Questions liées à l organisation du déploiement (cf. NOT15YDSI-RSSIC)



Documents pareils
LES REGLES ELEMENTAIRES DE SECURITE PROTECTION CONTRE LES VOLS DE MATERIELS INFORMATIQUES VADE-MECUM CNRS RSSIC VERSION DU 23 AVRIL 2013

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

CERT! OSIRIS! Présentation du CERT OSIRIS!! Guilhem Borghesi, Magali Daujat, Marc Herrmann!

Paris, le 16 janvier Note à l'attention. des Directeurs d'unité. Objet: Protection des ordinateurs portables

Recommandations pour la protection des données et le chiffrement

FAQ technique. 1 Contenu. Protection contre les Vols de matériels informatiques. Questions liées à la mise en œuvre du chiffrement

Chi rement des postes PC / MAC / LINUX

Sécurisation des données par CHIFFREMENT des PC. Utilisation de TrueCrypt

Manuel des ressources informatiques pour les étudiants

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Comment protéger ses systèmes d'information légalement et à moindre coût?

VISIOCONFÉRENCE AVEC RENATER

Une solution de déploiement Windows Windows Deployment Service. Arnault Carrere - INRIA Yann Damon - CRPP

La mémorisation des mots de passe dans les navigateurs web modernes

FAQ sur le Service courriel d affaires TELUS

SRS Day. Attaque BitLocker par analyse de dump mémoire

POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0

Gestion des Incidents SSI

Travail personnel sur ordinateur

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Guide pratique spécifique pour la mise en place d un accès Wifi

Adico, 2 rue Jean Monnet, BP 20683, Beauvais cedex Tél : / Fax : / contact@adico.fr

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

MOBILITE. Nomadio, le dialer d entreprise. Datasheet

OFFRES DE SERVICES SDS CONSULTING

ACCEDER A SA MESSAGERIE A DISTANCE

EXAMENS SUR TABLETTES. Retour d expérience- Nice

ACCÉDER A SA MESSAGERIE A DISTANCE

L'accès aux ressources informatiques de l'ufr des Sciences

Le Département remet à tous les collégiens un ordinateur portable. ORDIVAL. d emploi. mode PARENTS

OCLOUD BACKUP MINI GUIDE. 1 Ocloud Backup/Mini- Guide

LOGICIELS PHOTOCOPIEURS DÉVELOPPEMENT FORMATION ASSISTANCE MATERIELS

Prise en main d un poste de travail sous Windows sur le réseau du département MMI de l'upemlv. d après M. Berthet et G.Charpentier

Prérequis techniques pour l installation du logiciel Back-office de gestion commerciale WIN GSM en version ORACLE

Pourquoi utiliser SharePoint?

La mobilité & la relation client

EVault Endpoint Protection en détails : Gestion de l entreprise, Sauvegarde, Restauration et Sécurité

PROTEGER SA CLE USB AVEC ROHOS MINI-DRIVE

ComputraceOne Absolute Software. CareOne Practeo

Créer un tableau de bord SSI

La protection de la vie privée et les appareils mobiles

ESPACE MULTIMEDIA DU CANTON DE ROCHESERVIERE

Foire aux questions (FAQ)

RENTRÉE 2013 : le Département remet à tous les collégiens de 6 e un ordinateur portable. d emploi. mode. parents

Fonctionnement de Windows XP Mode avec Windows Virtual PC

CHARTE INFORMATIQUE LGL

Menu Fédérateur. Procédure de réinstallation du logiciel EIC Menu Fédérateur d un ancien poste vers un nouveau poste

En temps que prestataire informatique, nous enjoignons tous nos clients à faire de la politique backup une priorité.

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Prise en main. Norton Ghost Pour trouver des informations supplémentaires. A propos de Norton Ghost

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

CLOUD CP3S SOLUTION D INFRASTRUCTURE SOUMIS À LA LÉGISLATION FRANÇAISE. La virtualisation au service de l entreprise. Évolutivité. Puissance.

