CHARTE d utilisation du réseau informatique des Missions Locales de Bourgogne V1. 1
Sommaire Présentation générale. p04 1 L organisation du réseau informatique des ML.... p05 1.1 L organisation générale..... P05 1.1.1 Schéma général... p05 1.2 L intervention des ressources informatiques p06 1.2.1 Condition de la prise en main à distance... P06 1.2.2 Conditions d accès aux données personnelles... P06 2 Droit et niveau de responsabilité... p08 2.1 La législation en vigueur.. p08 2.1.1 La protection de la propriété intellectuelle.. p08 2.1.2 La protection de l intégrité d un système d information p08 2.1.3 Le respect des libertés individuelles.. p08 2.1.4 Le secret de la correspondance. p08 2.1.5 La discrétion professionnelle.. p09 2.2 Les différents niveaux de responsabilité. p09 2.2.1 La responsabilité personnelle. P09 2.2.2 Poursuites pénales. P09 2.2.3 Poursuites civiles. P08 2.2.4 Mesures disciplinaires P10 3 Protection du réseau des Missions Locales.... p11 3.1 Restriction des interconnexions entre le réseau et l extérieur p11 3.1.1 Utilisation de connexion VPN à distance. p11 3.1.2 Connexion ADSL p11 3.1.3 Utilisation de bornes wi-fi (réseau sans fil).. p12 3.1.4 Ligne de télémaintenance. p12 3.1.5 Points d accès public à Internet. p12 3.1.6 Les demandes d autorisation. p12 4 Sécurité et règles d utilisation des postes de travail. p13 4.1 Règles d utilisation. p13 4.1.1 De la confidentialité et de la protection de l information. p13 4.1.2 De l usage des mots de passe. p14 4.1.3 De la configuration des postes de travail.. p14 4.1.4 De la sauvegarde des données p14 4.1.5 De l utilisation d un micro-ordinateur portable. p14 4.1.6 Des contrôle des virus informatiques p15 4.1.7 De l intégrité des systèmes d informatiques p15 5 Sécurité et règles d utilisation du réseau Internet.... p16 5.1 Contrôle et sécurisation des connexions Internet p16 5.1.1 Filtrage des ressources d Internet.. p16 2
5.1.2 Analyse et contrôle de l utilisation des ressources par les utilisateurs p16 5.1.3 Contrôle anti-virus des flux en provenance d Internet. p16 5.2 Règles d utilisation du réseau Internet p16 5.2.1 Utilisation d Internet à des fins personnelles.. p17 5.2.2 Téléchargement p17 5.2.3 Forum et «tchat».. p17 6 Sécurité et règles d utilisation de la messagerie élec... P18 6.1 Dispositif de sécurité p18 6.1.1 Contrôles automatisés... p18 6.1.2 Contrôle anti-virus de le messagerie. p18 6.1.3 Contrôle anti-spam de la messagerie p18 6.1.4 Quelques recommandations de sécurité.. p18 6.1.5 Recommandations particulières à propos des «canulars»... p19 6.2 Règles d utilisation. p19 6.2.1 Gestion des mots de passe de messagerie... p19 6.2.2 A propos de la confidentialité des messages.. p19 6.2.3 Message professionnel / message privé?. p19 6.2.4 Accès distant par le web. p20 6.2.5 Déontologie et bonne conduite. P20 6.2.6 Fermeture du compte de messagerie lors du départ de l employé. P20 6.2.7 Compte de messagerie non professionnelle. p20 3
Présentation générale Le recours grandissant à l informatique et aux télécommunications s accompagne de risques, dont certains, très nouveaux, rendent très vulnérable le réseau des Missions Locales de Bourgogne. Aussi, est-il indispensable de protéger son système d information, et ce à plusieurs niveaux : Physique : par des dispositifs de sécurité dans les locaux qui les abritent, Logique : par des dispositifs de protection logiciels contre toutes les atteintes internes ou externes, Humain : contre tout acte malveillant ou de négligence de la part des utilisateurs. Ainsi ce document doit permettre de mieux cerner l environnement dans lequel évoluent les professionnels lorsqu ils utilisent le système d information des Missions Locales de Bourgogne, de comprendre les risques qui peuvent peser sur lui et les moyens à mettre en œuvre pour les prévenir. Ce document précise quels sont les différents intervenants dans l organisation de la sécurité du système d information, leurs compétences, et leur niveau de responsabilité respectif. Il précise quels sont les interlocuteurs pour tout besoin spécifique concernant les postes de travail ou le réseau. Il indique comment réagir en cas d incident ainsi que les comportements et précautions à adopter au niveau des utilisateurs, pour assurer la sécurité des ressources informatiques, tant sur le plan individuel que collectif. Mais outre la sécurité, ce document a le double objectif suivant qui concerne directement chaque structure et chaque utilisateur : informer sur les obligations professionnelles et individuelles dans le cadre de l utilisation du système d information, sachant que les règles exposées dans ce document fixent aussi les limites de la responsabilité personnelle en cas d accident, informer sur les droits des utilisateurs. Ces droits sont relatifs au respect de la vie privée sur le lieu de travail, et l intérêt des règles exposées dans ce document est de fixer un cadre qui les garantit. Ces règles protègent également contre toute demande abusive au regard de ces droits, qu elle porte atteinte directement à l utilisateur de la Mission Locale ou à un tiers. 4
