Vous êtes sur la page 1sur 48

LA SCURIT DES DONNES

PERSONNELLES

dition 2010
Sommaire
Avant-propos page 1

Introduction page 3

Termes & dfinitions page 5

Fiche n 1 - Quels risques ? page 6

Fiche n 2 Lauthentification des utilisateurs page 9

Fiche n 3 La gestion des habilitations & la sensibilisation des utilisateurs page 11

Fiche n 4 La scurit des postes de travail page 15

Fiche n 5 - Comment scuriser linformatique mobile ? page 17

Fiche n 6 - Les sauvegardes et la continuit dactivit page 18

Fiche n 7 - La maintenance page 20

Fiche n 8 La tracabilit et la gestion des incidents page 22

Fiche n 9 La scurit des locaux page 24

Fiche n 10 La scurit du rseau informatique interne page 25

Fiche n 11 La scurit des serveurs et des applications page 28

Fiche n 12 - La sous-traitance page 30

Fiche n 13 - Larchivage page 32

Fiche n 14 - Lchange dinformations avec dautres organismes page 34

Fiche n 15 - Les dveloppements informatiques page 37

Fiche n 16 Lanonymisation page 38

Fiche n 17 Le chiffrement page 40

Acronymes page 43

Annexes page 44

Ce guide est tlchargeable sur le site Internet de la CNIL : www.cnil.fr


Avant-propos

La place grandissante de linformatique dans toutes les sphres de notre

A V A N T- P R O P O S
socit entrane la production, le traitement et la dissmination dun nombre
croissant de donnes personnelles.
Les menaces pesant sur les systmes et rseaux dinformation incluent la
fraude informatique, le dtournement de finalit, la captation frauduleuse, la
perte de donnes, le vandalisme, ou encore les sinistres les plus frquents, tels
que lincendie ou linondation.
La loi informatique et liberts impose que les organismes mettant en uvre
des traitements ou disposant de fichiers de donnes en garantissent la
scurit. Par scurit des donnes, on entend lensemble des prcautions
utiles, au regard de la nature des donnes et des risques prsents par le
traitement, pour notamment, empcher que les donnes soient dformes,
endommages, ou que des tiers non autoriss y aient accs. (Art.34 loi IL).
Cette scurit se conoit pour lensemble des processus relatifs ces donnes,
quil sagisse de leur cration, leur utilisation, leur sauvegarde, leur archivage ou
leur destruction et concerne leur confidentialit, leur intgrit, leur authenticit
et leur disponibilit.
Ce guide sadresse tout responsable de traitement ainsi qu toute personne
disposant dun minimum de connaissances informatiques (administrateur
systme, dveloppeur, responsable de la scurit des systmes dinformation,
utilisateur) et souhaitant valuer le niveau de scurit dont doit bnficier tout
traitement de donnes caractre personnel.
Il prsente un ensemble de prconisations essentielles regroupes par fiches
thmatiques concernant la scurit de donnes caractre personnel.
Chaque fiche est structure en trois sections :
- les prcautions lmentaires ;
- ce quil ne faut pas faire ;
- pour aller plus loin.
La section Pour aller plus loin recommande des mesures additionnelles aux
prcautions lmentaires.
Parmi lensemble des prconisations, certaines sont issues de bonnes
pratiques en matire de gestion de la scurit des systmes dinformations,
tandis que dautres rsultent des rgles relatives la protection de donnes
caractre personnel du fait de la spcificit de ces informations.

1
Ce premier guide scurit est videmment perfectible. Aussi, le lecteur ne

A V A N T- P R O P O S
devra-t-il pas hsiter nous contacter pour nous transmettre ses propositions
en la matire.
Bien entendu, aux yeux des experts et des profanes, ce guide ne rpondra
pas compltement leurs attentes, jugeant quil ne va pas assez ou trop loin.
Jespre nanmoins quil satisfera au plus grand nombre, et je peux dores et
dj annoncer quun document plus labor est en cours de prparation.


Alex TRK
Prsident de la CNIL

La Commission Nationale de lInformatique et des Liberts


La CNIL, autorit administrative indpendante, est charge de veiller au respect
des dispositions de la loi. A ce titre, elle assure des missions dinformation, de
conseil, dexpertise et de veille technologique.
La CNIL dispose de pouvoirs particuliers pour faire respecter la loi : elle contrle
la mise en uvre des fichiers informatiques et peut galement procder des
vrifications sur place.

Lensemble de ces informations est galement disponible sur le site


Internet de la CNIL :
http://www.cnil.fr/dossiers/securite

G U I D E P R AT I Q U E S C U R I T 2
Introduction

Scuriser un systme informatique ncessite de prendre en compte tous les


A V A N T- P R O P O S

I N T R O D U C T I O N
aspects de sa gestion. Cette scurit passe par le respect de bonnes pratiques
et le maintien de loutil informatique ltat de lart quant aux attaques dont
il peut faire lobjet. Toutefois, cette scurit ne sera effective qu condition
de faire preuve de rigueur notamment dans la dlivrance (et le retrait) des
habilitations ainsi que dans le traitement des invitables incidents.
Afin de garantir que chaque utilisateur du systme informatique naccde
quaux donnes quil a besoin de connatre, deux lments sont ncessaires :
- la remise dun identifiant unique chaque utilisateur associ un moyen
de sauthentifier : une mthode dauthentification ;
- un contrle a priori de laccs aux donnes pour chaque catgorie
dutilisateurs : une gestion des habilitations.
La protection de donnes concernant des personnes impose en plus que
celles-ci soient :
- collectes et traites de manire loyale et licite (Art. 6 al.1 loi I&L)
- collectes pour des finalits dtermines, explicites et lgitimes et ne
soient pas traites ultrieurement de manire incompatible avec ces
finalits (Art. 6 al.2 loi I&L).
Ces obligations ne peuvent sapprcier qu travers lusage qui est fait du
systme informatique. Par consquent, il est ncessaire de procder une
journalisation, cest--dire lenregistrement des actions de chaque utilisateur
sur le systme pendant une dure dfinie.
En outre, la loi Informatique et Liberts dispose que les donnes soient exactes,
compltes et si ncessaires mises jour. (Art. 6 al.4 loi I&L). Ces obligations
ncessitent que les systmes dinformation prvoient des mcanismes
garantissant lintgrit des donnes.
La loi dispose galement que ces donnes soient conserves sous une forme
permettant lidentification des personnes concernes pendant une dure
qui nexcde pas la dure ncessaire aux finalits pour lesquelles elles sont
collectes et traites (Art. 6 al.5 loi I&L). Les systmes doivent donc prvoir la
suppression, larchivage, ou encore lanonymisation de ces donnes, lorsque
leur dure de conservation est atteinte.
Enfin, grer les risques constitue un moyen efficace de protger les liberts
et droits fondamentaux des personnes physiques, notamment leur vie prive,
lgard du traitement des donnes caractre personnel (article premier de
la Directive 95/46/CE).

3
I N T R O D U C T I O N
Pour rappel, la CNIL peut procder des vrifications sur place. En outre,
la formation restreinte peut prononcer diverses sanctions gradues :
avertissement, mise en demeure, sanctions pcuniaires, injonction de cesser le
traitement. Le montant des sanctions pcuniaires peut atteindre 150 000 euros
lors du premier manquement constat puis 300 000 euros, ou 5% du chiffre
daffaire hors taxes du dernier exercice, dans la limite de 300 000 euros , sil
sagit dune entreprise.
Le montant de ces sanctions est proportionn la gravit des manquements
commis et aux avantages tirs de ce manquement.
La CNIL peut galement dnoncer pnalement les infractions la loi dont elle a
connaissance au Procureur de la Rpublique.

G U I D E P R AT I Q U E S C U R I T 4
Termes & dfinitions

Authentification : lauthentification a pour but de vrifier lidentit dont


I N T R O D U C T I O N

D E F I N I T I O N S
une entit se rclame. Gnralement lauthentification est prcde dune
identification qui permet cette entit de se faire reconnatre du systme par
un lment dont on la dot. En rsum, sidentifier cest communiquer son
identit, sauthentifier cest apporter la preuve de son identit. (ANSSI Agence
Nationale de la Scurit des Sustmes dInformation).
Destinataire des donnes : toute personne habilite recevoir
communication de ces donnes autre que la personne concerne, le

&
responsable du traitement, le sous-traitant et les personnes qui, en raison de

T E R M E S
leurs fonctions, sont charges de traiter les donnes (Art. 3 loi I&L).
Donne caractre personnel : toute information relative une personne
physique identifie ou qui peut tre identifie, directement ou indirectement,
par rfrence un numro didentification ou un ou plusieurs lments qui
lui sont propres. Pour dterminer si une personne est identifiable, il convient de
considrer lensemble des moyens en vue de permettre son identification dont
dispose ou auxquels peut avoir accs le responsable du traitement ou toute
autre personne (Art. 2 loi I&L).
Donnes sensibles : les donnes caractre personnel qui font apparatre,
directement ou indirectement, les origines raciales ou ethniques, les opinions
politiques, philosophiques ou religieuses ou lappartenance syndicale des
personnes, ou qui sont relatives la sant ou la vie sexuelle de celles-ci (Art.
8 loi I&L).
Responsable de traitement : la personne, lautorit publique, le service
ou lorganisme qui dtermine les finalits et les moyens dudit traitement,
sauf dsignation expresse par des dispositions lgislatives ou rglementaires
relatives ce traitement (Art. 3 loi I&L).
Tiers : la personne physique ou morale, lautorit publique, le service ou
tout autre organisme autre que la personne concerne, le responsable du
traitement, le sous-traitant et les personnes qui, places sous lautorit directe
du responsable du traitement ou du sous-traitant, sont habilites traiter les
donnes (directive 95/46/CE).
Traitement : sauf mention explicite, un traitement sentend dans ce document
comme un traitement de donnes caractre personnel.
Traitement de donnes caractre personnel : toute opration ou
tout ensemble doprations portant sur de telles donnes, quel que soit le
procd utilis, et notamment la collecte, lenregistrement, lorganisation,
la conservation, ladaptation ou la modification, lextraction, la consultation,
lutilisation, la communication par transmission, diffusion ou toute autre forme
de mise disposition, le rapprochement ou linterconnexion, ainsi que le
verrouillage, leffacement ou la destruction (Art. 2 loi I&L).

5
Fiche n 1 - Quels risques ?

La gestion des risques permet au responsable de traitement didentifier quelles

R I S Q U E S
sont les prcautions utiles prendre au regard de la nature des donnes et
des risques prsents par le traitement, pour prserver la scurit des donnes
et, notamment, empcher quelles soient dformes, endommages, ou que
des tiers non autoriss y aient accs (article 34 de la Loi du 6 janvier 1978
relative linformatique, aux fichiers et aux liberts).

