Vous êtes sur la page 1sur 47

Manuel Oprationnel de la Scurit du SI

Manuel Oprationnel de la Scurit du


Systme d'Information pour lhbergement
de donns de sant caractre personnel
(Exemple)

Version 1.0

1 / 47

Manuel Oprationnel de la Scurit du SI

Rvisions
Date

Rvision

Objet
Rdaction

01/01/2011

1.0

Validation

Approbation

Manuel Oprationnel de la scurit pour lHbergement de donns de sant caractre personnel


(Exemple)
Security Risk Analyst

RSSI

DSI

Documents de rfrence
1
2
3
4

Titre / Rvision / Date

Origine

PSSI et politique du SMSI


Norme ISO 27001
Norme ISO 20000
Norme ISO 27799

Hbergeur
ISO
ISO
ISO

Version 1.0

2 / 47

Manuel Oprationnel de la Scurit du SI

SOMMAIRE
S O M M A I R E ........................................................................................................................ 3
1. POLITIQUE PARTICULIERE DE SECURITE DE L HEBERGEMENT DE
D O N N E E S D E S A N T E A C A R A C T E R E P E R S O N N E L ............................................... 6
1.1.
1.2.
1.3.

C O N T E X T E ................................................................................................................ 6
L E S R E F E R E N C E S U T I L I S E E S ................................................................................ 6
D O M A I N E D A P P L I C A T I O N ....................................................................................... 7

2.

T E R M I N O L O G I E ....................................................................................................... 8

3.

O R G A N I S A T I O N D E L A S E C U R I T E ................................................................... 10
3.1.
P I L O T A G E , M I S E E N U V R E E T C O N T R O L E ........................................................10
3.1.1.
R O L E S E T R E S P O N S A B I L I T E S ............................................................................10
3.1.2.
R E V U E S E T A U D I T S .............................................................................................10
3.2.
R E G L E S A P P L I C A B L E S A U X T I E R C E S P A R T I E S ..................................................11
3.2.1.
T I E R C E S P A R T I E S ...............................................................................................11
3.2.2.
O B L I G A T I O N S C O M M U N E S ..................................................................................11
3.2.3.
O B L I G A T I O N S R E L A T I V E S A U X I N T E R V E N A N T S S U R S I T E .............................11

4.

I D E N T I F I C A T I O N E T G E S T I O N D E S I N F O R M A T I O N S E T D E S B I E N S ... 12
4.1.
4.2.
4.3.

5.

S E C U R I T E L I E E A U X C O M P O R T E M E N T S D E S P E R S O N N E S ..................... 14
5.1.
5.2.
5.3.
5.4.
5.5.
5.6.
5.7.
5.7.1.

6.

R E S P O N S A B I L I T E S R E L A T I V E S A U X B I E N S .........................................................12
C L A S S I F I C A T I O N D E S I N F O R M A T I O N S .................................................................12
G E S T I O N D E S B I E N S M A T E R I E L S E T L O G I C I E L S ................................................13
R E S P O N S A B I L I T E S .................................................................................................14
O B L I G A T I O N D E C O N F I D E N T I A L I T E ......................................................................15
F O R M A T I O N E T S E N S I B I L I S A T I O N ........................................................................15
A V A N T L E R E C R U T E M E N T ......................................................................................16
P E N D A N T L A D U R E E D U C O N T R A T .......................................................................16
F I N O U M O D I F I C A T I O N D E C O N T R A T ....................................................................17
T R A I T E M E N T D E S I N C I D E N T S E T N O N C O N F O R M I T E S .......................................17
A C T I O N S C O R R E C T I V E S .....................................................................................18

S E C U R I T E P H Y S I Q U E E T E N V I R O N N E M E N T A L E ........................................ 19
6.1.
Z O N E S S E N S I B L E S ..................................................................................................19
6.1.1.
A C C E S P H Y S I Q U E D U P E R I M E T R E ....................................................................19
6.2.
G E S T I O N D E S B A D G E S D A C C E S ..........................................................................20
6.2.1.
C A T E G O R I E S D E B A D G E S ...................................................................................20
6.2.2.
A T T R I B U T I O N S .....................................................................................................20
6.2.3.
M O D I F I C A T I O N .....................................................................................................20
6.2.4.
R E V O C A T I O N ........................................................................................................20
6.3.
T R A V A I L D A N S L E S L O C A U X S E C U R I S E S ............................................................21
6.4.
P R O T E C T I O N D E S E Q U I P E M E N T S .........................................................................21
6.4.1.
I N S T A L L A T I O N E T P R O T E C T I O N D E S E Q U I P E M E N T S . .....................................21
6.4.1.1.
P R E V E N T I O N D E S R I S Q U E S N A T U R E L S . .......................................................22
6.4.1.2.
S U R V E I L L A N C E P A R D E S M O Y E N S H U M A I N S . ..............................................23
6.4.2.
C O N D I T I O N N E M E N T E L E C T R I Q U E E T C L I M A T I Q U E .........................................23
6.4.2.1.
C L I M A T I S A T I O N ................................................................................................23
6.4.2.2.
N E R G I E ............................................................................................................23
6.4.3.
S E C U R I S A T I O N D U C A B L A G E .............................................................................24
6.4.4.
M A I N T E N A N C E D E S E Q U I P E M E N T S ...................................................................24
6.4.5.
M E S U R E S I N D I V I D U E L L E S D E P R O T E C T I O N ....................................................24

Version 1.0

3 / 47

Manuel Oprationnel de la Scurit du SI

7.

G E S T I O N D E S S Y S T E M E S E T R E S E A U X .......................................................... 25
7.1.
A D M I N I S T R A T I O N D E S S Y S T E M E S ........................................................................25
7.1.1.
P R O C E D U R E S D A D M I N I S T R A T I O N E T D E X P L O I T A T I O N . ..............................25
7.1.2.
G E S T I O N D E S C H A N G E M E N T S ...........................................................................25
7.1.3.
S E P A R A T I O N D E S R O L E S ...................................................................................25
7.1.4.
S E P A R A T I O N D E S A C T I V I T E S D E D E V E L O P P E M E N T E T D E X P L O I T A T I O N ...25
7.2.
M A I N T I E N E N C O N D I T I O N O P E R A T I O N N E L ..........................................................26
7.2.1.
M A I N T I E N D E L A D I S P O N I B I L I T E .......................................................................26
7.2.2.
M A I N T I E N D E L I N T E G R I T E ................................................................................26
7.2.2.1.
T R A A B I L I T E D E S G E S T E S D A D M I N I S T R A T I O N ..........................................26
7.2.2.2.
T R A A B I L I T E D E S I N C I D E N T S ........................................................................26
7.3.
L U T T E C O N T R E L E S V I R U S E T C O D E S M A L V E I L L A N T S ......................................26
7.3.1.
T R A I T E M E N T ........................................................................................................27
7.3.2.
R E P O R T I N G ..........................................................................................................27
7.4.
A D M I N I S T R A T I O N D E S R E S E A U X ..........................................................................27
7.4.1.
R E S E A U X L O C A U X ...............................................................................................27
7.4.2.
L E S A C C E S D I S T A N T S .........................................................................................28
7.4.2.1.
G E S T I O N D E S D R O I T S .....................................................................................29
7.4.2.2.
C L I E N T S ............................................................................................................29
7.5.
P R O T E C T I O N E T M A N I P U L A T I O N D E S M E D I A S ....................................................29
7.5.1.
D I S P O S I T I O N S G E N E R A L E S ...............................................................................29
7.5.2.
P R O T E C T I O N ........................................................................................................29
7.5.3.
R E C Y C L A G E E T M I S E A U R E B U T .......................................................................30

8.

C O N T R O L E D A C C E S ............................................................................................ 31
P R O F I L S E T R E G L E S D A C C E S ..............................................................................31
G E S T I O N D E S H A B I L I T A T I O N S ..............................................................................31
C R E A T I O N A L E M B A U C H E ..................................................................................31
G E S T I O N D E S D E M A N D E S ..................................................................................32
G E S T I O N D E S P R I V I L E G E S .................................................................................32
G E S T I O N D E S M O T S D E P A S S E .........................................................................32
V E R I F I C A T I O N ......................................................................................................32
O B L I G A T I O N D E S U T I L I S A T E U R S ..........................................................................33
S E C U R I T E D E S M O T S D E P A S S E .......................................................................33
P O S T E D E T R A V A I L .............................................................................................33
C O N T R O L E D A C C E S A U R E S E A U .........................................................................33
A D M I N I S T R A T I O N D E S E Q U I P E M E N T S R E S E A U X .............................................34
AUTHENTIFICATION RENFORCEE DANS LE CADRE DE LHEBERGEMENT DE
D O N N E E S D E S A N T E A C A R A C T E R E P E R S O N N E L ............................................................35
8.5.
C O N T R O L E D A C C E S A U S Y S T E M E .......................................................................35
8.5.1.
A D M I N I S T R A T I O N D E S M O T S D E P A S S E ...........................................................35
8.6.
C O N T R O L E D A C C E S A U X A P P L I C A T I O N S ...........................................................35
8.7.
D E T E C T I O N , A N A L Y S E E T T R A I T E M E N T D E S I N C I D E N T S D E S E C U R I T E .........36
8.7.1.
V E N E M E N T S J O U R N A L I S E S ..............................................................................37
8.7.2.
A L A R M E S E T T A B L E A U X D E B O R D D E S E C U R I T E ............................................37
8.7.3.
A U D I T E T D R O I T D A C C E S ..................................................................................38
8.7.4.
S T O C K A G E E T P R O T E C T I O N D E S E V E N E M E N T S D E S E C U R I T E .....................38
8.8.
P R O T E C T I O N D E S S Y S T E M E S E T D E S R E S E A U X ................................................38
8.8.1.
S E R V E U R S ............................................................................................................38
8.8.1.1.
P R E C A U T I O N D I N S T A L L A T I O N .......................................................................38
8.8.1.2.
P A R A M E T R A G E D U S Y S T E M E ..........................................................................39
8.8.1.3.
P A R T A G E D E S R E S S O U R C E S ..........................................................................39
8.8.2.
P O S T E D E T R A V A I L .............................................................................................39
8.8.2.1.
P R E C A U T I O N A L I N S T A L L A T I O N ....................................................................40
8.8.2.2.
P A R A M E T R A G E D U S Y S T E M E ..........................................................................40
8.8.3.
Q U I P E M E N T S R E S E A U X ....................................................................................40
8.9.
U T I L I S A T I O N D E M O Y E N S C R Y P T O G R A P H I Q U E S ................................................41
8.1.
8.2.
8.2.1.
8.2.2.
8.2.3.
8.2.4.
8.2.5.
8.3.
8.3.1.
8.3.2.
8.4.
8.4.1.
8.4.2.

Version 1.0

4 / 47

Manuel Oprationnel de la Scurit du SI


8.9.1.
8.9.2.
8.9.3.
9.

P R I N C I P E S A P P L I C A B L E S ...................................................................................41
C H I F F R E M E N T ......................................................................................................41
G E S T I O N D E S C L E S ............................................................................................41

D E R O G A T I O N .......................................................................................................... 42

1 0 . C O N F O R M I T E .......................................................................................................... 43
10.1.
10.2.
10.3.
10.4.
10.5.
10.6.
10.7.
10.7.1.
10.7.2.
10.7.3.
10.7.4.
10.7.5.

Version 1.0

D R O I T S D A U T E U R ..............................................................................................43
D E C L A R A T I O N A L A C N I L ..................................................................................43
F R A U D E I N F O R M A T I Q U E .....................................................................................44
M A N Q U E M E N T A L A S E C U R I T E D U S Y S T E M E D I N F O R M A T I O N ......................44
O B L I G A T I O N D E C O N F I D E N T I A L I T E ...................................................................44
C A D R E L E G A L P O U R L U T I L I S A T I O N D E L A C R Y P T O L O G I E ...........................45
C O D E D E C O N D U I T E D E L A U D I T E U R ................................................................46
O B L I G A T I O N D E C O N F I D E N T I A L I T E ...............................................................46
L I M I T E D E L A U D I T ...........................................................................................46
M O D E O P E R A T O I R E .........................................................................................46
C O N S E R V A T I O N D E L I N F O R M A T I O N .............................................................47
C O M M U N I C A T I O N .............................................................................................47

5 / 47

Manuel Oprationnel de la Scurit du SI

1. Politique particulire de scurit de


lhbergement de donnes de sant caractre
personnel
1.1.

