Politique d'utilisation des dispositifs mobiles



Documents pareils
ISMS. (Information Security Management System) LOGO Institution. Politique de télétravail Versie /06/2008

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Securité de l information :

Recommandations en matière d'effacement de supports d'information électronique.

Accès réseau Banque-Carrefour par l Internet Version /06/2005

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Sécuriser un équipement numérique mobile TABLE DES MATIERES

Mobilité et sécurité. Mobilité et sécurité. Pierre-Yves DUCAS

PROTECTION DES PÉRIPHÉRIQUES MOBILES ET GESTION DE FLOTTE MOBILE (Kaspersky MDM licence Advanced)

TECHN 38. Mobile Device Management. Outils pour la gestion des smartphones et tablettes. 1. Introduction

Consumérisationde l IT et sécuritédes SI. Pascal Sauliere Technology & Security Architect, CISSP, CCSK Microsoft France

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

KASPERSKY SECURITY FOR BUSINESS

Can we trust smartphones?

Pourquoi un pack multi-device?

CONDITIONS GENERALES D UTILISATION DE L APPLICATION L@GOON Version Mai 2015

GESTION DE FLOTTE MOBILE (MDM), LE GUIDE DES BONNES PRATIQUES

«Obad.a» : le malware Android le plus perfectionné à ce jour

cprotect PROTÉGEZ L IRREMPLAÇABLE! POUR SMARTPHONES ET TABLETTES ANDROID MANUEL D UTILISATION

Guide d installation

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Mail Pro. Solution de messagerie collaborative unifiée

La sécurité des ordiphones : mythe ou réalité?

Trusteer Pour la prévention de la fraude bancaire en ligne

ACCEDER A SA MESSAGERIE A DISTANCE

ACCÉDER A SA MESSAGERIE A DISTANCE

Fiche produit. Important: Disponible en mode SaaS et en mode dédié

Systems Manager Gestion de périphériques mobiles par le Cloud

Pourquoi choisir ESET Business Solutions?

Club de presse Ooredoo 47 ème session de formation. «Ocloud Solutions» 08 octobre 2014

A V I S N Séance du mercredi 1er avril

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Conditions générales pour l'utilisation (CGU) de PARSHIP.be Etat au

ClaraExchange 2010 Description des services

Annexe 5. CONTRAT CYBERPLUS PRO Souscrit dans le cadre du Titre 1Conditions Particulières

Présentation KASPERSKY ENDPOINT SECURITY FOR BUSINESS

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

Le BYOD, risque majeur pour la sécurité des entreprises

Sécurité informatique

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

Enquête CRIP Index Stratégie des Devices mobiles. Pierre MANGIN CRIP team Directeur des Etudes & Veille techno

Quel système d'exploitation mobile est le plus fiable?

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Règlement Internet Banking. Helpdesk Internet Banking: ou

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

Sécuriser les achats en ligne par Carte d achat

Menaces et sécurité préventive

Conditions Générales d Utilisation de l Espace Client

Mobile Security pour appareils Symbian^3

MDM : Mobile Device Management

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND

Le marché des périphérique mobiles

Directive sur l utilisation professionnelle des TIC

Liens de téléchargement des solutions de sécurité Bitdefender

CONDITIONS GENERALES D UTILISATION. L application VAZEE et le site internet sont édités par :

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

TABLE RONDE TÉLÉTRAVAIL ET BYOD

Politique d'utilisation (PU)

BITDEFENDER GRAVITYZONE

Démonstration Google Apps. Christophe Thuillier Avril 2010 Arrowsoft

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Infrastructure RDS 2012

Conditions Particulières d Utilisation du Service SFR Mail Octobre 2010

SÉCURITÉ, BANQUE ET ENTREPRISES. Prévention des risques de fraudes

Guide d utilisation. Gamme Telium 2. Application IMAGELOADER xx

CONDITIONS GENERALES D UTILISATION «inwi cloud»

RÈGLEMENT NUMÉRO 12 RÈGLEMENT SUR L UTILISATION DES TECHNOLOGIES INFORMATIQUES ET INTERNET

L impact de la sécurité de la virtualisation sur votre environnement VDI

CONDITIONS PARTICULIERES D'ENREGISTREMENT, DE RENOUVELLEMENT ET DE TRANSFERT DE NOMS DE DOMAINE

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

CONDITIONS GENERALES DE SERVICE APRES VENTE (S.A.V.)

