GUIDE PRATIQUE. Sécurité des Données à Caractère Personnel

GUIDE PRATIQUE Sécurité des Données à Caractère Personnel

CNIL 2009 Commission Nationale de l Informatique et des Libertés 8 rue Vivienne CS 30223 75083 Paris Cedex 02 Tel. + 33 1 53 73 22 22 Fax. + 33 1 53 73 22 00 E-mail @cnil.fr Web www.cnil.fr ii

Sommaire Page Avertissement...2 0 Introduction...4 0.1 Qu entend-on par sécurité des données à caractère personnel?...4 0.2 Identification des exigences de sécurité...4 1 Domaine d'application...5 2 Termes et définitions...5 3 Acronymes...5 4 Appréciation et traitement du risque...6 4.1 Appréciation du risque lié à la protection des données à caractère personnel...6 4.2 Traitement du risque lié à la protection des données à caractère personnel...6 5 Organisation de la sécurité de l information...6 5.0 Fondement légal...6 5.1 Politique de sécurité de l information...7 5.2 Organisation interne...7 5.3 Sous-traitance...7 5.4 Gestion et classification des informations...7 5.5 Sécurité liée aux ressources humaines...8 5.5.1 Sensibilisation des utilisateurs...8 5.5.2 Gestion des habilitations...9 5.6 Conformité...9 5.6.1 Conformité avec les exigences légales...9 6 Sécurité physique de l infrastructure...9 6.1 Zones sécurisées...9 6.2 Sécurité liée aux matériels... 10 7 Sécurité logique... 11 7.1 Sécurité logique... 11 7.1.1 Sécurité des réseaux... 11 7.1.2 Sécurité des serveurs et des postes de travail... 12 7.1.3 Supports de stockage amovibles... 13 7.2 Contrôle d accès... 13 7.2.1 Politique de contrôle d accès... 13 7.2.2 Contrôle d accès réseau... 14 7.2.3 Contrôle d accès aux serveurs et aux postes de travail... 15 7.2.4 Contrôle d accès aux applications et à l information... 17 7.3 Informatique mobile... 17 7.4 Sauvegarde... 18 7.5 Archivage... 18 8 Gestion opérationnelle... 19 8.1 Surveillance et traçabilité... 19 8.2 Gestion des incidents... 20 8.3 Disponibilité... 20 8.4 Maintenance... 21 8.5 Audit... 21 9 Communications externes... 21 10 Développement... 22 10.1 Exigences de sécurité lors du développement du traitement... 22 10.2 Conformité avec les politiques et normes de sécurité et conformité technique... 23 Feuille de synthèse des mesures...i CNIL 2009 1

Avertissement Ce document présente un ensemble de mesures et de préconisations dans le but de pourvoir à la sécurité de données à caractère personnel. Il comporte deux niveaux de lecture, respectivement destinés à : - tout responsable de traitement ou à toute personne sans connaissance informatique particulière souhaitant évaluer le niveau de sécurité dont bénéficient les données à caractère personnel qu il traite. Un ensemble comprenant une cinquantaine de mesures a été rédigé dans un langage non technique, ce qui correspond à un premier niveau de lecture et permet de poser un diagnostic sur la sécurité d un système d information. Ces mesures sont récapitulées en annexe du document sous la forme d un tableau. - un public plus averti, tels que les Correspondants Informatique et Libertés, les Responsables de la Sécurité des Systèmes d Information etc.. Le guide met à leur disposition un ensemble de préconisations pour l application concrète des mesures, ce qui correspond au second niveau de lecture. Il est à noter que les préconisations s appliquent plus particulièrement à des systèmes d information de taille moyenne. Le document est structuré en six sections : 1. Organisation de la sécurité de l information 2. Sécurité physique de l infrastructure 3. Sécurité logique 4. Gestion opérationnelle 5. Sécurité lors de la communication de données en dehors du système d information 6. Développement Chaque rubrique principale de sécurité comprend : - un objectif de sécurité identifiant le but à atteindre - une ou plusieurs mesures habituellement préconisées par la CNIL en vue d atteindre l objectif de sécurité. Les mesures ont été répertoriées en suivant la nomenclature suivante : - Si une mesure de sécurité peut être identifiée à une mesure définie dans la norme ISO 27002 :2005 1, elle est alors indiquée dans le guide sous la forme [ISO-X], où X désigne le chapitre référençant la mesure de sécurité dans cette norme. - Lorsqu il s agit d une exigence qui découle directement de la loi Informatique et Libertés, celle-ci est référencée sous la forme [IL-Artx.y]. L indication Artx. renvoie à l article de la loi, [IL-Chxy] où Chxy renvoie au chapitre xy de la loi, ou encore [IL-xxxx-y] si l objectif ne renvoie pas à un article de loi singulier mais à une thématique. - enfin, il est à souligner que les préconisations relatives à la mise en œuvre d une mesure sont présentées dans des encadrées de couleur grise. 1 ISO est un organisme de standardisation international qui élabore des normes dans de nombreux domaines d activités. Ces normes sont cataloguées par 5 chiffres ; les normes 27001 et suivantes traitent la sécurité des systèmes d information. Pour plus d information, http://www.iso.org CNIL 2009 2

