LA SÉCURITÉ DES DONNÉES PERSONNELLES

LA SÉCURITÉ DES DONNÉES PERSONNELLES Éditin 2010

Smmaire Avant-prps page 1 Intrductin page 3 Termes & définitins page 5 Fiche n 1 - Quels risques? page 6 Fiche n 2 L authentificatin des utilisateurs page 9 Fiche n 3 La gestin des habilitatins & la sensibilisatin des utilisateurs page 11 Fiche n 4 La sécurité des pstes de travail page 15 Fiche n 5 - Cmment sécuriser l infrmatique mbile? page 17 Fiche n 6 - Les sauvegardes et la cntinuité d activité page 18 Fiche n 7 - La maintenance page 20 Fiche n 8 La tracabilité et la gestin des incidents page 22 Fiche n 9 La sécurité des lcaux page 24 Fiche n 10 La sécurité du réseau infrmatique interne page 25 Fiche n 11 La sécurité des serveurs et des applicatins page 28 Fiche n 12 - La sus-traitance page 30 Fiche n 13 - L archivage page 32 Fiche n 14 - L échange d infrmatins avec d autres rganismes page 34 Fiche n 15 - Les dévelppements infrmatiques page 37 Fiche n 16 L annymisatin page 38 Fiche n 17 Le chiffrement page 40 Acrnymes page 43 Annexes page 44 Ce guide est téléchargeable sur le site Internet de la CNIL : www.cnil.fr

Avant-prps La place grandissante de l infrmatique dans tutes les sphères de ntre sciété entraîne la prductin, le traitement et la disséminatin d un nmbre crissant de dnnées persnnelles. Les menaces pesant sur les systèmes et réseaux d infrmatin incluent la fraude infrmatique, le déturnement de finalité, la captatin frauduleuse, la perte de dnnées, le vandalisme, u encre les sinistres les plus fréquents, tels que l incendie u l inndatin. La li «infrmatique et libertés» impse que les rganismes mettant en œuvre des traitements u dispsant de fichiers de dnnées en garantissent la sécurité. Par sécurité des dnnées, n entend l ensemble des «précautins utiles, au regard de la nature des dnnées et des risques présentés par le traitement», pur ntamment, «empêcher que les dnnées sient défrmées, endmmagées, u que des tiers nn autrisés y aient accès.» (Art.34 li IL). Cette sécurité se cnçit pur l ensemble des prcessus relatifs à ces dnnées, qu il s agisse de leur créatin, leur utilisatin, leur sauvegarde, leur archivage u leur destructin et cncerne leur cnfidentialité, leur intégrité, leur authenticité et leur dispnibilité. Ce guide s adresse à tut respnsable de traitement ainsi qu à tute persnne dispsant d un minimum de cnnaissances infrmatiques (administrateur système, dévelppeur, respnsable de la sécurité des systèmes d infrmatin, utilisateur ) et suhaitant évaluer le niveau de sécurité dnt dit bénéficier tut traitement de dnnées à caractère persnnel. Il présente un ensemble de précnisatins essentielles regrupées par fiches thématiques cncernant la sécurité de dnnées à caractère persnnel. Chaque fiche est structurée en tris sectins : - les précautins élémentaires ; - ce qu il ne faut pas faire ; - pur aller plus lin. La sectin «Pur aller plus lin» recmmande des mesures additinnelles aux précautins élémentaires. Parmi l ensemble des précnisatins, certaines snt issues de bnnes pratiques en matière de gestin de la sécurité des systèmes d infrmatins, tandis que d autres résultent des règles relatives à la prtectin de dnnées à caractère persnnel du fait de la spécificité de ces infrmatins. A V A N T - P R O P O S 1

Ce premier guide «sécurité» est évidemment perfectible. Aussi, le lecteur ne devra-t-il pas hésiter à nus cntacter pur nus transmettre ses prpsitins en la matière. Bien entendu, aux yeux des experts et des prfanes, ce guide ne répndra pas cmplètement à leurs attentes, jugeant qu il ne va pas assez u trp lin. J espère néanmins qu il satisfera au plus grand nmbre, et je peux d res et déjà annncer qu un dcument plus élabré est en curs de préparatin. A V A N T - P R O P O S Alex TÜRK Président de la CNIL La Cmmissin Natinale de l Infrmatique et des Libertés La CNIL, autrité administrative indépendante, est chargée de veiller au respect des dispsitins de la li. A ce titre, elle assure des missins d infrmatin, de cnseil, d expertise et de veille technlgique. La CNIL dispse de puvirs particuliers pur faire respecter la li : elle cntrôle la mise en œuvre des fichiers infrmatiques et peut également prcéder à des vérificatins sur place. L ensemble de ces infrmatins est également dispnible sur le site Internet de la CNIL : http://www.cnil.fr/dssiers/securite G U I D E P R AT I Q U E S É C U R I T É 2

Intrductin Sécuriser un système infrmatique nécessite de prendre en cmpte tus les aspects de sa gestin. Cette sécurité passe par le respect de bnnes pratiques et le maintien de l util infrmatique à l état de l art quant aux attaques dnt il peut faire l bjet. Tutefis, cette sécurité ne sera effective qu à cnditin de faire preuve de rigueur ntamment dans la délivrance (et le retrait) des habilitatins ainsi que dans le traitement des inévitables incidents. Afin de garantir que chaque utilisateur du système infrmatique n accède qu aux dnnées qu il a besin de cnnaître, deux éléments snt nécessaires : - la remise d un identifiant unique à chaque utilisateur asscié à un myen de s authentifier : une méthde d authentificatin ; - un cntrôle a priri de l accès aux dnnées pur chaque catégrie d utilisateurs : une gestin des habilitatins. La prtectin de dnnées cncernant des persnnes impse en plus que celles-ci sient : - «cllectées et traitées de manière lyale et licite» (Art. 6 al.1 li I&L) - «cllectées pur des finalités déterminées, explicites et légitimes et ne sient pas traitées ultérieurement de manière incmpatible avec ces finalités» (Art. 6 al.2 li I&L). Ces bligatins ne peuvent s apprécier qu à travers l usage qui est fait du système infrmatique. Par cnséquent, il est nécessaire de prcéder à une jurnalisatin, c est-à-dire l enregistrement des actins de chaque utilisateur sur le système pendant une durée définie. En utre, la li Infrmatique et Libertés dispse que les dnnées sient «exactes, cmplètes et si nécessaires mises à jur.» (Art. 6 al.4 li I&L). Ces bligatins nécessitent que les systèmes d infrmatin prévient des mécanismes garantissant l intégrité des dnnées. La li dispse également que ces dnnées sient «cnservées sus une frme permettant l identificatin des persnnes cncernées pendant une durée qui n excède pas la durée nécessaire aux finalités pur lesquelles elles snt cllectées et traitées» (Art. 6 al.5 li I&L). Les systèmes divent dnc prévir la suppressin, l archivage, u encre l annymisatin de ces dnnées, lrsque leur durée de cnservatin est atteinte. Enfin, gérer les risques cnstitue un myen efficace de prtéger les «libertés et drits fndamentaux des persnnes physiques, ntamment leur vie privée, à l égard du traitement des dnnées à caractère persnnel» (article premier de la Directive 95/46/CE). I N T R O D U C T I O N 3

Pur rappel, la CNIL peut prcéder à des vérificatins sur place. En utre, la frmatin restreinte peut prnncer diverses sanctins graduées : avertissement, mise en demeure, sanctins pécuniaires, injnctin de cesser le traitement. Le mntant des sanctins pécuniaires peut atteindre 150 000 eurs lrs du premier manquement cnstaté puis 300 000 eurs, u 5% du chiffre d affaire hrs taxes du dernier exercice, dans la limite de 300 000 eurs, s il s agit d une entreprise. Le mntant de ces sanctins est «prprtinné à la gravité des manquements cmmis et aux avantages tirés de ce manquement». La CNIL peut également dénncer pénalement les infractins à la li dnt elle a cnnaissance au Prcureur de la République. I N T R O D U C T I O N G U I D E P R AT I Q U E S É C U R I T É 4

Termes & définitins Authentificatin : «l authentificatin a pur but de vérifier l identité dnt une entité se réclame. Généralement l authentificatin est précédée d une identificatin qui permet à cette entité de se faire recnnaître du système par un élément dnt n l a dté. En résumé, s identifier c est cmmuniquer sn identité, s authentifier c est apprter la preuve de sn identité.» (ANSSI Agence Natinale de la Sécurité des Sustèmes d Infrmatin). Destinataire des dnnées : «tute persnne habilitée à recevir cmmunicatin de ces dnnées autre que la persnne cncernée, le respnsable du traitement, le sus-traitant et les persnnes qui, en raisn de leurs fnctins, snt chargées de traiter les dnnées» (Art. 3 li I&L). Dnnée à caractère persnnel : «tute infrmatin relative à une persnne physique identifiée u qui peut être identifiée, directement u indirectement, par référence à un numér d identificatin u à un u plusieurs éléments qui lui snt prpres. Pur déterminer si une persnne est identifiable, il cnvient de cnsidérer l ensemble des myens en vue de permettre sn identificatin dnt dispse u auxquels peut avir accès le respnsable du traitement u tute autre persnne» (Art. 2 li I&L). Dnnées sensibles : les «dnnées à caractère persnnel qui fnt apparaître, directement u indirectement, les rigines raciales u ethniques, les pinins plitiques, philsphiques u religieuses u l appartenance syndicale des persnnes, u qui snt relatives à la santé u à la vie sexuelle de celles-ci» (Art. 8 li I&L). Respnsable de traitement : «la persnne, l autrité publique, le service u l rganisme qui détermine les finalités et les myens dudit traitement, sauf désignatin expresse par des dispsitins législatives u réglementaires relatives à ce traitement» (Art. 3 li I&L). Tiers : la persnne physique u mrale, l autrité publique, le service u tut autre rganisme autre que la persnne cncernée, le respnsable du traitement, le sus-traitant et les persnnes qui, placées sus l autrité directe du respnsable du traitement u du sus-traitant, snt habilitées à traiter les dnnées (directive 95/46/CE). Traitement : sauf mentin explicite, un traitement s entend dans ce dcument cmme un traitement de dnnées à caractère persnnel. Traitement de dnnées à caractère persnnel : «tute pératin u tut ensemble d pératins prtant sur de telles dnnées, quel que sit le prcédé utilisé, et ntamment la cllecte, l enregistrement, l rganisatin, la cnservatin, l adaptatin u la mdificatin, l extractin, la cnsultatin, l utilisatin, la cmmunicatin par transmissin, diffusin u tute autre frme de mise à dispsitin, le rapprchement u l intercnnexin, ainsi que le verruillage, l effacement u la destructin» (Art. 2 li I&L). T E R M E S & D E F I N I T I O N S 5