Contexte

La scurit et la confidentialit sont une contrainte forte et une condition de succs


de lhbergement de donnes de sant caractre personnel.
Les objectifs de scurit dcoulent, d'une part, directement des contraintes,
notamment rglementaires, qui incombent lhbergement de donnes de sant
caractre personnel et, d'autre part, des risques couvrir tels qu'ils dcoulent d'une
analyse de risque mene, suivant la mthodologie EBIOS, sur l'ensemble du
systme dhbergement de donnes de sant caractre personnel.
La Politique Particulire de Scurit de lhbergement de donnes de sant
caractre personnel est structure autour de trois critres fondamentaux :

La confidentialit : laptitude du systme rserver laccs aux informations


aux seules personnes ayant les connatre ;
La disponibilit : laptitude du systme tre accessible et utilisable lorsque
cela est requis par les acteurs autoriss ;
Lintgrit : laptitude du systme demeurer intact, non corrompu et sans
altration. Ce critre est aussi tendu laptitude fournir la preuve de cette
intgrit (traabilit, authenticit de lmetteur et du contenu).

Les informations ou ressources du SI protger ne concernent pas seulement les


informations attaches lhbergement de donnes de sant caractre personnel
mais aussi :

Les environnements et donnes de configuration et de paramtrage des


systmes et rseaux, ainsi que toutes donnes relatives lhabilitation des
utilisateurs ;
Les environnements et donnes dexploitation ou dadministration des
systmes et rseaux ainsi que toutes donnes relatives lhabilitation des
exploitants et administrateurs ;
Les composants organisationnels, matriels et logiciels participant la
scurit du Systme dInformation.

1.2.

L e s r f r e nc e s ut i l i s e s

Les exigences de scurit dveloppes dans ce document et qui traduisent la


Politique Particulire de Scurit de lhbergement de donnes de sant caractre
personnel sappuient en particulier sur :

la norme ISO27001:2005, ISO27002 et ISO 27799


le rfrentiel scurit de lhbergeur,

Version 1.0

6 / 47

Manuel Oprationnel de la Scurit du SI

Loi 78.17 du 06 janvier 1978 relative l'informatique, aux fichiers et aux


liberts, et dispositions d'application associes ;
Loi 91.646 du 10 juillet 1991 relative au secret des correspondances mises
par la voie des tlcommunications ;
Dcret 2007- 960 du 15 mai 2007 relatif la confidentialit des informations
mdicales ;
Dcret n2006-6 du 4 janvier 2006 dfinissant les conditions dagrment des
hbergeurs de donnes de sant caractre personnel ;
loi du 4 mars 2002 relative aux droits des malades et la qualit du systme
de sant, et notamment larticle L1111-8 du Code de la sant publique relative
lhbergement de donnes de sant ;
Article L1110-4 relatif au droit au respect de la vie prive et au secret des
informations des patients ;
Loi du 13 aot 2004 portant cration du Dossier Mdical Personnel,
notamment au travers de larticle L161-36-1 ;
Loi 85.660 du 3 juillet 1985 sur la protection des logiciels ;
Loi 92.597 du 1er juillet 1992 relative la partie lgislative du Code de la
proprit intellectuelle ;
Loi 94.361 du 10 mai 19941985 sur la protection des logiciels ;
Articles 323-1 323-7 du nouveau code pnal, relatifs la fraude
informatique.

1.3.

D o m a i ne d a p pl i c a t i on

Ce document prescriptif sapplique lorganisation, au pilotage, ladministration,


lexploitation, lutilisation, lvolution, au maintien en condition oprationnelle et
au retrait dexploitation pour lensemble des ressources informatiques de
lhbergement de donnes de sant caractre personnel.
Le Systme dInformation, objet de la Politique Particulire de Scurit de
lhbergement de donnes de sant caractre personnel, comprend les matriels
informatiques, les logiciels, les algorithmes et les spcifications internes, la
documentation, les moyens de transmission, les procdures et les paramtres de
contrle de la scurit, les donnes et les informations qui sont collectes, gardes,
traites, recherches ou transmises par ces moyens et lorganisation des
ressources humaines les mettant en uvre.
Ce document constitue la base de la scurit de lensemble des ressources
informatiques de lhbergement de donnes de sant caractre personnel.

Version 1.0

7 / 47

Manuel Oprationnel de la Scurit du SI

2.

Terminologie

ADMINISTRATION

Dsigne
lensemble
des
oprations
quotidiennes raliser sur une application (ou
un progiciel) ou un quipement pour quelle
rende le service voulu lutilisateur (exemple :
installation, paramtrage et optimisation des
systmes).

COSEC

Dsigne le Comit de Pilotage de la Scurit


compos de la Direction mdicale, de la
Direction de lHbergement et du RSSI.

DI
Demande dintervention

Dsigne le processus de lancement, la


demande
dun
utilisateur,
de
tches
conscutives une dfaillance ou un incident,
destines recouvrer lintgrit du service
attendu.

DICA

Disponibilit,
Intgrit,
Confidentialit,
Auditabilit, les quatre piliers de la scurit.

DEPLOIEMENT

Au sein des activits dexploitation, le


dploiement dsigne plus particulirement la
validation et la diffusion de tous les logiciels et
applications ainsi que leur mise jour, sur les
postes de travail et les serveurs.

DH

Direction Hbergement.

DONNEES SENSIBLES

Dans le Systme dInformation les donnes sont


classifies.

DM

Direction Mdicale
hbergeur).

DMP

Dossier Mdical Personnel.

EXPLOITATION

Version 1.0

(Mdecin

responsable

Dsigne
lensemble
des
oprations
quotidiennes raliser sur les machines
(serveurs, postes de travail) et les systmes
dexploitation (OS) afin que les quipements
rendent le service attendu. A ces oprations,
sajoutent des actions de diagnostic dincident
sur les composants objets de lexploitation.

8 / 47

Manuel Oprationnel de la Scurit du SI

JOURNAUX DAUDIT

MAINTENANCE
LOGICIELLE

MAINTENANCE
MATERIELLE

PLAV
RFC
Request for Change

RSSI

SI
SUPERVISION

UTILISATEURS

Version 1.0

Dsigne
les
moyens
permettent,
soit
manuellement, soit de faon automatise, de
recueillir les informations en provenance des
diffrents composants du systme quips des
outils de traage ad hoc (journaux, traces
diverses) afin de vrifier que les oprations sont
ralises conformment aux rgles en vigueur
et de dtecter les tentatives dactions illicites.
Dsigne les actions permettant de prendre en
compte de petites volutions logicielles. A titre
dexemple,
lapplication
de
correctifs
mineurs entre dans cette catgorie.
Dsigne les actions permettant de diagnostiquer
une dfaillance du matriel, et de remettre celuici en service : remplacement dun composant
matriel, action de maintenance prventive,
escalade.
Plan de Lutte Antivirus
Dsigne le processus de gestion du
changement, la demande dune personne
habilite, de tches planifies destines
amliorer un service attendu et/ou ayant un
impact sur les cots et/ou la scurit.
Responsable de la Scurit du Systme
dInformation
Systme dInformation
Dsigne les actions permettant de visualiser les
composants actifs et les flux dinformations, et
de collecter des vnements paramtrs
intressant la disponibilit, la prvention, la
dtection et le diagnostic des anomalies ou
encore la scurit du systme.
Il s'agit des diffrentes catgories de personnes
ayant un rle vis--vis de la plateforme
dhbergement de donnes de sant
caractre personnel.

9 / 47

Manuel Oprationnel de la Scurit du SI

3.

Organisation de la scurit

3.1.

P i l ot a g e , m i s e e n u v r e e t c on t r l e
3.1.1.

Rles et responsabilits

Le RSSI, dfinit la politique de scurit et de confidentialit et veille son


application.
Il a la responsabilit de la scurit, sur le primtre de lhbergement de donnes de
sant caractre personnel. A ce titre, le RSSI est garant de lefficacit des mesures
mises en uvre y compris du contrle daccs aux locaux.
Pour ce faire, il sappuie sur :

La direction de lhbergeur pour solliciter les budget des moyens mettre en


uvre.
Les Services Gnraux pour mettre en uvre les moyens de scurit
physique.
Le Responsable des oprations informatiques et ses quipes en charge de la
mise en uvre pratique des fonctions de scurit.
Le Responsable de lexploitation informatique et ses quipes.
Le Directeur Mdical pour laudit des donnes de sant.

Politique du SMSI
Les rles et fonctions sont dfinis dans le document Nomenclature
mtier

Organigramme

de lhbergeur de donnes de sant caractre

personnel

3.1.2.

Revues et audits

Le RSSI mne une revue rgulire de conformit permettant de valider lapplication


des mesures, solutions et procdures de scurit.
Les conclusions de cette revue saccompagnent de recommandations pour
atteindre le niveau de scurit souhaitable et corriger les dysfonctionnements et
vulnrabilits ventuelles. Lorsque des failles de scurit graves ont t mises
jour, le RSSI vrifie que les dlais fixs pour engager des actions correctives sont
adapts la menace. Il contrle, si ncessaire la pertinence et la bonne application
des mesures mises en uvre.
Pour chaque volution majeure su SI, le RSSI est consult pour valider par analyse
de risque ou audit le changement.

Version 1.0

10 / 47

Manuel Oprationnel de la Scurit du SI

3.2.

R gl e s a ppl i c a b l e s a ux t i e r c e s pa r t i e s
3.2.1.

Tierces parties

Le terme de tierce partie lhbergement de donnes de sant caractre


personnel distingue les catgories suivantes :

Consultant, prestataire, appui,


Fournisseur de biens matriels ou logiciels,
Tiers mainteneur,
Partenaire technique ou commercial.
3.2.2.

Obligations communes

Lhbergeur de donnes de sant caractre personnel sappuie sur une procdure


de gestion des fournisseurs et de la sous-traitance, qui permet dvaluer, de
slectionner et de grer efficacement les fournisseurs en fonction de leur aptitude
fournir un produit ou un service conforme aux exigences de lentreprise.
La procdure prvoit une tude des risques avant dtablir un contrat avec un soustraitant afin de garantir la prennit de lentreprise sous traitante. Ce contrat stipule la
dure de la mission, le travail et la qualit de ce qui doit tre livr en fin de mission
ainsi que les clauses contractuelles, les obligations de confidentialit et de respect
des consignes de scurit sous peine de sanction.
Ce contrat est paraph par les deux parties prenantes, savoir lhbergeur de
donnes de sant caractre personnel et la socit prestataire.
La charte dapplication et le guide de la scurit de linformation sont applicables aux
Tiers accdant aux informations, au mme titre que le personnel de lhbergeur de
donnes de sant caractre personnel.

Charte de scurit et guide de scurit de linformation


Procdure de Gestion de la sous-traitance
3.2.3.

Obligations relatives aux intervenants sur site

Laccs aux locaux, aux btiments et aux sites est soumis lautorisation du RSSI
du site concern. Des badges Prestataire avec des accs standards sont dlivrs
aux prestataires. Ces badges sont limits dans le temps correspondant la dure
prvue de la mission.
Des badges temporaires sont remis au personnel technique des fournisseurs en
intervention rgulire, aprs avoir t dment identifi par laccueil ou par les
oprateurs de la salle dactivit, contre remise dune pice didentit.
Les livreurs nont quun accs limit au portillon du service de livraison.
Laccs certains locaux, en particulier les locaux dans lesquels sont manipules
des donnes sensibles, est soumis habilitation / autorisation spcifique.