a CONserVer a CONserVer COde d activation pack FNaC pc sécurité & ClOud COde d activation protection android

CONDITIONS GENERALES D UTILISATION DU SERVICE DE BANQUE EN LIGNE

Sophos Computer Security Scan Guide de démarrage

Solutions pour petites entreprises

PREREQUIS TECHNIQUES. Yourcegid Etafi Start

CONDITIONS PARTICULIÈRES SERVICE CDN WEBSITE Version en date du 10/10/2013

Les badges de chantier*

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Convention d utilisation de «e-services des AP»

CONDITIONS D UTILISATION E-CLUB

BlackBerry at work for BlackBerry devices. Guide de l'utilisateur

La sécurité des systèmes d information

Accès aux ressources informatiques de l ENSEEIHT à distance

Convention d utilisation de «Belfius Insurance Net»

TRACcess ekey. Référence rapide

ISO/CEI 27001:2005 ISMS -Information Security Management System

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Guide de mise en œuvre de la politique BYOD

Guide d'administration

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Livre blanc. L impact de la sécurité de la virtualisation sur votre environnement VDI

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

Transcription:

ISMS (Information Security Management System) Politique d'utilisation des dispositifs mobiles Version control please always check if you are using the latest version. Doc. Ref. :isms.0046.politique utililisation des dispositif mobiles.fr.v.1.0.docx Release Status Date Written by Edited by Approved by FR_0.2 Draft 26/11/2012 Alain Houbaille FR_1.0 Final 12/03/2012 Alain Houbaille Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes : messieurs Bochart (BCSS), Costrop (Smals), Lévêque (ONVA), Houbaille (BCSS), Petit (FMP), Perot (ONSS), Quewet (SPF Santé publique), Symons (ONEm), Van Cutsem (ONSS-APL), Van der Goten (INAMI).

TABLE DES MATIÈRES 1. INTRODUCTION... 3 2. SCOPE... 3 3. GROUPE CIBLE... 3 4. DIRECTIVES... 3 4.1. GÉNÉRALITÉS... 4 4.2. ORGANISATION... 5 4.3. POLITIQUE DE SÉCURITÉ... 5 5. SANCTIONS... 7 6. PROPRIÉTAIRE DU DOCUMENT... 7 7. RÉFÉRENCES... 7 8. ANNEXE A: LIEN AVEC LA NORME ISO 27002... 7 P 2

1. Introduction L usage des nouveaux dispositifs mobiles tels que smartphones, tablettes, etc, dans le cadre professionnel doit respecter certaines règles de sécurité. En effet, suivant les normes minimales de la Banque Carrefour de la sécurité sociale, toute organisation doit prendre les mesures adéquates afin de se protéger des risques liés à l utilisation de ce type d appareillage. Le présent document s appuie sur la politique de sécurité de Fedict relative à l usage de ces dispositifs mobiles où les risques identifiés sont les suivants : Perte d informations sensibles à la suite de vol ou de perte de l outil mobile ou lors du déclassement de celui-ci Divulgation d informations sensibles non intentionnelle Attaques liées aux codes malveillants tels que malware, spyware, Attaques liées à l utilisation d internet et de l e-mail, telles que le phishing Attaques provenant de réseau frauduleux Cette politique est d application pour toutes les institutions de la sécurité sociale. 2. Scope La présente politique contient les directives pour l'utilisation de ces outils mobiles destiné à toutes institutions de la sécurité sociale. 3. Groupe cible Elle s'applique à toutes les institutions dont les utilisateurs font usage de ce type de dispositifs mobiles dans le cadre professionnel et ceci est valable tant pour les solutions mobiles délivrés par l institution que pour les solutions mobiles privés. 4. Directives Ci-dessous figurent les directives d'utilisation afin de garantir la sécurité de l'information à la fois au niveau des données présentes sur l outil mobile et au niveau de son utilisation dans un contexte professionnel et privé. La présente politique est généralement associée à une politique en matière de gestion des outils mobiles. Cette politique doit effectivement être formalisée par l institution, ainsi que tout document contractuel qui lie l utilisateur et l institution lors de l usage de dispositif mobile dans le cadre du travail. Le terme "outil mobile" ou «dispositif mobile» comprend également les tablettes, les netbooks, les smartphones et tout autre ordinateur ou appareillage de télécommunication pouvant être utilisé en dehors de l institution. 1 1 Par dispositifs mobiles, il y a lieu d'entendre en premier lieu les smartphones et tablets qui ont recours à un système d'exploitation mobile tel que Google OS (Android), ios, Windows Mobile, Palm OS, Blackberry OS,... P 3

