FAQ Protection contre les Vols de matériels informatiques Questions liées à l organisation du déploiement (cf. NOT15YDSI-RSSIC) CNRS RSSIC version du 27 février 2013 Contenu Est-ce que tous les ordinateurs doivent être protégés contre le vol?... 2 Je ne pourrai pas traiter tous les postes dans les délais impartis, n y a-t-il pas des priorités en fonction des postes?... 2 Pour certains matériels il semble très compliqué ou inutile de chiffrer ne peut-il y avoir des dérogations?... 2 Pour les PC, dans le marché national DELL je ne peux demander l option chiffrement pour certains types de disques, comment puis-je déployer le chiffrement dans ce cas?... 2 Le chiffrement TRUECRYPT peut prendre plusieurs heures, cela génère beaucoup de travail, comment faire?... 3 Le chiffrement nécessite une sauvegarde préalable des données, cela génère beaucoup de travail, comment faire?... 3 Le chiffrement complique la récupération des données sur du matériel défectueux, comment faire?... 3 Le chiffrement complique le transfert de données lors du renouvellement des postes, comment faire?... 3 Les objets nomades communicants (smartphones, tablettes, etc.) doivent-ils être protégés par chiffrement et comment?... 3 Comment m organiser pour le séquestre (conservation) des mots de passe de chiffrement?... 4 Dois-je prévoir une procédure de changement périodique des mots de passe de chiffrement?... 4 Dans mon unité je souhaite traiter l ensemble du parc des PC avec TRUECRYPT, est-ce contraire à la politique définie dans la note officielle?... 4 Un partenaire université, EPST, autre peut-il acheter des PC DELL avec l option chiffrement sur le marché CNRS?... 4 La note NOT15YDSI-RSSIC modifie-t-elle la chaîne de remontée des incidents SSI en cas de vol?... 5 Quelles précautions prendre après le vol d un ordinateur chiffré?... 5 L option «Conserver votre disque dur» disponible dans certains contrats de maintenance est-elle utile dans le cas où l ordinateur est chiffré?... 5 Une fois l ordinateur chiffré puis-je considérer qu il est protégé contre le vol?... 5
Faut-il chiffrer les machines personnelles?... 6 Faut-il chiffrer les disques externes?... 6 Comment remplir l enquête chiffrement?... 6 Comment obliger les utilisateurs à chiffrer leurs postes personnels?... 6 Comment obliger les partenaires à chiffrer les postes mis à disposition des agents de l unité?... 7 Doit-on opérer un séquestre de la clé de chiffrement dans tous les cas, y compris pour les matériels personnels?... 7 Les partenaires EPTS et Universités sont-ils informés de la note transmise par le Président du CNRS aux DU?... 7 Certains pays étrangers interdisent le chiffrement, comment faire?... 7 Est-ce que tous les ordinateurs doivent être protégés contre le vol? Les ordinateurs contenant des données CNRS doivent être tous protégés contre le vol, y compris le matériel personnel qui héberge des données professionnelles du CNRS. Je ne pourrai pas traiter tous les postes dans les délais impartis, n y a-t-il pas des priorités en fonction des postes? En pratique la priorité est de chiffrer dans les meilleurs délais les postes de travail portables et les postes de travail fixes les plus exposés au vol (ceux qui contiennent des données sensibles, le matériel appétant de type Apple notamment, etc.). Pour certains matériels il semble très compliqué ou inutile de chiffrer ne peut-il y avoir des dérogations? Toute dérogation doit être argumentée et consignée en annexe du plan de déploiement du chiffrement (par exemple : pour les postes de travail dont les données sont uniquement stockées sur le serveur de l unité, postes de travail fixes hébergés dans des locaux très protégés, matériels spécifiques utilisés pour des expériences et hébergés dans des locaux protégés, etc.). Pour les PC, dans le marché national DELL je ne peux demander l option chiffrement pour certains types de disques, comment puis-je déployer le chiffrement dans ce cas? Pour les PC qui ne peuvent être chiffrés par l option présente au marché DELL (en fonction du type et de la taille du disque), il convient d appliquer le chiffrement logiciel TRUECRYPT (pour Windows) ou dm_crypt (Linux) comme indiqué dans le VADE-MECUM et le manuel technique.