Fiche n 1 - Quels risques? La gestin des risques permet au respnsable de traitement d identifier quelles snt les précautins utiles à prendre «au regard de la nature des dnnées et des risques présentés par le traitement, pur préserver la sécurité des dnnées et, ntamment, empêcher qu elles sient défrmées, endmmagées, u que des tiers nn autrisés y aient accès» (article 34 de la Li du 6 janvier 1978 relative à l infrmatique, aux fichiers et aux libertés). La Directive eurpéenne Infrmatique et Libertés de 1995 précise encre que la prtectin des dnnées persnnelles nécessite de prendre des «mesures techniques et d rganisatin apprpriées» (Article 17). Une telle apprche permet en effet une prise de décisin bjective et la déterminatin de mesures parfaitement adaptées à sn cntexte. Un risque est un scénari qui cmbine une situatin crainte (atteinte de la sécurité des traitements et ses cnséquences) avec tutes les pssibilités qu elle survienne (menaces sur les supprts des traitements). On estime sn niveau en termes de gravité (ampleur et nmbre des impacts) et de vraisemblance (pssibilité/prbabilité qu il se réalise). F I C H E N 1 - Q U E L S R I S Q U E S Les précautins élémentaires L étude des risques dit être frmalisée dans un dcument cmplet. Cette étude devra être mise à jur de manière régulière seln les évlutins du cntexte et dit : recenser les fichiers et dnnées à caractère persnnel (ex : fichiers client, cntrats ) et les traitements assciés, autmatisés u nn, en identifiant les supprts sur lesquels repsent ces traitements : - les matériels (ex : serveur de gestin des ressurces humaines, CD- ROM ) ; - les lgiciels (ex : système d explitatin, lgiciel métier ) ; - les canaux de cmmunicatin (ex : fibre ptique, Wifi, Internet ) ; - les supprts papier (ex : dcument imprimé, phtcpie ). déterminer cmment la vie privée des persnnes purrait être affectée par le biais de ces supprts. Pur chaque traitement, identifier et classer seln leur gravité les impacts sur la vie privée des persnnes en cas d atteinte à : - la cnfidentialité (ex : usurpatins d identités cnsécutives à la divulgatin des fiches de paie de l ensemble des salariés d une entreprise) ; G U I D E P R AT I Q U E S É C U R I T É 6

- la dispnibilité (ex : nn détectin d une interactin médicamenteuse du fait de l impssibilité d accéder au dssier électrnique du patient) ; - l intégrité (ex : mdificatin des jurnaux d accès dans le but de faire accuser une persnne à trt). Étudier les menaces qui pèsent sur chaque supprt et les hiérarchiser seln leur prbabilité d ccurrence (vraisemblance). Exemples de menaces : vl d un PC prtable, cntagin par un cde malveillant, saturatin des canaux de cmmunicatin, phtcpie de dcuments papier ). Une liste cmplète de menaces est furnie en annexe 1. Étudier les risques Cmbiner chaque impact avec les menaces qui le cncerne. Hiérarchiser les risques ainsi btenus seln leur gravité et leur vraisemblance. Mettre en œuvre des mesures de sécurité Déterminer les mesures de sécurité pur réduire, transférer u éviter les risques. Les fiches pratiques de ce guide dnnent des exemples cncrets de mesures destinées à cuvrir les bligatins issues de la li infrmatique et libertés : cnfidentialité, intégrité, qualité des dnnées, cnservatin, recueil du cnsentement. F I C H E N 1 - Q U E L S R I S Q U E S Ce qu il ne faut pas faire Mener seul une étude de risques. Impliquer les acteurs les plus apprpriés à chaque étape (métiers, maîtrise d œuvre, respnsable du traitement ) afin de les sensibiliser aux risques, de les respnsabiliser dans leurs chix et de les faire adhérer aux mesures de sécurité qu ils aurnt chisies. Réaliser une étude trp détaillée. Il est aisé de se perdre dans un niveau de détail inapprprié. Celui-ci dit rester chérent avec la taille du sujet étudié, l bjectif de l étude et le niveau des risques. Chisir des mesures inapprpriées. Il faut déterminer les mesures nécessaires et suffisantes pur traiter les risques, et que celles-ci sient adaptées aux cntraintes de l étude (budgétaires, techniques ). 7

Pur aller plus lin L étude des risques permet de déterminer des mesures de sécurité à mettre en place. Il cnvient dnc de prévir un budget pur leur mise en œuvre. L empli d une véritable méthde permet de dispser d utils pratiques et d amélirer l exhaustivité et la prfndeur de l étude des risques. La bîte à utils d EBIOS 1 peut être utilisée à cet effet http://www.ssi.guv.fr/site_article173.html). En fnctin des myens dispnibles, il peut également être utile de prévir : - la frmatin des persnnes chargées de réaliser les études de risques ; - un audit sécurité du système d infrmatin. F I C H E N 1 - Q U E L S R I S Q U E S 1 - EBIOS Expressin des Besins et Identificatin des Objectifs de Sécurité est la méthde de gestin des risques publiée par l Agence natinale de la sécurité des systèmes d infrmatin (ANSSI) du Secrétariat général de la défense et de la sécurité natinale (SGDSN). EBIOS est une marque dépsée du SGDSN. G U I D E P R AT I Q U E S É C U R I T É 8

Fiche n 2 - Authentificatin des utilisateurs le respnsable d un système infrmatique dit être en mesure d assurer que chaque utilisateur du système n accède qu aux dnnées dnt il a besin pur l exercice de sa missin. Pur cela, chaque utilisateur dit être dté d un identifiant qui lui est prpre et dit s authentifier avant tute utilisatin des myens infrmatiques. Les mécanismes permettant de réaliser l authentificatin des persnnes snt catégrisés en tris familles seln qu ils fnt intervenir: - ce que l n sait, par exemple un mt de passe, - ce que l n a, par exemple une carte à puce, - une caractéristique qui nus est prpre, par exemple une empreinte digitale u encre une signature manuscrite. Pur rappel, la li Infrmatique et Libertés subrdnne l utilisatin de la bimétrie à l autrisatin préalable de la CNIL 2. L authentificatin d un utilisateur est qualifiée de frte lrsqu elle a recurs à une cmbinaisn d au mins deux de ces méthdes. Les précautins élémentaires A prps des identifiants (u lgins) des utilisateurs, ceux-ci divent, dans la mesure du pssible, être différents de ceux des cmptes définis par défaut par les éditeurs de lgiciels. Les cmptes par défaut divent être désactivés. Aucun cmpte ne devrait être partagé entre plusieurs utilisateurs. Dans le cas d une authentificatin des utilisateurs basée sur des mts de passe, leur mise en œuvre dit respecter les règles suivantes : - avir une taille de 8 caractères minimum ; - utiliser des caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux). Des myens mnémtechniques permettent de créer des mts de passe cmplexe, par exemple - en ne cnservant que les premières lettres des mts d une phrase ; - en mettant une majuscule si le mt est un nm (ex : Chef) ; - en gardant des signes de pnctuatin (ex : ) ; - en exprimant les nmbres à l aide des chiffres de 0 à 9 (ex : Un ->1) ; Exemple, la phrase «un Chef d Entreprise averti en vaut deux» crrespnd au mt de passe 1Cd Eaev2 ; - changer de mt de passe régulièrement (tus les 3 mis par exemple). Lrsque le renuvellement d un mt de passe est cnsécutif à un ubli, une fis que le mt de passe a été réinitialisé, l utilisateur dit être dans l bligatin de le changer dès sa première cnnexin afin de le persnnaliser. F I C H E N 2 - A U T H E N T I F I C A T I O N D E S U T I L I S A T E U R S 2 - A ce sujet, cnsulter ntamment la fiche 12 la bimétrie sur le lieu de travail du Guide CNIL pur les emplyeurs et les salariés. http://www.cnil.fr/fileadmin/dcuments/guides_pratiques/guide_emplyeurs_salaries.pdf 9

Ce qu il ne faut pas faire Cmmuniquer sn mt de passe à autrui ; stcker ses mts de passe dans un fichier en clair u dans un lieu facilement accessible par d autres persnnes ; utiliser des mts de passe ayant un lien avec si (nm, date de naissance ) ; utiliser le même mt de passe pur des accès différents ; cnfigurer les applicatins lgicielles afin qu elles permettent d enregistrer les mts de passe. Pur aller plus lin Cncernant les mécanismes d authentificatin, il est recmmandé de se référer aux règles et recmmandatins cncernant les mécanismes d authentificatin précnisées dans l annexe B3 du Référentiel Général de Sécurité 3. En cas d utilisatin de méthdes d authentificatin repsant sur des dispsitifs tels que des cartes à puce u des schémas d authentificatin mettant en œuvre des algrithmes cryptgraphiques, ceux-ci divent suivre les règles cncernant le chix et le dimensinnement des mécanismes cryptgraphiques précnisées dans l annexe B1 du Référentiel Général de Sécurité 4. Dans l éventualité d une authentificatin par des dispsitifs bimétriques il est nécessaire d effectuer une demande d autrisatin auprès de la CNIL. D une manière générale, la CNIL recmmande l utilisatin de bimétrie sans traces (cntur de la main, réseaux veineux ) u l enregistrement des empreintes digitales dans un supprt individuel. Cncernant des dispsitifs basés sur l empreinte digitale, il cnvient de se référer à la Cmmunicatin de la CNIL relative à la mise en œuvre de dispsitifs de recnnaissance par empreinte digitale avec stckage dans une base de dnnées situé à l adresse internet http://www.cnil.fr/fileadmin/dcuments/apprfndir/dssier/cnibimetrie/cmmunicatin-bimetrie.pdf pur prendre cnnaissance de la dctrine de la CNIL en la matière. F I C H E N 2 - A U T H E N T I F I C A T I O N D E S U T I L I S A T E U R S 3 - http://www.references.mdernisatin.guv.fr/sites/default/files/rgs_mecanismes_authentificatin_v1_0.pdf 4 - http://www.references.mdernisatin.guv.fr/sites/default/files/rgs_mecanismes_cryptgraphiques_v1_20.pdf G U I D E P R AT I Q U E S É C U R I T É 10

Fiche n 3 - Gestin des habilitatins & sensibilisatin des utilisateurs Chaque utilisateur du système ne dit puvir accéder qu aux dnnées dnt il a besin pur l exercice de sa missin. Cncrètement, cela se traduit par la mise en place d un mécanisme de définitin des niveaux d habilitatin d un utilisateur dans le système, et d un myen de cntrôle des permissins d accès aux dnnées. Il cnvient de veiller également à ce que les utilisateurs sient cnscients des menaces en termes de sécurité, ainsi que des enjeux cncernant la prtectin des dnnées persnnelles. Les précautins élémentaires Définir des prfils d habilitatin dans les systèmes en séparant les tâches et les dmaines de respnsabilité, afin de limiter l accès à des dnnées à caractère persnnel aux seuls utilisateurs dûment habilités. Supprimer les permissins d accès des utilisateurs dès qu ils ne snt plus habilités à accéder à un lcal u à une ressurce, ainsi qu à la fin de leur péride d empli. Dcumenter les prcédures d explitatin, les tenir à jur et les rendre dispnibles à tus les utilisateurs cncernés. Cncrètement, tute actin sur le système, qu il s agisse d pératins d administratin u de la simple utilisatin d une applicatin, dit être expliquée dans des dcuments auxquels les utilisateurs peuvent se référer. Rédiger une charte infrmatique et l annexer au règlement intérieur. F I C H E N 3 - G E S T I O N D E S H A B I L I T A T I O N S & S E N S I B I L I S A T I O N D E S U T I L I S A T E U R S 11

