Politque de sécurité des systèmes d information

Transcription

1 Syndicat Intercommunal de Gestion Informatique Edition n 3 Avril 2008 Politque de sécurité des systèmes d information

2 01 SIGIedito Editorial Le Ministère de l Économie et du Commerce extérieur synchronise ses efforts de sensibilisation et de prévention dans le domaine de la sécurité de l information avec le Sigi pour pouvoir faire profiter pleinement les communes ainsi que les citoyens des potentialités offertes par la société de l information. Jeannot Krecké Ministre de l Économie et du Commerce extérieur Ministre des Sports Tout comme le gouvernement, les communes, à travers le SIGI, investissent activement depuis un certain temps dans la modernisation de leurs services ainsi que dans la mise à disposition de ces services sur Internet. De cette modernisation résulte le besoin de gérer des grands volumes de données sensibles, souvent à caractère personnel, ce qui impose un haut niveau de sécurité. Un management consciencieux de la sécurité, fondé sur les standards modernes, s impose afin de pouvoir garantir le niveau de confidentialité, d intégrité et de disponibilité dont tant les citoyens que les communes ont besoin. L enjeu de la confiance, la responsabilité du mandat, la volonté, mais aussi la nécessité de constamment améliorer la qualité de service et d augmenter la panoplie des services offerts suggère l adoption d une démarche commune dans le domaine de la sécurité de l information. Même si la qualité des systèmes d information du SIGI, mais également ceux des communes ne sont pas à remettre en cause, ils demeurent néanmoins exposés et potentiellement vulnérables aux attaques informatiques toujours plus nombreuses et plus sophistiquées. Ainsi, au niveau mondial, les incidents de sécurité ayant pu conduire à la divulgation, la corruption ou la perte pure et simple de données sensibles, ont connu ces dernières années une progression exponentielle. Les conséquences directes de ces incidents peuvent être évaluées en termes de coûts financiers ou d heures de travail perdues, mais également en termes de perte d image et de perte de confiance de la part des clients. Je me félicite donc de pouvoir annoncer la collaboration entre la structure CASES du Ministère de l Economie et du Commerce extérieur et les services du SIGI et bien-sûr ceux des communes. Forts de nos compétences, de notre savoir-faire, nous pourrons rallier nos forces pour élaborer et déployer des bonnes pratiques et mettre en place des systèmes de management de la sécurité, basés sur les standards tels que l ISO/IEC Jeannot Krecké SIGIindex 01 SIGIedito Editorial 02 SIGIapproved Construisons l avenir ensemble Politique de sécurité des systèmes d information Textes on page 1: Le Monde (21 novembre 2007), The Times (November 21, 2007). Illustrations on page 3, 4 and 5: Tom Nulens. Photos credits on page 2: SIP. Photos credits on page 3 and 4: Claudine Bosseler. Photos credits on page 7 and 8: René Mansi. Layout: Niche Guardian SIGIflash «A César ce qui appartient à César» 06 SIGIsecurity La sécurité, une des pierres angulaires du Datacenter

