Matinée d information Sécurité du système d information. 18 novembre Agen

Transcription

1 Matinée d information Sécurité du système d information 18 novembre Agen

2 Programme 08h45-09h00 : Accueil des participants 09h00-09h15 : Ouverture 09h15-09h30 : Présentation de l'offre de service «SSI» 09h30-10h30 : La sécurité informatique - La gestion de parc et de support informatique - La protection du poste de travail (antivirus et pare-feu) - La sauvegarde déportée 10h30-11h30 : La sécurité juridique - Les principes clés de la loi Informatique et Libertés - Les régimes de déclaration - La démarche de mise en conformité - La désignation d un correspondant Informatique et Libertés 11h30-12h00 : Questions / Réponses

3 Ouverture Jean DREUIL, Président du CDG 47

4 Présentation de l'offre de service «SSI» Contexte Cette opération s inscrit dans un projet «L élu rural numérique» comprenant d autres axes d amélioration en matière d usage des TIC (Services Internet, Dématérialisation, Information Géographique) et soutenu par le FEDER, la Région Aquitaine et le Conseil général de Lot-et-Garonne. Définition «La sécurité du système d information (SSI) est l ensemble des mesures techniques et non techniques de protection permettant à un système d information de résister à des évènements susceptibles de compromettre la disponibilité, l intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu ils rendent accessibles.» (Source :

5 Présentation de l'offre de service «SSI» Contenu de l offre Conscient des enjeux liés à la sécurité des systèmes d information des collectivités et établissements publics de Lot-et-Garonne, le pôle numérique du CDG47 met à disposition un bouquet de services permettant de protéger au mieux leurs données informatiques : - gestion de parc et de support informatique - protection des postes de travail et des serveurs - sauvegarde déportée automatisée - accompagnement Informatique et Libertés

6 Présentation de l'offre de service «SSI» Audits - Réalisation d audits de sécurité au travers de visites de sites préventives afin de diagnostiquer l existant et de proposer des solutions d amélioration des conditions de sécurité. - Réalisation d'audits "Informatique et Libertés" en vue d'établir un recensement des traitements mis en œuvre au sein de l'entité et de déterminer le type de déclaration à effectuer auprès de la CNIL.

7 Gestion de parc et de support informatique Pierre LLEBOT

8 Gestion de parc et de support informatique L outil choisi par le CDG 47 Le CDG 47 a choisi le logiciel libre GLPI. Celui-ci permet : - d'inventorier plusieurs types de matériels : ordinateurs, écrans, imprimantes, scanners, matériels réseaux, logiciels, cartouches, consommables, téléphones - de récupérer des informations relatives à la version du BIOS ou du firmware, aux logiciels installés, à la version du système d'exploitation, à la version de l'antivirus, aux utilisateurs connectés sur la machine Cet outil dispose également d'une gestion des incidents intégrée qui permet une remontée et un suivi optimisés des demandes d assistance et déclarations de dysfonctionnements.

9 Gestion de parc et de support informatique Les avantages de l outil - Cette solution dispose d'une console d'administration sur Internet permettant aux techniciens du pôle numérique de superviser l'ensemble des postes et serveurs équipés afin de s'assurer de leur intégrité en temps réel. - Cet outil offre les mêmes fonctionnalités au responsable informatique de la collectivité, dans le cadre d'une délégation d'administration.

10 Gestion de parc et de support informatique Le déploiement de la solution - Installation à distance ou sur site d un agent sur chaque poste - Formation à l outil d administration si besoin d administration en local DEMONSTRATION EN LIGNE

11 Solution de sécurité informatique Stéphane GAZEAU

12 Solution de sécurité informatique Des questions Qu est qu une solution antivirale? Quelles solutions connaissez-vous? Qu attendez-vous d une solution de sécurité? Des réponses

13 Solution de sécurité informatique

14 Solution de sécurité informatique Les menaces Virus : «Programme ou code malicieux inclus généralement dans un format de fichier couramment utilisé et stocké dans un système d exploitation à l insu de son utilisateur. Ce code est susceptible de s auto-exécuter à un moment précis ou lors du lancement d un logiciel. Objectif : rendre le système hors d usage en détruisant certains fichiers indispensables ou en saturant les ressources de la machine.»