Mdèle d une charte infrmatique : 1. Le rappel des règles de prtectin des dnnées et les sanctins encurues en cas de nn respect de la li. 2. Le champ d applicatin de la charte, qui inclut ntamment : - les mdalités d interventin du service de l infrmatique interne ; - les myens d authentificatin ; - les règles de sécurité auxquelles se cnfrmer, ce qui peut inclure par exemple de : - signaler au service infrmatique interne tute vilatin u tentative de vilatin suspectée de sn cmpte infrmatique et de manière générale tut dysfnctinnement ; - ne jamais cnfier sn identifiant/mt de passe à un tiers ; - ne pas mdifier les paramétrages du pste de travail ; - ne pas installer, cpier, mdifier, détruire des lgiciels sans autrisatin ; - verruiller sn rdinateur dès que l n quitte sn pste de travail ; - ne pas accéder, tenter d accéder, u supprimer des infrmatins qui ne relèvent pas des tâches incmbant à l utilisateur ; - définir les mdalités de cpie de dnnées sur un supprt externe, ntamment en btenant l accrd préalable du supérieur hiérarchique et en respectant des règles préalablement définies. 3. Les mdalités d utilisatin des myens infrmatiques et de télécmmunicatins mis à dispsitin cmme : - le pste de travail ; - les équipements nmades ; - l espace de stckage individuel ; - le réseau lcal ; - internet ; - la messagerie électrnique ; - le téléphne. 4. Les cnditins d administratin du système d infrmatin, et l existence, le cas échéant, de: - systèmes autmatiques de filtrage ; - systèmes autmatiques de traçabilité ; - gestin du pste de travail. 5. Les respnsabilités et sanctins encurues en cas de nn respect de la charte. F I C H E N 3 - G E S T I O N D E S H A B I L I T A T I O N S & S E N S I B I L I S A T I O N D E S U T I L I S A T E U R S G U I D E P R AT I Q U E S É C U R I T É 12

Ce qu il ne faut pas faire Définir des cmptes administrateur partagés par plusieurs persnnes. Pur aller plus lin Etablir, dcumenter et réexaminer une plitique de cntrôle d accès en rapprt avec la finalité du traitement. La plitique de cntrôle d accès dit inclure : - les prcédures d enregistrement et de radiatin des utilisateurs destinées à accrder et à retirer l accès au traitement ; - les mesures incitant les utilisateurs à respecter les bnnes pratiques de sécurité lrs de la sélectin et l utilisatin de mts de passe u d autres myens d authentificatin ; - les mesures permettant de restreindre et de cntrôler l attributin et l utilisatin des accès au traitement. Classifier les infrmatins de manière ntamment à indiquer si celles-ci snt des dnnées sensibles. Cette classificatin permet de rendre cmpte du niveau de sécurité à appliquer. Envyer régulièrement à tus les utilisateurs les mises à jur des plitiques et prcédures pertinentes pur leurs fnctins. Organiser des séances de frmatin et de sensibilisatin à la sécurité de l infrmatin. Des rappels péridiques peuvent être faits par le biais de la messagerie électrnique. Prévir la signature d un engagement de cnfidentialité (cf. mdèle de clause ci-dessus), u prévir dans les cntrats de travail une clause de cnfidentialité spécifique cncernant les dnnées à caractère persnnel. F I C H E N 3 - G E S T I O N D E S H A B I L I T A T I O N S & S E N S I B I L I S A T I O N D E S U T I L I S A T E U R S 13

Exemple d engagement de cnfidentialité relatif aux dnnées à caractère persnnel : Je sussigné Mnsieur/Madame, exerçant les fnctins de au sein de la sciété (ci-après dénmmé «la Sciété»), étant à ce titre amené à accéder à des dnnées à caractère persnnel, déclare recnnaître la cnfidentialité desdites dnnées. Je m engage par cnséquent, cnfrmément aux articles 34 et 35 de la li du 6 janvier 1978 mdifiée relative à l infrmatique, aux fichiers et aux libertés, à prendre tutes précautins cnfrmes aux usages et à l état de l art dans le cadre de mes attributins afin de prtéger la cnfidentialité des infrmatins auxquelles j ai accès, et en particulier d empêcher qu elles ne sient mdifiées, endmmagées u cmmuniquées à des persnnes nn expressément autrisées à recevir ces infrmatins. Je m engage en particulier à : - ne pas utiliser les dnnées auxquelles je peux accéder à des fins autres que celles prévues par mes attributins ; - ne divulguer ces dnnées qu aux persnnes dûment autrisées, en raisn de leurs fnctins, à en recevir cmmunicatin, qu il s agisse de persnnes privées, publiques, physiques u mrales ; - ne faire aucune cpie de ces dnnées sauf à ce que cela sit nécessaire à l exécutin de mes fnctins ; - prendre tutes les mesures cnfrmes aux usages et à l état de l art dans le cadre de mes attributins afin d éviter l utilisatin déturnée u frauduleuse de ces dnnées ; - prendre tutes précautins cnfrmes aux usages et à l état de l art pur préserver la sécurité matérielle de ces dnnées ; - m assurer, dans la limite des mes attributins, que seuls des myens de cmmunicatin sécurisés sernt utilisés pur transférer ces dnnées ; - assurer, dans la limite de mes attributins, l exercice des drits d infrmatin, d accès et de rectificatin de ces dnnées ; - en cas de cessatin des mes fnctins, restituer intégralement les dnnées, fichiers infrmatiques et tut supprt d infrmatin relatif à ces dnnées. Cet engagement de cnfidentialité, en vigueur pendant tute la durée de mes fnctins, demeurera effectif, sans limitatin de durée après la cessatin de mes fnctins, quelle qu en sit la cause, dès lrs que cet engagement cncerne l utilisatin et la cmmunicatin de dnnées à caractère persnnel. J ai été infrmé que tute vilatin du présent engagement m expse ntamment à des actins et sanctins disciplinaires et pénales cnfrmément aux dispsitins légales en vigueur. Fait à xxx le xxx en xxx exemplaires Nm : Nm : Signature : Signature : F I C H E N 3 - G E S T I O N D E S H A B I L I T A T I O N S & S E N S I B I L I S A T I O N D E S U T I L I S A T E U R S G U I D E P R AT I Q U E S É C U R I T É 14

Fiche n 4 - Sécurité des pstes de travail La sécurité des pstes de travail passe par une mise en œuvre de mesures pur prévenir - les tentatives d accès frauduleux ; - l exécutin de virus ; - la prise de cntrôle à distance, ntamment via internet. Les risques d intrusin dans les systèmes infrmatiques snt imprtants et peuvent cnduire à l implantatin de virus u de prgrammes «espins». Les précautins élémentaires Limiter le nmbre de tentatives d accès à un cmpte. En fnctin du cntexte, ce nmbre peut varier entre tris et dix. Lrsque la limite est atteinte, il est préférable de blquer la pssibilité d authentificatin à ce cmpte temprairement u jusqu à l interventin d un administrateur du système ; installer un «pare-feu» (firewall) lgiciel, et limiter les prts de cmmunicatin strictement nécessaires au bn fnctinnement des applicatins installées sur le pste de travail ; utiliser des antivirus régulièrement mis à jur ; prévir une prcédure de verruillage autmatique de sessin en cas de nn-utilisatin du pste pendant un temps dnné. Pur les pératins de maintenance, il cnvient de mettre fin à une sessin après une à cinq minutes d inactivité. Pur d autres pératins mins critiques (accès à une applicatin métier par exemple), un délai de quinze minutes dit permettre de garantir la sécurité sans cmprmettre l ergnmie d utilisatin ; prévir d afficher, lrs de la cnnexin à un cmpte, les dates et heures de la dernière cnnexin. F i c h e n 4 - S É C U R I T É D E S P O S T E S D E T R A V A I L Ce qu il ne faut pas faire Utiliser des systèmes d explitatin bslètes (une liste mise à jur régulièrement est dispnible à l adresse internet http://www.certa.ssi.guv.fr/ site/certa-2005-inf-003/). 15

Pur aller plus lin Limiter les applicatins nécessitant des drits de niveau administrateur pur leur exécutin ; limiter les services du système d explitatin s exécutant sur le pste de travail à ceux qui snt strictement nécessaires ; installer les mises à jur critiques des systèmes d explitatin sans délai en prgrammant une vérificatin autmatique péridique hebdmadaire ; mettre à jur les applicatins lrsque des failles critiques nt été identifiées et crrigées ; cncernant les virus, se référer au dcument du CERTA dispnible à l adresse internet http://www.certa.ssi.guv.fr/site/certa-2000-inf-007/ pur des recmmandatins plus cmplètes. F i c h e n 4 - S É C U R I T É D E S P O S T E S D E T R A V A I L G U I D E P R AT I Q U E S É C U R I T É 16

Fiche n 5 - Cmment sécuriser l infrmatique mbile? La multiplicatin des rdinateurs prtables, des clés USB et des smartphnes rend indispensable d anticiper la pssible perte d infrmatins cnsécutive au vl ù à la perte d un tel équipement. Les précautins élémentaires Prévir des myens de chiffrement pur les espaces de stckage des matériels infrmatiques mbiles (rdinateur prtable, périphérique de stckage amvible tels que clés USB, CD-ROM, DVD-RW, etc.). Parmi ces myens, n peut citer : - le chiffrement du disque dur dans sa ttalité au niveau matériel ; - le chiffrement du disque dur dans sa ttalité à un niveau lgique via le système d explitatin ; - le chiffrement fichier par fichier ; - la créatin de cnteneurs 5 chiffrés. Parmi les utils dispnibles, des lgiciels libres tels que TrueCrypt 6 (www. truecrypt.rg) permettent de créer des cntaineurs chiffrés dnt la sécurité repse sur un mt de passe. De nmbreux cnstructeurs de PC prtables vendent des slutins avec disque dur chiffré : il cnvient de privilégier ces équipements et de s assurer que le chiffrement est bien mis en œuvre par les utilisateurs. Ce qu il ne faut pas faire Cnserver des dnnées persnnelles dans les équipements mbiles lrs de déplacement à l étranger. On peut cnsulter à ce sujet les précnisatins frmulées dans le dcument Passeprt de cnseils aux vyageurs publié par l ANSSI dispnible à l adresse http://www.securite-infrmatique.guv.fr/img/ pdf/passeprt-de-cnseils-aux-vyageurs_janvier-2010.pdf. Pur aller plus lin Lrsque des appareils mbiles servent à la cllecte de dnnées en itinérance (ex : PDA, Smartphnes u PC prtables, etc.), il faut sécuriser les dnnées qui y snt stckées et prévir un verruillage de l appareil au but de quelques minutes d inactivité. Prévir aussi de purger ces équipements des dnnées cllectées sitôt qu elles nt été intrduites dans le système d infrmatin de l rganisme. De plus en plus d rdinateurs prtables snt équipés d un dispsitif de lecture d empreinte digitale. La mise en œuvre de tels dispsitifs est sumise à l autrisatin de la CNIL. F i c h e n 5 - C O M M E N T S É C U R I S E R L I N F O R M A T I Q U E M O B I L E? 5 - Par cnteneur, il faut cmprendre un fichier susceptible de cntenir plusieurs fichiers. 6 - Il cnvient d utiliser la versin 6.0a qui bénéficie d une certificatin de premier niveau par l ANSSI. 17

