Académique Documents
Professionnel Documents
Culture Documents
Guide securite-VD PDF
Guide securite-VD PDF
PERSONNELLES
dition 2010
Sommaire
Avant-propos page 1
Introduction page 3
Acronymes page 43
Annexes page 44
A V A N T- P R O P O S
socit entrane la production, le traitement et la dissmination dun nombre
croissant de donnes personnelles.
Les menaces pesant sur les systmes et rseaux dinformation incluent la
fraude informatique, le dtournement de finalit, la captation frauduleuse, la
perte de donnes, le vandalisme, ou encore les sinistres les plus frquents, tels
que lincendie ou linondation.
La loi informatique et liberts impose que les organismes mettant en uvre
des traitements ou disposant de fichiers de donnes en garantissent la
scurit. Par scurit des donnes, on entend lensemble des prcautions
utiles, au regard de la nature des donnes et des risques prsents par le
traitement, pour notamment, empcher que les donnes soient dformes,
endommages, ou que des tiers non autoriss y aient accs. (Art.34 loi IL).
Cette scurit se conoit pour lensemble des processus relatifs ces donnes,
quil sagisse de leur cration, leur utilisation, leur sauvegarde, leur archivage ou
leur destruction et concerne leur confidentialit, leur intgrit, leur authenticit
et leur disponibilit.
Ce guide sadresse tout responsable de traitement ainsi qu toute personne
disposant dun minimum de connaissances informatiques (administrateur
systme, dveloppeur, responsable de la scurit des systmes dinformation,
utilisateur) et souhaitant valuer le niveau de scurit dont doit bnficier tout
traitement de donnes caractre personnel.
Il prsente un ensemble de prconisations essentielles regroupes par fiches
thmatiques concernant la scurit de donnes caractre personnel.
Chaque fiche est structure en trois sections :
- les prcautions lmentaires ;
- ce quil ne faut pas faire ;
- pour aller plus loin.
La section Pour aller plus loin recommande des mesures additionnelles aux
prcautions lmentaires.
Parmi lensemble des prconisations, certaines sont issues de bonnes
pratiques en matire de gestion de la scurit des systmes dinformations,
tandis que dautres rsultent des rgles relatives la protection de donnes
caractre personnel du fait de la spcificit de ces informations.
1
Ce premier guide scurit est videmment perfectible. Aussi, le lecteur ne
A V A N T- P R O P O S
devra-t-il pas hsiter nous contacter pour nous transmettre ses propositions
en la matire.
Bien entendu, aux yeux des experts et des profanes, ce guide ne rpondra
pas compltement leurs attentes, jugeant quil ne va pas assez ou trop loin.
Jespre nanmoins quil satisfera au plus grand nombre, et je peux dores et
dj annoncer quun document plus labor est en cours de prparation.
Alex TRK
Prsident de la CNIL
G U I D E P R AT I Q U E S C U R I T 2
Introduction
I N T R O D U C T I O N
aspects de sa gestion. Cette scurit passe par le respect de bonnes pratiques
et le maintien de loutil informatique ltat de lart quant aux attaques dont
il peut faire lobjet. Toutefois, cette scurit ne sera effective qu condition
de faire preuve de rigueur notamment dans la dlivrance (et le retrait) des
habilitations ainsi que dans le traitement des invitables incidents.
Afin de garantir que chaque utilisateur du systme informatique naccde
quaux donnes quil a besoin de connatre, deux lments sont ncessaires :
- la remise dun identifiant unique chaque utilisateur associ un moyen
de sauthentifier : une mthode dauthentification ;
- un contrle a priori de laccs aux donnes pour chaque catgorie
dutilisateurs : une gestion des habilitations.
La protection de donnes concernant des personnes impose en plus que
celles-ci soient :
- collectes et traites de manire loyale et licite (Art. 6 al.1 loi I&L)
- collectes pour des finalits dtermines, explicites et lgitimes et ne
soient pas traites ultrieurement de manire incompatible avec ces
finalits (Art. 6 al.2 loi I&L).
