Politque de sécurité des systèmes d information



Documents pareils
Syndicat Intercommunal de Gestion Informatique Edition n 4 Juin 2008 Innovation, création, sensibilisation et services à la une SIGIday

Politique de sécurité de l information

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES

CHARTE INFORMATIQUE LGL

Politique de sécurité de l actif informationnel

Stratégie nationale en matière de cyber sécurité

Conditions Générales d Utilisation de l Espace adhérent

Qu est-ce qu un système d Information? 1

Des passionnés et des curieux avec un regard avisé et exigeant sur :

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

CHARTE D HEBERGEMENT DES SITES INTERNET SUR LA PLATE-FORME DE L ACADEMIE DE STRASBOURG

SOMMAIRE DU RAPPORT ANNUEL 2013 DU VÉRIFICATEUR GÉNÉRAL

s é c u r i t é Conférence animée par Christophe Blanchot

Date: Conditions générales de vente Création de site internet

Management de la sécurité des technologies de l information

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

L analyse de risques avec MEHARI

La sécurité des systèmes d information

Règlement relatif à l utilisation des ressources informatiques et de télécommunication

A.E.C. - Gestion des Applications, TI LEA.BW

Conditions d'utilisation de la plateforme Défi papiers

16 Mise en place et exploitation de la base de données économiques et sociales

27 mars Sécurité ECNi. Présentation de la démarche sécurité

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

MAÎTRISEZ VOTRE PATRIMOINE

Réglement intérieur. Supélec Rézo

CONDITIONS GÉNÉRALES D UTILISATION

PARTENAIRE COMMERCIAL DE MSD CODE DE CONDUITE

CONDITIONS GENERALES DE VENTE

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR

CONDITIONS PARTICULIÈRES SERVICE CDN WEBSITE Version en date du 10/10/2013

La sécurité IT - Une précaution vitale pour votre entreprise

SÉCURITÉ, BANQUE ET ENTREPRISES. Prévention des risques de fraudes

Conditions Générale de «Prestations de services»

VIEW. Dudelange, en plein dans le mille. Dudelange - En plein dans le mille avec SIGILive page 03

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

La responsabilité juridique des soignants

Les Infrastructures critiques face au risque cybernétique. Par M. Ahmed Ghazali Président de la Haute Autorité de la Communication Audiovisuelle

Malveillances Téléphoniques

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

INSTRUCTION GÉNÉRALE INTERMINISTÉRIELLE N 1300 SUR LA PROTECTION DU SECRET DE LA DÉFENSE NATIONALE

Elections simultanées du 25 mai Circulaire concernant la désignation des membres de bureaux électoraux.

INDICATIONS DE CORRECTION

Réponses aux questions de la page 2 du questionnaire RESPONS sur la responsabilité sociale des cadres

Prestataires de services

Décrets, arrêtés, circulaires

Protection des infrastructures critiques vitales contre les cyber-attaques. Vers une culture de sécurité

CHARTE INFORMATIQUE. Usage de ressources informatiques et de service Internet

La gestion des risques en entreprise de nouvelles dimensions

AZ A^kgZi Yj 8^idnZc

N'imprimez ce document que si nécessaire. Protégez l'environnement. Principes de Conduite ÉTHIQUE. des affaires. SPIE, l ambition partagée

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

politique de la France en matière de cybersécurité

Serveur Hôte : Serveur physique configuré et administré par GROUPE PULSEHEBERG.

LA RESPONSABILITE PROFESSIONNELLE DE L INFIRMIER(E) Laurence VENCHIARUTTI, Infirmière Libérale, Expert infirmier, Nantes

DELIBERATION N DU 25 MARS 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

Conditions générales d utilisation

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Loi institutant un Médiateur de la République du Sénégal

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

Attention, menace : le Trojan Bancaire Trojan.Carberp!

Conditions d usage du service. «MS Dynamics CRM On Demand» V1.4

Sécurité nucléaire. Résolution adoptée le 26 septembre 2014, à la neuvième séance plénière

Gestion des cyber-risques

Observatoire des Fonctions Publiques Africaines (OFPA)

Panorama général des normes et outils d audit. François VERGEZ AFAI

GESTION DE RISQUES Août 2007

Opérations entre apparentés

Votre numéro d assurance sociale : une responsabilité partagée!

Politique et Standards Santé, Sécurité et Environnement

Dispositions relatives aux services bancaires en ligne valables dès le 1er janvier 2013

Michel TCHONANG LINZE Coordonnateur Région Afrique Centrale ACSIS - CAPDA capdasiege@gmail.com

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

CHARTE WIFI ET INTERNET

Comment sensibiliser ses collaborateurs à la e- réputation de son entreprise? Netexplo 04 décembre 2012

Toute utilisation du site doit respecter les présentes conditions d utilisation.

