Politique de sécurité



Documents pareils
ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

Guide de bonnes pratiques de sécurisation du système d information des cliniques

La sécurité informatique

RÈGLEMENT N O 9. Règlement sur l utilisation des actifs informatiques et de télécommunication. du Cégep de l'abitibi-témiscamingue

Sécurité informatique : règles et pratiques

Les principes de la sécurité

Politique de sécurité de l actif informationnel

Questionnaire aux entreprises

Convention Beobank Online et Beobank Mobile

ISO la norme de la sécurité de l'information

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

La politique de sécurité

TERMES D'UTILISATION :

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

Les clauses sécurité dans un contrat de cloud

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

RESUME DES CONCLUSIONS SUR LE RISQUE OPERATIONNEL. No Objet Remarques et Conclusions du superviseur. Observations après un entretien

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Contractualiser la sécurité du cloud computing

La réglementation Incendie en Belgique

s é c u r i t é Conférence animée par Christophe Blanchot

Management de la sécurité des technologies de l information

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

données à caractère personnel (ci-après la "LVP"), en particulier l'article 29 ;

PLAN COMMUNAL DE SAUVEGARDE COMMUNE DE PUNAAUIA PARTIE 2: OPERATIONNELLE

Violence au travail Un organisme national

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

Les clauses «sécurité» d'un contrat SaaS

REGLEMENT DU JEU CONCOURS 1 TABLETTE TACTILE A GAGNER

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

L audit Informatique et la Qualité

Fiche de l'awt La sécurité informatique

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Politique de sécurité de l information

CONDITIONS GENERALES YOUSIGN v1.4 A - CONDITIONS APPLICABLES A TOUTES LES PRESTATIONS YOUSIGN

La sécurité des systèmes d information

Conditions générales de ventes - Hébergement

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Article 1 : Relations contractuelles entre les parties

[ Sécurisation des canaux de communication

Charte d'utilisation des systèmes informatiques

Chapitre 1 : Introduction aux bases de données

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

College Du Chinchon. Torniké Sidamonidzé 3C. M. Brulé

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Contrat de conception, reéalisation et hébergement de site web

Le GRAND CONSEIL de la République et canton de Genève décrète ce qui suit :

A. Compétences et attributions. 1. Une institution nationale est investie de compétences de protection et de promotion des droits de l'homme.

Qu est-ce qu un système d Information? 1

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

CONTRAT DE PARTENARIAT

Pour bien commencer avec le Cloud

Middleware eid v2.6 pour Windows

Politique sur l accès aux documents et sur la protection des renseignements personnels

Contrat d interface pour l enregistrement et la gestion des noms de domaine qui dépendent du domaine ".ch" et ".li" conclu entre

Convention pour la restauration scolaire, la garderie périscolaire et le centre de loisirs sans hébergement de la commune de Villebéon

CONDITIONS PARTICULIERES

CONDITIONS GENERALES DE VENTE ET D UTILISATION RELATIVES A L UTILISATION D AUTOBIZ-DIRECT

CHARTE D UTILISATION DU SITE

NKGB - CNHB FCA Release 3.0

RÈGLEMENT NUMÉRO 12 RÈGLEMENT SUR L UTILISATION DES TECHNOLOGIES INFORMATIQUES ET INTERNET

Projets européens Vade-mecum : Inscription Compte PADOR

OBJET : Utilisation des données contenues dans les annuaires téléphoniques.

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Information Technology Credits (ITCredits)

FICHE TECHNIQUE : SANTE ET SECURTE AU TRAVAIL

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

Appendice A I. Mission II. Domaine d'activité A. VÉRIFICATION

en Tunisie Enseignant en droit public à la Faculté des Sciences Juridiques de Tunis, chargé du cours d informatique

A propos de la médiation

SITUATION DES PROJETS DU REGISTRE NATIONAL.

L entreprise face à la Cybercriminalité : menaces et enseignement

Les badges de chantier*

1 - PREAMBULE - OBJET

L application doit être validée et l infrastructure informatique doit être qualifiée.