3 02 SIGIapproved Construisons l avenir ensemble Le SIGI et la structure CASES du Ministère de l Economie et du Commerce extérieur s unissent pour une alliance solide de compétences complémentaires. Les diverses fusions dans le processus de modernisation ont entraîné une redéfinition complète de la sécurité. Face aux problèmes de l espionnage industriel et des intérêts divergeant des différents états, on se sent rapidement vulnérable, même avec les meilleurs spécialistes à ses côtés. C est pourquoi l initiative du ministère de l économie revêt une telle importance pour notre pays. La sécurité dépend davantage de notre comportement que de la technologie mise en place, car bon nombre d intrusions sont le fait de personnes astucieuses, qu on ne peut contrer qu avec professionnalisme et organisation. J attends de notre collaboration avec le ministère de l économie d aboutir à une meilleure protection des données de nos concitoyens. L initiative est d autant plus importante qu il y a des organismes publics connectés On peut en effet parler de symbiose! Carlo Gambucci Carlo Gambucci (gauche) Attaché de Direction SIGI François Thill (droite) Direction du commerce électronique et de la sécurité informatique Ministère de l Économie Politique de sécurité des systèmes d information Une nécessité pour toute administration communale responsable, qui traite en bon père de famille les données personnelles de ses citoyens. Chaque jour, au sein de toute administration communale, quantité d informations sont traitées, stockées, échangées et partagées. Parmi celles-ci, une grande majorité sont des données à caractère personnel sur les administrés et le personnel: nom, prénom, adresse, état civil, profession, numéros de carte d identité et de comptes bancaires, etc. Ces informations, de par leur «nature», sont susceptibles de porter atteinte aux droits et aux libertés des personnes concernées. Nous devons être certains que tout est mis en œuvre pour assurer la protection de ces données. Depuis les années 80, l avènement des nouvelles technologies de l information et de la communication (NTIC) - laptop, Blackberry, Wi-Fi, etc. ajouté au taux de pénétration de l internet toujours plus élevé, a profondément changé la donne en matière de sécurité des systèmes d information (SSI). Cette évolution technologique frénétique remet en cause les stratégies traditionnelles de défense. À l heure actuelle, le système d information (SI) est indispensable à la pérennité de tout organisme. Les informations, une valeur à protéger Bien que les informations à caractère personnel soient immatérielles, elles sont précieuses et, à ce titre, doivent être protégées. Le traitement de ce type de données est régi par la loi modifiée du 2 août 2002 relative à la protection des personnes à l égard du traitement des données à caractère personnel, dont l objectif est de protéger la vie privée des personnes physiques.

4 03 Les quatre «pierres angulaires» de la sécurité des systèmes d information (SSI) On considère que l information ne court aucun danger si l on respecte quatre principes, souvent nommés les «pierres angulaires» de la SSI: Confidentialité: garantie que seules les personnes autorisées aient accès aux informations. Disponibilité: garantie qu une information (ou une ressource) est disponible au moment voulu et en quantité prévue par les personnes autorisées. Intégrité: garantie qu une information (ou ressource) n a subi ni modification ni destruction volontaire ou accidentelle. Traçabilité ou non-répudiation de l information: garantie de pouvoir retracer toutes les étapes du cycle de vie d une information. Ainsi, dans le cas d un courrier électronique, on pourra vérifier l expéditeur et le destinataire. Connaître les risques, c est s en prémunir! Le risque repose sur trois facteurs étroitement liés et entraîne une réaction en chaîne. Il s agit d un danger plus ou moins probable dû à une menace qui, en exploitant une vulnérabilité, a une incidence. La menace incarne ce que l on craint, c est-à-dire un danger potentiel latent qu on ne peut véritablement contrer. La vulnérabilité représente une lacune des ressources susceptible d être exploitée par une ou des menaces. L incidence, ce sont les conséquences de l exploitation d une vulnérabilité par une menace. L information est soumise à diverses menaces susceptibles de l altérer ou de la détruire, de la révéler à des tiers non autorisés ou d entraver sa disponibilité. Ces menaces peuvent être volontaires (attaques délibérées) ou involontaires (incendie, négligence, etc.), d origine humaine (le fait du personnel ou de cybercriminels) ou matérielle (panne intermittente ou totale des outils de travail), externes ou internes. Or, il est difficile, voire impossible, de contrer ces menaces. La solution consiste donc à atténuer la vulnérabilité des systèmes. Prenons l exemple concret d un employé qui n aurait pas mis son antivirus à jour (rendant son ordinateur vulnérable). Un virus présent sur la Toile (menace) profite de cette vulnérabilité pour contaminer l ordinateur, entraînant la perte totale et irrémédiable des données confidentielles (incidence). Le simple oubli de l employé entraîne pour l organisme des pertes financières, porte atteinte à sa réputation et lui fait courir le risque de procès. La plupart des risques - arrêt momentané de service, données perdues ou altérées, divulgation d informations confidentielles, usurpation d identité, etc. - peuvent être anticipés. L objectif d une politique de sécurité des systèmes d information (PSSI) est de mettre en œuvre des solutions de sécurité permettant de les contrer ou, tout au moins, d en réduire l incidence. «L adoption d une PSSI pour protéger les données traduit la volonté de reconnaître explicitement l importance et la valeur des informations détenues et la disposition des acteurs concernés à prendre tout les mesures possibles et réalisables afin de protéger les administrés et leur personnel. Elle traduit également la reconnaissance des enjeux de la sécurité.»