Le chiffrement TRUECRYPT peut prendre plusieurs heures, cela génère beaucoup de travail, comment faire? Le chiffrement initial d un disque par TRUECRYPT peut durer plusieurs heures, cependant il est tout à fait possible de lancer le chiffrement et de rendre le poste à l utilisateur (le chiffrement s interrompt lorsque le poste s éteint et reprend sans problème au reboot, le chiffrement fonctionne en tâche de fond sans ralentissement sensible du PC) comme indiqué dans le manuel technique. Le chiffrement nécessite une sauvegarde préalable des données, cela génère beaucoup de travail, comment faire? Les données importantes du poste de travail doivent être sauvegardées dans tous les cas, le chiffrement n induit pas un risque technique significatif de perte de données (il convient cependant de conserver la clé de chiffrement comme indiqué dans le manuel technique). Le chiffrement complique la récupération des données sur du matériel défectueux, comment faire? Si la clé de chiffrement a bien été conservée il n y a pas de problème particulier (cela a été documenté dans le manuel technique et la FAQ associée). Le chiffrement complique le transfert de données lors du renouvellement des postes, comment faire? Le transfert de données devrait être réalisé via une sauvegarde des données, le chiffrement complet du disque (ce qui est recommandé) est transparent lors de ces opérations. Les objets nomades communicants (smartphones, tablettes, etc.) doivent-ils être protégés par chiffrement et comment? Une recommandation spécifique «Règles élémentaires de sécurité objets nomades communicants» détaille les mesures qu il convient de mettre en place pour ce type de matériel. Ce type de matériel n est pas référencé dans la note «NOT15YDSI-RSSIC», le déploiement de la protection sur ce type de matériel n est donc pas suivi au plan national pour le moment.
Comment m organiser pour le séquestre (conservation) des mots de passe de chiffrement? Le séquestre ne peut être assuré que par des personnes dûment autorisées par le directeur d unité. Les conditions du séquestre doivent permettre de garantir que seules les personnes autorisées ont accès aux mots de passe (armoire ou coffre fermés à clé) et que ces mots de passe sont conservés de façon à ce qu ils ne puissent être perdus (stockage d une copie dans un lieu différent). Le détail des informations à conserver en fonction des systèmes protégés et outils utilisés sont donnés dans le manuel technique. Dois-je prévoir une procédure de changement périodique des mots de passe de chiffrement? Dans le cadre du déploiement initial du chiffrement pour la protection contre le vol d ordinateurs cette mesure n est pas obligatoire dans la mesure où le mot de passe de chiffrement est un mot de passe qui : est spécifique à chaque utilisateur ; ne transite jamais sur le réseau ; ne peut être découvert sans un accès prolongé au matériel qu il protège ; est suffisamment robuste pour que sa résolution prenne en règle générale plus d un an en cas de vol du matériel. Dans mon unité je souhaite traiter l ensemble du parc des PC avec TRUECRYPT, est-ce contraire à la politique définie dans la note officielle? Dans la mesure où l utilisation de TRUECRYPT nécessite de saisir deux mots de passe au démarrage de la machine (pas de lien entre mot de passe de session Windows et mot de passe de chiffrement), il a été décidé de favoriser, pour faciliter la vie des utilisateurs, l achat de matériels avec chiffrement natif (un seul mot de passe au démarrage). Par ailleurs, l utilisation de TRUECRYPT est la solution recommandée sous Windows 7 pour les disques qui n ont pas l option permettant un chiffrement natif. C est donc au directeur de décider, il peut décider de tout traiter via TRUECRYPT pour faciliter le déploiement du chiffrement de façon homogène dans la mesure où il s est assuré que les utilisateurs acceptent sans aucune objection de saisir deux mots de passe au démarrage de la machine. Un partenaire université, EPST, autre peut-il acheter des PC DELL avec l option chiffrement sur le marché CNRS? Le marché DELL actuel ne le permet pas. Ce marché permet à l unité CNRS, quelle que soit l origine des fonds, d acheter des PC DELL avec l option chiffrement. Un nouveau marché national pour l achat de PC sera disponible à partir de juillet 2013, il sera ouvert aux EPST et aux universités qui le souhaitent. Dans la mesure où tout ordinateur d une UMR doit être chiffré, si l achat est réalisé sur des fonds gérés par un partenaire non éligible au marché CNRS il convient alors : soit d acheter un portable ayant ce type d option chiffrement natif
