ISMS (Information Security Management System) Sécurité des ordinateurs portables 2009 Version control please always check if you re using the latest version Doc. Ref. : isms.025.laptop Release Status Date Written by Approved by 1.0 Draft 14/01/04 V1 (BCSS) 2.0 Approved 29/03/04 V1 (BCSS) Groupe de Travail Sécurité de l Information. FR_2.20 Approved 30/09/2009 Patrick Bochart Groupe de Travail Sécurité de l Information. Remarque : Ce document intègre les remarques d un groupe de travail auquel ont participé messieurs Bochart (BCSS), Costrop (Smals), De Vuyst (BCSS), Petit (FMP), Quewet (SPF Santé publique), Symons (ONEm), Vandergoten (INAMI) et Vertongen (ONSS). P 1
Table des matières ISMS... 1 (INFORMATION SECURITY MANAGEMENT SYSTEM)... 1 1 INTRODUCTION... 3 2 PORTÉE... 3 3 REGLES ET OBLIGATIONS... 3 3.1 DE LA PART DE L UTILISATEUR... 3 3.2 DE LA PART DE L INSTITUTION... 5 4 RÉGLEMENTATION... 6 5 MAINTENANCE, SUIVI ET RÉVISION... 6 P 2
1 Introduction L ordinateur portable qui vous a été confié est un outil de travail spécifique sujet à plusieurs risques particuliers, tels que le vol, la perte, la détérioration, etc. Son utilisation dans différents lieux et différentes situations peut engendrer un risque accru. Ce risque peut porter préjudice, par exemple, à la pérennité des systèmes d information, au respect de la législation sur la protection de la vie privée,. Cette POLICY s inscrit dans le cadre de la politique de sécurité du réseau de la sécurité sociale énoncée dans le document Information Security Management System approuvée par le Comité Général de Coordination de la Banque Carrefour de la sécurité sociale. Ses objectifs sont d établir les règles et obligations pour : Les utilisateurs, Les institutions sociales. 2 Portée Cette politique couvre tous les ordinateurs portables gérés par une institution de la sécurité sociale. 3 Règles et obligations 3.1 De la part de l utilisateur L ordinateur portable et ses périphériques, mis à disposition de l utilisateur dans le cadre de ses activités professionnelles, sont et restent la propriété de l institution concernée. L utilisation de l ordinateur portable est limitée à un usage professionnel dans le cadre de la fonction occupée par l utilisateur et ne pourra être utilisé dans un cadre privé. Dans le cas où l utilisateur n a plus l utilité de son ordinateur portable (départ de l institution, changement d affectation, absence pour une longue période,..) il restitue l ensemble du matériel mis à sa disposition (ordinateur portable et les périphériques). Sauf accord explicite du service compétent, et moyennant le respect des modalités supplémentaires décrites dans les politiques de sécurités s y rapportant, seul l utilisateur autorisé peut utiliser l ordinateur portable et les périphériques mis à sa disposition, même en dehors de toute liaison réseau. Il est interdit à l utilisateur de connecter des périphériques autres que ceux fournis avec celui-ci sans l autorisation expresse du service compétent. Les autorisations d accès aux données et aux applications métiers étant basées sur le profil de l utilisateur, l utilisation d un ordinateur portable n augmente en rien ces autorisations d accès Cela concerne aussi bien l accès aux applications que l usage des services de l e-mail et de l internet ou de toutes autres fonctionnalités. Afin d assurer la sécurité du matériel qui lui a été confié, l utilisateur agira en «bon père de famille» et fera en sorte de protéger le matériel et les données. P 3
Il est de la responsabilité de chaque utilisateur de prendre les mesures qui conviennent et de faire preuve de la prudence qui s impose afin d éviter le plus possible que l ordinateur portable et les appareils périphériques mis à sa disposition ne soient endommagés, perdus ou volés. A cet égard, seront sanctionnées les attitudes de négligence manifeste et/ou de mauvaise gestion intentionnelle. Exemples : L utilisateur doit éviter de laisser son ordinateur portable et/ou ses appareils périphériques sans surveillance. Il est recommandé de mettre l ordinateur sous clé dans une armoire ou dans un bureau. Lorsqu il quitte temporairement le local dans lequel il utilise son ordinateur portable, l utilisateur est tenu de le verrouiller et d activer l écran de veille sécurisé. L'utilisateur en mission doit veiller à ce que l ordinateur portable et les appareils périphériques restent autant que possible hors de vue (par ex. dans une voiture) et éviter de les déposer dans des endroits où ils peuvent facilement être égarés ou oubliés (par ex. dans une gare ou dans le porte-bagages d un train). Les moyens d authentification (mot de passe, token, etc.) ne peuvent jamais être conservés avec le ordinateur portable. D'autres points d'attention supplémentaires en cas de mission à l'étranger: Emporter un document identifiant le propriétaire de l'ordinateur (Douanes) Prendre un backup avant de partir Eteindre la machine, pas en 'stand-by/hibernate' (interdit pendant décollage/atterrissage) Emporter la machine comme bagage à main Scanner à l'aéroport ne pose aucun problème pour un ordinateur, appareil photo, stick mémoire USB Faire attention de l'usage en présence de tiers Aucune traitement de mails (possiblement confidentiels) ou d information via une connexion sans fil non-protégée. En cas de perte ou de vol, l utilisateur doit avertir immédiatement le service compétent de son institution et se conformer aux instructions. L installation, la configuration, la mise à jour, la