Q U E L S
La Directive europenne Informatique et Liberts de 1995 prcise encore que
la protection des donnes personnelles ncessite de prendre des mesures
techniques et dorganisation appropries (Article 17).

-
Une telle approche permet en effet une prise de dcision objective et la

N 1
dtermination de mesures parfaitement adaptes son contexte.

F I C H E
Un risque est un scnario qui combine une situation crainte
(atteinte de la scurit des traitements et ses consquences) avec
toutes les possibilits quelle survienne (menaces sur les supports
des traitements). On estime son niveau en termes de gravit
(ampleur et nombre des impacts) et de vraisemblance
(possibilit/probabilit quil se ralise).

Les prcautions lmentaires


Ltude des risques doit tre formalise dans un document complet. Cette
tude devra tre mise jour de manire rgulire selon les volutions du
contexte et doit :
recenser les fichiers et donnes caractre personnel (ex : fichiers client,
contrats) et les traitements associs, automatiss ou non, en identifiant les
supports sur lesquels reposent ces traitements :
- les matriels (ex : serveur de gestion des ressources humaines, CD-
ROM) ;
- les logiciels (ex : systme dexploitation, logiciel mtier) ;
- les canaux de communication (ex : fibre optique, Wifi, Internet) ;
- les supports papier (ex : document imprim, photocopie).
dterminer comment la vie prive des personnes pourrait tre affecte par
le biais de ces supports.
Pour chaque traitement, identifier et classer selon leur gravit les
impacts sur la vie prive des personnes en cas datteinte :
- la confidentialit (ex : usurpations didentits conscutives la divulgation
des fiches de paie de lensemble des salaris dune entreprise) ;

G U I D E P R AT I Q U E S C U R I T 6
- la disponibilit (ex : non dtection dune interaction mdicamenteuse du
R I S Q U E S

R I S Q U E S
fait de limpossibilit daccder au dossier lectronique du patient) ;
- lintgrit (ex : modification des journaux daccs dans le but de faire
accuser une personne tort).
tudier les menaces qui psent sur chaque support et les hirarchiser
Q U E L S

Q U E L S
selon leur probabilit doccurrence (vraisemblance).
Exemples de menaces : vol dun PC portable, contagion par un code malveillant,
saturation des canaux de communication, photocopie de documents papier).
-

-
Une liste complte de menaces est fournie en annexe 1.
N 1

N 1
tudier les risques
F I C H E

F I C H E
Combiner chaque impact avec les menaces qui le concerne.
Hirarchiser les risques ainsi obtenus selon leur gravit et leur vraisemblance.
Mettre en uvre des mesures de scurit
Dterminer les mesures de scurit pour rduire, transfrer ou viter les
risques. Les fiches pratiques de ce guide donnent des exemples concrets
de mesures destines couvrir les obligations issues de la loi informatique et
liberts : confidentialit, intgrit, qualit des donnes, conservation, recueil du
consentement.

Ce quil ne faut pas faire


Mener seul une tude de risques. Impliquer les acteurs les plus appropris
chaque tape (mtiers, matrise duvre, responsable du traitement) afin
de les sensibiliser aux risques, de les responsabiliser dans leurs choix et de
les faire adhrer aux mesures de scurit quils auront choisies.
Raliser une tude trop dtaille. Il est ais de se perdre dans un niveau
de dtail inappropri. Celui-ci doit rester cohrent avec la taille du sujet tudi,
lobjectif de ltude et le niveau des risques.
Choisir des mesures inappropries. Il faut dterminer les mesures
ncessaires et suffisantes pour traiter les risques, et que celles-ci soient
adaptes aux contraintes de ltude (budgtaires, techniques).

7
R I S Q U E S
Q U E L S
Pour aller plus loin
Ltude des risques permet de dterminer des mesures de scurit mettre
en place. Il convient donc de prvoir un budget pour leur mise en uvre.

-
Lemploi dune vritable mthode permet de disposer doutils

N 1
pratiques et damliorer lexhaustivit et la profondeur de ltude
des risques. La bote outils dEBIOS1 peut tre utilise cet effet

F I C H E
http://www.ssi.gouv.fr/site_article173.html).
E
 n fonction des moyens disponibles, il peut galement tre utile de prvoir :
- la formation des personnes charges de raliser les tudes de risques ;
- un audit scurit du systme dinformation.

1 - EBIOS Expression des Besoins et Identification des Objectifs de Scurit est la mthode de gestion des risques
publie par lAgence nationale de la scurit des systmes dinformation (ANSSI) du Secrtariat gnral de la dfense et
de la scurit nationale (SGDSN). EBIOS est une marque dpose du SGDSN.

G U I D E P R AT I Q U E S C U R I T 8
Fiche n 2 - Authentification des
utilisateurs
le responsable dun systme informatique doit tre en mesure dassurer que
R I S Q U E S

U T I L I S A T E U R S
chaque utilisateur du systme naccde quaux donnes dont il a besoin pour
lexercice de sa mission. Pour cela, chaque utilisateur doit tre dot dun
identifiant qui lui est propre et doit sauthentifier avant toute utilisation des
moyens informatiques.
Les mcanismes permettant de raliser lauthentification des personnes sont
Q U E L S

catgoriss en trois familles selon quils font intervenir:


- ce que lon sait, par exemple un mot de passe,

D E S
- ce que lon a, par exemple une carte puce,
-

- une caractristique qui nous est propre, par exemple une empreinte digitale
N 1

A U T H E N T I F I C A T I O N
ou encore une signature manuscrite. Pour rappel, la loi Informatique et
Liberts subordonne lutilisation de la biomtrie lautorisation pralable
F I C H E

de la CNIL2 .
Lauthentification dun utilisateur est qualifie de forte lorsquelle a recours une
combinaison dau moins deux de ces mthodes.
Les prcautions lmentaires
A propos des identifiants (ou logins) des utilisateurs, ceux-ci doivent, dans la
mesure du possible, tre diffrents de ceux des comptes dfinis par dfaut
par les diteurs de logiciels. Les comptes par dfaut doivent tre dsactivs.
Aucun compte ne devrait tre partag entre plusieurs utilisateurs.

-
2
Dans le cas dune authentification des utilisateurs base sur des mots de

N
passe, leur mise en uvre doit respecter les rgles suivantes :
- avoir une taille de 8 caractres minimum ;

F I C H E
- utiliser des caractres de types diffrents (majuscules, minuscules,
chiffres, caractres spciaux). Des moyens mnmotechniques permettent
de crer des mots de passe complexe, par exemple
- en ne conservant que les premires lettres des mots dune phrase ;
- en mettant une majuscule si le mot est un nom (ex : Chef) ;
- en gardant des signes de ponctuation (ex : ) ;
- en exprimant les nombres laide des chiffres de 0 9 (ex : Un ->1) ;
Exemple, la phrase un Chef dEntreprise averti en vaut deux correspond au
mot de passe 1CdEaev2 ;
- changer de mot de passe rgulirement (tous les 3 mois par exemple).
Lorsque le renouvellement dun mot de passe est conscutif un oubli, une
fois que le mot de passe a t rinitialis, lutilisateur doit tre dans lobligation
de le changer ds sa premire connexion afin de le personnaliser.

2 - A ce sujet, consulter notamment la fiche 12 la biomtrie sur le lieu de travail du Guide CNIL pour les employeurs et les
salaris.
http://www.cnil.fr/fileadmin/documents/Guides_pratiques/Guide_employeurs_salaries.pdf

9
Ce quil ne faut pas faire

U T I L I S A T E U R S
Communiquer son mot de passe autrui ;
stocker ses mots de passe dans un fichier en clair ou dans un lieu facilement
accessible par dautres personnes ;
utiliser des mots de passe ayant un lien avec soi (nom, date de naissance) ;
utiliser le mme mot de passe pour des accs diffrents ;
configurer les applications logicielles afin quelles permettent denregistrer les

D E S
mots de passe.
Pour aller plus loin

A U T H E N T I F I C A T I O N
Concernant les mcanismes dauthentification, il est recommand de
se rfrer aux rgles et recommandations concernant les mcanismes
dauthentification prconises dans lannexe B3 du Rfrentiel Gnral de
Scurit3.
En cas dutilisation de mthodes dauthentification reposant sur des
dispositifs tels que des cartes puce ou des schmas dauthentification
mettant en uvre des algorithmes cryptographiques, ceux-ci doivent suivre
les rgles concernant le choix et le dimensionnement des mcanismes
cryptographiques prconises dans lannexe B1 du Rfrentiel Gnral de
Scurit4.

-
2
Dans lventualit dune authentification par des dispositifs biomtriques

N
il est ncessaire deffectuer une demande dautorisation auprs de la CNIL.
Dune manire gnrale, la CNIL recommande lutilisation de biomtrie sans

F I C H E
traces (contour de la main, rseaux veineux) ou lenregistrement des
empreintes digitales dans un support individuel. Concernant des dispositifs
bass sur lempreinte digitale, il convient de se rfrer la Communication
de la CNIL relative la mise en uvre de dispositifs de reconnaissance par
empreinte digitale avec stockage dans une base de donnes situ ladresse
internet http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNI-
biometrie/Communication-biometrie.pdf pour prendre connaissance de la
doctrine de la CNIL en la matire.

3 - http://www.references.modernisation.gouv.fr/sites/default/files/RGS_Mecanismes_Authentification_v1_0.pdf
4 - http://www.references.modernisation.gouv.fr/sites/default/files/RGS_Mecanismes_cryptographiques_v1_20.pdf

G U I D E P R AT I Q U E S C U R I T 10
Fiche n 3 - Gestion des
habilitations & sensibilisation des
utilisateurs
U T I L I S A T E U R S

U T I L I S A T E U R S
Chaque utilisateur du systme ne doit pouvoir accder quaux donnes dont il a
besoin pour lexercice de sa mission. Concrtement, cela se traduit par la mise
en place dun mcanisme de dfinition des niveaux dhabilitation dun
utilisateur dans le systme, et dun moyen de contrle des permissions
daccs aux donnes.
D E S

D E S
Il convient de veiller galement ce que les utilisateurs soient conscients des
menaces en termes de scurit, ainsi que des enjeux concernant la protection
des donnes personnelles.
A U T H E N T I F I C A T I O N

S E N S I B I L I S A T I O N
Les prcautions lmentaires
Dfinir des profils dhabilitation dans les systmes en sparant les tches
et les domaines de responsabilit, afin de limiter laccs des donnes
caractre personnel aux seuls utilisateurs dment habilits.
Supprimer les permissions daccs des utilisateurs ds quils ne sont

&
plus habilits accder un local ou une ressource, ainsi qu la fin
-

H A B I L I T A T I O N S
de leur priode demploi.
2

Documenter les procdures dexploitation, les tenir jour et les rendre


N

disponibles tous les utilisateurs concerns. Concrtement, toute action


F I C H E

sur le systme, quil sagisse doprations dadministration ou de la simple


utilisation dune application, doit tre explique dans des documents auxquels
les utilisateurs peuvent se rfrer.
Rdiger une charte informatique et lannexer au rglement intrieur.

