Vous êtes sur la page 1sur 11

POLITIQUE GNRALE DE SCURIT

DES SYSTMES D'INFORMATION


(PGSSI)

Date :

15.06.2011

Version :

1.0

Auteur :

DSI

Statut :

Approuv

Classification :

Publique

Destinataires :

ACV

POLITIQUE GNRALE DE SCURIT DES SYSTMES D'INFORMATION (PGSSI)

TABLE DES MATIRES


1

RESUME

INTRODUCTION

OBJECTIF GENERAL

PRINCIPES DE MISE EN OEUVRE

RESPONSABILITES

Version 1.0
Page 2/11

POLITIQUE GNRALE DE SCURIT DES SYSTMES D'INFORMATION (PGSSI)

1 RESUME
UN BESOIN CROISSANT DE
PROTECTION POUR UNE
RESSOURCE ESSENTIELLE

Les systmes dinformation (SI) sont de plus en plus essentiels aux activits
de lAdministration alors que linterconnexion entre les systmes ainsi que le
dploiement de la cyberadministration exposent les SI des risques
nouveaux et croissants.

Un objectif principal

En consquence, le Conseil dEtat sengage soutenir les mesures visant


assurer une protection approprie des systmes dinformation de
lAdministration Cantonale, contre toutes les menaces, quelles soient
dorigine interne ou externe, naturelle, accidentelle ou dlibre.

Une politique
gnrale de scurit

Cette politique gnrale de scurit des systmes dinformation (PGSSI)


fixe le primtre, les principes de mise en oeuvre ainsi que les
responsabilits ncessaires pour atteindre lobjectif gnral de protection.

13 principes de mise
en uvre
selon 5 axes

Pour atteindre les objectifs gnraux de protection, le Conseil dEtat a


dfini 13 principes de mise en uvre regroups en 5 axes :
1. Un systme de management de la scurit conforme aux meilleures
pratiques
2. Une gestion des risques rgulire, efficace et proportionne
3. Des mesures de scurit conformes aux meilleures pratiques
4. Une exploitation et une volution des SI conformes aux politiques de
scurit.
5. Une mise en uvre progressive et pragmatique

Une implication
ncessaire de toutes
les parties prenantes

La mise en uvre de la politique de scurit ncessite limplication de


toutes les parties prenantes: usagers externes, dpartements et Services de
lAdministration, personnel, Direction des systmes dinformation ainsi que
fournisseurs.

Version 1.0
Page 3/11

POLITIQUE GNRALE DE SCURIT DES SYSTMES D'INFORMATION (PGSSI)

2 INTRODUCTION
BUT DU DOCUMENT

le Conseil dEtat dfinit dans ce document la politique gnrale de scurit


des systmes dinformation quil entend mettre en uvre pour sassurer que
les systmes dinformation (SI) soient protgs contre les risques qui
menacent leur disponibilit, leur intgrit et leur confidentialit.
Cette politique gnrale de scurit (PGSSI) fixe le primtre, lobjectif
principal, les principes ainsi que les responsabilits ncessaires sa mise en
uvre.

DOMAINE DAPPLICATION
Primtre

Champ dapplication

La politique gnrale de scurit (PGSSI) sapplique :

Au primtre tel que dfini par le rglement informatique [1], soit


toutes les entits de lAdministration cantonale, lexception de
linformatique des hautes coles et de linformatique des Hospices/CHUV.

Par extension, au domaine pdagogique du DFJC.

A l'ordre judiciaire vaudois dans le respect des conventions spciales


rglant ses relations avec la DSI et l'ASSIT.

Par convention, toute autre entit partenaire.

Pour ces entits, la politique stend :

tous les fournisseurs de prestations dans le domaine des SI : entits


internes ou externes fournissant, directement ou indirectement, des biens
et services dans le domaine des systmes dinformation.

tous les usagers internes et externes des SI : entits, collaborateurs,


personnel externe disposant dun accs autoris aux systmes
dinformation

toutes les donnes dmatrialises ncessaires lexcution des missions


de lEtat.

tous les traitements des informations : ensemble des oprations


effectues avec des donnes sources pour produire des rsultats
permettant la prise de dcision et/ou laccomplissement dune action ;
ceci concerne tout le cycle de vie des informations, depuis la saisie
jusqu la destruction, en passant par le traitement, le transport, le
stockage, lexploitation et larchivage.

tous les lments techniques matriels ou logiciels utiliss pour


acqurir, produire, traiter, changer, transporter, modifier ou stocker de
linformation sous forme lectronique.

toutes les infrastructures : sites, btiments ou locaux contenant des biens


matriels ou immatriels composant les systmes dinformation.