15 Solution de sécurité informatique La solution choisie par le CDG47 Le CDG47 a effectué un comparatif de 5 solutions de sécurité : Sophos Endpoint Security Symantec endpoint protection v11 McAfee McAfee SaaS Endpoint Protection Advanced McAfee McAfee Endpoint Protection suite F-Secure PSB Security

16 Solution de sécurité informatique Caractéristiques de la solution - Solution complète et primée sur ses caractéristiques techniques - Solution legère en ressources machine et réseau non parasite à l utilisation - Solution administrable par les collectivités ou par le CDG - Postes relais - Solution hébergée - Pas de coût caché matériel et humain - Déploiement et gestion simplifiés pour des sites distants - Console administration web

17 Solution de sécurité informatique Un gamme complète PORTAIL PSB Application d'administration web Sections adaptées aux gestionnaires Gestion des abonnements et des profils de sécurité des postes et des serveurs Aperçu de l'état de la protection et rapports PSB WORKSTATION SECURITY Antivirus, Internet shield et contrôle antispam Ordinateurs de bureau et portables Prise en charge de Windows 7, Vista et XP PSB SERVER SECURITY Antivirus, antispywares et antirootkits Serveurs de fichiers Serveurs TSE Prise en charge de Windows 2003/2008/ 2008R2 server PSB AND SERVER SECURITY Antivirus pour serveurs de fichiers Antivirus et antispam pour MS Exchange Prise en charge de MS SBS 2003/2008 Prise en charge de MS Exchange 2003/2007/ 2010

18 Solution de sécurité informatique PORTAIL PSB Collectivités Accès CDG47 et gestionnaires Gestion des profils de sécurité Gestion des abonnements Assistance de 1er niveau Aperçu de l'état de la protection Rapports Configuration Alertes Plate-forme de service Mises à jour logicielles Mises à jour de sécurité Support

19 Solution de sécurité informatique Une solution simple - Suite de sécurité globale (protection antivirus et antispywares, contrôle antispam, prévention d'intrusions, contrôle des applications et pare-feu.) - Installation, configuration et reporting gérés par les techniciens du CDG 47 Administration centralisée en mode SAAS (Software as a Service Logiciel comme un service) Le portail de gestion en ligne (administration de tous les postes à partir d'une seule interface disponible via le web) Automatisée et flexible Technologie antivirale multi-moteurs (mises à jour quotidiennes, automatiques, sécurisées, transparentes et n employant qu une bande passante minimale via le Cloud en mode P2P).

20 Solution de sécurité informatique Le déploiement de la solution - Installation à distance ou sur site des outils antiviraux - Formation à l outil d administration si besoin d administration en local DEMONSTRATION EN LIGNE

21 Sauvegardée déportée Françoise JONCOUR

22 Sauvegardée déportée Pourquoi sauvegarder? - Une question de «bon sens» informatique - Risque de perte de ses données - Coût de reconstitution des données très élevé (estimé à pour 1Mo de données produites par une collectivité) La sauvegarde locale - Sur un support amovible (CD, clé USB ou disque dur externe) - Effectué manuellement de sa propre initiative - Sélection des données concernées (image des données originales ou compressée par le menu d une application dédié à la sauvegarde - Possibilité de restaurer les données en cas de perte liée à une panne de l unité centrale mais pas en cas de vol ou de sinistre

23 Sauvegardée déportée Une solution plus pérenne - Solution complémentaire à la sauvegarde locale - Transfert des données sur les serveurs distants administrés par le CDG47 - Opération automatisée et sécurisée (cryptage des données) Quelles données seront sauvegardées? Compte tenu de la taille variable des données propres aux utilisateurs, la sauvegarde déportée ne va concerner dans un premier temps que les données issues des logiciels métier (Coloris, par exemple). La sauvegarde des documents de bureautique est à l'étude. La sauvegarde de la messagerie électronique sera traitée par les outils de travail collaboratifs..

24 Sauvegardée déportée La récupération des données En cas de soucis, c est le CDG 47 qui se chargera de vous restituer les données, soit celles de vos sauvegardes locales, si possible, soit les données sauvegardées sur les serveurs distants. Le déploiement de la solution Installation de l outil de sauvegarde sur le poste contenant la base de données métier et paramétrage du déclenchement de la sauvegarde, du type de confirmation souhaité ainsi que de l arrêt éventuel du poste.