D E S
G E S T I O N
-
N 3
F I C H E

11
Modle dune charte informatique :

U T I L I S A T E U R S
1. Le rappel des rgles de protection des donnes et les sanctions encourues
en cas de non respect de la loi.
2. Le champ dapplication de la charte, qui inclut notamment :
- les modalits dintervention du service de linformatique interne ;
- les moyens dauthentification ;

D E S
- les rgles de scurit auxquelles se conformer, ce qui peut inclure par
exemple de :

S E N S I B I L I S A T I O N
- s ignaler au service informatique interne toute violation ou tentative
de violation suspecte de son compte informatique et de manire
gnrale tout dysfonctionnement ;
- ne jamais confier son identifiant/mot de passe un tiers ;
- ne pas modifier les paramtrages du poste de travail ;
- ne pas installer, copier, modifier, dtruire des logiciels sans
autorisation ;
- verrouiller son ordinateur ds que lon quitte son poste de travail ;
- ne pas accder, tenter daccder, ou supprimer des informations

&
qui ne relvent pas des tches incombant lutilisateur ;

H A B I L I T A T I O N S
- dfinir les modalits de copie de donnes sur un support
externe, notamment en obtenant laccord pralable du suprieur
hirarchique et en respectant des rgles pralablement dfinies.
3. L
 es modalits dutilisation des moyens informatiques et de tlcommu-
nications mis disposition comme :
- le poste de travail ;
- les quipements nomades ;

D E S
- lespace de stockage individuel ;
- le rseau local ;
G E S T I O N

- internet ;
- la messagerie lectronique ;
- le tlphone.
4. L
 es conditions dadministration du systme dinformation, et lexistence, le
-

cas chant, de:


N 3

- systmes automatiques de filtrage ;


- systmes automatiques de traabilit ;
F I C H E

- gestion du poste de travail.


5. L
 es responsabilits et sanctions encourues en cas de non respect de la
charte.

G U I D E P R AT I Q U E S C U R I T 12
Ce quil ne faut pas faire
U T I L I S A T E U R S

U T I L I S A T E U R S
Dfinir des comptes administrateur partags par plusieurs personnes.

Pour aller plus loin


Etablir, documenter et rexaminer une politique de contrle daccs en
rapport avec la finalit du traitement.
D E S

D E S
La politique de contrle daccs doit inclure :
S E N S I B I L I S A T I O N

S E N S I B I L I S A T I O N
- les procdures denregistrement et de radiation des utilisateurs destines
accorder et retirer laccs au traitement ;
- les mesures incitant les utilisateurs respecter les bonnes pratiques de
scurit lors de la slection et lutilisation de mots de passe ou dautres
moyens dauthentification ;
- les mesures permettant de restreindre et de contrler lattribution et
lutilisation des accs au traitement.
Classifier les informations de manire notamment indiquer si celles-ci
&

&
sont des donnes sensibles. Cette classification permet de rendre compte du
H A B I L I T A T I O N S

H A B I L I T A T I O N S
niveau de scurit appliquer.
Envoyer rgulirement tous les utilisateurs les mises jour des politiques et
procdures pertinentes pour leurs fonctions.
Organiser des sances de formation et de sensibilisation la scurit de
linformation. Des rappels priodiques peuvent tre faits par le biais de la
messagerie lectronique.
D E S

D E S
Prvoir la signature dun engagement de confidentialit (cf. modle de
clause ci-dessous), ou prvoir dans les contrats de travail une clause de
G E S T I O N

G E S T I O N

confidentialit spcifique concernant les donnes caractre personnel.


-

-
N 3

N 3
F I C H E

F I C H E

13
Exemple dengagement de confidentialit relatif aux donnes caractre personnel :

U T I L I S A T E U R S
Je soussign Monsieur/Madame __________, exerant les fonctions de _______ au sein de
la socit ________ (ci-aprs dnomm la Socit), tant ce titre amen accder
des donnes caractre personnel, dclare reconnatre la confidentialit desdites donnes.
Je mengage par consquent, conformment aux articles 34 et 35 de la loi du 6 janvier 1978
modifie relative linformatique, aux fichiers et aux liberts, prendre toutes prcautions
conformes aux usages et ltat de lart dans le cadre de mes attributions afin de protger

D E S
la confidentialit des informations auxquelles jai accs, et en particulier dempcher quelles
ne soient modifies, endommages ou communiques des personnes non expressment

S E N S I B I L I S A T I O N
autorises recevoir ces informations.
Je mengage en particulier :
- ne pas utiliser les donnes auxquelles je peux accder des fins autres que celles prvues
par mes attributions ;
- ne divulguer ces donnes quaux personnes dment autorises, en raison de leurs
fonctions, en recevoir communication, quil sagisse de personnes prives, publiques,
physiques ou morales ;
- ne faire aucune copie de ces donnes sauf ce que cela soit ncessaire lexcution de
mes fonctions ;

&
- prendre toutes les mesures conformes aux usages et ltat de lart dans le cadre de mes

H A B I L I T A T I O N S
attributions afin dviter lutilisation dtourne ou frauduleuse de ces donnes ;
- prendre toutes prcautions conformes aux usages et ltat de lart pour prserver la
scurit matrielle de ces donnes ;
- massurer, dans la limite des mes attributions, que seuls des moyens de communication
scuriss seront utiliss pour transfrer ces donnes ;
- assurer, dans la limite de mes attributions, lexercice des droits dinformation, daccs et
de rectification de ces donnes ;

D E S
- en cas de cessation des mes fonctions, restituer intgralement les donnes, fichiers
informatiques et tout support dinformation relatif ces donnes. G E S T I O N

Cet engagement de confidentialit, en vigueur pendant toute la dure de mes fonctions,


demeurera effectif, sans limitation de dure aprs la cessation de mes fonctions, quelle
quen soit la cause, ds lors que cet engagement concerne lutilisation et la communication
de donnes caractre personnel.
Jai t inform que toute violation du prsent engagement mexpose notamment des
-

actions et sanctions disciplinaires et pnales conformment aux dispositions lgales en


N 3

vigueur.
F I C H E

Fait xxx le xxx en xxx exemplaires


Nom : Nom :
Signature : Signature :

G U I D E P R AT I Q U E S C U R I T 14
Fiche n 4 - Scurit des postes de
travail
La scurit des postes de travail passe par une mise en uvre de mesures
U T I L I S A T E U R S

T R A V A I L
pour prvenir
- les tentatives daccs frauduleux ;
- lexcution de virus ;

D E
- la prise de contrle distance, notamment via internet.

P O S T E S
Les risques dintrusion dans les systmes informatiques sont importants et
peuvent conduire limplantation de virus ou de programmes espions.
D E S

Les prcautions lmentaires


S E N S I B I L I S A T I O N

D E S
Limiter le nombre de tentatives daccs un compte. En fonction du
contexte, ce nombre peut varier entre trois et dix. Lorsque la limite est atteinte,

S C U R I T
il est prfrable de bloquer la possibilit dauthentification ce compte
temporairement ou jusqu lintervention dun administrateur du systme ;
installer un pare-feu (firewall) logiciel, et limiter les ports de communication
strictement ncessaires au bon fonctionnement des applications installes
sur le poste de travail ;

-
utiliser des antivirus rgulirement mis jour ;
&

4
H A B I L I T A T I O N S

n
prvoir une procdure de verrouillage automatique de session en cas
de non-utilisation du poste pendant un temps donn. Pour les oprations de

F iche
maintenance, il convient de mettre fin une session aprs une cinq minutes
dinactivit. Pour dautres oprations moins critiques (accs une application
mtier par exemple), un dlai de quinze minutes doit permettre de garantir la
scurit sans compromettre lergonomie dutilisation ;
prvoir dafficher, lors de la connexion un compte, les dates et heures
de la dernire connexion.
D E S

Ce quil ne faut pas faire


G E S T I O N

Utiliser des systmes dexploitation obsoltes (une liste mise jour


rgulirement est disponible ladresse internet http://www.certa.ssi.gouv.fr/
site/CERTA-2005-INF-003/).
-
N 3
F I C H E

15
T R A V A I L
D E
Pour aller plus loin

P O S T E S
Limiter les applications ncessitant des droits de niveau administrateur pour
leur excution ;
limiter les services du systme dexploitation sexcutant sur le poste de
travail ceux qui sont strictement ncessaires ;

D E S
installer les mises jour critiques des systmes dexploitation sans dlai
en programmant une vrification automatique priodique hebdomadaire ;

S C U R I T
mettre jour les applications lorsque des failles critiques ont t identifies
et corriges ;
concernant les virus, se rfrer au document du CERTA disponible ladresse
internet http://www.certa.ssi.gouv.fr/site/CERTA-2000-INF-007/ pour des

-
recommandations plus compltes.

4
n
F iche

G U I D E P R AT I Q U E S C U R I T 16
Fiche n 5 - Comment scuriser
linformatique mobile ?
La multiplication des ordinateurs portables, des cls USB et des smartphones
T R A V A I L

?
rend indispensable danticiper la possible perte dinformations conscutive au

M O B I L E
vol o la perte dun tel quipement.

Les prcautions lmentaires


D E

Prvoir des moyens de chiffrement pour les espaces de stockage des

L I N F O R M A T I Q U E
matriels informatiques mobiles (ordinateur portable, priphrique de
P O S T E S

stockage amovible tels que cls USB, CD-ROM, DVD-RW, etc.). Parmi ces
moyens, on peut citer :
- le chiffrement du disque dur dans sa totalit au niveau matriel ;
D E S

- le chiffrement du disque dur dans sa totalit un niveau logique via le


systme dexploitation ;
S C U R I T

- le chiffrement fichier par fichier ;

S C U R I S E R
- la cration de conteneurs5 chiffrs.
Parmi les outils disponibles, des logiciels libres tels que TrueCrypt6 (www.
truecrypt.org) permettent de crer des containeurs chiffrs dont la scurit
repose sur un mot de passe.
-
4

De nombreux constructeurs de PC portables vendent des solutions avec

C O M M E N T
disque dur chiffr : il convient de privilgier ces quipements et de sassurer
n

que le chiffrement est bien mis en uvre par les utilisateurs.


F iche

Ce quil ne faut pas faire

-
Conserver des donnes personnelles dans les quipements mobiles lors de

5
dplacement ltranger. On peut consulter ce sujet les prconisations

n
formules dans le document Passeport de conseils aux voyageurs publi par
lANSSI disponible ladresse http://www.securite-informatique.gouv.fr/IMG/

F iche
pdf/Passeport-de-conseils-aux-voyageurs_janvier-2010.pdf.