Version 1.0
Page 4/11

POLITIQUE GNRALE DE SCURIT DES SYSTMES D'INFORMATION (PGSSI)

REFERENCES LEGALES
ET NORMATIVES

La politique gnrale de scurit sappuie et tient compte des bases lgales et


normatives suivantes :
[1]

Rglement relatif l'informatique cantonale (172.62.1), ainsi que les


directives dapplication associes

[2]

Rglement relatif l'organe d'audit des systmes d'information et de


tlcommunication

[3]

Normes ISO de la srie 27000

[4]

Loi sur le personnel, ainsi que les directives dapplication associes

[5]

Loi sur la protection des donnes

ENTREE EN VIGUEUR

La PGSSI entre en vigueur ds son adoption par le Conseil d'Etat.


Elle annule et remplace tous les autres documents publis antrieurement sur
le thme de la scurit des systmes d'information. Ceci concerne en
particulier les documents de base suivants ainsi que leurs diverses versions qui
avaient t valids et publis par le CE en 2004 :

Ligne directrice SSI-VD

SSI-VD

DEFINITIONS
Scurit des systmes
d'information (SSI)

Protection des systmes d'information contre les accidents (pannes, pertes,


vnements naturels ou physique, etc.), les erreurs (d'utilisation, de
conception ou de fuite d'information) et les actes malveillants (piratage,
falsification, fraude, vol, coute, sabotage, ingnierie sociale, etc.) au moyen
de mesures prventives et correctives, ainsi que de procdures de contrle
organisationnelles ou techniques appropries.

Systme
dinformation

Ensemble des moyens (organisation, acteurs, processus, procdures, donnes,


systmes informatiques) ncessaires lacquisition, au traitement, la
transmission et la conservation des informations pour assurer les missions et
les prestations de lAdministration.

Systme informatique

Ensemble des moyens (matriels, logiciels, rseaux, tlphonie, applications)


au sein desquels le traitement, la transmission et la conservation des
informations se fait de manire lectronique.

Systme de
management de la
scurit des systmes
dinformation (SMSSI)

Partie du systme de management global, base sur une approche du risque


li l'activit, visant tablir, mettre en oeuvre, exploiter, surveiller,
rexaminer, tenir jour et amliorer la scurit des systmes d'information.

Version 1.0
Page 5/11

POLITIQUE GNRALE DE SCURIT DES SYSTMES D'INFORMATION (PGSSI)

3 OBJECTIF GENERAL
UN BESOIN CROISSANT DE
PROTECTION

Le Conseil dEtat considre que :

les systmes dinformation (SI) sont de plus en plus essentiels aux activits
de lAdministration.

linterconnexion entre les systmes ainsi que le dploiement de


ladministration en ligne, exposent les SI des risques nouveaux et
croissants.

le dploiement de la cyberadministration ncessite un niveau adquat de


protection des donnes pour gagner la confiance ncessaire des usagers.

Un objectif
principal

En consquence, le Conseil dEtat sengage mettre en uvre une protection


approprie des systmes dinformation de lAdministration Cantonale,
contre toutes les menaces, quelles soient dorigine interne ou externe,
naturelle, accidentelle ou dlibre.

Des niveaux de
scurit valus selon
4 critres
fondamentaux

Cet objectif de protection sera atteint par la mise en uvre de mesures


proportionnes visant assurer le niveau de scurit requis en terme de :

Confidentialit : capacit du systme protger les informations de


toute divulgation non autorise.

Intgrit : capacit du systme prserver les informations de toute


altration, destruction ou modification non autorise.

Disponibilit : capacit du systme maintenir laccessibilit aux


informations en toute circonstance ainsi que le fonctionnement continu
et fiable des applications.