25 Sauvegardée déportée DEMONSTRATION EN LIGNE

26 Informatique et Libertés Julie TOMAS

27 Informatique et Libertés Le partenariat avec la CNIL Le CDG 47 s'est s associé à la CNIL en vue d améliorer la connaissance de la loi du 6 janvier 1978 modifiée en août 2004 relative au fichiers à l informatique et aux libertés dite Loi Informatique et Libertés. Ce partenariat a pour but : de mettre en place des actions de sensibilisation à la protection des données à caractère personnel et de diffusion de la culture informatique et libertés de concevoir, à partir de la remontée de questions et demandes de conseil, d un «guide informatique et libertés» destiné à aider les agents et les élus lors de la mise en œuvre d un nouveau traitement de constituer et d animer un réseau de correspondants informatique et liberté (CIL) intercommunaux. Le CIL a notamment pour mission de veiller à la bonne application de la loi Informatique et Libertés d élaborer des actions de formation à destination des CIL.

28 Informatique et Libertés Le cadre législatif Loi n du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés modifiée par la loi du 6 août 2004 dite loi Informatique et Libertés Objectif Fixer un cadre à la collecte et au traitement des données personnelles afin de garantir le respect des droits et libertés des personnes ainsi que le respect de leur vie privée. La CNIL Autorité administrative indépendante chargée de la mise en œuvre de la loi Informatique et Libertés : elle informe les responsables de traitements de leurs obligations elle informe le grand public de leur droits elle exerce un pouvoir de contrôle et de sanction

29 Informatique et Libertés Donnée à caractère personnel Toute information relative à une personne physique Identifiée ou susceptible de l être, directement ou indirectement Y compris par référence à un numéro d identification (ex: n de sécurité sociale, n d immatriculation ) Certaines données dites sensibles, sont interdites de collecte : données qui directement ou indirectement, font apparaître les origines raciales, les opinions politiques, philosophiques, religieuses, les appartenances syndicales, la santé, la «vie sexuelle» des personnes sauf accord exprès (signé) de l'intéressé, tenue d un registre des membres par les associations ou organismes à caractère religieux, philosophique, politique ou syndical, les données rendues publiques par la personne concernée.

30 Informatique et Libertés Traitement Est constitué par toute opération de collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, communication, rapprochement, interconnexion Une définition très large de la notion de traitement qui recouvre une multitude d opérations : base de données, carte à puce, autocommutateur téléphonique, site web, transfert de fichiers Fichier : Est constitué de tout ensemble structuré et stable de données accessibles selon des critères déterminés. Un fichier n est pas forcément réalisé sur support électronique, il peut l être également sur support papier.

31 Informatique et Libertés Le responsable du traitement Correspond à la personne, l autorité, l organisme (ou son représentant) qui décide de la création du traitement, détermine ses finalités et ses moyens. Sont responsables des traitements et de la sécurité des données personnelles les maires, les présidents d établissements publics de coopération intercommunale, les présidents de conseil généraux, régionaux, les dirigeants d entreprise Leur responsabilité pénale pourra être engagée. Destinataire de données Il s agit de toute personne apte à recevoir ces données.

32 Informatique et Libertés Les 5 principes clés de la loi - La finalité du traitement - La proportionnalité de la collecte - La limitation de la durée de conservation - La sécurité et la confidentialité - Le respect des droits des individus

33 Informatique et Libertés La finalité du traitement Les données à caractère personnel ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes. Elle ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités. Tout détournement de finalité est passible de sanctions pénales. La proportionnalité de la collecte Les données doivent être «adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs» Si le nom et le prénom sont seuls indispensable pour une procédure, il n est pas nécessaire de recueillir d autres informations (le numéro de sécurité sociale, la situation de famille )

34 Informatique et Libertés La limitation de la durée de conservation Les informations ne peuvent être conservées au-delà de la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Au-delà de cette période, les données pourront être archivées, mais sur un support distinct. La conservation indéfinie de données à caractère personnel est interdite. La sécurité et la confidentialité Le responsable du fichier est astreint à une obligation de sécurité : pour respecter cette obligation il doit prendre les mesures adéquates pour assurer la confidentialité et la non-divulgation de ces données. Seules les personnes habilitées pourront accéder aux données.

35 Informatique et Libertés Le respect des droits des individus Le recueil de données doit s accompagner de l information des usagers dont les données sont collectées. Cette information porte sur : la finalité du traitement, le caractère facultatif ou obligatoire de réponse aux informations demandées, les destinataires des données, les modalités d exécution des droits garantis par la loi «Informatique et Libertés» notamment le droit d accès, de modification/suppression et d opposition sauf dans des cas obligatoires (ex : état civil). Cette information peut être portée à la connaissance des usagers par voie de courrier qui leur serait directement adressé soit par voie d affichage dans les locaux des services accueillant le public ou sur les formulaires de demande d informations.

