Guide Securite VD

LA SCURIT DES DONNES PERSONNELLES
dition 2010
Sommaire
Avant-propos Introduction Termes & dfinitions Fiche n 1 - Quels risques ? Fiche n 2 Lauthentification des utilisateurs Fiche n 3 La gestion des habilitations & la sensibilisation des utilisateurs Fiche n 4 La scurit des postes de travail Fiche n 5 - Comment scuriser linformatique mobile ? Fiche n 6 - Les sauvegardes et la continuit dactivit Fiche n 7 - La maintenance Fiche n 8 La tracabilit et la gestion des incidents Fiche n 9 La scurit des locaux Fiche n 10 La scurit du rseau informatique interne Fiche n 11 La scurit des serveurs et des applications Fiche n 12 - La sous-traitance Fiche n 13 - Larchivage Fiche n 14 - Lchange dinformations avec dautres organismes Fiche n 15 - Les dveloppements informatiques Fiche n 16 Lanonymisation Fiche n 17 Le chiffrement Acronymes Annexes page 1 page 3 page 5 page 6 page 9 page 11 page 15 page 17 page 18 page 20 page 22 page 24 page 25 page 28 page 30 page 32 page 34 page 37 page 38 page 40 page 43 page 44
Ce guide est tlchargeable sur le site Internet de la CNIL : www.cnil.fr
Avant-propos
A V A N T- P R O P O S
La place grandissante de linformatique dans toutes les sphres de notre socit entrane la production, le traitement et la dissmination dun nombre croissant de donnes personnelles. Les menaces pesant sur les systmes et rseaux dinformation incluent la fraude informatique, le dtournement de finalit, la captation frauduleuse, la perte de donnes, le vandalisme, ou encore les sinistres les plus frquents, tels que lincendie ou linondation. La loi informatique et liberts impose que les organismes mettant en uvre des traitements ou disposant de fichiers de donnes en garantissent la scurit. Par scurit des donnes, on entend lensemble des prcautions utiles, au regard de la nature des donnes et des risques prsents par le traitement, pour notamment, empcher que les donnes soient dformes, endommages, ou que des tiers non autoriss y aient accs. (Art.34 loi IL). Cette scurit se conoit pour lensemble des processus relatifs ces donnes, quil sagisse de leur cration, leur utilisation, leur sauvegarde, leur archivage ou leur destruction et concerne leur confidentialit, leur intgrit, leur authenticit et leur disponibilit. Ce guide sadresse tout responsable de traitement ainsi qu toute personne disposant dun minimum de connaissances informatiques (administrateur systme, dveloppeur, responsable de la scurit des systmes dinformation, utilisateur) et souhaitant valuer le niveau de scurit dont doit bnficier tout traitement de donnes caractre personnel. Il prsente un ensemble de prconisations essentielles regroupes par fiches thmatiques concernant la scurit de donnes caractre personnel. Chaque fiche est structure en trois sections : - les prcautions lmentaires ; - ce quil ne faut pas faire ; - pour aller plus loin.
La section Pour aller plus loin recommande des mesures additionnelles aux prcautions lmentaires. Parmi lensemble des prconisations, certaines sont issues de bonnes pratiques en matire de gestion de la scurit des systmes dinformations, tandis que dautres rsultent des rgles relatives la protection de donnes caractre personnel du fait de la spcificit de ces informations.
Bien entendu, aux yeux des experts et des profanes, ce guide ne rpondra pas compltement leurs attentes, jugeant quil ne va pas assez ou trop loin. Jespre nanmoins quil satisfera au plus grand nombre, et je peux dores et dj annoncer quun document plus labor est en cours de prparation.
Alex TRK Prsident de la CNIL
La Commission Nationale de lInformatique et des Liberts La CNIL, autorit administrative indpendante, est charge de veiller au respect des dispositions de la loi. A ce titre, elle assure des missions dinformation, de conseil, dexpertise et de veille technologique. La CNIL dispose de pouvoirs particuliers pour faire respecter la loi : elle contrle la mise en uvre des fichiers informatiques et peut galement procder des vrifications sur place.
Lensemble de ces informations est galement disponible sur le site Internet de la CNIL : http://www.cnil.fr/dossiers/securite
G U I D E P R AT I Q U E S C U R I T
A V A N T- P R O P O S
Ce premier guide scurit est videmment perfectible. Aussi, le lecteur ne devra-t-il pas hsiter nous contacter pour nous transmettre ses propositions en la matire.
Introduction
I N T R O D U C T I O N
Scuriser un systme informatique ncessite de prendre en compte tous les aspects de sa gestion. Cette scurit passe par le respect de bonnes pratiques et le maintien de loutil informatique ltat de lart quant aux attaques dont il peut faire lobjet. Toutefois, cette scurit ne sera effective qu condition de faire preuve de rigueur notamment dans la dlivrance (et le retrait) des habilitations ainsi que dans le traitement des invitables incidents. Afin de garantir que chaque utilisateur du systme informatique naccde quaux donnes quil a besoin de connatre, deux lments sont ncessaires : - la remise dun identifiant unique chaque utilisateur associ un moyen de sauthentifier : une mthode dauthentification ; - un contrle a priori de laccs aux donnes pour chaque catgorie dutilisateurs : une gestion des habilitations.
La protection de donnes concernant des personnes impose en plus que celles-ci soient : - collectes et traites de manire loyale et licite (Art. 6 al.1 loi I&L) - collectes pour des finalits dtermines, explicites et lgitimes et ne soient pas traites ultrieurement de manire incompatible avec ces finalits (Art. 6 al.2 loi I&L).
Ces obligations ne peuvent sapprcier qu travers lusage qui est fait du systme informatique. Par consquent, il est ncessaire de procder une journalisation, cest--dire lenregistrement des actions de chaque utilisateur sur le systme pendant une dure dfinie. En outre, la loi Informatique et Liberts dispose que les donnes soient exactes, compltes et si ncessaires mises jour. (Art. 6 al.4 loi I&L). Ces obligations ncessitent que les systmes dinformation prvoient des mcanismes garantissant lintgrit des donnes. La loi dispose galement que ces donnes soient conserves sous une forme permettant lidentification des personnes concernes pendant une dure qui nexcde pas la dure ncessaire aux finalits pour lesquelles elles sont collectes et traites (Art. 6 al.5 loi I&L). Les systmes doivent donc prvoir la suppression, larchivage, ou encore lanonymisation de ces donnes, lorsque leur dure de conservation est atteinte. Enfin, grer les risques constitue un moyen efficace de protger les liberts et droits fondamentaux des personnes physiques, notamment leur vie prive, lgard du traitement des donnes caractre personnel (article premier de la Directive 95/46/CE).
Pour rappel, la CNIL peut procder des vrifications sur place. En outre, la formation restreinte peut prononcer diverses sanctions gradues : avertissement, mise en demeure, sanctions pcuniaires, injonction de cesser le traitement. Le montant des sanctions pcuniaires peut atteindre 150 000 euros lors du premier manquement constat puis 300 000 euros, ou 5% du chiffre daffaire hors taxes du dernier exercice, dans la limite de 300 000 euros , sil sagit dune entreprise. Le montant de ces sanctions est proportionn la gravit des manquements commis et aux avantages tirs de ce manquement. La CNIL peut galement dnoncer pnalement les infractions la loi dont elle a connaissance au Procureur de la Rpublique.
I N T R O D U C T I O N
Termes & dfinitions

D E F I N I T I O N S T E R M E S &
Authentification : lauthentification a pour but de vrifier lidentit dont une entit se rclame. Gnralement lauthentification est prcde dune identification qui permet cette entit de se faire reconnatre du systme par un lment dont on la dot. En rsum, sidentifier cest communiquer son identit, sauthentifier cest apporter la preuve de son identit. (ANSSI Agence Nationale de la Scurit des Sustmes dInformation). Destinataire des donnes : toute personne habilite recevoir communication de ces donnes autre que la personne concerne, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont charges de traiter les donnes (Art. 3 loi I&L). Donne caractre personnel : toute information relative une personne physique identifie ou qui peut tre identifie, directement ou indirectement, par rfrence un numro didentification ou un ou plusieurs lments qui lui sont propres. Pour dterminer si une personne est identifiable, il convient de considrer lensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accs le responsable du traitement ou toute autre personne (Art. 2 loi I&L). Donnes sensibles : les donnes caractre personnel qui font apparatre, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou lappartenance syndicale des personnes, ou qui sont relatives la sant ou la vie sexuelle de celles-ci (Art. 8 loi I&L). Responsable de traitement : la personne, lautorit publique, le service ou lorganisme qui dtermine les finalits et les moyens dudit traitement, sauf dsignation expresse par des dispositions lgislatives ou rglementaires relatives ce traitement (Art. 3 loi I&L). Tiers : la personne physique ou morale, lautorit publique, le service ou tout autre organisme autre que la personne concerne, le responsable du traitement, le sous-traitant et les personnes qui, places sous lautorit directe du responsable du traitement ou du sous-traitant, sont habilites traiter les donnes (directive 95/46/CE). Traitement : sauf mention explicite, un traitement sentend dans ce document comme un traitement de donnes caractre personnel. Traitement de donnes caractre personnel : toute opration ou tout ensemble doprations portant sur de telles donnes, quel que soit le procd utilis, et notamment la collecte, lenregistrement, lorganisation, la conservation, ladaptation ou la modification, lextraction, la consultation, lutilisation, la communication par transmission, diffusion ou toute autre forme de mise disposition, le rapprochement ou linterconnexion, ainsi que le verrouillage, leffacement ou la destruction (Art. 2 loi I&L).
Fiche n 1 - Quels risques ?

