Information Security Guidlines Securité de l information : (Politique:2013.0020) Responsabilité de l utilisateur final à propos de la politique " du bureau propre et de l écran vide" Version control please always check if you are using the latest version. Doc. Ref. :v2013.0020. clean desk policy.fr.1.20 Release Status Date Written by Edited by Approved by FR_2013.0020 First edition 30/04/2013 Alain Houbaille Staff BCSS 27/05/2013 Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes : messieurs Bochart, Régis Pierlot.
Table des matières 1. Introduction... 3 1.1. ISO 27002 contexte... 3 1.2. Historique... 3 1.3. Rôles... 4 1.4. Champ d application... 4 2. Responsabilités du Collaborateur... 5 2.1. Scope... 5 2.2. Moyens d authentification... 5 2.3. Compte «spécifique» utilisé par un groupe de personne... 5 2.4. Utilisation inapproprié... 6 2.5. Equipement sans surveillance... 6 3. Politique «Clear Desk» versus «Clean desk»:... 8 3.1. Définition... 8 3.2. Objectifs... 8 3.3. En pratique... 8 3.4. Accès à l information... 9 4. Sécurité additionnelle... 11 4.1. Antivirus... 11 4.2. Backup... 11 4.3. USB stick ou autre media portatif... 11 4.4. Imprimante... 11 4.5. Outils de communication... 12 5. Rapports, évaluation et campagne de sensibilisation... 13 6. Annexe: Brochure Clean desk policy... 14 p 2
1. Introduction Ce document décrit les responsabilités du collaborateur relatif au maintien des contrôles d accès logiques ou physiques efficaces de la Banque Carrefour de la Sécurité Sociale. A savoir, comment le collaborateur doit gérer les moyens d accès tant physiques que logiques mis à sa disposition de façon sécurisée afin d assurer une protection optimale des infrastructures IT et des locaux de la Banque Carrefour de la Sécurité Sociale. Mais aussi, savoir quelles sont les mesures de protection à prendre sur le poste de travail afin de se protéger d accès non autorisés à l information. Dans ce cadre, l application de la politique «Clean Desk, du bureau propre et de l écran vide» permet de réduire le risque d accès non autorisé ou d endommagement des supports, papiers ou autres, et des moyens de traitements de l information. 1.1. ISO 27002 contexte Ce document implémente les mesures de sécurité décrites dans les sections suivantes de l iso 27002 : 11.3 Responsabilités de l utilisateur o 11.3.1 Utilisation du mot de passe o 11.3.2 Matériel utilisateur laissé sans surveillance o 11.3.3 Politique du bureau propre et de l écran vide o 11.7.1 Informatique et communications mobiles 1.2. Historique Version Commentaires 0.1 Draft (Alain Houbaille 15/8/2012) 0.2 Révision (Alain Houbaille 15/11/2012) 0.3 Révision (Patrick Bochart Régis Pierlot 28/01/2013) 1.0 Final (Alain Houbaille 31/01/2013) 1.2 Modifications à la suite des remarques du Staff (Alain Houbaille 25/02/2013) p 3
1.3. Rôles 1 Qui Rôle R Service de sécurité Responsable de la maintenance de ce document A Staff Approbation et exécution de ce document C N/A Role de consultation I Collaborateurs Personne qui doit être tenu informé 1.4. Champ d application 2 La politique décrite ci-après est d application pour tout collaborateur travaillant dans un milieu ouvert («open space»). Tout autre collaborateur ayant la possibilité de travailler dans un local fermé (bureau) est uniquement sujet à la connaissance de ces bonnes pratiques en matière de sécurité. En d autres termes, cette politique est seulement délivrée à titre de recommandation pour ces personnes. 1 R=Responsible, A=Accountable, C=Consulted, I=Informed 2 Ce terme champ d application désigne les catégories de situations auxquelles la politique s applique. p 4
2. Responsabilités du Collaborateur 2.1. Scope Le collaborateur joue un rôle essentiel dans la prévention des accès non autorisés. Ceci est valable tant au niveau de l accès aux systèmes d information et d applications qu au niveau de l accès physique des locaux. La collaboration de l ensemble des utilisateurs habilités est essentielle à la sécurité. 2.2. Moyens d authentification L authentification est un procédé permettant de vérifier l identité d une personne. Ce processus est largement utilisé dans l accès à des ressources informatiques. Les moyens d authentification utilisés par l utilisateur de la Banque Carrefour de la Sécurité Sociales sont les suivantes. Cette liste n est donc pas exhaustive à l égard du nombre de moyens d authentification qu un utilisateur peut potentiellement avoir: La carte d identité électronique (eid) ; Le token citoyen ou fonctionnaire ; Les comptes «utilisateur» et mots de passe y associés ; Le badge d accès aux locaux ; Les clés des bureaux ou des coffres éventuelles; Au vu de ce qui précède, et de par la fonctionnalité qu offre ces moyens, ces derniers sont personnels et leur propriétaire doit assurer une gestion en tant que bon père de famille. En d autres mots, le détenteur est donc responsable de la protection de ses moyens d authentification. Ils ne peuvent jamais être utilisés, transmis, ou communiqués à d autres personnes voire même empruntés. Dès que l utilisateur soupçonne que son moyen d authentification pourrait être potentiellement compromis, par la capture de son code d accès, son mot de passe, celui-ci doit demander au plus vite aux propriétaires/gestionnaires des systèmes d accès le blocage du moyen d authentification ou de son compte impacté. Afin qu il puisse continuer son activité, cet utilisateur devra redemander un nouveau moyen d authentification. De plus, l utilisateur est également responsable des moyens d accès utilisés pour accéder aux données. De ce fait, ce dernier ne doit jamais laisser le moyen d accès ouvert de telle façon qu un tiers puisse en abuser. 2.3. Compte «spécifique» utilisé par un groupe de personne Un compte «spécifique» peut revêtir deux différents types de compte. Les premiers, les comptes administrateurs, créés lors de l installation d une application; ces p 5
comptes ont généralement des droits administrateurs. Les seconds sont des comptes définis afin de réaliser des tâches bien spécifiques, telles que la prise des sauvegardes applicatives, la réalisation de travaux automatiques (batch), Les détails de ces comptes «spécifiques» sont connus au sein d un groupe d utilisateur définis. Ce qui résulte que la gestion de ce compte doit être définie et connue par l ensemble des utilisateurs gérant ce compte. La gestion du mot de passe associé à ce type de compte (partagé entre membres d une équipe) doit être aussi bien définie. Ces comptes «spécifiques» ne doivent être utilisés que pour des tâches bien particulières qui ne peuvent être attribuées à un compte individuel. En effet, afin d assurer la traçabilité des actions réalisées et de par ce fait identifier de manière formelle l auteur de ces actions, il est primordial d utiliser en premier lieu le compte individuel utilisateur. 2.4. Utilisation inapproprié En plus de système d authentification, la Banque Carrefour de la Sécurité Social a mis en place des contrôles de sécurité supplémentaires qui protègent l environnement de travail. Il est évident que l utilisateur n est pas autorisé à contourner ces contrôles de sécurité. Il est important de sensibiliser l utilisateur à la sécurité. En effet, il n est pas évident pour un utilisateur final de savoir l impact réel de rendre inopérant ces contrôles de sécurité comme par exemple, le simple fait de laisser une porte de secours ouverte par inadvertance. En outre, une utilisation inappropriée d un moyen d authentification, comme par exemple toute tentative de contournement du système d authentification ou toute tentative de cassure d un système d accès doit être signalée au gestionnaire du système d accès ou au service de sécurité. Ne pas le faire, signifie que l utilisateur est implicitement impliqué dans l abus du système. 2.5. Equipement sans surveillance Lorsque l utilisateur a obtenu l accès logique à un système ou l autre, il doit s assurer que les accès ne peuvent pas être abusés par d autres. En effet, lorsque l authentification a été réalisée, «la porte est ouverte». Lorsque l utilisateur effectue alors autre chose, quelqu un pourrait utiliser cette «porte ouverte». L utilisateur doit prendre les mesures nécessaires pour que «la porte soit fermée» chaque fois qu il fait quelque chose d autre. Par exemple : Chaque fois que l utilisateur doit quitter son poste de travail, il doit prendre les mesures adéquates afin de protéger ces informations d ouvertures de session. Par conséquent, l utilisateur doit verrouiller sa station de travail. (par exemple, l économiseur d écran sécurisé). Comme les êtres humains sont sources d erreurs, il est fortement recommandé que l économiseur d écran sécurisé par mot de passe soit activé automatiquement après 5 minutes. p 6
Bloquer une porte physiquement permet à des personnes non autorisées d avoir accès à des locaux. Ou encore, l utilisateur doit être vigilent avec ceux qui rentrent en même temps que lui dans le bâtiment car la personne nonautorisée prend avantage de l utilisateur qui est en train d ouvrir la porte. Seules les personnes autorisées peuvent rentrer. Dans le cas spécial où l utilisateur n utilise pas sa station de travail pour une longue période, celui-ci doit dès lors fermer toutes les sessions encore ouvertes et éteindre son poste de travail. Ceci offre une plus grande protection que celle obtenue avec l économiseur d écran sécurisé par mot de passe. Dans le cas où un collaborateur suspecte quelqu un d abuser d un équipement sans surveillance, il doit impérativement rapporter cet évènement le plus rapidement possible au service de sécurité. p 7
3. Politique «Clear Desk» versus «Clean desk»: 3.1. Définition La politique «Clean desk» est différente de celle de «Clear desk». En effet, la politique «clean desk» va plus loin, elle introduit la notion d ordre. La politique «Clear desk» revient à dire que ce n est pas nécessaire que tout soit enlevé du bureau mais par contre c est obligatoire que toute information à caractère sensible ne soit pas sujette à un accès non autorisé. Par conséquent, toute donnée sensible ne demeure pas sans surveillance sur le bureau. Tandis que la politique «Clean desk» exige que le bureau soit rangé avec ordre et sécurité. 3.2. Objectifs Améliorer la propreté au sein de la Banque Carrefour de la Sécurité Sociale. Lorsque les bureaux sont rangés ou tous les espaces de travail sont libres de papier et de désordre, les gens se sentent plus à l aise en terme de confort et les invités ont une impression positive de l institution. Dans ce même ordre d idée, il vous est aussi demandé de ne pas manger à votre bureau, d autres espaces sont réservés à cet effet. Améliorer la protection de données confidentielles Une grande partie de l information traitée par la Banque Carrefour de la Sécurité Sociale est confidentielle et doit être protégée contre des accès non autorisés. Améliorer la productivité Nous sommes convaincus qu un bureau rangé augmentera la productivité car moins de temps sera dépensé pour la recherche de documents. Activer le concept «Flexdesk» Avec l application de cette politique nous avons la possibilité de partager les bureaux entre plusieurs collaborateurs. 3.3. En pratique En pratique, la politique «clean desk» encourage l application de ces trois règles de base: Quand le collaborateur est présent à son bureau Le collaborateur tâche de garder uniquement sur son bureau les documents dont il a besoin pour la journée. p 8
Quand le collaborateur quitte temporairement son bureau Si le collaborateur est fréquemment attendu à des réunions, il doit vérifier s il n y a pas de données confidentielles présentes sur son bureau qui pourraient être sans surveillance. Dans ce cas, il doit les mettre en lieux sûr. Par ailleurs, il doit s assurer également de mettre son ordinateur en mode veille, sécurisé par un mot de passe en cas de longue absence... Quand le collaborateur quitte son bureau Il incombe au collaborateur de s assurer que tous les documents sensibles sont placés dans un lieu sécurisé tel qu une armoire fermée à clé et que son bureau est rangé avant de quitter partir. A cette effet, un casier individuel «locker» est mis à la disposition du collaborateur afin d y ranger ses effets personnels mais aussi ces documents sensibles, son ordinateur portable, Par conséquent, une seconde clé doit être mise à la disposition de l Economat afin de permettre l accès aux documents en cas de besoin. C est la responsabilité des utilisateurs de prendre les mesures de protection nécessaires au sein de son environnement de travail. 3.4. Accès à l information Un système d accès (physique ou logique) est implémenté afin d éviter tout accès non autorisé aux actifs de l institution. L accès est sécurisé par un dispositif d accès. L utilisateur peut obtenir des données à caractère confidentiel durant l exécution de ses tâches journalières et les placer autre part où le dispositif d accès ne fonctionne plus ou est inapplicable. Par exemple, l utilisateur peut imprimer des données provenant d une application protégée par la carte d identité électronique; dans ce cas, la version imprimée de ces données n est plus protégée par ce moyen. L utilisateur demeure responsable de l information sous quelque forme qu elle soit. L utilisateur doit donc veiller à la bonne protection de celle ci. Chaque fois que l information n est plus utilisée par l utilisateur, celui-ci doit aussi veiller à sa destruction. De plus, les types de média exposés ci-dessous doivent être gérés minutieusement par l utilisateur : papier imprimé, courrier postale, USB sticks, disques backup, fichiers partagés, post-it, PC, tablette Cela signifie que : Quand il s agit de documents sensibles, ils ne peuvent pas être laissés sans surveillance sur l imprimante. Imprimez seulement les documents dont vous avez besoin. Tout USB stick peut être utilisé pour transférer des documents d un système à un autre. Dans le cas de transferts de données sensibles, tout USB stick doit être encrypté et les données stockées dessus doivent être immédiatement supprimées après transfert. p 9
Tout backup sur tout type de média (SD drive, CD, DVD, ) doit être localisé dans un environnement physiquement sécurisé et jamais laissé sans surveillance. Un système de destruction est à la disposition du collaborateur pour la suppression de documents confidentiels. Il va de soi que tout document confidentiel en fin de vie doit être détruit par ce système. Aucune donnée à caractère personnel ne peut être transmise par e-mail. Mais aussi, soyez sûr, en cas d envoi de fichiers sensibles par e-mail que ceux-ci soient encryptés avant envoi. Dans le cas de répertoires partagés contenant des informations sensibles dédiées à un certain public, ces répertoires doivent être configurés au niveau des droits d accès. Tout post-it avec des informations sensibles est proscrit. p 10
4. Sécurité additionnelle Un nombre additionnel de mesures de sécurités existe au sein de l environnement de travail de la Banque Carrefour de la Sécurité Sociale. Le collaborateur doit respecter ces mesures et ne doit pas essayer de les contourner. On entend par mesures de sécurité par exemple l antivirus déployé sur les ordinateurs de la Banque Carrefour de la Sécurité Sociale. Toute anomalie fonctionnelle sur ces mesures de sécurités doit être rapportée au service informatique (helpdesk). L idée derrière ces mesures de sécurité est la protection de l environnement de travail de la BCSS contre une erreur humaine. Ces mesures sont là pour aider l utilisateur à travailler sans se soucier des risques liés aux erreurs humaines. C est donc obligatoire que l utilisateur final ait confiance en ces mesures de sécurité et qu il ne les altère pas d une façon ou d une autre. 4.1. Antivirus La Banque Carrefour de la Sécurité Sociale installe et maintient un antivirus sur chaque PC de l institution. Sachant que cet antivirus protège le PC contre toute infection virale provenant de sources différentes (messagerie, Internet, ), le collaborateur ne doit pas essayer de modifier la configuration du système antivirus ou de le désactiver. 4.2. Backup Le collaborateur est responsable de la protection contre la perte de données de son PC. Toutes données relatives à la Banque Carrefour doit être sauvegardées sur les serveurs «file system» où des répertoires partagés sont à la disposition de l utilisateur final. 4.3. USB stick ou autre media portatif Toute information confidentielle stockée dans tout media portatif doit être protégée contre tout accès non autorisé. Dans ce cadre, tout USB stick peut être encrypté avec un outil de chiffrement. 4.4. Imprimante Toute impression nécessite une nouvelle validation au niveau de l imprimante par l utilisateur final. En effet, dans une politique «paperless», on invite le collaborateur à l utilisation de la version électronique de l information plutôt que la version papier. La validation permet de sensibiliser le collaborateur à la politique «paperless». De plus, la source d impression est chaque fois identifiée. p 11
4.5. Outils de communication Le collaborateur doit essayer dans la mesure du possible d indiquer son statut d occupation au sein des outils de communication dont il dispose. Par exemple, au travers du téléphone «VOIP», le collaborateur a la possibilité de gérer son statut d occupation (au bureau, absent ou occupé). De même, le logiciel «Instant Messaging» offre cette même fonctionnalité. p 12
5. Rapports, évaluation et campagne de sensibilisation Pour cette politique de sécurité, les aspects suivant devront être exécutés : Tout collaborateur doit être régulièrement sensibilisé au contenu des politiques de sécurité en vigueur à la Banque Carrefour de la Sécurité Sociale. Dans ce cadre, une campagne de sensibilisation ou session d information relative à la sécurité doit être exécutée au moins une fois par année. Une évaluation de la situation relative à cette politique devra être établie afin de vérifier le respect de cette politique de sécurité. p 13
6. Annexe: Brochure Clean desk policy Le collaborateur joue un rôle essentiel dans la sécurité en général de l institution. Dans ce cadre, il est important que celui-ci soit au courant de ses responsabilités et ses devoirs en la matière au sein de la Banque Carrefour de la Sécurité Sociale. Dans ce cadre, une des premières choses demandées aux collaborateurs c est de respecter la politique du bureau propre et de l écran vide; à savoir que l utilisateur minimise le risque d accès non autorisé ou d endommagement des supports ou autres, et des moyens de traitement de l information par l application au quotidien de bonnes pratiques. En effet, dans la mesure du possible, il convient que: le collaborateur s assure que tous les documents sensibles sous format papier ou électronique soient sous clé dans les armoires prévus à cet effet lorsqu il quitte son bureau; il veille aussi à mettre son ordinateur en mode veille, sécurisé par mot de passe en cas d absence prolongée; le soir avant de son départ, il se charge de ranger et vider son bureau ; d éteindre et de protéger son PC, et de mettre en lieu sûr toute informations ou supports sensibles. Dans le cas où un collaborateur suspecte quelqu un d abuser d un équipement sans surveillance, il rapporte cet évènement le plus rapidement possible au service de sécurité. L utilisateur demeure responsable de l information sous quelque forme qu elle soit, de l accès à celle-ci et de ses moyens d authentification (mot de passe, badge, ). L utilisateur doit donc veiller à la bonne protection de ceux ci. Cela signifie que : il ne faut pas divulguer son propre mot de passe aux autres, quand il s agit de documents sensibles, ils ne peuvent pas être laissés sans surveillance sur l imprimante. Dans le cas de transferts de données sensibles, toute clé USB doit être cryptée et les données stockées dessus doivent être immédiatement supprimées après transfert. Tout support de stockage tel que des clé USB, drive SD, CD, DVD, doit être localisé dans un environnement physiquement sécurisé ou ne peut jamais être laissé sans surveillance. Tout post-it contenant des informations sensibles est proscrit. p 14