Politique d'utilisation des dispositifs mobiles

Transcription

1 ISMS (Information Security Management System) Politique d'utilisation des dispositifs mobiles Version control please always check if you are using the latest version. Doc. Ref. :isms.0046.politique utililisation des dispositif mobiles.fr.v.1.0.docx Release Status Date Written by Edited by Approved by FR_0.2 Draft 26/11/2012 Alain Houbaille FR_1.0 Final 12/03/2012 Alain Houbaille Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes : messieurs Bochart (BCSS), Costrop (Smals), Lévêque (ONVA), Houbaille (BCSS), Petit (FMP), Perot (ONSS), Quewet (SPF Santé publique), Symons (ONEm), Van Cutsem (ONSS-APL), Van der Goten (INAMI).

2 TABLE DES MATIÈRES 1. INTRODUCTION SCOPE GROUPE CIBLE DIRECTIVES GÉNÉRALITÉS ORGANISATION POLITIQUE DE SÉCURITÉ SANCTIONS PROPRIÉTAIRE DU DOCUMENT RÉFÉRENCES ANNEXE A: LIEN AVEC LA NORME ISO P 2

3 1. Introduction L usage des nouveaux dispositifs mobiles tels que smartphones, tablettes, etc, dans le cadre professionnel doit respecter certaines règles de sécurité. En effet, suivant les normes minimales de la Banque Carrefour de la sécurité sociale, toute organisation doit prendre les mesures adéquates afin de se protéger des risques liés à l utilisation de ce type d appareillage. Le présent document s appuie sur la politique de sécurité de Fedict relative à l usage de ces dispositifs mobiles où les risques identifiés sont les suivants : Perte d informations sensibles à la suite de vol ou de perte de l outil mobile ou lors du déclassement de celui-ci Divulgation d informations sensibles non intentionnelle Attaques liées aux codes malveillants tels que malware, spyware, Attaques liées à l utilisation d internet et de l , telles que le phishing Attaques provenant de réseau frauduleux Cette politique est d application pour toutes les institutions de la sécurité sociale. 2. Scope La présente politique contient les directives pour l'utilisation de ces outils mobiles destiné à toutes institutions de la sécurité sociale. 3. Groupe cible Elle s'applique à toutes les institutions dont les utilisateurs font usage de ce type de dispositifs mobiles dans le cadre professionnel et ceci est valable tant pour les solutions mobiles délivrés par l institution que pour les solutions mobiles privés. 4. Directives Ci-dessous figurent les directives d'utilisation afin de garantir la sécurité de l'information à la fois au niveau des données présentes sur l outil mobile et au niveau de son utilisation dans un contexte professionnel et privé. La présente politique est généralement associée à une politique en matière de gestion des outils mobiles. Cette politique doit effectivement être formalisée par l institution, ainsi que tout document contractuel qui lie l utilisateur et l institution lors de l usage de dispositif mobile dans le cadre du travail. Le terme "outil mobile" ou «dispositif mobile» comprend également les tablettes, les netbooks, les smartphones et tout autre ordinateur ou appareillage de télécommunication pouvant être utilisé en dehors de l institution. 1 1 Par dispositifs mobiles, il y a lieu d'entendre en premier lieu les smartphones et tablets qui ont recours à un système d'exploitation mobile tel que Google OS (Android), ios, Windows Mobile, Palm OS, Blackberry OS,... P 3