La gestion des risques permet au responsable de traitement didentifier quelles sont les prcautions utiles prendre au regard de la nature des donnes et des risques prsents par le traitement, pour prserver la scurit des donnes et, notamment, empcher quelles soient dformes, endommages, ou que des tiers non autoriss y aient accs (article 34 de la Loi du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts). La Directive europenne Informatique et Liberts de 1995 prcise encore que la protection des donnes personnelles ncessite de prendre des mesures techniques et dorganisation appropries (Article 17). Une telle approche permet en effet une prise de dcision objective et la dtermination de mesures parfaitement adaptes son contexte. Un risque est un scnario qui combine une situation crainte (atteinte de la scurit des traitements et ses consquences) avec toutes les possibilits quelle survienne (menaces sur les supports des traitements). On estime son niveau en termes de gravit (ampleur et nombre des impacts) et de vraisemblance (possibilit/probabilit quil se ralise).
R I S Q U E S F I C H E N 1 Q U E L S
Les prcautions lmentaires

Ltude des risques doit tre formalise dans un document complet. Cette tude devra tre mise jour de manire rgulire selon les volutions du contexte et doit : recenser les fichiers et donnes caractre personnel (ex : fichiers client, contrats) et les traitements associs, automatiss ou non, en identifiant les supports sur lesquels reposent ces traitements : - les matriels (ex : serveur de gestion des ressources humaines, CDROM) ; - les logiciels (ex : systme dexploitation, logiciel mtier) ; - les canaux de communication (ex : fibre optique, Wifi, Internet) ; - les supports papier (ex : document imprim, photocopie).
dterminer comment la vie prive des personnes pourrait tre affecte par le biais de ces supports. Pour chaque traitement, identifier et classer selon leur gravit les impacts sur la vie prive des personnes en cas datteinte : - la confidentialit (ex : usurpations didentits conscutives la divulgation des fiches de paie de lensemble des salaris dune entreprise) ;
- lintgrit (ex : modification des journaux daccs dans le but de faire accuser une personne tort).
tudier les risques Combiner chaque impact avec les menaces qui le concerne. Hirarchiser les risques ainsi obtenus selon leur gravit et leur vraisemblance. Mettre en uvre des mesures de scurit Dterminer les mesures de scurit pour rduire, transfrer ou viter les risques. Les fiches pratiques de ce guide donnent des exemples concrets de mesures destines couvrir les obligations issues de la loi informatique et liberts : confidentialit, intgrit, qualit des donnes, conservation, recueil du consentement.
Ce quil ne faut pas faire

Mener seul une tude de risques. Impliquer les acteurs les plus appropris chaque tape (mtiers, matrise duvre, responsable du traitement) afin de les sensibiliser aux risques, de les responsabiliser dans leurs choix et de les faire adhrer aux mesures de scurit quils auront choisies. Raliser une tude trop dtaille. Il est ais de se perdre dans un niveau de dtail inappropri. Celui-ci doit rester cohrent avec la taille du sujet tudi, lobjectif de ltude et le niveau des risques. Choisir des mesures inappropries. Il faut dterminer les mesures ncessaires et suffisantes pour traiter les risques, et que celles-ci soient adaptes aux contraintes de ltude (budgtaires, techniques).
F I C H E
N 1
Exemples de menaces : vol dun PC portable, contagion par un code malveillant, saturation des canaux de communication, photocopie de documents papier). Une liste complte de menaces est fournie en annexe 1.
Q U E L S
tudier les menaces qui psent sur chaque support et les hirarchiser selon leur probabilit doccurrence (vraisemblance).
R I S Q U E S
- la disponibilit (ex : non dtection dune interaction mdicamenteuse du fait de limpossibilit daccder au dossier lectronique du patient) ;
Pour aller plus loin

Ltude des risques permet de dterminer des mesures de scurit mettre en place. Il convient donc de prvoir un budget pour leur mise en uvre. Lemploi dune vritable mthode permet de disposer doutils pratiques et damliorer lexhaustivit et la profondeur de ltude des risques. La bote outils dEBIOS1 peut tre utilise cet effet http://www.ssi.gouv.fr/site_article173.html). En fonction des moyens disponibles, il peut galement tre utile de prvoir : - la formation des personnes charges de raliser les tudes de risques ; - un audit scurit du systme dinformation.
1- EBIOS Expression des Besoins et Identification des Objectifs de Scurit est la mthode de gestion des risques publie par lAgence nationale de la scurit des systmes dinformation (ANSSI) du Secrtariat gnral de la dfense et de la scurit nationale (SGDSN). EBIOS est une marque dpose du SGDSN.
F I C H E
N 1
Q U E L S
R I S Q U E S
Fiche n 2 - Authentification des utilisateurs

U T I L I S A T E U R S F I C H E N 2 A U T H E N T I F I C A T I O N D E S
le responsable dun systme informatique doit tre en mesure dassurer que chaque utilisateur du systme naccde quaux donnes dont il a besoin pour lexercice de sa mission. Pour cela, chaque utilisateur doit tre dot dun identifiant qui lui est propre et doit sauthentifier avant toute utilisation des moyens informatiques. Les mcanismes permettant de raliser lauthentification des personnes sont catgoriss en trois familles selon quils font intervenir: - ce que lon sait, par exemple un mot de passe, - ce que lon a, par exemple une carte puce, - une caractristique qui nous est propre, par exemple une empreinte digitale ou encore une signature manuscrite. Pour rappel, la loi Informatique et Liberts subordonne lutilisation de la biomtrie lautorisation pralable de la CNIL2 .
Lauthentification dun utilisateur est qualifie de forte lorsquelle a recours une combinaison dau moins deux de ces mthodes.

A propos des identifiants (ou logins) des utilisateurs, ceux-ci doivent, dans la mesure du possible, tre diffrents de ceux des comptes dfinis par dfaut par les diteurs de logiciels. Les comptes par dfaut doivent tre dsactivs. Aucun compte ne devrait tre partag entre plusieurs utilisateurs. Dans le cas dune authentification des utilisateurs base sur des mots de passe, leur mise en uvre doit respecter les rgles suivantes : - avoir une taille de 8 caractres minimum ; - utiliser des caractres de types diffrents (majuscules, minuscules, chiffres, caractres spciaux). Des moyens mnmotechniques permettent de crer des mots de passe complexe, par exemple - en ne conservant que les premires lettres des mots dune phrase ; - en mettant une majuscule si le mot est un nom (ex : Chef) ; - en gardant des signes de ponctuation (ex : ) ; - en exprimant les nombres laide des chiffres de 0 9 (ex : Un ->1) ;
Exemple, la phrase un Chef dEntreprise averti en vaut deux correspond au mot de passe 1CdEaev2 ; - changer de mot de passe rgulirement (tous les 3 mois par exemple). Lorsque le renouvellement dun mot de passe est conscutif un oubli, une fois que le mot de passe a t rinitialis, lutilisateur doit tre dans lobligation de le changer ds sa premire connexion afin de le personnaliser.
2- A ce sujet, consulter notamment la fiche 12 la biomtrie sur le lieu de travail du Guide CNIL pour les employeurs et les salaris. http://www.cnil.fr/fileadmin/documents/Guides_pratiques/Guide_employeurs_salaries.pdf
Communiquer son mot de passe autrui ; stocker ses mots de passe dans un fichier en clair ou dans un lieu facilement accessible par dautres personnes ; utiliser des mots de passe ayant un lien avec soi (nom, date de naissance) ; utiliser le mme mot de passe pour des accs diffrents ; configurer les applications logicielles afin quelles permettent denregistrer les mots de passe.
Concernant les mcanismes dauthentification, il est recommand de se rfrer aux rgles et recommandations concernant les mcanismes dauthentification prconises dans lannexe B3 du Rfrentiel Gnral de Scurit3. En cas dutilisation de mthodes dauthentification reposant sur des dispositifs tels que des cartes puce ou des schmas dauthentification mettant en uvre des algorithmes cryptographiques, ceux-ci doivent suivre les rgles concernant le choix et le dimensionnement des mcanismes cryptographiques prconises dans lannexe B1 du Rfrentiel Gnral de Scurit4. Dans lventualit dune authentification par des dispositifs biomtriques il est ncessaire deffectuer une demande dautorisation auprs de la CNIL. Dune manire gnrale, la CNIL recommande lutilisation de biomtrie sans traces (contour de la main, rseaux veineux) ou lenregistrement des empreintes digitales dans un support individuel. Concernant des dispositifs bass sur lempreinte digitale, il convient de se rfrer la Communication de la CNIL relative la mise en uvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de donnes situ ladresse internet http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNIbiometrie/Communication-biometrie.pdf pour prendre connaissance de la doctrine de la CNIL en la matire.
3 - http://www.references.modernisation.gouv.fr/sites/default/files/RGS_Mecanismes_Authentification_v1_0.pdf 4 - http://www.references.modernisation.gouv.fr/sites/default/files/RGS_Mecanismes_cryptographiques_v1_20.pdf
10
F I C H E
A U T H E N T I F I C A T I O N
D E S
U T I L I S A T E U R S
Chaque utilisateur du systme ne doit pouvoir accder quaux donnes dont il a besoin pour lexercice de sa mission. Concrtement, cela se traduit par la mise en place dun mcanisme de dfinition des niveaux dhabilitation dun utilisateur dans le systme, et dun moyen de contrle des permissions daccs aux donnes. Il convient de veiller galement ce que les utilisateurs soient conscients des menaces en termes de scurit, ainsi que des enjeux concernant la protection des donnes personnelles.