1) L organisation du réseau informatique des Missions Locales de Bourgogne 1.1) L organisation générale L Association régionale des Missions Locales de Bourgogne (ASSOR) a conclu un contrat régional pour la fourniture et mise en service d une solution d accès VPN et d un service de messagerie pour les 16 Missions Locales de la Région Bourgogne, dont elle assure le suivi. Chaque Mission Locale dispose d une ressource humaine dédiée à l informatique clairement identifiée et mobilisable. Cette ressource locale est le relais entre l Association Régionale des Missions Locales et la Mission Locale. Elle est l interlocutrice unique de chaque utilisateur pour tout ce qui a trait au fonctionnement des systèmes d information, à l équipement et au fonctionnement de votre poste de travail. 1.1.1) Schéma général Administration Régionale SI Gestion dédiée MLBourgogne Ressource humaine de la ML dédiée à l informatique Utilisateurs 5
1.2) L intervention des ressources informatiques Les professionnels habilités par les directions des Missions Locales à intervenir sur leur réseau informatique doivent veiller à assurer le fonctionnement normal et la sécurité des réseaux et systèmes d information. Ils sont conduits, de par leurs fonctions, à avoir accès à l ensemble des informations relatives aux utilisateurs (messagerie, connexions à Internet, fichiers «logs» ou de «journalisation», etc.) y compris celles qui sont enregistrées sur le disque dur du poste de travail individuel. Un tel accès n est contraire à aucune disposition de la loi «informatique et libertés» du 6 janvier 1978 tant qu il est effectué pour des raisons de services et que les conditions qui suivent sont respectées. 1.2.1) Conditions de la «prise de main à distance» L utilisation de logiciels de télémaintenance qui permettent, à distance, de détecter et réparer les pannes ou de prendre le contrôle du poste de travail d un salarié ne soulève aucune difficulté particulière au regard de la loi précitée dans la mesure où les dispositifs de sécurité nécessaires à la protection des données personnelles sont mis en œuvre : L informaticien ne doit pas accéder au PC sans l accord de l utilisateur, Un système de contrôle d accès doit exister afin de limiter cette faculté de «prise de main à distance» aux seules personnes habilitées. 1.2.2) Conditions d accès aux données personnelles Les NTIC attribuées aux salariés le sont dans le cadre de leur travail et pour la bonne exécution de ce dernier. Une utilisation personnelle raisonnable peut être tolérée. Elle ne doit pas affecter l activité de la Mission Locale ni la sécurité du réseau local et régional. Il peut arriver que l Administration régionale SI (ASSOR), la ressource informatique de la Mission Locale, soient conduits, dans le cadre de leurs fonctions, à accéder à des données personnelles, notamment sur les messageries. L Administration régionale SI (ASSOR), la personne dédiée localement, ne peuvent ouvrir les fichiers, identifiés par le salarié comme personnels, contenus sur le disque dur de son ordinateur qu en présence de ce dernier, ou si celui-ci a été dument appelé. Il existe une limite à ce principe : la consultation des fichiers personnels peut se faire en l absence de l agent «en cas de risque ou d évènement particulier». L accès à ces données ne peut donner lieu à aucune exploitation répondant à d autres impératifs, même sur ordre de la hiérarchie. L Administration régionale SI (ASSOR), la personne dédiée de la Mission Locale sont tenus au secret professionnel. Elles ne doivent en aucun cas divulguer des informations qu elles auraient été amenées à connaitre dans le cadre de leurs fonctions. C est le cas, en particulier, lorsque celles-ci sont couvertes par le secret des correspondances ou relèvent de la vie privée des utilisateurs ; à condition qu elles ne mettent en cause ni le bon fonctionnement technique ni la sécurité des applications et ne portent pas atteinte à l intégrité du réseau des Mission Locale. 6