Procdure dAccs Prestataires au Datacenter

Version 1.0

11 / 47

Manuel Oprationnel de la Scurit du SI

4. Identification et gestion des informations et


des biens
4.1.

R e s p o ns a bi l i t s r e l a t i v e s a u x bi e ns

Lapplication des rgles de protection des ressources et informations est sous


lautorit des responsables de service. Ils se font assister dans cette mission par le
RSSI.

4.2.

C l a s s i f i c a t i o n d e s i n f or m a t i on s

En termes de confidentialit, lhbergeur de donnes de sant caractre personnel


qualifie la sensibilit de linformation selon trois niveaux :

Public, ce niveau correspond aux informations accessibles au public,

Interne, ce niveau est le niveau par dfaut de toutes les informations relatives
lhbergement de donnes de sant caractre personnel,

Confidentiel, ce niveau sapplique aux donnes mdicales, aux donnes


dadministration, aux identits des patients, des donnes personnelles, ...

Guide de scurit de l'information : Classification de l'information


Dans le domaine li la diffusion de linformation, seules les informations de niveau
Confidentiel ncessitent une protection adapter en fonction de lenvironnement
de linformation.
Toute information a un propritaire qui doit en dfinir la sensibilit.
Toute information publie doit faire lobjet dune classification pour rglementer sa
diffusion.
Tout propritaire doit classifier les documents quil est amen publier, de manire
dterminer les personnes qui ont le droit den connatre. Tout utilisateur
dinformations sensibles doit leur appliquer les rgles de scurit adquates, de
mme quil doit respecter ces mmes rgles pour tous les documents auxquels il a
accs dans le cadre de ses fonctions.
Il est de la responsabilit du propritaire de :
s'assurer que l'information est classe au bon niveau de sensibilit
(confidentielle, interne, publique); par exemple, en l'inscrivant sur tous les
documents ou supports contenant des donnes sensibles,
dfinir la liste les personnes autorises accder ou modifier une
information confidentielle et de le mentionner ces personnes,
s'assurer que l'information est stocke dans un endroit accessible aux seules
personnes autorises (en lecture ou en criture),

Version 1.0

12 / 47

Manuel Oprationnel de la Scurit du SI

de mentionner la proprit intellectuelle sur l'information et les ventuelles


dispositions spcifiques dfinies par son propritaire lgal (classification,
utilisation, diffusion...),
de s'assurer que la d-classification, l'archivage et la destruction de
l'information sont grs de manire approprie.

Guide de scurit de l'information : Responsabilit du "propritaire"


de l'information

4.3.

G e s t i o n de s bi e n s m a t r i e l s e t l o gi c i e l s

Les biens matriels (quipements informatiques et tlcoms) de lHbergement de


donnes de sant caractre personnel, et de leurs clients sont identifis
(tiquetage individuel) et grs sous la responsabilit de leur propritaire.
La sortie dquipements du site nest possible que dans le cadre de procdures
appropries sous lautorit du Directeur Informatique et du RSSI.

Procdure de sortie de matriel

Version 1.0

13 / 47

Manuel Oprationnel de la Scurit du SI

5.

Scurit lie aux comportements des personnes

On distingue 4 catgories de personnes :


les managers et personnel dencadrement,
les agents et tierces parties utilisant linformatique dans le cadre de leur
mtier,
les administrateurs en charge de la scurit des systmes dinformation,
ncessitant une formation spcialise,
les clients (utilisateur final)
La Politique Particulire de Scurit de lHbergement de donnes de sant
caractre personnel, ainsi que les chartes dutilisation des moyens informatiques de
lhbergeur sappliquent tous les utilisateurs, sur les sites de lhbergeur.

5.1.

R e s p o ns a bi l i t s

Lutilisateur a lobligation de respecter lensemble des rgles de scurit de


lhbergeur.
Lutilisateur est tenu de signaler toute dfaillance ou tout manquement vis--vis des
rgles de scurit dont il aurait connaissance ou auquel il serait incit.
Chaque utilisateur est responsable vis--vis de lhbergeur de l'usage des
ressources informatiques de lHbergement de donnes de sant caractre
personnel fait avec ses droits d'accs. Chaque utilisateur doit donc :

observer des mesures individuelles de protection,


grer ses moyens daccs (cartes puces, codes pins, mots de passe),
se dconnecter du rseau, ou passer en cran de veille avec mot de passe,
ds qu'il s'loigne de son poste,
prvenir dans les meilleurs dlais l'administrateur de toute anomalie constate
quant leur utilisation ou envoyer un message au RSSI qui escaladera si
ncessaire au niveau suprieur,
respecter les consignes de scurit qui lui sont communiques par sa
hirarchie et le RSSI.

En cas de non-respect de ses obligations en matire de scurit, la responsabilit


pnale de lutilisateur peut tre engage.
En cas daccs aux ressources informatiques au moyen dun dispositif
dauthentification renforce, le couple, authentificateur plus code secret, remis
l'utilisateur est strictement personnel et incessible.
Tout accs ralis grce un dispositif dauthentification renforc sera rput l'avoir
t par l'utilisateur. Lutilisateur est tenu de prserver le caractre secret du code.

Version 1.0

14 / 47

Manuel Oprationnel de la Scurit du SI

5.2.

O bl i ga t i o n de c o nf i de nt i a l i t

Les donnes contenues dans lHbergement de donnes de sant caractre


personnel sont strictement couvertes par le secret professionnel.
En cas de non-respect de ses obligations en matire de confidentialit, la
responsabilit pnale de lutilisateur peut-tre engag (article 226-13 du code pnal).
Conformment larticle 29 de la loi du 6 janvier 1978 relative linformation, aux
fichiers et aux Liberts, lhbergeur sengage prendre toutes les mesures
ncessaires afin de prserver la confidentialit des informations et notamment
dempcher quelles soient consultes, utilises ou communiques des personnes
non autorises.
Lhbergeur sengage donc respecter et faire respecter par son personnel le
secret professionnel.
La politique de confidentialit, son application et son contrle sont confis au RSSI.
La direction des ressources humaines de lhbergeur est charge de :

Dfinir les missions et pouvoirs des utilisateurs et des ventuels soustraitants;


Faire signer une clause de confidentialit par lensemble du personnel et des
ventuels fournisseurs et sous-traitants ;

Le RSSI est charg de :

Informer et former les utilisateurs aux obligations en matire de confidentialit


et aux mesures de protection du secret professionnel ;
Procder des contrles rguliers pour vrifier le respect des obligations en
matire de confidentialit, et apporter les modifications ncessaires aux
mesures de protection du secret professionnel en cas de dfaillance.

LHbergement de donnes de sant caractre personnel est tenu dans le respect


du secret mdical.
Seul le directeur mdical de lhbergeur, tenu au respect du secret mdical, a un
droit daccs aux donnes mdicales.

Charte dutilisation du SI
Charte dontologique
5.3.

F or m a t i o n e t s e n s i bi l i s a t i o n

La formation et la sensibilisation visent faire prendre conscience chaque


utilisateur quil dtient une part importante de responsabilit dans le maintien des
objectifs de scurit de lhbergeur et de ses clients.

Version 1.0

15 / 47

Manuel Oprationnel de la Scurit du SI

Le RSSI engage des actions rgulire de communication et de sensibilisation sur la


scurit. Lors de la mise en exploitation ou de la refonte dune application impliquant
laccs des informations sensibles, le RSSI sensibilise le personnel aux risques et
prescrit les gestes et comportements de scurit ncessaires.
De plus, le service de formation de lhbergeur permet dassurer la formation des
collaborateurs sur lutilisation des technologies, des processus, et tout autre dispositif
constituant le systme dinformation utilis pour lHbergement de donnes de sant
caractre personnel

5.4.

Av a n t l e r e c r u t e m e nt

Tout le personnel de lhbergeur suit le mme circuit de recrutement quel que soit le
type de son contrat de travail (CDI, CDD, Intrim, Stage, ). Le personnel
temporaire suit donc le mme processus de recrutement que le personnel dfinitif.
Afin dapprcier les informations donnes par le futur salari, une prise de contact
peut tre effectue auprs de ses anciens employeurs.
Les responsabilits relatives entre autre la scurit sont abordes au moment du
recrutement. Une clause de confidentialit est incluse dans les contrats de travail de
lhbergeur concernant les responsabilits en matire de scurit dans leurs
fonctions ainsi que des clauses de confidentialit par rapport aux donnes clientes.
Au niveau prestataires, stagiaires ou filiales, une clause de confidentialit est dfinie
dans le contrat liant la socit externe et lhbergeur. De plus une mme clause lie le
collaborateur extrieur sa socit dans son ordre de mission.
De plus la charte de scurit de linformation est annexe tous les contrat de travail
et signe par le collaborateur.

5.5.

P e n d a n t l a dur e d u c o nt r a t

Il incombe au responsable hirarchique du collaborateur de rappeler et de sassurer


du respect des consignes de scurit.
Une clause de chaque contrat de travail attire lattention sur lutilisation
professionnelle des moyens mis disposition. Il est mentionn dans le rglement
intrieur et dans la charte informatique que lusage des outils mis disposition du
salari doit tre limit un usage professionnel. Seul un usage priv raisonnable,
modr ou en situations urgentes est autoris.
Une responsabilisation forte sur les rgles de scurit est faite selon les besoins ou
les structures.
Une charte et un guide de scurit de l'information sont en vigueur. Ils sappliquent
tous les salaris de lhbergeur utilisant les ressources informatiques. Ils ont t mis
en place pour informer les utilisateurs du cadre dfinissant lutilisation des SI
(procdures utilises pour le signalement des incidents, incitation forte au
signalement dincidents constats par ces utilisateurs, sanctions lencontre des

Version 1.0

16 / 47

Manuel Oprationnel de la Scurit du SI

employs coupables dinfraction la scurit, ) et pour fixer les droits et devoirs


des administrateurs du systme dinformation.
Cette Charte dutilisation du systme informatique et daccs aux services
Internet est accessible par tous les utilisateurs salaris du rseau au quotidien sur
lintranet.

Charte dutilisation du SI
Rglement intrieur
5.6.

F i n o u m o di f i c a t i o n de c o nt r a t

Lors de la modification de contrat incluant un changement de fonction et de


responsabilit, le salari aura, la demande de la hirarchie, des droits daccs
diffrents, en rapport avec les modifications apportes son contrat de travail, lui
seront attribus, ainsi que la restitution et/ou le prt de biens servant la ralisation
de ses nouvelles fonctions.
Lors de la fin de contrat dun salari, il lui est demand de restituer les biens qui lui
ont t confis pour lexercice de ses fonctions. Ses droits daccs physiques et
logiques seront supprims et son compte sera dsactiv rception du fichier
hebdomadaire des sorties fournit par les ressources humaines ou la demande de
la hirarchie.

Guide de la scurit de l'information : Inventaire et restitution des


quipements individuels et des informations

5.7.

T r a i t e m e nt d e s i nc i de nt s e t no n c on f or m i t s

Afin de minimiser les impacts des incidents et des dfauts de scurit, lhbergeur a
mis en place des procdures favorisant la ractivit. Ainsi, une surveillance des
quipements et des traitements critiques est assure 24h/24 et 7j/7, permettant une
dtection et donc une prise en compte rapide des incidents.
Pendant les heures ouvres, les utilisateurs ont pour consigne dalerter le support
informatique pour tout incident. Ce dernier est enregistr avec un degr de criticit
dans un logiciel dincident afin den garder la traabilit. Lincident est classifi en
Incident de scurit . Celui-ci est pris en compte, analys et escalad aux quipes
comptentes si ncessaire jusqu rsolution complte de lincident.
La communication est faite la direction mtier ou technique concerne.
En heures non ouvres, une quipe dastreinte peut tre appele de jour comme de
nuit en cas dincident par les oprateurs 24h/24, 7j/7.
En cas dincident de scurit concernant les dispositifs physiques, les Services
Gnraux sont alerts ds lincident ou le dfaut de scurit constat.
Pour tout incident ou dfaut constat, le collaborateur se doit dalerter un
responsable hirarchique et lquipe comptente. En aucun cas il ne doit tenter de
solutionner lincident seul et sans communiquer.