Ces obligations ne peuvent sapprcier qu travers lusage qui est fait du
systme informatique. Par consquent, il est ncessaire de procder une
journalisation, cest--dire lenregistrement des actions de chaque utilisateur
sur le systme pendant une dure dfinie.
En outre, la loi Informatique et Liberts dispose que les donnes soient exactes,
compltes et si ncessaires mises jour. (Art. 6 al.4 loi I&L). Ces obligations
ncessitent que les systmes dinformation prvoient des mcanismes
garantissant lintgrit des donnes.
La loi dispose galement que ces donnes soient conserves sous une forme
permettant lidentification des personnes concernes pendant une dure
qui nexcde pas la dure ncessaire aux finalits pour lesquelles elles sont
collectes et traites (Art. 6 al.5 loi I&L). Les systmes doivent donc prvoir la
suppression, larchivage, ou encore lanonymisation de ces donnes, lorsque
leur dure de conservation est atteinte.
Enfin, grer les risques constitue un moyen efficace de protger les liberts
et droits fondamentaux des personnes physiques, notamment leur vie prive,
lgard du traitement des donnes caractre personnel (article premier de
la Directive 95/46/CE).
3
I N T R O D U C T I O N
Pour rappel, la CNIL peut procder des vrifications sur place. En outre,
la formation restreinte peut prononcer diverses sanctions gradues :
avertissement, mise en demeure, sanctions pcuniaires, injonction de cesser le
traitement. Le montant des sanctions pcuniaires peut atteindre 150 000 euros
lors du premier manquement constat puis 300 000 euros, ou 5% du chiffre
daffaire hors taxes du dernier exercice, dans la limite de 300 000 euros , sil
sagit dune entreprise.
Le montant de ces sanctions est proportionn la gravit des manquements
commis et aux avantages tirs de ce manquement.
La CNIL peut galement dnoncer pnalement les infractions la loi dont elle a
connaissance au Procureur de la Rpublique.
G U I D E P R AT I Q U E S C U R I T 4
Termes & dfinitions
D E F I N I T I O N S
une entit se rclame. Gnralement lauthentification est prcde dune
identification qui permet cette entit de se faire reconnatre du systme par
un lment dont on la dot. En rsum, sidentifier cest communiquer son
identit, sauthentifier cest apporter la preuve de son identit. (ANSSI Agence
Nationale de la Scurit des Sustmes dInformation).
Destinataire des donnes : toute personne habilite recevoir
communication de ces donnes autre que la personne concerne, le
&
responsable du traitement, le sous-traitant et les personnes qui, en raison de
T E R M E S
leurs fonctions, sont charges de traiter les donnes (Art. 3 loi I&L).
Donne caractre personnel : toute information relative une personne
physique identifie ou qui peut tre identifie, directement ou indirectement,
par rfrence un numro didentification ou un ou plusieurs lments qui
lui sont propres. Pour dterminer si une personne est identifiable, il convient de
considrer lensemble des moyens en vue de permettre son identification dont
dispose ou auxquels peut avoir accs le responsable du traitement ou toute
autre personne (Art. 2 loi I&L).
Donnes sensibles : les donnes caractre personnel qui font apparatre,
directement ou indirectement, les origines raciales ou ethniques, les opinions
politiques, philosophiques ou religieuses ou lappartenance syndicale des
personnes, ou qui sont relatives la sant ou la vie sexuelle de celles-ci (Art.
8 loi I&L).
Responsable de traitement : la personne, lautorit publique, le service
ou lorganisme qui dtermine les finalits et les moyens dudit traitement,
sauf dsignation expresse par des dispositions lgislatives ou rglementaires
relatives ce traitement (Art. 3 loi I&L).
Tiers : la personne physique ou morale, lautorit publique, le service ou
tout autre organisme autre que la personne concerne, le responsable du
traitement, le sous-traitant et les personnes qui, places sous lautorit directe
du responsable du traitement ou du sous-traitant, sont habilites traiter les
donnes (directive 95/46/CE).
