ISMS. Normes Minimales. Version 2015 (ISO 27002:2013) (Information Security Management System)

ISMS Normes Minimales Version 2015 (ISO 27002:2013) Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes: messieurs Houbaille (BCSS), Costrop (Smals), Bochart (BCSS), Petit (FMP), Quewet (SPF Santé publique), Symons (ONEm), Van Cutsem (ONSS-APL), Van der Goten (INAMI),

Table des matières 1. CHAMP D APPLICATION... 4 2. MISE EN ŒUVRE... 5 2.1. IMPLÉMENTATION DES NORMES... 5 2.2. CONTRÔLE... 5 2.3. RÉVISION... 5 3. OBJECTIFS POURSUIVIS... 6 4. NORMES MINIMALES STRUCTURE ISO 27002:2013... 6 5. POLITIQUE DE SÉCURITÉ DE L INFORMATION... 6 6. ORGANISATION DE LA SÉCURITÉ DE L INFORMATION... 7 6.1. ORGANISATION DE LA SÉCURITÉ... 7 6.2. APPAREILS MOBILES ET TÉLÉTRAVAIL... 8 7. SÉCURITÉ LIÉE AUX COLLABORATEURS... 8 8. GESTION DES RESSOURCES DE L ENTREPRISE... 9 9. PROTECTION DE L ACCÈS (LOGIQUE)... 10 10. CRYPTOGRAPHIE... 11 11. PROTECTION PHYSIQUE ET PROTECTION DE L ENVIRONNEMENT... 11 12. GESTION OPÉRATIONNELLE... 12 13. SÉCURITÉ DES COMMUNICATIONS... 13 14. ACQUISITION, DÉVELOPPEMENT ET MAINTENANCE DE SYSTÈMES... 14 15. RELATIONS AVEC LES FOURNISSEURS... 14 16. GESTION D INCIDENTS RELATIFS À LA SÉCURITÉ DE L INFORMATION... 15 17. ASPECT DE LA SÉCURITÉ DE L INFORMATION DANS LA GESTION DE LA CONTINUITÉ... 15 18. CONFORMITÉ... 15 19. MAINTIEN, SUIVI ET RÉVISION... 16 20. SANCTION... 16 P 2

Historique de mise à jour Date : Version : Nouvelles Normes : Normes révisées : Normes supprimées : 30.08.14 4.0 Mise à jour de la structure en association avec l ISO 27002:2013 Mise à jour de la structure en association avec l ISO 27002:2013 6.1.5 : Usage sécurisé de la carte professionnelle pour les soins de santé P 3

1. Champ d application L application des normes minimales exposées dans ce document est obligatoire pour les institutions de sécurité sociale visées à l article 2, alinéa 1 er, 2 de la loi du 15 janvier 1990 relative à l institution et à l organisation d une Banque Carrefour de la sécurité sociale. De plus, l application des normes minimales concerne aussi toutes les instances qui font partie du réseau de la sécurité sociale en vertu de l article 18 de cette loi. Qui plus est, le comité sectoriel de la sécurité sociale et de la santé peut aussi imposer le respect des normes minimales aux instances autres que celles précitées. Afin de simplifier la lecture de ce document, le terme «organisation» couvre l ensemble du champ d application des directives de sécurité tel que décrit dans le paragraphe précédent. Les normes minimales de sécurité décrites dans le présent document doivent obligatoirement être respectées par les organisations si elles souhaitent accéder et maintenir l accès au réseau de la Banque Carrefour. Les normes ont donc force obligatoire. Certaines organisations occupent plusieurs bâtiments ou disposent de (petits) bureaux régionaux. Les normes minimales de sécurité doivent également y être respectées, en particulier sur le plan de la sécurité physique (protection de l accès, sécurité incendie, ). Les normes ne s appliquent en principe qu au traitement de données sociales à caractère personnel. Les normes minimales doivent toutefois également être appliquées dans le cadre de la délibération n 21/2004 du 12 juillet 2004, par laquelle certaines institutions de sécurité sociale ont été autorisées par la Commission de la protection de la vie privée à obtenir, sous certaines conditions, accès au Registre national et à utiliser le numéro d identification du Registre national pour la réalisation de leurs tâches en matière de gestion du personnel. En outre, il serait de bon usage que ces normes s appliquent également à la sécurité de l information au sens large du terme, telle que définie dans l arrêté royal du 17 mars 2013 relatif aux conseillers en sécurité institués par la loi du 15 août 2012 relative à la création et à l organisation d un intégrateur de services fédéral et comme reprise dans l arrêté royal du 12 août 1993 relatif à l'organisation de la sécurité de l'information dans les institutions de sécurité sociale: «stratégie, règle, procédures et moyens de protection de tout type d information tant dans les systèmes de transmission que dans les systèmes de traitement en vue de garantir la confidentialité, la disponibilité, l intégrité, la fiabilité, l authenticité et l irréfutabilité de l information». P 4