du disque basé sur l algorithme AES ; soit de procéder au chiffrement du disque a posteriori via la solution logicielle recommandée par le CNRS dans son manuel technique en fonction de l OS utilisé. La note NOT15YDSI-RSSIC modifie-t-elle la chaîne de remontée des incidents SSI en cas de vol? La chaîne de remontée des incidents SSI n est pas modifiée. La note indique que les incidents SSI dont font partie les vols - doivent être signalés au DU -> qui informe DR -> qui rend compte au RSSI du CNRS, au Directeur des affaires juridiques ainsi qu au Fonctionnaire de sécurité. Il s agit bien d informer les personnes responsables de la SSI (DU/DR/RSSIC) ainsi que les personnes responsables du dépôt de plainte en cas de vol (DU/DR/FSD-DAJ). Les procédures sont rappelées sur le site SSI dans cette rubrique : https://aresu.dsi.cnrs.fr/spip.php?article110. Au plan opérationnel le signalement de tout incident de sécurité doit s effectuer via la chaîne SSI : CSSI (nommé par le DU) -> RSSI DR (nommé par le DR) -> RSSIC (nommé par le Président). Dans tous les cas de vols et pour les incidents SSI survenant sur des unités ERR (dans une unité contenant une ZRR suivant la nouvelle règlementation), le FSD doit également être alerté. De façon très pratique l utilisation de la BAL mayday@services.cnrs.fr permet de signaler tout incident SSI au RSSIC, RSSIC Adj. et au FSD. Quelles précautions prendre après le vol d un ordinateur chiffré? Il faut changer les mots de passe et surtout ne plus utiliser en un quelconque endroit le mot de passe qui servait à déverrouiller le disque. En effet un voleur motivé pour récupérer les informations stockées sur le disque pourrait lancer une attaque ailleurs pour chercher à récupérer le mot de passe de la victime. L option «Conserver votre disque dur» disponible dans certains contrats de maintenance est-elle utile dans le cas où l ordinateur est chiffré? Souvent les constructeurs d ordinateurs proposent une option «Conserver votre disque dur» qui permet en cas de panne sous garantie du disque dur d en obtenir un nouveau sans avoir à fournir l ancien ou en cas de panne de l ordinateur de le renvoyer en ayant retiré au préalable le disque dur. Ainsi il n y a aucun risque de fuite d informations. Certes si le disque est chiffré ces risques de fuite d informations sont a priori nuls. Néanmoins il est toujours recommandé de choisir cette option. Une fois l ordinateur chiffré puis-je considérer qu il est protégé contre le vol? Chiffrer un ordinateur ne dispense pas de prendre des mesures élémentaires de protection contre le vol : utiliser un câble pour l attacher (certes cela ne fera pas obstacle à un voleur décidé mais cela dissuadera un opportuniste) ; fermer à clé les bureaux en cas d absence ;
surveiller sa machine et ne pas la laisser en évidence. Pensez à commander un câble lors de l achat d un ordinateur. Faut-il chiffrer les machines personnelles? Comme indiqué dans la note, ce sont toutes les informations concernant l activité professionnelle qui doivent être chiffrées. Si pour une raison ou une autre un utilisateur stocke des informations professionnelles sur sa machine personnelle (privée), il est de sa responsabilité de les chiffrer. Faut-il chiffrer les disques externes? Comme indiqué dans la note, il convient de protéger les ordinateurs et leurs périphériques de stockage (disques externes, clés USB, etc.). Il est arrivé que des vols, particulièrement dans des laboratoires sensibles, ne concernent que les disques durs externes. Comment remplir l enquête chiffrement? L enquête chiffrement doit permettre d établir un état des lieux du déploiement du chiffrement sur les «postes de travail» utilisés dans les unités (hors serveurs, tablettes et smartphones). En 2013 cette enquête concerne les ordinateurs utilisés par le personnel de l unité pour stocker des informations liées au travail de l unité. Dans l enquête on distinguera les ordinateurs portables et fixes : - CNRS (CNRS) : acquisition par l