Politique d'utilisation des dispositifs mobiles

Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé

CONDITIONS GENERALES DE VENTE ET D UTILISATION

Vers la création d un service d appui aux consommateurs en Wallonie

CHARTE INFORMATIQUE. Usage de ressources informatiques et de service Internet

CONDITIONS PARTICULIERES SOLUTIONS DE MESSAGERIE COLLABORATIVE

Charte de l'audit informatique du Groupe

L impact d un incident de sécurité pour le citoyen et l entreprise

Jean Juliot Domingues Almeida Nicolas. Veille Juridique [LA RESPONSABILITE DES ADMINISTRATEURS SYSTEMES ET RESEAUX]

onditions Générales P h o n e W e b M é d i t e r r a n é e Club des Pins - STAOUELI- Tél : Fax: info@phoneweb-med.

Fiche méthodologique Rédiger un cahier des charges

Sécuriser un équipement numérique mobile TABLE DES MATIERES

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

LICENCE D UTILISATION DE LA DO NOT CALL ME LIST : CONDITIONS GENERALES

CGV - SOUSCRIPTION ET ACHAT SUR LES SITES INTERNET du Groupe LE MESSAGER

Transcription:

Politique de sécurité 1. Environnement Un CPAS dépend pour son bon fonctionnement d'un ensemble d'éléments: - de son personnel et son savoir-faire (expérience); - de ses informations (données sociales, données comptables, données légales); - de ses moyens pour obtenir de l'information (informatique, organismes de sécurité sociale, mutuelles, etc);. - de son organisation et de la législation (fonctionnement des services, règlements internes, loi organique, législation, ) Un CPAS fournit des services: aide aux démunis, octroi de RIS, médiation de dette, assistance aux réfugiés, hébergement en cas de catastrophe et bien d'autres missions encore. Dans notre société, le CPAS est sans doute le dernier rempart devant l'inéluctable, l'ultime chance pour certaines personnes de trouver une aide, un refuge, un soutien matériel. Il est donc important qu'il veille à garantir ce service en se protégeant contre tout événement risquant de l'empêcher de fonctionner. Quelles sont donc les menaces éventuelles liées aux CPAS ou à tout autre organisme? 2. Les menaces Les menaces qui peuvent causer un préjudice sont nombreuses et souvent sousestimées car méconnues: - les accès non autorisés dans les locaux ou dans les ordinateurs; - les vols d'information ou de matériel; - la fraude; - l'agression physique ou informatique (vol de données, dégâts provoqués aux données, pertes de données); - le vandalisme; - les risques naturels; - les défaillances techniques. La politique de sécurité du CPAS veillera donc à apporter une attention particulière aux menaces qui pourraient survenir dans son environnement. Pour ce faire, le CPAS va tenter de réduire les menaces auxquelles il peut être confronté. 1

Attention: chaque CPAS a des menaces plus ou moins présentes selon sa situation: - risque d'inondation si le CPAS est le long d'un cours d'eau; - risque d'incendie si les bâtiments sont vétustes et en bois; - risque de vol si les écrans et les ordinateurs sont laissés sans surveillance; - risque de vol de données si les pirates peuvent se connecter facilement au réseau informatique; - risque de vandalisme si le CPAS est installé dans une banlieue fréquemment touchée par ce type d acte; - etc. Les risques varieront en intensité de CPAS à CPAS. Tel CPAS est dans un quartier où la police enregistre plusieurs plaintes de vandalisme par jour, tel autre CPAS a déjà eu trois inondations, enfin tel CPAS a vu une partie de ses locaux brûler et n'a pas pu adopter de mesures contre l'incendie. 3. Définition La politique de sécurité est conçue pour appliquer des mesures de sécurité destinées à réduire les risques et les dommages. La politique de sécurité est créée pour protéger le personnel, préserver la confidentialité, la disponibilité et l'intégrité des biens, des services et des informations et assurer la continuité de fonctionnement du CPAS. Puisque les CPAS font et feront de plus en plus appel aux technologies de l'information (informatique), la politique de sécurité souligne l'importance pour eux de surveiller et préserver leurs opérations électroniques. 4. Objectif de la politique de sécurité Assurer la sauvegarde du personnel et des biens ainsi que la continuité de son fonctionnement. 5. Comment rédiger une politique de sécurité? En dehors des mesures de sécurité à adopter pour répondre aux normes minimales de la Banque Carrefour de la Sécurité Sociale, il faut passer revue les risques existants ou faire une analyse de risque par domaine de sécurité (cf les normes minimales de sécurité). a) L'organisation de la sécurité. Ceci concerne plus spécialement le relevé des incidents, la communication des incidents et la 2