Afin d en faciliter la lecture, différentes icônes ont été définies : L Aides à la lecture Mesure découlant de la loi Mesure primordiale et donc à considérer en priorité Mesure fortement recommandée Mesure recommandée Section ou paragraphe à contenu technique Point présentant un problème fréquemment relevé Pour ne pas alourdir le document, celui-ci renvoie à différentes sources externes telles que la loi Informatique et Libertés, les référentiels de sécurité édictés par le CERTA 2, etc. Ces références sont énumérées ci-après et sont citées entre [ ] lorsque cela est nécessaire. Il convient de préciser qu en cas de différence entre les informations détaillées dans ce document et un référentiel 3, ce dernier fait foi. Enfin, si ce document entend constituer une aide, la seule application des mesures qui y sont répertoriées ne saurait décharger le responsable de traitement du respect des autres dispositions de la loi Informatique et Libertés ni se saurait augurer de l examen par la Commission au regard du niveau de sécurité d un traitement. Références : [1] Loi n 78-17 du 6 janvier 1978 modifiée en 2004 http://www.legifrance.gouv.fr/affichtexte.do?cidtexte=legitext000006068624 [2] WP 136, Avis 4/2007 sur le concept de données à caractère personnel http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_fr.pdf [3] Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard, n 2741/SGDN/DCSSI/S DS/LCR http://www.ssi.gouv.fr/site_documents/politiqueproduit/mecanismes_cryptographiques_v1_10_standard.pdf [4] Guide technique pour la confidentialité des informations enregistrées sur les disques durs à recycler ou exporter, n 972-1/SGDN/DCSSI http://www.ssi.gouv.fr/archive/fr/documentation/guide_effaceur_v1.12du040517.pdf [5] Règles et recommandations concernant les mécanismes d authentification de niveau de robustesse standard, n 729/SGDN/DCSSI/SDS/AsTeC http://www.ssi.gouv.fr/archive/fr/politique_produit/catalogue/pdf/authentification_robustesse_standard_v0-13.pdf [6] Communication de la CNIL relative à la mise en œuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données http://www.cnil.fr/fileadmin/documents/approfondir/dossier/cni-biometrie/communication-biometrie.pdf 2 Le CERTA (Centre d'expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) est un service de l ANSSI (Agence Nationale de la Sécurité des Systèmes d'information, ex DCSSI) chargé d «évaluer les menaces pesant sur les systèmes d'information, donner l'alerte, développer les capacités à les contrer et à les prévenir» 3 Cette situation peut notamment se produire du fait de l évolution des référentiels. CNIL 2009 3

0 Introduction La place grandissante de l informatique dans toutes les sphères de notre société entraine la production d un nombre croissant de données personnelles, ainsi que leur dissémination dans des systèmes plus nombreux et moins perceptibles pour les personnes. Les menaces pesant sur les systèmes et réseaux d information, telles que la fraude informatique, le détournement de finalité, la captation frauduleuse, la perte de données, le vandalisme, ou encore les sinistres les plus fréquents, tels que l incendie ou l inondation, requièrent que toutes les précautions soient prises pour assurer la sécurité de ces données, ce qui se traduit par la mise en œuvre de mesures organisationnelles et techniques adaptées. 0.1 Qu entend-on par sécurité des données à caractère personnel? Par sécurité des données à caractère personnel on entend l ensemble des «précautions utiles, au regard de la nature des données et des risques présentés par le traitement», pour notamment, «empêcher que les données soient déformées, endommagées, ou que des tiers non autorisés y aient accès.». Cette sécurité se conçoit pour l ensemble des processus relatifs à ces données, qu il s agisse de leur création, leur utilisation, leur sauvegarde, leur archivage ou leur destruction et concerne leur confidentialité, leur intégrité, leur authenticité et leur disponibilité. 0.2 Identification des exigences de sécurité L identification des exigences en matière de sécurité nécessite de tenir compte : - du risque propre à la nature du traitement, afin d identifier les menaces pesant sur les données à caractère personnel il convient donc d analyser la vraisemblance des attaques et d en évaluer l impact potentiel, - de l environnement socioculturel en effet, des solutions a priori très sécurisées peuvent s avérer inadaptées au regard de comportements établis, - des exigences légales du secteur concerné (la santé, les télécommunications, ) auxquelles le responsable de traitement et ses prestataires de service doivent se conformer, - de l ensemble des exigences métier préexistantes en matière de traitement de l information, - des exigences légales en matière de transfert de données à caractère personnel hors de l Union Européenne. CNIL 2009 4

1 Domaine d'application Les objectifs et mesures décrits dans ce document sont destinés à être mis en œuvre dans le but de répondre aux exigences identifiées par une évaluation du risque portant sur la sécurité des données à caractère personnel au regard de la loi Informatique et Libertés. 2 Termes et définitions Authentification : «l'authentification a pour but de vérifier l'identité dont une entité se réclame. Généralement l'authentification est précédée d'une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l'a doté. En résumé, s'identifier c'est communiquer son identité, s'authentifier c'est apporter la preuve de son identité.» (ANSSI) Destinataire des données : «toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données.» (Art. 3 loi I&L) Donnée à caractère personnel : «toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.» (Art. 2 loi I&L). Données sensibles : les «données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.» (Art. 8 loi I&L). Responsable de traitement : «la personne, l autorité publique, le service ou l organisme qui détermine les finalités et les moyens dudit traitement, sauf désignation expresse par des dispositions législatives ou réglementaires relatives à ce traitement.» (Art. 3 loi I&L). Tiers : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données; (directive 95/46/CE) Traitement : sauf mention explicite, un traitement s entend dans ce document comme un traitement de données à caractère personnel. Traitement de données à caractère personnel : «toute opération ou tout ensemble d opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l enregistrement, l organisation, la conservation, l adaptation ou la modification, l extraction, la consultation, l utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l interconnexion, ainsi que le verrouillage, l effacement ou la destruction.» (Art. 2 loi I&L). 3 Acronymes DHCP : Dynamic Host Configuration protocole, un protocole permettant l attribution la configuration dynamique des paramètres réseau d une machine (dont son adresse Internet) lorsque celle-ci se connecte à un réseau local et afin qu elle puisse communiquer sur ce dernier. DNS : Domain Name Server, Serveur de nom de domaine, Ces serveurs font la correspondance entre un nom de domaine, par exemple cnil.fr, et un adresse internet, par exemple 213.41.30.169. EBIOS : Une méthodologie d évaluation des risques des Systèmes d Information. HTTP : HyperText Transfer Protocole, le protocole du web. RSA : Un algorithme de cryptographie asymétrique, du nom de ses trois concepteurs Rivest, Shamir et Adelman. SQL : Structure Query Language, le protocole servant la gestion des bases de données. CNIL 2009 5