Pour aller plus loin


Lorsque des appareils mobiles servent la collecte de donnes en itinrance
(ex : PDA, Smartphones ou PC portables, etc.), il faut scuriser les donnes
qui y sont stockes et prvoir un verrouillage de lappareil au bout de quelques
minutes dinactivit. Prvoir aussi de purger ces quipements des donnes
collectes sitt quelles ont t introduites dans le systme dinformation de
lorganisme.
De plus en plus dordinateurs portables sont quips dun dispositif de
lecture dempreinte digitale. La mise en uvre de tels dispositifs est soumise
lautorisation de la CNIL.

5 - Par conteneur, il faut comprendre un fichier susceptible de contenir plusieurs fichiers.


6 - Il convient dutiliser la version 6.0a qui bnficie dune certification de premier niveau par lANSSI.

17
Fiche n 6 - Les sauvegardes et la
continuit dactivit
Des copies de sauvegarde des donnes caractre personnel doivent tre

D A C T I V I T E
faites et testes rgulirement, conformment la politique de sauvegarde
adopte. Il faut galement procder une sauvegarde des logiciels servant au
traitement afin de garantir la prennit de celui-ci.
Une scurisation renforce est requise pour les sauvegardes de donnes
sensibles.
Il convient de prvoir la continuit dactivit en anticipant les pannes matrielles.

C O N T I N U I T E
Des mesures de protection physique contre les dommages causs par les
incendies ou les inondations doivent tre envisages.

Les prcautions lmentaires


Sagissant de la sauvegarde des donnes :

L A
- effectuer des sauvegardes frquentes pour viter la perte dinformation.
Selon le volume dinformations sauvegarder, il peut tre opportun

E T
de prvoir des sauvegardes incrmentales7 avec une frquence
quotidienne et des sauvegardes compltes avec une frquence moindre

S A U V E G A R D E S
(hebdomadaires ou bimensuelles) ;
- prvoir de stocker les supports de sauvegarde sur un site extrieur, dans
des coffres ignifugs et tanches ;
- combiner une ou plusieurs des solutions suivantes pour scuriser les
sauvegardes soit en :
- chiffrant les sauvegardes elles-mmes ;

L E S
- chiffrant les donnes la source ;
- prvoyant un stockage dans un lieu scuris.

-
- suivre des rgles en adquation avec la politique de scurit pour le

6
convoyage ventuel des sauvegardes.

n
Sagissant de la continuit dactivit :
- mettre en place des dtecteurs de fume ainsi que des extincteurs. Ces F iche
systmes doivent tre inspects annuellement ;
- concernant les inondations, les matriels informatiques ne doivent pas
tre mis mme le sol, mais surlevs ;
-  propos des matriels :
- lutilisation dun onduleur est recommande pour le matriel
servant aux traitements critiques ;
- il convient galement de prvoir une redondance matrielle des
units de stockage par une technologie RAID8.

7 - Une sauvegarde incrmentale consiste nenregistrer que les modifications faites par rapport une prcdente
sauvegarde.
8 - RAID dsigne des techniques de rpartition de donnes sur plusieurs supports de sauvegardes
(par exemple des disques durs) afin de prvenir la perte de donnes conscutives la panne dun des supports.

G U I D E P R AT I Q U E S C U R I T 18
Ce quil ne faut pas faire
D A C T I V I T E

D A C T I V I T E
Conserver les sauvegardes au mme endroit que les machines hbergeant
les donnes. Un sinistre majeur intervenant cet endroit aurait comme
consquence une perte dfinitive des donnes.
C O N T I N U I T E

C O N T I N U I T E
Pour aller plus loin
Concernant la continuit du service, prvoir de dimensionner tous les services
gnraux, tels que llectricit ou lalimentation en eau relatifs aux systmes
pris en charge, et les inspecter rgulirement pour carter tout risque de
dysfonctionnement ou de panne.
L A

L A
Pour les traitements revtant des exigences fortes de disponibilit, prvoir de
connecter linfrastructure de tlcommunications par au moins deux voies
E T

E T
diffrentes.
S A U V E G A R D E S

S A U V E G A R D E S
L E S

L E S
-

-
6

6
n

n
F iche

F iche

19
Fiche n 7 - La maintenance

Lors de la maintenance et des interventions techniques, la scurit des donnes

M A I N T E N A N C E
doit tre garantie.
On recommande galement de supprimer les donnes des matriels destins
tre mis au rebut.

Les prcautions lmentaires


Garantir que des donnes ne seront pas compromises lors dune intervention

L A
de maintenance en appliquant une ou plusieurs des mesures numres ci-
dessous :

-
- lenregistrement des interventions de maintenance dans une main

7
courante ;

n
- lencadrement par un responsable de lorganisme lors dinterventions par

F iche
des tiers ;
- la configuration des systmes critiques (serveurs, quipements rseau )
de manire empcher leur tlmaintenance.
Inspecter tout matriel contenant des supports de stockage avant sa mise
au rebut ou sa sortie du primtre de lorganisme, pour sassurer que toute
donne sensible en a bien t supprime de faon scurise.
A titre dexemple, lANSSI accorde des certifications de premier niveau des
logiciels pour raliser cet objectif (http://www.ssi.gouv.fr/archive/fr/confiance/
certif-cspn.html).
Concernant la mise au rebut de matriels, on peut mentionner:
- les broyeurs et dchiqueteurs pour le papier ou les supports numriques
tels que les CD et DVD ;
- les dgausseurs9 pour les units de stockage technologie magntique.
Ces prconisations concernent galement les matriels en location lorsquils
sont retourns lexpiration du dlai contractuel.
En matire dassistance sur les postes clients :
- les outils dadministration distance doivent tre configurs de manire
recueillir laccord de lutilisateur avant toute intervention sur son poste,
par exemple en cliquant sur une icne ou encore en rpondant un
message saffichant lcran ;
- lutilisateur doit galement pouvoir constater si la prise de main
distance est en cours et quand elle se termine, par exemple grce
laffichage dun message lcran.

9 - Un dgausseur est un quipement ralisant une destruction irrmdiable de donnes confidentielles par dmagntisation.

G U I D E P R AT I Q U E S C U R I T 20
Ce quil ne faut pas faire
M A I N T E N A N C E

M A I N T E N A N C E
Installer des applications pour la tlmaintenance qui sont vulnrables (ex :
certaines versions de xVNC, cf. http://www.certa.ssi.gouv.fr/site/CERTA-
2009-AVI-035/).

Pour aller plus loin


Il faut restreindre, voire interdire laccs physique et logique, aux ports de
L A

L A
diagnostic et de configuration distance.
-

-
A titre dexemple, il faut restreindre lusage du protocole SNMP qui permet la
7

7
configuration des quipements rseau par connexion sur le port TCP 161.
n

n
Des prconisations concernant les matriels mis au rebut sont disponibles
dans le document de lANSSI intitul Guide technique pour la confidentialit
F iche

F iche
des informations enregistres sur les disques durs recycler ou exporter,
disponible ladresse http://www.ssi.gouv.fr/archive/fr/documentation/
Guide_effaceur_V1.12du040517.pdf.

Modle de clauses de confidentialit pouvant tre utilises en cas de


maintenance par une tierce partie

Chaque opration de maintenance devra faire lobjet dun descriptif prcisant


les dates, la nature des oprations et les noms des intervenants, transmis X.
En cas de tlmaintenance permettant laccs distance aux fichiers de X,
Y prendra toutes dispositions afin de permettre X didentifier la provenance
de chaque intervention extrieure. A cette fin, Y sengage obtenir laccord
pralable de X avant chaque opration de tlmaintenance dont elle prendrait
linitiative.
Des registres seront tablis sous les responsabilits respectives de X et Y,
mentionnant les date et nature dtaille des interventions de tlmaintenance
ainsi que les noms de leurs auteurs.

21
Fiche n 8 - Tracabilit et gestion
des incidents
afin dtre en mesure didentifier a posteriori un accs frauduleux des donnes

I N C I D E N T S
personnelles, une utilisation abusive de telles donnes, ou de dterminer lorigine
dun incident, il convient denregistrer les actions effectues sur le systme
informatique. Pour ce faire, le responsable dun systme informatique doit
mettre en place un dispositif adapt aux risques associs son systme. Celui-
ci doit enregistrer les vnements pertinents, garantir que ces enregistrements
ne peuvent tre altrs, et dans tous les cas conserver ces lments pendant

D E S
une dure non excessive.

Les prcautions lmentaires

G E S T I O N
Prvoir un systme de journalisation (cest--dire un enregistrement dans
des fichiers de logs) des activits des utilisateurs, des anomalies et des
vnements lis la scurit. Ces journaux doivent conserver les vnements
sur une priode glissante ne pouvant excder six mois (sauf obligation lgale,

E T
ou demande de la CNIL, de conserver ces informations pour une dure plus
longue).

T R A C A B I L I T
Prvoir au minimum la journalisation des accs des utilisateurs incluant leur
identifiant, la date et lheure de leur connexion, ainsi que la date et lheure
de leur dconnexion. Le format de lhorodatage doit de prfrence prendre
comme rfrence le temps UTC10.
Dans certains cas, il peut tre ncessaire de conserver galement le dtail
des actions effectues par lutilisateur, telles que les donnes consultes par

-
exemple.

8
n
Se rfrer au document du CERTA disponible ladresse internet
http://www.certa.ssi.gouv.fr/site/CERTA-2008-INF-005, pour un exemple de

F iche
mise en uvre.
Informer les utilisateurs de la mise en place dun tel systme.
Protger les quipements de journalisation et les informations journalises
contre le sabotage et les accs non autoriss.
Etablir des procdures dtaillant la surveillance de lutilisation du traitement et
procder priodiquement lexamen des informations journalises.
Le responsable de traitement doit tre inform dans les meilleurs dlais des
failles ventuelles de scurit.
En cas daccs frauduleux des donnes personnelles, le responsable de
traitement devrait le notifier aux personnes concernes.

10 - Coordinated Universal Time

G U I D E P R AT I Q U E S C U R I T 22
I N C I D E N T S

I N C I D E N T S
Ce quil ne faut pas faire
Utiliser les informations issues des dispositifs de journalisation dautres fins
que celles de garantir le bon usage du systme informatique.
D E S

D E S
G E S T I O N

G E S T I O N
Pour aller plus loin
Les horloges des diffrents systmes de traitement de linformation dun
organisme ou dun domaine de scurit doivent tre synchronises laide
dune source de temps fiable et pralablement dfinie.
E T

E T
Lorsque le traitement fait appel des ressources rseau, la synchronisation des
sources de temps peut tre ralise par le recours au protocole NTP11.
T R A C A B I L I T

T R A C A B I L I T
 e responsable de traitement doit se tenir inform des vulnrabilits
L
techniques des systmes et entreprendre les actions appropries pour
traiter le risque associ.
-

-
8

8
n

n
F iche

F iche

11 - Le protocole NTP (Network Time Protocol) permet de caler lhorloge dun ordinateur sur une source dhorodatage fiable
via le rseau.

