RAPPORT D AUDITORAT RELATIF AUX MESURES DE SECURITE MISES EN OEUVRE DANS LE CADRE DE L ACCES AU RESEAU GERE PAR LA BANQUE CARREFOUR DANS LE CHEF DES INSPECTEURS SOCIAUX DU MINISTERE DE L EMPLOI ET DU TRAVAIL 1. Préliminaires Les institutions de sécurité sociale, et a fortiori leurs membres du personnel, n ont accès qu aux seules données disponibles dans le réseau de la Banque Carrefour pour lesquelles elles ont obtenu au préalable une autorisation d accès explicite et qui portent sur les personnes intégrées dans le répertoire des personnes de la Banque Carrefour pour ce qui concerne leur institution. En cas d assimilation, sur ce plan, des inspecteurs sociaux avec les autres membres du personnel de leur institution, les inspecteurs sociaux risquent toutefois de se voir interdire l accès à des renseignements importants utiles au bon exercice de leurs fonctions. C est pour cette raison qu il a été prévu, pour les inspecteurs sociaux, un accès aux données contournant le répertoire des références. Etant donné que cet accès sera nettement plus vaste que celui pour les autres membres du personnel, la Banque Carrefour a jugé nécessaire d exiger des mesures de sécurité strictes pour la connexion des services d inspection sociale. Ces mesures sont décrites dans le document Accès au réseau géré par la Banque Carrefour dans le chef des inspecteurs sociaux. 2. Autorisation d accès existante Par sa délibération n 97/47 du 24 juin 1997, le Comité de surveillance a autorisé les trois services d inspection sociale du Ministère de l Emploi et du Travail 1 à accéder, à l intervention de la Banque Carrefour, au Registre national ainsi qu à la banque de données LATG et au répertoire des employeurs de l ONSS. L accès ne s effectue que par les postes de travail situés dans les bureaux régionaux et à partir de l administration centrale du Ministère. Il s agit d un échange de données interactif par le biais d une liaison d application à application. 3. Nouvelle autorisation d accès La nouvelle demande d autorisation d accès que le Ministère de l Emploi et du Travail a introduite auprès du Comité de surveillance le 26 juillet 1999, ne porte que sur le service Inspection des lois sociales. Le Ministère demande que ce service d inspection soit autorisé à consulter, au moyen d un ordinateur portable, la banque de données Dimona gérée par la SmalS-MvM. 1 Les services d inspection des lois sociales, le service d inspection technique et le service d inspection médicale.
La consultation de cette banque de données se réalisera par l intermédiaire d une application internet auprès de la SmalS-MvM et ce : à partir des bureaux régionaux des services d inspection concernés ; à partir du domicile des inspecteurs sociaux / contrôleurs ; depuis tout endroit en Belgique où des personnes sont employées. A l avenir, le Ministère souhaite étendre la consultation de données pour les inspecteurs/contrôleurs sociaux au Registre national, aux registres de la Banque Carrefour, à la banque de données LATG et au fichier des cartes SISà partir des endroits susmentionnés. La manière dont cette consultation sera mise en œuvre techniquement, n est pas encore établie. 4. Evaluation des mesures de sécurité prises par le Ministère de l Emploi et du Travail dans le cadre de la connexion de ses inspecteurs sociaux au réseau de la Banque Carrefour Comme il a été mentionné sous le point 1, le document Accès au réseau géré par la Banque Carrefour dans le chef des inspecteurs sociaux comprend les règles de sécurité que doit au minimum respecter une institution de sécurité sociale, si elle souhaite obtenir une connexion de ses services d inspection sociale au réseau de la Banque Carrefour. L évaluation des mesures de sécurité implémentées par le MET doit dès lors se faire en fonction des mesures décrites dans le document précité. Les mesures de sécurité mises en œuvre par le MET ont été comparées point par point aux prescriptions minimales de sécurité à respecter. Les principales mesures prévues par le MET sont décrites dans les pages suivantes. a. La formation en matière de sécurité des inspecteurs/contrôleurs sociaux et leur sensibilisation par rapport à la problématique de sécurité Les inspecteurs/contrôleurs sociaux bénéficient d une formation de sécurité spécifique. Au cours des sessions de formation, les aspects suivants sont abordés en détail: protection du PC (notamment protection contre les virus, protection contre le vol) ; sensibilisation en matière de choix d un mot de passe sûr et son utilisation ; dispositions légales en matière de protection de la vie privée ; aspects de sécurité relatifs à l utilisation d un ordinateur portable et aux types de connexion (GSM, PSTN et ISDN) ; les règles déontologiques le secret professionnel ; caractère confidentiel des informations obtenues ;