En cas d utilisation manifestement abusive, dangereuse ou illicite de la messagerie ou autre système d information par un salarié, l Administration régionale (ASSOR) a la possibilité d intervenir pour stopper techniquement les pratiques. La Mission Locale employeur reste compétente pour faire sanctionner les pratiques du salarié. 7
2) Droit et niveau de responsabilité 2.1) La législation en vigueur 2.1.1) La protection de la propriété intellectuelle Il est strictement interdit d effectuer des copies de logiciels commerciaux pour quelque usage que ce soit. Seules sont autorisées les copies de sauvegarde dans les conditions prévues par le code de la propriété intellectuelle. Elles ne peuvent être effectuées que par la personne dédiée de la Mission Locale. De même, il est interdit de contourner les restrictions d utilisation d un logiciel, notamment la licence d exploitation. La contrefaçon (disposer de copies illégales) est sanctionnée par trois ans d emprisonnement et 300 000 euros d amende. (Articles L335-2 et L335-3 du code de la propriété intellectuelle). 2.1.2) La protection de l intégrité d un système d information Tout système d information est légalement protégé contre l accès ou la tentative d accès sans autorisation, contre son altération totale ou partielle et l entrave à son bon fonctionnement. (articles 321-1 à 323-7 du code pénal) Le non-respect de l intégrité d un système d information et l accès ou la tentative d accès sans autorisation sont sanctionnés par 30 000 euros à 100 000 euros d amende et de deux à sept ans d emprisonnement. 2.1.3 Le respect des libertés individuelles Si, dans l accomplissement de son travail, l utilisateur est amené à constituer des fichiers tombant sous le coup de la loi Informatique et Liberté (en comportant par exemple des informations nominatives), il devra auparavant, en accord avec sa direction, en avoir fait la demande à la CNIL et en avoir reçu l autorisation. Le logiciel Parcours3 a été déclaré à la CNIL, Commission Nationale de l Informatique et des Libertés et a reçu un avis réputé favorable à compter du 19 mars 2004. 2.1.4) Le secret des correspondances La loi incrimine «Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance ou le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions» Le secret des correspondances émises par la voie des télécommunications est garanti. (article 226-15 du code pénal) 8
La violation du secret des correspondances émises par la voie des télécommunications est sanctionnée par un an d emprisonnement et 45 000 euros d amende. 2.1.5) La discrétion professionnelle Les salariés doivent en toute circonstance, respecter le caractère propre de la Mission Locale et observer les obligations de discrétions professionnelles, de respect de liberté de conscience, de discipline, telles que précisées dans les différents règlements de la Mission Locale. (article 5.1.2 CCN Missions Locales) 2.2) Les différents niveaux de responsabilité Différents acteurs interviennent dans la mise en place et le fonctionnement des Systèmes d Information. Tous jouent un rôle dans l application des consignes de sécurité : ils doivent personnellement les appliquer, mais aussi les faire appliquer : L ASSOR : est chargée de définir, mettre en place et animer les moyens, les règles et les procédures nécessaires à la protection du système d information des Missions Locales de Bourgogne. La ressource humaine de la Mission Locale dédiée à l informatique : le référent désigné, l informaticien de la Mission Locale. Les utilisateurs Les utilisateurs sont détenteurs d un «droit d usage» personnel, strictement limité aux besoins qui ont justifié l attribution de ce droit, et doivent, par conséquent agir conformément aux règles définies. 2.2.1) Responsabilité personnelle Tout acteur ou utilisateur, dans le cadre de ses attributions, représente la Mission Locale et l engage professionnellement dans ses relations avec les tiers, avec toutes les conséquences que cela peut avoir notamment sur le plan légal. Parallèlement, tout acteur ou utilisateur dispose, de droits confiés par la Mission Locale sur tout ou partie de son système d information. Ces droits lui sont propres. Ils sont limités dans le temps et incessibles. Il est personnellement responsable de l usage qu il en fait et doit respecter la réglementation en vigueur ainsi que les règles et procédures de sécurité énoncées par l Administration régionale et la direction de la Mission Locale. A défaut il peut être personnellement, pénalement, civilement ou administrativement, poursuivi. 2.2.2) Poursuites pénales Peuvent être poursuivies devant les juridictions pénales, pour les infractions à la législation ci-dessus rappelée, les personnes physiques et les personnes morales. 2.2.3) Poursuite civiles Les victimes de ces infractions peuvent saisir les tribunaux civils pour demander réparation du préjudice subi, directement ou indirectement, par la malveillance ou la négligence coupable. 9