5 04 Des enjeux de taille La PSSI relève de la vision stratégique de l administration communale et traduit l engagement entier du bourgmestre et du collège échevinal. «Protéger les données, c est protéger ses administrés et son personnel» L adoption d une PSSI pour protéger les données traduit la volonté de reconnaître explicitement l importance et la valeur des informations détenues et la disposition des acteurs concernés à prendre tout les mesures possibles et réalisables afin de protéger les administrés et leur personnel. Elle traduit également la reconnaissance des enjeux de la sécurité. Le non-respect de ce que l on appelle les «pierres angulaires» peut avoir des conséquences fâcheuses. Atteinte à la réputation, à l image de marque Il faut des années pour bâtir une solide réputation et un simple scandale peut la détruire. La divulgation de données personnelles et confidentielles portant atteinte à la vie privée d un administré peut entraîner un recours en justice et gravement entacher l image de l administration. En mettant tout en œuvre pour protéger les données à caractère personnel, le bourgmestre et le collège échevinal honorent la confiance que les administrés et le personnel leur accordent. Pertes financières Bien que l insécurité soit difficile à évaluer, les incidents et les dysfonctionnements qu elle entraîne ont assurément un coût, qui représente des dépenses supplémentaires qui pourraient être affectées à meilleur escient. Conséquences juridiques Comme nous l avons vu, la mise en place d une PSSI s inscrit dans un cadre législatif et règlementaire destiné notamment à protéger le droit à la vie privée. Dans ce contexte, la responsabilité civile et pénale des dirigeants peut être engagée, et ce même en cas d erreur ou de transgression d un employé (utilisation de logiciels copiés, diffamation, détournement d informations confidentielles, etc.). «La sécurité, c est 20% de technique et 80% d organisation» Meilleure organisation Une PSSI n est pas une charge complexe réservée aux techniciens et aux spécialistes: elle incombe aux dirigeants. En effet, une PSSI, en constante évolution, repose sur le cadre organisationnel de tous les organismes et permet de structurer la méthode de travail et de définir les responsabilités de chacun. Elle améliore sensiblement l organisation. Gérer en «bon père de famille» La loi du 2 août 2002 impose la préservation de la sécurité des données à caractère personnel et est assortie de sanctions administratives et pénales. Tout chef d administration ou entreprise doit faire en sorte que les mesures nécessaires soient prises pour prévenir les conséquences juridiques liées, par exemple, à un acte involontaire ou délictueux commis par le personnel ou une attaque extérieure. Le chef de l administration ou de l entreprise, en tant que «dirigeant», doit la gérer avec prudence et prévoyance. Pascal Steichen Ministère de l Économie et du Commerce extérieur Chargé de mission CASES/LuxTrust Aujourd hui, on ne peut plus excuser une erreur ou un incident par le fait qu on n était pas au courant. En cas d usurpation d identité, d atteinte à la vie privée, de dysfonctionnement des services administratifs, volontaire ou non, l administration est responsable, si pas légalement, au moins aux yeux des citoyens. Le SIGI est CASES sont à votre disposition pour mettre en place une PSSI. Glossaire Politique de sécurité des systèmes d information (PSSI): plan évolutif et stratégique d actions dont l objectif est de conserver, de rétablir, de garantir et d améliorer la SSI de l organisme. Sécurité des systèmes d information (SSI): moyens techniques, organisationnels, juridiques et humains sous la forme de directives, de procédures et de règlements nécessaires à l instauration d une PSSI. Système d information (SI): ensemble des ressources tant humaines (personnel) que matérielles (postes informatiques, réseaux, applications) permettant de collecter, de stocker, de traiter et de diffuser des informations.