23
Fiche n9 - Scurit des locaux

Afin de protger efficacement les locaux o sont hbergs les traitements de

L O C A U X
donnes personnelles, prvoir :
- des alarmes afin de dceler une intrusion au sein dune zone scurise ;
- des mesures afin de ralentir la progression des personnes parvenues
sintroduire ;

D E S
- des moyens afin de mettre fin lintrusion.

S C U R I T
Les prcautions lmentaires
Restreindre les accs aux salles ou bureaux susceptibles dhberger du
matriel contenant des donnes au moyen de portes verrouilles, ou de
sas daccs pour les quipements les plus critiques.

-
Installer des alarmes anti-intrusion et les vrifier priodiquement.

n 9
Ce quil ne faut pas faire

F iche
Sous-dimensionner ou ngliger lentretien de la climatisation des
salles hbergeant les machines : une panne sur cette installation a souvent
comme consquence larrt des machines ou encore louverture des portes
des salles et donc la neutralisation de facto dlments concourant la
scurit physique des locaux.

Pour aller plus loin


Il faut protger les zones scurises par des contrles pour sassurer que
seul le personnel dment habilit est admis dans ces zones. Pour ce faire, il
convient de suivre les recommandations suivantes :
- concernant les zones dans lesquelles des informations sensibles sont
traites ou stockes, des dispositifs dauthentification doivent tre
prvus. Il peut sagir de cartes daccs accompagnes dun numro
didentification personnel. Un journal des accs intervenus lors des trois
derniers mois au plus doit tre tenu jour de faon scurise ;
 lintrieur des zones accs rglement, exiger le port dun moyen
-
didentification visible (badge) pour toutes les personnes ;
- les visiteurs (personnel en charge de lassistance technique, etc.) doivent
avoir un accs limit. La date et lheure de leur arrive et dpart doivent
tre consignes ;
- Rexaminer et mettre jour rgulirement les permissions daccs aux
zones scurises et les supprimer si ncessaire.

G U I D E P R AT I Q U E S C U R I T 24
Fiche n 10 - Scurit du rseau
informatique interne
Pour tous les services rseau, il faut identifier les fonctions rseau et les niveaux
L O C A U X

I N T E R N E
de service ncessaires au bon fonctionnement du traitement et nautoriser que
ceux-ci.

Les prcautions lmentaires


D E S

I N F O R M A T I Q U E
Limiter les flux rseau au strict ncessaire. Par exemple, si laccs
un serveur web passe obligatoirement et uniquement par lutilisation du
S C U R I T

protocole SSL, il faut autoriser uniquement les flux rseau IP entrants sur
cette machine sur le port de communication 443 et bloquer tous les autres
ports de communication.
Se rfrer aux documents suivants du CERTA :
- http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-001/,
-

R S E A U
pour les questions de filtrage et pare-feux ;
n 9

- http://www.certa.ssi.gouv.fr/site/CERTA-2005-REC-001/,
F iche

pour la mise en uvre de SSL.


S
 curiser les accs au systme dinformation au moyen dappareils

D U
informatiques nomades tels que des ordinateurs portables par la mise en

S C U R I T
place de connexions VPN reposant sur des algorithmes cryptographiques
rputs forts12 et mettant si possible en uvre un matriel (carte puce,
boitier gnrateur de mots de passe usage unique (OTP One Time
Password), etc.).
Recourir au chiffrement de la communication par lusage du protocole SSL
avec une cl de 128 bits lors de la mise en uvre de services web.

-
1 0
Ce quil ne faut pas faire

n
Utiliser le protocole telnet pour la connexion distance aux quipements

F iche
actifs du rseau (pare-feu, routeurs, switches). Il convient dutiliser plutt SSH
ou un accs physique direct lquipement.
Installer des rseaux WiFi. Si de tels quipements doivent tre mis en uvre,
il est ncessaire de scuriser les connexions par lusage du protocole WPA,
en choisissant le mode de chiffrement AES/CCMP.
Pour plus de dtails sur laccs aux rseaux sans fil, se rfrer aux mesures
prconises sur le site du CERTA ladresse
http://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-002/.

12 - Cf. Fiche n17 Le chiffrement

25
Pour aller plus loin

I N T E R N E
Le cloisonnement rseau permet notamment dviter que la compromission
dun poste nentrane celle de lensemble du systme. En pratique, il est
recommand de segmenter le rseau en sous-rseaux logiques selon les
services censs y tre dploys.

I N F O R M A T I Q U E
Un exemple dune telle architecture est reprsent ci-dessous.

Serveurs
dapplication
vlan1 vlan1
imprimante Service 1

poste client Informatique


switch switch mobile
service 1

R S E A U
vlan3

poste client

D U
service 2 Serveurs
dapplication
Unit de
Service 2 vlan2

S C U R I T
vlan2 sauvegarde

Figure 1: Exemple dun rseau informatique cloisonn par VLAN

-
1 0
Pour mettre en uvre un tel cloisonnement, plusieurs mthodes sont
envisageables :

n
- la mise en place de rseaux physiques distincts : il est alors possible de

F iche
cloisonner les diffrents rseaux en contrlant les flux de donnes sur la
base des adresses rseau ;
- le recours des rseaux virtuels, dnomms VLAN : lobjectif de
cette technologie est de regrouper certains matriels connects un
quipement physique (switch) selon des critres logiques (par exemple
lappartenance un dpartement), dans le but de sparer les trafics
rseau entre les diffrents groupes ainsi constitus.

G U I D E P R AT I Q U E S C U R I T 26
Il est galement possible de restreindre les connexions autorises en
I N T E R N E

I N T E R N E
diffrenciant par exemple un rseau interne pour lequel aucune connexion
venant dInternet nest autorise, et un rseau dit DMZ (DeMilitarized Zone ou
zone dmilitarise en franais) accessible depuis Internet.
I N F O R M A T I Q U E

I N F O R M A T I Q U E
Rseau interne -> <- Zone accessible -> <- Internet
depuis Internet (DMZ)
Poste client Pare feu Pare feu
(Firewall) (Firewall)
Modem

Routeur
Portail
Web
Serveurs Serveurs
R S E A U

R S E A U
techniques de messagerie
Serveurs (DHCP, DNS)
dapplication
D U

D U
Figure 2: Exemple de mise en uvre dune DMZ
S C U R I T

S C U R I T
La mise en uvre dune DMZ ncessite linstallation de passerelles scurises
(pare-feux) entre les rseaux cloisonner afin de contrler les flux dinformation
entrants et sortants.
Des systmes de dtection dintrusion (Intrusion Detection Systems
-

-
ou IDS) peuvent tre mis en place en vue danalyser le trafic rseau en
1 0

1 0
temps rel, afin dy dtecter toute activit suspecte voquant un scnario
n

n
dattaque informatique. Le but de ces systmes est de djouer les attaques
informatiques au plus tt. Il convient de rappeler que les utilisateurs dun
F iche

F iche
rseau informatique doivent tre avertis lorsquil est prvu une analyse des
contenus transitant sur le rseau.
Il peut tre envisag de mettre en place lidentification automatique de
matriels comme moyen dauthentification des connexions partir de lieux
et matriels spcifiques. Cette technique utilise par exemple les identifiants
uniques des cartes rseau (ladresse MAC) afin de dtecter la connexion dun
dispositif non rpertori et de router son trafic rseau de manire spare.

27
Fiche n 11 - scurite des serveurs
et des applications
Les serveurs sont les quipements les plus critiques et ce titre, ils mritent des

A P P L I C A T I O N S
mesures de scurit renforces.

Les prcautions lmentaires


Changer les mots de passe par dfaut par des mots de passe complexes
devant respecter au minimum les rgles suivantes :
- avoir une taille de 10 caractres minimum ;

D E S
- utiliser des caractres de types diffrents (majuscules, minuscules,
chiffres et caractres spciaux) ;

E T
- changer de mot de passe notamment lors du dpart dun des
administrateurs.

S E R V E U R S
Installer les mises jour critiques des systmes dexploitation sans dlai en
programmant une vrification automatique hebdomadaire.
En matire dadministration de bases de donnes:
- ne pas utiliser les serveurs hbergeant les bases de donnes dautres

D E S
fins (notamment pour naviguer sur des sites internet, accder la
messagerie lectronique ) ;

S E C U R I T E
- utiliser des comptes nominatifs pour laccs aux bases de donnes, sauf
si une contrainte technique lempche ;
- mettre en uvre des mesures et/ou installer des dispositifs pour se
prmunir des attaques par injection de code SQL, scripts ;

-
- prvoir des mesures particulires pour les bases de donnes sensibles

1 1
(chiffrement en base, chiffrement des sauvegardes).

n
Assurer une continuit de disponibilit des donnes, ce qui ncessite
notamment de prendre des prcautions en cas dinstallation ou de mises
jour de logiciels sur les systmes en exploitation. F iche

Mettre jour les applications lorsque des failles critiques ont t identifies
et corriges.

Ce quil ne faut pas faire


Utiliser des services non scuriss (authentification en clair, flux en clair, etc).
Placer les bases de donnes dans une zone directement accessible depuis
Internet.

G U I D E P R AT I Q U E S C U R I T 28
A P P L I C A T I O N S

A P P L I C A T I O N S
Pour aller plus loin
Les systmes sensibles, cest--dire tout systme traitant de donnes
sensibles ou juges confidentielles pour lentreprise, doivent disposer dun
D E S

D E S
environnement informatique ddi (isol).
E T

E T
Sagissant des logiciels sexcutant sur des serveurs, il est conseill
dutiliser des outils de dtection des vulnrabilits (logiciels scanners de
S E R V E U R S

S E R V E U R S
vulnrabilit tels que nmap (http://nmap.org/), nessus (http://www.nessus.
org), nikto (http://www.cirt.net/nikto2) etc.) pour les traitements les plus
critiques afin de dtecter dventuelles failles de scurit. Des systmes de
dtection et prvention des attaques sur des systmes/serveurs critiques
dnomms Host Intrusion Prevention peuvent aussi tre utiliss.
D E S

D E S
Selon la nature de lapplication, il peut tre ncessaire dassurer lintgrit des
traitements par le recours des signatures du code excutable garantissant
quil na subi aucune altration. A cet gard, une vrification de signature tout
S E C U R I T E

S E C U R I T E
au long de lexcution (et pas seulement avant lexcution) rend plus difficile
la compromission dun programme.
-

-
1 1

1 1
n

n
F iche

F iche

29
Fiche n 12 - Sous-traitance

Les donnes caractre personnel communiques ou gres par des sous-

S O U S - T R A I T A N C E
traitants doivent bnficier de garanties de scurit.