4.1. Généralités 1. La politique de l institution en matière de sécurité de l'information reste intégralement d'application dans ce contexte. 2. La présente politique s'applique à tous les utilisateurs qui accèdent aux ressources de l institution avec ce type d appareillage. 3. Le niveau d exigence sécuritaire embarqué sur ce type d appareillage dépendra de la criticité des données potentiellement accessibles. 4. L emploi d appareils privés à des fins professionnelles ne peut être envisagé qu aux conditions suivantes : a. L institution est tenue de déterminer les besoins légitimes et le degré de confiance qu elle accorde à son utilisateur final, basé sur une analyse de risques liés à l utilisation des données accédées; b. l institution a les garanties suffisantes que les dispositifs mobiles privés ont un niveau de sécurité équivalent à ceux délivrés par l institution ; c. l institution assure que le niveau d accès aux données de l institution via ce type d appareillage ne peut se faire que selon le principe suivant: «Afin d assurer la sécurité des données de l institution, le niveau d exigence sécuritaire demandé sera toujours proportionnel à la criticité des données» (cf.4.3.1); d. Le dispositif mobile privé de l utilisateur final doit être géré par l institution en accord avec les dispositions du tableau 4.3.1.A. 2 e. Un agrément doit être proposé par l institution. 5. Dans la mesure où ces appareils peuvent être utilisés à la fois à des fins professionnelles et privées, le respect des règles de sécurité définies par l institution incombe à l utilisateur final. a. L'utilisateur doit toujours rester vigilant lorsque ces outils mobiles sont utilisés à des fins privées conformément aux présentes directives et aux directives spécifiques en matière de sécurité de l information. b. Tout utilisateur est le seul responsable de son usage. Sensibilisé aux risques liés à ce type d appareillage, surtout lorsqu il se connecte au système d information de l institution, l utilisateur s engage à respecter les règles de sécurité obligatoires afin d'éviter tout abus (p.ex. le téléchargement d'applications non autorisées, voir 4.3.1), toute perte ou le vol de l'information sensible. c. En cas de perte ou de vol, l'utilisateur en avertira immédiatement le service compétent, même s il s agit d un dispositif mobile «privé» utilisé dans le cadre professionnel. 6. L institution a le pouvoir de vérifier la conformité de la sécurité de ces appareils à distance afin de limiter les risques de sécurité liés aux outils mobiles. Afin de garantir son niveau de sécurité, l institution doit mettre en œuvre des contrôles en ce sens 3. Dans ce cadre, l institution n est nullement responsable des dégâts occasionnés, des coûts liés à la perte ou au vol de données privées. 7. L institution s engage à sensibiliser les utilisateurs aux bonnes pratiques d usage et à leurs responsabilités. 8. L institution s'engage à respecter la vie privée de l utilisateur. 2 Dans le cas où le dispositif mobile supporte une séparation logique des environnements privé et professionnel, le contrôle sera limité à la partie professionnelle. 3 Toujours sur base d un agrément mutuel. P 4