Dfinir des profils dhabilitation dans les systmes en sparant les tches et les domaines de responsabilit, afin de limiter laccs des donnes caractre personnel aux seuls utilisateurs dment habilits. Supprimer les permissions daccs des utilisateurs ds quils ne sont plus habilits accder un local ou une ressource, ainsi qu la fin de leur priode demploi. Documenter les procdures dexploitation, les tenir jour et les rendre disponibles tous les utilisateurs concerns. Concrtement, toute action sur le systme, quil sagisse doprations dadministration ou de la simple utilisation dune application, doit tre explique dans des documents auxquels les utilisateurs peuvent se rfrer. Rdiger une charte informatique et lannexer au rglement intrieur.
11
F I C H E
N 3
G E S T I O N
D E S
H A B I L I T A T I O N S
&
S E N S I B I L I S A T I O N
D E S
Fiche n 3 - Gestion des habilitations & sensibilisation des utilisateurs
1. Le rappel des rgles de protection des donnes et les sanctions encourues en cas de non respect de la loi. 2. Le champ dapplication de la charte, qui inclut notamment : - les modalits dintervention du service de linformatique interne ; - les moyens dauthentification ; - les rgles de scurit auxquelles se conformer, ce qui peut inclure par exemple de : -s ignaler au service informatique interne toute violation ou tentative de violation suspecte de son compte informatique et de manire gnrale tout dysfonctionnement ; - ne jamais confier son identifiant/mot de passe un tiers ; - ne pas modifier les paramtrages du poste de travail ; - ne pas installer, copier, modifier, dtruire des logiciels sans autorisation ; - verrouiller son ordinateur ds que lon quitte son poste de travail ; - ne pas accder, tenter daccder, ou supprimer des informations qui ne relvent pas des tches incombant lutilisateur ; - dfinir les modalits de copie de donnes sur un support externe, notamment en obtenant laccord pralable du suprieur hirarchique et en respectant des rgles pralablement dfinies.
3. L es modalits dutilisation des moyens informatiques et de tlcommunications mis disposition comme : - le poste de travail ; - les quipements nomades ; - lespace de stockage individuel ; - le rseau local ; - internet ; - la messagerie lectronique ; - le tlphone.
- systmes automatiques de filtrage ; - systmes automatiques de traabilit ; - gestion du poste de travail.
5. L es responsabilits et sanctions encourues en cas de non respect de la charte.
12
F I C H E
N 3
4. L es conditions dadministration du systme dinformation, et lexistence, le cas chant, de:
G E S T I O N
D E S
&
D E S
Modle dune charte informatique :
Dfinir des comptes administrateur partags par plusieurs personnes.

Etablir, documenter et rexaminer une politique de contrle daccs en rapport avec la finalit du traitement. La politique de contrle daccs doit inclure : - les procdures denregistrement et de radiation des utilisateurs destines accorder et retirer laccs au traitement ; - les mesures incitant les utilisateurs respecter les bonnes pratiques de scurit lors de la slection et lutilisation de mots de passe ou dautres moyens dauthentification ; - les mesures permettant de restreindre et de contrler lattribution et lutilisation des accs au traitement.
Envoyer rgulirement tous les utilisateurs les mises jour des politiques et procdures pertinentes pour leurs fonctions. Organiser des sances de formation et de sensibilisation la scurit de linformation. Des rappels priodiques peuvent tre faits par le biais de la messagerie lectronique. Prvoir la signature dun engagement de confidentialit (cf. modle de clause ci-dessous), ou prvoir dans les contrats de travail une clause de confidentialit spcifique concernant les donnes caractre personnel.
13
F I C H E
N 3
G E S T I O N
D E S
Classifier les informations de manire notamment indiquer si celles-ci sont des donnes sensibles. Cette classification permet de rendre compte du niveau de scurit appliquer.
&
D E S
Je soussign Monsieur/Madame __________, exerant les fonctions de _______ au sein de la socit ________ (ci-aprs dnomm la Socit), tant ce titre amen accder des donnes caractre personnel, dclare reconnatre la confidentialit desdites donnes. Je mengage par consquent, conformment aux articles 34 et 35 de la loi du 6 janvier 1978 modifie relative linformatique, aux fichiers et aux liberts, prendre toutes prcautions conformes aux usages et ltat de lart dans le cadre de mes attributions afin de protger la confidentialit des informations auxquelles jai accs, et en particulier dempcher quelles ne soient modifies, endommages ou communiques des personnes non expressment autorises recevoir ces informations. Je mengage en particulier : - ne pas utiliser les donnes auxquelles je peux accder des fins autres que celles prvues par mes attributions ; - ne divulguer ces donnes quaux personnes dment autorises, en raison de leurs fonctions, en recevoir communication, quil sagisse de personnes prives, publiques, physiques ou morales ; - ne faire aucune copie de ces donnes sauf ce que cela soit ncessaire lexcution de mes fonctions ; - prendre toutes les mesures conformes aux usages et ltat de lart dans le cadre de mes attributions afin dviter lutilisation dtourne ou frauduleuse de ces donnes ; - prendre toutes prcautions conformes aux usages et ltat de lart pour prserver la scurit matrielle de ces donnes ; - massurer, dans la limite des mes attributions, que seuls des moyens de communication scuriss seront utiliss pour transfrer ces donnes ; - assurer, dans la limite de mes attributions, lexercice des droits dinformation, daccs et de rectification de ces donnes ; - en cas de cessation des mes fonctions, restituer intgralement les donnes, fichiers informatiques et tout support dinformation relatif ces donnes. Cet engagement de confidentialit, en vigueur pendant toute la dure de mes fonctions, demeurera effectif, sans limitation de dure aprs la cessation de mes fonctions, quelle quen soit la cause, ds lors que cet engagement concerne lutilisation et la communication de donnes caractre personnel. Jai t inform que toute violation du prsent engagement mexpose notamment des actions et sanctions disciplinaires et pnales conformment aux dispositions lgales en vigueur. Fait xxx le xxx en xxx exemplaires Nom : Signature : Nom : Signature :
14
F I C H E
N 3
G E S T I O N
D E S
&
D E S
Exemple dengagement de confidentialit relatif aux donnes caractre personnel :
Fiche n 4 - Scurit des postes de travail

- les tentatives daccs frauduleux ; - lexcution de virus ; - la prise de contrle distance, notamment via internet.
T R A V A I L F iche n 4 S C U R I T D E S P O S T E S D E
La scurit des postes de travail passe par une mise en uvre de mesures pour prvenir
Les risques dintrusion dans les systmes informatiques sont importants et peuvent conduire limplantation de virus ou de programmes espions.

Limiter le nombre de tentatives daccs un compte. En fonction du contexte, ce nombre peut varier entre trois et dix. Lorsque la limite est atteinte, il est prfrable de bloquer la possibilit dauthentification ce compte temporairement ou jusqu lintervention dun administrateur du systme ; installer un pare-feu (firewall) logiciel, et limiter les ports de communication strictement ncessaires au bon fonctionnement des applications installes sur le poste de travail ; utiliser des antivirus rgulirement mis jour ; prvoir une procdure de verrouillage automatique de session en cas de non-utilisation du poste pendant un temps donn. Pour les oprations de maintenance, il convient de mettre fin une session aprs une cinq minutes dinactivit. Pour dautres oprations moins critiques (accs une application mtier par exemple), un dlai de quinze minutes doit permettre de garantir la scurit sans compromettre lergonomie dutilisation ; prvoir dafficher, lors de la connexion un compte, les dates et heures de la dernire connexion.

Utiliser des systmes dexploitation obsoltes (une liste mise jour rgulirement est disponible ladresse internet http://www.certa.ssi.gouv.fr/ site/CERTA-2005-INF-003/).
15

Limiter les applications ncessitant des droits de niveau administrateur pour leur excution ; limiter les services du systme dexploitation sexcutant sur le poste de travail ceux qui sont strictement ncessaires ; installer les mises jour critiques des systmes dexploitation sans dlai en programmant une vrification automatique priodique hebdomadaire ; mettre jour les applications lorsque des failles critiques ont t identifies et corriges ; concernant les virus, se rfrer au document du CERTA disponible ladresse internet http://www.certa.ssi.gouv.fr/site/CERTA-2000-INF-007/ pour des recommandations plus compltes.
16
F iche
S C U R I T
D E S
P O S T E S
D E
T R A V A I L
Fiche n 5 - Comment scuriser linformatique mobile ?

M O B I L E F iche n 5 C O M M E N T S C U R I S E R L I N F O R M A T I Q U E
La multiplication des ordinateurs portables, des cls USB et des smartphones rend indispensable danticiper la possible perte dinformations conscutive au vol o la perte dun tel quipement.

Prvoir des moyens de chiffrement pour les espaces de stockage des matriels informatiques mobiles (ordinateur portable, priphrique de stockage amovible tels que cls USB, CD-ROM, DVD-RW, etc.). Parmi ces moyens, on peut citer : - le chiffrement du disque dur dans sa totalit au niveau matriel ; - le chiffrement du disque dur dans sa totalit un niveau logique via le systme dexploitation ; - le chiffrement fichier par fichier ; - la cration de conteneurs5 chiffrs.
Parmi les outils disponibles, des logiciels libres tels que TrueCrypt6 (www. truecrypt.org) permettent de crer des containeurs chiffrs dont la scurit repose sur un mot de passe. De nombreux constructeurs de PC portables vendent des solutions avec disque dur chiffr : il convient de privilgier ces quipements et de sassurer que le chiffrement est bien mis en uvre par les utilisateurs.

Conserver des donnes personnelles dans les quipements mobiles lors de dplacement ltranger. On peut consulter ce sujet les prconisations formules dans le document Passeport de conseils aux voyageurs publi par lANSSI disponible ladresse http://www.securite-informatique.gouv.fr/IMG/ pdf/Passeport-de-conseils-aux-voyageurs_janvier-2010.pdf.

Lorsque des appareils mobiles servent la collecte de donnes en itinrance (ex : PDA, Smartphones ou PC portables, etc.), il faut scuriser les donnes qui y sont stockes et prvoir un verrouillage de lappareil au bout de quelques minutes dinactivit. Prvoir aussi de purger ces quipements des donnes collectes sitt quelles ont t introduites dans le systme dinformation de lorganisme. De plus en plus dordinateurs portables sont quips dun dispositif de lecture dempreinte digitale. La mise en uvre de tels dispositifs est soumise lautorisation de la CNIL.
5 - Par conteneur, il faut comprendre un fichier susceptible de contenir plusieurs fichiers. 6- Il convient dutiliser la version 6.0a qui bnficie dune certification de premier niveau par lANSSI.
17
Fiche n 6 - Les sauvegardes et la continuit dactivit

D A C T I V I T E F iche n 6 L E S S A U V E G A R D E S E T L A C O N T I N U I T E
Des copies de sauvegarde des donnes caractre personnel doivent tre faites et testes rgulirement, conformment la politique de sauvegarde adopte. Il faut galement procder une sauvegarde des logiciels servant au traitement afin de garantir la prennit de celui-ci. Une scurisation renforce est requise pour les sauvegardes de donnes sensibles. Il convient de prvoir la continuit dactivit en anticipant les pannes matrielles. Des mesures de protection physique contre les dommages causs par les incendies ou les inondations doivent tre envisages.