SSL : Secure Socket Layer, un protocole sécurisé compatible avec HTTP, parfois dénommé https. VNC : Virtual Network Computer, un protocole permettant la prise de contrôle à distance d un poste de travail. VPN : Virtual Private Network, cet acronyme traduit un tunnel sécurisé, c'est-à-dire une canal de communication garantissant la confidentialité des échanges. 4 Appréciation et traitement du risque 4.1 Appréciation du risque lié à la protection des données à caractère personnel Une appréciation du risque portant sur l ensemble des données à caractère personnel dont l organisme est dépositaire doit être réalisée afin de garantir le strict respect des dispositions de la loi. Toutefois l évolution des systèmes rend nécessaire la révision périodique des mesures de sécurité. Idéalement, il conviendrait pour tout responsable de traitement de formaliser d emblée une analyse méthodique des risques du point de vue de la protection des données à caractère personnel. Cette analyse devrait prendre en compte : - la probabilité de réalisation du risque - les conséquences sur la sécurité des données Avant d envisager le traitement d un risque, il conviendrait également que le responsable de traitement définisse des critères permettant de déterminer si le risque est acceptable ou non. Des méthodes éprouvées permettent de conduire une analyse de risque en matière de Systèmes d Information, c est le cas notamment de la méthode EBIOS préconisée par la ANSSI. 4.2 Traitement du risque lié à la protection des données à caractère personnel Pour chacun des risques identifiés, une décision relative au traitement du risque doit être prise. Les solutions envisageables sont les suivantes: a) application de mesures appropriées visant à réduire le risque; b) acceptation des risques en connaissance de cause et avec objectivité, dans la mesure où ils sont acceptables au regard du cadre législatif et notamment de la loi Informatique et Libertés ; c) annulation des risques en interdisant les actions susceptibles de les engendrer. Dans le cadre de la loi Informatique et Libertés, le transfert de risques à des tiers n est pas envisageable car la loi reconnait des obligations au responsable de traitement dont il ne peut se décharger. L 5 Organisation de la sécurité de l information L expérience montre que le facteur organisationnel joue un rôle crucial dans la sécurité de l information. Ceci inclut les aspects suivants : - La définition d une politique de sécurité de l information; - Une mise en œuvre et un suivi effectif de la sécurité de l information; - Une communication efficace sur la sécurité de l information auprès de toutes les personnes partie-prenantes afin de les sensibiliser; 5.0 Fondement légal Objectif: se conformer à l obligation légale en matière de traitements de données à caractère personnel. [IL-Art5-1] Il est nécessaire de se conformer avec les exigences de la loi 78-17 du 6 janvier 1978 dès lors que le responsable de traitement est établi ou que les moyens de traitement sont utilisés sur le territoire français (Art. 5-1 loi I&L). CNIL 2009 6

5.1 Politique de sécurité de l information Objectif: garantir la sécurité de l information par la publication d un document décrivant la politique de sécurité. [ISO-5.1.1] Il convient qu un document de politique de sécurité de l information soit validé par le responsable de traitement, puis diffusé auprès de l ensemble des personnes concernées. Ce document devrait préciser les enjeux propres à la sécurité des données à caractère personnel. Il convient que cette politique soit revue de manière périodique. L 5.2 Organisation interne Objectif: s assurer que la sécurité des données à caractère personnel est bien prise en considération. [IL-Art34] La sécurité des données à caractère personnel doit être assurée conformément à l article 34 de la loi 78-17 du 6 janvier 1978 modifiée : «Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès» (Art. 34 loi I&L). [ISO-6.1.8] Il convient de procéder à des revues régulières et indépendantes de la sécurité du système mettant en œuvre le traitement; de telles revues sont également nécessaires lors de changements importants du traitement. 5.3 Sous-traitance Objectif: assurer la sécurité des moyens de traitement portant sur des données à caractère personnel communiquées à ou gérées par des sous-traitants. [ISO-6.2.1] Il convient d identifier les risques pesant sur les données à caractère personnel impliquant des sous-traitants. L [IL-Art35-1] La loi I&L dispose que : «Le contrat liant le sous-traitant au responsable du traitement comporte l indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données» et prévoit que «le sous-traitant ne peut agir que sur instruction du responsable de traitement» (Art. 35 loi I&L). 5.4 Gestion et classification des informations Objectif: garantir un niveau de protection approprié aux données à caractère personnel. L [IL-Art6-3] Il est impératif de collecter des données à caractère personnel qui soient en adéquation avec la finalité du traitement (Art. 6, alinéa 3 loi I&L). L [IL-Art6-4] I&L). Il est impératif de garantir l exactitude des données à caractère personnel (Art. 6, alinéa 4 loi [ISO-7.2.1] Il convient de classifier les informations de manière notamment à indiquer si celles-ci sont des données sensibles. Cette classification a pour but notamment de rendre compte du niveau de sécurité à appliquer. L [IL-Art6-5] Il est nécessaire de définir des durées de conservation des données à caractère personnel en adéquation avec la finalité du traitement et limitées dans le temps (Art. 6, alinéa 5 loi I&L). CNIL 2009 7