La négligence coupable pourrait, par exemple, être retenue, à l encontre d un salarié qui n aurait pas respecté les règles et consignes de sécurité ou qui aurait été manifestement négligent dans l accomplissement de ses obligations relatives à la protection du système d information de la Mission Locale. 2.2.4) Mesures disciplinaires En cas d infractions avérées ou de négligences graves, la Mission Locale peut exercer des mesures disciplinaires applicables aux salariés. (Article 5.13 CCN Missions Locales) 10
3) Protection du réseau des Missions Locales de Bourgogne 3.1) Restriction des interconnexions entre le réseau des Missions Locales de Bourgogne et l extérieur Le réseau des Missions Locale de Bourgogne est un réseau privé, à ce titre, il doit être protégé et pour ce faire, les interconnexions entre cette infrastructure et l extérieur doivent être connues, contrôlées et limitées. Aujourd hui l accès central sécurisé se trouve chez SFR, qui assure le contrôle et la sécurité des communications. Toute interconnexion avec l extérieur doit donc faire l objet d une autorisation préalable de l ASSOR. Le non-respect de cette règle est un manquement grave à la sécurité informatique. 3.1.1) Utilisation de connexions VPN à distance L utilisation d une connexion VPN à distance (client VPN ipsec) est soumise à autorisation préalable et strictement limitée. Cette autorisation est strictement personnelle et ne peut en aucun cas être cédée, même temporairement, à un tiers. Elle peut être retirée à tout moment. Toute autorisation prend fin lors de la cessation de l activité professionnelle qui l a justifiée. Un micro-ordinateur de bureau ou portable utilisant une connexion VPN à distance est autorisé uniquement pour l utilisation d applications ou de bases de données inaccessibles en dehors du vpn mis en œuvre par le réseau des Missions Locales de Bourgogne. Un micro-ordinateur de bureau ou portable pour lequel l utilisation d une connexion VPN à distance a été autorisée ne doit pas être connecté au réseau de la Mission Locale sans autorisation de la ressource humaine dédiée localement à l informatique. Il doit, de plus, être doté d un anti-virus régulièrement mis à jour par elle. Le salarié qui se risque à violer ces règles doit savoir qu il ouvre une brèche dans l infrastructure régionale du système d information des Missions Locales et engage par conséquent sa responsabilité personnelle. 3.1.2) Connexion ADSL L utilisation d un accès ADSL autre que celui dédié au réseau régional géré par l Assor, reliant ce réseau régional à Internet est strictement interdit. Le non-respect de cette règle est un manquement grave à la sécurité informatique. 11
3.1.3) Utilisation de Bornes wi-fi (réseau sans fil) La mise en œuvre de ce matériel est soumise à déclaration préalable de l ASSOR et est strictement limitée. Ce type de matériel, permettant une mise en œuvre très simple de réseau sans fil, met en danger l ensemble du réseau régional. L utiliser équivaut à installer une prise réseau à l extérieur des locaux de la Mission Locale, en ce cas aucun sécurité n est active. 3.1.4) Ligne de télémaintenance Pour la maintenance des applications, la ressource humaine dédiée localement à l informatique peut être amenée à connecter le réseau de la Mission Locale à une entreprise extérieure. Toute installation de ce type doit être signalée à l ASSOR. Il est demandé à la ressource humaine dédiée de verrouiller cet accès lorsqu il n est pas utilisé. Le non-respect de cette règle est un manquement grave à la sécurité informatique. 3.1.5) Points d accès public à Internet Le raccordement au réseau régional de points d accès public à Internet est strictement interdit. Le non-respect de cette règle est un manquement grave à la sécurité informatique. 3.1.6) Les demandes d autorisation Dans tous les cas d un besoin qui nécessite une autorisation particulière, l utilisateur doit contacter la ressource humaine dédiée localement à l informatique. C est elle, qui, le cas échéant, prendra les contacts nécessaires auprès de l ASSOR pour l obtention de cette autorisation. A titre d exemple, en ce qui concerne les autorisations de relier une connexion ADSL, les bornes wi-fi, un logiciel de maintenance à distance, c est toujours l ASSOR qui sera compétente. 12