Le contrat Cloud : plus simple et plus dangereux

Foire aux questions. Présentation

PLAN MULTIMEDIA DANS LES ECOLES UN ESPACE DE STOCKAGE NUMERIQUE (NAS) DANS VOTRE ECOLE. Sommaire

Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

Fiche technique Services d image et d application HP

LOGICIEL DE GESTION DE DOCUMENTS PDF : PROJET INFO 1

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Cahier des Clauses Techniques Particulières

Code de conduite Zoomit

- CertimétiersArtisanat

Pré-requis techniques. Yourcegid Secteur Public On Demand Channel

Achat V9.7 Dématérialisation des Achats et des Marchés Publics

Foire aux questions sur l application Bell Télé

Carte Activity FAQ (Foire aux Questions)

Avec sauvegardez sans y penser, partagez et bougez, vos données vous suivent! Retrouvez tous vos services du cloud pro en cliquant ici.

QUEL HEBERGEMENT POUR MON SITE WEB?

PASSEPORT DE CONSEILS AUX VOYAGEURS. Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable

Le groupe CSS. La société CEGI intervient depuis la Martinique au cœur des systèmes de gestion de nos clients. La société existe depuis 1973!

Mes documents Sauvegardés

Internet haute vitesse - Guide de l utilisateur. Bienvenue. haute vitesse

Guide Pratique Règles pour les dispositifs connectés d un Système d Information de Santé

Mode d emploi de la clef USB de l I.P.I. Philosophie de la clef USB

Janvier Entretien de l ordinateur

Sécurité Informatique

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD

Concept Compumatica Secure Mobile

Tivoli Endpoint Manager Introduction IBM Corporation

SÉCURITÉ Numérique Avantage

Leçon N 4 Sauvegarde et restauration

Médiathèque Numérique, mode d emploi

Un guide LE CLOUD COMPUTING DÉMYSTIFIÉ 5 IDÉES REÇUES QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LE CLOUD COMPUTING

Présentation de la solution SAP SAP Technology SAP Afaria. La mobilité d entreprise comme vecteur d avantage concurrentiel

Le contrat SID-Services

LES OUTILS DE LA MOBILITE

à l intelligence économique

Sécurité des données en télétravail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

JOSY VIRTUALISATION 9 ET 10 JUIN 2011 POSTE DE TRAVAIL ET VIRTUALISATION. Sébastien Geiger IPHC

RAPPORT D EXPERTISE D INTERPOL SUR LES ORDINATEURS ET LE MATÉRIEL INFORMATIQUE DES FARC SAISIS PAR LA COLOMBIE

Pourquoi toutes les entreprises peuvent se priver de centrale téléphonique?

Dell SupportAssist pour PC et tablettes Guide de déploiement

Généralités sur les systèmes d Exploitation

Competence Management System (Système de Gestion de Compétences)

Fiche Pratique. ADIRA Sécurité & Innovation. Sécurité & Nomadisme. adira.org

Chiffrement des portables. Mise en œuvre et utilisation

Fiche Pratique. Présentation du problème. Le cas le plus simple. Un cas plus compliqué. MAJ le 15/12/2011

Pour bien commencer avec le Cloud

Transcription:

FAQ Protection contre les Vols de matériels informatiques Questions liées à l organisation du déploiement (cf. NOT15YDSI-RSSIC) CNRS RSSIC version du 27 février 2013 Contenu Est-ce que tous les ordinateurs doivent être protégés contre le vol?... 2 Je ne pourrai pas traiter tous les postes dans les délais impartis, n y a-t-il pas des priorités en fonction des postes?... 2 Pour certains matériels il semble très compliqué ou inutile de chiffrer ne peut-il y avoir des dérogations?... 2 Pour les PC, dans le marché national DELL je ne peux demander l option chiffrement pour certains types de disques, comment puis-je déployer le chiffrement dans ce cas?... 2 Le chiffrement TRUECRYPT peut prendre plusieurs heures, cela génère beaucoup de travail, comment faire?... 3 Le chiffrement nécessite une sauvegarde préalable des données, cela génère beaucoup de travail, comment faire?... 3 Le chiffrement complique la récupération des données sur du matériel défectueux, comment faire?... 3 Le chiffrement complique le transfert de données lors du renouvellement des postes, comment faire?... 3 Les objets nomades communicants (smartphones, tablettes, etc.) doivent-ils être protégés par chiffrement et comment?... 3 Comment m organiser pour le séquestre (conservation) des mots de passe de chiffrement?... 4 Dois-je prévoir une procédure de changement périodique des mots de passe de chiffrement?... 4 Dans mon unité je souhaite traiter l ensemble du parc des PC avec TRUECRYPT, est-ce contraire à la politique définie dans la note officielle?... 4 Un partenaire université, EPST, autre peut-il acheter des PC DELL avec l option chiffrement sur le marché CNRS?... 4 La note NOT15YDSI-RSSIC modifie-t-elle la chaîne de remontée des incidents SSI en cas de vol?... 5 Quelles précautions prendre après le vol d un ordinateur chiffré?... 5 L option «Conserver votre disque dur» disponible dans certains contrats de maintenance est-elle utile dans le cas où l ordinateur est chiffré?... 5 Une fois l ordinateur chiffré puis-je considérer qu il est protégé contre le vol?... 5

Faut-il chiffrer les machines personnelles?... 6 Faut-il chiffrer les disques externes?... 6 Comment remplir l enquête chiffrement?... 6 Comment obliger les utilisateurs à chiffrer leurs postes personnels?... 6 Comment obliger les partenaires à chiffrer les postes mis à disposition des agents de l unité?... 7 Doit-on opérer un séquestre de la clé de chiffrement dans tous les cas, y compris pour les matériels personnels?... 7 Les partenaires EPTS et Universités sont-ils informés de la note transmise par le Président du CNRS aux DU?... 7 Certains pays étrangers interdisent le chiffrement, comment faire?... 7 Est-ce que tous les ordinateurs doivent être protégés contre le vol? Les ordinateurs contenant des données CNRS doivent être tous protégés contre le vol, y compris le matériel personnel qui héberge des données professionnelles du CNRS. Je ne pourrai pas traiter tous les postes dans les délais impartis, n y a-t-il pas des priorités en fonction des postes? En pratique la priorité est de chiffrer dans les meilleurs délais les postes de travail portables et les postes de travail fixes les plus exposés au vol (ceux qui contiennent des données sensibles, le matériel appétant de type Apple notamment, etc.). Pour certains matériels il semble très compliqué ou inutile de chiffrer ne peut-il y avoir des dérogations? Toute dérogation doit être argumentée et consignée en annexe du plan de déploiement du chiffrement (par exemple : pour les postes de travail dont les données sont uniquement stockées sur le serveur de l unité, postes de travail fixes hébergés dans des locaux très protégés, matériels spécifiques utilisés pour des expériences et hébergés dans des locaux protégés, etc.). Pour les PC, dans le marché national DELL je ne peux demander l option chiffrement pour certains types de disques, comment puis-je déployer le chiffrement dans ce cas? Pour les PC qui ne peuvent être chiffrés par l option présente au marché DELL (en fonction du type et de la taille du disque), il convient d appliquer le chiffrement logiciel TRUECRYPT (pour Windows) ou dm_crypt (Linux) comme indiqué dans le VADE-MECUM et le manuel technique.