Fiche n 6 - Les sauvegardes et la cntinuité d activité Des cpies de sauvegarde des dnnées à caractère persnnel divent être faites et testées régulièrement, cnfrmément à la plitique de sauvegarde adptée. Il faut également prcéder à une sauvegarde des lgiciels servant au traitement afin de garantir la pérennité de celui-ci. Une sécurisatin renfrcée est requise pur les sauvegardes de dnnées sensibles. Il cnvient de prévir la cntinuité d activité en anticipant les pannes matérielles. Des mesures de prtectin physique cntre les dmmages causés par les incendies u les inndatins divent être envisagées. Les précautins élémentaires S agissant de la sauvegarde des dnnées : - effectuer des sauvegardes fréquentes pur éviter la perte d infrmatin. Seln le vlume d infrmatins à sauvegarder, il peut être pprtun de prévir des sauvegardes incrémentales 7 avec une fréquence qutidienne et des sauvegardes cmplètes avec une fréquence mindre (hebdmadaires u bimensuelles) ; - prévir de stcker les supprts de sauvegarde sur un site extérieur, dans des cffres ignifugés et étanches ; - cmbiner une u plusieurs des slutins suivantes pur sécuriser les sauvegardes sit en : - chiffrant les sauvegardes elles-mêmes ; - chiffrant les dnnées à la surce ; - prévyant un stckage dans un lieu sécurisé. - suivre des règles en adéquatin avec la plitique de sécurité pur le cnvyage éventuel des sauvegardes. S agissant de la cntinuité d activité : - mettre en place des détecteurs de fumée ainsi que des extincteurs. Ces systèmes divent être inspectés annuellement ; - cncernant les inndatins, les matériels infrmatiques ne divent pas être mis à même le sl, mais surélevés ; - à prps des matériels : - l utilisatin d un nduleur est recmmandée pur le matériel servant aux traitements critiques ; - il cnvient également de prévir une redndance matérielle des unités de stckage par une technlgie RAID 8. F i c h e n 6 - L E S S A U V E G A R D E S E T L A C O N T I N U I T E D A C T I V I T E 7 - Une sauvegarde incrémentale cnsiste à n enregistrer que les mdificatins faites par rapprt à une précédente sauvegarde. 8 - RAID désigne des techniques de répartitin de dnnées sur plusieurs supprts de sauvegardes (par exemple des disques durs) afin de prévenir la perte de dnnées cnsécutives à la panne d un des supprts. G U I D E P R AT I Q U E S É C U R I T É 18

Ce qu il ne faut pas faire Cnserver les sauvegardes au même endrit que les machines hébergeant les dnnées. Un sinistre majeur intervenant à cet endrit aurait cmme cnséquence une perte définitive des dnnées. Pur aller plus lin Cncernant la cntinuité du service, prévir de dimensinner tus les services généraux, tels que l électricité u l alimentatin en eau relatifs aux systèmes pris en charge, et les inspecter régulièrement pur écarter tut risque de dysfnctinnement u de panne. Pur les traitements revêtant des exigences frtes de dispnibilité, prévir de cnnecter l infrastructure de télécmmunicatins par au mins deux vies différentes. F i c h e n 6 - L E S S A U V E G A R D E S E T L A C O N T I N U I T E D A C T I V I T E 19

Fiche n 7 - La maintenance Lrs de la maintenance et des interventins techniques, la sécurité des dnnées dit être garantie. On recmmande également de supprimer les dnnées des matériels destinés à être mis au rebut. Les précautins élémentaires Garantir que des dnnées ne sernt pas cmprmises lrs d une interventin de maintenance en appliquant une u plusieurs des mesures énumérées cidessus : - l enregistrement des interventins de maintenance dans une main curante ; - l encadrement par un respnsable de l rganisme lrs d interventins par des tiers ; - la cnfiguratin des systèmes critiques (serveurs, équipements réseau ) de manière à empêcher leur télémaintenance. Inspecter tut matériel cntenant des supprts de stckage avant sa mise au rebut u sa srtie du périmètre de l rganisme, pur s assurer que tute dnnée sensible en a bien été supprimée de façn sécurisée. A titre d exemple, l ANSSI accrde des certificatins de premier niveau à des lgiciels pur réaliser cet bjectif (http://www.ssi.guv.fr/archive/fr/cnfiance/ certif-cspn.html). Cncernant la mise au rebut de matériels, n peut mentinner: - les bryeurs et déchiqueteurs pur le papier u les supprts numériques tels que les CD et DVD ; - les «dégausseurs 9» pur les unités de stckage à technlgie magnétique. Ces précnisatins cncernent également les matériels en lcatin lrsqu ils snt returnés à l expiratin du délai cntractuel. En matière d assistance sur les pstes clients : - les utils d administratin à distance divent être cnfigurés de manière à recueillir l accrd de l utilisateur avant tute interventin sur sn pste, par exemple en cliquant sur une icône u encre en répndant à un message s affichant à l écran ; - l utilisateur dit également puvir cnstater si la prise de main à distance est en curs et quand elle se termine, par exemple grâce à l affichage d un message à l écran. F i c h e n 7 - L A M A I N T E N A N C E 9 - Un «dégausseur» est un équipement réalisant une destructin irrémédiable de dnnées cnfidentielles par démagnétisatin. G U I D E P R AT I Q U E S É C U R I T É 20

Ce qu il ne faut pas faire Installer des applicatins pur la télémaintenance qui snt vulnérables (ex : certaines versins de xvnc, cf. http://www.certa.ssi.guv.fr/site/certa- 2009-AVI-035/). Pur aller plus lin Il faut restreindre, vire interdire l accès physique et lgique, aux prts de diagnstic et de cnfiguratin à distance. A titre d exemple, il faut restreindre l usage du prtcle SNMP qui permet la cnfiguratin des équipements réseau par cnnexin sur le prt TCP 161. Des précnisatins cncernant les matériels mis au rebut snt dispnibles dans le dcument de l ANSSI intitulé Guide technique pur la cnfidentialité des infrmatins enregistrées sur les disques durs à recycler u exprter, dispnible à l adresse http://www.ssi.guv.fr/archive/fr/dcumentatin/ Guide_effaceur_V1.12du040517.pdf. F i c h e n 7 - L A M A I N T E N A N C E Mdèle de clauses de cnfidentialité puvant être utilisées en cas de maintenance par une tierce partie Chaque pératin de maintenance devra faire l bjet d un descriptif précisant les dates, la nature des pératins et les nms des intervenants, transmis à X. En cas de télémaintenance permettant l accès à distance aux fichiers de X, Y prendra tutes dispsitins afin de permettre à X d identifier la prvenance de chaque interventin extérieure. A cette fin, Y s engage à btenir l accrd préalable de X avant chaque pératin de télémaintenance dnt elle prendrait l initiative. Des registres sernt établis sus les respnsabilités respectives de X et Y, mentinnant les date et nature détaillée des interventins de télémaintenance ainsi que les nms de leurs auteurs. 21

Fiche n 8 - Tracabilité et gestin des incidents afin d être en mesure d identifier a psteriri un accès frauduleux à des dnnées persnnelles, une utilisatin abusive de telles dnnées, u de déterminer l rigine d un incident, il cnvient d enregistrer les actins effectuées sur le système infrmatique. Pur ce faire, le respnsable d un système infrmatique dit mettre en place un dispsitif adapté aux risques assciés à sn système. Celuici dit enregistrer les évènements pertinents, garantir que ces enregistrements ne peuvent être altérés, et dans tus les cas cnserver ces éléments pendant une durée nn excessive. Les précautins élémentaires Prévir un système de jurnalisatin (c est-à-dire un enregistrement dans des «fichiers de lgs») des activités des utilisateurs, des anmalies et des événements liés à la sécurité. Ces jurnaux divent cnserver les évènements sur une péride glissante ne puvant excéder six mis (sauf bligatin légale, u demande de la CNIL, de cnserver ces infrmatins pur une durée plus lngue). Prévir au minimum la jurnalisatin des accès des utilisateurs incluant leur identifiant, la date et l heure de leur cnnexin, ainsi que la date et l heure de leur décnnexin. Le frmat de l hrdatage dit de préférence prendre cmme référence le temps UTC 10. Dans certains cas, il peut être nécessaire de cnserver également le détail des actins effectuées par l utilisateur, telles que les dnnées cnsultées par exemple. Se référer au dcument du CERTA dispnible à l adresse internet http://www.certa.ssi.guv.fr/site/certa-2008-inf-005, pur un exemple de mise en œuvre. Infrmer les utilisateurs de la mise en place d un tel système. Prtéger les équipements de jurnalisatin et les infrmatins jurnalisées cntre le sabtage et les accès nn autrisés. Etablir des prcédures détaillant la surveillance de l utilisatin du traitement et prcéder péridiquement à l examen des infrmatins jurnalisées. Le respnsable de traitement dit être infrmé dans les meilleurs délais des failles éventuelles de sécurité. En cas d accès frauduleux à des dnnées persnnelles, le respnsable de traitement devrait le ntifier aux persnnes cncernées. F i c h e n 8 - T R A C A B I L I T É E T G E S T I O N D E S I N C I D E N T S 10 - Crdinated Universal Time G U I D E P R AT I Q U E S É C U R I T É 22

Ce qu il ne faut pas faire Utiliser les infrmatins issues des dispsitifs de jurnalisatin à d autres fins que celles de garantir le bn usage du système infrmatique. Pur aller plus lin Les hrlges des différents systèmes de traitement de l infrmatin d un rganisme u d un dmaine de sécurité divent être synchrnisées à l aide d une surce de temps fiable et préalablement définie. Lrsque le traitement fait appel à des ressurces réseau, la synchrnisatin des surces de temps peut être réalisée par le recurs au prtcle NTP 11. Le respnsable de traitement dit se tenir infrmé des vulnérabilités techniques des systèmes et entreprendre les actins apprpriées pur traiter le risque asscié. F i c h e n 8 - T R A C A B I L I T É E T G E S T I O N D E S I N C I D E N T S 11 - Le prtcle NTP (Netwrk Time Prtcl) permet de caler l hrlge d un rdinateur sur une surce d hrdatage fiable via le réseau. 23