Sagissant de la sauvegarde des donnes : - effectuer des sauvegardes frquentes pour viter la perte dinformation. Selon le volume dinformations sauvegarder, il peut tre opportun de prvoir des sauvegardes incrmentales7 avec une frquence quotidienne et des sauvegardes compltes avec une frquence moindre (hebdomadaires ou bimensuelles) ; - prvoir de stocker les supports de sauvegarde sur un site extrieur, dans des coffres ignifugs et tanches ; - combiner une ou plusieurs des solutions suivantes pour scuriser les sauvegardes soit en : - chiffrant les sauvegardes elles-mmes ; - chiffrant les donnes la source ; - prvoyant un stockage dans un lieu scuris. - suivre des rgles en adquation avec la politique de scurit pour le convoyage ventuel des sauvegardes. - mettre en place des dtecteurs de fume ainsi que des extincteurs. Ces systmes doivent tre inspects annuellement ; - concernant les inondations, les matriels informatiques ne doivent pas tre mis mme le sol, mais surlevs ; - propos des matriels : - lutilisation dun onduleur est recommande pour le matriel servant aux traitements critiques ; - il convient galement de prvoir une redondance matrielle des units de stockage par une technologie RAID8.
Sagissant de la continuit dactivit :
7- Une sauvegarde incrmentale consiste nenregistrer que les modifications faites par rapport une prcdente sauvegarde. 8 - RAID dsigne des techniques de rpartition de donnes sur plusieurs supports de sauvegardes (par exemple des disques durs) afin de prvenir la perte de donnes conscutives la panne dun des supports.
18
Conserver les sauvegardes au mme endroit que les machines hbergeant les donnes. Un sinistre majeur intervenant cet endroit aurait comme consquence une perte dfinitive des donnes.

Concernant la continuit du service, prvoir de dimensionner tous les services gnraux, tels que llectricit ou lalimentation en eau relatifs aux systmes pris en charge, et les inspecter rgulirement pour carter tout risque de dysfonctionnement ou de panne. Pour les traitements revtant des exigences fortes de disponibilit, prvoir de connecter linfrastructure de tlcommunications par au moins deux voies diffrentes.
19
F iche
L E S
S A U V E G A R D E S
E T
L A
C O N T I N U I T E
D A C T I V I T E
Fiche n 7 - La maintenance
M A I N T E N A N C E F iche n 7 L A
Lors de la maintenance et des interventions techniques, la scurit des donnes doit tre garantie. On recommande galement de supprimer les donnes des matriels destins tre mis au rebut.

Garantir que des donnes ne seront pas compromises lors dune intervention de maintenance en appliquant une ou plusieurs des mesures numres cidessous : - lenregistrement des interventions de maintenance dans une main courante ; - lencadrement par un responsable de lorganisme lors dinterventions par des tiers ; - la configuration des systmes critiques (serveurs, quipements rseau ) de manire empcher leur tlmaintenance.
Inspecter tout matriel contenant des supports de stockage avant sa mise au rebut ou sa sortie du primtre de lorganisme, pour sassurer que toute donne sensible en a bien t supprime de faon scurise. A titre dexemple, lANSSI accorde des certifications de premier niveau des logiciels pour raliser cet objectif (http://www.ssi.gouv.fr/archive/fr/confiance/ certif-cspn.html). Concernant la mise au rebut de matriels, on peut mentionner: - les broyeurs et dchiqueteurs pour le papier ou les supports numriques tels que les CD et DVD ; - les dgausseurs9 pour les units de stockage technologie magntique.
Ces prconisations concernent galement les matriels en location lorsquils sont retourns lexpiration du dlai contractuel. En matire dassistance sur les postes clients : - les outils dadministration distance doivent tre configurs de manire recueillir laccord de lutilisateur avant toute intervention sur son poste, par exemple en cliquant sur une icne ou encore en rpondant un message saffichant lcran ; - lutilisateur doit galement pouvoir constater si la prise de main distance est en cours et quand elle se termine, par exemple grce laffichage dun message lcran.
9- Un dgausseur est un quipement ralisant une destruction irrmdiable de donnes confidentielles par dmagntisation.
20
Installer des applications pour la tlmaintenance qui sont vulnrables (ex : certaines versions de xVNC, cf. http://www.certa.ssi.gouv.fr/site/CERTA2009-AVI-035/).

Il faut restreindre, voire interdire laccs physique et logique, aux ports de diagnostic et de configuration distance. A titre dexemple, il faut restreindre lusage du protocole SNMP qui permet la configuration des quipements rseau par connexion sur le port TCP 161. Des prconisations concernant les matriels mis au rebut sont disponibles dans le document de lANSSI intitul Guide technique pour la confidentialit des informations enregistres sur les disques durs recycler ou exporter, disponible ladresse http://www.ssi.gouv.fr/archive/fr/documentation/ Guide_effaceur_V1.12du040517.pdf.
Modle de clauses de confidentialit pouvant tre utilises en cas de maintenance par une tierce partie
Chaque opration de maintenance devra faire lobjet dun descriptif prcisant les dates, la nature des oprations et les noms des intervenants, transmis X. En cas de tlmaintenance permettant laccs distance aux fichiers de X, Y prendra toutes dispositions afin de permettre X didentifier la provenance de chaque intervention extrieure. A cette fin, Y sengage obtenir laccord pralable de X avant chaque opration de tlmaintenance dont elle prendrait linitiative. Des registres seront tablis sous les responsabilits respectives de X et Y, mentionnant les date et nature dtaille des interventions de tlmaintenance ainsi que les noms de leurs auteurs.
21
F iche
L A
M A I N T E N A N C E
Fiche n 8 - Tracabilit et gestion des incidents

afin dtre en mesure didentifier a posteriori un accs frauduleux des donnes personnelles, une utilisation abusive de telles donnes, ou de dterminer lorigine dun incident, il convient denregistrer les actions effectues sur le systme informatique. Pour ce faire, le responsable dun systme informatique doit mettre en place un dispositif adapt aux risques associs son systme. Celuici doit enregistrer les vnements pertinents, garantir que ces enregistrements ne peuvent tre altrs, et dans tous les cas conserver ces lments pendant une dure non excessive.
I N C I D E N T S F iche n 8 T R A C A B I L I T E T G E S T I O N D E S

Prvoir un systme de journalisation (cest--dire un enregistrement dans des fichiers de logs) des activits des utilisateurs, des anomalies et des vnements lis la scurit. Ces journaux doivent conserver les vnements sur une priode glissante ne pouvant excder six mois (sauf obligation lgale, ou demande de la CNIL, de conserver ces informations pour une dure plus longue). Prvoir au minimum la journalisation des accs des utilisateurs incluant leur identifiant, la date et lheure de leur connexion, ainsi que la date et lheure de leur dconnexion. Le format de lhorodatage doit de prfrence prendre comme rfrence le temps UTC10. Dans certains cas, il peut tre ncessaire de conserver galement le dtail des actions effectues par lutilisateur, telles que les donnes consultes par exemple. Se rfrer au document du CERTA disponible ladresse internet http://www.certa.ssi.gouv.fr/site/CERTA-2008-INF-005, pour un exemple de mise en uvre. Informer les utilisateurs de la mise en place dun tel systme. Protger les quipements de journalisation et les informations journalises contre le sabotage et les accs non autoriss. Etablir des procdures dtaillant la surveillance de lutilisation du traitement et procder priodiquement lexamen des informations journalises. Le responsable de traitement doit tre inform dans les meilleurs dlais des failles ventuelles de scurit. En cas daccs frauduleux des donnes personnelles, le responsable de traitement devrait le notifier aux personnes concernes.
10 - Coordinated Universal Time
22

Utiliser les informations issues des dispositifs de journalisation dautres fins que celles de garantir le bon usage du systme informatique.

Les horloges des diffrents systmes de traitement de linformation dun organisme ou dun domaine de scurit doivent tre synchronises laide dune source de temps fiable et pralablement dfinie. Lorsque le traitement fait appel des ressources rseau, la synchronisation des sources de temps peut tre ralise par le recours au protocole NTP11. Le responsable de traitement doit se tenir inform des vulnrabilits techniques des systmes et entreprendre les actions appropries pour traiter le risque associ.
11 - Le protocole NTP (Network Time Protocol) permet de caler lhorloge dun ordinateur sur une source dhorodatage fiable via le rseau.
23
F iche
T R A C A B I L I T
E T
G E S T I O N
D E S
I N C I D E N T S
Fiche n9 - Scurit des locaux

L O C A U X F iche n 9 S C U R I T D E S
Afin de protger efficacement les locaux o sont hbergs les traitements de donnes personnelles, prvoir : - des alarmes afin de dceler une intrusion au sein dune zone scurise ; - des mesures afin de ralentir la progression des personnes parvenues sintroduire ; - des moyens afin de mettre fin lintrusion.

Restreindre les accs aux salles ou bureaux susceptibles dhberger du matriel contenant des donnes au moyen de portes verrouilles, ou de sas daccs pour les quipements les plus critiques. Installer des alarmes anti-intrusion et les vrifier priodiquement.

Sous-dimensionner ou ngliger lentretien de la climatisation des salles hbergeant les machines : une panne sur cette installation a souvent comme consquence larrt des machines ou encore louverture des portes des salles et donc la neutralisation de facto dlments concourant la scurit physique des locaux.