la consultation des données est uniquement autorisée dans le cadre de l exécution de leurs missions légales ; b. La procédure de connexion par l intermédiaire de l application Internet auprès de la SmalS-MvM Les inspecteurs/contrôleurs sociaux peuvent se connecter, par l intermédiaire d un ordinateur portable, de deux manières à l application Internet auprès de la SmalS- MvM. Des mesures de sécurité identiques s appliquent aux deux possibilités de connexion: une connexion PSTN ou ISDN 2 : chaque connexion au réseau de la SmalS- MvM est réalisée : par l intermédiaire d un serveur RAS (= Remote Access Server) avec contrôle statique du mot de passe ; par l intermédiaire d un pare-feu avec contrôle dynamique du mot de passe. par l intermédiaire d une connexion GSM 3 : les connexions au réseau de la SmalS-MvM se réalisent également : par l intermédiaire d un serveur RAS avec contrôle statique du mot de passe ; par l intermédiaire d un pare-feu avec contrôle dynamique du mot de passe. Les GSM sont en outre équipés d un code PIN modifiable par l utilisateur. Par ailleurs, toutes les données sont mémorisées par l utilisateur final sur l ordinateur portable dans la partition cryptée du disque dur. Cette opération d encryptage s effectue à l aide du logiciel Filecrypto. Lors de la configuration de ce logiciel, une clé d encryptage est conçue, protégée par le mot de passe 4 (=phassphrase). Les clés d encryptage sont gérées de manière centrale par la cellule informatique de l Inspection des lois sociales sous la surveillance du conseiller en sécurité du Ministère. Tous les échanges de données entre ordinateurs portables et le pare-feu 5, sont en outre cryptées. Enfin, après 15 minutes d inactivité, la ligne de connexion est automatiquement interrompue. De plus, l utilisateur n est pas en mesure de se connecter simultanément à partir de deux lieux géographiques différents. 2 A utiliser depuis un bureau régional ou depuis le domicile des inspecteurs ou contrôleurs sociaux. 3 A utiliser depuis n importe quel endroit: depuis le lieu où se trouve l employeur, depuis le bureau régional, depuis le domicile des inspecteurs/contrôleurs sociaux. 4 Les caractéristiques du mot de passe sont les suivantes: individuel, à choisir par l utilisateur, pas de longueur minimale, enregistrement crypté, pas de blocage après x tentatives d accès erronées, pas d historique et pas de modification obligatoire après x temps. 5 Par l intermédiaire de l instrument logiciel Secu Remote.
c. L identification et la méthode de protection d accès des postes de travail Qu un ordinateur portable soit connu auprès de la SmalS-MvM ou non, n est pas contrôlé lors de l établissement d une connexion. L absence de cette mesure de contrôle ne compromet cependant pas le fonctionnement sécurisé du système. La combinaison d un mot de passe au niveau du serveur RAS, l utilisation d une carte secure-id et l introduction obligatoire d un mot de passe applicatif offrent une garantie de sécurité suffisante 6. d. L identification et l authentification des inspecteurs/contrôleurs sociaux Les systèmes de sécurité installés sont composés de trois niveaux. Chaque utilisateur qui, indépendamment du mode de connexion utilisé, souhaite consulter la banque de données DIMONA par l intermédiaire d une application Internet auprès de la SmalS- MvM, est tenu de parcourir ces trois niveaux : Les trois niveaux de sécurité sont: le niveau de l ordinateur Objectif : contrôle l accès à l ordinateur portable. Identification et authentification de l utilisateur : identification : userid ; authentification :mot de passe. Caractéristiques du mot de passe : 6 positions, individuel, à choisir librement par l utilisateur, enregistrement crypté, blocage d accès après 5 tentatives d accès infructueuses, pas d historique et pas de modification obligatoire après x temps 7 ; un ordinateur portable n est pas interchangeable et ne peut être utilisé qu à partir d un seul userid ; l attribution du mot de passe initial et le déblocage éventuel d un ordinateur portable s effectue sous la surveillance du conseiller en sécurité du Ministère. niveau du réseau Objectif : contrôle l accès au réseau informatique de la SmalS-MvM. L identification et l authentification de l utilisateur est double : RAS userid et mot de passe. Caractéristiques du mot de passe: individuel, n est pas à choisir par l utilisateur, 6 positions au minimum (combinaison obligatoire de lettres et de chiffres), enregistrement crypté, pas de blocage d accès après x tentatives d accès erronées, pas d historique et pas de modification obligatoire après x temps 8. Les demandes de userid et la communication du mot de passe initial à un inspecteur/ contrôleur social se déroulent par 6 Cf. infra point d. 7 Lors de la formation, l accent sera mis sur l utilisation de mots de passe sûrs et sur la nécessité de modifier le mot de passe mensuellement. 8 Le conseiller en sécurité du Ministère peut décider de modifier le mot de passe à périodicité déterminée.