concertation entre le conseiller en sécurité et son éventuel adjoint, le secrétaire, le Président et le conseil de l'aide sociale. Une politique simple et particulière à la communication et la concertation peut être rédigée. b) La sécurité physique. Quels sont les risques auxquels le CPAS doit faire face? Risques d'incendie, risques d'inondation, risques de vol? Combien de fois ces événements ont-ils eu lieu par le passé au CPAS ou dans l'environnement du CPAS? Quels sont les dégâts que pourrait subir le CPAS si un de ces risques survenait? Comment le CPAS pourrait-il apporter une réponse à ces risques et maintenir son activité? c) La sécurité logique. Les normes minimales sont d'application. Il est important de se rappeler que seules les données à caractère social sont visées mais que la sécurité est étendue à toutes les autres données, applications et logiciels nécessaires au bon fonctionnement de ces données sociales. Une politique de mot de passe est conseillée (comment donner les mots de passe, à qui, comment le renouveler, qui peut en donner, avec quel accès, quelle est la longueur du mot de passe, combien de temps est-il valable?.). d) La sécurité du développement et de la maintenance. Voir les normes minimales applicables uniquement aux CPAS qui développent euxmêmes leurs applications. e) La sécurité du réseau. Outre les normes minimales, la protection du réseau implique que l'accès au réseau est réservé aux utilisateurs du CPAS seulement et qu'il y a lieu de le protéger s'il est partagé. Cela signifie concrètement qu'aucun utilisateur d'une autre administration ne peut avoir accès au réseau du CPAS hormis l'informaticien responsable. La même politique de mot de passe qu'au point b est applicable. f) Le plan de continuité. Quels que soient les risques, tout CPAS devra envisager de mettre sur pied un plan de continuité. Un exemplaire sera publié sur le site du SPP IS. g) L'inventaire: un inventaire physique (meubles, chaises, PC, imprimantes) doit normalement être établi chaque année selon la loi 3

organique des CPAS. Un inventaire des logiciels, applications et programmes doit également être fait chaque année. Le CPAS peut s'adresser à sa firme de logiciels pour l'aider à le réaliser ou installer un logiciel (certains logiciels sont gratuits) pour faire cet inventaire. h) L'antivirus. Il y a lieu de respecter les normes minimales. i) L'audit. Il y a lieu de respecter les normes minimales et les règles de l'audit peuvent être définies dans une politique d'audit. Le schéma ci-dessous résume la manière de procéder: 6. Applicabilité de la politique de sécurité La politique de sécurité s'applique au personnel concerné (quel que soit son statut: statutaire, contractuel, interémaire, autre)et aux données à caractère social qu'elles soient conservées sur du papier ou informatisées. 4

7. Exemple de politique de sécurité. Introduction Le CPAS de xxxxxxxxx dépend de son personnel et de ses biens afin de fournir les services qui aident les personnes dans une situation de nécessité. Le CPAS doit gérer ses ressources avec une diligence raisonnable et conformément à la législation. Il prend les mesures appropriées pour sauvegarder ses ressources de tout préjudice. Les menaces qui peuvent créer un préjudice au personnel et aux biens du CPAS sont la violence, le vol, la fraude, le vandalisme, l'incendie, les catastrophes naturelles, les défaillances techniques et les dommages fortuits. Les menaces d'attaques informatiques et les actes malveillants par internet sont fréquents et peuvent nuire tant à l'informatique qu'aux biens du CPAS. La politique de sécurité du CPAS recommande l'application de mesures de sauvegarde pour réduire le préjudice. Cette politique est conçue pour protéger le personnel, préserver la confidentialité, la disponibilité et la valeur des biens et assurer son fonctionnement permanent. Puisque le CPAS doit se fier aux technologies de l information pour la bonne exécution de ses missions, cette politique souligne l importance de surveiller les opérations électroniques dans le cadre des normes minimales de sécurité de la Banque Carrefour de la Sécurité Sociale. Cette politique est complémentaire aux politiques existantes tant au niveau fédéral que régional et communautaire notamment pour la gestion des ressources humaines, des langues, des régions, du matériel et des ressources du CPAS. A. Objectif de la politique de sécurité Assurer la sauvegarde du personnel et des biens du CPAS ainsi que son fonctionnement permanent. B. Obligations légales Arrêté royal du 12 août 1993 organisant la sécurité de l information dans les institutions de sécurité sociale, moniteur belge du 21 août 1993 modifié par l Arrêté royal du 8 octobre 1998 (moniteur belge du 24 décembre 1998). Normes minimales de sécurité à respecter par les Institutions Sociale en vue de leur connexion au réseau de la Banque Carrefour de la Sécurité Sociale. 5