4) Sécurité et règles d utilisation des postes de travail 4.1) Règles d utilisation Tout utilisateur est responsable de l usage des ressources informatiques et du réseau auxquels il a accès. Est proscrite toute utilisation risquant d en provoquer la saturation et tout détournement à des fins personnelles. L utilisateur, a en charge, à son niveau, de contribuer à la sécurité générale et à celle de sa Mission Locale. L utilisation des ressources et du réseau mis à disposition doit être rationnelle et loyale. Tout utilisateur qui ne se sera pas conformé à ces règles sera tenu responsable des détériorations d informations ou des infractions commises. 4.1.1) De la confidentialité et de la protection de l information Toute information est professionnelle à l exclusion des données explicitement désignées par l utilisateur comme relevant de sa vie privée. Les éventuels fichiers privés doivent être rangés dans un répertoire spécifique, identifiable au premier coup d œil. Ce qui signifie que ce répertoire doit être situé au premier niveau de la hiérarchie des fichiers de l ordinateur et porter le nom «privé», voire «personnelle». Si dans une Mission Locale un traitement automatique est effectué, pour exclure les données privées des sauvegardes par exemple, il sera possible d imposer des règles pour nommer le répertoire privé. Ces règles devront avoir été préalablement communiquées à l ensemble des utilisateurs de la Mission Locale par sa direction. Les ressources réseaux ne doivent pas être utilisées afin de stocker des données privées. L accès par les utilisateurs aux informations et documents conservés sur les systèmes informatiques doit être limité à ceux qui leur sont propres, ou partagés. En ce qui le concerne, l utilisateur doit adopter un niveau de protection adapté à la sensibilité de l information qu il détient et diffuse : l information non protégée ou «classique» circulant dans la Mission Locale et à l extérieur, est gérée de façon normale, c est-à-dire enregistrée sur clé USB ou sur le réseau. L information en diffusion restreinte et confidentielle doit faire l objet de précaution (par exemple faire figurer la mention «diffusion restreinte» ou «confidentiel», protection par mot de passe, accessibilité est limitée aux utilisateurs concernés). 13
4.1.2) De l usage des mots de passe Le système d authentification par mot de passe, n est efficace que dans la mesure où chacun a conscience que celui-ci constitue un secret précieux pour la protection et la sécurité des données individuelles ou collectives. Il ne faut pas «confier» son mot de passe, il est un secret entre l utilisateur et son ordinateur. S il est confié à quelqu un, un collègue, un ami ou un proche, il ne joue plus son rôle d authentifiant unique. Cela entraîne le risque de mettre en échec la sécurité du système dans son fondement, et toutes les mesures qui pourraient être prises par ailleurs ne servent plus à rien. Il est absolument déconseillé de noter son mot de passe à proximité de son ordinateur ou de manière à ce qu un rapprochement puisse être fait avec le système qu il est censé protéger. Les «autocollants» sous le clavier ou le tapis de la souris sont de mauvaises idées! Il faut changer régulièrement son mot de passe. (au moins tous les trois mois). Ne jamais confier son mot de passe 4.1.3) De la configuration du poste de travail de l utilisateur Toute installation ou modification de la configuration du poste de travail de l utilisateur est du ressort exclusif de la ressource humaine dédiée localement à l informatique, même si cela paraît simple à l utilisateur. Le fait d avoir des accès différents aux ressources informatiques mène à gérer des empilements de logiciels parfois incompatibles. La modification d un seul élément peut créer des instabilités techniques imprévisibles. Seule la ressource humaine dédiée à l informatique de la Mission Locale est garante du maintien de cette compatibilité sur les postes de travail. Pour les mêmes raisons, il est interdit d installer des logiciels à caractère ludique ou personnel. (Même si l utilisateur en possède la licence) 4.1.4) De la sauvegarde des données : Il est recommandé de sauvegarder régulièrement les fichiers. La périodicité des sauvegardes devrait être au moins hebdomadaire. Il est, également, recommandé de détruire régulièrement les anciens fichiers. Les consignes et règles de sauvegarde sont précisées par la Mission Locale. 4.1.5) De l utilisation d un micro-ordinateur portable L utilisateur d un micro-ordinateur portable doit prendre quelques précautions pour éviter le vol du matériel et la perte des données : Au bureau «attacher» son portable (avec un câble antivol) et réaliser régulièrement les sauvegardes de ses fichiers, En déplacement professionnel, ne pas laisser son portable sans surveillance Protéger, par le moyen approprié, les documents confidentiels qu il contient ou les supprimer s ils ne sont pas utilisés lors du déplacement. 14