unité elle-même - PARTENAIRE (PART) : acquisition par un partenaire public ou privé de l unité - PERSONNEL (PERSO) : acquisition par l utilisateur sur ses fonds propres. Dans le cas où la répartition entre ces différents types de matériels n est pas connue avec précision il convient de l indiquer dans l enquête et de répartir suivant la meilleure estimation possible le nombre total de postes de travail dans ces différentes catégories. La note indique que cette enquête devra être saisie par chaque unité à partir de la fin du mois de février 2013. Un outil en ligne permettra aux unités de saisir ces données afin de faciliter la transmission entre les unités, les RSSI de DR et le RSSIC du CNRS. NOTA : l informatique «industrielle» (matériels de pilotage d expérience, etc.) n est pas visé par cette enquête. Comment obliger les utilisateurs à chiffrer leurs postes personnels? Il ne s agit pas d obliger mais d expliquer aux utilisateurs que le fait de traiter les informations professionnelles sur du matériel personnel les engage à assurer une protection de ces données suivant les règles édictées par le CNRS. Les utilisateurs ont donc tout intérêt à protéger leur poste pour éviter de se trouver dans une situation délicate en cas de vol des données professionnelles mais également pour protéger leurs propres données.
Comment obliger les partenaires à chiffrer les postes mis à disposition des agents de l unité? Il ne s agit pas d obliger mais d expliquer aux partenaires les règles édictées par le CNRS pour garantir la protection des données et de s organiser avec eux pour que les mesures soient appliquées de façon coordonnée. Doit-on opérer un séquestre de la clé de chiffrement dans tous les cas, y compris pour les matériels personnels? Le séquestre de la clé de chiffrement a pour but de permettre à l employeur : un accès aux données de l employé en cas de perte de la clé ou de départ de l employé ou bien de permettre l accès aux données en cas de requête judiciaire. Dans le cas des matériels fournis par le CNRS et les partenaires pour un usage professionnel, l unité doit obligatoirement procéder au séquestre des clés. Dans le cas des matériels personnels utilisés pour manipuler des informations professionnelles, l unité doit explicitement signaler à l utilisateur qu il doit pouvoir lui-même fournir la clé de chiffrement en cas de requête judiciaire. Si les données professionnelles gérées sur le poste personnel sont par ailleurs accessibles par l unité (données stockées : sur un disque dur externe chiffré dont la clé est séquestrée par l unité, sur un serveur géré par l unité, etc.), l utilisateur n a pas obligation à transmettre la clé de chiffrement au séquestre opéré par l unité. Les partenaires EPTS et Universités sont-ils informés de la note transmise par le Président du CNRS aux DU? La note «NOT15YDSI-RSSIC» a été transmise pour information aux responsables SSI de l INRIA, INSERM, PASTEUR, au FSSI du MESR, à RENATER - chargé par le MESR de l animation du réseau SSI de l ESR -, ainsi qu à l ANSSI. Certains pays étrangers interdisent le chiffrement, comment faire? Le portail de la sécurité informatique du gouvernement Français a formulé les conseils qu il convient de connaître avant de partir en mission à l étranger : http://www.securiteinformatique.gouv.fr/gp_article712.html Certains pays interdisent ou règlementent l usage de la cryptographie sur leur sol, vous trouverez ici les détails par pays : http://www.securite-informatique.gouv.fr/gp_article714.html De façon synthétique pour les pays qui veulent avoir le contrôle de votre poste de travail et de vos données : - soit vous partez avec votre poste de travail chiffré, avec la possibilité de vous faire refouler si les autorités n ont pas accès au disque (c est le cas dans de nombreux pays cf. liste ci-dessus)
- soit vous arrivez avec un ordinateur vierge, et vous vous connectez en extranet en utilisant un canal chiffré (par exemple accès en SSL) à un serveur de données, avec ces précautions minimum : o Avec un logiciel anti-virus à jour et un pare feu actif sur le poste de travail o Avec un mot de passe spécifique et jetable utilisé pour l occasion o Sur un espace de données ne comportant que des données que vous êtes prêts à partager avec l organisme et l Etat qui vous reçoit