Les normes minimales de sécurité

Les normes minimales de sécurité Patrick BOCHART Conseiller en sécurité de l information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be 11/7/2014

Agenda Introduction & scope Champ d application et interprétation Normes minimales de sécurité, ISMS, structure ISO 27002:2013 la politique de sécurité de l'information, l'organisation de la sécurité, la sécurité liée aux collaborateurs, la gestion des ressources de l'entreprise, la protection d accès logique, la cryptographie, la sécurité physique et la protection de l'environnement, la gestion opérationnelle (logging, protection contre des logiciels malveillants,...), La sécurité des communications, L acquisition, le développement et la maintenance de systèmes, La relations avec les fournisseurs, la gestion des incidents, L aspect de la sécurité de l information dans la gestion de la continuité, La conformité. Révision Sanction 2

Introduction & scope Source: http://www.bcss.fgov.be/ (Page d'accueil Sécurité et vie privée Documentation Sécurité Information Security Management System) Obligatoires Institutions de sécurité sociale visées à l article 2, alinéa 1er, 2, de la loi organique de la Banque Carrefour Art. 18 : l'extension du réseau est possible, en ce compris les droits et les obligations de la loi BCSS, sur demande explicite (par exemple par le Comité sectoriel dans le cadre d'une délibération) 3

Introduction & scope Champ d application : traitement de données sociales à caractère personnel. bon usage : la sécurité de l information au sens large du terme Cas spécifique : Utilisation du numéro RN au sien des services RH 4

Introduction & scope Contrôle : Evaluation périodique par le Comité Sectoriel sur base de questionnaire Contrôle possible par un organisme externe Sous-traitance : le donneur d ordre reste responsable de la mise en œuvre et du contrôle de l application des normes minimales de sécurité chez le sous-traitant. 5

Introduction & scope Interprétation des normes: Mise en œuvre des mesures de sécurité les plus appropriées compte tenu de la situation spécifique et de l importance des moyens de fonctionnement à protéger. 6

Introduction & scope Objectifs poursuivis Assurer de manière coordonnée un niveau minimal de sécurité Respect aspect légaux et règlementaires Obtenir/conserver l autorisation d échange 7

Introduction & scope Relation à l'isms et à l'isp ("Politique de sécurité de l'information" - conforme à la série ISO 27000) ISMS: MÉTHODOLOGIE Loi organique de la Banque Carrefour 15/01/90 12/08/93 Comité sectoriel de la sécurité sociale et de la santé ISP ( Policy (Information Security Directives Normes minimales Questionnaire Policie 8

Structure ISO 27002:2013 Ces normes minimales portent sur les aspects suivants: la politique de sécurité de l'information, l'organisation de la sécurité, la sécurité liée aux collaborateurs la gestion des ressources de l'entreprise, la protection d accès logique, la cryptographie la sécurité physique et la protection de l'environnement, la gestion opérationnelle (logging, protection contre des logiciels malveillants,...), La sécurité des communications L acquisition, le développement et la maintenance de systèmes, La relations avec les fournisseurs la gestion des incidents, L aspect de la sécurité de l information dans la gestion de la continuité, La conformité (contrôle/audit). 9

Les normes minimales de sécurité

5. Politique de sécurité de l information Toute organisation doit disposer d une politique de sécurité de l information formelle et actualisée, approuvée par le responsable de la gestion journalière, (ou équivalent). 11

6. Organisation de la sécurité de l information Deux parties 6.1 Organisation de la sécurité de l information 6. 2 Appareils mobiles et télétravail 12

6.1 Organisation de la sécurité de l information 6.1.1 Organisation de la sécurité de l information organiser, en son sein, un service de sécurité de l information; communiquer l identité de son conseiller en sécurité et de ses adjoints éventuels au Comité sectoriel de la sécurité sociale et de la santé; disposer d un plan de sécurité approuvé par le responsable de la gestion journalière; disposer des crédits de fonctionnement nécessaires; communiquer à la BCSS le nombre d heures qu elle a officiellement attribuées à son conseiller en sécurité et à ses adjoints éventuels pour l exécution de leurs tâches; planifier la communication d informations au conseiller en sécurité; 13