5.5 Sécurité liée aux ressources humaines 5.5.1 Sensibilisation des utilisateurs Objectif: garantir que les utilisateurs connaissent leurs responsabilités. [ISO-8.1.1] Il convient de définir et de documenter les rôles et responsabilités des utilisateurs en matière de sécurité. Il convient par ailleurs de veiller à ce que ceux-ci soient conscients des menaces en termes de sécurité. Lorsque le niveau de responsabilité des personnes le justifie, il est recommandé de prévoir la signature d une clause de confidentialité. [ISO-8.2.2] Il convient que l ensemble des utilisateurs soient sensibilisés à la sécurité informatique et reçoivent régulièrement les mises à jour des politiques et procédures pertinentes pour leurs fonctions. Il convient notamment d organiser des séances de formation et de sensibilisation à la sécurité de l information. Des rappels périodiques peuvent être faits par le biais de la messagerie électronique. Il est recommandé de rédiger une charte informatique et que celle-ci soit annexée au règlement intérieur. Cette charte devrait comporter les éléments suivants : 1. Le champ d application de la charte, qui inclut notamment - Les modalités d intervention du service de l informatique interne - Les moyens d authentification - Les règles de sécurité auxquelles se conformer, ce qui peut inclure par exemple de : - Signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement - Ne jamais confier son identifiant/mot de passe - Ne pas masquer sa véritable identité - Ne pas usurper l'identité d'autrui - Ne pas modifier les paramétrages du poste de travail - Ne pas installer, copier, modifier, détruire des logiciels sans autorisation - Verrouiller son ordinateur en cas d absence - Ne pas accéder, tenter d'accéder, ou supprimer des informations qui n appartiennent pas à l utilisateur - De définir les modalités de copie de données sur un support externe, notamment en obtenant l accord préalable du supérieur hiérarchique et en respectant les règles définies par le service de l informatique interne. 2. Les modalités d utilisation des moyens informatiques et de télécommunication mis à disposition comme : - Le poste de travail - Les équipements nomades - L espace de stockage individuel. - Le réseau local - Internet - La messagerie électronique - Le téléphone 3. Les conditions d administration du système d Information, et l existence, le cas échéant, de: - systèmes automatiques de filtrage - systèmes automatiques de traçabilité - gestion du poste de travail CNIL 2009 8

4. Les règles de protection des données à caractère personnel 5. Les responsabilités et sanctions encourues en cas de non respect de la charte [ISO-8.3.3] Il convient que les droits d accès des utilisateurs soient supprimés dès lors qu ils ne sont plus légitimés à accéder à un local ou à une ressource, ainsi qu à la fin de la période d emploi. Il convient notamment d être vigilant à supprimer toute donnée à caractère biométrique intervenant dans des dispositifs de contrôle d accès. 5.5.2 Gestion des habilitations Objectif: assurer la sûreté de l exploitation des moyens de traitement de l information. [ISO-10.1.1] Il convient que les procédures d exploitation soient documentées, tenues à jour et disponibles pour tous les utilisateurs concernés. [ISO-10.1.3] Il convient de définir des profils d habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité, afin de limiter l accès à des données à caractère personnel qu aux seuls utilisateurs dûment habilités. 5.6 Conformité 5.6.1 Conformité avec les exigences légales Objectif: éviter toute violation des obligations législatives, réglementaires, statutaires ou contractuelles et des exigences de sécurité. L L [IL-Art30-II] Il est nécessaire que tout traitement et que toute évolution d un traitement, notamment quant à sa finalité, l extension des données collectées, fasse l objet des formalités ad hoc (Art. 30-II loi I&L). [IL-ChXII] La loi «informatique et libertés» prévoient qu un responsable d un traitement ne peut transférer des données à caractère personnel vers un État hors de l Union européenne que si cet État assure un niveau de protection des données adéquat. Ce principe subordonne les échanges internationaux de données à l existence de garanties minimales comme l adoption de législations particulières dans ce domaine par le pays tiers ou la signature d un contrat liant l exportateur de données à l importateur. Il est à souligner que La transmission de données hors UE est soumise à l autorisation préalable de la CNIL. [ISO-15.1.6] Le cas échéant, il est nécessaire de recourir à des mesures cryptographiques qui soient conformes aux réglementations applicables. 6 Sécurité physique de l infrastructure La sécurité physique de l infrastructure représente le premier maillon de la chaine garantissant la sécurité de l information d un organisme. Une infrastructure est généralement constituée de différents éléments tels que des bâtiments, des équipements, des ressources techniques (énergie, connexion) etc. Certains éléments de l infrastructure revêtent une criticité forte dans la mesure où une atteinte à leur intégrité pourrait compromettre le traitement de manière significative. Cette criticité peut concerner l indisponibilité du traitement pour une durée dépassant un seuil acceptable prédéfini, la compromission de données en très grand nombre, etc 6.1 Zones sécurisées Hormis pour les infrastructures de taille très réduite, on distingue habituellement trois zones : - la zone ouverte au public, lorsqu il y a une obligation fonctionnelle d accueil (comptoir d accueil, salle d attente ou de réunion, ) CNIL 2009 9