Version 1.0

17 / 47

Manuel Oprationnel de la Scurit du SI

Tous les mois, les incidents sont revus en comit Scurit sous la responsabilit du
RSSI afin den contrler le type et la nature. Ce qui permet, en cas didentification
dincidents rcurrents, ou dont limpact est lev, de mettre des dispositifs de
contrles renforcs ou supplmentaires, llaboration dun plan daction aprs
analyse du risque.
Des indicateurs relatifs au suivi de la scurit alimenteront un tableau de bord.
Ces indicateurs concerneront en particulier les infections virales, les nonconformits, les attaques et toute autre tentative daccs illicite aux ressources
informatiques.
5.7.1.

Actions correctives

Des actions correctives, si possible dfinitives, sont systmatiquement recherches


et suivies jusqu leur terme par le RSSI, la suite dincidents de scurit rptitifs
ou srieux, de remontes dalertes, de vulnrabilits dtectes lors de la revue de
conformit, ou lorsquelles font suite un retour dexprience.

Version 1.0

18 / 47

Manuel Oprationnel de la Scurit du SI

6.

Scurit physique et environnementale

6.1.

Z o n e s s e ns i bl e s

Les biens et informations sensibles sont protgs. Les mesures de protection


techniques et organisationnelles mises en uvre garantissent que des intrusions
physiques dans les zones contrles sont dtectables.
Les zones contrles sont identifies et soumises des inspections rgulires de la
part du RSSI.
Bien que les agressions physiques ne puissent tre toutes empches, les moyens
de protection physique offrent une rsistance effective aux intrusions physiques
minima pour en ralentir la progression et permettre lalerte.
Toute intrusion dans un local sensible gnre une alarme qui est remonte en salle
de supervision qui en fonction de la gravit et de la nature de la menace peut
entrainer un dplacement de la police.
6.1.1.

Accs physique du primtre

Chaque zone de bureaux ncessite un accs par badge habilit.


Chaque btiment de lhbergeur se trouve sous vido surveillance, et conformment
la loi informatique et libert n78-17, les enregistrements sont conservs un mois,
et sont visibles sur demande auprs du service scurit.
Chaque btiment est protg par une alarme anti-intrusion le soir (20h) jusqu'au
lendemain matin (7h) pour les jours ouvrs et 24h/24 les week-ends. Les traces
dalarme sont conserves en historique. Lalarme ne peut tre dsactive en cas de
prsence dans le btiment, elle peut uniquement tre retarde par tranche de 45
minutes par les badges habilits.
Tous les bureaux peuvent tre ferms cl la journe en cas dabsence. Le
personnel dispose de rangements sous cl (caisson, armoire) dans son bureau afin
dy classer les documents et matriels de travail confidentiels.
Les bureaux avec des accs pompiers restent ouverts.
Les locaux techniques (lectricit, tlcommunication, rseau, ) sont ferms cl
ou contrls par badges.
Les salles serveurs disposent de protections supplmentaires : contrle daccs
double (badge et biomtrie), sas daccs, vido surveillance. De plus, tous les accs
sont tracs. Ces traces ne sont accessibles qu un nombre restreint de personne.
Elles sont supervises en permanence par les oprateurs.

Descriptif technique du Data Center

Version 1.0

19 / 47

Manuel Oprationnel de la Scurit du SI

6.2.

G e s t i o n de s ba d g e s d a c c s
6.2.1.

Catgories de badges

Les badges ont un accs modulable (accs au btiment par service).


Chaque badge daccs est nominatif. Il comporte le logo de lhbergeur (pas le nom
de la socit), la photo, le nom et le prnom du salari.
Un numro de badge permet de rapprocher le cas chant le badge de son
propritaire.
Le badge doit tre port de faon visible lors des dplacements dans les locaux.
Le mode dattribution des badges dpend de catgories :
Salari en CDI : le badge na pas de date limite de validit (en dbut de
contrat le salari a un badge temporaire pendant 1 5 jours le temps que son
badge dfinitif soit gnr),
Salari en CDD : le badge est limit dans le temps ( fin de contrat) et ne
comporte pas lidentit du salari mais la mention TEMPORAIRE,
Stagiaire : le badge est limit dans le temps ( fin de stage) et ne comporte
pas lidentit du stagiaire mais la mention STAGIAIRE,
Prestataire : le badge est limit dans le temps ( fin de prestation) et ne
comporte pas lidentit du prestataire mais la mention PRESTATAIRE,
Visiteurs : Les visiteurs nont pas de badge mais sont toujours accompagns
dune personne interne lhbergeur. Cette personne aura la responsabilit
du ou des visiteurs quelle accompagne.
6.2.2.

Attributions

Les demandes de badges sont faites par le service du personnel lembauche dun
collaborateur, ou larrive dun stagiaire, intrimaire ou prestataire.
Toutes les demandes de badge sont stockes puis archives.
Le badge est remis au salari accompagn dun document expliquant ses
responsabilits.
6.2.3.

Modification

Par dfaut les badges sont crs pour des accs standards. Si le salari a besoin
daccs plus large, son responsable hirarchique doit en faire la demande justifie
aux services gnraux.
6.2.4.

Rvocation

Les ressources humaines envoient une liste du personnel sortant quand il y a des
mouvements. Dans le cas dun salari qui a dj quitt la socit le badge est
rvoqu. Dans le cas dun salari dont la date de dpart est fixe, la priode de
validit du badge est modifie.
Les badges rvoqus, comportant la photo du salari, sont dtruits.

Version 1.0

20 / 47

Manuel Oprationnel de la Scurit du SI

En cas de vol de badge, celui-ci est immdiatement supprim. Un badge temporaire


avec date de validit est fournit en attendant que le nouveau badge dfinitif soit
gnr.
En cas doubli de badge, la personne doit se rendre aux services gnraux afin
davoir un badge temporaire valable une journe.

Guide de scurit de l'information : Accs aux locaux


Guide de scurit de l'information : Travail en zone scuris
Guide de scurit de l'information - Annexe Administrateur : Travail
en zone scurise
6.3.

T r a v a i l d a ns l e s l oc a ux s c ur i s s

Des procdures et des contrles renforcs sont exigibles par le RSSI pour accrotre la
scurit des locaux sensibles.
Des consignes, portes la connaissance du personnel par sa hirarchie et par le Data
Center Manager, dterminent les conditions de travail dans les locaux scuriss :

ne pas laisser seule une personne travaillant dans ces locaux pour des
raisons de scurit du personnel ou compte tenu de la sensibilit des
informations accessibles, dfaut dans le premier cas, obligation faite que la
personne signale sa prsence ( son responsable hirarchique, au service
scurit) de sorte quun contrle frquent assure que la vie de la personne
isole nest pas en danger,
maintenir systmatiquement ferms les locaux scuriss, mme
provisoirement vacants,
ne pas laisser seule une tierce partie dans un local scuris.

Guide de scurit de l'information : Travail en zone scuris


Guide de scurit de l'information - Annexe Administrateur : Travail
en zone scurise
Guide

de scurit de l'information - Annexe Administrateur :


Protection des systmes sensibles

Procdure d'enrlement
Procdure daccs des mainteneurs tiers
6.4.

P r ot e c t i o n de s q ui pe m e n t s
6.4.1.

Installation et protection des quipements.

Le matriel est situ dans des salles dhbergement dont laccs est protg par un
lecteur de badges et un appareil de reconnaissance biomtrique.

Version 1.0

21 / 47

Manuel Oprationnel de la Scurit du SI

Les autorisations daccs aux Data Center sont faites par formulaire papier sign du
responsable de la ressource et transmise au Data Center Manager qui vrifie la
demande et la signe conjointement avec le RSSI.
Seul le Data Center Manager et le responsable scurit physique des Services
Gnraux sont habilits enrler de nouveaux membres ou en supprimer.
Une liste des personnes ayant accs aux salles dhbergement est tenue jour par
le Data Center Manager. Cette liste est contrle priodiquement par le RSSI.
Des camras enregistrent sur 7 jours les diffrents vnements : les passages
(accs au btiment, accs la salle dhbergement) et prsence dans la salle sont
enregistrs et gards pendant 1 mois.
Aucune personne extrieure, ou ntant pas habilite accder aux salles
dhbergement ne pourra entrer sans stre enregistre dans le registre des visites et
sans tre accompagne par une personne ayant accs.
En cas de visite de la salle par une personne extrieure (client ou prospect), une
personne habilite fera senregistre les personnes extrieures sur le registre des
visites tenu par les oprateurs, puis accompagnera ces personnes tout le long de la
visite.
Pour les Tiers mainteneurs, ils doivent senregistrer sur un registre, puis se faire
accompagner par un oprateur le temps de leur intervention.

Descriptif technique du Data Center


Procdure d'enrlement
Procdure daccs des mainteneurs tiers
6.4.1.1.

Prvention des risques naturels.

Les mesures de protection contre l'incendie et les dgts des eaux sont prises
plusieurs niveaux : prvention, dtection, confinement, extinction pour lincendie, et
sauvegarde rsiduelle des biens.
Des consignes au personnel de surveillance et des consignes gnrales diffuses
tout le personnel indiquent la conduite tenir.
Au niveau de lhbergement, le confinement du feu et des fumes est assur par la
rsistance des matriaux au feu, le compartimentage du btiment, la configuration
des ouvertures et par les mesures suivantes prises ds la confirmation de dtection :
arrt de la climatisation, fermeture des clapets et des portes coupe-feu, coupure
d'alimentation lectrique des machines. Les moyens de surveillance et de dtection
sont centraliss vers une salle oprateur qui dispose de consignes claires et
connues en cas dincident.
Des boucles de dtection deau sont prsentes en faux plancher dans les salles
informatiques, et notamment dans les bacs de rtention deau disposes sous les
Units de Climatisation. La supervision se fait depuis la centrale dalarme en salle
oprateur.

Version 1.0

22 / 47

Manuel Oprationnel de la Scurit du SI

6.4.1.2.

Surveillance par des moyens humains.

Les dispositifs de surveillance par des moyens humains ont pour but de dtecter et
dinterdire en permanence la prsence de personnel non autoris lintrieur du site.
Ces dispositifs supposent la mise en uvre de moyens diffrents selon les priodes
de la journe (heures ouvres ou non), tels que des moyens :
statiques : filtrage lentre de ltablissement par les personnels daccueil
aux heures ouvres, aux heures non ouvres la surveillance se fait via
supervision des camras par les oprateurs,
mobiles : rondes dun maitre chien, effectues essentiellement en dehors des
heures de travail et permettant de surveiller lintgrit du site et des zones
sensibles,
dintervention : internes ou externes (police, etc.).
Le personnel assurant la surveillance est en nombre suffisant pour effectuer en
toutes circonstances les surveillances et rondes ncessaires, de jour comme de nuit.
Les surveillants appels se dplacer seuls sur un site sont quips dun matriel
de communication.
6.4.2.

Conditionnement lectrique et climatique

Les mesures dcrites au prsent chapitre sappliquent au site dhbergement.

Descriptif technique du Data Center


6.4.2.1.

Climatisation

La fiabilit du systme dinformation ne peut se concevoir sans un contrle rigoureux


des conditions ambiantes dans lesquelles il est plac. La chaleur, lhumidit, la
poussire, les carts de temprature nuisent au bon fonctionnement des
quipements.
Les climatiseurs sont quips dune rgulation de type numrique garantissant
ladquation aux besoins de la zone concerne.
Les moyens de surveillance et de dtection sont centraliss vers la salle oprateur.
Un automate de contrle supervise les systmes de climatisation, et assure le
dlestage de la climatisation de confort sur dfaillance ou surcharge et la
retransmission des alarmes vers la salle oprateur.
Lalimentation des climatiseurs est du type Normal / Secours assur par les groupes
lectrognes.
6.4.2.2.

nergie

Les quipements tlcoms et informatiques, notamment les serveurs hbergeant les


donnes requirent, pour leur bon fonctionnement, la mise en uvre de dispositifs
dalimentation en nergie ayant un taux de disponibilit adapt aux exigences
spcifiques dexploitation.