2. Mise en œuvre 2.1. Implémentation des normes Il appartient aux organisations de mettre en œuvre les mesures de sécurité les plus appropriées compte tenu de leur situation spécifique et de l importance des moyens de fonctionnement à protéger. Les organisations qui souhaitent s intégrer au réseau de la Banque Carrefour doivent disposer d un plan pluriannuel actualisé mentionnant les mesures en vue de répondre aux normes. Le comité sectoriel de la sécurité sociale et de la santé peut demander une copie de ce plan. 2.2. Contrôle Le comité sectoriel de la sécurité sociale et de la santé évalue périodiquement le respect de l application des normes sur base d un questionnaire, transmis par la Banque Carrefour de la sécurité sociale. L organisation doit remplir honnêtement et loyalement le questionnaire transmis dans ce cadre. Sur base des questionnaires complétés qui lui sont transmis, le comité sectoriel de la sécurité sociale et de la santé peut faire effectuer des contrôles par un organisme externe dans ces organisations concernant le respect de certains points spécifiques des normes minimales de sécurité. En cas de sous-traitance de traitement 1 des données sociales à caractère personnel, le donneur d ordre reste responsable de la mise en œuvre et du contrôle de l application des normes minimales de sécurité chez le soustraitant. 2.3. Révision Ces normes minimales sont révisables et sont donc adaptées en fonction des évolutions légales, techniques ou autres. Pour réaliser cet objectif, le groupe de travail «Sécurité de l information» du Comité général de coordination procède régulièrement à l évaluation et éventuellement à la mise à jour des normes minimales de sécurité. Si certaines normes minimales doivent être adaptées ou de nouvelles normes minimales ajoutées, une proposition est soumise par le groupe de travail «Sécurité de l information». 1 Par traitement, on entend toute opération ou ensemble d opérations effectuées ou non à l aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l enregistrement, l organisation, la conservation, l adaptation ou la modification, l extraction, la consultation, l utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l interconnexion. P 5

3. Objectifs poursuivis Les normes minimales de sécurité visent: à assurer, de manière coordonnée, un niveau minimal de sécurité. à respecter les obligations légales et réglementaires prévues par la loi du 15 janvier 1990 relative à l institution et à l organisation d une Banque-carrefour de la sécurité sociale et ses arrêtés d exécution (dont l arrêté royal du 12 août 1993 relatif à l organisation de la sécurité de l information dans les institutions de sécurité sociale) - les textes coordonnés de ces arrêtés d exécution sont disponibles sur le site web de la Banque Carrefour de la sécurité sociale. à obtenir ou conserver l autorisation d échanger des informations au sein du réseau de la Banque Carrefour. 4. Normes minimales structure ISO 27002:2013 Les normes minimales sont définies conformément à la structure et à la numérotation de la norme ISO 27002. 5. Politique de sécurité de l information 5.1 Information Security Policy 2 disposer d une politique de sécurité de l information formelle et actualisée, approuvée par le responsable de la gestion journalière, (ou équivalent). 2 Cette Information Security Policy (ISP) s inscrit dans le cadre d un système de gestion de la sécurité de l information : le groupe de travail Sécurité de l information a pris l initiative de développer un ISMS, basé sur la norme ISO 27002, afin de répondre à un besoin des institutions du réseau de disposer d une politique de sécurité structurée et commune. L ISMS est un système intégré qui doit permettre une protection optimale des informations. Les mesures concrètes pour parvenir à une sécurité de l information optimale sont des «mesures de politique» ou des «contrôles». L ISMS est considéré comme la méthodologie commune à appliquer par les institutions du réseau pour parvenir à une sécurité maximale de l information. Il appartient aux institutions de sécurité sociale d adapter l ISMS à leur situation spécifique et à l importance des moyens de fonctionnement à protéger. En ce qui concerne sa mise en œuvre, le conseiller en sécurité de l information de chaque institution doit obtenir une décision de sa hiérarchie. L ISMS commun a été approuvé en ces termes par le Comité général de coordination : «Il s agit d un document de base à utiliser en interne par les institutions. L ISMS, qui est basé sur la norme ISO 27002, contient les lignes directrices à respecter. Une concertation doit être organisée en permanence entre le conseiller en sécurité et le personnel dirigeant.» P 6