- la zone réservée au service : zone à accès contrôlé correspondant aux bureaux où sont traitées les données - la zone de sécurité : elle héberge les serveurs, les stations d administration du réseau, les éléments actifs du réseau, ou certains locaux ou postes de travail plus sensibles Afin de protéger efficacement ces zones, il convient de considérer trois principes concourants à garantir la sécurité physique, c'est-à-dire prévoir pour les tentatives d intrusion: - une capacité de détection : des alarmes doivent permettre de déceler une intrusion au sein d une zone sécurisée. - une capacité de ralentissement : des mesures doivent être prévues en prévention d une éventuelle intrusion afin d en limiter la progression - une capacité d intervention : des moyens doivent être prévus pour réagir à l intrusion afin d y mettre fin. Objectif: empêcher tout accès physique non autorisé, dommage ou intrusion dans les locaux ou doivent être hébergées le traitement et les données à caractère personnel. [ISO-9.1.2] Selon la criticité des traitements mis en œuvre et des données, il convient de protéger les zones sécurisées par des contrôles visant à s assurer que seul le personnel dûment habilité est admis dans ces zones. La réalisation de cette mesure peut se faire par la prise en compte des recommandations suivantes: - concernant les zones dans lesquelles des informations sensibles sont traitées ou stockées, il convient de prévoir des contrôles d authentification, comme les cartes d accès accompagnées d un numéro d identification personnelle pour autoriser et valider tous les accès. Il convient de tenir à jour de façon sécurisée un journal des accès intervenus lors des trois derniers mois au plus; - à l intérieur des zones à accès réglementé, il convient d exiger le port d un moyen d identification visible pour toutes les personnes ; - il convient d accorder à tous les visiteurs (personnel en charge de l assistance technique, etc.) un accès limité, et de consigner la date et l heure de leur arrivée et départ ; - il convient de réexaminer et de mettre à jour régulièrement les droits d accès aux zones sécurisées et de les supprimer si nécessaire. [ISO-9.1.3] Il convient de concevoir et d appliquer des mesures de sécurité physique pour les bureaux, les salles et les équipements. Les accès aux salles ou bureaux susceptibles d héberger du matériel recevant des données à caractère personnel doivent être restreints par l usage de sas d accès ou de portes verrouillées. [ISO-9.1.4] Il convient de concevoir et d appliquer des mesures de protection physique contre les dommages causés par les incendies, les inondations, etc. 6.2 Sécurité liée aux matériels Objectif: Assurer la disponibilité matérielle du système. [ISO-9.2.2] Il convient de protéger le matériel des coupures de courant et autres perturbations dues à une défaillance des services généraux. Tous les services généraux, tels que l électricité, l alimentation en eau, etc. doivent être correctement dimensionnés pour les systèmes pris en charge et inspecter régulièrement pour écarter tout risque de CNIL 2009 10

dysfonctionnement ou de panne. L utilisation d un onduleur gérant l arrêt normal ou le fonctionnement en continu est recommandée pour le matériel prenant en charge des traitements critiques. La climatisation des salles serveurs doit être correctement dimensionnée et entretenue. Une panne sur cette installation a souvent comme corollaire l ouverture des portes des salles et donc la neutralisation de facto d éléments concourants à la sécurité physique de l infrastructure. Pour les traitements revêtant des exigences fortes de disponibilité, il convient de connecter l infrastructure de télécommunications par au moins deux voies différentes pour empêcher que la défaillance d une voie de connexion ne rende le service inopérant. Il convient de plus de prévoir une redondance matérielle des unités de stockage par une technologie RAID pour les mêmes raisons. Objectif: Prévenir la perte, le vol ou la compromission des données sur les matériels. [ISO-9.2.6] Il convient de vérifier que tout matériel contenant des supports de stockage soit inspecté avant sa mise au rebut ou sa sortie du périmètre de l organisme pour s assurer que toute donnée sensible en a bien été supprimée de façon sécurisée. Il convient de se référer au document [4] (Guide technique pour la confidentialité des informations enregistrées sur les disques durs à recycler ou exporter). A titre d exemple, l ANSSI accorde des certifications de premier niveau à des logiciels pour réaliser cet objectif (http://www.ssi.gouv.fr/archive/fr/confiance/certif-cspn.html ) Concernant la mise au rebut de matériels, on peut mentionner: - Les broyeurs et déchiqueteurs pour le papier ainsi que les supports numériques tels que les CD et DVD - Les «dégausseurs 4» pour les unités de stockage à technologie magnétique. Il convient de noter que ces préconisations concernent également les matériels en location lorsqu ils sont retournés à l expiration du délai contractuel. 7 Sécurité logique Par sécurité logique on entend la sécurité fonctionnelle des systèmes, la gestion des droits d accès et la conservation des données. 7.1 Sécurité logique 7.1.1 Sécurité des réseaux Objectif: assurer la protection de l infrastructure réseau ainsi que la confidentialité et l intégrité des données transmises. [ISO-10.6.2] Pour tous les services réseau, il convient d identifier les fonctions réseau et les niveaux de service nécessaires au bon fonctionnement du traitement et de n autoriser que ceux-ci. 4 Un «dégausseur» est un équipement réalisant une destruction irrémédiable de données confidentielles par démagnétisation. CNIL 2009 11