DELIBERATION N DU 28 JUILLET 2014 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

CHARTE D ÉTHIQUE PROFESSIONNELLE DU GROUPE AFD

Conditions générales d utilisation du portail web de FranceAgriMer et de ses e-services (téléservices)

CONDITIONS PARTICULIÈRES FINANCEMENT DU PROJET ARTICLE

I La conservation des dossiers médicaux répond à un triple intérêt :

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

L impact d un incident de sécurité pour le citoyen et l entreprise

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES*

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD

Sécurité informatique: introduction

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

SYNTHÈSE HISTORIQUE VÉCU DE L'AAR PARTIE 2

Le Département remet à tous les collégiens un ordinateur portable. ORDIVAL. d emploi. mode PARENTS

COMMISSION D ACCÈS À L INFORMATION

CHARTE D UTILISATION DU SITE

Sécurité des systèmes informatiques Introduction

Conditions Générales de Vente Internet. 7, rue Alfred Kastler CAEN. informatiquetélécominternet

Solutions de sécurité des données Websense. Sécurité des données

Cinzia Grassi, Loredana Ceccacci, Anna Elisa D Agostino Observatoire pour le contraste de la pédophilie et de la pornographie enfantine

Transcription:

Syndicat Intercommunal de Gestion Informatique www.sigi.lu Edition n 3 Avril 2008 Politque de sécurité des systèmes d information

01 SIGIedito Editorial Le Ministère de l Économie et du Commerce extérieur synchronise ses efforts de sensibilisation et de prévention dans le domaine de la sécurité de l information avec le Sigi pour pouvoir faire profiter pleinement les communes ainsi que les citoyens des potentialités offertes par la société de l information. Jeannot Krecké Ministre de l Économie et du Commerce extérieur Ministre des Sports Tout comme le gouvernement, les communes, à travers le SIGI, investissent activement depuis un certain temps dans la modernisation de leurs services ainsi que dans la mise à disposition de ces services sur Internet. De cette modernisation résulte le besoin de gérer des grands volumes de données sensibles, souvent à caractère personnel, ce qui impose un haut niveau de sécurité. Un management consciencieux de la sécurité, fondé sur les standards modernes, s impose afin de pouvoir garantir le niveau de confidentialité, d intégrité et de disponibilité dont tant les citoyens que les communes ont besoin. L enjeu de la confiance, la responsabilité du mandat, la volonté, mais aussi la nécessité de constamment améliorer la qualité de service et d augmenter la panoplie des services offerts suggère l adoption d une démarche commune dans le domaine de la sécurité de l information. Même si la qualité des systèmes d information du SIGI, mais également ceux des communes ne sont pas à remettre en cause, ils demeurent néanmoins exposés et potentiellement vulnérables aux attaques informatiques toujours plus nombreuses et plus sophistiquées. Ainsi, au niveau mondial, les incidents de sécurité ayant pu conduire à la divulgation, la corruption ou la perte pure et simple de données sensibles, ont connu ces dernières années une progression exponentielle. Les conséquences directes de ces incidents peuvent être évaluées en termes de coûts financiers ou d heures de travail perdues, mais également en termes de perte d image et de perte de confiance de la part des clients. Je me félicite donc de pouvoir annoncer la collaboration entre la structure CASES du Ministère de l Economie et du Commerce extérieur et les services du SIGI et bien-sûr ceux des communes. Forts de nos compétences, de notre savoir-faire, nous pourrons rallier nos forces pour élaborer et déployer des bonnes pratiques et mettre en place des systèmes de management de la sécurité, basés sur les standards tels que l ISO/IEC 27001. Jeannot Krecké SIGIindex 01 SIGIedito Editorial 02 SIGIapproved Construisons l avenir ensemble Politique de sécurité des systèmes d information Textes on page 1: Le Monde (21 novembre 2007), The Times (November 21, 2007). Illustrations on page 3, 4 and 5: Tom Nulens. Photos credits on page 2: SIP. Photos credits on page 3 and 4: Claudine Bosseler. Photos credits on page 7 and 8: René Mansi. Layout: Niche Guardian 2008. 05 SIGIflash «A César ce qui appartient à César» 06 SIGIsecurity La sécurité, une des pierres angulaires du Datacenter