6. Organisation de la sécurité de l information 6.1. Organisation de la sécurité 6.1.1 Organisation de la sécurité instaurer, en son sein, un service de sécurité de l information placé sous la direction d un conseiller en sécurité de l information ou confier cette tâche à un service de sécurité de l information spécialisé agréé. Le service de sécurité de l information a une mission de conseil, de stimulation, de documentation et de contrôle (au sens de l AR de 1993). En vue de la sécurité des données sociales traitées par son organisation et en vue de la protection de la vie privée des personnes auxquelles ces données sociales ont trait, le conseiller en sécurité est chargé : 1. de fournir des avis qualifiés à la personne chargée de la gestion journalière. 2. d exécuter des missions qui lui sont confiées par la personne chargée de la gestion journalière. communiquer l identité de son conseiller en sécurité et de ses adjoints éventuels au comité sectoriel de la sécurité sociale et de la santé. Pour les organisations du réseau secondaire, l identité doit être communiquée à l institution de tutelle. disposer d un plan de sécurité approuvé par le responsable de la gestion journalière, (ou équivalent). disposer des crédits de fonctionnement nécessaires, approuvés par le responsable de la gestion journalière de l organisation concernée, (ou équivalent), en vue de l exécution de son plan de sécurité et de l exécution par le service de sécurité des tâches qui lui ont été confiées. communiquer à la Banque Carrefour le nombre d heures qu elle a officiellement accordé à son conseiller en sécurité et à ses adjoints éventuels pour l exécution de leurs tâches. planifier la communication d informations au conseiller en sécurité de sorte que celui-ci dispose des données nécessaires pour l exécution de ses missions, ainsi que pour l organisation de la concertation entre les différentes parties concernées 3, afin d associer davantage le conseiller en sécurité aux travaux de l organisation. 3 Les parties visées dans cette norme sont principalement les membres du service informatique (développement et production), le conseiller en prévention, le conseiller en sécurité et les services de gestion des données. P 7

6.1.2 Plateforme de décision 4 disposer d une plateforme de décision pour valider et approuver les mesures de sécurité. 6.1.3 Réseau secondaire Toute institution gestionnaire d un réseau secondaire est tenue d échanger au moins une fois par semestre des informations pertinentes avec son réseau secondaire, en organisant une réunion du sous-groupe de travail «Sécurité de l information» pour les organisations qui font partie de son réseau. 6.1.4 Sécurité de l information dans le cadre de projets disposer de procédures pour le développement de nouveaux systèmes ou d évolutions importantes dans les systèmes existants, pour que le responsable de projet tienne compte des exigences de sécurité décrites dans le présent document. 6.2. Appareils mobiles et télétravail 6.2.1 Accès à distance 6.2.2 Protection des données sur des médias mobiles 6 prendre les mesures adéquates, en fonction du moyen d accès 5, afin de sécuriser l accès on-line réalisé en dehors de l organisation aux données sociales à caractère personnel. prendre les mesures adéquates afin que les données à caractère personnel enregistrées sur des médias mobiles ne soient accessibles qu aux personnes autorisées. 7. Sécurité liée aux collaborateurs 7.1 Traitement des données mettre en place une procédure garantissant que tous les collaborateurs internes et externes s engagent à respecter leurs obligations en ce qui concerne la confidentialité et la sécurité des données. 4 La plateforme de décision oriente la politique de sécurité : la révision de la politique, l adaptation des mesures de sécurité, l élaboration de plans de sécurité, la détermination des responsabilités et la surveillance de l évolution des menaces et des incidents. 5 Moyen d accès : p.ex. Internet, ligne louée, réseau privé, wireless. 6 Médias mobiles : mémoire flash amovible, disque dur portable, ordinateur portable, assistant numérique personnel (ANP). P 8