maintenance des logiciels sur l ordinateur portable ne peut être effectuée que par le service compétent de l institution. De même, l installation, l adaptation, l entretien et la suppression éventuelle d éléments hardware ne peuvent être effectués que par du personnel autorisé par la Direction ICT de l institution. L ordinateur portable ne peut contenir que des logiciels pour lesquels l institution dispose de licences appropriées. Les règles en matière de définition, de fréquence de modifications et de mode de mémorisation des moyens d authentification (par exemple mot de passe) doivent être strictement appliquées. Les moyens d authentification sont attribués à titre individuel et ne peuvent donc pas être utilisées de manière collective. Les données confidentielles, telles que données à caractère personnel, ne peuvent être conservées sur l ordinateur portable et sur ses appareils périphériques que de manière cryptée. Si les appareils périphériques (par ex. la clé USB) ne permettent pas le stockage crypté, l enregistrement de données à caractère personnel et confidentielles sur ces appareils est donc explicitement interdit. La conservation des données sensibles sur l ordinateur portable doit être évitée et faire l objet d un transfert vers le stockage réseau dans les plus brefs délais. Le processus de sauvegarde des données de l ordinateur portable suit la stratégie définie au sein de l institution en matière d utilisation des postes fixes. Seules les données réseau sont sauvegardées automatiquement. Une attention spéciale doit être accordée à la sauvegarde du disque local. P 4
Lorsque l ordinateur portable est connecté au réseau de l institution ou à d autres réseaux, la communication doit toujours se faire par le biais de l infrastructure de protection de l institution. Il peut être dérogé à cette règle dans des cas exceptionnels et uniquement si les responsables de l institution l autorisent de manière explicite. Ci-dessous quelques exemples d activités qui sont interdites. (liste non exhaustive) : télécharger, ouvrir et transférer des fichiers qui présentent un contenu heurtant, pornographique ou raciste ; télécharger et lancer des jeux, des logiciels de divertissement, de la musique, des films, des photos, etc. qui ne présentent pas un caractère professionnel ; envoyer, transmettre ou diffuser de n'importe quelle manière (non sécurisée) des données à caractère personnel ou des données spécifiques concernant les activités et le fonctionnement de l institution, sauf autorisation expresse ; supprimer, contourner ou neutraliser des mesures de sécurité existantes, ou essayer de le faire ; s octroyer indûment l accès aux systèmes informatiques de l institution ; empêcher ou bloquer le fonctionnement des systèmes informatiques de l institution ; violer la confidentialité et l intégrité des données et entraver leur disponibilité. La Direction ICT, responsable de la gestion des ordinateurs, peut vérifier le respect de la configuration des ordinateurs portables, en ce y compris la configuration du logiciel de sécurité. En cas de non-respect ou de détérioration, la Direction ICT fait rapport à la Direction Audit interne ainsi qu au Service Sécurité de l Information. 3.2 De la part de l. L institution doit prendre en considération la prise d une couverture d assurance contre la perte, le vol et la détérioration pour les ordinateurs portable et leurs périphériques lui appartenant. La mise à disposition, ou le retrait d un ordinateur portable et de ses périphériques à un utilisateur doit faire l objet d une autorisation établie par le responsable hiérarchique du collaborateur ou par le service compétent de son institution. L ordinateur portable et ses périphériques doivent toujours être transmis à une personne physique en l occurrence un utilisateur de l institution. Lors de cette transmission, une convention doit être établie entre l institution et cette personne physique (utilisateur)... Elle peut, entre autres : faire référence à cette politique de sécurité préciser les risques non couverts par les assurances notamment en matière de perte ou de vol ; préciser la durée de mise à disposition, préciser les responsabilités individuelles de l utilisateur, attirer l attention de l utilisateur sur les risques encourus. Le service responsable de la gestion du parc des ordinateurs de l institution doit mettre à disposition de l utilisateur une documentation / formation suffisante. Le service responsable de la gestion du parc des ordinateurs de l institution doit prendre en compte l ensemble des politiques de sécurités relatives à l installation, la configuration et l utilisation des systèmes informatiques et notamment celles traitant des accès à distance. P 5
Toute modification du processus d accès au réseau de la sécurité sociale ou de la configuration des ordinateurs portables des services d inspection sociale doit systématiquement faire l objet d une information à la BCSS qui en avertira au besoin le Comité Sectoriel de la Sécurité Sociale. 4 Réglementation Le non-respect de cette politique peut donner lieu à une sanction conformément à la réglementation en vigueur au sein de l institution. La réglementation en vigueur au sein de l institution devra éventuellement être adaptée afin de pouvoir sanctionner le non-respect de cette politique. 5 Maintenance, suivi et révision La maintenance, le suivi et la révision de cette POLICY est de la responsabilité du groupe de travail sécurité de l information. P 6