02 SIGIapproved Construisons l avenir ensemble Le SIGI et la structure CASES du Ministère de l Economie et du Commerce extérieur s unissent pour une alliance solide de compétences complémentaires. Les diverses fusions dans le processus de modernisation ont entraîné une redéfinition complète de la sécurité. Face aux problèmes de l espionnage industriel et des intérêts divergeant des différents états, on se sent rapidement vulnérable, même avec les meilleurs spécialistes à ses côtés. C est pourquoi l initiative du ministère de l économie revêt une telle importance pour notre pays. La sécurité dépend davantage de notre comportement que de la technologie mise en place, car bon nombre d intrusions sont le fait de personnes astucieuses, qu on ne peut contrer qu avec professionnalisme et organisation. J attends de notre collaboration avec le ministère de l économie d aboutir à une meilleure protection des données de nos concitoyens. L initiative est d autant plus importante qu il y a des organismes publics connectés On peut en effet parler de symbiose! Carlo Gambucci Carlo Gambucci (gauche) Attaché de Direction SIGI François Thill (droite) Direction du commerce électronique et de la sécurité informatique Ministère de l Économie Politique de sécurité des systèmes d information Une nécessité pour toute administration communale responsable, qui traite en bon père de famille les données personnelles de ses citoyens. Chaque jour, au sein de toute administration communale, quantité d informations sont traitées, stockées, échangées et partagées. Parmi celles-ci, une grande majorité sont des données à caractère personnel sur les administrés et le personnel: nom, prénom, adresse, état civil, profession, numéros de carte d identité et de comptes bancaires, etc. Ces informations, de par leur «nature», sont susceptibles de porter atteinte aux droits et aux libertés des personnes concernées. Nous devons être certains que tout est mis en œuvre pour assurer la protection de ces données. Depuis les années 80, l avènement des nouvelles technologies de l information et de la communication (NTIC) - laptop, Blackberry, Wi-Fi, etc. ajouté au taux de pénétration de l internet toujours plus élevé, a profondément changé la donne en matière de sécurité des systèmes d information (SSI). Cette évolution technologique frénétique remet en cause les stratégies traditionnelles de défense. À l heure actuelle, le système d information (SI) est indispensable à la pérennité de tout organisme. Les informations, une valeur à protéger Bien que les informations à caractère personnel soient immatérielles, elles sont précieuses et, à ce titre, doivent être protégées. Le traitement de ce type de données est régi par la loi modifiée du 2 août 2002 relative à la protection des personnes à l égard du traitement des données à caractère personnel, dont l objectif est de protéger la vie privée des personnes physiques.

03 Les quatre «pierres angulaires» de la sécurité des systèmes d information (SSI) On considère que l information ne court aucun danger si l on respecte quatre principes, souvent nommés les «pierres angulaires» de la SSI: Confidentialité: garantie que seules les personnes autorisées aient accès aux informations. Disponibilité: garantie qu une information (ou une ressource) est disponible au moment voulu et en quantité prévue par les personnes autorisées. Intégrité: garantie qu une information (ou ressource) n a subi ni modification ni destruction volontaire ou accidentelle. Traçabilité ou non-répudiation de l information: garantie de pouvoir retracer toutes les étapes du cycle de vie d une information. Ainsi, dans le cas d un courrier électronique, on pourra vérifier l expéditeur et le destinataire. Connaître les risques, c est s en prémunir! Le risque repose sur trois facteurs étroitement liés et entraîne une réaction en chaîne. Il s agit d un danger plus ou moins probable dû à une menace qui, en exploitant une vulnérabilité, a une incidence. La menace incarne ce que l on craint, c est-à-dire un danger potentiel latent qu on ne peut véritablement contrer. La vulnérabilité représente une lacune des ressources susceptible d être exploitée par une ou des menaces. L incidence, ce sont les conséquences de l exploitation d une vulnérabilité par une menace. L information est soumise à diverses menaces susceptibles de l altérer ou de la détruire, de la révéler à des tiers non autorisés ou d entraver sa disponibilité. Ces menaces peuvent être volontaires (attaques délibérées) ou involontaires (incendie, négligence, etc.), d origine humaine (le fait du personnel ou de cybercriminels) ou matérielle (panne intermittente ou totale des outils de travail), externes ou internes. Or, il est difficile, voire impossible, de contrer ces menaces. La solution consiste donc à atténuer la vulnérabilité des systèmes. Prenons l exemple concret d un employé qui n aurait pas mis son antivirus à jour (rendant son ordinateur vulnérable). Un virus présent sur la Toile (menace) profite de cette vulnérabilité pour contaminer l ordinateur, entraînant la perte totale et irrémédiable des données confidentielles (incidence). Le simple oubli de l employé entraîne pour l organisme des pertes financières, porte atteinte à sa réputation et lui fait courir le risque de procès. La plupart des risques - arrêt momentané de service, données perdues ou altérées, divulgation d informations confidentielles, usurpation d identité, etc. - peuvent être anticipés. L objectif d une politique de sécurité des systèmes d information (PSSI) est de mettre en œuvre des solutions de sécurité permettant de les contrer ou, tout au moins, d en réduire l incidence. «L adoption d une PSSI pour protéger les données traduit la volonté de reconnaître explicitement l importance et la valeur des informations détenues et la disposition des acteurs concernés à prendre tout les mesures possibles et réalisables afin de protéger les administrés et leur personnel. Elle traduit également la reconnaissance des enjeux de la sécurité.»