Les prcautions lmentaires


Prvoir dans les contrats liant lorganisme et les sous-traitants une clause
spcifique couvrant la confidentialit des donnes personnelles confies
ces derniers. Un modle de clause est fourni ci-aprs.
Prendre des dispositions (audits de scurit, visite des installations, etc)
afin de sassurer de leffectivit des garanties offertes par le sous-traitant en

-
matire de protection des donnes. Cela inclut notamment :

1 2
- le chiffrement des donnes selon leur sensibilit ou dfaut lexistence de

n
procdures garantissant que la socit de prestation na pas accs aux
donnes qui lui sont confies ;

F iche
- le chiffrement de la liaison de donnes (connexion de type https par
exemple) ;
- des garanties en matire de protection du rseau, traabilit (journaux,
audits), gestion des habilitations, authentification, etc.
Prvoir les conditions de restitution des donnes et de leur destruction en cas
de rupture ou la fin du contrat.

Ce quil ne faut pas faire


Avoir recours des services offrant des fonctionnalits dinformatique
rpartie13 sans garantie quant la localisation gographique effective des
donnes.

Pour aller plus loin


Concernant les donnes de sant, il est rappel quun hbergeur se doit
davoir un agrment dlivr par le ministre de la Sant. Le rfrentiel de
constitution dun dossier est disponible sur le site http://esante.gouv.fr/.

13 - cloud computing.

G U I D E P R AT I Q U E S C U R I T 30
Modle de clauses de confidentialit pouvant tre utilises en cas de sous-
S O U S - T R A I T A N C E

S O U S - T R A I T A N C E
traitance

Les supports informatiques et documents fournis par la socit X la socit Y restent


la proprit de la socit X.
Les donnes contenues dans ces supports et documents sont strictement couvertes
par le secret professionnel (article 226-13 du code pnal), il en va de mme pour toutes
les donnes dont Y prend connaissance loccasion de lexcution du prsent contrat.
-

-
Conformment larticle 34 de la loi informatique et liberts modifie, Y sengage
1 2

1 2
prendre toutes prcautions utiles afin de prserver la scurit des informations
et notamment dempcher quelles ne soient dformes, endommages ou
n

n
communiques des personnes non autorises.
F iche

F iche
Y sengage donc respecter les obligations suivantes et les faire respecter par son
personnel :
- ne prendre aucune copie des documents et supports dinformations qui lui sont
confis, lexception de celles ncessaires lexcution de la prsente prestation
prvue au contrat, laccord pralable du matre du fichier est ncessaire ;
- ne pas utiliser les documents et informations traits des fins autres que celles
spcifies au prsent contrat ;
- ne pas divulguer ces documents ou informations dautres personnes, quil
sagisse de personnes prives ou publiques, physiques ou morales ;
- prendre toutes mesures permettant dviter toute utilisation dtourne ou
frauduleuse des fichiers informatiques en cours dexcution du contrat ;
- prendre toutes mesures de scurit, notamment matrielles, pour assurer la
conservation et lintgrit des documents et informations traits pendant la dure
du prsent contrat ;
- et en fin de contrat, procder la destruction de tous fichiers manuels ou
informatiss stockant les informations saisies.
A ce titre, Y ne pourra sous-traiter lexcution des prestations une autre socit, ni
procder une cession de march sans laccord pralable de X.
X se rserve le droit de procder toute vrification qui lui paratrait utile pour constater
le respect des obligations prcites par Y.
En cas de non-respect des dispositions prcites, la responsabilit du titulaire peut
galement tre engage sur la base des dispositions des articles 226-5 et 226-17 du
nouveau code pnal.
X pourra prononcer la rsiliation immdiate du contrat, sans indemnit en faveur du
titulaire, en cas de violation du secret professionnel ou de non-respect des dispositions
prcites.

31
Fiche n13 - Larchivage

On distingue habituellement trois catgories darchives :

L A R C H I V A G E
- Les bases actives ou archives courantes : il sagit des donnes dutilisation
courante par les services en charge de la mise en uvre du traitement ;
- Les archives intermdiaires : il sagit des donnes qui ne sont plus utilises
mais qui prsentent encore un intrt administratif pour lorganisme. Les
donnes sont conserves sur support distinct et sont consultes de
manire ponctuelle et motive ;

-
- Les archives dfinitives : il sagit des donnes prsentant un intrt

n 1 3
historique, scientifique ou statistique justifiant quelles ne fassent lobjet
daucune destruction. Elles sont alors rgies par le livre II du Code du
patrimoine et non par la loi informatique et liberts.

F iche
Les archives doivent tre scurises et chiffres si les donnes archives sont
des donnes sensibles ou juges confidentielles par lentreprise.

Les prcautions lmentaires


Mettre en uvre des modalits daccs spcifiques aux donnes archives
du fait que lutilisation dune archive doit intervenir de manire ponctuelle et
exceptionnelle.
Suivre les prconisations donnes dans la fiche n17 - Le chiffrement,
sagissant du chiffrement des archives.
Sagissant de la destruction des archives, choisir un mode opratoire
garantissant que lintgralit dune archive a t dtruite.
A titre dexemple, lANSSI accorde des certifications de premier niveau des
logiciels pour raliser cet objectif (http://www.ssi.gouv.fr/site_rubrique54.html).
Selon la nature des supports, on peut mentionner :
- Les broyeurs et dchiqueteurs pour le papier ainsi que les supports
numriques tels que les CD et DVD ;
- Les dgausseurs pour les units de stockage technologie magntique.
Se rfrer au document Guide technique pour la confidentialit des informations
enregistres sur les disques durs recycler ou exporter.
(http://www.ssi.gouv.fr/archive/fr/documentation/Guide_effaceur_
V1.12du040517.pdf).

G U I D E P R AT I Q U E S C U R I T 32
Ce quil ne faut pas faire
L A R C H I V A G E

L A R C H I V A G E
Utiliser des supports ne prsentant pas une garantie de longvit suffisante. A
titre dexemple, on peut mentionner les CD et DVD dont la longvit dpasse
rarement 4/5 annes.

Pour aller plus loin


-

-
n 1 3

n 1 3
Plus dinformations sur les problmatiques darchivage sont disponibles sur
le site des archives de France : http://www.archivesdefrance.culture.gouv.fr/
gerer/archives-electroniques/.
F iche

F iche

33
Fiche n 14 - Lchange
dinformations avec dautres
organismes

O R G A N I S M E S
la communication de donnes caractre personnel doit tre scurise, cest-
-dire que la confidentialit, lintgrit et lauthenticit des informations doivent
tre assures.
La messagerie lectronique et le fax, mme sils apportent un gain de temps,
ne constituent pas a priori un moyen de communication sr pour transmettre

D A U T R E S
des donnes personnelles. Une simple erreur de manipulation (e-mail erron,
erreur de numrotation du fax destinataire) peut conduire divulguer des
destinataires non habilits des informations personnelles et porter ainsi
atteinte au droit la vie prive des personnes.
En outre la transmission via Internet de donnes nominatives comporte, compte

A V E C
tenu de labsence gnrale de confidentialit du rseau Internet, des risques
importants de divulgation de ces donnes et dintrusion dans les systmes
informatiques internes.

D I N F O R M A T I O N S
Les prcautions lmentaires
Concernant la confidentialit de la communication :
- Chiffrer les donnes avant leur enregistrement sur le support lorsque la
transmission de donnes seffectue par lenvoi dun support physique (
technologie optique ou magntique).
- Lors dun envoi via un rseau :

L E C H A N G E
- si cette transmission utilise la messagerie lectronique, chiffrer les pices
transmettre. A ce sujet, il convient de se rfrer aux prconisations de la
fiche n17 Le chiffrement ;
- sil sagit dun transfert de fichiers, utiliser un protocole garantissant la
confidentialit, tel que SFTP ;
-
- si cette transmission utilise le protocole HTTP, utiliser le protocole SSL
1 4

(HTTPS) pour assurer lauthentification des serveurs la confidentialit des


communications.
n

Dans tous les cas, la transmission du secret (cl de dchiffrement, mot de


F iche

passe, etc.) garantissant la confidentialit du transfert doit seffectuer dans


une transmission distincte, si possible via un canal de nature diffrente de
celui ayant servi la transmission des donnes (par exemple, envoi du fichier
chiffr par mail et communication du mot de passe par tlphone ou SMS).

G U I D E P R AT I Q U E S C U R I T 34
Si vous tes amen utiliser le fax, il est recommand de mettre en place les
O R G A N I S M E S

O R G A N I S M E S
mesures suivantes :
- le fax doit tre situ dans un local physiquement contrl et accessible
uniquement au personnel habilit ;
- limpression des messages doit tre subordonne lintroduction dun
code daccs personnel ;
- lors de lmission des messages, le fax doit afficher lidentit du fax
D A U T R E S

D A U T R E S
destinataire afin dtre assur de lidentit du destinataire ;
-d
 oubler lenvoi par fax dun envoi des documents originaux au destinataire ;
- prenregistrer dans le carnet dadresse des fax (si cette fonctionnalit
existe) les destinataires potentiels.
A V E C

A V E C
Ce quil ne faut pas faire
Transmettre des fichiers contenant des donnes personnelles en clair via des
D I N F O R M A T I O N S

D I N F O R M A T I O N S
messageries web du type Gmail ou Hotmail.

Pour aller plus loin


Concernant lintgrit des donnes :
il est recommand de calculer une empreinte sur les donnes en clair et de
transmettre cette empreinte afin que lintgrit des donnes soit vrifie au
moment de leur rception. Les calculs dempreintes peuvent tre raliss
laide dalgorithmes de hachage tels que SHA-1 ou SHA-2. Lutilisation de
L E C H A N G E

L E C H A N G E
SHA-2 est recommande.
Concernant lauthenticit des donnes :
lmetteur peut signer les donnes avant leur envoi afin de garantir quil est
lorigine de la transmission. Une signature lectronique requiert la mise en
place dune infrastructure de gestion de cls publiques14 (en anglais Public Key
Infrastructure, PKI) ;
-

-
1 4

1 4

lutilisation dalgorithmes cls publiques, lorsque les diffrents acteurs ont


mis en place une infrastructure de gestion de cls publiques, apparat
n

particulirement adapte pour garantir la confidentialit et lintgrit des


F iche

F iche

communications, ainsi que lauthenticit de lmetteur par lutilisation de la


signature llectronique.