Selon les services réseau requis pour le traitement, il convient de limiter les flux réseau au strict nécessaire. Par exemple, si l accès à un serveur web passe obligatoirement et uniquement par l utilisation du protocole SSL, il convient de n autoriser que les flux réseau IP entrants sur cette machine sur le port de communication 443 et de bloquer tous les autres ports de communication. A propos des questions de filtrage, il convient de prendre connaissance du document du CERTA sur ce sujet disponible à l adresse suivante : http://www.certa.ssi.gouv.fr/site/certa-2006-inf-001/ Pour une mise en œuvre du protocole SSL, il convient de se référer aux préconisations données par le CERTA disponibles à l adresse http://www.certa.ssi.gouv.fr/site/certa-2005-rec-001/. Il convent également de mettre en place des systèmes de Détection d'intrusions (Intrusion Detection Systems ou IDS) : il s agit de dispositifs dont l'objectif est d'analyser en temps réel le trafic réseau afin d y détecter toute activité suspecte évoquant un scénario d'attaque informatique de manière à déjouer les attaques informatiques au plus tôt. En complément des dispositions énumérées ci-dessus, il peut être envisagé de mettre en place l identification automatique de matériels comme moyen d authentification des connexions à partir de lieux et matériels spécifiques dans le but de prévenir la connexion de tout dispositif non autorisé. 7.1.2 Sécurité des serveurs et des postes de travail Objectif: protéger l intégrité des logiciels et de l information. [ISO-11.4.0] Il convient que les systèmes d exploitation et les applications soient tenus à jour. Il convient de ne pas installer de systèmes d exploitation obsolètes dont on peut trouver une liste actualisée à l adresse suivante : http://www.certa.ssi.gouv.fr/site/certa-2005-inf-003/. Il convient d installer les mises à jour critiques des systèmes d exploitation sans délai en programmant une vérification automatique périodique hebdomadaire. Enfin il convient de mettre à jour les applications lorsque des failles critiques ont été identifiées et corrigées. [ISO-10.4.1] Il convient de mettre en œuvre des mesures de détection, de prévention et de récupération pour se protéger des codes malveillants (virus ou malware). Par ailleurs, afin de limiter les risques de compromission des serveurs et des postes de travail, il convient : - de limiter les services s exécutant à ceux qui sont strictement nécessaires, - de limiter l exécution d applications avec des droits administrateur, - d installer un logiciel antivirus et de le mettre à jour régulièrement, - éventuellement d installer un parefeu personnel afin de protéger le poste contre des requêtes réseau non conformes. Le document du CERTA situé à l adresse internet suivante : http://www.certa.ssi.gouv.fr/site/certa-2000-inf- 007/ mentionne certains éléments pour une mise en œuvre des points exposés ci-dessus. Selon la nature de l application, il convient de garantir l intégrité des traitements par le recours à des signatures du code exécutable garantissant qu il n a subi aucune altération. A cet égard, une vérification de signature tout au long de et non seulement avant l exécution rend plus difficile la compromission d un programme. S agissant des logiciels s exécutant sur des serveurs, il convient pour les traitements les plus critiques CNIL 2009 12

d utiliser des outils de détection des vulnérabilités (des scanners, etc.) afin de détecter d éventuelles failles de sécurité, ou encore des systèmes de détection et prévention des attaques sur des systèmes/serveurs critiques dénommés Host Intrusion Prevention. 7.1.3 Supports de stockage amovibles Objectif: empêcher la divulgation de données à caractère personnel du fait de supports de stockage susceptibles de quitter le périmètre physique de l infrastructure d hébergement. [ISO-10.7.1] Il convient de mettre en place des procédures pour la gestion des supports de stockage amovibles et des supports de stockage contenus dans les systèmes informatiques mobiles. Il convient de prévoir des moyens de chiffrement pour les espaces de stockage pour les matériels informatiques mobiles (ordinateur portable, périphérique de stockage amovible tels que clés USB, CD-ROM, DVD-RW, etc., dès lors que des données à caractère personnel y sont stockées. Parmi ces moyens, on peut citer : - le chiffrement de disque dur dans sa totalité au niveau hardware - le chiffrement de disque dur dans sa totalité à un niveau logique via le système d exploitation - le chiffrement fichier par fichier - la création de fichiers containeurs chiffrés A titre d exemple, la ANSSI a accordé une certification de premier niveau pour la mise en œuvre de containeurs chiffrés au logiciel TrueCrypt version 6.0a (http://www.ssi.gouv.fr/archive/fr/confiance/cspn/cspn2008-03.html ) Pour une mise en œuvre concernant les supports amovibles (clés USB, CD-ROM, ), il convient de se référer aux préconisations données par le CERTA disponibles à l adresse suivante : http://www.certa.ssi.gouv.fr/site/certa-2006-inf-006/. Si l informatique mobile est susceptible de contenir des emails, il convient de ne pas conserver ceux pouvant contenir des données à caractère personnel. 7.2 Contrôle d accès 7.2.1 Politique de contrôle d accès Objectif: maîtriser l accès à l information. [ISO-11.1.1] Il convient d établir, de documenter et de réexaminer une politique de contrôle d accès en rapport avec la finalité du traitement. La politique de contrôle d accès doit inclure : - les procédures d enregistrement et de désinscription des utilisateurs destinées à accorder et à ôter l accès au traitement (cf [ISO-8.3.3]) ; - les mesures incitant les utilisateurs à respecter les bonnes pratiques de sécurité lors de la sélection et l utilisation de mots de passe ou d autres moyens d authentification ; - les mesures permettant de restreindre et de contrôler l attribution et l utilisation des privilèges au CNIL 2009 13

traitement. 7.2.2 Contrôle d accès réseau Objectif: empêcher les accès non autorisés aux services disponibles sur le réseau. [ISO-11.4.2] Il convient d utiliser des méthodes éprouvées pour contrôler l accès d utilisateurs distants. Le contrôle d accès des utilisateurs distants peut être réalisé par exemple : - par l utilisation de lignes privées dédiées - à l aide d une technique cryptographique Dans le cas du recours à une technique cryptographique, il convient de suivre les préconisations édictées par le document [3] (Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard) sur les différents algorithmes pouvant être envisagés : Ce référentiel précise notamment les longueurs de clé à considérer. A la date de rédaction de ce document, il est par exemple préconisé que : - La taille minimale d une clé RSA est de 1536 bits, pour une utilisation ne devant pas dépasser l année 2010 [RègleSFact-1] - La taille minimale d une clé RSA est de 2048 bits, pour une utilisation ne devant pas dépasser l année 2020 [RègleSFact-2] - Pour une utilisation au-delà de 2020, la taille minimale de la clé RSA est de 4096 bits [RègleSFact-3] Ces valeurs sont données à titre indicatif et dépendantes du contexte propre à chaque traitement. Pour l accès aux réseaux sans fil, il convient de mettre en œuvre des mesures d authentification supplémentaires telles que celles préconisées sur le site du CERTA à l adresse http://www.certa.ssi.gouv.fr/site/certa-2002-rec-002/. [ISO-11.4.4] Il convient de restreindre voire interdire l accès physique et logique aux ports 5 de diagnostic et de configuration à distance. [ISO-11.4.5] Il convient de cloisonner les communications sur le réseau en tenant compte des séparations fonctionnelles des différents départements de l organisme et des différents groupes d utilisateurs. Il convient d agir de telle manière que la compromission d un poste n induise pas de facto la compromission de l ensemble du système. Une pratique permettant à tout le moins de freiner la compromission d un système est de cloisonner les ressources disponibles au strict besoin d en connaitre. Ceci est le cas des ressources disponibles via le réseau. Une méthode permettant de garantir la confidentialité des informations transitant sur les réseaux consiste à les diviser en sous-réseaux logiques. Il est possible également de restreindre les connexions autorisées en différenciant par exemple un réseau interne pour lequel aucune connexion venant d Internet n est autorisé, et un sous-réseau dit DMZ (acronyme anglais de DeMilitarized Zone, zone démilitarisée en français) accessible 5 Un port physique est un emplacement permettant de brancher un câble, tandis qu un port logique est un numéro utilisé dans un protocole de communication, notamment le protocole Internet TCP. CNIL 2009 14