4.2. Organisation 1. Le service compétent de l institution est responsable de la bonne mise en œuvre de la politique de sécurité de l outil mobile. 2. Le support délivré par l institution ne s opère que sur les moyens dont elle a le contrôle ou la gestion. Ce support peut être sous-traité. 3. Pour tout utilisateur final désirant accéder l information de l institution au travers de ce type d appareillage, a. l institution délivrera à celui-ci la politique d utilisation et un aperçu de la politique de sécurité embarquée. b. Celui-ci signera l agrément de cette politique d utilisation et la conformité à la politique de sécurité. 4. En signant cet agrément, l'utilisateur se déclare d'accord avec les directives d'utilisation et il est tenu responsable de son utilisation. 5. A tout moment, l institution aura la capacité et le pouvoir de bloquer l accès à l information de l institution (données présentes sur le smartphone ou les ressources de l entreprise) et de supprimer les données. Cette directive doit être explicitement reprise dans l agrément. 4.3. Politique de sécurité 1. Comme décrit dans le point 4.1 généralités, la politique de sécurité embarquée sur les dispositifs mobiles dépend de la criticité des données accédées. Les tableaux ci-après résument les directives sécuritaires à implémenter en fonction des trois modèles techniques envisageables dans la gestion des dispositifs mobiles. A. Modèles techniques de gestion en fonction de la classification des données. Data classification Exemple Dispositif mobile sans gestion Dispositif avec mobile gestion Données publiques Site BCSS O O O Données internes de l entreprise Données confidentielles l entreprise de Données à caractère personnel Données sociales à caractère personnel Données médicales Stratégie interne, agenda contact, mail Plan comptable, DRP Dossier personnel RH A définir 6 O O N A définir O N A définir O 9 données RN N N O Données médicales N N O Dispositif mobile avec Environnements Séparés (Isolation 4 /VDI 5 ) 4 Isolation: dispositif permettant de créer des environnements strictement séparés (professionnel et privé) sur un terminal mobile ou le contrôle par l'employeur se limite uniquement qu'à la partie professionnelle. 5 Virtual Device Interface: Client léger installé sur un dispositif mobile permettant une session sécurisée distante vers un environnement professionnel. 6 Le terme «à définir» signifie que l institution défini le groupe de données relatif à une classification qui peut être accessible par un des trois modèles de gestion. P 5

B. Mesures de sécurité en fonction du modèle de gestion 7. Implémentation forcée de mesures de sécurité Sensibilisation et responsabilisation (cf. 4.2.3) Système d authentification de l utilisateur sur l appareil Verrouillage de l'appareil en cas d'inactivité Dispositifs mobiles sans gestion Dispositifs mobiles avec gestion O O O Recommandé O O Dispositifs mobiles avec Environnements Séparés (Isolation/VDI) Recommandé O O, sur l environnement Politique du mot de passe Recommandé O O Blocage automatique après l'introduction de x codes d'accès erronés Communication sécurisée pour l accès à l information de l entreprise Authentification forte pour l accès à l information de l entreprise Vérification de la présence d un logiciel antivirus ou anti-malware actif Vérification de de la dernière mise à jour A.V. N O O O O O Recommandé O O Recommandé O O N O O Vérification du niveau admissible de N O O l O.S 8 Autoriser uniquement l installation d applications provenant de source de confiance Recommandé Recommandé Recommandé/O dans l environnement de l institution Limitation de la connectivité lors de Recommandé O O l accès à l information de l institution 9 Chiffrement des données sur l appareil Recommandé Recommandé Dans le cas uniquement de l isolation, le chiffrement est nécessaire. Blocage à distance N O O Effacement des données à distance N O O, dans la session ou dans l environnement du dispositif mobile dédié à l institution Noter le numéro IMEI de l appareil Recommandé Recommandé Recommandé 7 Cette liste est non exhaustive 8 Y compris jailbreaking, routing, 9 Connexion internet non autorisée P 6

2. L'utilisateur ne modifiera pas les paramètres de sécurité même si cela est techniquement possible. L'utilisateur n'effectuera pas de «rooting» ou de «jailbreak» du dispositif mobile reçu. 3. L'utilisateur sera averti lorsque le dispositif mobile n'est pas conforme à la politique de sécurité. 4. En cas de non-conformité du dispositif mobile, l'accès aux ressources d'entreprise sera refusé. 5. En cas de perte ou de vol, le dispositif mobile sera verrouillé et, si possible et nécessaire, les données seront effacées. Ceci peut entraîner la perte de données personnelles enregistrées sur le dispositif mobile. 5. Sanctions Le non-respect de la présente politique donnera lieu à une sanction conformément à la réglementation en vigueur au sein de l institution. 6. Propriétaire du document Le maintien, le suivi et la révision de la présente politique relèvent de la responsabilité du service Sécurité de l'information de la BCSS. 7. Références Les références utilisées sont: - les normes minimales 2011 de la BCSS - la norme ISO 27002:2005 8. Annexe A: Lien avec la norme ISO 27002 Ci-après nous indiquons les principales clauses de la norme ISO 27002 qui ont, de manières standard, un rapport avec l objet de la présente politique. norme ISO 27002 Politique de sécurité Organisation de la sécurité de l information Gestion des ressources d entreprise Exigences de sécurité relatives au personnel Sécurité physique Sécurité opérationnelle Sécurité d'accès logique Maintenance et développement de systèmes d information Maîtrise des incidents de sécurité Protection de l'information dans le cadre de la continuité de l'entreprise Respect/audit P 7

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back