Fiche n 9 - Sécurité des lcaux Afin de prtéger efficacement les lcaux ù snt hébergés les traitements de dnnées persnnelles, prévir : - des alarmes afin de déceler une intrusin au sein d une zne sécurisée ; - des mesures afin de ralentir la prgressin des persnnes parvenues à s intrduire ; - des myens afin de mettre fin à l intrusin. Les précautins élémentaires Restreindre les accès aux salles u bureaux susceptibles d héberger du matériel cntenant des dnnées au myen de prtes verruillées, u de sas d accès pur les équipements les plus critiques. Installer des alarmes anti-intrusin et les vérifier péridiquement. Ce qu il ne faut pas faire Sus-dimensinner u négliger l entretien de la climatisatin des salles hébergeant les machines : une panne sur cette installatin a suvent cmme cnséquence l arrêt des machines u encre l uverture des prtes des salles et dnc la neutralisatin de fact d éléments cncurant à la sécurité physique des lcaux. F i c h e n 9 - S É C U R I T É D E S L O C A U X Pur aller plus lin Il faut prtéger les znes sécurisées par des cntrôles pur s assurer que seul le persnnel dûment habilité est admis dans ces znes. Pur ce faire, il cnvient de suivre les recmmandatins suivantes : - cncernant les znes dans lesquelles des infrmatins sensibles snt traitées u stckées, des dispsitifs d authentificatin divent être prévus. Il peut s agir de cartes d accès accmpagnées d un numér d identificatin persnnel. Un jurnal des accès intervenus lrs des tris derniers mis au plus dit être tenu à jur de façn sécurisée ; - à l intérieur des znes à accès réglementé, exiger le prt d un myen d identificatin visible (badge) pur tutes les persnnes ; - les visiteurs (persnnel en charge de l assistance technique, etc.) divent avir un accès limité. La date et l heure de leur arrivée et départ divent être cnsignées ; - Réexaminer et mettre à jur régulièrement les permissins d accès aux znes sécurisées et les supprimer si nécessaire. G U I D E P R AT I Q U E S É C U R I T É 24

Fiche n 10 - Sécurité du réseau infrmatique interne Pur tus les services réseau, il faut identifier les fnctins réseau et les niveaux de service nécessaires au bn fnctinnement du traitement et n autriser que ceux-ci. Les précautins élémentaires Limiter les flux réseau au strict nécessaire. Par exemple, si l accès à un serveur web passe bligatirement et uniquement par l utilisatin du prtcle SSL, il faut autriser uniquement les flux réseau IP entrants sur cette machine sur le prt de cmmunicatin 443 et blquer tus les autres prts de cmmunicatin. Se référer aux dcuments suivants du CERTA : - http://www.certa.ssi.guv.fr/site/certa-2006-inf-001/, pur les questins de filtrage et pare-feux ; - http://www.certa.ssi.guv.fr/site/certa-2005-rec-001/, pur la mise en œuvre de SSL. Sécuriser les accès au système d infrmatin au myen d appareils infrmatiques nmades tels que des rdinateurs prtables par la mise en place de cnnexins VPN repsant sur des algrithmes cryptgraphiques réputés frts 12 et mettant si pssible en œuvre un matériel (carte à puce, bitier générateur de mts de passe à usage unique (OTP One Time Passwrd), etc.). Recurir au chiffrement de la cmmunicatin par l usage du prtcle SSL avec une clé de 128 bits lrs de la mise en œuvre de services web. Ce qu il ne faut pas faire Utiliser le prtcle telnet pur la cnnexin à distance aux équipements actifs du réseau (pare-feu, ruteurs, switches). Il cnvient d utiliser plutôt SSH u un accès physique direct à l équipement. Installer des réseaux WiFi. Si de tels équipements divent être mis en œuvre, il est nécessaire de sécuriser les cnnexins par l usage du prtcle WPA, en chisissant le mde de chiffrement AES/CCMP. Pur plus de détails sur l accès aux réseaux sans fil, se référer aux mesures précnisées sur le site du CERTA à l adresse http://www.certa.ssi.guv.fr/site/certa-2002-rec-002/. F i c h e n 1 0 - S É C U R I T É D U R É S E A U I N F O R M A T I Q U E I N T E R N E 12 - Cf. Fiche n 17 Le chiffrement 25

Pur aller plus lin Le clisnnement réseau permet ntamment d éviter que la cmprmissin d un pste n entraîne celle de l ensemble du système. En pratique, il est recmmandé de segmenter le réseau en sus-réseaux lgiques seln les services censés y être déplyés. Un exemple d une telle architecture est représenté ci-dessus. vlan1 pste client service 1 pste client service 2 vlan2 imprimante switch vlan1 Serveurs d applicatin Service 2 Serveurs d applicatin Service 1 Unité de sauvegarde switch vlan2 Infrmatique mbile vlan3 Figure 1: Exemple d un réseau infrmatique clisnné par VLAN Pur mettre en œuvre un tel clisnnement, plusieurs méthdes snt envisageables : - la mise en place de réseaux physiques distincts : il est alrs pssible de clisnner les différents réseaux en cntrôlant les flux de dnnées sur la base des adresses réseau ; - le recurs à des réseaux virtuels, dénmmés VLAN : l bjectif de cette technlgie est de regruper certains matériels cnnectés à un équipement physique (switch) seln des critères lgiques (par exemple l appartenance à un département), dans le but de séparer les trafics réseau entre les différents grupes ainsi cnstitués. F i c h e n 1 0 - S É C U R I T É D U R É S E A U I N F O R M A T I Q U E I N T E R N E G U I D E P R AT I Q U E S É C U R I T É 26

Il est également pssible de restreindre les cnnexins autrisées en différenciant par exemple un réseau interne pur lequel aucune cnnexin venant d Internet n est autrisée, et un réseau dit DMZ (DeMilitarized Zne u zne démilitarisée en français) accessible depuis Internet. Pste client Serveurs d applicatin Réseau interne -> <- Zne accessible -> <- Internet depuis Internet (DMZ) Ruteur Pare feu (Firewall) Serveurs techniques (DHCP, DNS) Serveurs de messagerie Pare feu (Firewall) Prtail Web Mdem Figure 2: Exemple de mise en œuvre d une DMZ La mise en œuvre d une DMZ nécessite l installatin de passerelles sécurisées (pare-feux) entre les réseaux à clisnner afin de cntrôler les flux d infrmatin entrants et srtants. Des systèmes de détectin d intrusin (Intrusin Detectin Systems u IDS) peuvent être mis en place en vue d analyser le trafic réseau en temps réel, afin d y détecter tute activité suspecte évquant un scénari d attaque infrmatique. Le but de ces systèmes est de déjuer les attaques infrmatiques au plus tôt. Il cnvient de rappeler que les utilisateurs d un réseau infrmatique divent être avertis lrsqu il est prévu une analyse des cntenus transitant sur le réseau. Il peut être envisagé de mettre en place l identificatin autmatique de matériels cmme myen d authentificatin des cnnexins à partir de lieux et matériels spécifiques. Cette technique utilise par exemple les identifiants uniques des cartes réseau (l adresse MAC) afin de détecter la cnnexin d un dispsitif nn répertrié et de ruter sn trafic réseau de manière séparée. F i c h e n 1 0 - S É C U R I T É D U R É S E A U I N F O R M A T I Q U E I N T E R N E 27

Fiche n 11 - sécurite des serveurs et des applicatins Les serveurs snt les équipements les plus critiques et à ce titre, ils méritent des mesures de sécurité renfrcées. Les précautins élémentaires Changer les mts de passe par défaut par des mts de passe cmplexes devant respecter au minimum les règles suivantes : - avir une taille de 10 caractères minimum ; - utiliser des caractères de types différents (majuscules, minuscules, chiffres et caractères spéciaux) ; - changer de mt de passe ntamment lrs du départ d un des administrateurs. Installer les mises à jur critiques des systèmes d explitatin sans délai en prgrammant une vérificatin autmatique hebdmadaire. En matière d administratin de bases de dnnées: - ne pas utiliser les serveurs hébergeant les bases de dnnées à d autres fins (ntamment pur naviguer sur des sites internet, accéder à la messagerie électrnique ) ; - utiliser des cmptes nminatifs pur l accès aux bases de dnnées, sauf si une cntrainte technique l empêche ; - mettre en œuvre des mesures et/u installer des dispsitifs pur se prémunir des attaques par injectin de cde SQL, scripts ; - prévir des mesures particulières pur les bases de dnnées «sensibles» (chiffrement en base, chiffrement des sauvegardes). Assurer une cntinuité de dispnibilité des dnnées, ce qui nécessite ntamment de prendre des précautins en cas d installatin u de mises à jur de lgiciels sur les systèmes en explitatin. Mettre à jur les applicatins lrsque des failles critiques nt été identifiées et crrigées. F i c h e n 1 1 - S E C U R I T E D E S S E R V E U R S E T D E S A P P L I C A T I O N S Ce qu il ne faut pas faire Utiliser des services nn sécurisés (authentificatin en clair, flux en clair, etc ). Placer les bases de dnnées dans une zne directement accessible depuis Internet. G U I D E P R AT I Q U E S É C U R I T É 28

Pur aller plus lin Les systèmes sensibles, c est-à-dire tut système traitant de dnnées sensibles u jugées cnfidentielles pur l entreprise, divent dispser d un envirnnement infrmatique dédié (islé). S agissant des lgiciels s exécutant sur des serveurs, il est cnseillé d utiliser des utils de détectin des vulnérabilités (lgiciels scanners de vulnérabilité tels que nmap (http://nmap.rg/), nessus (http://www.nessus. rg), nikt (http://www.cirt.net/nikt2) etc.) pur les traitements les plus critiques afin de détecter d éventuelles failles de sécurité. Des systèmes de détectin et préventin des attaques sur des systèmes/serveurs critiques dénmmés Hst Intrusin Preventin peuvent aussi être utilisés. Seln la nature de l applicatin, il peut être nécessaire d assurer l intégrité des traitements par le recurs à des signatures du cde exécutable garantissant qu il n a subi aucune altératin. A cet égard, une vérificatin de signature tut au lng de l exécutin (et pas seulement avant l exécutin) rend plus difficile la cmprmissin d un prgramme. F i c h e n 1 1 - S E C U R I T E D E S S E R V E U R S E T D E S A P P L I C A T I O N S 29