depuis Internet. Un exemple d une telle architecture est représenté ci-dessous. Informatique mobile Réseau local Zone accessible depuis Internet Internet Routeur Parefeu (Firewall) (DMZ) Routeur Parefeu (Firewall) Modem Postes Serveurs d application Unités de sauvegarde Imprimantes Serveurs techniques (DHCP, DNS) Serveur de messagerie Portail Web Figure 1: Exemple d'architecture d'un réseau informatique Pour mettre en œuvre un tel cloisonnement, plusieurs méthodes sont envisageables : - l installation d une passerelle sécurisée (un parefeu) entre les deux réseaux à relier afin de contrôler les flux d information entrants et sortants, - la mise en place de commutateurs physiques (switches) : il est alors possible de cloisonner les différents réseaux en contrôlant les flux de données sur la base des adresses réseaux par le biais de fonctions de routage/commutation, telles que les listes de contrôle d accès, - le cloisonnement par le recours à des réseaux virtuels, dénommés VLAN, destinés à des groupes d utilisateurs : l objectif de cette technologie est de cloisonner le réseau informatique, c est à dire d isoler l'ensemble des composants réseaux connectés à un équipement physique (commutateur Ethernet) par groupes selon des critères logiques (appartenance à un département, etc.), pour séparer le trafic réseau. - le recours à des connexions sécurisés dénommées VPN 7.2.3 Contrôle d accès aux serveurs et aux postes de travail Objectif: empêcher les accès non autorisés aux couches logicielles des systèmes d exploitation. [ISO-11.5.1] Il convient que l accès aux systèmes d exploitation soit soumis à une procédure sécurisée d ouverture de session. [ISO-11.5.2] Il convient d attribuer à chaque utilisateur un identifiant unique et exclusif et de choisir une technique d authentification adéquate. A propos des identifiants : Il convient que les identifiants utilisés soient différents de ceux des comptes par défaut et que ces derniers soient désactivés. Il convient par ailleurs qu aucun compte ne soit partagé entre plusieurs utilisateurs. En matière d authentification : Les mécanismes permettant de réaliser l authentification des personnes sont catégorisés en quatre familles selon qu ils font intervenir: - ce que l on sait, par exemple un mot de passe ; - ce que l on a, par exemple une carte à puce ; CNIL 2009 15

- une caractéristique qui nous est propre, par exemple une empreinte digitale ou encore une signature manuscrite. La loi Informatique et Libertés subordonne l utilisation de la biométrie à autorisation préalable. A ce sujet, la doctrine de la CNIL sur l emploi de la biométrie par empreinte digitale dans une base centrale est décrite dans le document [6] (Communication de la CNIL relative à la mise en œuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données). Dans le cas de l utilisation de mots de passe, il convient que : - la complexité des mots de passe suive les règles suivantes dérivées de celles édictées par le CERTA 6 : - avoir des mots de passe de 8 caractères minimum, - utiliser des caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux). - ne pas utiliser de mot de passe ayant un lien avec soi (noms, dates de naissance ). - le même mot de passe ne doit pas être utilisé pour des accès différents. - changer de mot de passe régulièrement. - en règle générale, ne pas configurer les logiciels pour qu ils retiennent les mots de passe. - éviter de stocker ses mots de passe dans un fichier ou lieu proche de l ordinateur si celui-ci est accessible par d autres personnes. - si possible, limiter le nombre de tentatives d accès. Ces mesures dépendent du contexte propre à chaque traitement et peuvent être assouplies ou durcies selon la criticité de l information accessible à l issue de l authentification. Cependant, il faut savoir qu une attaque par recherche exhaustive 7 à partir de la connaissance du haché 8 d un mot de passe de 6 caractères alphabétiques 9 requiert de l ordre de quelques heures de calcul avec un ordinateur personnel. La transmission du mot de passe doit mettre en œuvre des techniques introduisant un aléa à chaque tentative de connexion afin d éviter leur réutilisation 10 suite à une interception de la communication. Dans le cas de l utilisation d une méthode d authentification basée sur des mots de passe à usage unique (en anglais OTP, One-Time Password), il convient de suivre les préconisations données en annexe du document [5] (Règles et recommandations concernant les mécanismes d authentification de niveau de robustesse standard). Dans les cas de l utilisation de dispositifs tels qu une carte à puce ou de schémas d authentification mettant en œuvre des algorithmes cryptographiques, il convient que ceux-ci suivent les règles édictées dans le document [3] (Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard). [ISO-11.5.5] Il convient que soit automatiquement mis fin aux sessions inactives après une période définie. Cette période dépend de la sensibilité du traitement et de la criticité de l opération. En cas d opération 6 disponibles à l adresse http://www.certa.ssi.gouv.fr/site/certa-2005-inf-001/ 7 Cf. http://fr.wikipedia.org/wiki/attaque_par_force_brute 8 Le haché est le résultat obtenu à partir d un algorithme appliqué à un mot de passe et dont une propriété est qu il est extrêmement difficile d en déduire le mot de passe à partir de celui-ci. 9 Numérique : chiffres de 0 à 9, soit 10 caractères Alphabétique : lettres de a à z, soit 26 caractères Alphanumérique : lettres de a à z et A à Z, et chiffres de 0 à 9 soit 62 caractères Alphanum complexe : alphanumérique + certaines caractères!@#$ etc. 10 Cette attaque est appelée le rejeu. CNIL 2009 16