7.2 Sensibilisation sensibiliser chaque collaborateur à la sécurité de l information. Différents moyens (campagne d affichage, formation spécifique, ) peuvent être utilisés en fonction du «profil» de chacun. 8. Gestion des ressources de l entreprise 8.1 Inventaire disposer d un inventaire du matériel informatique et des logiciels qui est mis à jour en permanence. 8.2 Protection des ressources de l entreprise s assurer que les supports des données à caractère personnel et les systèmes informatiques les traitant, soient placés, conformément à leur classification, dans des locaux identifiés et protégés et dont l accès est limité aux seules personnes autorisées et aux seules heures justifiées par leur fonction. 8.3 Internet et e-mail établir et appliquer un code de bonne conduite pour l usage d Internet et de l e-mail. 8.4 Support physique en transit Prendre les mesures nécessaires pour protéger, contre les accès non autorisés, les supports en transit dont notamment les backups contenant des données sensibles P 9

9. Protection de l accès (logique) 9.1 Protection des données sécuriser l accès aux données 7 nécessaires à l application et à l exécution de la sécurité sociale par un système d identification, d authentification et d autorisation. 9.2 Autorisations comité sectoriel s assurer de l existence des autorisations nécessaires du comité sectoriel compétent pour l accès aux données (sociales) à caractère personnel gérées par une autre organisation. 9.3 Accès aux systèmes informatiques par les gestionnaires d information 8 9.4 Utilisation des services en réseaux limiter l'accès au(x) système(s) informatique(s) aux gestionnaires d information identifiés, authentifiés et autorisés. prendre les mesures adéquates afin que toute personne n ait uniquement accès qu aux services pour lesquels elle a spécifiquement reçu une autorisation. 9.5 Connexion IP externe - réseau primaire Toute institution de sécurité sociale du réseau primaire doit : utiliser l Extranet de la sécurité sociale 9 pour toutes les connexions externes à l institution ou à son réseau secondaire 10. Toute dérogation à cette mesure doit faire l objet d une demande motivée qui devra être introduite par l intermédiaire du service de sécurité de la BCSS. 9.6 Connexion IP externe - réseau secondaire Toute organisation appartenant à un réseau secondaire peut utiliser l Extranet de la sécurité sociale pour ses connexions externes à la sécurité sociale. Dans le cas où l organisation se connecte aux réseaux externes sans 7 Dans la présente norme, on entend par le terme donnée non seulement les données sociales à caractère personnel mais aussi tous les éléments logiques du système d information qui assurent le traitement ; par exemple les programmes, les applications, les fichiers, les utilitaires de système et autres éléments du système d exploitation. 8 Le gestionnaire d information est toute personne qui dispose, dans le cadre de ses responsabilités en matière de système ICT, de droits d accès plus larges que la simple utilisation fonctionnelle des données. Il s agit entre autres des développeurs, des gestionnaires système, des gestionnaires de données, des développeurs et gestionnaires de logiciels, des gestionnaires de réseau, des consultants et des sous-traitants. 9 L Extranet de la sécurité sociale est le support technique permettant l échange informatisé de données dans le cadre du réseau Banque Carrefour de la sécurité sociale. (Les informations complémentaires sur l Extranet sont disponibles sur le site de la Banque Carrefour de la sécurité sociale) 10 Cette mesure n est pas d application pour les systèmes informatiques qui ne sont pas utilisés pour le traitement des données sociales à caractère personnel et qui ne sont en aucune façon reliés aux systèmes informatiques utilisés pour le traitement de données sociales à caractère personnel. P 10