C. Sécurité des télécommunications Loi du 30 juin 1994 relative à la protection de la vie privée contre les écoutes, la prise de connaissance et l enregistrement de communications et de télécommunications privées. D. Vie privée Loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel. Loi du 8 août 1983 organisant un Registre national des personnes physiques. Loi du 30 juin 1994 sur la protection de la vie privée contre les écoutes, la prise de connaissance et l'enregistrement de communications et de télécommunications privées. Loi du 31 mars 1991 portant réforme de certaines entreprises publiques économiques. Arrêté royal du 4 février 1997 organisant la communication des données entre institutions de sécurité sociale. E. Fraude informatique Loi du 28 novembre 2000 en matière de criminalité informatique. F. Protection des programmes informatiques Loi du 30 juin 1994 sur le droit d'auteur et les droits voisins. Loi du 30 juin 1994 transposant la directive européenne du 14 mai 1991 sur la protection juridique des programmes d'ordinateur. G. Banques de données Loi du 31 août 1998 transposant la directive européenne du 11 mars 1996 sur la protection juridique des bases de données. H. Communication commerciale électronique Directive 2001/29/Eg du Parlement européen et du Conseil du 22 mai 2001 sur l'harmonisation de certains aspects du droit d'auteur et des droits voisins dans la société de l'information. Loi du 9 juillet 2001 fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification. 6

I. Protection de produits semi-conducteurs Loi du 10 janvier 1990 concernant la protection juridique des topographies de produits semi-conducteurs. J. Droit social CCT n 81 relative à la protection de la vie privée des travailleurs à l'égard du contrôle des données de communication électroniques en réseau. K. Responsabilités La responsabilité de la bonne application de la politique de sécurité appartient au responsable de la gestion journalière du CPAS. Les responsabilités du conseiller en sécurité sont définies dans l Arrêté royal du 12 août 1993 1. Le service informatique est tenu de travailler en conformité avec les polices de sécurité définies par le CPAS et d apporter son soutien au conseiller en sécurité et aux utilisateurs pour qu ils puissent réaliser leurs missions. L. Organisation de la sécurité Les normes minimales sont d application. Une politique de sécurité doit être adoptée pour veiller à la communication d informations au conseiller en sécurité pour le tenir au courant et lui permettre d exécuter sa mission. La sécurité sera abordée périodiquement (toutes les semaines ou tous les mois ou tous les trimestres et lorsque cela s avère nécessaire) avec toutes les personnes concernées. M. Sécurité liée au personnel Cette politique a pour but de prendre les mesures nécessaires au maintien de la sécurité. Le personnel doit être informé des risques liés à l utilisation des données à caractère social, à l utilisation du mail, de l accès à internet et des systèmes de sécurité existants. 1 Arrêté royal du 12 août 1993 organisant la sécurité de l information dans les institutions de sécurité sociale, moniteur belge du 21 août 1993 modifié par l Arrêté royal du 8 octobre 1998 (moniteur belge du 24 décembre 1998). 7