Le chiffrement TRUECRYPT peut prendre plusieurs heures, cela génère beaucoup de travail, comment faire? Le chiffrement initial d un disque par TRUECRYPT peut durer plusieurs heures, cependant il est tout à fait possible de lancer le chiffrement et de rendre le poste à l utilisateur (le chiffrement s interrompt lorsque le poste s éteint et reprend sans problème au reboot, le chiffrement fonctionne en tâche de fond sans ralentissement sensible du PC) comme indiqué dans le manuel technique. Le chiffrement nécessite une sauvegarde préalable des données, cela génère beaucoup de travail, comment faire? Les données importantes du poste de travail doivent être sauvegardées dans tous les cas, le chiffrement n induit pas un risque technique significatif de perte de données (il convient cependant de conserver la clé de chiffrement comme indiqué dans le manuel technique). Le chiffrement complique la récupération des données sur du matériel défectueux, comment faire? Si la clé de chiffrement a bien été conservée il n y a pas de problème particulier (cela a été documenté dans le manuel technique et la FAQ associée). Le chiffrement complique le transfert de données lors du renouvellement des postes, comment faire? Le transfert de données devrait être réalisé via une sauvegarde des données, le chiffrement complet du disque (ce qui est recommandé) est transparent lors de ces opérations. Les objets nomades communicants (smartphones, tablettes, etc.) doivent-ils être protégés par chiffrement et comment? Une recommandation spécifique «Règles élémentaires de sécurité objets nomades communicants» détaille les mesures qu il convient de mettre en place pour ce type de matériel. Ce type de matériel n est pas référencé dans la note «NOT15YDSI-RSSIC», le déploiement de la protection sur ce type de matériel n est donc pas suivi au plan national pour le moment.

Comment m organiser pour le séquestre (conservation) des mots de passe de chiffrement? Le séquestre ne peut être assuré que par des personnes dûment autorisées par le directeur d unité. Les conditions du séquestre doivent permettre de garantir que seules les personnes autorisées ont accès aux mots de passe (armoire ou coffre fermés à clé) et que ces mots de passe sont conservés de façon à ce qu ils ne puissent être perdus (stockage d une copie dans un lieu différent). Le détail des informations à conserver en fonction des systèmes protégés et outils utilisés sont donnés dans le manuel technique. Dois-je prévoir une procédure de changement périodique des mots de passe de chiffrement? Dans le cadre du déploiement initial du chiffrement pour la protection contre le vol d ordinateurs cette mesure n est pas obligatoire dans la mesure où le mot de passe de chiffrement est un mot de passe qui : est spécifique à chaque utilisateur ; ne transite jamais sur le réseau ; ne peut être découvert sans un accès prolongé au matériel qu il protège ; est suffisamment robuste pour que sa résolution prenne en règle générale plus d un an en cas de vol du matériel. Dans mon unité je souhaite traiter l ensemble du parc des PC avec TRUECRYPT, est-ce contraire à la politique définie dans la note officielle? Dans la mesure où l utilisation de TRUECRYPT nécessite de saisir deux mots de passe au démarrage de la machine (pas de lien entre mot de passe de session Windows et mot de passe de chiffrement), il a été décidé de favoriser, pour faciliter la vie des utilisateurs, l achat de matériels avec chiffrement natif (un seul mot de passe au démarrage). Par ailleurs, l utilisation de TRUECRYPT est la solution recommandée sous Windows 7 pour les disques qui n ont pas l option permettant un chiffrement natif. C est donc au directeur de décider, il peut décider de tout traiter via TRUECRYPT pour faciliter le déploiement du chiffrement de façon homogène dans la mesure où il s est assuré que les utilisateurs acceptent sans aucune objection de saisir deux mots de passe au démarrage de la machine. Un partenaire université, EPST, autre peut-il acheter des PC DELL avec l option chiffrement sur le marché CNRS? Le marché DELL actuel ne le permet pas. Ce marché permet à l unité CNRS, quelle que soit l origine des fonds, d acheter des PC DELL avec l option chiffrement. Un nouveau marché national pour l achat de PC sera disponible à partir de juillet 2013, il sera ouvert aux EPST et aux universités qui le souhaitent. Dans la mesure où tout ordinateur d une UMR doit être chiffré, si l achat est réalisé sur des fonds gérés par un partenaire non éligible au marché CNRS il convient alors : soit d acheter un portable ayant ce type d option chiffrement natif