Traabilit : capacit du systme relever et enregistrer les oprations


qui sont effectues dans un but de restitution ultrieure du droulement
des vnements lorsque cela est ncessaire.

Version 1.0
Page 6/11

POLITIQUE GNRALE DE SCURIT DES SYSTMES D'INFORMATION (PGSSI)

4 PRINCIPES DE MISE EN OEUVRE


13 PRINCIPES
DIRECTEURS POUR
METTRE EN UVRE LA
POLITIQUE
Axe 1. Un systme de
management de la
scurit conforme aux
meilleures pratiques

Pour atteindre les objectifs gnraux de protection, le Conseil dEtat a dfini


5 axes regroupant les 13 principes de mise en uvre:

1. Un systme de management de la scurit des systmes dinformation


(SMSSI) est tabli, mis en oeuvre, exploit, surveill, audit, mis jour
et amlior en continu conformment aux meilleures pratiques et aux
principes exposs dans les normes tel que ceux de la srie ISO27000.
2. La documentation du systme de management de la scurit se fonde
sur une architecture 3 niveaux :

I. Politiques
(Niveau stratgique)

II. Directives

I. Les politiques sont des documents de niveau stratgique qui fixent


les objectifs, les principes et lorganisation. On distingue deux
politiques :

La politique gnrale de scurit des SI (PGSSI), le prsent


document, dfinit les objectifs principaux, principes de mise en
oeuvre et responsabilits. La PGSSI est adopte par le Conseil
dEtat.

La politique de scurit des SI (PSSI) est labore par la DSI, elle


dfinit l'organisation et les processus DSI mis en place pour
rpondre aux exigences de la PGSSI.

III. Processus
(Niveau oprationnel)

II. Les directives de scurit sont des documents qui dclinent les
politiques pour un domaine spcifique, afin de dfinir les exigences
organisationnelles ou techniques de scurit correspondantes. On
distingue trois types de directives :

Les directives de scurit gnrales sont labores par la DSI,


constituent le socle scuritaire et sappliquent tout le
primtre de la PGSSI.

Les directives de scurit mtiers caractre technique peuvent


complter les directives gnrales de scurit mises par la DSI.
Ces directives peuvent tre labore par les Services
bnficiaires pour rpondre des besoins spcifiques. Elles sont
soumises lapprobation de la DSI, qui en valuera limpact et
assurera la cohrence globale.

Les directives de scurit mtiers caractre non technique


peuvent complter les directives gnrales de scurit mises
par la DSI. Elles sont labores par les Services bnficiaires en
fonction de leurs besoins spcifiques.

III. Les processus, procdures et modes opratoires sont des


documents de niveau oprationnel qui dcrivent les activits
raliser (par qui, comment et avec quoi). Les processus des Services
bnficiaires et de la DSI intgrent les exigences de scurit
exprimes par les directives tant gnrales que spcifiques aux
mtiers.

Version 1.0
Page 7/11

POLITIQUE GNRALE DE SCURIT DES SYSTMES D'INFORMATION (PGSSI)

Axe 2. Une gestion des


risques rgulire,
efficace et
proportionne

3. Tout systme d'information fait l'objet d'une gestion des risques lis
la scurit. Cette gestion assure que les exigences en matire de
scurit des systmes sont identifies et que l'identification,
l'apprciation et le traitement des risques sur les systmes d'information
sont rgulirement effectus. Elle permet de dfinir et de mettre en
uvre des mesures de scurit adaptes en s'assurant que les actions
prvues et les cots engendrs sont proportionns la rduction de
risque qui sera obtenue.