Arrives de distribution lectrique redondes.

Version 1.0

23 / 47

Manuel Oprationnel de la Scurit du SI

Secours lectrique par des onduleurs redonds, des batteries et un groupe


lectrogne.
Chaque protection est relie la console GTB (Supervision lectrique)
6.4.3.

Scurisation du cblage

Les conduits utiliss pour les cbles rseau sont spars dau moins 30 cm des
conduits utiliss pour les cbles lectriques en respect des normes en vigueur.
Les cbles rseau pntrent directement en salle informatique depuis un rseau de
conduits souterrains en double parcours indpendants passant sous la voirie.
6.4.4.

Maintenance des quipements

Lensemble des quipements informatiques et tlcoms fait lobjet dun contrat de


maintenance.
Les mesures suivantes sont prises pour la maintenance des quipements supportant
des donnes sensibles :
signature, par les socits titulaires des contrats de maintenance,
dengagements de confidentialit nominatifs,
avertissement de lhbergeur par le mainteneur, pralablement toute
opration de maintenance sur site,
accompagnement de tout personnel externe par lhbergeur pour les matriels
placs dans une zone scurise,
enregistrement des interventions de maintenance par lhbergeur (heure de
dbut et de fin dintervention, matriel concern, motif de lintervention),
respect des exigences de scurit en termes de recyclage, de mise au rebut
et de destruction des mdias.
Les exigences de scurit sont prises en compte dans les clauses contractuelles des
contrats de maintenance sur site ou en atelier et approuves par lhbergeur.
6.4.5.

Mesures individuelles de protection

Le contrle daccs au poste de travail est nominatif. Le poste de travail est protg
par un mot de passe personnel (unicit didentit) soumis des rgles de
construction et de premption.
Le poste de travail revient automatiquement en mode protg aprs 10 minutes
dinactivit. Le mode protg (cran de veille) ncessite la saisie dun mot de passe.
Les rpertoires personnels en local et sur les serveurs de fichiers sont protgs.
Lutilisateur est responsable des informations confidentielles quil cre ou utilise. Il
est tenu de les protger. En fonction de leur sensibilit, il pourra les protger au
moyen dun produit de chiffrement approuv par le RSSI.

Version 1.0

24 / 47

Manuel Oprationnel de la Scurit du SI

7.

Gestion des systmes et rseaux

7.1.

Ad m i ni s t r a t i o n de s s ys t m e s
7.1.1.

Procdures dadministration et dexploitation.

Lutilisation des comptes des systmes, des quipements rseau actifs et des
comptes dadministration de bases de donnes ou dapplications est rglemente.
Des procdures scurises rgissent les gestes dadministration et dexploitation
sensibles.
La liste des comptes sensibles est revue rgulirement lors daudit des comptes par
le RSSI, au minimum une fois par an.
7.1.2.

Gestion des changements

Les changements matriels et logiciels sont grs en configuration.


Les changements ou mises niveau sont prcds par une analyse dimpact, une
tude de faisabilit du retour arrire et une sauvegarde des configurations
matrielles et logicielles.
Toute modification de linfrastructure du systme dinformation, au niveau applicatif,
systme ou rseau (avec ou sans interruption de service) doit faire lobjet dune
demande de changement. (Request For Change) Celle-ci sera soumise
acceptation lors du CAB (Change Advisory Board).
Les changements sont valids avant leur mise en uvre dans lenvironnement de
pr-production avec un plan de tests.

Procdure de gestion des changements et des mises en production


7.1.3.

Sparation des rles

Lhbergement est organis selon le principe de sparation des tches


dadministration, dexploitation et de contrle scurit.
Lattribution des comptes et des niveaux de droits se limite aux besoins de la fonction
des diffrents acteurs.
7.1.4.

Sparation des
dexploitation

activits

de

dveloppement

et

Les activits de dveloppement et dexploitation sont spares. Des moyens


techniques et organisationnels garantissent cette sparation.

Organigramme

de lhbergeur de donnes de sant caractre

personnel

Version 1.0

25 / 47

Manuel Oprationnel de la Scurit du SI

7.2.

M a i nt i e n e n c on di t i on o p r a t i o n n e l
7.2.1.

Maintien de la disponibilit

Les mesures propres minimiser lindisponibilit du SI, concernent en particulier le


suivi des ressources consommes (espace mmoire, mdias, robots, charge rseau,
puissance CPU, taux derreurs) et les tests fonctionnels avant mise en production
(fonctions de scurit)
Afin de rduire le risque de dfaillance des systmes, les quipements mis en place
sont toujours plus performants que le besoin immdiat de manire anticiper les
volutions futures.
Les outils de supervision de linfrastructure permettent de dtecter les pics de charge
et donc danticiper les ventuels goulets dtranglement.
7.2.2.

Maintien de lintgrit

7.2.2.1.

Traabilit des gestes dadministration

Toute action sensible excute partir dun compte dadministration est trace et est
tout moment auditable.
7.2.2.2.

Traabilit des incidents

Tout incident dadministration, de sauvegarde, de restauration ou de scurit est


trac et fait lobjet dune dclaration.
Tout accs non autoris une fonction dadministration ou dexploitation est trac,
toute violation faisant lobjet dune remonte dalarme.
Lhbergeur a en charge :
lactivation des fonctions daudit (sur tous les serveurs et quipements
rseaux qui le justifient),
ldition des journaux daudit sur des machines diffrentes des machines
audites,
la mise en place de droits daccs restrictifs aux journaux daudit,
lanalyse des vnements dont la surveillance lui est dlgue,
la conservation des journaux daudit pendant une dure suprieure la
frquence danalyse et darchivage,
la conservation des archives.

7.3.

L u t t e c on t r e l e s v i r u s e t c o d e s m a l v e i l l a nt s

Les postes de travail et les serveurs sont munis dune protection permanente et
jour contre les virus et les codes malveillants.
Un antivirus est install sur chaque poste de travail et chaque serveur. Cet antivirus
est gr par un serveur qui se met jour toutes les 4 heures, les serveurs de
traitements donnes et les postes de travail interrogent ce serveur toutes les 10

Version 1.0

26 / 47

Manuel Oprationnel de la Scurit du SI

minutes pour tlcharger le cas chant une mise jour (politiques dexceptions et
jeu de signatures antivirus ainsi que la liste de malwares rfrencs).
Lantivirus de fichiers analyse tous les fichiers en temps rel sauf ceux prsents dans
une liste dexception. Lantivirus de messagerie analyse tous les contenus.
Lors de la connexion au rseau via un poste de travail quip de lantivirus, une mise
jour est effectue si cela est ncessaire.
Un systme anti spam permet de filtrer les spyware, virus et autres spam via la
messagerie. La charte informatique donne la ligne de conduite sur lusage dinternet,
de la messagerie et notamment des tlchargements de fichiers et de logiciels.

Procdure de gestion des antivirus et filtre anti spam


7.3.1.

Traitement

LExploitant a lobligation dalerter sans dlais sa hirarchie et le RSSI pour tout


problme dinfection qui lui est soumis et de prendre toute mesure disolement
ncessaire pour viter la propagation des infections virales.
7.3.2.

Reporting

Les messages dalerte sont stocks sur le poste utilisateur, les remontes dalertes
dinfections sont gres par une quipe de surveillance grce des rapports du
serveur antivirus.
LExploitant a lobligation de remonter mensuellement au RSSI les statistiques
concernant les infections enregistres et les virus radiqus sur les serveurs.

7.4.

Ad m i ni s t r a t i o n de s r s e a ux
7.4.1.

Rseaux locaux

Les procdures scurises dadministration, de supervision, dexploitation et de


surveillance des rseaux locaux concernent notamment :

la connectique (brassage, connexion, cartographie),


la gestion du plan d'adressage,
linstallation et la maintenance des quipements rseau et dispositifs de
scurit associs,
la supervision et la configuration des quipements sur les rseaux locaux,
la supervision, la sauvegarde et la configuration des dispositifs de scurit
associs,
la gestion des sauvegardes et des supports,
la surveillance du fonctionnement du rseau local et des dispositifs de scurit
associs,
la vrification des performances et des paramtrages scurit du rseau,
selon les fonctionnalits offertes par les outils utiliss,
la gestion des alertes et le dclenchement des actions correctrices,

Version 1.0

27 / 47

Manuel Oprationnel de la Scurit du SI

la gestion des scurits : comptes dadministration, accs distants


(authentification renforce, filtres,..), pare-feux,
la traabilit des interventions.

Le SI de lhbergeur est compos de plusieurs zones (dlimites par des lments


de scurit) ayant chacune une fonction diffrente (usage interne, serveurs
connects Internet, applications clientes, ). Cela permet de diffrencier les flux et
ainsi de mieux les canaliser, surveiller, analyser et protger.
Les infrastructures de rseau local sont distinctes pour les usages internes (serveurs
internes) et externes (serveurs clients). De faon plus gnrale, chaque fois que
cela est possible, les ressources utilises pour les clients sont distinctes des
ressources utilises en interne. Le principe est de pouvoir intervenir en maintenance
sur les quipements internes sans faire aucune interruption de service pour les
clients et aussi de sparer les ressources afin d'viter les effets de bord, c'est--dire
viter toute influence des usages internes sur le service rendu au client.
Afin de garantir la protection des informations transitant par le rseau, les
interconnexions et accs aux ressources sont contrls par des firewalls et des
sniffeurs . Ds qu'une attaque est dtecte, l'accs intress est
automatiquement cltur. Ces firewalls assurent le contrle des flux entrant et
sortant. Une tenue jour des ports ouverts et des droits daccs est faite
priodiquement.
Diffrents Firewalls filtrent et tracent les activits entre les diffrentes zones
rseau. Chaque zone rseau ayant une fonction prcise, une analyse des traces
permet de dtecter les intrusions (Trojan en interne, accs distants, interconnexions
de rseaux, ).
Quand un problme est dtect, une sonde est place sur le rseau lendroit le
plus appropri pour complter linformation par une coute active du rseau
(enregistrement du trafic).
Des mails dalertes ou des indicateurs dans les consoles de supervision informent
galement administrateurs des problmes survenus.
7.4.2.

Les accs distants

La mise en place dun antivirus est fortement prconise dans le cas de lutilisation
de matriel personnel.
La connexion au rseau de lhbergeur en mode tltravail reprend les droits
similaires ceux dune connexion interne avec quelques privilges en moins (par
exemple la connexion au domaine interne).
Le mode tltravail nest utilis que pour le personnel dastreinte pour faciliter la
couverture 24h/24.
En cas daccs des donnes sensibles, un antivirus est exig.

Procdure de gestion des accs distants

Version 1.0

28 / 47

Manuel Oprationnel de la Scurit du SI

7.4.2.1.

Gestion des droits

Dans le cas dinterconnexions ponctuelles (accs distants) les utilisateurs


sauthentifient sur une base (Serveur didentit protg par des quipements de
scurit filtrant) gre par les administrateurs de lhbergeur. Une fois cette tape
dauthentification effectue, lutilisateur pntre sur le rseau sur une zone dlimite
(il reste encore les authentifications sur les applications). Cette phase
dauthentification est totalement transparente pour lutilisateur dans la mesure o il
utilise une application intgre qui gre elle-mme lappel au SI, lauthentification sur
le rseau et lauthentification sur le serveur dapplication. La cration des comptes
daccs distants est dfinie dans un processus tabli.
7.4.2.2.