Il faut protger les zones scurises par des contrles pour sassurer que seul le personnel dment habilit est admis dans ces zones. Pour ce faire, il convient de suivre les recommandations suivantes : - concernant les zones dans lesquelles des informations sensibles sont traites ou stockes, des dispositifs dauthentification doivent tre prvus. Il peut sagir de cartes daccs accompagnes dun numro didentification personnel. Un journal des accs intervenus lors des trois derniers mois au plus doit tre tenu jour de faon scurise ; - lintrieur des zones accs rglement, exiger le port dun moyen didentification visible (badge) pour toutes les personnes ; - les visiteurs (personnel en charge de lassistance technique, etc.) doivent avoir un accs limit. La date et lheure de leur arrive et dpart doivent tre consignes ; - Rexaminer et mettre jour rgulirement les permissions daccs aux zones scurises et les supprimer si ncessaire.
24
Fiche n 10 - Scurit du rseau informatique interne

I N T E R N E F iche n 1 0 S C U R I T D U R S E A U I N F O R M A T I Q U E
Pour tous les services rseau, il faut identifier les fonctions rseau et les niveaux de service ncessaires au bon fonctionnement du traitement et nautoriser que ceux-ci.

Limiter les flux rseau au strict ncessaire. Par exemple, si laccs un serveur web passe obligatoirement et uniquement par lutilisation du protocole SSL, il faut autoriser uniquement les flux rseau IP entrants sur cette machine sur le port de communication 443 et bloquer tous les autres ports de communication. Se rfrer aux documents suivants du CERTA : - http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-001/, pour les questions de filtrage et pare-feux ; - http://www.certa.ssi.gouv.fr/site/CERTA-2005-REC-001/, pour la mise en uvre de SSL.
Scuriser les accs au systme dinformation au moyen dappareils informatiques nomades tels que des ordinateurs portables par la mise en place de connexions VPN reposant sur des algorithmes cryptographiques rputs forts12 et mettant si possible en uvre un matriel (carte puce, boitier gnrateur de mots de passe usage unique (OTP One Time Password), etc.). Recourir au chiffrement de la communication par lusage du protocole SSL avec une cl de 128 bits lors de la mise en uvre de services web.

Utiliser le protocole telnet pour la connexion distance aux quipements actifs du rseau (pare-feu, routeurs, switches). Il convient dutiliser plutt SSH ou un accs physique direct lquipement. Installer des rseaux WiFi. Si de tels quipements doivent tre mis en uvre, il est ncessaire de scuriser les connexions par lusage du protocole WPA, en choisissant le mode de chiffrement AES/CCMP. Pour plus de dtails sur laccs aux rseaux sans fil, se rfrer aux mesures prconises sur le site du CERTA ladresse http://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-002/.
12 - Cf. Fiche n17 Le chiffrement
25
Un exemple dune telle architecture est reprsent ci-dessous.

Serveurs dapplication Service 1 Informatique mobile
vlan1
poste client service 1
imprimante
vlan1
switch
switch
vlan3
poste client service 2
vlan2
Figure 1: Exemple dun rseau informatique cloisonn par VLAN
- le recours des rseaux virtuels, dnomms VLAN : lobjectif de cette technologie est de regrouper certains matriels connects un quipement physique (switch) selon des critres logiques (par exemple lappartenance un dpartement), dans le but de sparer les trafics rseau entre les diffrents groupes ainsi constitus.
26
F iche
- la mise en place de rseaux physiques distincts : il est alors possible de cloisonner les diffrents rseaux en contrlant les flux de donnes sur la base des adresses rseau ;
Pour mettre en uvre un tel cloisonnement, plusieurs mthodes sont envisageables :
1 0
S C U R I T
Serveurs dapplication Service 2
Unit de sauvegarde
vlan2
D U
R S E A U
I N F O R M A T I Q U E
Le cloisonnement rseau permet notamment dviter que la compromission dun poste nentrane celle de lensemble du systme. En pratique, il est recommand de segmenter le rseau en sous-rseaux logiques selon les services censs y tre dploys.
I N T E R N E
Rseau interne ->

Poste client Pare feu (Firewall)
<- Zone accessible -> depuis Internet (DMZ)

Pare feu (Firewall)
<- Internet
Modem
Routeur Serveurs Serveurs techniques de messagerie (DHCP, DNS)
Portail Web
Serveurs dapplication
Figure 2: Exemple de mise en uvre dune DMZ
La mise en uvre dune DMZ ncessite linstallation de passerelles scurises (pare-feux) entre les rseaux cloisonner afin de contrler les flux dinformation entrants et sortants. Des systmes de dtection dintrusion (Intrusion Detection Systems ou IDS) peuvent tre mis en place en vue danalyser le trafic rseau en temps rel, afin dy dtecter toute activit suspecte voquant un scnario dattaque informatique. Le but de ces systmes est de djouer les attaques informatiques au plus tt. Il convient de rappeler que les utilisateurs dun rseau informatique doivent tre avertis lorsquil est prvu une analyse des contenus transitant sur le rseau. Il peut tre envisag de mettre en place lidentification automatique de matriels comme moyen dauthentification des connexions partir de lieux et matriels spcifiques. Cette technique utilise par exemple les identifiants uniques des cartes rseau (ladresse MAC) afin de dtecter la connexion dun dispositif non rpertori et de router son trafic rseau de manire spare.
27
F iche
1 0
S C U R I T
D U
R S E A U
I N F O R M A T I Q U E
I N T E R N E
Il est galement possible de restreindre les connexions autorises en diffrenciant par exemple un rseau interne pour lequel aucune connexion venant dInternet nest autorise, et un rseau dit DMZ (DeMilitarized Zone ou zone dmilitarise en franais) accessible depuis Internet.
Fiche n 11 - scurite des serveurs et des applications

A P P L I C A T I O N S F iche n 1 1 S E C U R I T E D E S S E R V E U R S E T D E S
Les serveurs sont les quipements les plus critiques et ce titre, ils mritent des mesures de scurit renforces.

Changer les mots de passe par dfaut par des mots de passe complexes devant respecter au minimum les rgles suivantes : - avoir une taille de 10 caractres minimum ; - utiliser des caractres de types diffrents (majuscules, minuscules, chiffres et caractres spciaux) ; - changer de mot de passe notamment lors du dpart dun des administrateurs.
Installer les mises jour critiques des systmes dexploitation sans dlai en programmant une vrification automatique hebdomadaire. En matire dadministration de bases de donnes: - ne pas utiliser les serveurs hbergeant les bases de donnes dautres fins (notamment pour naviguer sur des sites internet, accder la messagerie lectronique ) ; - utiliser des comptes nominatifs pour laccs aux bases de donnes, sauf si une contrainte technique lempche ; - mettre en uvre des mesures et/ou installer des dispositifs pour se prmunir des attaques par injection de code SQL, scripts ; - prvoir des mesures particulires pour les bases de donnes sensibles (chiffrement en base, chiffrement des sauvegardes).
Assurer une continuit de disponibilit des donnes, ce qui ncessite notamment de prendre des prcautions en cas dinstallation ou de mises jour de logiciels sur les systmes en exploitation. Mettre jour les applications lorsque des failles critiques ont t identifies et corriges.

Utiliser des services non scuriss (authentification en clair, flux en clair, etc). Placer les bases de donnes dans une zone directement accessible depuis Internet.
28

Les systmes sensibles, cest--dire tout systme traitant de donnes sensibles ou juges confidentielles pour lentreprise, doivent disposer dun environnement informatique ddi (isol). Sagissant des logiciels sexcutant sur des serveurs, il est conseill dutiliser des outils de dtection des vulnrabilits (logiciels scanners de vulnrabilit tels que nmap (http://nmap.org/), nessus (http://www.nessus. org), nikto (http://www.cirt.net/nikto2) etc.) pour les traitements les plus critiques afin de dtecter dventuelles failles de scurit. Des systmes de dtection et prvention des attaques sur des systmes/serveurs critiques dnomms Host Intrusion Prevention peuvent aussi tre utiliss. Selon la nature de lapplication, il peut tre ncessaire dassurer lintgrit des traitements par le recours des signatures du code excutable garantissant quil na subi aucune altration. A cet gard, une vrification de signature tout au long de lexcution (et pas seulement avant lexcution) rend plus difficile la compromission dun programme.
29
F iche
1 1
S E C U R I T E
D E S
S E R V E U R S
E T
D E S
A P P L I C A T I O N S
Fiche n 12 - Sous-traitance
S O U S - T R A I T A N C E F iche n 1 2 -
Les donnes caractre personnel communiques ou gres par des soustraitants doivent bnficier de garanties de scurit.

Prvoir dans les contrats liant lorganisme et les sous-traitants une clause spcifique couvrant la confidentialit des donnes personnelles confies ces derniers. Un modle de clause est fourni ci-aprs. Prendre des dispositions (audits de scurit, visite des installations, etc) afin de sassurer de leffectivit des garanties offertes par le sous-traitant en matire de protection des donnes. Cela inclut notamment : - le chiffrement des donnes selon leur sensibilit ou dfaut lexistence de procdures garantissant que la socit de prestation na pas accs aux donnes qui lui sont confies ; - le chiffrement de la liaison de donnes (connexion de type https par exemple) ; - des garanties en matire de protection du rseau, traabilit (journaux, audits), gestion des habilitations, authentification, etc.
Prvoir les conditions de restitution des donnes et de leur destruction en cas de rupture ou la fin du contrat.

Avoir recours des services offrant des fonctionnalits dinformatique rpartie13 sans garantie quant la localisation gographique effective des donnes.