4.1.6) Des contrôles des virus informatiques Des outils anti-virus sont installés sur les postes de travail, sur la sortie réseau mutualisée des Missions Locales de Bourgogne pour veiller sur tout ce qui entre ou sort de la Mission Locale (mails, Internet etc.) Mais une politique saine du contrôle de la présence de virus au sein du réseau des Mission Locale passe par une prise de conscience des utilisateurs sur la conduite à tenir. Des précautions doivent être prises concernant la circulation de données informatiques et l utilisation de support tels que clés USB et CD Rom qui resteront strictement professionnelles. Il est interdit d utiliser des CD Rom ou disquettes trouvés dans des revues. Attitude à observer en cas d incident : Avertir : tout incident dont on soupçonne qu il affecte le système informatique ou le poste de travail individuel, doit être impérativement signalé à la ressource humaine dédiée à l informatique de la Mission Locale dans les meilleurs délais, Figer la situation : lorsqu un phénomène inexplicable ou curieux se produit, il y a lieu de figer la situation en attendant l intervention de la ressource humaine dédiée à l informatique. En particulier, il ne faut jamais déclencher l exécution d un programme ou ouvrir une pièce jointe lorsqu ils sont inconnus ou inattendus, Faire une copie de l écran ou du message : dans la quasi-totalité des «incidents systèmes» apparait un message ou une boite de dialogue à l écran (souvent en anglais). Il faut noter ce message. Son contenu permet souvent de retrouver rapidement l origine de l incident. 4.1.7) De l intégrité des systèmes informatiques L utilisateur s engage à ne pas opérer de manipulations du matériel non validées par la ressource humaine dédiée à l informatique, ni à introduire de logiciels pouvant contenir des parasites connus sous le nom générique de virus, chevaux de Troie ou bombes logiques, afin de ne pas apporter volontairement ou involontairement des perturbations au bon fonctionnement des systèmes informatiques et des réseaux. Tout travail risquant de conduire à la violation de cette règle, ne pourra être accompli qu après autorisation de la ressource humaine dédiée à l informatique locale, qui elle-même en aura informé l ASSOR si nécessaire, et dans le strict protocole qui aura alors été défini. 15
5) Sécurité et règles d utilisation du réseau Internet L ensemble de salariés des Missions Locales de Bourgogne a accès à Internet. Il est nécessaire d en préciser les conditions générales d utilisation afin de permettre à chacun d y naviguer tout en assurant la sécurité et la qualité des connexions. 5.1) Contrôle et sécurisation des connexions Internet Les connexions du réseau des Missions Locales de Bourgogne avec des réseaux extérieurs sont sécurisées à l aide de dispositifs adaptés (pare-feu, etc.). Ils vérifient le trafic entrant et sortant et conservent l historique des connexions effectuées par Internet ou messagerie, à des fins de sécurité. Ces données sont strictement gérées par SFR, prestataire du réseau des Missions Locales de Bourgogne. Seuls les responsables réseau et sécurité SFR peuvent accéder à ces informations. Seule une demande d extraction de données émanant des instances judiciaires pourrait être prise en compte. 5.1.1) Filtrage des ressources d Internet Pour des raisons déontologiques, et en application de la loi Création et Internet, le réseau des Missions Locales de Bourgogne s est doté d un système de filtrage de contenu de page web. Fondé sur un système de mots clés, et de réputation, ce dispositif a pour vocation de bloquer l accès à des sites à caractères pornographiques, d incitation à la haine raciale, contraires à la loi création et Internet etc. 5.1.2) Analyse et contrôle de l utilisation des ressources par les utilisateurs Il n existe pas, au niveau régional, de dispositif de contrôle individuel destiné à produire, poste par poste, un relevé des durées de connexion ou des sites visités. Néanmoins pour des nécessités de maintenance et de gestion technique, les échanges via le réseau peuvent être analysés et contrôlés. L Assor est dont en mesure d éditer des relevés de consommation du volume de données échangées pour les plus gros consommateurs (en terme de débit). 