Axe 3. Des mesures de


scurit conformes aux
meilleures pratiques

4. Tous les biens lis aux systmes dinformation sont identifis,


inventoris et attribus un propritaire. Ils sont classifis selon leur
niveau d'importance afin de mettre en place et de maintenir une
protection approprie.
5. La scurit relative aux ressources humaines est prise en compte, afin
de rduire le risque de vol, de fraude ou de mauvais usage des SI, ainsi
que de sassurer que les utilisateurs connaissent leurs responsabilits et
quils sont en adquation avec les fonctions qui leur sont attribues.
6. La scurit physique est assure afin d'empcher tout accs non
autoris et de protger les lments des systmes d'information contre
les menaces extrieures et environnementales.
7. Seuls les personnes ou systmes autoriss ont accs aux systmes
d'information. Tout dpart ou changement de fonction d'un utilisateur
doit s'accompagner des ajustements ncessaires de ses droits d'accs.
8. Tous les vnements et les failles de scurit sont signals, traits et
analyss par les responsables dsigns, afin de limiter leur impact et de
permettre la mise en uvre dactions correctives dans les meilleurs
dlais.
9. La continuit des activits est assure par l'identification des sinistres
envisageables et de leurs impacts ainsi que par la mise en uvre des
solutions de secours permettant, mme en mode dgrad, la continuit
des activits en fonction de la ncessit qu'il y a de les prserver.
10. La conformit des SI aux exigences lgales, contractuelles et
techniques est vrifie chances rgulires.

Axe 4. Une exploitation


et une volution des SI
conforme aux
politiques de scurit

11. L'acquisition, le dveloppement et la maintenance des systmes


d'information sont matriss en veillant ce que la scurit fasse partie
intgrante des systmes d'information, afin de rpondre aux besoins
exprims par les mtiers concerns.
12. L'exploitation des systmes d'information est matrise travers des
responsabilits et des procdures clairement dfinies et documentes,
afin de scuriser et de surveiller les moyens de traitement de
l'information conformment aux besoins. La scurit des changes
d'information est galement prise en compte.

Axe 5. Une mise en


uvre progressive et
pragmatique

13. La mise en uvre de la gestion des risques et des mesures de scurit


qui en dcoulent est ralise de manire pragmatique en abordant les
risques transversaux et les risques sectoriels les plus importants dans le
cadre de llaboration des schmas directeurs ou de lvolution des
systmes dinformation jugs par les parties prenantes comme les plus
critiques.

Version 1.0
Page 8/11

POLITIQUE GNRALE DE SCURIT DES SYSTMES D'INFORMATION (PGSSI)

5 RESPONSABILITES
DES RESPONSABILITES
REPARTIES EN 9 PARTIES
PRENANTES
Le Conseil d'Etat

Les organes de
contrle de lEtat
Le Chef du
dpartement

Le collge des
secrtaires gnraux
(CSG) largi

Pour assurer la mise en uvre de la politique de scurit, les responsabilits


sont rparties entre les parties prenantes comme suit, conformment au
dispositif rglementaire en vigueur [1, 2, 4, 5]:
Le Conseil dEtat a la responsabilit :

dadopter la politique gnrale de scurit des systmes dinformation


(PGSSI) afin de dfinir les objectifs gnraux et les principes de mise
en uvre de la protection des informations, en particulier des donnes
personnelles, afin de garantir en tout temps leur disponibilit, leur
intgrit et leur confidentialit. [1-art 4,15]

dadopter, via une directive spcifique, les principes de gestion des


risques ainsi que les critres dvaluation et dacceptation des risques.

daccepter formellement les risques transversaux rsiduels identifis par


la DSI et praviss par le CSG largi.

de mandater rgulirement des audits de scurit [1-art.11a][2]

dadopter les propositions DSI damlioration du systme de management


de la scurit.

Les organes de contrle ont la comptence de:

de raliser ou mandater des audits de scurit.

Le Chef du dpartement en charge de la DSI, a la responsabilit :

de veiller la mise en uvre dun systme de gestion de la scurit


conforme la politique gnrale de scurit des SI.

Le Collge des Secrtaires Gnraux largi a la responsabilit :

de prendre connaissance des risques transversaux identifis par la DSI


afin de slectionner les mesures de scurit appropries et de proposer
au CE daccepter formellement les risques rsiduels.

darbitrer, si ncessaire, le plan gnral de traitement des risques


soumis par la DSI.