Traitement : sauf mention explicite, un traitement sentend dans ce document
comme un traitement de donnes caractre personnel.
Traitement de donnes caractre personnel : toute opration ou
tout ensemble doprations portant sur de telles donnes, quel que soit le
procd utilis, et notamment la collecte, lenregistrement, lorganisation,
la conservation, ladaptation ou la modification, lextraction, la consultation,
lutilisation, la communication par transmission, diffusion ou toute autre forme
de mise disposition, le rapprochement ou linterconnexion, ainsi que le
verrouillage, leffacement ou la destruction (Art. 2 loi I&L).
5
Fiche n 1 - Quels risques ?
R I S Q U E S
sont les prcautions utiles prendre au regard de la nature des donnes et
des risques prsents par le traitement, pour prserver la scurit des donnes
et, notamment, empcher quelles soient dformes, endommages, ou que
des tiers non autoriss y aient accs (article 34 de la Loi du 6 janvier 1978
relative linformatique, aux fichiers et aux liberts).
Q U E L S
La Directive europenne Informatique et Liberts de 1995 prcise encore que
la protection des donnes personnelles ncessite de prendre des mesures
techniques et dorganisation appropries (Article 17).
-
Une telle approche permet en effet une prise de dcision objective et la
N 1
dtermination de mesures parfaitement adaptes son contexte.
F I C H E
Un risque est un scnario qui combine une situation crainte
(atteinte de la scurit des traitements et ses consquences) avec
toutes les possibilits quelle survienne (menaces sur les supports
des traitements). On estime son niveau en termes de gravit
(ampleur et nombre des impacts) et de vraisemblance
(possibilit/probabilit quil se ralise).
G U I D E P R AT I Q U E S C U R I T 6
- la disponibilit (ex : non dtection dune interaction mdicamenteuse du
R I S Q U E S
R I S Q U E S
fait de limpossibilit daccder au dossier lectronique du patient) ;
- lintgrit (ex : modification des journaux daccs dans le but de faire
accuser une personne tort).
tudier les menaces qui psent sur chaque support et les hirarchiser
Q U E L S
Q U E L S
selon leur probabilit doccurrence (vraisemblance).
Exemples de menaces : vol dun PC portable, contagion par un code malveillant,
saturation des canaux de communication, photocopie de documents papier).
-
-
Une liste complte de menaces est fournie en annexe 1.
N 1
N 1
tudier les risques
F I C H E
F I C H E
Combiner chaque impact avec les menaces qui le concerne.
Hirarchiser les risques ainsi obtenus selon leur gravit et leur vraisemblance.
Mettre en uvre des mesures de scurit
Dterminer les mesures de scurit pour rduire, transfrer ou viter les
risques. Les fiches pratiques de ce guide donnent des exemples concrets
de mesures destines couvrir les obligations issues de la loi informatique et
liberts : confidentialit, intgrit, qualit des donnes, conservation, recueil du
consentement.
7
R I S Q U E S
Q U E L S
Pour aller plus loin
Ltude des risques permet de dterminer des mesures de scurit mettre
en place. Il convient donc de prvoir un budget pour leur mise en uvre.
-
Lemploi dune vritable mthode permet de disposer doutils
N 1
pratiques et damliorer lexhaustivit et la profondeur de ltude
des risques. La bote outils dEBIOS1 peut tre utilise cet effet
F I C H E
http://www.ssi.gouv.fr/site_article173.html).
E
n fonction des moyens disponibles, il peut galement tre utile de prvoir :
- la formation des personnes charges de raliser les tudes de risques ;
- un audit scurit du systme dinformation.
1 - EBIOS Expression des Besoins et Identification des Objectifs de Scurit est la mthode de gestion des risques
publie par lAgence nationale de la scurit des systmes dinformation (ANSSI) du Secrtariat gnral de la dfense et
de la scurit nationale (SGDSN). EBIOS est une marque dpose du SGDSN.