6.1 Organisation de la sécurité de l information 6.1.2 Plateforme de décision disposer d une plateforme de décision pour valider et approuver les mesures de sécurité.. 14

6.1 Organisation de la sécurité de l information 6.1.3 Réseau secondaire Echanger d information au moins une fois par semestre avec son réseau secondaire, Avis Promotion Documentation Contrôle en matière de sécurité de l'information 15

6.1 Organisation de la sécurité de l information 6.1.4 Sécurité de l information dans le cadre de projets Disposer de procédures pour le développement de nouveaux systèmes ou d évolutions importantes dans les systèmes existants, pour que le responsable de projet tienne compte des exigences de sécurité décrites dans le présent document. 16

6.2 Appareils mobiles et télétravail 6.2.1 Accès à distance Prendre les mesures adéquates, en fonction du moyen d accès, afin de sécuriser l accès on-line réalisé en dehors de l organisation aux données sociales à caractère personnel. Moyen d accès : p.ex. Internet, ligne louée, réseau privé, wireless. 17

6.2 Appareils mobiles et télétravail 6.2.2 Protection des données sur des médias mobiles Prendre les mesures adéquates afin que les données à caractère personnel enregistrées sur des médias mobiles ne soient accessibles qu aux personnes autorisées 18

7. Sécurité liée aux collaborateurs 7.1 Traitement des données: Engagement de tous les collaborateurs internes et externes à respecter leurs obligations en ce qui concerne la confidentialité et la sécurité des données. 19

7. Sécurité liée aux collaborateurs 7.2 Sensibilisation sensibiliser chaque collaborateur à la sécurité de l information. 20

8. Gestion des ressources de l entreprise 8.1 Inventaire Disposer d un inventaire du matériel informatique et des logiciels Mis à jour en permanence. 21

8. Gestion des ressources de l entreprise 8.2 Protection des ressources de l entreprise S assurer de la protection des supports des données à caractère personnel et les systèmes informatiques les traitant Conformément à leur classification, dans des locaux identifiés et protégés dont l accès est limité aux seules personnes autorisées et aux seules heures justifiées par leur fonction. 22

8. Gestion des ressources de l entreprise 8.3 Internet et e-mail Etablir et appliquer un code de bonne conduite pour l usage de l Internet et de l e-mail 23

8. Gestion des ressources de l entreprise 8.4 Support physique en transit Prendre les mesures nécessaires pour protéger, contre les accès non autorisés, les supports en transit dont notamment les backups contenant des données sensibles 24

9. Protection de l accès (logique) 9.1 Protection des données sécuriser l accès aux données nécessaires à l application et à l exécution de la sécurité sociale par un système d identification, d authentification et d autorisation. 25

9. Protection de l accès (logique) 9.2 Autorisations Comité sectoriel S assurer de l existence des autorisations nécessaires du comité sectoriel compétent pour l accès aux données (sociales) à caractère personnel gérées par une autre organisation 26

9. Protection de l accès (logique) 9.3 Accès aux systèmes informatiques par les gestionnaires d information limiter l'accès au(x) système(s) informatique(s) aux gestionnaires d information identifiés, authentifiés et autorisés 27

9. Protection de l accès (logique) 9.4 Utilisation des services en réseaux prendre les mesures adéquates afin que toute personne n ait uniquement accès qu aux services pour lesquels elle a spécifiquement reçu une autorisation. 28

9. Protection de l accès (logique) 9.5 Connexion IP externe - réseau primaire Utiliser l Extranet de la sécurité sociale pour toutes les connexions externes à l institution ou à son réseau secondaire. Dérogation possible! 29