Fiche n 12 - Sus-traitance Les dnnées à caractère persnnel cmmuniquées à u gérées par des sustraitants divent bénéficier de garanties de sécurité. Les précautins élémentaires Prévir dans les cntrats liant l rganisme et les sus-traitants une clause spécifique cuvrant la cnfidentialité des dnnées persnnelles cnfiées à ces derniers. Un mdèle de clause est furni ci-après. Prendre des dispsitins (audits de sécurité, visite des installatins, etc ) afin de s assurer de l effectivité des garanties ffertes par le sus-traitant en matière de prtectin des dnnées. Cela inclut ntamment : - le chiffrement des dnnées seln leur sensibilité u à défaut l existence de prcédures garantissant que la sciété de prestatin n a pas accès aux dnnées qui lui snt cnfiées ; - le chiffrement de la liaisn de dnnées (cnnexin de type https par exemple) ; - des garanties en matière de prtectin du réseau, traçabilité (jurnaux, audits), gestin des habilitatins, authentificatin, etc. Prévir les cnditins de restitutin des dnnées et de leur destructin en cas de rupture u à la fin du cntrat. F i c h e n 1 2 - S O U S - T R A I T A N C E Ce qu il ne faut pas faire Avir recurs à des services ffrant des fnctinnalités d infrmatique répartie 13 sans garantie quant à la lcalisatin gégraphique effective des dnnées. Pur aller plus lin Cncernant les dnnées de santé, il est rappelé qu un hébergeur se dit d avir un agrément délivré par le ministre de la Santé. Le référentiel de cnstitutin d un dssier est dispnible sur le site http://esante.guv.fr/. 13 - clud cmputing. G U I D E P R AT I Q U E S É C U R I T É 30

Mdèle de clauses de cnfidentialité puvant être utilisées en cas de sustraitance Les supprts infrmatiques et dcuments furnis par la sciété X à la sciété Y restent la prpriété de la sciété X. Les dnnées cntenues dans ces supprts et dcuments snt strictement cuvertes par le secret prfessinnel (article 226-13 du cde pénal), il en va de même pur tutes les dnnées dnt Y prend cnnaissance à l ccasin de l exécutin du présent cntrat. Cnfrmément à l article 34 de la li infrmatique et libertés mdifiée, Y s engage à prendre tutes précautins utiles afin de préserver la sécurité des infrmatins et ntamment d empêcher qu elles ne sient défrmées, endmmagées u cmmuniquées à des persnnes nn autrisées. Y s engage dnc à respecter les bligatins suivantes et à les faire respecter par sn persnnel : - ne prendre aucune cpie des dcuments et supprts d infrmatins qui lui snt cnfiés, à l exceptin de celles nécessaires à l exécutin de la présente prestatin prévue au cntrat, l accrd préalable du maître du fichier est nécessaire ; - ne pas utiliser les dcuments et infrmatins traités à des fins autres que celles spécifiées au présent cntrat ; - ne pas divulguer ces dcuments u infrmatins à d autres persnnes, qu il s agisse de persnnes privées u publiques, physiques u mrales ; - prendre tutes mesures permettant d éviter tute utilisatin déturnée u frauduleuse des fichiers infrmatiques en curs d exécutin du cntrat ; - prendre tutes mesures de sécurité, ntamment matérielles, pur assurer la cnservatin et l intégrité des dcuments et infrmatins traités pendant la durée du présent cntrat ; - et en fin de cntrat, à prcéder à la destructin de tus fichiers manuels u infrmatisés stckant les infrmatins saisies. A ce titre, Y ne purra sus-traiter l exécutin des prestatins à une autre sciété, ni prcéder à une cessin de marché sans l accrd préalable de X. X se réserve le drit de prcéder à tute vérificatin qui lui paraîtrait utile pur cnstater le respect des bligatins précitées par Y. En cas de nn-respect des dispsitins précitées, la respnsabilité du titulaire peut également être engagée sur la base des dispsitins des articles 226-5 et 226-17 du nuveau cde pénal. X purra prnncer la résiliatin immédiate du cntrat, sans indemnité en faveur du titulaire, en cas de vilatin du secret prfessinnel u de nn-respect des dispsitins précitées. F i c h e n 1 2 - S O U S - T R A I T A N C E 31

Fiche n 13 - L archivage On distingue habituellement tris catégries d archives : - Les bases actives u archives curantes : il s agit des dnnées d utilisatin curante par les services en charge de la mise en œuvre du traitement ; - Les archives intermédiaires : il s agit des dnnées qui ne snt plus utilisées mais qui présentent encre un intérêt administratif pur l rganisme. Les dnnées snt cnservées sur supprt distinct et snt cnsultées de manière pnctuelle et mtivée ; - Les archives définitives : il s agit des dnnées présentant un intérêt histrique, scientifique u statistique justifiant qu elles ne fassent l bjet d aucune destructin. Elles snt alrs régies par le livre II du Cde du patrimine et nn par la li «infrmatique et libertés». Les archives divent être sécurisées et chiffrées si les dnnées archivées snt des dnnées sensibles u jugées cnfidentielles par l entreprise. F i c h e n 1 3 - L A R C H I V A G E Les précautins élémentaires Mettre en œuvre des mdalités d accès spécifiques aux dnnées archivées du fait que l utilisatin d une archive dit intervenir de manière pnctuelle et exceptinnelle. Suivre les précnisatins dnnées dans la fiche n 17 - Le chiffrement, s agissant du chiffrement des archives. S agissant de la destructin des archives, chisir un mde pératire garantissant que l intégralité d une archive a été détruite. A titre d exemple, l ANSSI accrde des certificatins de premier niveau à des lgiciels pur réaliser cet bjectif (http://www.ssi.guv.fr/site_rubrique54.html). Seln la nature des supprts, n peut mentinner : - Les bryeurs et déchiqueteurs pur le papier ainsi que les supprts numériques tels que les CD et DVD ; - Les «dégausseurs» pur les unités de stckage à technlgie magnétique. Se référer au dcument Guide technique pur la cnfidentialité des infrmatins enregistrées sur les disques durs à recycler u exprter. (http://www.ssi.guv.fr/archive/fr/dcumentatin/guide_effaceur_ V1.12du040517.pdf). G U I D E P R AT I Q U E S É C U R I T É 32

Ce qu il ne faut pas faire Utiliser des supprts ne présentant pas une garantie de lngévité suffisante. A titre d exemple, n peut mentinner les CD et DVD dnt la lngévité dépasse rarement 4/5 années. Pur aller plus lin Plus d infrmatins sur les prblématiques d archivage snt dispnibles sur le site des archives de France : http://www.archivesdefrance.culture.guv.fr/ gerer/archives-electrniques/. F i c h e n 1 3 - L A R C H I V A G E 33

Fiche n 14 - L échange d infrmatins avec d autres rganismes la cmmunicatin de dnnées à caractère persnnel dit être sécurisée, c està-dire que la cnfidentialité, l intégrité et l authenticité des infrmatins divent être assurées. La messagerie électrnique et le fax, même s ils apprtent un gain de temps, ne cnstituent pas a priri un myen de cmmunicatin sûr pur transmettre des dnnées persnnelles. Une simple erreur de manipulatin (e-mail errné, erreur de numértatin du fax destinataire ) peut cnduire à divulguer à des destinataires nn habilités des infrmatins persnnelles et à prter ainsi atteinte au drit à la vie privée des persnnes. En utre la transmissin via Internet de dnnées nminatives cmprte, cmpte tenu de l absence générale de cnfidentialité du réseau Internet, des risques imprtants de divulgatin de ces dnnées et d intrusin dans les systèmes infrmatiques internes. Les précautins élémentaires Cncernant la cnfidentialité de la cmmunicatin : - Chiffrer les dnnées avant leur enregistrement sur le supprt lrsque la transmissin de dnnées s effectue par l envi d un supprt physique (à technlgie ptique u magnétique). - Lrs d un envi via un réseau : - si cette transmissin utilise la messagerie électrnique, chiffrer les pièces à transmettre. A ce sujet, il cnvient de se référer aux précnisatins de la fiche n 17 Le chiffrement ; - s il s agit d un transfert de fichiers, utiliser un prtcle garantissant la cnfidentialité, tel que SFTP ; - si cette transmissin utilise le prtcle HTTP, utiliser le prtcle SSL (HTTPS) pur assurer l authentificatin des serveurs la cnfidentialité des cmmunicatins. Dans tus les cas, la transmissin du secret (clé de déchiffrement, mt de passe, etc.) garantissant la cnfidentialité du transfert dit s effectuer dans une transmissin distincte, si pssible via un canal de nature différente de celui ayant servi à la transmissin des dnnées (par exemple, envi du fichier chiffré par mail et cmmunicatin du mt de passe par téléphne u SMS). F i c h e n 1 4 - L E C H A N G E D I N F O R M A T I O N S A V E C D A U T R E S O R G A N I S M E S G U I D E P R AT I Q U E S É C U R I T É 34

Si vus êtes amené à utiliser le fax, il est recmmandé de mettre en place les mesures suivantes : - le fax dit être situé dans un lcal physiquement cntrôlé et accessible uniquement au persnnel habilité ; - l impressin des messages dit être subrdnnée à l intrductin d un cde d accès persnnel ; - lrs de l émissin des messages, le fax dit afficher l identité du fax destinataire afin d être assuré de l identité du destinataire ; - dubler l envi par fax d un envi des dcuments riginaux au destinataire ; - préenregistrer dans le carnet d adresse des fax (si cette fnctinnalité existe) les destinataires ptentiels. Ce qu il ne faut pas faire Transmettre des fichiers cntenant des dnnées persnnelles en clair via des messageries web du type Gmail u Htmail. Pur aller plus lin Cncernant l intégrité des dnnées : il est recmmandé de calculer une empreinte sur les dnnées en clair et de transmettre cette empreinte afin que l intégrité des dnnées sit vérifiée au mment de leur réceptin. Les calculs d empreintes peuvent être réalisés à l aide d algrithmes de hachage tels que SHA-1 u SHA-2. L utilisatin de SHA-2 est recmmandée. Cncernant l authenticité des dnnées : l émetteur peut signer les dnnées avant leur envi afin de garantir qu il est à l rigine de la transmissin. Une signature électrnique requiert la mise en place d une infrastructure de gestin de clés publiques 14 (en anglais Public Key Infrastructure, PKI) ; l utilisatin d algrithmes à clés publiques, lrsque les différents acteurs nt mis en place une infrastructure de gestin de clés publiques, apparaît particulièrement adaptée pur garantir la cnfidentialité et l intégrité des cmmunicatins, ainsi que l authenticité de l émetteur par l utilisatin de la signature l électrnique. F i c h e n 1 4 - L E C H A N G E D I N F O R M A T I O N S A V E C D A U T R E S O R G A N I S M E S 14 - Sur la ntin de clé publique, vir la fiche n 17 Le chiffrement 35