Clients

Les clients se raccordant lhbergement de donnes de sant caractre


personnel depuis l'extrieur des sites de lhbergeur accdent au systme au travers
de dispositifs dauthentification renforcs :
carte CPS pour les professionnels de sant,

7.5.

certificat numrique pour les patients.

P r ot e c t i o n e t m a ni p ul a t i o n de s m di a s
7.5.1.

Dispositions gnrales

Lutilisation de mdias contenant des informations confidentielles fait lobjet de rgles


daccs, de conservation et de destructions scurises.
Ces rgles sappliquent notamment aux :
documents papier et lectroniques,
bandes magntiques, disques durs, optiques, DVD, CD-ROM,
disquettes, cartouches et cassettes (informatiques, vido ou audio),
cls USB.
documents en sortie dimprimante et de tlcopieur.

Procdure de gestion des supports de donnes


7.5.2.

Protection

Des mesures de protection garantissent lintgrit, la disponibilit et la confidentialit


des informations confidentielles.
Les mesures de protection applicables aux informations confidentielles consistent
notamment :
limiter laccs aux informations aux personnes ayant besoin den
connatre,
mentionner la confidentialit des documents sur chaque page
dchiqueter les brouillons ou les documents prims
transmettre les documents et mdias confidentiels en main propre,
sous enveloppe ferme par le courrier interne ou sous double
enveloppe pour le courrier externe, la sensibilit des documents ou

Version 1.0

29 / 47

Manuel Oprationnel de la Scurit du SI

des mdias tant rappele si ncessaire dans la lettre


daccompagnement
proscrire la transmission totale ou partielle des documents
confidentiels par tlcopie
conserver les documents et mdias confidentiels dans des locaux
protgs ou dans des coffres.

7.5.3.

Recyclage et mise au rebut

Une procdure de mise au rebut garantie que, les informations dtruites ne seront
plus accessibles et que des objets nouvellement crs ne contiennent pas
dinformations qui ne devraient pas tre accessibles.
Les mdias susceptibles de contenir des informations confidentielles (disques durs,
cartouches) sont dtruits physiquement et font lobjet dun procs verbal de
destruction.
Lchange standard de mdias non soumis destruction physique est conditionn
lexcution dun formatage haute scurit rutilisation ou restitution, selon le cas.
Un certificat de formatage haute scurit est exig.
Le RSSI est responsable des modalits et des procdures de destruction et de
stockage transitoire avant destruction des mdias qui lui sont confis du fait de son
mtier

Procdure de gestion des supports de donnes - Mise au rebut

Version 1.0

30 / 47

Manuel Oprationnel de la Scurit du SI

8.

Contrle daccs

La politique de contrle daccs sapplique lensemble des utilisateurs du systme


de lhbergeur, quels que soient leurs profils ou privilges
8.1.

Profils et rgles daccs

Les mesures de scurit appliques pour les profils et rgles daccs consistent
notamment :
octroyer et grer de faon centralise droits et privilges en dfinissant des
groupes dutilisateurs (administrateurs, rdacteur, lecteur, ),
dissocier les comptes administrateurs et autres comptes privilges des
autres comptes.
La politique gnrale est que :
les utilisateurs ne doivent avoir de vue que sur les applications auxquelles ils
ont besoin daccder,
les donnes ne doivent tre accessibles que par les utilisateurs habilits.
Pour cela il faut :
s'assurer que l'information est classe au bon niveau de sensibilit
(confidentielle, interne, public),
dfinir la liste les personnes autorises accder ou modifier une
information confidentielle et de le mentionner ces personnes,
s'assurer que l'information est stocke dans un endroit accessible aux seules
personnes autorises (en lecture ou en criture).

Guide

de scurit de l'information - Responsabilit du "propritaire" de


l'information

Guide de scurit de l'information - Annexe Administrateur : Accs aux systmes


sensibles

8.2.

Gestion des habilitations

8.2.1.

Cration lembauche

Tous les nouveaux arrivants sont dclars dans le logiciel des Ressources
Humaines (SIRH). Leur dclaration cr automatiquement une entre dans le
rfrentiel une fois que lutilisateur est valid par la RH.
La cration de compte daccs au SI est conditionne par la prsence dans le
rfrentiel RH.
Les Ressources Humaines sont le point central du processus. En effet, ds quune
personne est embauche, les RH saisissent dans le logiciel SIRH le nom et prnom

Version 1.0

31 / 47

Manuel Oprationnel de la Scurit du SI

de la personne, son poste et sa fonction, et si ncessaire, une date de fin de contrat


(exemple : CDD, prestataires, stagiaires...). Une fois ces informations saisies, une
cration automatique est faite dans lActive Directory, et un mail est
automatiquement envoy aux Services Gnraux pour la cration du badge daccs
au btiment.
8.2.2.

Gestion des demandes

Toute demande de modification/suppression/cration est formalise par une


demande faite dans le SI Support.
Les demandes de cration / modification / suppression des comptes utilisateurs
relatives aux applications mtier, la messagerie, aux bases documentaires sont
rglementes par des procdures et sont traites comme demandes de travaux.
Les demandes de travaux visant faire voluer le Systme dinformation ou les
Tlcoms sont obligatoirement valides par la Direction. Toute demande de travaux
qui contrevient aux rgles dexploitation nominales de lhbergement de donnes de
sant doit faire lobjet dune demande de drogation soumise au RSSI.

Procdure de gestion des demandes daccs


8.2.3.

Gestion des privilges

La politique de gestion des comptes privilgis ou sensibles consiste :

Rglementer par des procdures et restreindre lutilisation des


comptes privilgis (systme, rseau, SGBD, applications mtiers,
gestion des mots de passe) en dissociant les rles.
Faire tablir et maintenir jour par les quipes dexploitation la liste
des comptes sensibles, des droits associs et des dtenteurs.
Faire effectuer le contrle des groupes particulirement sensibles par
le RSSI.

Rappel : Les droits sur les comptes de service sont configurs au plus juste et revus
priodiquement.
8.2.4.

Gestion des mots de passe

Lhbergeur met en place et maintien une politique de gestion robuste des mots de
passe en imposant des rgles de construction complexe et de mise jour minimales.
8.2.5.

Vrification

Dans le cadre de la revue rgulire de conformit, le RSSI vrifie que la politique de


scurit relative aux rgles de construction et de mise jour des mots de passe et
aux droits et privilges sur les serveurs et postes de travail des sites est bien
applique.

Version 1.0

32 / 47

Manuel Oprationnel de la Scurit du SI

8.3.

Obligation des utilisateurs

8.3.1.

Scurit des mots de passe

Lauthentification de lutilisateur seffectue au moyen doutils (identification de


lutilisateur + mot de passe) strictement personnels et incessibles.
Lutilisateur est responsable de la gestion de ses mots de passe.
Lutilisateur lobligation de :
choisir des mots de passe complexes et difficiles trouver,
prserver ses mots de passe contre toute diffusion intentionnelle ou
accidentelle,
modifier immdiatement les mots de passe temporaires prsents lors de
linitialisation dun systme ou dun produit.
De ne pas utiliser les 5 derniers mots de passe.
8.3.2.

Poste de travail

Le contrle daccs aux postes de travail se fait par le biais dune authentification sur
le domaine dauthentification (AD). Sans compte dans le domaine il nest pas
possible daccder au rseau et au poste de travail.

Procdure de Contrle daccs dun poste de travail

Linstallation et lutilisation de logiciels dont les droits nont pas t acquis sont
interdites.
Lutilisation dun modem ou dune connexion Wifi externe sur un poste de travail est
strictement interdite.
Lutilisateur a obligation :
de protger ses donnes rsidant sur son poste de travail par des
sauvegardes rgulires sur les portails et espaces partags mis disposition,
de ne pas dsactiver ou augmenter le dlai de basculement en cran de veille
protg par le mot de passe daccs au systme,
si ncessaire, dutiliser les outils de chiffrement qui seront approuvs par le
RSSI pour prserver la confidentialit des donnes sensibles,
8.4.

Contrle daccs au rseau

Le principe de base de larchitecture du rseau de lhbergeur est quaucun flux


externe (en provenance dInternet) ne peut pntrer le rseau directement. Cela se
traduit par une architecture compose de plusieurs zones dlimites par de
multiples lments de scurit (pour filtrer) et de relais (pour couper les flux).
Chaque zone a un rle bien prcis (postes de travail, serveurs connects Internet,
serveurs internes, serveurs utiliss par les clients, ).
Les seuls accs depuis Internet autoriss sont :

Version 1.0

les flux de messagerie (SMTP) qui accdent des serveurs de messagerie


relais sur une zone dlimite (DMZ),

33 / 47

Manuel Oprationnel de la Scurit du SI

les flux pour serveurs WEB (HTTP/HTTPS) des applications WEB


hberges qui accdent des relais WEB sur une zone dlimite (SMZ).

Ces flux sont coups par des relais pour interdire toute connexion directe au rseau.

Procdure architecture rseau


Lhbergeur distingue deux types dinterconnexions :

les interconnexions permanentes internes (VPN et liaison de type


LS/RNIS),

les interconnexions ponctuelles (accs distants) interne pour les


collaborateurs de lhbergeur.

Dans le cas dinterconnexions permanentes, le site est considr comme sr


aprs un audit de mise en place. Les quipements dinterconnexions sont grs par
les administrateurs de lhbergeur.
Les quipements de scurit entre les utilisateurs et les applications filtrent les accs
et ne les autorisent quaux seules applications ncessaires.

Procdure architecture rseau


Procdure de gestion des interconnexions
Chaque ressource destine un usage interne (serveurs, postes de travail) se
trouve dans la mme zone rseau. Les quipements de scurit filtrants
permettent dinterdire tout flux externe cette zone dy entrer.
La connexion dun quipement cette zone ncessite une procdure particulire. En
effet chaque quipement rseau (commutateur) est verrouill pour ne pas accepter
de nouveaux quipements sans intervention dun administrateur. Cette mesure
permet de garantir quaucun poste de travail ne sera connect au rseau sans y tre
autoris.

Guide de scurit de linformation : Scurit des rseaux


Guide de scurit de linformation : Paramtrage de la scurit
Procdure architecture rseau
8.4.1.

Administration des quipements rseaux

La connexion aux quipements rseau des fins dadministration, de maintenance


ou daudit ncessite obligatoirement lusage dun identifiant et dun mot de passe.
Les mots de passe installs par dfaut sont systmatiquement changs, un mot de
passe diffrent tant affect pour chaque mode de connexion.
Les mots de passe non triviaux et de longueur minimale (8 caractres) sont changs
minima :
suite au dpart dun des administrateurs des quipements rseaux,
suite la diffusion exceptionnelle de ceux-ci.

Version 1.0

34 / 47

Manuel Oprationnel de la Scurit du SI

Laccs partir de lextrieur par un tiers mainteneur nest pas autoris, sauf
drogation.
Les quipements actifs du rseau remontent automatiquement des alarmes vers les
outils de supervision du rseau.
8.4.2.

Authentification
renforce
dans
le
cadre
de
lhbergement de donnes de sant caractre
personnel

La scurit des comptes pour laccs au systme dhbergement de donnes de


sant caractre personnel oprant distance est assure par des solutions
dauthentification renforce.
8.5.

Contrle daccs au systme

8.5.1.

Administration des mots de passe

Les mots de passe des comptes administration, non triviaux, rgulirement changs,
peuvent, si ncessaire, tre remis au RSSI par les administrateurs dans des
enveloppes cachetes et conserves dans un coffre fort.
Pour renforcer les stratgies des mots de passe, et dans la mesure o le systme le
permet, la politique de gestion des mots de passe consiste :
conserver lhistorique des mots de passe sur les derniers utiliss avec
interdiction de les rutiliser,
fixer 1 jour la dure de vie minimale des mots de passe,
limiter 42 jours la dure de vie maximale des mots de passe,
fixer la longueur minimale des mots de passe 8 caractres alphanumriques
avec caractres spciaux,
choisir des mots de passe difficiles dcouvrir ou non re-jouables et
journaliser les tentatives de connexion infructueuses.
8.6.