6 05 SIGIflash «A César ce qui appartient à César» La carte d impôt est un document légal important propre à chaque citoyen. Aujourd hui, elle constitue un des liens essentiels et incontournables qui responsabilisent chaque citoyen à sa contribution personnelle directe à l économie de son pays. Grâce à GESCOM 2.2, la gestion des cartes d impôt est devenue très conviviale, simple et efficace pour le fonctionnaire communal, ce qui permet au service «population» d une commune d offrir des services rapides et dynamiques au citoyen moderne. En fait, GESCOM 2.2 recueille toutes les signalétiques d impositions législatives imposées par l État. Cette application fait parfaitement la conjugaison entre l «environnement législatif imposable» et «la situation» du citoyen. Grâce à ses deux éléments incontournables, GESCOM 2.2. calcule et attribue au citoyen une classe d impôt suivant son état civil. Principe de fonctionnement Claude Hastert Les cartes d impôt sont émises au mois de janvier par l administration communale sur la base des données fournies par les citoyens lors du recensement fiscal du 15 octobre. Pour recevoir une carte d impôt en début d année, il faut donc remplir correctement le recensement fiscal du 15 octobre. Dés le début de l année l administration communale se charge de faire parvenir les cartes d impôt aux citoyens. Le salarié ou le retraité qui reçoit sa carte d impôt est prié de vérifier l exactitude des données qu elle mentionne et de la remettre, le cas échéant, à son employeur ou à sa caisse de pension. «La gestion des cartes d impôt sur GESCOM 2.2. est vraiment très conviviale pour l administration communale. Le nouveau système est performant et nous permet de prévisualiser les cartes avant impression, ce qui n était pas le cas avant. Enfin, j apprécie tout particulièrement l organisation pratique au début de l année en diverses catégories d impression, qui nous fait gagner du temps précieux et nous permet de garantir un service de qualité à nos concitoyens.» Yves THILL Bureau de la Population Administration communale de Strassen Pour certaines caisses de pension, la carte d impôt est envoyée directement à la caisse par la commune. La plupart du temps, en cas de changement dans la situation du citoyen, c est le bureau de la population qui se charge d apporter les modifications à la carte. Toutefois, dans certains cas (p.ex. changement du forfait kilométrique en cas de changement d employeur ou de résidence), c est l Administration des contributions qui est compétente. En conclusion, le module de gestion des cartes d impôt est une application dynamique, ce qui constitue l atout de GESCOM, et regroupe sur une plateforme unique tous les métiers clés d une administration communale efficace. Claude Hastert 15 octobre Formulaires Recensement fiscal 15 novembre au 15 décembre Contrôles et mise à jours dans GESCOM Nuit du 31 décembre au 1 janvier GESCOM calcul et produit les nouvelles cartes d impôts 2 janvier Nouvelles Cartes d Impôts disponible

7 06 SIGIsecurity La sécurité, une des pierres angulaires du Datacenter Le partenariat entre le SIGI et Conostix porte ses fruits. Le projet de mise en place du nouveau datacenter du SIGI est en passe de se terminer. Ce projet a été pour Conostix l occasion de démontrer ses compétences en matière de conception et d implémentation de la sécurité dans de grandes infrastructures. Dés les débuts du projet, nos équipes respectives ont fait preuve de l ouverture d esprit nécessaire au bon déroulement des opérations. La mise en commun des compétences nous a permis de mettre en place une sécurité innovatrice et «best-inclass». Pour mener à bien cette tâche, nous nous sommes souvent laisser guider par le bon sens. Fort de notre expérience en matière de sécurisation des réseaux ainsi que de nos différents rôles de conseils dans le cadre de la sécurité des réseaux bancaires, nous nous engageons d aider le SIGI à maintenir le niveau de sécurité nécessaire à ses services. L infrastructure mise en place offre de nouvelles possibilités techniques qui permettront de développer les services rendus par le futur portail, orientés vers les nouvelles technologies de l information et de la communication liées à l internet. L infrastructure en réseau utilisée dans le cadre de tous ces nouveaux services repose sur les bonnes pratiques permettant d offrir la meilleure sécurité et les garanties de disponibilité nécessaires. William Robinet Construisons l Avenir Ensemble SIGIapproved

8 Ne vous cachez pas, notez dès à présent la date du 2 juillet 2008 dans vos agendas! Dans la prochaine édition du SIGIVIEW vous trouverez le calendrier complet des exposés et des démonstrations «live» des nouvelles applications et des nouveaux services aux communes. Les invitations seront envoyées dans les prochaines semaines. Des surprises innovantes et uniques, jamais présentées au Luxembourg vous attendent! SIGIday 2008 Syndicat Intercommunal de Gestion Informatique 6, rue de l Etang L-5326 Contern Tél Fax view@sigi.lu