passer par l Extranet de la sécurité sociale : l organisation concernée doit prendre les mesures de sécurité qui garantiront un niveau de sécurité équivalent à celui de l Extranet de la sécurité sociale pour les systèmes informatiques utilisés pour le traitement de données à caractère personnel ; l institution gérant le réseau secondaire concerné doit prendre les mesures de sécurité qui garantiront un niveau de sécurité équivalent à celui de l Extranet de la sécurité sociale. 10. Cryptographie 10.1 Cryptographie Nihil 11. Protection physique et protection de l environnement 11.1 Protection physique de l accès 11.2 Incendie, intrusion, dégâts causés par l eau 11.3 Alimentation en électricité 11.4 Mise au rebut ou recyclage sécurisé du matériel limiter l accès aux bâtiments et locaux aux personnes autorisées et effectuer un contrôle à ce sujet tant pendant qu en dehors des heures de travail. prendre des mesures pour la prévention, la protection, la détection, l extinction et l intervention en cas d incendie, d intrusion et de dégâts causés par l eau. disposer d un moyen alternatif en électricité afin de garantir la prestation de services attendue. prendre des mesures pour que toute donnée soit supprimée ou rendue inaccessible sur tout support de stockage avant sa mise au rebut ou recyclage P 11

12. Gestion Opérationnelle 12.1 Séparation des environnements 12.2 Gestion de la mise en production 12.3 Protection contre des codes nocifs 11 prendre les mesures adéquates pour que l environnement de production soit séparé et distinct des autres environnements tels : développement, acceptation, test s assurer que tout développement, ou test soit exclu au sein de l environnement de production. Dans certains cas de figure, cas exceptionnel, ces tests peuvent déroger à la règle moyennant la mise en place de mesures adéquates. disposer de procédures pour la mise en production de nouvelles applications et la réalisation d adaptations aux applications existantes éviter qu une seule et même personne n'assure le contrôle de l ensemble de ce processus. disposer de systèmes actualisés pour se protéger (prévention, détection et rétablissement) contre des codes nocifs. 12.4 Politique de sauvegarde Afin d éviter la perte irréparable de données toute organisation doit : définir la politique et la stratégie organisant la mise en œuvre d un système de sauvegarde en phase avec la gestion de la continuité (norme 17. ). contrôler régulièrement les sauvegardes réalisées dans ce cadre. 12.5 Logging de l accès implémenter un système de logging pour les données à caractère personnel nécessaires à l application et à l exécution de la sécurité sociale. 12.6 Traçabilité des identités. Chaque organisation participant à la transmission de données au travers de la Banque Carrefour est tenue d'assurer à son niveau la traçabilité des identifiants utilisés. 12.7 Détection d infractions à Cette traçabilité doit permettre l identification de bout en bout des identifiants utilisés 12. 11 Codes nocifs (malware) : p.ex. virus, ver, cheval de Troie, spam, spyware. 12 Par exemple, lorsque dans la zone «USERID» de la partie préfixe d un message qu elle adresse à la Banque Carrefour, l institution reprend le numéro du programme qui a généré le message bien qu une personne physique soit à l origine du message, la Banque Carrefour peut, a posteriori, retrouver ce numéro de programme. La Banque Carrefour ne connaît cependant pas l identité de la personne physique qui a émis ce message. Dans ce cas, c est donc à l institution de sécurité sociale de faire la relation entre le numéro de programme qu elle reprend dans la partie préfixe du message adressé à la Banque Carrefour et l identité de la personne physique qui émet le message. P 12

la sécurité installer un système et des procédures formelles et actualisées permettant la détection, le suivi et la réparation d infractions au niveau de la sécurité proportionnellement au risque technique / opérationnel. 13. Sécurité des communications 13.1.1 Gestion de la sécurité des réseaux vérifier que les réseaux sont gérés et contrôlés de façon adéquate afin de les protéger contre les menaces et de garantir de façon efficace la protection des systèmes et des applications qui utilisent le réseau, 13.1.2 Disponibilité des réseaux mettre en place les mesures techniques nécessaires, suffisantes, efficientes et adéquates en vue de garantir la plus haute disponibilité de connexion avec le réseau de la Banque Carrefour et ce afin d assurer une accessibilité maximale aux données tant mise à dispositions que consultées. Par voie de conséquence cela présuppose que cette connexion doit être au minimum dédoublée vers plusieurs nœuds de l Extranet..13.2.1 Cartographie des flux de l Extranet tenir à jour une cartographie technique 13 des flux implémentés au travers de l Extranet de la sécurité sociale et en informer le conseiller en sécurité. 13.2.2 Qualité de service des échanges d informations à caractère social Chaque transfert d'informations à caractère social au sein du réseau de la sécurité sociale doit être traité dans les meilleurs délais par l'ensemble des intervenants, qu'ils soient intermédiaire ou destinataire/récepteur. Les institutions qui transmettent des informations à caractère social au sein du réseau de la sécurité sociale, particulièrement lorsqu elles sont la source authentique, doivent traiter en temps utile les messages de suivi qu'elles doivent recevoir des destinataires ou intermédiaires. Chaque acteur, tant destinataire/récepteur qu'intermédiaire ou émetteur, participant à la transmission est tenu d'entreprendre dans les meilleurs délais les actions adéquates et appropriées consécutives au traitement des messages de suivi. Toute anomalie ou lacune dans la transmission électronique des données doit être signalée dans les meilleurs délais aux intervenants concernés, qu'ils soient récepteur, intermédiaire, ou émetteur. 13 Nécessaire à la gestion des firewalls dans les différentes zones de l Extranet. P 13