Contrle daccs aux applications

Le contrle daccs aux applications dpend du type dapplication :

application WEB (sur Internet),

application sur le rseau priv (interconnect),

application en accs distant.

Dans le cas dapplications WEB (sur Internet) lauthentification et lapplication en ellemme sont cryptes par SSL car le rseau de transport utilis nest pas matris.
Dans le cas dune application sur le rseau priv (interconnect) lauthentification est
crypte. Le rseau est considr suffisamment matris pour ne pas crypter tout le
flux applicatif.
Le contrle daccs dans le cas daccs distant est gr dans lapplication ellemme. En effet lapplication fonctionne en mode local et se connecte pour les
synchronisations avec les serveurs. Lapplication est pr paramtre en fonction de

Version 1.0

35 / 47

Manuel Oprationnel de la Scurit du SI

lutilisateur qui ne doit saisir que son mot de passe. Les connexions au rseau puis
au serveur applicatif sont intgres dans lapplication.
Les applications ncessitent un renouvellement de mots de passe priodique et
chaque compte se verrouille aprs plusieurs tentatives de connexion infructueuses.
Ceci nest valable que sur les applications pouvant grer ces fonctionnalits.
Pour les applications historiques ne grant pas le renouvellement automatique des
mots de passe il est conseill aux utilisateurs de changer leur mot de passe
rgulirement.

Procdure de gestion des mots de passe

Toute personne accdant aux applications doit pouvoir tre identifie


individuellement. Lattribution de droits daccs fonctionnels et gographiques
(strictement limits la dure de la mission) est lobjet dun contrle pralable par la
hirarchie directe de la personne.
8.7.

Dtection,
scurit

analyse

et

traitement

des

incidents

de

Auditer la scurit implique la reconnaissance, lenregistrement, le stockage et


lanalyse dinformations associes des activits touchant la scurit. Les
enregistrements daudit en rsultant doivent permettre de dterminer quelles activits
touchant la scurit ont eu lieu et quelles personnes (utilisateurs) en sont
responsables.
Des outils danalyse rseau et de surveillance des applications et des systmes
supervisent les liens et quipements rseau.
Ces outils sont mis disposition de lquipe dexploitation assure la gestion de
premier niveau des incidents. Cette quipe sappuie sur des mthodes, procdures
et outils des diffrentes quipes (systmes, rseau, communication lectronique).
En cas de difficult lquipe supervision fait appel lquipe concerne pour la
rsolution de lincident.
Les oprateurs reoivent sur les consoles de pilotage et de surveillance les diffrents
messages danomalies.
En fonction du type dincident, ils entreprennent les actions prvues dans les
consignes en leur possession. Ces actions peuvent tre aussi diffrentes que la
relance dun service, le reboot dun serveur, la mise en uvre dune procdure de
restauration, lappel la maintenance constructeur, lappel la maintenance systme
et rseau ou lappel lastreinte applicative.

Guide de scurit de l'information : Signalement des incidents


Procdure de gestion des incidents
Les incidents sont reus par lquipe de support ddi par application ou domaine
technique. Lincident ou la demande est enregistr et qualifi.
Sil sagit dune demande de service, la procdure de demande est enclenche.
Sinon lincident est transmis un support de niveau 2, compos dexperts techniques
ou mtier selon le domaine, pour investigation et diagnostic. Au final une rsolution

Version 1.0

36 / 47

Manuel Oprationnel de la Scurit du SI

de lincident ou une mthode de contournement est communique par le support au


demandeur et applique.
Lincident ou la demande peut alors tre clos.
En permanence le support suit lincident et sa rsolution, il communique avec le
demandeur jusqu la clture.

Guide de scurit de l'information - Annexe Administrateur : Gestion


des incidents

8.7.1.

vnements journaliss

Chaque systme est synchronis sur la mme horloge (serveur de temps NTP) de
sorte quune recherche dans les fichiers de trace soit rendue plus facile.
Pour les systmes historiques, l'horloge est synchronise manuellement et de faon
priodique sur le serveur de temps.

Guide de scurit de l'information : Surveillance des rseaux et des


systmes

Guide de scurit de l'information - Annexe Administrateur : Historique


de lutilisation du systme informatique

Guide de scurit de l'information - Annexe Administrateur : Gestion et


utilisation des traces

Guide de scurit de l'information - Annexe Administrateur : Contrle et


surveillance des actes dutilisation dInternet

Procdure de gestion des logs

Tout quipement sensible est lobjet dune journalisation centralise des vnements
de scurit. Les journaux scurit sont aliments en permanence et analyss en
temps rel par un corrlateur des vnements de scurit qui gnre des alarmes.
Les moyens de journalisation permettent la dtection (en temps rel ou en diffr
selon la gravit de latteinte potentielle ou avre) des vnements reprsentant une
menace significative lencontre de lapplication de la Politique Particulire de
Scurit de lhbergement des donnes de sant caractre personnel.
Chaque enregistrement daudit comporte au minimum les informations suivantes :
date et heure de lvnement, type dvnement, identit du sujet, identit de
lhte, ainsi que le rsultat (succs ou chec) de lvnement,
identit de lutilisateur qui est lorigine de lvnement,
Les journaux daudit sont grs sans intervention des administrateurs. Les accs et
la destruction de ces journaux sont audits.
8.7.2.

Alarmes et tableaux de bord de scurit

Des mesures de protection interdisent toutes autres personnes que celles


habilites accder aux enregistrements daudit de scurit.

Version 1.0

37 / 47

Manuel Oprationnel de la Scurit du SI

Les incidents de scurit graves journaliss font lobjet dune alerte immdiate aux
acteurs de la scurit : administrateurs systme ou rseau, au RSSI. Des
procdures dcrivent les mesures prendre.
Le tableau de bord des anomalies et incidents de scurit permet de :
rendre compte au management sur le niveau et lactivit scurit du systme
dhbergement des donnes de sant caractre personnel et de tracer son
volution,
Didentifier les domaines dans lesquels les actions devront tre renforces.
8.7.3.

Audit et droit daccs

Toute anomalie grave est signale directement au RSSI.


Un audit des comptes non utiliss est effectu rgulirement. Aprs information, les
comptes non utiliss sont ferms et les rpertoires archivs.
8.7.4.

Stockage et protection des vnements de scurit

Des mesures de scurit garantissent la confidentialit des enregistrements daudit


et les prservent contre toute suppression non autorise tout en permettant de
dtecter, et si possible dempcher, leur modification.
Des mesures techniques et organisationnelles permettent de conserver la
disponibilit, lintgrit et la confidentialit des mcanismes et enregistrements
daudit en cas de dpassement de capacit ou de dfaillance des moyens de
stockage des journaux, ou dattaque.
Au cas o un journal daudit est proche de la saturation, un message alerte
ladministrateur de sorte quil ait le temps suffisant pour assurer sa copie sur un
support de sauvegarde. Si cette opration ne peut seffectuer suffisamment
rapidement, les enregistrements daudit les plus anciens sont crass et lvnement
est trac.
8.8.

Protection des systmes et des rseaux

8.8.1.

Serveurs

Lapplication rcurrente des patchs de scurit, lutilisation systmatique des moyens


et fonctions de scurit propres aux systmes oprs et la journalisation permanente
des vnements et actions sensibles participent la scurisation de tout serveur du
systme dhbergement des donnes de sant caractre personnel.
8.8.1.1.

Prcaution dinstallation

La procdure dinstallation dun serveur est scurise, elle tient compte des derniers
correctifs de scurit du constructeur, les services inutiles ne sont pas installs.
La scurisation de linstallation seffectue notamment en :
isolant la machine du rseau logiquement ou physiquement si possible,

Version 1.0

38 / 47

Manuel Oprationnel de la Scurit du SI

installant les correctifs de scurit et de prfrence la dernire version valide


du systme,
slectionnant uniquement les composants indispensables.

Des tests unitaires sont effectus avant toute installation dun nouveau systme afin
de mesurer les impacts sur la production. Des tests de filtrage des logiciels
malveillants pour les anti-virus et firewall.
Des tests de vulnrabilit rseau et systme automatiss sont effectus
rgulirement afin de dceler les failles ventuelles de scurit. Cela est renforc par
des contrles humains rguliers.
Un outil de test de vulnrabilit est utilis avant chaque mise en production dun
nouveau serveur ou dune nouvelle application, afin de dceler et de corriger les
failles de scurit critiques.
8.8.1.2.

Paramtrage du systme

Le paramtrage concourt la scurit du systme. Une rfrence maitre (master) du


systme est, rgulirement mise jour, est utilise. Elle contient les mesures de
scurit qui consistent notamment :

utiliser un systme de fichiers autorisant un contrle fin des droits sur les
rpertoires et les fichiers,
changer systmatiquement les noms des comptes et mots de passe
constructeur ,
interdire les connexions anonymes pour accder au systme,
durcir la politique de scurit des partages de fichiers,
restreindre laccs distant aux seules machines autorises,
limiter lusage des commandes systme et rseau sensibles aux seules
personnes habilites.
8.8.1.3.

Partage des ressources

Seuls les groupes dutilisateurs authentifis sont autoriss accder aux ressources
partages.
8.8.2.

Poste de travail

Lapplication rcurrente des patchs de scurit, lutilisation systmatique des moyens


et fonctions de scurit propres aux systmes oprs et la journalisation permanente
des vnements et actions sensibles participent la scurisation de tout poste de
travail.
Par poste de travail, il faut entendre les machines fixes ou portables, quelque en soit
le systme dexploitation ainsi que les stations de travail, lexclusion des terminaux
passifs et des serveurs.
La scurisation du poste de travail est ncessaire pour :
protger des donnes personnelles,

Version 1.0

39 / 47

Manuel Oprationnel de la Scurit du SI

limiter les risques de compromission du rseau par rebond sur un poste de


travail,
intervenir distance.

Lutilisation dun poste de travail est conditionne minima par le respect des rgles
suivantes :
accs au poste de travail contrl de faon nominative,
protection par un mot de passe personnel (Unicit didentit),
configuration du poste non modifiable par lutilisateur standard,
basculement automatique en mode protg, pendant les priodes dinactivit
suprieures 10 minutes.
8.8.2.1.

Prcaution linstallation

La procdure dinstallation dun poste de travail est scurise, elle tient compte des
derniers correctifs de scurit du constructeur, les services inutiles ne sont pas
installs.
La scurisation de linstallation seffectue notamment en :
installant les correctifs de scurit et de prfrence la dernire version valide
du systme,
slectionnant uniquement les composants indispensables,
masquant lutilisateur les fichiers protgs du systme dexploitation,
interdisant laccs aux paramtres et commandes sensibles susceptibles
dintroduire des failles de scurit dans le systme ou sur le rseau.
8.8.2.2.

Paramtrage du systme

Le paramtrage concourt la scurit du systme.


Les mesures de scurit consistent notamment, quand le systme le permet, :
changer systmatiquement les noms des comptes et mots de passe
constructeur ,
interdire les connexions anonymes pour accder au systme,
interdire et auditer les bases de comptes.
8.8.3.

quipements rseaux

Lapplication rcurrente des patchs de scurit, lutilisation systmatique des moyens


et fonctions de scurit propres aux quipements oprs et la journalisation
permanente des vnements et actions sensibles participent la scurisation de tout
quipement actif du rseau. Ils sont galement configurs pour limiter le trafic aux
changes de donnes autoriss.
Les capacits de filtrage sont exploites pour limiter la rponse des quipements
rseaux aux seules consoles habilites et notamment pour bloquer toute requte
dadministration venant de lextrieur sans authentification renforce pralable.

Version 1.0

40 / 47

Manuel Oprationnel de la Scurit du SI

8.9.

Utilisation de moyens cryptographiques

8.9.1.