Exemples de politiques de sécurité utiles que chaque CPAS adaptera en fonction de sa situation: - procédure administrative sur la manière de délivrer des autorisations d accès, - procédure sur la manière de supprimer les autorisations en cas de départ, de changement de service, de sanction, - procédure de sécurité à suivre lors de l embauche, - procédure de l utilisation du mail, - procédure de l utilisation d internet, - politique d utilisation interne du matériel informatique ou non, - procédure de non respect des politiques, - etc. N. Sécurité physique Cette politique vise à empêcher l accès non autorisé aux informations confidentielles et à caractère social contenues soit dans les dossiers soit dans les fichiers informatiques, d empêcher la modification, la perte ou le vol d informations, l arrêt du travail ou tout événement ayant des conséquences dommageables pour le CPAS. Exemples de politiques de sécurité utiles que chaque CPAS adaptera en fonction de sa situation: - procédure sur la manière de contrôler les accès aux bureaux du CPAS? - politiques de prévention liées à la protection, la détection, l extinction et l intervention concernant l incendie, l intrusion et les dégâts des eaux ; - procédure d évacuation en cas d incendie, procédure d intervention, procédure concernant une détection d intrusion. O. Gestion interne La politique de sécurité du CPAS accorde une importance particulière aux éléments suivants : * pour les CPAS qui développent eux-mêmes leurs applications, les procédures suivantes sont définies : - les responsabilités des intervenants dans le service informatique, - les modifications apportées aux appareils, aux logiciels et aux procédures, - les traitements des incidents, 8

- les séparations de responsabilités et des environnements informatiques. * pour tous les CPAS : - une clause de confidentialité et une attention particulière aux aspects de sécurité lorsque le CPAS fait appel aux services d une société extérieure, informatique ou non, - une politique de sécurité concernant les back ups (sauvegardes des données), - une politique de sécurité concernant la sauvegarde des programmes, applications et logiciels. P. Sécurité d accès logique La politique de sécurité d accès logique vise à protéger les accès aux réseaux, aux applications et aux informations. Les éléments concernés par cette politique sont : - les mots de passe, - les autres modes d accès (token, pin codes, systèmes avec empreinte digitale, etc.) ainsi que leur conservation (sous forme cryptée, c'est-à-dire illisible), - les procédures pour délivrer des mots de passe, - les accès autorisés ou non aux applications, aux réseaux ou à des parties de réseau, - la responsabilité des utilisateurs (responsabilité légale), - les protections des réseaux (routeurs, parefeu ou firewall, proxy, autres), - les protections des applications par les utilisateurs, le gestionnaire de réseau et les fournisseurs, - les protections spécialement appliquées aux ordinateurs portables. Q. Développement et maintenance des systèmes * Pour les CPAS qui développent eux-mêmes leurs applications, les procédures suivantes sont définies : L idée est de s assurer que les systèmes développés offrent les sécurités nécessaires tout au long de leur vie. La politique de sécurité visera donc : - la sécurité à l égard des nouvelles applications en collaboration avec le conseiller en sécurité, - la sécurité lors du développement, 9

- la documentation, - la sécurité des input et des output, - un système d auditabilité, - un système hermétique aux autres systèmes de communication, - la prise en compte des faiblesses de certains langages, - la confidentialité, l authenticité, la disponibilité et l intégrité des données, - des procédures formelles pour les modifications et les mises en production, - le maintien de la confidentialité des données utilisées en test, - les techniques suivantes si elles sont utilisées : la cryptographie, la non répudiation et la signature digitale. R. La continuité La politique de gestion de la continuité veut permettre au CPAS de réagir en cas de problèmes critiques. Il s agit pour le CPAS de prévoir de recommencer ses activités en un temps déterminé par le Conseil de l aide sociale. Cette politique prévoira donc les éléments suivants : - un plan de continuité dont un exemple sera disponible sur le site du SPP IS fin 2005, - une mise à jour régulière de ce plan, - un test de ce plan une fois complété, - l aide éventuelle des fournisseurs extérieurs dans le cadre de contrats d assistance (intervention dans les x heures). S. Respect de la politique de sécurité et audit La politique de sécurité respecte les exigences légales et contractuelles en matière de sécurité. Ce respect sera établi par une mise à jour régulière et par un audit interne ou externe. 10

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back