l intermédiaire des conseillers en sécurité du Ministère et de la SmalS-MvM. Au cas où l inspecteur / contrôleur social ne se souviendrait plus de son mot de passe, la procédure veut que les conseillers en sécurité du Ministère et de la SmalS-MvM interviennent. Carte secure-id avec userid, code PIN et code passe. A chaque authentification l inspecteur/contrôleur social est tenu d introduire son userid, son code PIN 9 et son code passe 10. Toutes les 30 minutes, l utilisateur doit à nouveau parcourir cette procédure. Les demandes de cartes secure-id et la communication du code PIN initial à un inspecteur/contrôleur social se déroulent par l intermédiaire des conseillers en sécurité du Ministère et de la SmalS-MvM. Au cas où l inspecteur/contrôleur social aurait perdu sa carte Secure-ID ou ne se souviendrait plus de son code pin, la procédure veut que les conseillers en sécurité du Ministère et de la SmalS-MvM interviennent. niveau applicatif Objectif :contrôle l accès à la banque de données DIMONA ; Identification et authentification de l utilisateur identification : userid authentification :mot de passe Caractéristiques du mot de passe: individuel, à choisir librement par l utilisateur, 6 positions au minimum, enregistrement crypté, blocage d accès après 3 tentatives d accès erronées, pas d historique et modification obligatoire après 30 jours. Les demandes de userid et la communication du mot de passe initial à un inspecteur/contrôleur social se déroulent par l intermédiaire des conseillers en sécurité du Ministère et de la SmalS-MvM. Au cas où l inspecteur /contrôleur social ne se souviendrait plus de son mot de passe, la procédure veut que les conseillers en sécurité du Ministère et de la SmalS-MvM interviennent. e. Les autorisations d accès des inspecteurs/contrôleurs sociaux La politique du Ministère en matière d attribution d accès aux données, consiste à accorder l accès aux données uniquement si l utilisateur dispose d une autorisation légale à titre justificatif 11. Les sessions de formation à l intention des inspecteurs/contrôleurs sociaux mettent particulièrement l accent sur cette 9 Les caractéristiques du code PIN sont les suivantes: individuel, à choisir librement par l utilisateur, au minimum 4 caractères, enregistrement crypté, blocage après 10 tentatives d accès erronées, pas d historique et pas de modification après x temps. 10 Le code passe est la valeur calculée par la carte secure id. 11 Cf. dossier sécurité du mois de mai 1997.