4 4.1. Généralités 1. La politique de l institution en matière de sécurité de l'information reste intégralement d'application dans ce contexte. 2. La présente politique s'applique à tous les utilisateurs qui accèdent aux ressources de l institution avec ce type d appareillage. 3. Le niveau d exigence sécuritaire embarqué sur ce type d appareillage dépendra de la criticité des données potentiellement accessibles. 4. L emploi d appareils privés à des fins professionnelles ne peut être envisagé qu aux conditions suivantes : a. L institution est tenue de déterminer les besoins légitimes et le degré de confiance qu elle accorde à son utilisateur final, basé sur une analyse de risques liés à l utilisation des données accédées; b. l institution a les garanties suffisantes que les dispositifs mobiles privés ont un niveau de sécurité équivalent à ceux délivrés par l institution ; c. l institution assure que le niveau d accès aux données de l institution via ce type d appareillage ne peut se faire que selon le principe suivant: «Afin d assurer la sécurité des données de l institution, le niveau d exigence sécuritaire demandé sera toujours proportionnel à la criticité des données» (cf.4.3.1); d. Le dispositif mobile privé de l utilisateur final doit être géré par l institution en accord avec les dispositions du tableau A. 2 e. Un agrément doit être proposé par l institution. 5. Dans la mesure où ces appareils peuvent être utilisés à la fois à des fins professionnelles et privées, le respect des règles de sécurité définies par l institution incombe à l utilisateur final. a. L'utilisateur doit toujours rester vigilant lorsque ces outils mobiles sont utilisés à des fins privées conformément aux présentes directives et aux directives spécifiques en matière de sécurité de l information. b. Tout utilisateur est le seul responsable de son usage. Sensibilisé aux risques liés à ce type d appareillage, surtout lorsqu il se connecte au système d information de l institution, l utilisateur s engage à respecter les règles de sécurité obligatoires afin d'éviter tout abus (p.ex. le téléchargement d'applications non autorisées, voir 4.3.1), toute perte ou le vol de l'information sensible. c. En cas de perte ou de vol, l'utilisateur en avertira immédiatement le service compétent, même s il s agit d un dispositif mobile «privé» utilisé dans le cadre professionnel. 6. L institution a le pouvoir de vérifier la conformité de la sécurité de ces appareils à distance afin de limiter les risques de sécurité liés aux outils mobiles. Afin de garantir son niveau de sécurité, l institution doit mettre en œuvre des contrôles en ce sens 3. Dans ce cadre, l institution n est nullement responsable des dégâts occasionnés, des coûts liés à la perte ou au vol de données privées. 7. L institution s engage à sensibiliser les utilisateurs aux bonnes pratiques d usage et à leurs responsabilités. 8. L institution s'engage à respecter la vie privée de l utilisateur. 2 Dans le cas où le dispositif mobile supporte une séparation logique des environnements privé et professionnel, le contrôle sera limité à la partie professionnelle. 3 Toujours sur base d un agrément mutuel. P 4

5 4.2. Organisation 1. Le service compétent de l institution est responsable de la bonne mise en œuvre de la politique de sécurité de l outil mobile. 2. Le support délivré par l institution ne s opère que sur les moyens dont elle a le contrôle ou la gestion. Ce support peut être sous-traité. 3. Pour tout utilisateur final désirant accéder l information de l institution au travers de ce type d appareillage, a. l institution délivrera à celui-ci la politique d utilisation et un aperçu de la politique de sécurité embarquée. b. Celui-ci signera l agrément de cette politique d utilisation et la conformité à la politique de sécurité. 4. En signant cet agrément, l'utilisateur se déclare d'accord avec les directives d'utilisation et il est tenu responsable de son utilisation. 5. A tout moment, l institution aura la capacité et le pouvoir de bloquer l accès à l information de l institution (données présentes sur le smartphone ou les ressources de l entreprise) et de supprimer les données. Cette directive doit être explicitement reprise dans l agrément Politique de sécurité 1. Comme décrit dans le point 4.1 généralités, la politique de sécurité embarquée sur les dispositifs mobiles dépend de la criticité des données accédées. Les tableaux ci-après résument les directives sécuritaires à implémenter en fonction des trois modèles techniques envisageables dans la gestion des dispositifs mobiles. A. Modèles techniques de gestion en fonction de la classification des données. Data classification Exemple Dispositif mobile sans gestion Dispositif avec mobile gestion Données publiques Site BCSS O O O Données internes de l entreprise Données confidentielles l entreprise de Données à caractère personnel Données sociales à caractère personnel Données médicales Stratégie interne, agenda contact, mail Plan comptable, DRP Dossier personnel RH A définir 6 O O N A définir O N A définir O 9 données RN N N O Données médicales N N O Dispositif mobile avec Environnements Séparés (Isolation 4 /VDI 5 ) 4 Isolation: dispositif permettant de créer des environnements strictement séparés (professionnel et privé) sur un terminal mobile ou le contrôle par l'employeur se limite uniquement qu'à la partie professionnelle. 5 Virtual Device Interface: Client léger installé sur un dispositif mobile permettant une session sécurisée distante vers un environnement professionnel. 6 Le terme «à définir» signifie que l institution défini le groupe de données relatif à une classification qui peut être accessible par un des trois modèles de gestion. P 5