04 Des enjeux de taille La PSSI relève de la vision stratégique de l administration communale et traduit l engagement entier du bourgmestre et du collège échevinal. «Protéger les données, c est protéger ses administrés et son personnel» L adoption d une PSSI pour protéger les données traduit la volonté de reconnaître explicitement l importance et la valeur des informations détenues et la disposition des acteurs concernés à prendre tout les mesures possibles et réalisables afin de protéger les administrés et leur personnel. Elle traduit également la reconnaissance des enjeux de la sécurité. Le non-respect de ce que l on appelle les «pierres angulaires» peut avoir des conséquences fâcheuses. Atteinte à la réputation, à l image de marque Il faut des années pour bâtir une solide réputation et un simple scandale peut la détruire. La divulgation de données personnelles et confidentielles portant atteinte à la vie privée d un administré peut entraîner un recours en justice et gravement entacher l image de l administration. En mettant tout en œuvre pour protéger les données à caractère personnel, le bourgmestre et le collège échevinal honorent la confiance que les administrés et le personnel leur accordent. Pertes financières Bien que l insécurité soit difficile à évaluer, les incidents et les dysfonctionnements qu elle entraîne ont assurément un coût, qui représente des dépenses supplémentaires qui pourraient être affectées à meilleur escient. Conséquences juridiques Comme nous l avons vu, la mise en place d une PSSI s inscrit dans un cadre législatif et règlementaire destiné notamment à protéger le droit à la vie privée. Dans ce contexte, la responsabilité civile et pénale des dirigeants peut être engagée, et ce même en cas d erreur ou de transgression d un employé (utilisation de logiciels copiés, diffamation, détournement d informations confidentielles, etc.). «La sécurité, c est 20% de technique et 80% d organisation» Meilleure organisation Une PSSI n est pas une charge complexe réservée aux techniciens et aux spécialistes: elle incombe aux dirigeants. En effet, une PSSI, en constante évolution, repose sur le cadre organisationnel de tous les organismes et permet de structurer la méthode de travail et de définir les responsabilités de chacun. Elle améliore sensiblement l organisation. Gérer en «bon père de famille» La loi du 2 août 2002 impose la préservation de la sécurité des données à caractère personnel et est assortie de sanctions administratives et pénales. Tout chef d administration ou entreprise doit faire en sorte que les mesures nécessaires soient prises pour prévenir les conséquences juridiques liées, par exemple, à un acte involontaire ou délictueux commis par le personnel ou une attaque extérieure. Le chef de l administration ou de l entreprise, en tant que «dirigeant», doit la gérer avec prudence et prévoyance. Pascal Steichen Ministère de l Économie et du Commerce extérieur Chargé de mission CASES/LuxTrust Aujourd hui, on ne peut plus excuser une erreur ou un incident par le fait qu on n était pas au courant. En cas d usurpation d identité, d atteinte à la vie privée, de dysfonctionnement des services administratifs, volontaire ou non, l administration est responsable, si pas légalement, au moins aux yeux des citoyens. Le SIGI est CASES sont à votre disposition pour mettre en place une PSSI. Glossaire Politique de sécurité des systèmes d information (PSSI): plan évolutif et stratégique d actions dont l objectif est de conserver, de rétablir, de garantir et d améliorer la SSI de l organisme. Sécurité des systèmes d information (SSI): moyens techniques, organisationnels, juridiques et humains sous la forme de directives, de procédures et de règlements nécessaires à l instauration d une PSSI. Système d information (SI): ensemble des ressources tant humaines (personnel) que matérielles (postes informatiques, réseaux, applications) permettant de collecter, de stocker, de traiter et de diffuser des informations.