Concernant les donnes de sant, il est rappel quun hbergeur se doit davoir un agrment dlivr par le ministre de la Sant. Le rfrentiel de constitution dun dossier est disponible sur le site http://esante.gouv.fr/.
13 - cloud computing.
30
Les supports informatiques et documents fournis par la socit X la socit Y restent la proprit de la socit X. Les donnes contenues dans ces supports et documents sont strictement couvertes par le secret professionnel (article 226-13 du code pnal), il en va de mme pour toutes les donnes dont Y prend connaissance loccasion de lexcution du prsent contrat. Conformment larticle 34 de la loi informatique et liberts modifie, Y sengage prendre toutes prcautions utiles afin de prserver la scurit des informations et notamment dempcher quelles ne soient dformes, endommages ou communiques des personnes non autorises. Y sengage donc respecter les obligations suivantes et les faire respecter par son personnel : - ne prendre aucune copie des documents et supports dinformations qui lui sont confis, lexception de celles ncessaires lexcution de la prsente prestation prvue au contrat, laccord pralable du matre du fichier est ncessaire ; - ne pas utiliser les documents et informations traits des fins autres que celles spcifies au prsent contrat ; - ne pas divulguer ces documents ou informations dautres personnes, quil sagisse de personnes prives ou publiques, physiques ou morales ; - prendre toutes mesures permettant dviter toute utilisation dtourne ou frauduleuse des fichiers informatiques en cours dexcution du contrat ; - prendre toutes mesures de scurit, notamment matrielles, pour assurer la conservation et lintgrit des documents et informations traits pendant la dure du prsent contrat ; - et en fin de contrat, procder la destruction de tous fichiers manuels ou informatiss stockant les informations saisies.
A ce titre, Y ne pourra sous-traiter lexcution des prestations une autre socit, ni procder une cession de march sans laccord pralable de X. X se rserve le droit de procder toute vrification qui lui paratrait utile pour constater le respect des obligations prcites par Y. En cas de non-respect des dispositions prcites, la responsabilit du titulaire peut galement tre engage sur la base des dispositions des articles 226-5 et 226-17 du nouveau code pnal. X pourra prononcer la rsiliation immdiate du contrat, sans indemnit en faveur du titulaire, en cas de violation du secret professionnel ou de non-respect des dispositions prcites.
31
F iche
1 2
S O U S - T R A I T A N C E
Modle de clauses de confidentialit pouvant tre utilises en cas de soustraitance
Fiche n13 - Larchivage

L A R C H I V A G E F iche n 1 3 -
On distingue habituellement trois catgories darchives : - Les bases actives ou archives courantes : il sagit des donnes dutilisation courante par les services en charge de la mise en uvre du traitement ; - Les archives intermdiaires : il sagit des donnes qui ne sont plus utilises mais qui prsentent encore un intrt administratif pour lorganisme. Les donnes sont conserves sur support distinct et sont consultes de manire ponctuelle et motive ; - Les archives dfinitives : il sagit des donnes prsentant un intrt historique, scientifique ou statistique justifiant quelles ne fassent lobjet daucune destruction. Elles sont alors rgies par le livre II du Code du patrimoine et non par la loi informatique et liberts.
Les archives doivent tre scurises et chiffres si les donnes archives sont des donnes sensibles ou juges confidentielles par lentreprise.

Mettre en uvre des modalits daccs spcifiques aux donnes archives du fait que lutilisation dune archive doit intervenir de manire ponctuelle et exceptionnelle. Suivre les prconisations donnes dans la fiche n17 - Le chiffrement, sagissant du chiffrement des archives. Sagissant de la destruction des archives, choisir un mode opratoire garantissant que lintgralit dune archive a t dtruite. A titre dexemple, lANSSI accorde des certifications de premier niveau des logiciels pour raliser cet objectif (http://www.ssi.gouv.fr/site_rubrique54.html). Selon la nature des supports, on peut mentionner : - Les broyeurs et dchiqueteurs pour le papier ainsi que les supports numriques tels que les CD et DVD ; - Les dgausseurs pour les units de stockage technologie magntique.
Se rfrer au document Guide technique pour la confidentialit des informations enregistres sur les disques durs recycler ou exporter. (http://www.ssi.gouv.fr/archive/fr/documentation/Guide_effaceur_ V1.12du040517.pdf).
32
Utiliser des supports ne prsentant pas une garantie de longvit suffisante. A titre dexemple, on peut mentionner les CD et DVD dont la longvit dpasse rarement 4/5 annes.

Plus dinformations sur les problmatiques darchivage sont disponibles sur le site des archives de France : http://www.archivesdefrance.culture.gouv.fr/ gerer/archives-electroniques/.
33
F iche
n 1 3
L A R C H I V A G E
la communication de donnes caractre personnel doit tre scurise, cest-dire que la confidentialit, lintgrit et lauthenticit des informations doivent tre assures. La messagerie lectronique et le fax, mme sils apportent un gain de temps, ne constituent pas a priori un moyen de communication sr pour transmettre des donnes personnelles. Une simple erreur de manipulation (e-mail erron, erreur de numrotation du fax destinataire) peut conduire divulguer des destinataires non habilits des informations personnelles et porter ainsi atteinte au droit la vie prive des personnes. En outre la transmission via Internet de donnes nominatives comporte, compte tenu de labsence gnrale de confidentialit du rseau Internet, des risques importants de divulgation de ces donnes et dintrusion dans les systmes informatiques internes.

Concernant la confidentialit de la communication : - Chiffrer les donnes avant leur enregistrement sur le support lorsque la transmission de donnes seffectue par lenvoi dun support physique ( technologie optique ou magntique). - Lors dun envoi via un rseau : - si cette transmission utilise la messagerie lectronique, chiffrer les pices transmettre. A ce sujet, il convient de se rfrer aux prconisations de la fiche n17 Le chiffrement ; - sil sagit dun transfert de fichiers, utiliser un protocole garantissant la confidentialit, tel que SFTP ; - si cette transmission utilise le protocole HTTP, utiliser le protocole SSL (HTTPS) pour assurer lauthentification des serveurs la confidentialit des communications.
Dans tous les cas, la transmission du secret (cl de dchiffrement, mot de passe, etc.) garantissant la confidentialit du transfert doit seffectuer dans une transmission distincte, si possible via un canal de nature diffrente de celui ayant servi la transmission des donnes (par exemple, envoi du fichier chiffr par mail et communication du mot de passe par tlphone ou SMS).
34
F iche
1 4
L E C H A N G E
D I N F O R M A T I O N S
A V E C
D A U T R E S
O R G A N I S M E S
Fiche n 14 - Lchange dinformations avec dautres organismes
- le fax doit tre situ dans un local physiquement contrl et accessible uniquement au personnel habilit ; - limpression des messages doit tre subordonne lintroduction dun code daccs personnel ; - lors de lmission des messages, le fax doit afficher lidentit du fax destinataire afin dtre assur de lidentit du destinataire ; -d oubler lenvoi par fax dun envoi des documents originaux au destinataire ; - prenregistrer dans le carnet dadresse des fax (si cette fonctionnalit existe) les destinataires potentiels.

Transmettre des fichiers contenant des donnes personnelles en clair via des messageries web du type Gmail ou Hotmail.

Concernant lintgrit des donnes : il est recommand de calculer une empreinte sur les donnes en clair et de transmettre cette empreinte afin que lintgrit des donnes soit vrifie au moment de leur rception. Les calculs dempreintes peuvent tre raliss laide dalgorithmes de hachage tels que SHA-1 ou SHA-2. Lutilisation de SHA-2 est recommande. Concernant lauthenticit des donnes : lmetteur peut signer les donnes avant leur envoi afin de garantir quil est lorigine de la transmission. Une signature lectronique requiert la mise en place dune infrastructure de gestion de cls publiques14 (en anglais Public Key Infrastructure, PKI) ; lutilisation dalgorithmes cls publiques, lorsque les diffrents acteurs ont mis en place une infrastructure de gestion de cls publiques, apparat particulirement adapte pour garantir la confidentialit et lintgrit des communications, ainsi que lauthenticit de lmetteur par lutilisation de la signature llectronique.
14 - Sur la notion de cl publique, voir la fiche n17 Le chiffrement
35
F iche
1 4
L E C H A N G E
A V E C
D A U T R E S
O R G A N I S M E S
Si vous tes amen utiliser le fax, il est recommand de mettre en place les mesures suivantes :
Les algorithmes mis en uvre dans le cadre de cette infrastructure doivent suivre les prconisations de lannexe B1 du Rfrentiel Gnral de Scurit16. Ce rfrentiel prcise notamment les longueurs de cl considrer. la date de rdaction de ce document, il est par exemple prconis que : - La taille minimale dune cl RSA soit de 2048 bits, pour une utilisation ne devant pas dpasser lanne 2020 ; - Pour une utilisation au-del de 2020, la taille minimale de la cl RSA est de 4096 bits.
Ds lors que les donnes ont t reues, que leur intgrit a t vrifie par le destinataire et quelles ont t intgres dans le systme dinformation, il est conseill de dtruire les supports ou fichiers ayant servi leur transmission.
15 - Un certificat est constitu : 1.dune valeur de cl publique 2. dinformations complmentaires permettant didentifier le propritaire de la cl (adresse email, nom) 3. dune signature par une cl publique dune autorit de certification sur lensemble de ces informations. 16 - http://www.references.modernisation.gouv.fr/rgs-securite
36
F iche
1 4
L E C H A N G E
Ces valeurs sont donnes titre indicatif, et sont dpendantes du contexte propre chaque traitement.
A V E C
D A U T R E S
O R G A N I S M E S
Une telle infrastructure consiste dlivrer une paire de cls prive/publique lensemble des personnes susceptibles dchanger des informations. Les cls publiques doivent tre certifies par une autorit de certification pour laquelle chacun des utilisateurs le certificat15 racine, ceci afin que lauthenticit des cls publiques soient garanties.
Fiche n 15 - Les dveloppements informatiques

I N F O R M A T I Q U E S F iche n 1 5 L E S D E V E L O P P E M E N T S
la protection des donnes caractre personnel doit tre partie intgrante du dveloppement informatique afin dempcher toute erreur, perte, modification non autorise, ou tout mauvais usage de celles-ci dans les applications.

Effectuer le dveloppement informatique dans un environnement informatique distinct de celui de la production (par exemple, sur des ordinateurs diffrents, dans des salles machines diffrentes). Prendre en compte les exigences de scurit vis--vis des donnes caractre personnel ds llaboration du service ou ds la conception de lapplication.