G U I D E P R AT I Q U E S C U R I T 8
Fiche n 2 - Authentification des
utilisateurs
le responsable dun systme informatique doit tre en mesure dassurer que
R I S Q U E S
U T I L I S A T E U R S
chaque utilisateur du systme naccde quaux donnes dont il a besoin pour
lexercice de sa mission. Pour cela, chaque utilisateur doit tre dot dun
identifiant qui lui est propre et doit sauthentifier avant toute utilisation des
moyens informatiques.
Les mcanismes permettant de raliser lauthentification des personnes sont
Q U E L S
D E S
- ce que lon a, par exemple une carte puce,
-
- une caractristique qui nous est propre, par exemple une empreinte digitale
N 1
A U T H E N T I F I C A T I O N
ou encore une signature manuscrite. Pour rappel, la loi Informatique et
Liberts subordonne lutilisation de la biomtrie lautorisation pralable
F I C H E
de la CNIL2 .
Lauthentification dun utilisateur est qualifie de forte lorsquelle a recours une
combinaison dau moins deux de ces mthodes.
Les prcautions lmentaires
A propos des identifiants (ou logins) des utilisateurs, ceux-ci doivent, dans la
mesure du possible, tre diffrents de ceux des comptes dfinis par dfaut
par les diteurs de logiciels. Les comptes par dfaut doivent tre dsactivs.
Aucun compte ne devrait tre partag entre plusieurs utilisateurs.
-
2
Dans le cas dune authentification des utilisateurs base sur des mots de
N
passe, leur mise en uvre doit respecter les rgles suivantes :
- avoir une taille de 8 caractres minimum ;
F I C H E
- utiliser des caractres de types diffrents (majuscules, minuscules,
chiffres, caractres spciaux). Des moyens mnmotechniques permettent
de crer des mots de passe complexe, par exemple
- en ne conservant que les premires lettres des mots dune phrase ;
- en mettant une majuscule si le mot est un nom (ex : Chef) ;
- en gardant des signes de ponctuation (ex : ) ;
- en exprimant les nombres laide des chiffres de 0 9 (ex : Un ->1) ;
Exemple, la phrase un Chef dEntreprise averti en vaut deux correspond au
mot de passe 1CdEaev2 ;
- changer de mot de passe rgulirement (tous les 3 mois par exemple).
Lorsque le renouvellement dun mot de passe est conscutif un oubli, une
fois que le mot de passe a t rinitialis, lutilisateur doit tre dans lobligation
de le changer ds sa premire connexion afin de le personnaliser.
2 - A ce sujet, consulter notamment la fiche 12 la biomtrie sur le lieu de travail du Guide CNIL pour les employeurs et les
salaris.
http://www.cnil.fr/fileadmin/documents/Guides_pratiques/Guide_employeurs_salaries.pdf
9
Ce quil ne faut pas faire
U T I L I S A T E U R S
Communiquer son mot de passe autrui ;
stocker ses mots de passe dans un fichier en clair ou dans un lieu facilement
accessible par dautres personnes ;
utiliser des mots de passe ayant un lien avec soi (nom, date de naissance) ;
utiliser le mme mot de passe pour des accs diffrents ;
configurer les applications logicielles afin quelles permettent denregistrer les
D E S
mots de passe.
Pour aller plus loin
A U T H E N T I F I C A T I O N
Concernant les mcanismes dauthentification, il est recommand de
se rfrer aux rgles et recommandations concernant les mcanismes
dauthentification prconises dans lannexe B3 du Rfrentiel Gnral de
Scurit3.
En cas dutilisation de mthodes dauthentification reposant sur des
dispositifs tels que des cartes puce ou des schmas dauthentification
mettant en uvre des algorithmes cryptographiques, ceux-ci doivent suivre
les rgles concernant le choix et le dimensionnement des mcanismes
cryptographiques prconises dans lannexe B1 du Rfrentiel Gnral de
Scurit4.
-
2
Dans lventualit dune authentification par des dispositifs biomtriques
N
il est ncessaire deffectuer une demande dautorisation auprs de la CNIL.