du disque basé sur l algorithme AES ; soit de procéder au chiffrement du disque a posteriori via la solution logicielle recommandée par le CNRS dans son manuel technique en fonction de l OS utilisé. La note NOT15YDSI-RSSIC modifie-t-elle la chaîne de remontée des incidents SSI en cas de vol? La chaîne de remontée des incidents SSI n est pas modifiée. La note indique que les incidents SSI dont font partie les vols - doivent être signalés au DU -> qui informe DR -> qui rend compte au RSSI du CNRS, au Directeur des affaires juridiques ainsi qu au Fonctionnaire de sécurité. Il s agit bien d informer les personnes responsables de la SSI (DU/DR/RSSIC) ainsi que les personnes responsables du dépôt de plainte en cas de vol (DU/DR/FSD-DAJ). Les procédures sont rappelées sur le site SSI dans cette rubrique : https://aresu.dsi.cnrs.fr/spip.php?article110. Au plan opérationnel le signalement de tout incident de sécurité doit s effectuer via la chaîne SSI : CSSI (nommé par le DU) -> RSSI DR (nommé par le DR) -> RSSIC (nommé par le Président). Dans tous les cas de vols et pour les incidents SSI survenant sur des unités ERR (dans une unité contenant une ZRR suivant la nouvelle règlementation), le FSD doit également être alerté. De façon très pratique l utilisation de la BAL mayday@services.cnrs.fr permet de signaler tout incident SSI au RSSIC, RSSIC Adj. et au FSD. Quelles précautions prendre après le vol d un ordinateur chiffré? Il faut changer les mots de passe et surtout ne plus utiliser en un quelconque endroit le mot de passe qui servait à déverrouiller le disque. En effet un voleur motivé pour récupérer les informations stockées sur le disque pourrait lancer une attaque ailleurs pour chercher à récupérer le mot de passe de la victime. L option «Conserver votre disque dur» disponible dans certains contrats de maintenance est-elle utile dans le cas où l ordinateur est chiffré? Souvent les constructeurs d ordinateurs proposent une option «Conserver votre disque dur» qui permet en cas de panne sous garantie du disque dur d en obtenir un nouveau sans avoir à fournir l ancien ou en cas de panne de l ordinateur de le renvoyer en ayant retiré au préalable le disque dur. Ainsi il n y a aucun risque de fuite d informations. Certes si le disque est chiffré ces risques de fuite d informations sont a priori nuls. Néanmoins il est toujours recommandé de choisir cette option. Une fois l ordinateur chiffré puis-je considérer qu il est protégé contre le vol? Chiffrer un ordinateur ne dispense pas de prendre des mesures élémentaires de protection contre le vol : utiliser un câble pour l attacher (certes cela ne fera pas obstacle à un voleur décidé mais cela dissuadera un opportuniste) ; fermer à clé les bureaux en cas d absence ;

surveiller sa machine et ne pas la laisser en évidence. Pensez à commander un câble lors de l achat d un ordinateur. Faut-il chiffrer les machines personnelles? Comme indiqué dans la note, ce sont toutes les informations concernant l activité professionnelle qui doivent être chiffrées. Si pour une raison ou une autre un utilisateur stocke des informations professionnelles sur sa machine personnelle (privée), il est de sa responsabilité de les chiffrer. Faut-il chiffrer les disques externes? Comme indiqué dans la note, il convient de protéger les ordinateurs et leurs périphériques de stockage (disques externes, clés USB, etc.). Il est arrivé que des vols, particulièrement dans des laboratoires sensibles, ne concernent que les disques durs externes. Comment remplir l enquête chiffrement? L enquête chiffrement doit permettre d établir un état des lieux du déploiement du chiffrement sur les «postes de travail» utilisés dans les unités (hors serveurs, tablettes et smartphones). En 2013 cette enquête concerne les ordinateurs utilisés par le personnel de l unité pour stocker des informations liées au travail de l unité. Dans l enquête on distinguera les ordinateurs portables et fixes : - CNRS (CNRS) : acquisition par l unité elle-même - PARTENAIRE (PART) : acquisition par un partenaire public ou privé de l unité - PERSONNEL (PERSO) : acquisition par l utilisateur sur ses fonds propres. Dans le cas où la répartition entre ces différents types de matériels n est pas connue avec précision il convient de l indiquer dans l enquête et de répartir suivant la meilleure estimation possible le nombre total de postes de travail dans ces différentes catégories. La note indique que cette enquête devra être saisie par chaque unité à partir de la fin du mois de février 2013. Un outil en ligne permettra aux unités de saisir ces données afin de faciliter la transmission entre les unités, les RSSI de DR et le RSSIC du CNRS. NOTA : l informatique «industrielle» (matériels de pilotage d expérience, etc.) n est pas visé par cette enquête. Comment obliger les utilisateurs à chiffrer leurs postes personnels? Il ne s agit pas d obliger mais d expliquer aux utilisateurs que le fait de traiter les informations professionnelles sur du matériel personnel les engage à assurer une protection de ces données suivant les règles édictées par le CNRS. Les utilisateurs ont donc tout intérêt à protéger leur poste pour éviter de se trouver dans une situation délicate en cas de vol des données professionnelles mais également pour protéger leurs propres données.