Utiliser des donnes caractre personnel relles pour les phases de dveloppement et de test. Si des donnes relles sont nanmoins requises, il convient que celles-ci soient anonymises (cf fiche n16 Lanonymisation)

Le dveloppement doit imposer des formats de saisie et denregistrement des donnes qui minimisent les donnes collectes. Par exemple, sil sagit de collecter lanne de naissance dune personne, le champ du formulaire correspondant ne doit pas permettre la saisie du mois et du jour de naissance. Cela peut se traduire notamment par la mise en uvre dun menu droulant limitant les choix pour un champ dun formulaire. Les formats de donnes doivent tre compatibles avec la mise en uvre dune dure de conservation. Le contrle daccs aux donnes par des catgories dutilisateurs doit tre intgr au moment du dveloppement. Eviter le recours des zones de texte libre. Si de telles zones sont requises, il faut faire apparatre soit en filigrane, soit comme texte pr-rempli seffaant sitt que lutilisateur dcide dcrire dans la zone, les mentions suivantes : Les personnes disposent dun droit daccs aux informations contenues dans cette zone de texte. Les informations que vous y inscrivez doivent tre PERTINENTES au regard du contexte. Elles ne doivent pas comporter dapprciation subjective, ni faire apparatre, directement ou indirectement les origines raciales, les opinions politiques, philosophiques ou religieuses, les appartenances syndicales ou les murs de la personne concerne.
37
Fiche n 16 - Lanonymisation
L A N O N Y M I S A T I O N F iche n 1 6 -
On distingue les concepts danonymisation irrversible et danonymisation rversible, cette dernire tant parfois dnomme pseudonymisation. Lanonymisation irrversible consiste supprimer tout caractre identifiant un ensemble de donnes. Concrtement, cela signifie que toutes les informations directement et indirectement identifiantes sont supprimes et rendre impossible toute r-identification des personnes. Lanonymisation rversible est une technique qui consiste remplacer un identifiant (ou plus gnralement des donnes caractre personnel) par un pseudonyme. Cette technique permet la leve de lanonymat ou ltude de corrlations en cas de besoin.

Etre trs vigilant dans la mesure o une r-identification peut intervenir partir dinformations partielles17. Anonymiser une donne personnelle en procdant comme suit : gnrer un secret suffisamment long et difficile mmoriser18 ; - - appliquer une fonction dite sens unique sur les donnes : un algorithme convenant pour une telle opration est un algorithme de hachage cl secrte, tel que lalgorithme HMAC19 bas sur SHA-1.
Si une donne personnelle est anonymise et non purement supprime, il existe un risque de r-identification20. - En labsence dun besoin de leve de lanonymat, prvoir de supprimer le secret afin de rduire ce risque. - Dans lhypothse o le secret doit tre conserv pour une ventuelle leve de lanonymisation ou une finalit de corrlation entre diffrentes donnes, prvoir de mettre en place des mesures organisationnelles21 pour garantir la confidentialit de ce secret. Les accs celui-ci doivent tre tracs.
17 - A titre dexemple, la ville et la date de naissance peuvent parfois suffire identifier formellement une personne. 18 - Un exemple de chaine de caractres ayant valeur de secret est : f{rXan?cI$IPCk|Bb-aQWH6ud0;#oQt. 19 - HMAC est spcifi dans le document RFC 2104, http://www.ietf.org/rfc/rfc2104.txt 20 - Il est possible dassocier la donne originale la donne anonymise ds lors que le secret est compromis et que la complexit de la donne originale nest pas suffisante. Les donnes personnelles possdent souvent une complexit, autrement dit une entropie insuffisante. Par exemple, les patronymes franais sont en nombre limit (infrieur 1,5 millions), tous rpertoris. 21 - Un exemple de telle mesure consiste partager la cl en trois paires de valeurs confies trois personnes diffrentes, ncessitant quau moins deux personnes se runissent pour reconstituer la cl.
38

Utiliser des mcanismes danonymisation non valids par des experts. Un bon algorithme danonymisation doit notamment : - tre irrversible ; - avoir un trs faible taux de collision : deux donnes diffrentes ne doivent pas mener un mme rsultat ; - avoir une grande dispersion : deux donnes quasi-semblables doivent avoir des rsultats trs diffrents ; - pouvoir mettre en uvre une cl secrte.

Dans certains cas, il est conseill dappliquer une double anonymisation rversible : soit lapplication dune seconde anonymisation sur le rsultat dune premire anonymisation. Ces deux anonymisations doivent utiliser des secrets diffrents, dtenus par des organismes distincts. Lalgorithme FOIN (Fonction dOccultation des Informations Nominatives) est un exemple dalgorithme double anonymisation.
39
F iche
1 6
L A N O N Y M I S A T I O N
Fiche n 17 - Le chiffrement
C H I F F R E M E N T F iche n 1 7 L e
le chiffrement, parfois improprement appel cryptage, est un procd cryptographique permettant de garantir la confidentialit dune information. Les mcanismes cryptographiques permettent galement dassurer lintgrit dune information, ainsi que lauthenticit dun message en le signant. On distingue deux familles cryptographiques permettant de chiffrer : la cryptographie symtrique et la cryptographie asymtrique : - la cryptographie symtrique comprend les mcanismes pour lesquels la mme cl sert chiffrer et dchiffrer ; - la cryptographie asymtrique comprend les mcanismes pour lesquels la cl servant chiffrer, appele cl publique, est diffrente de la cl servant dchiffrer, appele cl prive. On parle de paire de cls.
Lintrt de la cryptographie asymtrique est multiple : - Chaque personne na besoin que dune paire de cls prive/publique. A contrario, la cryptographie symtrique ncessite davoir autant de cls diffrentes que de couples de personnes qui veulent communiquer confidentiellement ; - Les cls publiques peuvent tre rendues publiques pour quiconque souhaitant vous envoyer un message confidentiel. Toutefois lauthenticit des cls publiques nest ainsi pas garantie. Aussi la mise en uvre de la cryptographie asymtrique dans le cadre dchanges de messages sinscrit le plus souvent dans la mise en place dune Infrastructure de Gestion de Cls Publiques22 ;
Lchange dinformations de manire confidentielle entre deux parties A et B seffectue comme suit : Chiffrement au moyen de la cryptographie symtrique :
A Cl Donne en clair Chiffrement Donne chiffre Donne chiffre Dchiffrement Donne en Clair Transmission via un canal scuris B Cl
Transmission via un canal non scuris
22 - Voir la fiche n14 Lchange dinformations avec dautres organismes
40
A Cl publique de B (KpubB) Donne en clair Chiffrement
Si lchange de la cl publique a lieu via un canal non scuris, il faut que leur authenticit soit garantie22 Donne chiffre Donne chiffre
B Cl publique de B (KpubB) Cl prive de B (KprivB)
Transmission via un canal non scuris
Dchiffrement
Donne en Clair
Signature au moyen de la cryptographie asymtrique : Du fait que la cl prive nest dtenue que par une personne, la cryptographie asymtrique permet de garantir limputabilit dun message en le signant laide sa cl prive. Ce que la cryptographie ne permet pas du fait du partage de la cl entre deux parties.
A Cl prive de A (KprivA) Empreinte Cl publique de A (KpubA) Chiffrement Si lchange de la cl publique a lieu via un canal non scuris, il faut que leur authenticit soit garantie22 Signature Donne chiffre Dchiffrement Empreinte Vrification Donne en clair Calcul de lempreinte Empreinte B Cl publique de A (KpubA)
Transmission via un canal non scuris Calcul de lempreinte Donne en clair

Concernant le chiffrement symtrique : - utiliser des algorithmes ltat de lart, tels que lAES ou le triple DES ; - utiliser des cls cryptographiques de longueur au moins gale 128 ou 256 bits et qui ne soient pas des cls faibles23. En outre, la gnration des cls doit se faire au moyen de logiciels prouvs, par exemple openSSL24.
22 - Voir la fiche n14 Lchange dinformations avec dautres organismes 23 - Un exemple de cl faible est la cl nulle :00000000000000000000000000000000 24 - http://www.openssl.org/
41
F iche
1 7
L e
C H I F F R E M E N T
Chiffrement au moyen de la cryptographie asymtrique :
- Utiliser des algorithmes prouvs, tels que le RSA ou lECC ; - Concernant la longueur des cls, il convient de suivre les prconisations donnes en annexe B1 du Rfrentiel Gnral de Scurit25. En outre, la gnration des cls doit se faire au moyen de logiciels prouvs, par exemple openSSL24.

Utiliser lalgorithme simple DES, algorithme considr comme obsolte. Utiliser des logiciels ou des librairies cryptographiques nayant pas fait lobjet de vrifications par des tierces parties lexpertise avre.

Le chiffrement de documents peut tre ralis au moyen de diffrents logiciels, dont notamment : - le logiciel TrueCrypt26, permettant la mise en uvre de conteneurs27 chiffrs ; - le logiciel Gnu Privacy Guard, permettant la mise en uvre de la cryptographie asymtrique et dont une version est disponible ladresse http://www.gnupg.org/index.fr.html. Il est suggr de choisir des cls PGP DSA/ElGamal ayant au minimum une taille de 1536 bits, ou des cls RSA dune taille minimale de 2048 bits ; - dfaut, il peut tre envisag dutiliser un utilitaire de compression tel que ceux bass sur lalgorithme ZIP, ds lors quils permettent le chiffrement laide dun mot de passe. Cest le cas notamment du logiciel 7-Zip.
24 - http://www.openssl.org/ 25 - Cf http://www.references.modernisation.gouv.fr/rgs-securite 26 - Il convient dutiliser la version 6.0a qui bnficie dune certification de premier niveau par lANSSI. 27 - Par conteneur, il faut comprendre un fichier susceptible de contenir plusieurs fichiers.
42
F iche
1 7
L e
C H I F F R E M E N T
Concernant le chiffrement asymtrique :
Acronymes
acronymes
AES : Advanced Encryption Standard, un algorithme cryptographique symtrique considr comme une rfrence. DES : Data Encryption Standard, un algorithme cryptographique symtrique considr comme dpass. DHCP : D ynamic Host Configuration Protocol, un protocole permettant la configuration dynamique des paramtres rseau dune machine (y compris lattribution de son adresse IP). DNS : Domain Name Server, Serveur de nom de domaine, Ces serveurs font notamment la correspondance entre un nom de machine, par exemple www.cnil.fr, et une adresse IP, en loccurrence 94.247.233.54. DSA : Digital Signature Algorithm, un algorithme cryptographique de signature. EBIOS : Une mthodologie dvaluation des risques relatifs la scurit des Systmes dInformation. ECC : Elliptic Curve Cryptography, cryptographie base sur les courbes elliptiques. HMAC : une fonction de hachage permettant de garantir lauthenticit dun message HTTP : HyperText Transfer Protocol, le protocole du web. HTTPS : HTTP scuris par SSL. MAC : Medium Access Control, ladresse MAC est un identifiant unique de chaque interface rseau. RAID : Redundant Array of Independent Disks, dsigne une technologie permettant de stocker des donnes sur plusieurs disques durs afin damliorer la tolrance aux pannes. RSA : Un algorithme de cryptographie asymtrique, du nom de ses trois concepteurs Rivest, Shamir et Adelman. SFTP : un protocole de communication fonctionnant au-dessus de SSH pour transfrer et grer des fichiers distance. SHA : Secure Hash Algorithm, une famille de fonctions de hachage standardises (SHA-1, SHA256, etc.). SI : Systme dInformation. SQL : S tructure Query Language, le protocole servant interroger ou manipuler des bases de donnes. SSH : Secure SHell, un protocole scuris de connexion distance en mode console. SSL : Secure Socket Layer, un protocole qui permet notamment de scuriser le trafic HTTPS. VNC : Virtual Network Computer, un protocole permettant la prise de contrle distance dun poste de travail. VPN : Virtual Private Network, un canal de communication qui garantit la confidentialit des changes.
43
Annexe 1 - Menaces informatiques