9. Protection de l accès (logique) 9.6 Connexion IP externe - réseau secondaire Possibilité d utiliser l Extranet Si pas d utilisation de l Extranet Prise de mesures de sécurité qui garantiront un niveau de sécurité équivalent à celui de l Extranet 30

10. Cryptographie 10.1 Cryptographie NIHIL. 31

11. Protection physique et protection de l environnement 11.1 Protection physique de l accès limiter l accès aux bâtiments et locaux aux personnes autorisées et effectuer un contrôle à ce sujet 32

11. Protection physique et protection de l environnement 11.2 Incendie, intrusion, dégâts causés par l eau Prendre des mesures pour la prévention, la protection, la détection, l extinction et l intervention en cas d incendie, d intrusion et de dégâts causés par l eau. 33

11. Protection physique et protection de l environnement 11.3 Alimentation en électricité Disposer d un moyen alternatif en électricité afin de garantir la prestation de services attendue 34

11. Protection physique et protection de l environnement 11.4 Mise au rebut ou recyclage sécurisé du matériel prendre des mesures pour que toute donnée soit supprimée ou rendue inaccessible sur tout support de stockage avant sa mise au rebut ou recyclage 35

12. Gestion opérationnelle 12.1 Séparation des environnements Ségrégation des environnements; S assurer que tout développement, ou test soit exclu au sein de l environnement de production; Possibilité de dérogation. 36

12. Gestion opérationnelle 12.2 Gestion de la mise en production Disposer de procédures pour la mise en production de nouvelles applications et la réalisation d adaptations aux applications existantes. Eviter qu une seule et même personne n'assure le contrôle de l ensemble de ce processus. 37

12. Gestion opérationnelle 12.3 Protection contre des codes nocifs Doit disposer de systèmes actualisés pour se protéger (prévention, détection et rétablissement) contre des codes nocifs 38

12. Gestion opérationnelle 12.4 Politique de sauvegarde définir la politique et la stratégie organisant la mise en œuvre d un système de sauvegarde en phase avec la gestion de la continuité contrôler régulièrement les sauvegardes réalisées dans ce cadre. 39

12. Gestion opérationnelle 12.5 Logging de l accès Implémentation d un système de logging pour les données à caractère personnel nécessaires à l application et à l exécution de la sécurité sociale. 40

12. Gestion opérationnelle 12.6 Traçabilité des identités. Assurer à son niveau la traçabilité des identifiants utilisés Permettre l identification de bout en bout des identifiants utilisés. 41

12. Gestion opérationnelle 12.7 Détection d infractions à la sécurité Installer un système et des procédures formelles et actualisées permettant la détection, le suivi et la réparation d infractions 42

13. Sécurité des communications 13.1 Sécurité au niveau du réseau 13.1.1 Gestion de la sécurité des réseaux vérifier que les réseaux sont gérés et contrôlés de façon adéquate afin de les protéger contre les menaces et de garantir de façon efficace la protection des systèmes et des applications qui utilisent le réseau 43

13. Gestion opérationnelle 13.1 Sécurité au niveau du réseau 13.1.2 Disponibilité des réseaux mettre en place les mesures techniques nécessaires, suffisantes, efficientes et adéquates en vue de garantir la plus haute disponibilité de connexion avec le réseau de la Banque Carrefour 44

13. Sécurité des communications 13.2 Echange d information 13.2.1 Cartographie des flux de l Extranet tenir à jour une cartographie technique des flux implémentés au travers de l Extranet de la sécurité sociale 45

13. Sécurité des communications 13.2 Echange d information 13.2.2 Qualité de service des échanges d informations à caractère social Traitement dans les meilleurs délais par l'ensemble des intervenants Traitement en temps utile des messages de suivi qu'elles doivent recevoir des destinataires ou intermédiaires. Réalisation dans les meilleurs délais les actions adéquates et appropriées consécutives au traitement des messages de suivi. Toute anomalie ou lacune dans la transmission électronique des données doit être signalée dans les meilleurs délais aux intervenants concernés 46