6 B. Mesures de sécurité en fonction du modèle de gestion 7. Implémentation forcée de mesures de sécurité Sensibilisation et responsabilisation (cf ) Système d authentification de l utilisateur sur l appareil Verrouillage de l'appareil en cas d'inactivité Dispositifs mobiles sans gestion Dispositifs mobiles avec gestion O O O Recommandé O O Dispositifs mobiles avec Environnements Séparés (Isolation/VDI) Recommandé O O, sur l environnement Politique du mot de passe Recommandé O O Blocage automatique après l'introduction de x codes d'accès erronés Communication sécurisée pour l accès à l information de l entreprise Authentification forte pour l accès à l information de l entreprise Vérification de la présence d un logiciel antivirus ou anti-malware actif Vérification de de la dernière mise à jour A.V. N O O O O O Recommandé O O Recommandé O O N O O Vérification du niveau admissible de N O O l O.S 8 Autoriser uniquement l installation d applications provenant de source de confiance Recommandé Recommandé Recommandé/O dans l environnement de l institution Limitation de la connectivité lors de Recommandé O O l accès à l information de l institution 9 Chiffrement des données sur l appareil Recommandé Recommandé Dans le cas uniquement de l isolation, le chiffrement est nécessaire. Blocage à distance N O O Effacement des données à distance N O O, dans la session ou dans l environnement du dispositif mobile dédié à l institution Noter le numéro IMEI de l appareil Recommandé Recommandé Recommandé 7 Cette liste est non exhaustive 8 Y compris jailbreaking, routing, 9 Connexion internet non autorisée P 6

7 2. L'utilisateur ne modifiera pas les paramètres de sécurité même si cela est techniquement possible. L'utilisateur n'effectuera pas de «rooting» ou de «jailbreak» du dispositif mobile reçu. 3. L'utilisateur sera averti lorsque le dispositif mobile n'est pas conforme à la politique de sécurité. 4. En cas de non-conformité du dispositif mobile, l'accès aux ressources d'entreprise sera refusé. 5. En cas de perte ou de vol, le dispositif mobile sera verrouillé et, si possible et nécessaire, les données seront effacées. Ceci peut entraîner la perte de données personnelles enregistrées sur le dispositif mobile. 5. Sanctions Le non-respect de la présente politique donnera lieu à une sanction conformément à la réglementation en vigueur au sein de l institution. 6. Propriétaire du document Le maintien, le suivi et la révision de la présente politique relèvent de la responsabilité du service Sécurité de l'information de la BCSS. 7. Références Les références utilisées sont: - les normes minimales 2011 de la BCSS - la norme ISO 27002: Annexe A: Lien avec la norme ISO Ci-après nous indiquons les principales clauses de la norme ISO qui ont, de manières standard, un rapport avec l objet de la présente politique. norme ISO Politique de sécurité Organisation de la sécurité de l information Gestion des ressources d entreprise Exigences de sécurité relatives au personnel Sécurité physique Sécurité opérationnelle Sécurité d'accès logique Maintenance et développement de systèmes d information Maîtrise des incidents de sécurité Protection de l'information dans le cadre de la continuité de l'entreprise Respect/audit P 7