5.1.3) Contrôle anti-virus des flux en provenance d Internet Le filtrage anti-virus des flux générés durant la navigation sur Internet est opérationnel depuis 2006. Il protège l infrastructure du réseau des Missions Locales de Bourgogne d éventuelles attaques de codes malveillants placés dans les pages visitées ou les fichiers téléchargés. 5.2) Règles d utilisation du réseau Internet Dans les locaux de la Mission Locale, il n est autorisé à accéder au réseau Internet qu à partir de la connexion réseau mise à disposition. 16
5.2.1) Utilisation d Internet à des fins personnelles Seuls ont normalement vocation à être consultés les sites Internet présentant un lien direct et nécessaire avec l activité professionnelle. La durée de connexion ne doit pas excéder un délai raisonnable et doit présenter une utilité au regard des fonctions et des missions de chacun. L utilisation sur les lieux de travail des outils informatiques et d Internet à des fins autres que professionnelles est généralement tolérée. Elle doit rester raisonnable et ne pas affecter la sécurité des réseaux ou l activité de la Mission Locale. Rappel : le contenu des sites consultés ne doit pas être contraire à l ordre public et aux bonnes mœurs, ni mettre en cause l intérêt et la réputation du réseau des Missions Locales. 5.2.2) Téléchargement Il n existe pas de téléchargement anodin. L opération en elle-même génère un risque, sans que l utilisateur puisse s en rendre compte. Tout téléchargement doit donc être fait exclusivement pour des besoins professionnels et sous le contrôle de la ressource humaine dédiée à l informatique localement. L utilisation de logiciels de Peer-to-Peer (partage et téléchargement de fichier) est strictement interdite. Des restrictions d accès sont donc appliquées sur tous ces services, ce qui les rend inaccessibles. Chaque utilisateur doit respecter les droits de la propriété intellectuelle, en s interdisant de télécharger des films, images, musique et logiciel soumis à un droit de licences. 5.2.3) Forum et «tchat» La participation à des forums publics ou à des messageries instantanées est présumée avoir un caractère professionnel. 17
6) Sécurité et règles d utilisation de la messagerie électronique Chaque salarié du réseau des Missions Locales de Bourgogne bénéficie d un compte de messagerie professionnel sur le domaine «@mlbourgogne.fr» 6.1) Dispositif de sécurité 6.1.1) Contrôles automatisés Des contrôles automatiques et systématiques sont mis en œuvre pour contrôler la taille des messages échangés et le format des pièces jointes. Ils ne sont réalisés qu à des fins de maintenance et de sécurité du service de messagerie. Les messages dont la taille dépasse la limite autorisée (15Mo) sont supprimés au niveau du serveur de messagerie. 6.1.2) Contrôle anti-virus de la messagerie Tous les messages en provenance de réseaux extérieurs ou internes sont analysés par un anti-virus pour éviter la propagation de codes malveillants sur le réseau des Missions Locales de Bourgogne. Lorsqu un virus est détecté dans un message, ce dernier est supprimé. Un texte d information est alors adressé à l expéditeur et au(x) destinataire(s) du message. 6.1.3) Contrôle anti-spam de la messagerie Tous les messages en provenance de réseaux extérieurs ou internes sont analysés par un anti-spam destinés à réduire les messages non sollicités. Lorsqu un spam est détecté, ce dernier est supprimé. Lorsqu un spam est suspecté le message est signalé [SPAM PROBABLE] dans l objet du message. 6.1.4) Quelques recommandations de sécurité Afin protéger les postes de travail et le réseau de toute intrusion malveillante, voici quelques précautions de sécurité que chacun doit suivre : Citer en clair, dans le corps du message, le nom et le suffixe du fichier envoyé (document.doc) pour que le destinataire vérifie que la pièce jointe est bien conforme à l expédition initiale et que le fichier n a pas été détourné ou «chargé» de code malveillant, Protéger les informations «sensibles» diffusées par la messagerie. Ces informations doivent circuler dans des fichiers protégés (mot de passe, cryptage) Ne jamais ouvrir un message ou une pièce jointe si l expéditeur ou l objet est douteux. En cas de doute sur l objet, demander confirmation à l expéditeur sur la réalité de l envoi. Utiliser régulièrement un anti-virus pour vérifier les fichiers. L anti-virus doit être mis à jour régulièrement par la ressource humaine dédiée à l informatique locale. 18