Une telle infrastructure cnsiste à délivrer une paire de clés privée/publique à l ensemble des persnnes susceptibles d échanger des infrmatins. Les clés publiques divent être certifiées par une autrité de certificatin pur laquelle chacun des utilisateurs à le certificat 15 racine, ceci afin que l authenticité des clés publiques sient garanties. Les algrithmes mis en œuvre dans le cadre de cette infrastructure divent suivre les précnisatins de l annexe B1 du Référentiel Général de Sécurité 16. Ce référentiel précise ntamment les lngueurs de clé à cnsidérer. À la date de rédactin de ce dcument, il est par exemple précnisé que : - La taille minimale d une clé RSA sit de 2048 bits, pur une utilisatin ne devant pas dépasser l année 2020 ; - Pur une utilisatin au-delà de 2020, la taille minimale de la clé RSA est de 4096 bits. Ces valeurs snt dnnées à titre indicatif, et snt dépendantes du cntexte prpre à chaque traitement. Dès lrs que les dnnées nt été reçues, que leur intégrité a été vérifiée par le destinataire et qu elles nt été intégrées dans le système d infrmatin, il est cnseillé de détruire les supprts u fichiers ayant servi à leur transmissin. F i c h e n 1 4 - L E C H A N G E D I N F O R M A T I O N S A V E C D A U T R E S O R G A N I S M E S 15 - Un certificat est cnstitué : 1.d une valeur de clé publique 2. d infrmatins cmplémentaires permettant d identifier le prpriétaire de la clé (adresse email, nm ) 3. d une signature par une clé publique d une autrité de certificatin sur l ensemble de ces infrmatins. 16 - http://www.references.mdernisatin.guv.fr/rgs-securite G U I D E P R AT I Q U E S É C U R I T É 36

Fiche n 15 - Les dévelppements infrmatiques la prtectin des dnnées à caractère persnnel dit être partie intégrante du dévelppement infrmatique afin d empêcher tute erreur, perte, mdificatin nn autrisée, u tut mauvais usage de celles-ci dans les applicatins. Les précautins élémentaires Effectuer le dévelppement infrmatique dans un envirnnement infrmatique distinct de celui de la prductin (par exemple, sur des rdinateurs différents, dans des salles machines différentes). Prendre en cmpte les exigences de sécurité vis-à-vis des dnnées à caractère persnnel dès l élabratin du service u dès la cnceptin de l applicatin. Ce qu il ne faut pas faire Utiliser des dnnées à caractère persnnel réelles pur les phases de dévelppement et de test. Si des dnnées réelles snt néanmins requises, il cnvient que celles-ci sient annymisées (cf fiche n 16 L annymisatin) Pur aller plus lin Le dévelppement dit impser des frmats de saisie et d enregistrement des dnnées qui minimisent les dnnées cllectées. Par exemple, s il s agit de cllecter l année de naissance d une persnne, le champ du frmulaire crrespndant ne dit pas permettre la saisie du mis et du jur de naissance. Cela peut se traduire ntamment par la mise en œuvre d un menu dérulant limitant les chix pur un champ d un frmulaire. Les frmats de dnnées divent être cmpatibles avec la mise en œuvre d une durée de cnservatin. Le cntrôle d accès aux dnnées par des catégries d utilisateurs dit être intégré au mment du dévelppement. Eviter le recurs à des znes de texte libre. Si de telles znes snt requises, il faut faire apparaître sit en filigrane, sit cmme texte pré-rempli s effaçant sitôt que l utilisateur décide d écrire dans la zne, les mentins suivantes : Les persnnes dispsent d un drit d accès aux infrmatins cntenues dans cette zne de texte. Les infrmatins que vus y inscrivez divent être PERTINENTES au regard du cntexte. Elles ne divent pas cmprter d appréciatin subjective, ni faire apparaître, directement u indirectement les rigines raciales, les pinins plitiques, philsphiques u religieuses, les appartenances syndicales u les mœurs de la persnne cncernée. F i c h e n 1 5 - L E S D E V E L O P P E M E N T S I N F O R M A T I Q U E S 37

Fiche n 16 - L annymisatin On distingue les cncepts d annymisatin irréversible et d annymisatin réversible, cette dernière étant parfis dénmmée pseudnymisatin. L annymisatin irréversible cnsiste à supprimer tut caractère identifiant à un ensemble de dnnées. Cncrètement, cela signifie que tutes les infrmatins directement et indirectement identifiantes snt supprimées et à rendre impssible tute ré-identificatin des persnnes. L annymisatin réversible est une technique qui cnsiste à remplacer un identifiant (u plus généralement des dnnées à caractère persnnel) par un pseudnyme. Cette technique permet la levée de l annymat u l étude de crrélatins en cas de besin. Les précautins élémentaires Etre très vigilant dans la mesure ù une ré-identificatin peut intervenir à partir d infrmatins partielles 17. Annymiser une dnnée persnnelle en prcédant cmme suit : - générer un secret suffisamment lng et difficile à mémriser 18 ; - appliquer une fnctin dite à sens unique sur les dnnées : un algrithme cnvenant pur une telle pératin est un algrithme de hachage à clé secrète, tel que l algrithme HMAC 19 basé sur SHA-1. Si une dnnée persnnelle est annymisée et nn purement supprimée, il existe un risque de ré-identificatin 20. - En l absence d un besin de levée de l annymat, prévir de supprimer le secret afin de réduire ce risque. - Dans l hypthèse ù le secret dit être cnservé pur une éventuelle levée de l annymisatin u une finalité de crrélatin entre différentes dnnées, prévir de mettre en place des mesures rganisatinnelles 21 pur garantir la cnfidentialité de ce secret. Les accès à celui-ci divent être tracés. F i c h e n 1 6 - L A N O N Y M I S A T I O N 17 - A titre d exemple, la ville et la date de naissance peuvent parfis suffire à identifier frmellement une persnne. 18 - Un exemple de chaine de caractères ayant valeur de secret est : f{rxan?ci$ipck Bb-aQWH6ud0;#Qt. 19 - HMAC est spécifié dans le dcument RFC 2104, http://www.ietf.rg/rfc/rfc2104.txt 20 - Il est pssible d asscier la dnnée riginale à la dnnée annymisée dès lrs que le secret est cmprmis et que la cmplexité de la dnnée riginale n est pas suffisante. Les dnnées persnnelles pssèdent suvent une cmplexité, autrement dit une entrpie insuffisante. Par exemple, les patrnymes français snt en nmbre limité (inférieur à 1,5 millins), tus répertriés. 21 - Un exemple de telle mesure cnsiste à partager la clé en tris paires de valeurs cnfiées à tris persnnes différentes, nécessitant qu au mins deux persnnes se réunissent pur recnstituer la clé. G U I D E P R AT I Q U E S É C U R I T É 38

Ce qu il ne faut pas faire Utiliser des mécanismes d annymisatin nn validés par des experts. Un bn algrithme d annymisatin dit ntamment : - être irréversible ; - avir un très faible taux de cllisin : deux dnnées différentes ne divent pas mener à un même résultat ; - avir une grande dispersin : deux dnnées quasi-semblables divent avir des résultats très différents ; - puvir mettre en œuvre une clé secrète. F i c h e n 1 6 - L A N O N Y M I S A T I O N Pur aller plus lin Dans certains cas, il est cnseillé d appliquer une duble annymisatin réversible : sit l applicatin d une secnde annymisatin sur le résultat d une première annymisatin. Ces deux annymisatins divent utiliser des secrets différents, détenus par des rganismes distincts. L algrithme FOIN (Fnctin d Occultatin des Infrmatins Nminatives) est un exemple d algrithme à duble annymisatin. 39

Fiche n 17 - Le chiffrement le chiffrement, parfis imprprement appelé cryptage, est un prcédé cryptgraphique permettant de garantir la cnfidentialité d une infrmatin. Les mécanismes cryptgraphiques permettent également d assurer l intégrité d une infrmatin, ainsi que l authenticité d un message en le signant. On distingue deux familles cryptgraphiques permettant de chiffrer : la cryptgraphie symétrique et la cryptgraphie asymétrique : - la cryptgraphie symétrique cmprend les mécanismes pur lesquels la même clé sert à chiffrer et à déchiffrer ; - la cryptgraphie asymétrique cmprend les mécanismes pur lesquels la clé servant à chiffrer, appelée clé publique, est différente de la clé servant à déchiffrer, appelée clé privée. On parle de paire de clés. L intérêt de la cryptgraphie asymétrique est multiple : - Chaque persnne n a besin que d une paire de clés privée/publique. A cntrari, la cryptgraphie symétrique nécessite d avir autant de clés différentes que de cuples de persnnes qui veulent cmmuniquer cnfidentiellement ; - Les clés publiques peuvent être rendues publiques pur quicnque suhaitant vus envyer un message cnfidentiel. Tutefis l authenticité des clés publiques n est ainsi pas garantie. Aussi la mise en œuvre de la cryptgraphie asymétrique dans le cadre d échanges de messages s inscrit le plus suvent dans la mise en place d une Infrastructure de Gestin de Clés Publiques 22 ; L échange d infrmatins de manière cnfidentielle entre deux parties A et B s effectue cmme suit : Chiffrement au myen de la cryptgraphie symétrique : F i c h e n 1 7 - L e C H I F F R E M E N T A Transmissin via un canal sécurisé B Clé Clé Dnnée en clair Chiffrement Dnnée chiffrée Transmissin via un canal nn sécurisé Dnnée chiffrée Déchiffrement Dnnée en Clair 22 - Vir la fiche n 14 L échange d infrmatins avec d autres rganismes G U I D E P R AT I Q U E S É C U R I T É 40

Chiffrement au myen de la cryptgraphie asymétrique : A Clé publique de B (KpubB) Dnnée en clair Chiffrement Dnnée chiffrée Si l échange de la clé publique a lieu via un canal nn sécurisé, il faut que leur authenticité sit garantie 22 Signature au myen de la cryptgraphie asymétrique : Du fait que la clé privée n est détenue que par une persnne, la cryptgraphie asymétrique permet de garantir l imputabilité d un message en le signant à l aide sa clé privée. Ce que la cryptgraphie ne permet pas du fait du partage de la clé entre deux parties. B Clé publique de B (KpubB) Clé privée de B (KprivB) Transmissin via un canal nn sécurisé Dnnée chiffrée Déchiffrement Dnnée en Clair F i c h e n 1 7 - L e C H I F F R E M E N T Clé privée de A (KprivA) A Clé publique de A (KpubA) Si l échange de la clé publique a lieu via un canal nn sécurisé, il faut que leur authenticité sit garantie 22 B Clé publique de A (KpubA) Empreinte Chiffrement Signature Transmissin via un canal nn sécurisé Dnnée chiffrée Déchiffrement Empreinte Calcul de l empreinte Vérificatin Dnnée en clair Dnnée en clair Calcul de l empreinte Empreinte Les précautins élémentaires Cncernant le chiffrement symétrique : - utiliser des algrithmes à l état de l art, tels que l AES u le triple DES ; - utiliser des clés cryptgraphiques de lngueur au mins égale à 128 u 256 bits et qui ne sient pas des clés faibles 23. En utre, la génératin des clés dit se faire au myen de lgiciels épruvés, par exemple penssl 24. 22 - Vir la fiche n 14 L échange d infrmatins avec d autres rganismes 23 - Un exemple de clé faible est la clé nulle :00000000000000000000000000000000 24 - http://www.penssl.rg/ 41

