Instruction administrative ICC/AI/2007/005 Date: 19/06/2007 SÉCURITÉ DES INFORMATIONS DANS LE CADRE DE L EXÉCUTION DE CONTRATS CONCLUS AVEC DES TIERCES PARTIES En application de la directive de la Présidence ICC/Presd/G/2005/001 et aux fins d une collaboration avec des tierces parties conforme au régime de protection des informations de la Cour pour la classification et le traitement des informations classifiées, le Greffe promulgue les dispositions suivantes : Note explicative La Cour recueille, conserve, traite et diffuse des informations qui, pour la plupart, sont sensibles en ce sens que leur divulgation ou modification non autorisées peuvent compromettre la Cour, nuire à sa réputation, porter préjudice aux affaires dont elle est saisie, aux témoins, à son personnel, à ses responsables ou à tout autre interlocuteur. Elles doivent donc être protégées de manière systématique. La présente instruction administrative intitulée «Sécurité des informations dans le cadre de l exécution de contrats conclus avec des tierces parties» porte sur des contrats passés avec la Cour en vue de l achat de services. Si la Section des achats a mis en œuvre différentes parties de la présente instruction administrative, les unités administratives qui font la demande et bénéficient de services de tierces parties sont également tenues de mettre en œuvre les parties pertinentes de la présente instruction administrative. Section 1 Définitions 1.1. Tierce partie : partie étrangère à la Cour qui a l obligation contractuelle envers la Cour de fournir des biens et/ou des services à la Cour. Une tierce partie peut être une entité, un individu ou un groupe d individus. Il peut s agir notamment de ce qui suit : a) Services de nettoyage et autres services d entretien et de soutien externalisés ; b) Services externes de maintenance et de soutien informatiques ; c) Experts, formateurs et consultants. Note : la Section des achats n a habituellement pas recours à des sociétés individuelles car il n est pas jugé prudent de faire reposer la responsabilité de la gestion et de la livraison d une activité sur une seule personne. RESTREINT CPI Page 1
1.2. Système informatique : ensemble du matériel, des logiciels, des méthodes et des procédures et, si besoin, du personnel sollicités pour traiter les informations. 1.3. Administrateur de connexion à la Cour : fonctionnaire responsable de la connexion à distance au réseau de la Cour par des tierces parties. 1.4. Administrateur de contrats avec la Cour : fonctionnaire chargé du contrôle de l exécution des tâches contractuelles. 1.5. Connexion à distance : connexion qui donne un accès à distance au réseau de la Cour. 1.6. Chef de section : le Chef de section et son adjoint désigné pour une tâche précise. Section 2 Généralités 2.1. La Cour pénale internationale («la Cour») fait régulièrement appel aux services de «tierces parties» pour l accomplissement de différentes tâches. Il se peut donc que la sécurité des informations dont dispose la Cour soit compromise par des tierces parties qui ont accès à ces informations et n appliquent pas le même régime de sécurité que celui de la Cour. Par conséquent, il convient d incorporer dans les contrats, processus et infrastructures des procédures formelles régissant l accès des tierces parties à la Cour et aux informations en sa possession. La présente instruction administrative définit les pratiques de la Cour en matière de protection de la confidentialité des informations dans le cadre de sa collaboration avec des tierces parties. 2.2. La présente instruction administrative a pour objectifs ce qui suit : a) Définir les critères d octroi d un accès sécurisé et contrôlé des tierces parties aux informations de la Cour ; b) Préciser les tâches et les responsabilités en matière de sécurité de l information qui incombent aux fonctionnaires chargés de l élaboration et de la gestion des contrats avec les tierces parties ; c) Minimiser les risques de préjudices liés à l utilisation non autorisée d informations par des tierces parties ou liés aux activités de ces dernières. 2.3. La présente instruction administrative s applique aux tierces parties disposant ou susceptibles de disposer d un accès aux informations classifiées de la Cour, quelle qu en soit la nature. Section 3 Contrats et appels d offres 3.1. En principe, les appels d offres sont considérés comme des documents publics et ne doivent pas contenir d informations classifiées du niveau «RESTREINT [CPI]» ou de niveau supérieur. 3.2. Au cas où ils devraient contenir des informations classifiées du niveau «CONFIDENTIEL [CPI]» ou de niveau supérieur, les appels d offres devront faire l objet d un accord de confidentialité RESTREINT CPI Page 2
préalable et ne pourront être transmis à la tierce partie qu après la signature de cet accord de confidentialité et son renvoi à la Cour. 3.3. Les contrats conclus avec les tierces parties contiennent des dispositions fixant les responsabilités et obligations suivantes : a) La tierce partie s engage à respecter la confidentialité des informations de la Cour ; b) La tierce partie s engage à respecter les politiques, les procédures et les normes officielles de la Cour en matière de sécurité des informations ; c) La tierce partie est responsable de son personnel et des sous traitants travaillant pour son compte ; d) La tierce partie est tenue de soumettre son personnel et les sous traitants travaillant pour son compte à des contrôles de sécurité et doit pouvoir fournir des justificatifs quant aux modalités et résultats de ces contrôles ; e) La tierce partie s engage à tenir une liste des individus autorisés à utiliser en son nom le type d accès et de services fournis par la Cour ; f) La tierce partie s engage à respecter les règles concernant la Cour ; g) La tierce partie s engage à respecter les droits de propriété intellectuelle relatifs aux informations et logiciels mis à sa disposition par la Cour. 3.4. Les contrats conclus avec les tierces parties contiennent des dispositions récapitulant les droits de la Cour: a) La Cour a le droit de consigner et superviser toute activité menée par les tierces parties en exécution du contrat ou aux fins de la mise en œuvre des politiques, procédures et normes de sécurité de la Cour ; b) La Cour se réserve le droit de refuser l accès à tout employé d une tierce partie ou d exiger le départ de tout employé pour les motifs suivants : i. Faute professionnelle ; ii. Incompétence ou négligence dans l exercice de ses fonctions ; iii. Violation répétée des dispositions du contrat ; iv. Violation répétée des règles de la Cour en matière de sécurité. c) La Cour peut exiger que le personnel de la tierce partie et de ses sous traitants fasse l objet de contrôles supplémentaires, notamment au cas où ces personnes pourraient avoir accès à des informations sensibles. 3.5. Le bureau dont émane l appel d offres communique à la tierce partie intéressée des informations sur le type d accès et de services offerts par la Cour et sur leurs modalités d utilisation. RESTREINT CPI Page 3
3.6. La tierce partie signe un accord de non divulgation dans lequel elle reconnaît avoir pris connaissance des politiques, procédures et normes officielles de de la Cour en matière de sécurité de l information et s engage à respecter ces dernières. 3.7. Les dispositions contractuelles fixées par la présente section correspondent à la nature des rapports entre la tierce partie et la Cour. Section 4 Mise à disposition de la documentation 4.1. L administrateur de contrats met à la disposition de la tierce partie la documentation relative aux politiques, procédures et normes officielles de la Cour en matière de sécurité de l information. 4.2. Le bureau dont émane l appel d offres communique à la Section de la sécurité le type, les modalités et les fins de l accès et des services qui ont été fournis à la tierce partie. 4.3. L Unité de sécurité de l information, qui dépend de la Section de la sécurité du Greffe, communique aux tierces parties susceptibles d avoir régulièrement accès aux informations sensibles de la Cour des renseignements sur les politiques, procédures et normes formelles de la Cour en matière de sécurité des informations. Section 5 Contrôle de l accès 5.1. L accès aux informations, services et infrastructures octroyé à une tierce partie se limite au minimum nécessaire pour l accomplissement des tâches prévues dans le contrat. 5.2. Les accès peuvent en permanence être soumis à des mécanismes de protection et consignés. 5.3. Aux fins de la protection et du contrôle des accès à ses informations, la Cour ne s en remet pas exclusivement aux mécanismes de protection mis en place par la tierce partie. Section 6 Accès à l information 6.1. L administrateur de contrats prend les dispositions nécessaires pour garantir l accès de la tierce partie aux locaux et aux informations de la Cour, le cas échéant. 6.2. S il est nécessaire de donner l accès à des informations classifiées de niveau «CONFIDENTIEL [CPI]» ou de niveau supérieur ou à des locaux de la Cour où de telles informations sont conservées, traitées ou diffusées, il convient d effectuer une évaluation des risques en vue d identifier les mécanismes de protection qui doivent être mis en place. 6.3. Ladite évaluation des risques est réalisée par l administrateur de contrats, conformément aux dispositions de la section 8 et en collaboration avec l Unité de la sécurité de l information (Section de la sécurité du Greffe). RESTREINT CPI Page 4
6.4. Les mécanismes de protection qui ont été identifiés sont notifiés à la tierce partie, documentés et mis en œuvre. 6.5. Pour accéder au réseau informatique de la Cour, la tierce partie utilise les équipements informatiques mis à sa disposition par la Cour. 6.6. Pour accéder au réseau informatique de la Cour, la tierce partie pourra éventuellement utiliser d autres équipements informatiques que ceux qui ont été mis à sa disposition par la Cour, sous réserve d approbation du chef de la Section des technologies de l information et des communications et du fonctionnaire chargé de la sécurité de l information. Section 7 Accès aux informations au moyen d une connexion à distance au réseau de la Cour 7.1. Pour toute connexion à distance au réseau de la Cour, un administrateur de connexion et un responsable désigné sont affectés à la tierce partie. 7.2. L administrateur de connexion introduit une demande de connexion à distance au réseau de la Cour auprès de la Section des technologies de l information et des communications. Cette demande décrit les services requis et l usage qui en sera fait. 7.3. L administrateur de connexion s assure que la tierce partie a fourni toutes les informations nécessaires et vérifie leur exactitude. 7.4. Toute connexion à distance au réseau est soumise à une évaluation des risques, telle qu elle est définie dans la section 8, en collaboration avec la Section des technologies de l information et des communications. 7.5. L administrateur de connexion procède à une évaluation des risques à chaque fois qu une modification importante est opérée au niveau de l accès et des services fournis dans le cadre de la connexion à distance au réseau de la Cour. 7.6. La Cour peut, sans préavis ou justification, interrompre, refuser ou élargir une connexion à distance à son réseau. 7.7. L administrateur de connexion ordonne l interruption de la connexion à distance au réseau lorsqu elle n est plus requise. 7.8. La connexion à distance au réseau de la Cour fait l objet d une consignation permanente et d un archivage pour mémoire. Section 8 Évaluation des risques 8.1. L évaluation des risques porte principalement sur les retombées éventuelles pour la Cour de toute atteinte à l intégrité, à la disponibilité, à l exclusivité et à la chaîne de transmission de ses informations. 8.2. Les résultats de l évaluation des risques sont consignés par écrit et contiennent notamment les informations suivantes : RESTREINT CPI Page 5
a) L objectif, la portée et la durée de la prestation ; b) Les types d accès requis ; c) Les équipements requis ; d) Une description du régime de sécurité de la tierce partie ; e) Les mécanismes de protection et de contrôle ; f) Les risques résiduels assumés. 8.3. Aux fins de l évaluation des risques, le personnel peut demander l assistance de l Unité de sécurité de l information de la Section de la sécurité du Greffe. Section 9 Responsabilités et supervision 9.1. La Cour et la tierce partie sont exclusivement responsables de la sélection, de la mise en œuvre et de la maintenance de procédures et politiques de sécurité adéquates permettant de protéger leurs informations contre les accès non autorisés, abus, pertes, modifications ou destructions. 9.2. La tierce partie informe la Cour par écrit, et dans les plus brefs délais, de tout changement intervenu dans la base des utilisateurs en relation avec la prestation, et lui notifie tout changement qu elle estime nécessaire concernant la nature ou la portée de l accès aux informations. 9.3. Le chef de section qui sollicite les services d une tierce partie définit clairement le type d accès et de services fournis à la tierce partie ainsi que les circonstances et les fins desdits accès et services. 9.4. L administrateur de contrats est chargé de s assurer que la tierce partie respecte les politiques, procédures et normes officielles de la Cour en matière de sécurité des informations. Section 10 Dispositions finales 10.1. Le non respect de la présente instruction administrative peut entraîner des mesures disciplinaires, dont le renvoi, conformément au Statut du personnel et au Règlement du personnel. 10.2. Toute personne qui souhaite être dispensée de l une quelconque des dispositions contenues dans la présente instruction administrative en fait la demande écrite, par le biais de son supérieur, à la Section de la sécurité. 10.3. La présente instruction administrative sera révisée tous les ans et modifiée si nécessaire. 10.4. La présente instruction administrative sera mise en œuvre de façon à compter de la date de sa signature. RESTREINT CPI Page 6
Bruno Cathala Greffier RESTREINT CPI Page 7