liste des menaces ciblant les systmes informatiques et les fichiers considrer en priorit : pour les matriels : - dtournement de lusage prvu (stockage de fichiers personnels sur lordinateur de bureau, stockage de documents sensibles sur une cl USB non prvue cet effet) ; - espionnage (observation dun cran linsu de son utilisateur, golocalisation dun tlphone) ; - dpassement des limites de fonctionnement (panne de courant, temprature excessive dune salle serveur, unit de stockage pleine) ; - dtrioration (inondation ou incendie dune salle serveur, dgradation du fait de lusure naturelle, vandalisme) ; - modification (ajout de priphrique, webcam, keylogger28) ; - disparition (vol, perte, cession ou mise au rebut dun ordinateur). pour les logiciels : - dtournement de lusage prvu (lvation de privilges, fouille de contenu, effacement de traces) ; - analyse (balayage dadresses rseaux, collecte de donnes de configuration) ; - dpassement des limites de fonctionnement (injection de donnes en dehors des valeurs prvues, dbordement de tampon) ; - suppression totale ou partielle (bombe logique, effacement de code) ; - modification (contagion par un code malveillant, manipulation inopportune lors dune mise jour) ; - disparition (cession dun logiciel dvelopp en interne, non renouvellement de licence). pour les canaux de communication : - coute passive (coute sur un cble rseau, interception) ; - saturation (exploitation distante dun rseau wifi, tlchargement non autoris, assourdissement de signal) ; - dgradation (sectionnement de cblage, torsion de fibre optique) ; - modification (changement dun cble par un autre inappropri, modification de chemin de cble), - disparition (vol de cbles en cuivre) ; - attaque du milieu (man in the middle, rejeu/rmission dun flux). pour les supports papier : - dtournement de lusage prvu (falsification, effacement, utilisation du verso dimpressions papier en tant que brouillons) ; - espionnage (lecture, photocopie ou photographie de documents) ; - dtrioration (vieillissement naturel, corrosion chimique, dgradation volontaire, embrasement lors dun incendie) ; - disparition (vol de documents, revente, perte, prt, mise au rebut).
28 - Dispositif denregistrement des frappes du clavier.
A N N E X E
44
Une difficult ? Une hsitation ?
Plus dinformations sur le site de la CNIL www.cnil.fr,
Une permanence de renseignements juridiques par tlphone est assure tous les jours de 10h 12h et de 14h 16h au 01 53 73 22 22
Vous pouvez en outre adresser toute demande par tlcopie au 01 53 73 22 00
Evaluez le niveau de scurit des donnes personnelles dans votre organisme

Avez-vous pens ?
Fiche 1 Analyser les risques Mesure Recensez les fichiers et donnes caractre personnel et les traitements Dterminez les menaces et leurs impacts sur la vie prive des personnes Mettez en uvre des mesures de scurit adaptes aux menaces Dfinissez un identifiant (login) unique chaque utilisateur Adoptez une politique de mot de passe utilisateur rigoureuse Obligez lutilisateur changer son mot de passe aprs rinitialisation Dfinissez des profils dhabilitation Supprimez les permissions daccs obsoltes Documentez les procdures dexploitation Rdigez une charte informatique et annexez-la au rglement intrieur Limitez le nombre de tentatives daccs un compte Installez un pare-feu (firewall) logiciel Utilisez des antivirus rgulirement mis jour Prvoyez une procdure de verrouillage automatique de session Prvoyez des moyens de chiffrement pour les ordinateurs portables et les units de stockage amovibles (cls USB, CD, DVD) Effectuez des sauvegardes rgulires Stockez les supports de sauvegarde dans un endroit sr Prvoyez des moyens de scurit pour le convoyage des sauvegardes Prvoyez et testez rgulirement la continuit dactivit Enregistrez les interventions de maintenance dans une main courante Effacez les donnes de tout matriel avant sa mise au rebut Recueillez laccord de lutilisateur avant toute intervention sur son poste Prvoyez un systme de journalisation Informez les utilisateurs de la mise en place du systme de journalisation Protgez les quipements de journalisation et les informations journalises Notifiez les personnes concernes des accs frauduleux leurs donnes Restreignez les accs aux locaux au moyen de portes verrouilles Installez des alarmes anti-intrusion et vrifiez-les priodiquement Limitez les flux rseau au strict ncessaire Scurisez les accs distants des appareils informatiques nomades par VPN Utilisez le protocole SSL avec une cl de 128 bits pour les services web Mettez en uvre le protocole WPA - AES/CCMP pour les rseaux WiFi Adoptez une politique de mot de passe administrateur rigoureuse Installez sans dlai les mises jour critiques Assurez une disponibilit des donnes Prvoyez une clause spcifique dans les contrats des sous-traitants Assurez-vous de leffectivit des garanties prvues (audits de scurit, visites...) Prvoyez les conditions de restitution et de destruction des donnes Mettez en uvre des modalits daccs spcifiques aux donnes archives Dtruisez les archives obsoltes de manire scurise Chiffrez les donnes avant leur envoi Assurez-vous quil sagit du bon destinataire Transmettez le secret lors dun envoi distinct et via un canal diffrent o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o
Authentifier les utilisateurs
Grer les habilitations & sensibiliser les utilisateurs
Scuriser les postes de travail Scuriser linformatique mobile Sauvegarder et prvoir la continuit dactivit
Encadrer la maintenance
Tracer les accs et grer les incidents Protger les locaux Protger le rseau informatique interne Scuriser les serveurs et les applications
10
11
12
Grer la sous-traitance
13 14
Archiver Scuriser les changes avec dautres organismes

Guide Securite VD

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Guide Securite VD

Transféré par

Droits d'auteur :

Formats disponibles

LA SCURIT DES DONNES PERSONNELLES

Ce guide est tlchargeable sur le site Internet de la CNIL : www.cnil.fr

Alex TRK Prsident de la CNIL

Termes & dfinitions

Fiche n 1 - Quels risques ?

Les prcautions lmentaires

Ce quil ne faut pas faire

Pour aller plus loin

Fiche n 2 - Authentification des utilisateurs

Les prcautions lmentaires

Pour aller plus loin

Ce quil ne faut pas faire

Les prcautions lmentaires

Fiche n 3 - Gestion des habilitations & sensibilisation des utilisateurs

- systmes automatiques de filtrage ; - systmes automatiques de traabilit ; - gestion du poste de travail.

5. L  es responsabilits et sanctions encourues en cas de non respect de la charte.

4. L  es conditions dadministration du systme dinformation, et lexistence, le cas chant, de:

Modle dune charte informatique :

 Dfinir des comptes administrateur partags par plusieurs personnes.

Pour aller plus loin

Ce quil ne faut pas faire

Exemple dengagement de confidentialit relatif aux donnes caractre personnel :

Fiche n 4 - Scurit des postes de travail

Les prcautions lmentaires

Ce quil ne faut pas faire

Pour aller plus loin

Fiche n 5 - Comment scuriser linformatique mobile ?

Les prcautions lmentaires

Ce quil ne faut pas faire

Pour aller plus loin

Fiche n 6 - Les sauvegardes et la continuit dactivit

Les prcautions lmentaires

 Sagissant de la continuit dactivit :

Pour aller plus loin

Ce quil ne faut pas faire

Les prcautions lmentaires

Pour aller plus loin

Ce quil ne faut pas faire

Fiche n 8 - Tracabilit et gestion des incidents

Les prcautions lmentaires

10 - Coordinated Universal Time

Ce quil ne faut pas faire

Pour aller plus loin

Fiche n9 - Scurit des locaux

Les prcautions lmentaires

Ce quil ne faut pas faire

Pour aller plus loin

Fiche n 10 - Scurit du rseau informatique interne

Les prcautions lmentaires

Ce quil ne faut pas faire

12 - Cf. Fiche n17 Le chiffrement

Un exemple dune telle architecture est reprsent ci-dessous.

Figure 1: Exemple dun rseau informatique cloisonn par VLAN

Pour mettre en uvre un tel cloisonnement, plusieurs mthodes sont envisageables :

Serveurs dapplication Service 2

Pour aller plus loin

Rseau interne ->

<- Zone accessible -> depuis Internet (DMZ)

Routeur Serveurs Serveurs techniques de messagerie (DHCP, DNS)

Figure 2: Exemple de mise en uvre dune DMZ

Fiche n 11 - scurite des serveurs et des applications

Les prcautions lmentaires

Ce quil ne faut pas faire

Pour aller plus loin

5. L es responsabilits et sanctions encourues en cas de non respect de la charte.

4. L es conditions dadministration du systme dinformation, et lexistence, le cas chant, de:

Dfinir des comptes administrateur partags par plusieurs personnes.

Sagissant de la continuit dactivit :

14 - Sur la notion de cl publique, voir la fiche n17 Le chiffrement

Concernant le chiffrement asymtrique :