Cncernant le chiffrement asymétrique : - Utiliser des algrithmes épruvés, tels que le RSA u l ECC ; - Cncernant la lngueur des clés, il cnvient de suivre les précnisatins dnnées en annexe B1 du Référentiel Général de Sécurité 25. En utre, la génératin des clés dit se faire au myen de lgiciels épruvés, par exemple penssl 24. Ce qu il ne faut pas faire Utiliser l algrithme simple DES, algrithme cnsidéré cmme bslète. Utiliser des lgiciels u des librairies cryptgraphiques n ayant pas fait l bjet de vérificatins par des tierces parties à l expertise avérée. Pur aller plus lin Le chiffrement de dcuments peut être réalisé au myen de différents lgiciels, dnt ntamment : F i c h e n 1 7 - L e C H I F F R E M E N T - le lgiciel TrueCrypt 26, permettant la mise en œuvre de cnteneurs 27 chiffrés ; - le lgiciel Gnu Privacy Guard, permettant la mise en œuvre de la cryptgraphie asymétrique et dnt une versin est dispnible à l adresse http://www.gnupg.rg/index.fr.html. Il est suggéré de chisir des clés PGP DSA/ElGamal ayant au minimum une taille de 1536 bits, u des clés RSA d une taille minimale de 2048 bits ; - à défaut, il peut être envisagé d utiliser un utilitaire de cmpressin tel que ceux basés sur l algrithme ZIP, dès lrs qu ils permettent le chiffrement à l aide d un mt de passe. C est le cas ntamment du lgiciel 7-Zip. 24 - http://www.penssl.rg/ 25 - Cf http://www.references.mdernisatin.guv.fr/rgs-securite 26 - Il cnvient d utiliser la versin 6.0a qui bénéficie d une certificatin de premier niveau par l ANSSI. 27 - Par cnteneur, il faut cmprendre un fichier susceptible de cntenir plusieurs fichiers. G U I D E P R AT I Q U E S É C U R I T É 42

Acrnymes AES : Advanced Encryptin Standard, un algrithme cryptgraphique symétrique cnsidéré cmme une référence. DES : Data Encryptin Standard, un algrithme cryptgraphique symétrique cnsidéré cmme dépassé. DHCP : Dynamic Hst Cnfiguratin Prtcl, un prtcle permettant la cnfiguratin dynamique des paramètres réseau d une machine (y cmpris l attributin de sn adresse IP). DNS : Dmain Name Server, Serveur de nm de dmaine, Ces serveurs fnt ntamment la crrespndance entre un nm de machine, par exemple www.cnil.fr, et une adresse IP, en l ccurrence 94.247.233.54. DSA : Digital Signature Algrithm, un algrithme cryptgraphique de signature. EBIOS : Une méthdlgie d évaluatin des risques relatifs à la sécurité des Systèmes d Infrmatin. ECC : Elliptic Curve Cryptgraphy, cryptgraphie basée sur les curbes elliptiques. HMAC : une fnctin de hachage permettant de garantir l authenticité d un message HTTP : HyperText Transfer Prtcl, le prtcle du web. HTTPS : HTTP sécurisé par SSL. MAC : Medium Access Cntrl, l adresse MAC est un identifiant unique de chaque interface réseau. RAID : Redundant Array f Independent Disks, désigne une technlgie permettant de stcker des dnnées sur plusieurs disques durs afin d amélirer la tlérance aux pannes. RSA : Un algrithme de cryptgraphie asymétrique, du nm de ses tris cncepteurs Rivest, Shamir et Adelman. SFTP : un prtcle de cmmunicatin fnctinnant au-dessus de SSH pur transférer et gérer des fichiers à distance. SHA : Secure Hash Algrithm, une famille de fnctins de hachage standardisées (SHA-1, SHA256, etc.). SI : Système d Infrmatin. SQL : Structure Query Language, le prtcle servant à interrger u manipuler des bases de dnnées. SSH : Secure SHell, un prtcle sécurisé de cnnexin à distance en mde cnsle. SSL : Secure Scket Layer, un prtcle qui permet ntamment de sécuriser le trafic HTTPS. VNC : Virtual Netwrk Cmputer, un prtcle permettant la prise de cntrôle à distance d un pste de travail. VPN : Virtual Private Netwrk, un canal de cmmunicatin qui garantit la cnfidentialité des échanges. a c r n y m e s 43

Annexe 1 - Menaces infrmatiques liste des menaces ciblant les systèmes infrmatiques et les fichiers à cnsidérer en pririté : pur les matériels : - déturnement de l usage prévu (stckage de fichiers persnnels sur l rdinateur de bureau, stckage de dcuments sensibles sur une clé USB nn prévue à cet effet ) ; - espinnage (bservatin d un écran à l insu de sn utilisateur, gélcalisatin d un téléphne ) ; - dépassement des limites de fnctinnement (panne de curant, température excessive d une salle serveur, unité de stckage pleine ) ; - détériratin (inndatin u incendie d une salle serveur, dégradatin du fait de l usure naturelle, vandalisme ) ; - mdificatin (ajut de périphérique, webcam, keylgger 28 ) ; - disparitin (vl, perte, cessin u mise au rebut d un rdinateur ). pur les lgiciels : - déturnement de l usage prévu (élévatin de privilèges, fuille de cntenu, effacement de traces ) ; - analyse (balayage d adresses réseaux, cllecte de dnnées de cnfiguratin ) ; - dépassement des limites de fnctinnement (injectin de dnnées en dehrs des valeurs prévues, débrdement de tampn ) ; - suppressin ttale u partielle (bmbe lgique, effacement de cde ) ; - mdificatin (cntagin par un cde malveillant, manipulatin inpprtune lrs d une mise à jur ) ; - disparitin (cessin d un lgiciel dévelppé en interne, nn renuvellement de licence ). pur les canaux de cmmunicatin : - écute passive (écute sur un câble réseau, interceptin ) ; - saturatin (explitatin distante d un réseau wifi, téléchargement nn autrisé, assurdissement de signal ) ; - dégradatin (sectinnement de câblage, trsin de fibre ptique ) ; - mdificatin (changement d un câble par un autre inapprprié, mdificatin de chemin de câble ), - disparitin (vl de câbles en cuivre ) ; - attaque du milieu (man in the middle, rejeu/réémissin d un flux ). pur les supprts papier : - déturnement de l usage prévu (falsificatin, effacement, utilisatin du vers d impressins papier en tant que bruillns ) ; - espinnage (lecture, phtcpie u phtgraphie de dcuments ) ; - détériratin (vieillissement naturel, crrsin chimique, dégradatin vlntaire, embrasement lrs d un incendie ) ; - disparitin (vl de dcuments, revente, perte, prêt, mise au rebut ). A N N E X E 28 - Dispsitif d enregistrement des frappes du clavier. G U I D E P R AT I Q U E S É C U R I T É 44

Une difficulté? Une hésitatin? Plus d infrmatins sur le site de la CNIL www.cnil.fr, Une permanence de renseignements juridiques par téléphne est assurée tus les jurs de 10h à 12h et de 14h à 16h au 01 53 73 22 22 Vus puvez en utre adresser tute demande par télécpie au 01 53 73 22 00

Evaluez le niveau de sécurité des dnnées persnnelles dans vtre rganisme Avez-vus pensé à? Fiche 1 Analyser les risques 2 Authentifier les utilisateurs 3 4 5 6 Gérer les habilitatins & sensibiliser les utilisateurs Sécuriser les pstes de travail Sécuriser l infrmatique mbile Sauvegarder et prévir la cntinuité d activité 7 Encadrer la maintenance 8 Tracer les accès et gérer les incidents 9 Prtéger les lcaux 10 11 Prtéger le réseau infrmatique interne Sécuriser les serveurs et les applicatins 12 Gérer la sus-traitance 13 Archiver 14 Sécuriser les échanges avec d autres rganismes Mesure Recensez les fichiers et dnnées à caractère persnnel et les traitements Déterminez les menaces et leurs impacts sur la vie privée des persnnes Mettez en œuvre des mesures de sécurité adaptées aux menaces Définissez un identifiant (lgin) unique à chaque utilisateur Adptez une plitique de mt de passe utilisateur rigureuse Obligez l utilisateur à changer sn mt de passe après réinitialisatin Définissez des prfils d habilitatin Supprimez les permissins d accès bslètes Dcumentez les prcédures d explitatin Rédigez une charte infrmatique et annexez-la au règlement intérieur Limitez le nmbre de tentatives d accès à un cmpte Installez un «pare-feu» (firewall) lgiciel Utilisez des antivirus régulièrement mis à jur Prévyez une prcédure de verruillage autmatique de sessin Prévyez des myens de chiffrement pur les rdinateurs prtables et les unités de stckage amvibles (clés USB, CD, DVD ) Effectuez des sauvegardes régulières Stckez les supprts de sauvegarde dans un endrit sûr Prévyez des myens de sécurité pur le cnvyage des sauvegardes Prévyez et testez régulièrement la cntinuité d activité Enregistrez les interventins de maintenance dans une main curante Effacez les dnnées de tut matériel avant sa mise au rebut Recueillez l accrd de l utilisateur avant tute interventin sur sn pste Prévyez un système de jurnalisatin Infrmez les utilisateurs de la mise en place du système de jurnalisatin Prtégez les équipements de jurnalisatin et les infrmatins jurnalisées Ntifiez les persnnes cncernées des accès frauduleux à leurs dnnées Restreignez les accès aux lcaux au myen de prtes verruillées Installez des alarmes anti-intrusin et vérifiez-les péridiquement Limitez les flux réseau au strict nécessaire Sécurisez les accès distants des appareils infrmatiques nmades par VPN Utilisez le prtcle SSL avec une clé de 128 bits pur les services web Mettez en œuvre le prtcle WPA - AES/CCMP pur les réseaux WiFi Adptez une plitique de mt de passe administrateur rigureuse Installez sans délai les mises à jur critiques Assurez une dispnibilité des dnnées Prévyez une clause spécifique dans les cntrats des sus-traitants Assurez-vus de l effectivité des garanties prévues (audits de sécurité, visites...) Prévyez les cnditins de restitutin et de destructin des dnnées Mettez en œuvre des mdalités d accès spécifiques aux dnnées archivées Détruisez les archives bslètes de manière sécurisée Chiffrez les dnnées avant leur envi Assurez-vus qu il s agit du bn destinataire Transmettez le secret lrs d un envi distinct et via un canal différent