14 - Sur la notion de cl publique, voir la fiche n17 Le chiffrement

35
Une telle infrastructure consiste dlivrer une paire de cls prive/publique

O R G A N I S M E S
lensemble des personnes susceptibles dchanger des informations. Les cls
publiques doivent tre certifies par une autorit de certification pour laquelle
chacun des utilisateurs le certificat15 racine, ceci afin que lauthenticit des
cls publiques soient garanties.
Les algorithmes mis en uvre dans le cadre de cette infrastructure doivent
suivre les prconisations de lannexe B1 du Rfrentiel Gnral de Scurit16.

D A U T R E S
Ce rfrentiel prcise notamment les longueurs de cl considrer. la date de
rdaction de ce document, il est par exemple prconis que :
- La taille minimale dune cl RSA soit de 2048 bits, pour une utilisation ne
devant pas dpasser lanne 2020 ;
- Pour une utilisation au-del de 2020, la taille minimale de la cl RSA est

A V E C
de 4096 bits.
Ces valeurs sont donnes titre indicatif, et sont dpendantes du contexte

D I N F O R M A T I O N S
propre chaque traitement.
D
 s lors que les donnes ont t reues, que leur intgrit a t vrifie par le
destinataire et quelles ont t intgres dans le systme dinformation, il est
conseill de dtruire les supports ou fichiers ayant servi leur transmission.

L E C H A N G E
-
1 4
n
F iche

15 - Un certificat est constitu :


1.dune valeur de cl publique
2.dinformations complmentaires permettant didentifier le propritaire de la cl (adresse email, nom)
3. dune signature par une cl publique dune autorit de certification sur lensemble de ces informations.
16 - http://www.references.modernisation.gouv.fr/rgs-securite

G U I D E P R AT I Q U E S C U R I T 36
Fiche n 15 - Les dveloppements
informatiques
la protection des donnes caractre personnel doit tre partie intgrante du
O R G A N I S M E S

I N F O R M A T I Q U E S
dveloppement informatique afin dempcher toute erreur, perte, modification
non autorise, ou tout mauvais usage de celles-ci dans les applications.

Les prcautions lmentaires


Effectuer le dveloppement informatique dans un environnement informatique
distinct de celui de la production (par exemple, sur des ordinateurs diffrents,
D A U T R E S

dans des salles machines diffrentes).


Prendre en compte les exigences de scurit vis--vis des donnes

D E V E L O P P E M E N T S
caractre personnel ds llaboration du service ou ds la conception
de lapplication.
A V E C

Ce quil ne faut pas faire


Utiliser des donnes caractre personnel relles pour les phases de
dveloppement et de test. Si des donnes relles sont nanmoins requises,
D I N F O R M A T I O N S

il convient que celles-ci soient anonymises (cf fiche n16 Lanonymisation)

L E S
Pour aller plus loin
Le dveloppement doit imposer des formats de saisie et denregistrement

-
des donnes qui minimisent les donnes collectes. Par exemple,

1 5
sil sagit de collecter lanne de naissance dune personne, le champ du
formulaire correspondant ne doit pas permettre la saisie du mois et du jour de

n
naissance. Cela peut se traduire notamment par la mise en uvre dun menu
L E C H A N G E

F iche
droulant limitant les choix pour un champ dun formulaire.
Les formats de donnes doivent tre compatibles avec la mise en uvre
dune dure de conservation.
Le contrle daccs aux donnes par des catgories dutilisateurs doit tre
intgr au moment du dveloppement.
-

Eviter le recours des zones de texte libre. Si de telles zones sont requises,
1 4

il faut faire apparatre soit en filigrane, soit comme texte pr-rempli seffaant
sitt que lutilisateur dcide dcrire dans la zone, les mentions suivantes :
n

Les personnes disposent dun droit daccs aux informations contenues


F iche

dans cette zone de texte. Les informations que vous y inscrivez doivent
tre PERTINENTES au regard du contexte. Elles ne doivent pas comporter
dapprciation subjective, ni faire apparatre, directement ou indirectement
les origines raciales, les opinions politiques, philosophiques ou religieuses, les
appartenances syndicales ou les murs de la personne concerne.

37
Fiche n 16 - Lanonymisation

On distingue les concepts danonymisation irrversible et danonymisation

L A N O N Y M I S A T I O N
rversible, cette dernire tant parfois dnomme pseudonymisation.
Lanonymisation irrversible consiste supprimer tout caractre identifiant un
ensemble de donnes. Concrtement, cela signifie que toutes les informations
directement et indirectement identifiantes sont supprimes et rendre
impossible toute r-identification des personnes.
Lanonymisation rversible est une technique qui consiste remplacer un
identifiant (ou plus gnralement des donnes caractre personnel) par un
pseudonyme. Cette technique permet la leve de lanonymat ou ltude de
corrlations en cas de besoin.

-
1 6
Les prcautions lmentaires

n
Etre trs vigilant dans la mesure o une r-identification peut intervenir partir

F iche
dinformations partielles17.
Anonymiser une donne personnelle en procdant comme suit :
- gnrer un secret suffisamment long et difficile mmoriser18 ;
- appliquer une fonction dite sens unique sur les donnes : un algorithme
convenant pour une telle opration est un algorithme de hachage cl
secrte, tel que lalgorithme HMAC19 bas sur SHA-1.
S
 i une donne personnelle est anonymise et non purement supprime, il
existe un risque de r-identification20.
- En labsence dun besoin de leve de lanonymat, prvoir de supprimer le
secret afin de rduire ce risque.
- Dans lhypothse o le secret doit tre conserv pour une ventuelle leve
de lanonymisation ou une finalit de corrlation entre diffrentes donnes,
prvoir de mettre en place des mesures organisationnelles21 pour
garantir la confidentialit de ce secret. Les accs celui-ci doivent
tre tracs.

17 - A titre dexemple, la ville et la date de naissance peuvent parfois suffire identifier formellement une personne.
18 - Un exemple de chaine de caractres ayant valeur de secret est : f{rXan?cI$IPCk|Bb-aQWH6ud0;#oQt.
19 - HMAC est spcifi dans le document RFC 2104, http://www.ietf.org/rfc/rfc2104.txt
20 - Il est possible dassocier la donne originale la donne anonymise ds lors que le secret est compromis et que la
complexit de la donne originale nest pas suffisante. Les donnes personnelles possdent souvent une complexit,
autrement dit une entropie insuffisante. Par exemple, les patronymes franais sont en nombre limit (infrieur 1,5
millions), tous rpertoris.
21 - Un exemple de telle mesure consiste partager la cl en trois paires de valeurs confies trois personnes diffrentes,
ncessitant quau moins deux personnes se runissent pour reconstituer la cl.

G U I D E P R AT I Q U E S C U R I T 38
L A N O N Y M I S A T I O N

L A N O N Y M I S A T I O N
Ce quil ne faut pas faire
Utiliser des mcanismes danonymisation non valids par des experts. Un
bon algorithme danonymisation doit notamment :
- tre irrversible ;
-

-
1 6

1 6
- avoir un trs faible taux de collision : deux donnes diffrentes ne doivent
pas mener un mme rsultat ;
n

n
- avoir une grande dispersion : deux donnes quasi-semblables doivent
F iche

F iche
avoir des rsultats trs diffrents ;
- pouvoir mettre en uvre une cl secrte.

Pour aller plus loin


Dans certains cas, il est conseill dappliquer une double anonymisation
rversible : soit lapplication dune seconde anonymisation sur le rsultat
dune premire anonymisation. Ces deux anonymisations doivent utiliser des
secrets diffrents, dtenus par des organismes distincts.
Lalgorithme FOIN (Fonction dOccultation des Informations Nominatives) est
un exemple dalgorithme double anonymisation.

39
Fiche n 17 - Le chiffrement

le chiffrement, parfois improprement appel cryptage, est un procd

C H I F F R E M E N T
cryptographique permettant de garantir la confidentialit dune information.
Les mcanismes cryptographiques permettent galement dassurer lintgrit
dune information, ainsi que lauthenticit dun message en le signant.
On distingue deux familles cryptographiques permettant de chiffrer : la
cryptographie symtrique et la cryptographie asymtrique :
- la cryptographie symtrique comprend les mcanismes pour lesquels la
mme cl sert chiffrer et dchiffrer ;

L e
- la cryptographie asymtrique comprend les mcanismes pour lesquels la

-
cl servant chiffrer, appele cl publique, est diffrente de la cl servant

1 7
dchiffrer, appele cl prive. On parle de paire de cls.

n
Lintrt de la cryptographie asymtrique est multiple :

F iche
- Chaque personne na besoin que dune paire de cls prive/publique.
A contrario, la cryptographie symtrique ncessite davoir autant de
cls diffrentes que de couples de personnes qui veulent communiquer
confidentiellement ;
- Les cls publiques peuvent tre rendues publiques pour quiconque
souhaitant vous envoyer un message confidentiel. Toutefois lauthenticit
des cls publiques nest ainsi pas garantie. Aussi la mise en uvre de
la cryptographie asymtrique dans le cadre dchanges de messages
sinscrit le plus souvent dans la mise en place dune Infrastructure de
Gestion de Cls Publiques22 ;
Lchange dinformations de manire confidentielle entre deux parties A et B
seffectue comme suit :
Chiffrement au moyen de la cryptographie symtrique :

A Transmission via un canal scuris B

Cl Cl

Donne en clair Chiffrement Donne chiffre

Transmission via un canal non scuris Donne chiffre Dchiffrement Donne en Clair

22 - Voir la fiche n14 Lchange dinformations avec dautres organismes

G U I D E P R AT I Q U E S C U R I T 40
Chiffrement au moyen de la cryptographie asymtrique :
C H I F F R E M E N T

C H I F F R E M E N T
A Si lchange de la cl publique B
a lieu via un canal non scuris,
Cl publique il faut que leur authenticit soit Cl publique Cl prive
de B (KpubB) garantie22 de B (KpubB) de B (KprivB)

Donne en clair Chiffrement Donne chiffre

Transmission via un canal non scuris Donne chiffre Dchiffrement Donne en Clair
L e

L e
-

-
1 7

1 7
Signature au moyen de la cryptographie asymtrique :
Du fait que la cl prive nest dtenue que par une personne, la cryptographie
n

n
asymtrique permet de garantir limputabilit dun message en le signant
F iche

F iche
laide sa cl prive. Ce que la cryptographie ne permet pas du fait du partage
de la cl entre deux parties.