14. Acquisition, développement et maintenance de systèmes 14.1 Documentation disposer de procédures pour la rédaction de documentation lors du développement de nouveaux systèmes et applications et lors de la maintenance des applications et systèmes existants. 14.2 Méthode de développement structurée avoir recours à une approche structurée en vue d un développement sécurisé de systèmes. 14.3 Vérification des exigences de sécurité avant la mise en production veiller à ce que le responsable de projet vérifie le respect des exigences de sécurité établies au début de la phase de développement ou de la procédure d achat avant toute mise en production de nouveaux systèmes ou d évolutions importantes dans les systèmes existants. 14.4 Sécurité applicative prendre les mesures nécessaires pour assurer la sécurité au niveau applicatif dans le but de minimiser les brèches potentielles de sécurité (confidentialité, intégrité, disponibilité). 14 15. Relations avec les fournisseurs 15.1 Collaboration avec des sous-traitants En cas de sous-traitance, toute organisation doit s assurer que les obligations 15 en matière de traitement de données à caractère personnel sont contractuellement établies. Dans le cadre d une solution de type «Cloud Computing», la politique de sécurité y relative (ISMS.0050) précise que le choix dans une telle situation est limité uniquement à des services cloud «communautaire 16» (ou «privé»). 14 Liés aux menaces existantes telles que SQL injection, Spoofing, Cross Site Scripting, Elevation Privilege (Top Ten OWASP). 15 L organisation reste responsable de la sécurité du traitement, y compris chez le sous-traitant 16 Infrastructure partagée par plusieurs organisations qui ont des intérêts communs ou des contraintes (légales, ) identiques. P 14

16. Gestion d incidents relatifs à la sécurité de l information 16.1 Incidents majeurs 17 veiller à ce que le service de Sécurité de l information soit informé, par le service responsable, des incidents majeurs susceptibles de compromettre la sécurité de l information et des mesures prises pour faire face à ces incidents. s'assurer que la BCSS soit informée de tout incident de sécurité classifié "Majeur" suivant la politique générale de remontée d'incident sécurité établie au sein de la sécurité sociale 18. 17. Aspect de la sécurité de l information dans la gestion de la continuité 17.1 Gestion de la continuité 17.2 Redondances élaborer, tester et maintenir un plan de continuité basé sur une analyse des risques, afin d assurer la mission de l organisation dans le cadre de la sécurité sociale. prévoir un centre de migration informatique et/ou une infrastructure redondante informatique en cas de catastrophe totale ou partielle. 18. Conformité 18.1 Audit externe 19 entreprendre périodiquement un audit de conformité relatif à la situation de la sécurité telle que circonscrite par les normes minimales 20. 17 Incidents majeurs : Il est souhaitable que toute organisation définisse le caractère «majeur» d un incident. Par exemple, Incendie, dégâts causés par l eau, attaque de codes nocifs, tentatives d intrusion (logique ou physique), vol ou perte d ordinateurs portables, interruption des loggings peuvent être considérés comme des incidents majeurs. 18 Cette norme ne sera d application qu à partir du moment où la politique sécurité relative à la remontée d incident sécurité au sein de la sécurité sociale sera disponible et validé. 19 Il s agit d un audit où l initiative et les efforts financiers y afférents incombent à l institution même. L audit ne doit pas être exhaustif. P 15