particulièrement critique (opération de télémaintenance d un système par exemple), il convient de mettre fin à une session après une à cinq minutes d inactivité. Pour d autres opérations moins critiques (accès à une application métier par exemple), un délai de quinze minutes doit permettre de garantir la sécurité sans compromettre l ergonomie d utilisation. 7.2.4 Contrôle d accès aux applications et à l information Objectif: empêcher les accès non autorisés aux informations stockées dans les applications. [ISO-11.6.1] Pour les utilisateurs et le personnel chargé de l assistance technique, il convient de restreindre l accès aux données à caractère personnel à leur strict besoin d en connaitre. En matière d administration de bases de données: - il est impératif de changer les mots de passe par défaut par des mots de passe respectant les préconisations du CERTA (http://www.certa.ssi.gouv.fr/site/certa-2005-inf-001/) - il convient, dans la mesure du possible, d utiliser des comptes nominatifs pour l accès aux bases de données - il est préférable d homogénéiser les systèmes sur lesquels les bases sont installées afin de faciliter leur exploitation - il convient de mettre à jour les serveurs de manière régulière afin de corriger les vulnérabilités connues - il convient de bannir les services non sécurisés (authentification en clair, flux en clair, etc ) - il convient de ne pas utiliser les serveurs hébergeant les bases de données à d autres fins (notamment pour se naviguer sur des sites internet, accéder à la messagerie électronique ) - il convient de mettre en œuvre des mesures et/ou d installer des dispositifs de filtrage pour se prémunir des attaques par injection de code SQL, scripts (ex :Nessus ) - les bases de données ne doivent pas être placées dans une zone directement accessible depuis Internet - il convient de limiter et de contrôler les opérations de télémaintenance sur les serveurs de bases de données (note : attention aux vulnérabilités connues de certains xvnc) - il convient de mettre en œuvre des mesures particulières pour les bases de données «sensibles» (chiffrement en base, chiffrement des sauvegardes) En matière d assistance sur les postes clients : - il convient de configurer les outils d administration à distance de manière à recueillir le consentement de l utilisateur avant toute intervention sur son poste - il convient également que l utilisateur puisse constater que la prise de main à distance est en cours. En matière de renouvellement de mots de passe : - lorsque le mot de passe d un utilisateur a été réinitialisé, il convient que ce dernier soit obligé de changer le mot de passe qui lui a été transmis dès sa première connexion. [ISO-11.6.2] Il convient que les systèmes sensibles, c'est-à-dire tout système traitant de données sensibles, disposent d un environnement informatique dédié (isolé). En matière d hébergement dédié ou mutualisé, il convient de se référer au document du CERTA disponible à l adresse suivante : http://www.certa.ssi.gouv.fr/site/certa-2005-inf-005/index.html 7.3 Informatique mobile Objectif: garantir la sécurité des communications ainsi que des données lors de l utilisation d appareils informatiques mobiles. CNIL 2009 17

[ISO-11.7.1] Il convient de définir des mesures de protection des informations transmises ou conservées dans des appareils d informatiques mobiles. Il convient que les accès au système d information au moyen d appareils informatiques mobiles tels que des ordinateurs portables soient sécurisés. Cela peut être réalisé notamment par la mise en place de connexions VPN reposant sur des algorithmes cryptographiques réputés forts et mettant en œuvre un matériel (carte à puce, boitier générateur de mots de passe à usage unique (OTP), etc.). Il convient de sécuriser les unités de stockage contenues dans les appareils mobiles (cf. [ISO-10.7.1], page 13). Lorsque des appareils mobiles servent à la collecte de données en itinérance (ex : PDA, Smartphones ou PC portables, etc.), il convient de sécuriser les données qui y sont stockées. 7.4 Sauvegarde Objectif: maintenir l intégrité et la disponibilité des données à caractère personnel et des moyens de traitement y afférant. [ISO-10.5.1] Il convient de réaliser des copies de sauvegarde des données à caractère personnel et de les soumettre régulièrement à essai conformément à la politique de sauvegarde convenue. Il convient également de procéder à une sauvegarde des logiciels servant au traitement afin de garantir la pérennité de celui-ci. Il convient de réaliser des sauvegardes avec une fréquence suffisante pour éviter la perte d information. Selon le volume d information à sauvegarder, il peut être opportun de prévoir des sauvegardes incrémentales 11 avec une fréquence quotidienne, et des sauvegardes complètes avec une fréquence moindre (hebdomadaires ou bimensuelles). Il convient par ailleurs de prévoir de stocker les supports de sauvegarde dans des armoires à l épreuve du feu, de l eau etc. et de prévoir leur stockage sur un site extérieur. [IL-Sauv-1] sensibles. Il convient de particulièrement sécuriser les sauvegardes si les données sont des données La sécurisation des sauvegardes peut être réalisée de différentes manières : - Soit en chiffrant les sauvegardes elles-mêmes - Soit en chiffrant les données à la source - Soit en prévoyant un stockage dans un lieu sécurisé. Le convoyage éventuel des sauvegardes doit suivre des règles en adéquation avec la politique de sécurité. 7.5 Archivage Objectif: garantir la conservation des données à caractère personnel. 11 Une sauvegarde incrémentale consiste à n enregistrer que les modifications faites par rapport à une précédente sauvegarde. CNIL 2009 18