36 Informatique et Libertés Les régimes de déclaration - La dispense de déclaration - La déclaration de conformité à une norme simplifiée - La déclaration normale - La demande d autorisation

37 Informatique et Libertés La dispense de déclaration Les fichiers ou de traitements qui ne portent pas atteinte à la vie privée ou aux libertés sont dispensés de déclaration auprès de la CNIL. Il s agit notamment des fichiers ou traitements suivants : gestion des rémunérations (dispense n 1) comptabilité générale (délibération n du 21/10/1980) dématérialisation des marchés publics (dispense n 3) dématérialisation du contrôle de légalité (dispense n 5) information et la communication externe (dispense n 7) gestion des activités sociales et culturelles (dispense n 10) recensement des propriétaires des chambres d hôtes (dispense n 11) fichier électoral (dispense n 12) l élaboration d un plan de continuité d activité relatif à une pandémie grippale (dispense n 14) Bien que dispensé de déclaration, le responsable du traitement se doit de respecter les 5 principes clé de la loi Informatique et Libertés.

38 Informatique et Libertés La déclaration de conformité à une norme simplifiée Les fichiers ou de traitements les plus courant sont encadrés par des décisions de la CNIL sous forme de norme simplifiée, d autorisation unique ou d acte règlementaire unique. Il s agit notamment des fichiers ou traitements suivants : gestion des communes de moins de 2000 habitants (NS n 32) état civil (NS n 43) lutte contre les logements vacants (NS n 49) gestion du fichier électoral (NS n 24) gestion des services péri-scolaires (NS n 27) consultation de données cadastrales VisDGI (NS n 44) contrôles d'accès aux locaux, des horaires et de la restauration (NS n 42) gestion des ressources humaines (NS n 46) Les fichiers ou traitements doivent respecter en tout point le cadre fixé par la décision de la CNIL, sinon ils devront faire l objet d une déclaration normale.

39 Informatique et Libertés La déclaration normale Si les fichiers ou de traitements n entrent pas dans le cadre d une dispense de déclaration ou d une déclaration de conformité, ils doivent faire l objet d une déclaration normale. Le formulaire de déclaration normale comporte les champs suivants : informations sur le déclarant, le service chargé de la mise en œuvre du traitement, le service chargé du droit d accès, sur le contact CNIL finalité et objectif du traitement déclaré fonctions de l application transferts d information hors de l UE, échange de données règles de sécurités mises en œuvre détail des catégories de données collectées et destinataires de ces données information des intéressées et exercice du droit d accès. La déclaration en ligne est possible. Le récépissé de la déclaration vaut feu vert pour la mise en œuvre du traitement tel que présenté dans la déclaration.

40 Informatique et Libertés La déclaration normale Si les fichiers ou de traitements n entrent pas dans le cadre d une dispense de déclaration ou d une déclaration de conformité, ils doivent faire l objet d une déclaration normale. Le formulaire de déclaration normale comporte les champs suivants : informations sur le déclarant, le service chargé de la mise en œuvre du traitement, le service chargé du droit d accès, sur le contact CNIL finalité et objectif du traitement déclaré les données traitées transferts d information hors de l UE, échange de données règles de sécurités mises en œuvre information des intéressées et exercice du droit d accès. La déclaration en ligne est possible. Le récépissé de la déclaration vaut feu vert pour la mise en œuvre du traitement tel que présenté dans la déclaration.

41 Informatique et Libertés La demande d autorisation Si les fichiers ou de traitements collectent des données dites sensibles, cela nécessite une demande d autorisation. Il s agit des fichiers ou traitements : ayant pour objet l interconnexion de fichiers dont les finalités correspondent à des intérêts publics différents ; comportant des appréciations sur les difficultés sociales des personnes ; utilisant des données biométriques nécessaires au contrôle de l identité des personnes Pour effectuer une demande d autorisation, il faut remplir le formulaire de déclaration normale et les annexes appropriées (sécurité, interconnexion, échange). De plus, il est d usage d accompagner cette demande d un dossier de présentation du fichier ou du traitement. Un avis préalable de la CNIL sur certains fichiers du secteur public : les traitements qui requièrent l utilisation du NIR ou la consultation du RNIPP, les téléservices de l administration électronique.