05 SIGIflash «A César ce qui appartient à César» La carte d impôt est un document légal important propre à chaque citoyen. Aujourd hui, elle constitue un des liens essentiels et incontournables qui responsabilisent chaque citoyen à sa contribution personnelle directe à l économie de son pays. Grâce à GESCOM 2.2, la gestion des cartes d impôt est devenue très conviviale, simple et efficace pour le fonctionnaire communal, ce qui permet au service «population» d une commune d offrir des services rapides et dynamiques au citoyen moderne. En fait, GESCOM 2.2 recueille toutes les signalétiques d impositions législatives imposées par l État. Cette application fait parfaitement la conjugaison entre l «environnement législatif imposable» et «la situation» du citoyen. Grâce à ses deux éléments incontournables, GESCOM 2.2. calcule et attribue au citoyen une classe d impôt suivant son état civil. Principe de fonctionnement Claude Hastert Les cartes d impôt sont émises au mois de janvier par l administration communale sur la base des données fournies par les citoyens lors du recensement fiscal du 15 octobre. Pour recevoir une carte d impôt en début d année, il faut donc remplir correctement le recensement fiscal du 15 octobre. Dés le début de l année l administration communale se charge de faire parvenir les cartes d impôt aux citoyens. Le salarié ou le retraité qui reçoit sa carte d impôt est prié de vérifier l exactitude des données qu elle mentionne et de la remettre, le cas échéant, à son employeur ou à sa caisse de pension. «La gestion des cartes d impôt sur GESCOM 2.2. est vraiment très conviviale pour l administration communale. Le nouveau système est performant et nous permet de prévisualiser les cartes avant impression, ce qui n était pas le cas avant. Enfin, j apprécie tout particulièrement l organisation pratique au début de l année en diverses catégories d impression, qui nous fait gagner du temps précieux et nous permet de garantir un service de qualité à nos concitoyens.» Yves THILL Bureau de la Population Administration communale de Strassen Pour certaines caisses de pension, la carte d impôt est envoyée directement à la caisse par la commune. La plupart du temps, en cas de changement dans la situation du citoyen, c est le bureau de la population qui se charge d apporter les modifications à la carte. Toutefois, dans certains cas (p.ex. changement du forfait kilométrique en cas de changement d employeur ou de résidence), c est l Administration des contributions qui est compétente. En conclusion, le module de gestion des cartes d impôt est une application dynamique, ce qui constitue l atout de GESCOM, et regroupe sur une plateforme unique tous les métiers clés d une administration communale efficace. Claude Hastert 15 octobre Formulaires Recensement fiscal 15 novembre au 15 décembre Contrôles et mise à jours dans GESCOM Nuit du 31 décembre au 1 janvier GESCOM calcul et produit les nouvelles cartes d impôts 2 janvier Nouvelles Cartes d Impôts disponible

06 SIGIsecurity La sécurité, une des pierres angulaires du Datacenter Le partenariat entre le SIGI et Conostix porte ses fruits. Le projet de mise en place du nouveau datacenter du SIGI est en passe de se terminer. Ce projet a été pour Conostix l occasion de démontrer ses compétences en matière de conception et d implémentation de la sécurité dans de grandes infrastructures. Dés les débuts du projet, nos équipes respectives ont fait preuve de l ouverture d esprit nécessaire au bon déroulement des opérations. La mise en commun des compétences nous a permis de mettre en place une sécurité innovatrice et «best-inclass». Pour mener à bien cette tâche, nous nous sommes souvent laisser guider par le bon sens. Fort de notre expérience en matière de sécurisation des réseaux ainsi que de nos différents rôles de conseils dans le cadre de la sécurité des réseaux bancaires, nous nous engageons d aider le SIGI à maintenir le niveau de sécurité nécessaire à ses services. L infrastructure mise en place offre de nouvelles possibilités techniques qui permettront de développer les services rendus par le futur portail, orientés vers les nouvelles technologies de l information et de la communication liées à l internet. L infrastructure en réseau utilisée dans le cadre de tous ces nouveaux services repose sur les bonnes pratiques permettant d offrir la meilleure sécurité et les garanties de disponibilité nécessaires. William Robinet Construisons l Avenir Ensemble SIGIapproved

Ne vous cachez pas, notez dès à présent la date du 2 juillet 2008 dans vos agendas! Dans la prochaine édition du SIGIVIEW vous trouverez le calendrier complet des exposés et des démonstrations «live» des nouvelles applications et des nouveaux services aux communes. Les invitations seront envoyées dans les prochaines semaines. Des surprises innovantes et uniques, jamais présentées au Luxembourg vous attendent! SIGIday 2008 Syndicat Intercommunal de Gestion Informatique 6, rue de l Etang L-5326 Contern Tél. 350099-1 Fax 350098 www.sigi.lu view@sigi.lu

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back