autorisation. Ils peuvent uniquement demander et obtenir des données nécessaires dans le cadre de l exercice de leur mission. Par ailleurs, les inspecteurs/contrôleurs sociaux ne peuvent conserver les données sociales à caractère personnel obtenues que durant le temps nécessaire à l exercice de leurs missions. La SmalS-MvM enregistre toutes les autorisations d accès octroyées dans un fichier tenu électroniquement, dénommé GDAUT (= gestion des autorisations). Ce fichier constitue également la base des contrôles techniques et informatiques en matière d autorisations de données. Enfin, l inspecteur/contrôleur social est tenu d introduire une demande d autorisation d accès de manière individuelle et par voie hiérarchique. Ces demandes sont transmises par l intermédiaire du conseiller en sécurité du Ministère, au conseiller en sécurité de la SmalS-MvM. Le conseiller en sécurité veille à l annulation des autorisations d accès en cas de maladie prolongée, de mutation ou de sortie de service d un inspecteur / contrôleur social. f. Loggings Etant donné que les autorisations d accès interviennent par l intermédiaire d une application internet auprès de la SmalS-MvM, le Ministère n est pas en mesure de tenir les loggings. Aussi est-ce la SmalS-MvM qui établira et conservera les fichiers loggings accompagnés d un traçage des traitements réalisés. Ces fichiers loggings comprennent : le numéro d identification de l inspecteur/contrôleur social qui réalise la consultation ; la date de la consultation ; les données consultées. La période de conservation des données en matière de loggings s élève à au moins deux ans. Les conseillers en sécurité de l Office national et du Ministère collaboreront en vue de l échange, de la consultation et du contrôle à périodicité déterminée des données en matière de loggings, et ce, dans le but de tracer des consultations non autorisées et frauduleuses. Le conseiller en sécurité du Ministère effectue le contrôle de loggings. g. Les mesures en matière de protection anti-vol pour les postes de travail utilisés Les postes de travail dans les bureaux régionaux se situent dans un local fermé et quand le bâtiment le permet, à un endroit suffisamment éloigné des lieux accessibles au public 12. 12 Cf. dossier sécurité du mois de mai 1997.
Pour ce qui concerne les ordinateurs portables, les inspecteurs/contrôleurs sociaux ont reçu des instructions en vue d éviter le vol des appareils. Les données sociales à caractère personnel sont en outre cryptées dans l ordinateur portable 13 et dans les ordinateurs au domicile des inspecteurs/contrôleurs sociaux 14. Les GSM sont protégés à l aide d un code PIN de 4 chiffres. Ce code peut être modifié librement par l utilisateur. Trois introductions de code erronées entraînent un blocage du GSM. h. Les mesures en matière de protection contre les virus Afin de prévenir une infection par les virus ou de les détecter à temps, les mesures suivantes ont été prises: tous les portables sont équipés du programme anti-virus Dr Solomon Winguard. Le programme est mis à jour tous les trois mois; l attention des inspecteurs sociaux est régulièrement attirée sur les dangers dus à l utilisation de disquettes extérieures et à l installation de programmes-test non standard; le MET élabore des recommandations adéquates pour les collaborateurs. i. L assurance des postes de travail L Etat est son propre assureur. 5. Conclusion Pour la sélection des mesures de contrôle adéquates, le Ministère de l emploi et du Travail s est inspiré des mesures implémentées par l Office national de sécurité sociale pour la connexion de ses services d inspection au réseau de la sécurité sociale. Ce dossier a fait l objet d un avis favorable. La nature (organisationnelle et technique) ainsi que la succession des mesures de sécurité mises en place par le Ministère semblent suffire pour garantir une consultation sécurisée des banques de données DIMONA par les inspecteurs contrôleurs sociaux. Par ces motifs et à condition que l installation de toutes les procédures et mesures de sécurité décrites dans le dossier et le contrôle de celle-ci incombent au Ministère de l Emploi et du Travail, la Banque Carrefour peut donner un avis favorable concernant la consultation de la banque de données DIMONA par les inspecteurs/contrôleurs sociaux par le biais d une application Internet, auprès de la SmalS-MvM. 13 Cf. dossier sécurité du mois de mai 1997. 14 Cf. dossier sécurité du mois de mai 1997.
Si le Ministère souhaite, dans une phase ultérieure, étendre l accès par ses inspecteurs/contrôleurs sociaux à d autres fichiers, et pour autant que la même technique d accès et des mécanismes de sécurité identiques soient utilisés, il n y a pas lieu d introduire un nouveau dossier de sécurité. Il y a en outre lieu d attirer l attention sur le fait que le Ministère n est pas tenu de passer par la Banque Carrefour en vue de la consultation des fichiers de l ONSS (= LATG, fichiers Dimona, répertoire des employeurs). Une connexion à la SmalS-MvM permettant l accès direct est justifiée par le fait que la SmalS-MvM fait office de soustraitant pour le Ministère comme pour l ONSS, assure les activités informatiques et techniques pour l ONSS et que la gestion des banques de données à consulter incombe à l ONSS. Pour ce qui concerne l accès aux fichiers dont l ONSS n est pas le gestionnaire (comme le Registre national, les registres de la BCSS, le fichier des cartes SIS), le Ministère devra passer par la Banque Carrefour. Le 25 septembre 1999.