14. Acquisition, développement et maintenance de systèmes 14.1 Documentation Disposer de procédures pour la rédaction de documentation lors du développement de nouveaux systèmes et applications et lors de la maintenance des applications et systèmes existants. 47

14. Acquisition, développement et maintenance de systèmes 14.2 Méthode de développement structurée Doit avoir recours à une approche structurée en vue d un développement sécurisé de systèmes 48

14. Acquisition, Développement et maintenance de systèmes 14.3 Vérifier les exigences de sécurité avant la mise en production Veiller à ce que le responsable de projet vérifie le respect des exigences de sécurité établies au début de la phase de développement ou de la procédure d achat avant toute mise en production de nouveaux systèmes ou d évolutions importantes dans les systèmes existants 49

14. Acquisition, développement et maintenance de systèmes 14.4 Sécurité applicative prendre les mesures nécessaires pour assurer la sécurité au niveau applicatif dans le but de minimiser les brèches potentielles de sécurité (confidentialité, intégrité, disponibilité). 50

15. Relation avec les fournisseurs 15.1 Collaboration avec des sous-traitants doit s assurer que les obligations en matière de traitement de données à caractère personnel sont contractuellement établies. Dans le cadre d une solution de type «Cloud Computing», la politique de sécurité y relative (ISMS.0050) précise que le choix dans une telle situation est limité uniquement à des services cloud «communautaire» (ou «privé»). 51

16. Gestion d incidents relatifs à la sécurité de l information 16.1 Incidents majeurs Veiller à ce que le service de Sécurité de l information soit informé, par le service responsable, des incidents majeurs susceptibles de compromettre la sécurité de l information et des mesures prises pour faire face à ces incidents S'assurer que la BCSS soit informé de tout incident de sécurité classifié "Majeur" suivant la politique générale de remontée d'incident sécurité établie au sein de la sécurité sociale. 52

17. Gestion de la continuité 17.1 Gestion de la continuité élaborer, tester et maintenir un plan de continuité basé sur une analyse des risques, afin d assurer la mission de l organisation dans le cadre de la sécurité sociale. 17.2 Redondances prévoir un centre de migration informatique et/ou une infrastructure redondante informatique en cas de catastrophe totale ou partielle. 53

18. Conformité 18.1 Audit externe entreprendre périodiquement un audit de conformité relatif à la situation de la sécurité telle que circonscrite par les normes minimales. 54

Révisions Les normes minimales de sécurité sont susceptibles d'être revisées. Tâche du groupe de travail Sécurité de l'information du Comité général de coordination Dernière normes minimales de sécurité entrées en vigueur : 1er janvier 2015 Adaptées et rendues conformes à la numérotation du standard ISO 27002:2013, aux recommandations du Comité sectoriel du Registre national et aux dernières modifications de la loi organique de la Banque Carrefour Approuvées par le Comité de gestion de la BCSS Le nouveau questionnaire a été envoyé pour la première fois en janvier 2016. 55

Sanctions En cas de non-respect de ces normes minimales, l'institution de sécurité sociale concernée peut se voir interdire, après mise en demeure, l'accès au réseau conformément à l'article 46, alinéa premier, 1, de la loi organique de la Banque Carrefour. Les institutions qui souhaitent s intégrer au réseau de la Banque Carrefour doivent disposer d un plan pluriannuel actualisé mentionnant les mesures permettant de satisfaire aux normes minimales. 56

Questions? security@ksz-bcss.fgov.be +32 741 83 04 57

MERCI! QUESTIONS? Patrick Bochart conseiller en sécurité de l Information Banque Carrefour de la Sécurité Sociale security@ksz-bcss.fgov.be http://www.bcss.fgov.be 58