6.1.5) Recommandations particulières à propos des «canulars» reçus par la messagerie Des messages alarmants circulent régulièrement par messagerie : information sur un nouveau virus, «bonne action» pour aider un enfant malade, invitation à signer une pétition pour une bonne cause etc. Le plus souvent ces messages invitent à faire suivre au plus grand nombre en prétendant que l information a été vérifiée par une autorité reconnue ou son service informatique ou encore en insistant sur l urgence de la situation. Dans la grande majorité des cas, ces messages sont des «canulars» (hoax en anglais) et leur propagation présente des risques : Permettre la communication à l expéditeur initial du message des adresses de messagerie des destinataires concernés par les envois de l utilisateur, Saturer la messagerie des Missions Locales, Provoquer des actions dommageables, réalisées en toute bonne foi (effacement de fichiers, débranchement brutal de l ordinateur etc ), Permettre la diffusion en grand nombre de véritables virus, inclus dans le message lui-même, Rendre non crédible une véritable information relative à un virus. La consigne à respecter lors de la réception de ce type de message est de le signaler à la ressource humaine dédiée à l informatique localement. Celle-ci transmettre le message à l Assor qui jugera de sa véracité. Rappel : Aucun salarié n est habilité à diffuser une alerte de sécurité (ex : virus, intrusion), s il n appartient pas à une ressource humaine dédiée à l informatique localement. 6.2) Règles d utilisation : 6.2.1) Gestion des mots de passe de messagerie La gestion des mots de passe est sous l entière responsabilité de la Mission Locale. Néanmoins l Assor impose un minimum de 6 caractères et se réserve le droit de refuser un mot de passe qui ne serait pas assez sécurisé. L Assor adresse à la personne dument habilitée par la Direction, un tableau des comptes de messagerie rattachés à la Mission Locale. 6.2.2) A propos de la confidentialité des messages Il est impossible, à ce jour, d assurer la confidentialité des correspondances. L envoi de messages confidentiels par la messagerie n est donc pas conseillé 6.2.3) Message professionnel / message privé? L utilisation de la messagerie électronique professionnelle du réseau des Missions Locales pour envoyer ou recevoir un message à caractère personnel est admise. Le salarié doit cependant en faire une utilisation raisonnable et qui n affecte pas le trafic normal des messages professionnels. 19
Néanmoins, un message envoyé ou reçu depuis un compte «@mlbourgogne.fr» est toujours considéré comme ayant un caractère professionnel. Tant que les messages n ont pas été classés par l utilisateur et restent dans la boite de réception, le seul moyen de distinguer un message privé c est de mettre clairement le terme «privé» ou «personnel» dans leur objet. Les messages privés et archivés doivent l être dans un dossier intitulé «privé», voire «personnel». 6.2.4) Accès distant par le web Pour faciliter l accès itinérant à la messagerie professionnelle, chaque salarié disposant d un compte «@mlbourgogne.fr», bénéficie d un accès «webmail» permettant de se connecter à sa messagerie professionnelle à partir de n importe quel poste déjà équipé d un accès Internet. La taille de cette boite est de 500 Mo. Cet accès ne se substitue pas à l accès habituel sur le poste de travail. 6.2.5) Déontologie et bonne conduite Chacun doit : Faire preuve de la plus grande correction à l égard de ses interlocuteurs dans les échanges électroniques, Ne pas émettre d opinions personnelles étrangères à ses activités professionnelles, Respecter les lois et notamment celles relatives aux publications à caractère injurieux ou diffamatoire, raciste, pornographique, Ne pas tenir de propos illicites pouvant engager la responsabilité de la Mission Locale, S abstenir de toute tentative d interception de messages dont il n est pas destinataire. 6.2.6) Fermeture du compte de messagerie lors du départ du personnel Une demande de fermeture de compte doit être adressée par la Mission Locale à l Assor. L Assor avertira la Mission Locale et le salarié de la date de fermeture du compte afin que ce dernier puisse vider son espace privé. 6.2.7) Compte de messagerie non professionnel L utilisation, sur le réseau de la Mission Locale, de compte de messagerie autre qu à vocation professionnelle n est pas admise. 20