Comment obliger les partenaires à chiffrer les postes mis à disposition des agents de l unité? Il ne s agit pas d obliger mais d expliquer aux partenaires les règles édictées par le CNRS pour garantir la protection des données et de s organiser avec eux pour que les mesures soient appliquées de façon coordonnée. Doit-on opérer un séquestre de la clé de chiffrement dans tous les cas, y compris pour les matériels personnels? Le séquestre de la clé de chiffrement a pour but de permettre à l employeur : un accès aux données de l employé en cas de perte de la clé ou de départ de l employé ou bien de permettre l accès aux données en cas de requête judiciaire. Dans le cas des matériels fournis par le CNRS et les partenaires pour un usage professionnel, l unité doit obligatoirement procéder au séquestre des clés. Dans le cas des matériels personnels utilisés pour manipuler des informations professionnelles, l unité doit explicitement signaler à l utilisateur qu il doit pouvoir lui-même fournir la clé de chiffrement en cas de requête judiciaire. Si les données professionnelles gérées sur le poste personnel sont par ailleurs accessibles par l unité (données stockées : sur un disque dur externe chiffré dont la clé est séquestrée par l unité, sur un serveur géré par l unité, etc.), l utilisateur n a pas obligation à transmettre la clé de chiffrement au séquestre opéré par l unité. Les partenaires EPTS et Universités sont-ils informés de la note transmise par le Président du CNRS aux DU? La note «NOT15YDSI-RSSIC» a été transmise pour information aux responsables SSI de l INRIA, INSERM, PASTEUR, au FSSI du MESR, à RENATER - chargé par le MESR de l animation du réseau SSI de l ESR -, ainsi qu à l ANSSI. Certains pays étrangers interdisent le chiffrement, comment faire? Le portail de la sécurité informatique du gouvernement Français a formulé les conseils qu il convient de connaître avant de partir en mission à l étranger : http://www.securiteinformatique.gouv.fr/gp_article712.html Certains pays interdisent ou règlementent l usage de la cryptographie sur leur sol, vous trouverez ici les détails par pays : http://www.securite-informatique.gouv.fr/gp_article714.html De façon synthétique pour les pays qui veulent avoir le contrôle de votre poste de travail et de vos données : - soit vous partez avec votre poste de travail chiffré, avec la possibilité de vous faire refouler si les autorités n ont pas accès au disque (c est le cas dans de nombreux pays cf. liste ci-dessus)

- soit vous arrivez avec un ordinateur vierge, et vous vous connectez en extranet en utilisant un canal chiffré (par exemple accès en SSL) à un serveur de données, avec ces précautions minimum : o Avec un logiciel anti-virus à jour et un pare feu actif sur le poste de travail o Avec un mot de passe spécifique et jetable utilisé pour l occasion o Sur un espace de données ne comportant que des données que vous êtes prêts à partager avec l organisme et l Etat qui vous reçoit

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back