Version 1.0
Page 9/11

POLITIQUE GNRALE DE SCURIT DES SYSTMES D'INFORMATION (PGSSI)

Les Services
bnficiaires

Le personnel
de lACV

Les services ont la responsabilit :

de dfinir les directives de scurit mtier caractre non technique.

de proposer la DSI, si ncessaire, les directives de scurit mtier


caractre technique.

dassurer lutilisation des SI conformment aux politiques et directives


de scurit.

didentifier les besoins de scurit, les exigences lgales, les menaces et


vulnrabilits propres leur mtier.

danalyser et dvaluer les risques, avec lappui de la DSI, afin de


dterminer les niveaux de scurit requis, de slectionner les mesures
appropries et daccepter formellement les risques sectoriels rsiduels.

darbitrer, si ncessaire, le plan sectoriel de traitement des risques.

dassurer lapplication de la politique gnrale et des directives


associes dans le cadre de leur primtre et, par extension, auprs de
leurs usagers et fournisseurs internes ou externes.

de demander la DSI, si ncessaire, les contrles dcoulant de


l'application de la loi sur le personnel.

Les collaborateurs de lAdministration Cantonale sont responsables :

dutiliser et de traiter les informations qui leur sont confies


conformment aux politiques et directives de scurit ou autres
rglementations applicables.
Le non respect des exigences de scurit entranera lapplication du
dispositif prvu par la loi du 12 novembre 2001 sur le personnel de lEtat,
art. 59 et suivants (concernant l'avertissement, voire le licenciement).

Version 1.0
Page 10/11

POLITIQUE GNRALE DE SCURIT DES SYSTMES D'INFORMATION (PGSSI)

La Direction
des systmes
dinformation (DSI)

Le personnel
de la DSI

La DSI a la responsabilit de :

proposer au Conseil dEtat et mettre en uvre une politique gnrale de


scurit des systmes dinformation (PGSSI). [1-art. 7]

mettre en uvre lorganisation et les processus ncessaires la mise en


uvre, au contrle interne et lamlioration continue dun systme de
management de la scurit (SMSSI) conforme la politique.

dfinir, mettre en uvre et faire voluer la politique de scurit des SI


(PSSI) ainsi que les directives de scurit gnrale et de les intgrer dans
ses processus et procdures.

proposer au CE, via une directive de scurit spcifique, les principes de


gestion des risques ainsi que les critres dvaluation et dacceptation
des risques de scurit.

soutenir les services bnficiaires dans toutes les activits de gestion des
risques de scurit lies leur systme dinformation.

dresser priodiquement un tat des lieux des risques de scurit


encourus et proposer des mesures prventives et correctives adaptes
aux moyens qui lui sont allous. [1-art. 20]

mettre en uvre et d'oprer les mesures de scurit adoptes.

proposer au CSG largi et au CE, si ncessaire, un arbitrage du plan


gnral de traitement des risques.

valider les directives mtiers caractre technique.

assurer lutilisation, l'exploitation et l'volution des SI conformment aux


politiques et directives de scurit.

coordonner les activits des parties prenantes en matire de scurit des


SI.

sensibiliser le personnel et les tiers concerns aux risques encourus et


aux mesures de scurit correspondantes.

communiquer les politiques et directives de scurit, ainsi que de


sensibiliser les utilisateurs la scurit des SI.

Chaque collaborateur de la DSI ou intervenant externe pour le compte de la


DSI est responsable :

de raliser ses activits, de faire usage de ses droits daccs ainsi que
dutiliser et de traiter les informations qui lui sont confies,
conformment aux politiques, directives et procdures de scurit.

de signaler l'instance comptente de la DSI tout fait ou comportement


anormal qu'il pourrait observer dans le domaine de la scurit des
systmes d'information.

Le non - respect des exigences de scurit entranera lapplication du


dispositif prvu par la loi du 12 novembre 2001 sur le personnel de lEtat,
art. 59 et suivants (concernant l'avertissement, voire le licenciement).
Les intervenants
techniques externes
la DSI

Chaque intervenant externe la DSI, mettant en uvre directement ou


indirectement des systmes techniques permettant de traiter des donnes de
l'administration, est responsable :

des donnes produites et traites ainsi que des traitements qu'il


effectue, conformment la prsente politique. Le non - respect des
exigences de scurit entranera des poursuites conformment aux bases
lgales en vigueur.

Version 1.0
Page 11/11