ACCREDITATION : Lignes directrices générales pour la formulation et l évaluation Les dispositions de la présente procédure

Plus en détail

Règles relatives à la qualification des produits de sécurité par la DCSSI

Règles relatives à la qualification des produits de sécurité par la DCSSI Secrétariat général de la défense nationale Paris, le 26 février 2004 N 000451/SGDN/DCSSI/SDR Direction centrale de la sécurité des systèmes d information Règles relatives à la qualification des produits

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Pré-requis Diplôme Foundation Certificate in IT Service Management. Ce cours apporte les connaissances nécessaires et les principes de gestion permettant la formulation d une Stratégie de Services IT ainsi que les Capacités organisationnelles à prévoir dans le cadre d

Plus en détail

MANUEL DE MANAGEMENT DE LA QUALITE. «Votre satisfaction est notre objectif, chacun de son poste est le garant de son application»

MANUEL DE MANAGEMENT DE LA QUALITE. «Votre satisfaction est notre objectif, chacun de son poste est le garant de son application» MANUEL DE MANAGEMENT DE LA QUALITE «Votre satisfaction est notre objectif, chacun de son poste est le garant de son application» SOMMAIRE 1. INTRODUCTION... 4 1.1. Généralités... 4 1.2. Domaine d application...

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

Sécurité des ordinateurs portables

Sécurité des ordinateurs portables ISMS (Information Security Management System) Sécurité des ordinateurs portables 2009 Version control please always check if you re using the latest version Doc. Ref. : isms.025.laptop Release Status Date

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur de l Observatoire de Paris (désigné dans la suite comme l Établissement) et ceux de ses

Plus en détail

RECOMMANDATIONS EN TERME DE SECURITE POUR LA MISE EN PLACE DE SERVICES INTRANET - INTERNET D ÉTABLISSEMENTS SCOLAIRES ET D ÉCOLES (S2i2e) PREAMBULE

RECOMMANDATIONS EN TERME DE SECURITE POUR LA MISE EN PLACE DE SERVICES INTRANET - INTERNET D ÉTABLISSEMENTS SCOLAIRES ET D ÉCOLES (S2i2e) PREAMBULE RECOMMANDATIONS EN TERME DE SECURITE POUR LA MISE EN PLACE DE SERVICES INTRANET - INTERNET D ÉTABLISSEMENTS SCOLAIRES ET D ÉCOLES (S2i2e) PREAMBULE La généralisation de l utilisation des réseaux, l interconnexion

Plus en détail

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS Février 2015 SOMMAIRE 1. INTRODUCTION... 3 2. PÉRIMÈTRE... 4 3. MISE EN OEUVRE... 5 4. PRÉSENTATION DES OBJECTIFS DE SÉCURITÉ...

Plus en détail

Principes de base et aspects techniques

Principes de base et aspects techniques HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO27001 / ISO27002 Principes de base et aspects techniques

Plus en détail

ISO 27002 // Référentiels de la santé

ISO 27002 // Référentiels de la santé ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0 Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en

Plus en détail

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET Glossaire La terminologie propre au projet, ainsi que les abréviations et sigles utilisés sont définis dans le Glossaire. Approbation Décision formelle, donnée

Plus en détail

Code d'ethique des Métiers de la Sécurité des Systèmes d'information

Code d'ethique des Métiers de la Sécurité des Systèmes d'information Code d'ethique des Métiers de la Sécurité des Systèmes d'information CLUB DE LA SECURITE DES SYSTEMES D INFORMATION FRANCAIS 11 rue de Mogador 75009 Paris - Tél : 01 53 25 08 80 Fax : 01.53 25 08 88 email

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES 1 FINALITÉ 1 Soutien à la communication et aux relations internes et externes L assistant facilite la communication à tous les niveaux (interpersonnel,

Plus en détail

Offre d emploi. Profil de fonction

Offre d emploi. Profil de fonction Offre d emploi Profil de fonction CONSEILLER(ÈRE) - GESTIONNAIRE DE PROJET (m/f) Service Infor Gaz et Electricité / Collectif Solidarité Contre l'exclusion asbl. 1 Contexte de la fonction Référence : CGP

Plus en détail

Contrôle interne et organisation comptable de l'entreprise

Contrôle interne et organisation comptable de l'entreprise Source : "Comptable 2000 : Les textes de base du droit comptable", Les Éditions Raouf Yaïch. Contrôle interne et organisation comptable de l'entreprise Le nouveau système comptable consacre d'importants

Plus en détail