A Si lchange de la cl publique B
a lieu via un canal non scuris,
Cl prive Cl publique il faut que leur authenticit soit Cl publique
de A (KprivA) de A (KpubA) garantie22 de A (KpubA)

Empreinte Chiffrement Signature

Transmission via un canal non scuris Donne chiffre Dchiffrement Empreinte

Calcul de
Vrification
lempreinte

Calcul de
Donne en clair Donne en clair Empreinte
lempreinte

Les prcautions lmentaires


Concernant le chiffrement symtrique :
- utiliser des algorithmes ltat de lart, tels que lAES ou le triple DES ;
- utiliser des cls cryptographiques de longueur au moins gale 128 ou
256 bits et qui ne soient pas des cls faibles23. En outre, la gnration des
cls doit se faire au moyen de logiciels prouvs, par exemple openSSL24.

22 - Voir la fiche n14 Lchange dinformations avec dautres organismes


23 - Un exemple de cl faible est la cl nulle :00000000000000000000000000000000
24 - http://www.openssl.org/

41
Concernant le chiffrement asymtrique :

C H I F F R E M E N T
- Utiliser des algorithmes prouvs, tels que le RSA ou lECC ;
- Concernant la longueur des cls, il convient de suivre les prconisations
donnes en annexe B1 du Rfrentiel Gnral de Scurit25. En outre,
la gnration des cls doit se faire au moyen de logiciels prouvs, par
exemple openSSL24.

L e
Ce quil ne faut pas faire
Utiliser lalgorithme simple DES, algorithme considr comme obsolte.

-
1 7
Utiliser des logiciels ou des librairies cryptographiques nayant pas fait lobjet
de vrifications par des tierces parties lexpertise avre.

n
F iche
Pour aller plus loin
Le chiffrement de documents peut tre ralis au moyen de diffrents
logiciels, dont notamment :
- le logiciel TrueCrypt26, permettant la mise en uvre de conteneurs27
chiffrs ;
- le logiciel Gnu Privacy Guard, permettant la mise en uvre de la
cryptographie asymtrique et dont une version est disponible ladresse
http://www.gnupg.org/index.fr.html. Il est suggr de choisir des cls
PGP DSA/ElGamal ayant au minimum une taille de 1536 bits, ou des cls
RSA dune taille minimale de 2048 bits ;
-  dfaut, il peut tre envisag dutiliser un utilitaire de compression tel que
ceux bass sur lalgorithme ZIP, ds lors quils permettent le chiffrement
laide dun mot de passe. Cest le cas notamment du logiciel 7-Zip.

24 - http://www.openssl.org/
25 - Cf http://www.references.modernisation.gouv.fr/rgs-securite
26 - Il convient dutiliser la version 6.0a qui bnficie dune certification de premier niveau par lANSSI.
27 - Par conteneur, il faut comprendre un fichier susceptible de contenir plusieurs fichiers.

G U I D E P R AT I Q U E S C U R I T 42
Acronymes

AES : Advanced Encryption Standard, un algorithme cryptographique symtrique


C H I F F R E M E N T

acronymes
considr comme une rfrence.
DES : Data Encryption Standard, un algorithme cryptographique symtrique considr
comme dpass.
DHCP : D
 ynamic Host Configuration Protocol, un protocole permettant la configuration
dynamique des paramtres rseau dune machine (y compris lattribution de son
adresse IP).
DNS : Domain Name Server, Serveur de nom de domaine, Ces serveurs font notamment la
L e

correspondance entre un nom de machine, par exemple www.cnil.fr, et une adresse


IP, en loccurrence 94.247.233.54.
-

DSA : Digital Signature Algorithm, un algorithme cryptographique de signature.


1 7

EBIOS : Une mthodologie dvaluation des risques relatifs la scurit des Systmes
dInformation.
n

ECC : Elliptic Curve Cryptography, cryptographie base sur les courbes elliptiques.
F iche

HMAC : une fonction de hachage permettant de garantir lauthenticit dun message


HTTP : HyperText Transfer Protocol, le protocole du web.
HTTPS : HTTP scuris par SSL.
MAC : Medium Access Control, ladresse MAC est un identifiant unique de chaque
interface rseau.
RAID : Redundant Array of Independent Disks, dsigne une technologie permettant de
stocker des donnes sur plusieurs disques durs afin damliorer la tolrance aux
pannes.
RSA : Un algorithme de cryptographie asymtrique, du nom de ses trois concepteurs
Rivest, Shamir et Adelman.
SFTP : un protocole de communication fonctionnant au-dessus de SSH pour transfrer et
grer des fichiers distance.
SHA : Secure Hash Algorithm, une famille de fonctions de hachage standardises (SHA-1,
SHA256, etc.).
SI : Systme dInformation.
SQL : S
 tructure Query Language, le protocole servant interroger ou manipuler des bases
de donnes.
SSH : Secure SHell, un protocole scuris de connexion distance en mode console.
SSL : Secure Socket Layer, un protocole qui permet notamment de scuriser le trafic
HTTPS.
VNC : Virtual Network Computer, un protocole permettant la prise de contrle distance
dun poste de travail.
VPN : Virtual Private Network, un canal de communication qui garantit la confidentialit
des changes.

43
Annexe 1 - Menaces informatiques

liste des menaces ciblant les systmes informatiques et les fichiers considrer

A N N E X E
en priorit :
pour les matriels :
- dtournement de lusage prvu (stockage de fichiers personnels sur
lordinateur de bureau, stockage de documents sensibles sur une cl USB
non prvue cet effet) ;
- espionnage (observation dun cran linsu de son utilisateur, golocalisation
dun tlphone) ;
- dpassement des limites de fonctionnement (panne de courant, temprature
excessive dune salle serveur, unit de stockage pleine) ;
- dtrioration (inondation ou incendie dune salle serveur, dgradation du fait
de lusure naturelle, vandalisme) ;
- modification (ajout de priphrique, webcam, keylogger28) ;
- disparition (vol, perte, cession ou mise au rebut dun ordinateur).
pour les logiciels :
- dtournement de lusage prvu (lvation de privilges, fouille de contenu,
effacement de traces) ;
- analyse (balayage dadresses rseaux, collecte de donnes de configuration) ;
- dpassement des limites de fonctionnement (injection de donnes en dehors
des valeurs prvues, dbordement de tampon) ;
- suppression totale ou partielle (bombe logique, effacement de code) ;
- modification (contagion par un code malveillant, manipulation inopportune
lors dune mise jour) ;
- disparition (cession dun logiciel dvelopp en interne, non renouvellement de
licence).
pour les canaux de communication :
- coute passive (coute sur un cble rseau, interception) ;
- saturation (exploitation distante dun rseau wifi, tlchargement non autoris,
assourdissement de signal) ;
- dgradation (sectionnement de cblage, torsion de fibre optique) ;
- modification (changement dun cble par un autre inappropri, modification
de chemin de cble),
- disparition (vol de cbles en cuivre) ;
- attaque du milieu (man in the middle, rejeu/rmission dun flux).
pour les supports papier :
- dtournement de lusage prvu (falsification, effacement, utilisation du verso
dimpressions papier en tant que brouillons) ;
- espionnage (lecture, photocopie ou photographie de documents) ;
- dtrioration (vieillissement naturel, corrosion chimique, dgradation
volontaire, embrasement lors dun incendie) ;
- disparition (vol de documents, revente, perte, prt, mise au rebut).

28 - Dispositif denregistrement des frappes du clavier.

G U I D E P R AT I Q U E S C U R I T 44
A N N E X E

Une difficult ? Une hsitation ?

Plus dinformations sur le site de la CNIL www.cnil.fr,

Une permanence de renseignements juridiques


par tlphone est assure tous les jours de 10h 12h et de 14h 16h
au 01 53 73 22 22

Vous pouvez en outre adresser toute demande


par tlcopie au 01 53 73 22 00
Evaluez le niveau de scurit des
donnes personnelles dans votre
organisme
Avez-vous pens ?
Fiche Mesure
Recensez les fichiers et donnes caractre personnel et les traitements o
1 Analyser les risques Dterminez les menaces et leurs impacts sur la vie prive des personnes o
Mettez en uvre des mesures de scurit adaptes aux menaces o
Dfinissez un identifiant (login) unique chaque utilisateur o
2 Authentifier les utilisateurs Adoptez une politique de mot de passe utilisateur rigoureuse o
Obligez lutilisateur changer son mot de passe aprs rinitialisation o
Dfinissez des profils dhabilitation o
Grer les habilitations & Supprimez les permissions daccs obsoltes o
3
sensibiliser les utilisateurs Documentez les procdures dexploitation o
Rdigez une charte informatique et annexez-la au rglement intrieur o
Limitez le nombre de tentatives daccs un compte o
Scuriser les postes de Installez un pare-feu (firewall) logiciel o
4
travail Utilisez des antivirus rgulirement mis jour o
Prvoyez une procdure de verrouillage automatique de session o
Scuriser linformatique Prvoyez des moyens de chiffrement pour les ordinateurs portables et
5 o
mobile les units de stockage amovibles (cls USB, CD, DVD)
Effectuez des sauvegardes rgulires o
Sauvegarder et prvoir la Stockez les supports de sauvegarde dans un endroit sr o
6
continuit dactivit Prvoyez des moyens de scurit pour le convoyage des sauvegardes o
Prvoyez et testez rgulirement la continuit dactivit o
Enregistrez les interventions de maintenance dans une main courante o
7 Encadrer la maintenance Effacez les donnes de tout matriel avant sa mise au rebut o
Recueillez laccord de lutilisateur avant toute intervention sur son poste o
Prvoyez un systme de journalisation o
Tracer les accs et grer Informez les utilisateurs de la mise en place du systme de journalisation o
8
les incidents Protgez les quipements de journalisation et les informations journalises o
Notifiez les personnes concernes des accs frauduleux leurs donnes o
Restreignez les accs aux locaux au moyen de portes verrouilles o
9 Protger les locaux
Installez des alarmes anti-intrusion et vrifiez-les priodiquement o
Limitez les flux rseau au strict ncessaire o
Protger le rseau informa- Scurisez les accs distants des appareils informatiques nomades par VPN o
10
tique interne Utilisez le protocole SSL avec une cl de 128 bits pour les services web o
Mettez en uvre le protocole WPA - AES/CCMP pour les rseaux WiFi o
Adoptez une politique de mot de passe administrateur rigoureuse o
Scuriser les serveurs et les
11 Installez sans dlai les mises jour critiques o
applications
Assurez une disponibilit des donnes o
Prvoyez une clause spcifique dans les contrats des sous-traitants o
Assurez-vous de leffectivit des garanties prvues (audits de scurit,
12 Grer la sous-traitance o
visites...)
Prvoyez les conditions de restitution et de destruction des donnes o
Mettez en uvre des modalits daccs spcifiques aux donnes archives o
13 Archiver
Dtruisez les archives obsoltes de manire scurise o
Chiffrez les donnes avant leur envoi o
Scuriser les changes avec
14 Assurez-vous quil sagit du bon destinataire o
dautres organismes
Transmettez le secret lors dun envoi distinct et via un canal diffrent o

Vous aimerez peut-être aussi