Principes applicables

Les donnes confidentielles ne peuvent tre transmises par messagerie que sous
forme de pices jointes chiffres.
8.9.2.

Chiffrement

En cas de besoin dun outil de chiffrement robuste, celui-ci sera mis la disposition
des utilisateurs de donnes confidentielles pour le stockage et lchange de ces
donnes, aprs approbation du RSSI.
Ce produit de chiffrement rpondra aux contraintes de scurit dans les termes
suivants :
chiffrement des fichiers sur le poste utilisateur,
chiffrement des fichiers partags par un groupe dfini de personnes,
change de fichiers chiffrs,
chiffrement sur internet, Intranet, messagerie ou support magntique grce
une fonction dauto-dcryptage.
Lusage des fonctions de chiffrement transparent des donnes utilisateurs qui
peuvent tre proposes par les systmes dexploitation est soumis lautorisation du
RSSI.
8.9.3.

Gestion des cls

Les cls utilises devront tre dune taille de 1024 bits et seront mises niveau au
fur et mesure de lvolution de la technique ou de la lgislation autorisant un niveau
lev de chiffrement des signatures numriques.
La cl prive protge par un mot de passe sera alors stocke, avec le certificat
correspondant, sur un support cryptographique externe.

Version 1.0

41 / 47

Manuel Oprationnel de la Scurit du SI

9. Drogation
Lhbergeur a mis en place une procdure de drogation. Toute drogation est
soumise acceptation et doit faire lobjet dun enregistrement dans un document
tenu jour. Ce document permettra une revue priodique des drogations et ainsi
permettre soit la fin de la drogation si elle na plus de raison dtre, soit la
reconduite pour une dure dtermine.
Les personnes ayant autorit pour accorder ou refuser une drogation sont :
La direction de lhbergeur,
Le RSSI,
Toutes personnes mandates par les deux premiers.

Procdure de drogation

Version 1.0

42 / 47

Manuel Oprationnel de la Scurit du SI

10.

Conformit

10.1. Droits dauteur

Linstallation et lutilisation de logiciels dont les droits nont pas t acquis est
interdite. Linstallation et lutilisation de logiciels dont les droits nont pas t acquis
est sanctionne par la loi 85-660 du 3 juillet 1985.
Des organismes de dfense des droits dauteurs et des producteurs de bases de
donnes comme lADAPI sont autoriss agir en justice en application de larticle
L.331-1 du code de la proprit intellectuelle. Leurs contrleurs sont habilits par la
loi constater toute infraction en matire de violation des droits dauteurs,
notamment en matire dutilisation illicite de logiciels informatiques, et dresser des
procs-verbaux qui font foi.
Les administrateurs du SI en charge de la gestion du parc est tenu de communiquer
au RSSI, la liste des logiciels dont les droits nont pas t acquis et dont il aurait
connaissance, notamment loccasion dun inventaire ou dune intervention de
maintenance.
10.2. Dclaration la CNIL

Le dfaut de dclaration / demande d'autorisation auprs de la CNIL, ainsi que le


dfaut de scurit sont passibles de poursuites pnales. Il est important de traiter de
manire spcifique les donnes personnelles nominatives, puisque le "traitement
automatis de donnes nominatives" fait l'objet, en France, de dispositions lgales
spcifiques.
Face aux dangers potentiels que l'informatique peut faire peser sur les liberts, la
CNIL a pour mission essentielle de protger la vie prive et les liberts individuelles
ou publiques, en application de la loi n78-17 du 6 janvier 1978.
La CNIL est charge de veiller au respect de la loi "Informatique et liberts"
notamment en :
enregistrant les demandes d'avis du secteur public et les dclarations du
secteur priv, procdant des vrifications sur place,
tablissant des normes simplifies, afin que les traitements les plus courants
et les moins dangereux pour les liberts fassent l'objet de formalits allges,
exerant le droit d'accs indirect,
instruisant les plaintes,
informant et en conseillant les personnes de leurs droits et obligations,
proposant au gouvernement les mesures lgislatives ou rglementaires qui lui
paraissent utiles.
Il revient lhbergeur de faire les dclarations relatives aux applications internes et
au responsable de traitement celles composant lhbergement de donnes de sant
caractre de sant.

Version 1.0

43 / 47

Manuel Oprationnel de la Scurit du SI

10.3. Fraude informatique

Laccs frauduleux tout ou partie du Systme dInformation est rprim par la loi du
5 janvier 1988, dite loi Godfrain. Cette loi sapplique la suppression ou la
modification de donnes, laltration du fonctionnement du systme dinformation ou
lentrave son fonctionnement, ainsi que pour les actes de malveillance commis par
lintroduction, la suppression, la falsification de donnes ou de leur mode de
traitement ou de transmission.
10.4. Manquement la scurit du systme dinforma tion

Larticle 226-17 du nouveau Code pnal rige en infraction spcifique le fait de


manquer la scurit. Les personnes en charge de la scurit du systme
dinformation ont, au titre dune obligation de moyens, lobligation de sassurer que
les mesures de scurit ncessaires sont prises pour protger le systme
dinformation et ses donnes.
Le fait de procder ou de faire procder un traitement automatis dinformations
nominatives sans prendre toutes les prcautions utiles pour prserver la scurit de
ces informations et notamment empcher quelles ne soient dformes,
endommages ou communiques des tiers non autoriss, est puni de 5 ans
demprisonnement et de 304 898 euros damende.
Ainsi, les responsables oprationnels sassurent du respect de la politique de
scurit de leurs quipes, ils sont force de proposition pour faire voluer la politique
de scurit de linformation. Toutes les oprations sont identifies et affectes une
quipe technique informatique de lhbergeur.
Chaque quipe pour responsabilit de planifier et de sassurer le la bonne
excution du travail. En particulier de surveiller les alertes, denregistrer les
disfonctionnements et de mettre en uvre les corrections ncessaires.
Des astreintes 24h/24-7j/7sont mises en place pour garantir un fonctionnement
continue de lexploitation et des services.
10.5. Obligation de confidentialit

A des fins de contrle de scurit, lensemble des flux dinformations pourra tre
sauvegard pendant une dure prciser par la direction.
Sont ainsi susceptibles dtre archives les informations suivantes :
Lensemble des flux entrants ou sortants au niveau des passerelles
inter-rseaux,
Lensemble des fichiers journaux qui contiennent notamment les
tentatives de connexion, les comptes et sites accds, les fichiers
systme,
Lensemble des fichiers rapports constitus par les machines de
scurit (pare-feu, sonde de dtection dintrusion, anti-virus,).
Toute diffusion dinformation sur ces moyens, par des personnes non mandates, est
interdite tant lintrieur qu lextrieur.

Version 1.0

44 / 47

Manuel Oprationnel de la Scurit du SI

Le traitement d'information et les moyens associs peuvent tre utiliss des fins de
contrle, pour des raisons imprieuses et dans les conditions exposes ci dessus,
partir des archives, des documents mis en quarantaine, et de ltat instantan du
systme dinformation.
Sur demande des autorits (administratives, judiciaires ou de police..),
En cas d'incidents divers (virus, intrusion, saturation des ressources,
pannes,.),
En cas d'acte de malveillance ou de dtournement des moyens ou des
ressources dinformation et de communication,
Si ncessaire, la demande du destinataire ou de l'metteur.
Ces contrles, qui ncessitent lenregistrement dinformations caractre nominatif,
font lobjet de dclarations la CNIL, conformment la loi du 6 janvier 1978.

Guide de scurit de l'information - Annexe Administrateurs : Respect


de la lgalisation, des contrats, de la politique de scurit et des procdures
d'exploitation

Lhbergeur dispose de chartes et de clause de confidentialit, faire signer, pour


son personnel interne ainsi que pour les tierces parties.
10.6. Cadre lgal pour lutilisation de la cryptologie

La cryptologie constitue aujourd'hui pour les entreprises la solution technique


incontournable pour protger leurs changes sur le rseau contre d'ventuelles
violations de correspondance. La cryptologie est un moyen de prservation de
l'intimit de la vie prive.
Selon l'article 29 de la loi pour la confiance dans l'conomie numrique (LCEN) :
"On entend par moyen de cryptologie tout matriel ou logiciel conu ou
modifi pour transformer des donnes, qu'il s'agisse d'informations ou de
signaux, l'aide de conventions secrtes ou pour raliser l'opration inverse
avec ou sans convention secrte. Ces moyens de cryptologie ont
principalement pour objet de garantir la scurit du stockage ou de la
transmission de donnes, en permettant d'assurer leur confidentialit, leur
authentification ou le contrle de leur intgrit.
On entend par prestation de cryptologie toute opration visant la mise en
uvre, pour le compte d'autrui, de moyens de cryptologie.".
En vertu de larticle 30 de cette loi 2004-575 du 21 juin 2004 pour la confiance dans
lconomie numrique, lutilisation des moyens de cryptologie est libre en France.
N'tant plus rserv au domaine militaire, la cryptologie est une ncessit pour le
bon fonctionnement de la socit de l'information
En revanche, la fourniture, le transfert depuis ou vers un tat membre de la
Communaut europenne, limportation et lexportation de ces moyens sont
rglements lorsque ces moyens nassurent pas exclusivement des fonctions
dauthentification ou de contrle dintgrit. Ces oprations sont soumises soit au
rgime de la dclaration, soit au rgime de lautorisation.

Version 1.0

45 / 47

Manuel Oprationnel de la Scurit du SI

Rf.

ANSSI http://www.ssi.gouv.fr ;
Article 12 de la loi sur la rglementation des Tlcom du 26 juillet 1996 ;
Article 30 de la loi 2004-575 du 21 juin 2004 ;
Accords de Wassenar
10.7. Code de conduite de lauditeur
10.7.1.

Obligation de confidentialit

Les procdures et moyens mis en uvre par lauditeur assurent un niveau lev de
confidentialit aux informations recueillies au cours de laudit et tout particulirement
en ce qui concerne les vulnrabilits recenses. Ainsi, lAuditeur sengage
notamment ce quaucune information obtenue au cours de tests de vulnrabilit
et/ou dintrusion ne soit exploite ultrieurement.
10.7.2.

Limite de laudit

Aucune prestation daudit et tout particulirement des tests dintrusion ne sera


effectue sans :
une description du primtre couvrir, formalise dans une
proposition ou convention de service approuve par le commanditaire
de laudit,
une autorisation dintervention signe entre le commanditaire de laudit
et lAuditeur.
10.7.3.

Mode opratoire

Des audits de scurit pourront tre dclenchs linitiative de la Direction ou du


RSSI ou la demande des autorits.
Les utilisateurs sont informs que lentreprise se rserve la possibilit deffectuer des
contrles sur la teneur des informations dposes par eux sur les forums Internet par
consultation de serveurs Internet externes lentreprise et spcialiss dans des
recherches de ce type.
Ces contrles peuvent tre oprs de faon inopine ou systmatique en cas
dincident ou dacte de malveillance.
Dans le cadre de lhbergement de donnes de sant, avant de dbuter sa mission,
lAuditeur :

avertit le Commanditaire de laudit des risques sous-tendus par lusage de


certaines techniques dvaluation (niveau dagressivit relle des outils dans
le contexte de laudit,),
sollicite laccord du Commanditaire de laudit sur les diffrentes mthodes et
techniques de recherche utilises pour recueillir des informations pertinentes
sur la cible de laudit.

Version 1.0

46 / 47

Manuel Oprationnel de la Scurit du SI

10.7.4.

Conservation de linformation

Le rapport daudit et toutes les pices rattaches (comptes rendus dentretien,


vulnrabilit rsiduelle, rapports dintrusions et trophes, etc.) sont classes
Confidentiel ou tout au moins diffusion restreinte pour toute ou partie, selon
lapprciation du commanditaire de laudit.
10.7.5.

Communication

LAuditeur communique des informations sur sa mission uniquement aux personnes


dsignes par le Commanditaire de laudit pour les consulter.

Version 1.0

47 / 47