42 Informatique et Libertés La démarche de mise en conformité en 4 étapes Informer les services concernés Faire circuler une note d information à tous les services concernés fournissant une explication simple de la loi «informatique et libertés» Recenser les fichiers et traitements Faire circuler une fiche de recensement de tous les fichiers comportant des données à caractère personnel auprès des différents services existants. Classer les fichiers Selon les types de données contenues dans les fichiers et les traitements, le CIL pourra déterminer le régime de déclaration à appliquer Elaborer un document type d information des personnes Ce document type devra être communiqués aux différents services qui collectent des données personnelles. Le CIL devra également prévoir les modalités d exercice des droits garantis par la loi. en

43 Informatique et Libertés La désignation d un Correspondant Informatique et Libertés (CIL) Cette désignation permet de : bénéficier d une exonération de déclaration pour la plupart des fichiers mieux faire respecter la loi au sein de la collectivité qui l a désigné diminuer les risques de sanctions éventuelles à l encontre du responsable du traitement. Le CIL doit toutefois remplir certaines obligations : tenir et mettre à jour la liste des traitements exonérés de déclaration, les autres fichiers relevant de la demande d autorisation seront soumis à la CNIL assurer le respect des droits des personnes (accès, modification/suppression et opposition) en les informant sur les traitements mis en œuvre veiller au respect des principes énoncés dans la loi de 1978

44 Informatique et Libertés Les missions du CIL CONSEIL : Il sera consulté avant la mise en œuvre de tout traitement RECOMMANDATION : Il traduit les dispositions de la loi en règles internes propres au secteur d activité PEDAGOGIE : Il diffuse la culture «Informatique et Libertés» au sein de la collectivité MEDIATION : Il reçoit les demandes des usagers ALERTE : Il fait part de ses constats du non respect de la loi au responsable INFORMATION : Il dresse le bilan annuel de son activité

45 Informatique et Libertés En conclusion La CNIL dispose d un large éventail de mesures coercitives et de sanctions : un avertissement, une mise en demeure Si la mise en demeure reste infructueuse et à l issue d une procédure contradictoire : prononcer une sanction pécuniaire (pouvant aller jusqu à ) une injonction de cesser le traitement retirer une autorisation. Sanction pénale du non respect des dispositions de la loi I&L : 5 ans d emprisonnement et d amende Plus d information sur le site de la CNIL :

46 Les tarifs de la convention «SSI» La convention est prévue pour une durée de 3 ans, renouvelable par tacite reconduction. Cotisation annuelle (gestion de parc, sauvegarde déportée, I & L): Communes de moins de 250 habitants, Etablissements publics et Budgets annexes de moins de 4 agents 50 Communes de 250 à 499 habitants, Etablissements publics et Budgets annexes de 4 à 7 agents 67 Communes de 500 à 999 habitants, Etablissements publics et Budgets annexes de 8 à 9 agents 92 Communes de à habitants, Etablissements publics et Budgets annexes de 10 à 19 agents 125 Communes de à habitants, Etablissements publics et Budgets annexes de 20 à 29 agents 150 Communes de à habitants, Etablissements publics et Budgets annexes de 30 à 59 agents 183 Communes de habitants et plus, Etablissements publics et Budgets annexes de 60 agents et plus 242 Collectivités non affiliées 283 Audit (Sécurité / Informatique et Libertés) : 240 par jour Solution de sécurité informatique : 20 par an/poste Journée de formation : 240 Ces tarifs ont été votés lors du Conseil d Administration du CDG 47 du 30/11/2010

47 Quelle est la marche à suivre pour adhérer? Il est nécessaire de prendre une délibération portant sur : l adhésion à notre service «Sécurité du système d information» pour une durée de 3 ans avec tacite reconduction le déploiement de la solution de sécurité informatique (en précisant le nombre de postes concernés). Une fois la délibération prise, vous pouvez nous contacter afin d'établir la convention d'adhésion au service. Celle-ci signée, nous fixons à votre convenance et selon les disponibilités de nos techniciens informatique, une date pour le déploiement de ces outils dans votre collectivité. Retrouvez un modèle de délibération ainsi que la convention type d adhésion sur notre site internet rubrique Sécurité du système d information.

48 Merci de votre attention Contacts : Johan JOURDAN Directeur Général des Services johan.jourdan@cdg47.fr Tél: Frédéric MANDIS Responsable du pôle numérique frederic.mandis@cdg47.fr Tel : Julie TOMAS Chargée de mission TIC julie.tomas@cdg47.fr Tél: