Version control please always check if you re using the latest version Doc. Ref. : isms.038.wlan



Documents pareils
ISMS. (Information Security Management System) LOGO Institution. Politique de télétravail Versie /06/2008

Politique d'utilisation des dispositifs mobiles

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Accès réseau Banque-Carrefour par l Internet Version /06/2005

État Réalisé En cours Planifié

Securité de l information :

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

WIFI (WIreless FIdelity)

Le rôle Serveur NPS et Protection d accès réseau

Charte d installation des réseaux sans-fils à l INSA de Lyon

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Guide pratique spécifique pour la mise en place d un accès Wifi

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

Bibliographie. Gestion des risques

Sécurité des réseaux sans fil

Mobilité, quand tout ordinateur peut devenir cheval de Troie

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi

Conditions Particulières de Maintenance. Table des matières. Ref : CPM-1.2 du 08/06/2011

Le réseau sans fil "Wi - Fi" (Wireless Fidelity)

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Dossier d appel d offres

7.1.2 Normes des réseaux locaux sans fil

How To? Sécurité des réseaux sans fils

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité et «Cloud computing»

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

5.5 Utiliser le WiFi depuis son domicile

Conditions générales.

CHARTE INFORMATIQUE. Usage de ressources informatiques et de service Internet

1.Introduction - Modèle en couches - OSI TCP/IP

Administration de systèmes

Projet Sécurité des SI

LIVRE BLANC Sécurité des systèmes sans-fil. Version 1.2 Dernière révision : 25 Avril 2003

CODE PROFESSIONNEL. déontologie

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Internet, GPRS, WIFI : Enfin de nouvelles réponses aux besoins des utilisateurs nomades? 4 mars 2004 laurent.stoupy@solucom.fr

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Version en date du 01 avril 2010

Concilier mobilité et sécurité pour les postes nomades

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (87) 15 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES

Les principes de la sécurité

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX

CONDITIONS PARTICULIERES D'HÉBERGEMENT WEB

L'objectif du sujet proposé est, après un état des lieux des technologies disponibles, de faire un panorama des usages courants/potentiels en


CONDITIONS PARTICULIERES SOLUTIONS CLOUD. API : Interface de programmation pouvant être utilisé par le Client pour interagir avec ses Services.

Article I. DÉFINITIONS

CONDITIONS PARTICULIERES D'ENREGISTREMENT, DE RENOUVELLEMENT ET DE TRANSFERT DE NOMS DE DOMAINE

CONCEPT de MICRO-DOMOTIQUE. Système STANTOR-DOMODULOR

Fiche méthodologique Rédiger un cahier des charges

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

HES SO Fribourg. Directives d utilisation. des équipements informatiques

Menaces et sécurité préventive

Contrôle d accès Centralisé Multi-sites

MANUEL PROGRAMME DE GESTION DU CPL WI-FI

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

DES RESSOURCES INFORMATIQUES DE L'IFMA

Code de conduite Zoomit

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

Installer une caméra de surveillance

E5SR : PRODUCTION ET FOURNITURE DE SERVICES. Durée : 4 heures Coefficient : 5 CAS RABANOV. Éléments de correction

Recommandations en matière d'effacement de supports d'information électronique.

CHARTE INFORMATIQUE LGL

RÈGLEMENT NUMÉRO 12 RÈGLEMENT SUR L UTILISATION DES TECHNOLOGIES INFORMATIQUES ET INTERNET

1. Introduction à la distribution des traitements et des données

1. Comment accéder à mon panneau de configuration VPS?

Traçabilité des administrateurs internes et externes : une garantie pour la conformité. Marc BALASKO Ingénieur Avant-vente

JSSI - Sécurité d'une offre de nomadisme

Sécurité informatique : règles et pratiques

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

NOTIONS DE RESEAUX INFORMATIQUES

Prise en main d un poste de travail sous Windows sur le réseau du département MMI de l'upemlv. d après M. Berthet et G.Charpentier

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

Les modules SI5 et PPE2

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

Charte d'utilisation des systèmes informatiques

FACULTE DES SCIENCES ET TECHNIQUES FES SAIS MASTER SYSTEMES INTELLIGENTS ET RESEAUX MST SIR 2014 TP WIFI. Encadré par PR.

Tablettes et smartphones

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Projet : PcAnywhere et Le contrôle à distance.

CONTRAT DE MAINTENANCE

En savoir plus pour bâtir le Système d'information de votre Entreprise

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Conditions Générales de Vente

Sécurité des Postes Clients

Gestion des identités

Management de la sécurité des technologies de l information

R41 REGLE DE PRESCRIPTION. Télésécurité. Habitations Risques «standard» Edition (décembre 2000)

Panorama général des normes et outils d audit. François VERGEZ AFAI

Transcription:

ISMS (Information Security Management System) (Limité à Wi-Fi) 2009 Version control please always check if you re using the latest version Doc. Ref. : isms.038.wlan Release Status Date Written by Approved by FR_1.0 Proposition pour les institutions de sécurité sociale 24/06/2009 Pol Petit Approuvé par le groupe de travail Sécurité de l information ce 24/06/2009 Remarque : Ce document intègre les remarques d un groupe de travail auquel ont participé messieurs Bochart (BCSS), Costrop (Smals), De Vuyst (BCSS), Petit (FMP), Quewet (SPF Santé publique), Symons (ONEm), Vandergoten (INAMI) et Vertongen (ONSS). Ce document est la propriété de la Banque Carrefour de la sécurité sociale. La publication de ce document ne préjudicie nullement aux droits de la Banque Carrefour de la sécurité sociale à l'égard de ce document. Le contenu de ce document peut être diffusé librement à des fins non commerciales à condition de mentionner la source (Banque Carrefour de la sécurité sociale, http://www.bcss.fgov.be). La diffusion éventuelle à des fins commerciales doit faire l objet d une autorisation écrite préalable de la part de la Banque Carrefour de la sécurité sociale. P 1

Table des matières ISMS... 1 (INFORMATION SECURITY MANAGEMENT SYSTEM)... 1 1 INTRODUCTION... 3 1.1 DEFINITIONS... 3 1.2 PORTEES... 4 1.3 LES MESURES DE BASE... 5 2 ARCHITECTURE ET IMPLANTATION.... 5 2.1 L'ARCHITECTURE DES RESEAUX INTERNES SANS FIL... 5 2.2 L'IMPLANTATION DE RESEAUX INTERNES SANS FIL INTERCONNECTES AVEC LES RESEAUX INTERNES... 5 2.3 L'IMPLANTATION DE RÉSEAUX INTERNES «SANS FIL» NON INTERCONNECTÉS... 6 2.4 L'IMPLANTATION DE RESEAUX HOTSPOT... 7 2.5 LA SÉCURITÉ PHYSIQUE... 7 3 LA CONTINUITE... 7 4 ORGANISATION, ROLES ET RESPONSABILITES... 7 4.1 L'UTILISATION DE RESEAUX SANS FIL AU MOYEN D UNE STATION DE TRAVAIL DE L INSTITUTION... 8 4.2 L'UTILISATION DE RESEAUX SANS FIL WI-FI AU MOYEN DE STATION DE TRAVAIL N APPARTENANT PAS A L INSTITUTION... 8 5 L'ADMINISTRATION DE RESEAUX SANS FIL.... 9 6 AUDIT DES RESEAUX SANS FIL... 10 7 LA LEGALITE ET LA CONFORMITE... 10 P 2

1 Introduction 1 Les réseaux sans fils ne se limitent bien entendu pas au Wi-Fi; d'autres technologies vont permettre des accès sans fil au système d'information. Ces solutions répondent à un besoin réel et auront, à ce titre, un développement important dans les années, voire les mois, à venir. La plupart des équipements mobiles neufs (téléphone, PDA, PC portable, etc ) comportent nativement au moins une technologie afin d accéder à un ou plusieurs réseaux sans fil. Avant tout développement ultérieur, il est nécessaire de définir les termes employés dans cette politique de sécurité afin que l utilisation de termes précis n entraine pas la confusion et la non application au vu de sa complexité. Le niveau de sécurité obtenu par cette politique de sécurité relative au réseau «sans fils» doit être au minimum égal au niveau de sécurité obtenu par les mesures de sécurité relatives aux connexions filaires et stations de travails. 1.1 Définitions Le terme de «sans fil» regroupe de nombreuses technologies et solutions. Il s'agit de toutes les technologies permettant un nomadisme de l'utilisateur du système d'information. Le regroupement de technologies, le plus couramment utilisé est basé sur la distance maximale d'émission de la solution. Dès lors on peut distinguer les notions suivantes : (Wireless Local Area Network), qui regroupe les technologies ayant une portée de l ordre de la centaine de mètres voire du kilomètre. La technologie la plus marquante est le Wi-Fi basée sur la norme IEEE 802.11b ; WWAN, (Wireless Wide Area Network), qui regroupe les technologies permettant un accès sans fil sur l'ensemble d'un pays voire sur plusieurs pays. La technologie la plus marquante est le GPRS, qui devrait être remplacée à terme par l UMTS; WPAN (Wireless Personnal Area Network) qui regroupe les technologies ayant une, faible portée (de l'ordre d une dizaine de mètres). La technologie la plus marquante dans ce domaine est la technologie Bluetooth basée sur la norme IEEE 802.15.1. De nombreux périphériques sans fil l utilisent (souris, clavier, oreillette-micro ) ; WMAN (Wireless Metropolitan Area Network), également appelé «boucle locale radio» (BLR) qui regroupe les technologies ayant une portée de quelques kilomètres. La technologie la plus souvent employée respecte la norme IEEE 802.16. Néanmoins d autre termes vont être utilisé dans ce document et nécessite donc une définition claire et précise. Les notions suivantes vont être abordées : Réseau «sans fil» Ce terme indique un ensemble d'équipements informatiques connectés entre eux par ondes radio. Wi-Fi. La marque déposée «Wi-Fi» correspond initialement au nom donné à la certification délivrée par la WECA («Wireless Ethernet Compatibility Alliance»), 1 Source : DUNOD «Référentiel Protection des systèmes d information», 10 pages de la section 12.6.4.1.37 (exemple de politique de sécurité WiFi). Avec l autorisation de l éditeur. Le texte original a été adapté pour répondre aux spécificités de la Sécurité Sociale belge P 3

organisme ayant pour mission de spécifier l interopérabilité entre les matériels répondant à la norme 802.11 et de vendre le label «Wi-Fi» aux matériels répondant à leurs spécifications. Par abus de langage (et pour des raisons de marketing) le nom de la norme se confond aujourd hui avec le nom de la certification. Hotspot. Il s'agit d'un lieu public à forte affluence et clairement délimité (café, hôtel, gare, etc.) qui donne accès à un réseau sans fil permettant aux utilisateurs de terminaux mobiles de se connecter facilement à Internet. Réseau collaboratif. Un réseau collaboratif, également nommé "peer to peer", possède une structure dynamique qui ne nécessite aucune infrastructure préalable. Une collaboration est nécessaire entre tous les membres du réseau afin que chacun puisse assurer les fonctions de point d'accès. Ce type de réseau répond généralement à un besoin local et éphémère. Réseaux internes sans fil. Cette notion fait référence à la mise en place d un réseau sans fil qui est soit connecté au réseau interne de l institution dont les modalités sont décrites au chapitre 2 et on parlera alors d un réseau interne «sans fil» interconnecté par opposition à la notion de réseau interne «sans fil» non interconnecté qui quant à lui est un réseau sans fil permettant l accès facile à l Internet sans être connecté au réseau interne de l institution. 1.2 Portée La portée de cette police est limitée aux aspects des s et donc à la norme IEEE 802.11 Le déploiement à grande échelle de technologies sans fil fait peser de nouvelles menaces qui dépendent de l'usage fait de ces technologies. Il peut s'agir: de l'extension d'un réseau d'une institution; de la mise en place de pont sans fil entre des sites; de l'accès au réseau de l'institution au travers d'un hotspot ou de Wi-Fi au domicile de l'usager. L'un des principaux risques est la prise de contrôle du poste de l'utilisateur et des données qu'il contient. Dans certains cas, un rebond vers le réseau interne des entités du groupe est réalisable. Les réseaux sans fil sont également fortement soumis aux attaques en déni de service. L'enjeu associé à ces risques est multiple. Il peut s'agir: d'un enjeu lié au système d'information lui-même. Le fonctionnement du système d'information peut être altéré lors de l'agression. Celle-ci peut entraîner des arrêts et des dysfonctionnements au niveau des applications et de l'infrastructure. Les impacts peuvent être rapidement importants, en particulier pour remettre le système d'information en état de fonctionnement nominal; d'un enjeu lié aux données consultées ou modifiées. Les attaques peuvent permettre d'accéder à des données stockées sur le poste de l'utilisateur mais également sur des machines accessibles via rebond. Ces données peuvent alors être consultées voire modifiées. Les impacts sont liés à l'importance des données et à la capacité de les régénérer si elles ont été modifiées; d'un enjeu lié aux autres actions réalisées par l'agresseur. L'infrastructure réseau accédée grâce au réseau sans fil peut être utilisée pour attaquer des tiers, soit au travers d'un accès sortant vers Internet, soit au travers de liaisons avec des partenaires. Elle peut également être utilisée pour accéder à, et pour diffuser, des contenus illicites définis par l institution (sites pornographiques, pédophiles... ). Les impacts peuvent être alors juridiques si la société distante porte plainte ou si l'accès P 4

vers les sites illégaux a été tracé. Ils peuvent également générer une atteinte à l'image de marque de l institution. Cette politique de sécurité présente les règles devant être respectées par tous pour garantir que de tels impacts ne puissent se produire au sein du système d'information de l institution. 1.3 Les mesures de base Le respect des règles de la présente politique est obligatoire et vérifié périodiquement. Par défaut la mise en place et l'utilisation d'un réseau sans fil n'est pas autorisée. Néanmoins, une demande complète et justifiée ayant reçu préalablement l avis positif écrit du conseiller en sécurité va permettre cette implémentation. Un réseau sans fil ne peut être mis en place sans un niveau de sécurité adapté à son utilisation. 2 Architecture et implantation. 2.1 L'architecture des réseaux internes sans fil La configuration des réseaux sans fil doit être documentée et consignée dans un document sécurisé. Les réseaux sans fil ne sont pas connectés aux réseaux filaires ou, s'ils le sont, ils le sont au travers de dispositifs adéquats assurant la sécurité des échanges entre le réseau sans fil et le réseau filaire. L'accès aux réseaux sans fil n'est autorisé qu'après une identification du système client en fonction des catégories mentionnées ci-dessous. Il est impératif d empêcher une station de travail d acter comme passerelle ( bridge ) entre un réseau sans fil et un réseau filaire. Il est nécessaire de mettre en place des dispositions afin de limiter les risques. Ces risques sont par exemple : l'existence de points d'accès non prévus; l'existence de réseaux collaboratifs ; l'existence de postes client recherchant des points d'accès; l'existence de logiciels d attaque de réseaux sans fil 2.2 L'implantation de réseaux internes sans fil interconnectés avec les réseaux internes Une étude de risques et d'impact, dont le résultat est fourni au Conseiller en sécurité est effectuée avant toute mise en place d'un réseau interconnecté avec les réseaux locaux internes. La mise en place d'un réseau interconnecté avec les réseaux locaux internes donne lieu à une étude de portée pour limiter au maximum la portée du réseau. La puissance d'émission des points d'accès et des cartes Wi-Fi est limitée au strict minimum. Le niveau de sécurité de ce réseau «sans fils» doit être au minimum égal au niveau de sécurité des réseaux filaires auquel ce réseau «sans fil» est interconnecté. P 5

Les usagers des réseaux sans fil interconnectés ont été sensibilisés à l'usage de ces réseaux et aux règles qu'ils doivent respecter. L identifiant du réseau (SSID) des réseaux sans fil interconnectés ne permet pas d'identifier le propriétaire du réseau. Le caractère privatif du réseau est mentionné au sein du SSID. Les points d'accès d'un réseau sans fil interconnecté sont configurés pour n'accepter que les postes présentant le bon SSID. Les points d'accès d'un réseau sans fil interconnecté ne diffusent pas leur SSID. L'accès au réseau sans fil interconnecté est soumis à une identification/authentification des machines et une identification/authentification non rejouable des utilisateurs (ex. via serveur «Radius») qui s y connectent. Ces authentifications sont protégées pendant leur transfert au sein du réseau sans fil. Avant toute autre interaction, le poste client s'assure de l'identité du réseau sans fil. Tous les échanges réalisés au travers d'un réseau sans fil interconnecté sont chiffrés selon un protocole connu comme résistant. Le réseau sans fil interconnecté est relié au réseau interne au travers d'une interconnexion sécurisée. Tous les échanges réalisés au travers d'un réseau sans fil interconnecté doivent pouvoir être tracés à la demande dans le respect de la législation et des règlements en vigueur. Toute tentative d'accès au réseau sans fil donne lieu à un événement de sécurité. La trace de ce type d'événement sera tenue à la disposition du conseiller en sécurité. 2.3 L'implantation de réseaux internes «sans fil» non interconnectés La mise en place d'un réseau interne sans fil non interconnecté spécifique sans authentification est autorisée pour donner un accès Internet aux prestataires externes. La mise en place de ce réseau donne lieu à une étude de portée pour limiter au maximum la portée du réseau. Ce réseau interne sans fil non interconnecté doit être complètementt dissocié des réseaux filaires internes. Il ne doit véhiculer que des données professionnelles liées aux prestataires qui l'utilisent dans le cadre de la finalité recherchée. Le réseau interne sans fil non interconnecté ne doit pas pouvoir être utilisé à partir de postes ayant simultanément un accès filaire vers le réseau interne. Si nécessaire, ce réseau doit permettre de cloisonner les flux de données entre les machines qui s'y connectent. Les usagers des réseaux internes sans fil non interconnectés ont été sensibilisés à l'usage de ces réseaux et aux règles qu'ils doivent respecter. Le SSID du réseau interne sans fil non interconnecté ne permet pas d identifier le propriétaire du réseau. Les points d'accès sont configurés pour n'accepter que les postes présentant le bon SSID. Les points d'accès ne diffusent pas leur SSID. Tous les échanges réalisés au travers de ce réseau doivent pouvoir être tracés à la demande dans le respect de la législation et des règlements en vigueur. P 6

Il est recommandé que la passerelle d'interconnexion du réseau interne sans fil non interconnecté vers Internet intègre un contrôle de contenu et n'autorise que le transit de données dans le respect de la législation et des règlements en vigueur. 2.4 L'implantation de réseaux hotspot La mise en place d'un réseau hotspot spécifique sans sécurité est autorisée pour donner un accès Internet au public de l institution. La mise en place d'un réseau hotspot donne lieu à une étude de portée afin de bien délimiter la porté de ce réseau hotspot. Le réseau hotspot doit être complètement dissocié des réseaux filaires internes. Le réseau hotspot ne doit pas pouvoir être utilisé à partir de postes ayant simultanément un accès filaire vers le réseau interne. Le SSID du réseau hotspot ne permet pas d identifier l'appartenance du réseau. Les points d'accès sont configurés pour n'accepter que les postes présentant le bon SSID. Tous les échanges réalisés au travers du hotspot doivent pouvoir être tracés à la demande dans le respect de la législation et des règlements en vigueur. Il est recommandé que la passerelle d'interconnexion du réseau hotspot vers Internet intègre un contrôle de contenu et n'autorise que le transit de données dans le respect de la législation et des règlements en vigueur. 2.5 La Sécurité Physique Les points d'accès sont situés en hauteur, hors de portée du public. Si nécessaire, ils sont enfermés et seule l'antenne est située à l'extérieur. Les points d'accès sont, dans la mesure du possible, peu visibles. 3 La continuité Le plan de reprise d'activité et le plan de secours informatique de l'institution intègrent les réseaux sans fil en fonction de leur niveau de criticité. 4 Organisation, rôles et responsabilités La mise en place de réseaux sans fil est du ressort de la direction en charge des ressources réseau et télécoms. L'exploitation et l'administration de ces réseaux sont confiées à cette même direction. L'ensemble des opérations menées doivent respecter les règles de la présente politique. La mise en place de réseaux sans fil est soumise à un avis positif écrit du conseiller en sécurité tel décrit dans la section 1.3. Tous les réseaux sans fil doivent être déclarés; une liste exhaustive de ces réseaux doit être tenue à jour par la direction en charge des ressources réseau et télécoms et mise à la disposition du conseiller en sécurité. P 7

Cette liste doit contenir la description du réseau, l'utilisation et les risques associés, les mécanismes de sécurité mis en œuvre, les schémas d'architecture, l'implantation géographique des points d'accès... Le conseiller en sécurité a toute latitude pour réaliser des contrôles du respect des règles contenues dans la présente politique de sécurité. Un dispositif de contrôle du respect des règles doit être mis en place sous la responsabilité du conseiller en sécurité. En cas de sous-traitance de tout ou partie du réseau sans fil, l'opérateur de ce réseau doit disposer des présentes règles et s'engager contractuellement à les respecter. Cette délégation est soumise à l'accord du conseiller en sécurité. Toute modification des présentes règles est soumise à l'accord du conseiller en sécurité. 4.1 L'utilisation de réseaux sans fil au moyen d une station de travail de l institution. L'utilisation d'un réseau sans fil à partir d'un poste de travail de l'institution est soumise à autorisation. L utilisation d un réseau sans fil par une machine de l institution n est autorisée qu à partir du moment où celle-ci a été configurée à cet usage par les services compétents. Les réseaux sans fil mis à disposition du personnel doivent être utilisés en accord avec la charte d'utilisation des moyens informatiques en vigueur. La mise en place de réseaux sans fil collaboratifs (peer to peer ou ad hoc) est interdite dans l'enceinte de l'institution. Aucun réseau sans fil ne doit être activé si le poste de travail est connecté au réseau local filaire classique de l'institution. Tout accès sans fil utilisé dans un cadre non professionnel et/ou à l'extérieur de l'institution doit être inactivé dès l'entrée sur le site de l'institution. L'utilisation d'un hotspot ou de réseau sans fil à domicile n'est autorisée qu'à partir des machines de l'institution configurées pour cet usage. Les mesures de sécurité mises en place sur les postes de travail pour les protéger en cas d'utilisation de réseau sans fil ne doivent pas être inactivées (personal firewall, anti-virus, installation automatique des patchs... ). 4.2 L'utilisation de réseaux sans fil Wi-Fi au moyen de station de travail n appartenant pas à l institution Tout accès sans fil utilisé dans un cadre non professionnel et/ou à l'extérieur de l'institution doit être inactivé dès l'entrée sur le site de l'institution. Le poste de travail externe ne peut pas être connecté au réseau sans fil interconnecté au réseau de l institution sauf dérogation spécifique validée par le conseiller en sécurité. Un réseau interne sans fil non interconnecté spécifique est éventuellement mis à disposition des prestataires externes. Il leur permet d'accéder au monde de l Internet. Les mesures de sécurité nécessaires à la protection du poste de travail et des échanges réalisés par le prestataire externe sont du ressort du prestataire. L'usage du réseau interne sans fil non interconnecté est aux risques et périls du prestataire. Les réseaux sans fil mis à disposition des prestataires externes ne doivent être utilisés que pour des usages professionnels. P 8

Tous les échanges réalisés au travers des réseaux sans fil mis à disposition des prestataires sont tracés et l'institution se réserve le droit d'utiliser ces traces en cas de conflit relatif à l'usage des liaisons sans fil en conformité avec la législation. L'institution se réserve le droit de mettre en place toutes les mesures de protection lui paraissant nécessaires sur les réseaux sans fil mis à disposition des prestataires externes 5 L'administration de réseaux sans fil. Tous les réseaux sans fil sont administrés par au moins deux administrateurs nommés à cette fonction. L'administrateur et son suppléant sont garants du respect des règles de la présente politique pour le réseau sans fil dont ils ont la charge. Les fonctions d'administration nécessitent une identification/authentification. L'authentifiant est dans la mesure du possible un authentifiant fort. Si cela n'est pas possible, il est partagé uniquement entre les administrateurs du réseau sans fil à l'exclusion de toute autre personne. Les identifiants/authentifiants utilisés pour administrer les machines et composants réseau sans fil ne sont pas les mêmes que ceux utilisés dans le cadre des réseaux internes. Aucune fonction d'administration n'est réalisée au travers du réseau sans fil. Ces fonctions sont réalisées au travers du réseau filaire auquel sont reliés les points d'accès. Cette administration est spécifique au réseau interne sans fil non interconnecté et réseau hotspot, et n'est pas interfacée avec l'administration du réseau interne ou des réseaux sans fil sécurisés. Seules les stations d'administration allouées à ces administrateurs du réseau ont un accès permettant la gestion du réseau sans fil. L'accès à une fonction d'administration des points d'accès donne lieu à la création d'un événement de sécurité. La trace des événements de sécurité est tenue à la disposition du conseiller en sécurité. Dans le cadre de l administration à distance, seuls des protocoles sécurisés sont admis pour administrer les points d'accès. Ces protocoles doivent protéger l'identification/authentification et la confidentialité des échanges. Des protocoles comme SSH ou HTTPS répondent à cette règle. Les protocoles non sécurisés (SNMP, Telnet, HTTP, TFTP, FTP... ) sont inactivés et leur utilisation est interdite (sauf pour le port «console» si nécessaire). Les données de configuration des équipements des réseaux sans fil sont sauvegardées périodiquement. Les contrôles d identification/authentification des utilisateurs et des machines qui se connectent doivent être revus en fonction des failles de sécurité détectées. Soit les comptes et mots de passe par défaut des équipements sont inactivés, soit les mots de passe sont modifiés. Si l'authentification forte n'est pas mise en place, les mots de passe d'accès aux équipements sont régulièrement changés. Les mots de passe utilisés, non triviaux, ne sont diffusés qu'aux administrateurs en titre du réseau sans fil. Leurs modifications périodiques sont inscrites dans les procédures d'exploitation du réseau sans fil. Les authentifiants doivent être changés dans tous les cas où ils ont été divulgués au-delà du périmètre des administrateurs (changement de sous-traitants, intervention de maintenance... ). Les traces et logs issus des outils et dispositifs doivent être archivés. Les composants des réseaux sans fil font l'objet d'une maintenance, si le niveau de criticité l exige. Une veille technologique est réalisée. Les correctifs de sécurité sont installés périodiquement sur l'ensemble des machines utilisées pour le réseau sans fil y compris les points d'accès. P 9

6 Audit des réseaux sans fil Un audit de sécurité des réseaux sans fil est réalisé périodiquement. En plus, un contrôle régulier de détection des réseaux sans fil non conformes est mis en place. Ce contrôle devrait permettre de s assurer de : l'inexistence de points d'accès non prévus; l'inexistence de réseaux collaboratifs ; l'inexistence de postes client recherchant des points d'accès; l'inexistence de logiciels d attaque de réseaux sans fil. 7 La légalité et la conformité Les cartes et les points d'accès utilisés dans le cadre des réseaux sans fil sont conformes aux dispositions légales et réglementaires en vigueur. L'audit du réseau, la collecte et l'exploitation des informations de traces respectent la législation et les réglementations en vigueur (notamment issues de la CPVP). P 10

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back