19. Maintien, suivi et révision La modification des normes minimales implique : la soumission de la proposition de modification des normes minimales de sécurité au comité de gestion de la Banque Carrefour; la soumission du questionnaire modifié au Comité sectoriel de la sécurité sociale et de la santé, section Sécurité sociale (approuvé lors de la séance du 4 mars 2014); la communication des normes minimales de sécurité modifiées et approuvées aux responsables de la gestion journalière des institutions de sécurité sociale qui en informent leur comité de gestion ; les normes minimales nouvelles entrent en vigueur le premier janvier qui suit leur approbation par le Comité de gestion 21 de la Banque Carrefour, en l occurrence le 1er janvier 2015. Un questionnaire sera transmis annuellement aux organisations du réseau de la sécurité sociale en vue de l évaluation du respect des normes minimales de sécurité. Les aspects faisant l objet de mesures de sécurité spécifiques qui ont été approuvées au niveau du Comité général de coordination 22 mais qui ne sont pas encore reprises dans une version révisée des normes minimales, seront repris de façon proactive dans le questionnaire annuel. 20. Sanction Au vu des manquements constatés dans le respect des présentes normes par une organisation du réseau de la sécurité sociale, le comité sectoriel de la sécurité sociale et de la santé peut inviter la Banque Carrefour à ne plus donner suite aux soumissions adressées par cette organisation. Il est évident qu avant de prendre cette mesure, le comité sectoriel de la sécurité sociale et de la santé entendra la personne chargée de la gestion journalière de l organisation concernée. 20 La bonne pratique est d'arriver à organiser cet audit au moins une fois tous les cinq ans. Qui plus est, il n'est pas interdit qu'un conseiller en sécurité d'une institution audite une autre institution d'un même réseau. Dans le cas où une institution gestionnaire d'un réseau secondaire se trouve confrontée à un manque de vision par rapport à la situation de la sécurité de l'information de l'un de ses membres, celle-ci pourra demander au Comité sectoriel de réaliser un audit de conformité. 21 Le Comité de gestion: «Le Comité gère l'institution en donnant les directives nécessaires à l'application de la loi organique de la Banque Carrefour. Il rend des avis sur les propositions de modifications aux lois et aux arrêtés royaux qui concernent la Banque Carrefour de la sécurité sociale et le fonctionnement du réseau de la sécurité sociale. Le Ministre de tutelle le consulte sur toutes les matières qu'il juge utile.» http://www.ksz-bcss.fgov.be/fr/bcss/page/content/websites/belgium/about/committee/committee_01.html 22 Le Comité général de coordination assiste le Comité de gestion de la Banque Carrefour et le Comité sectoriel de la sécurité sociale et de la santé dans l'accomplissement de leurs missions. A cet effet, il est chargé de proposer toute initiative de nature à promouvoir et à consolider la collaboration au sein du réseau ainsi que toute mesure pouvant contribuer à un traitement légal et confidentiel des données sociales à caractère personnel.» http://www.ksz-bcss.fgov.be/fr/bcss/page/content/websites/belgium/about/committee/committee_02.html P 16

ANNEXE : Tableau récapitulatif des modifications depuis la dernière publication des normes minimales de 2011. Date : Version : Nouvelles Normes : Normes révisées : 15.1 : Collaboration avec des sous-traitants, 7.1 : Traitement des données, 30.05.12 3.5 7.2 : Sensibilisation, 11.4 : Mise au rebut ou recyclage sécurisé du matériel, 12.1 : Séparation des environnements, 13.2.1 : Cartographie des flux de l Extranet, 12.4 : Politique de sauvegarde, 12.06 : Traçabilité des identités, 8.4 : Support physique en transit, 17.1 : Gestion de la continuité, 9.4 : Utilisation des services en réseaux, 18.1 : Audit externe. 24.07.13 3.51 Nihil 14.4 : Sécurité applicative. 1. Champ d application référence à l arrêté royal du 17 mars 2013. 24.10.13 3.52 Nihil 16.1 : Gestion d incidents 30.06.14 3.6 Nihil 15.1 : Collaboration avec des soustraitants, 18.1 Audit externe P 17