Dune manire gnrale, la CNIL recommande lutilisation de biomtrie sans
F I C H E
traces (contour de la main, rseaux veineux) ou lenregistrement des
empreintes digitales dans un support individuel. Concernant des dispositifs
bass sur lempreinte digitale, il convient de se rfrer la Communication
de la CNIL relative la mise en uvre de dispositifs de reconnaissance par
empreinte digitale avec stockage dans une base de donnes situ ladresse
internet http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNI-
biometrie/Communication-biometrie.pdf pour prendre connaissance de la
doctrine de la CNIL en la matire.
3 - http://www.references.modernisation.gouv.fr/sites/default/files/RGS_Mecanismes_Authentification_v1_0.pdf
4 - http://www.references.modernisation.gouv.fr/sites/default/files/RGS_Mecanismes_cryptographiques_v1_20.pdf
G U I D E P R AT I Q U E S C U R I T 10
Fiche n 3 - Gestion des
habilitations & sensibilisation des
utilisateurs
U T I L I S A T E U R S
U T I L I S A T E U R S
Chaque utilisateur du systme ne doit pouvoir accder quaux donnes dont il a
besoin pour lexercice de sa mission. Concrtement, cela se traduit par la mise
en place dun mcanisme de dfinition des niveaux dhabilitation dun
utilisateur dans le systme, et dun moyen de contrle des permissions
daccs aux donnes.
D E S
D E S
Il convient de veiller galement ce que les utilisateurs soient conscients des
menaces en termes de scurit, ainsi que des enjeux concernant la protection
des donnes personnelles.
A U T H E N T I F I C A T I O N
S E N S I B I L I S A T I O N
Les prcautions lmentaires
Dfinir des profils dhabilitation dans les systmes en sparant les tches
et les domaines de responsabilit, afin de limiter laccs des donnes
caractre personnel aux seuls utilisateurs dment habilits.
Supprimer les permissions daccs des utilisateurs ds quils ne sont
&
plus habilits accder un local ou une ressource, ainsi qu la fin
-
H A B I L I T A T I O N S
de leur priode demploi.
2
D E S
G E S T I O N
-
N 3
F I C H E
11
Modle dune charte informatique :
U T I L I S A T E U R S
1. Le rappel des rgles de protection des donnes et les sanctions encourues
en cas de non respect de la loi.
2. Le champ dapplication de la charte, qui inclut notamment :
- les modalits dintervention du service de linformatique interne ;
- les moyens dauthentification ;
D E S
- les rgles de scurit auxquelles se conformer, ce qui peut inclure par
exemple de :
S E N S I B I L I S A T I O N
- s ignaler au service informatique interne toute violation ou tentative
de violation suspecte de son compte informatique et de manire
gnrale tout dysfonctionnement ;
- ne jamais confier son identifiant/mot de passe un tiers ;
- ne pas modifier les paramtrages du poste de travail ;
- ne pas installer, copier, modifier, dtruire des logiciels sans
autorisation ;
- verrouiller son ordinateur ds que lon quitte son poste de travail ;
- ne pas accder, tenter daccder, ou supprimer des informations
&
qui ne relvent pas des tches incombant lutilisateur ;
H A B I L I T A T I O N S
- dfinir les modalits de copie de donnes sur un support
externe, notamment en obtenant laccord pralable du suprieur
hirarchique et en respectant des rgles pralablement dfinies.
3. L
es modalits dutilisation des moyens informatiques et de tlcommu-
nications mis disposition comme :
- le poste de travail ;
- les quipements nomades ;
D E S
- lespace de stockage individuel ;
- le rseau local ;
G E S T I O N
- internet ;
- la messagerie lectronique ;
- le tlphone.
4. L
es conditions dadministration du systme dinformation, et lexistence, le
-
G U I D E P R AT I Q U E S C U R I T 12
Ce quil ne faut pas faire
U T I L I S A T E U R S
U T I L I S A T E U R S
Dfinir des comptes administrateur partags par plusieurs personnes.
D E S
La politique de contrle daccs doit inclure :
S E N S I B I L I S A T I O N
S E N S I B I L I S A T I O N
- les procdures denregistrement et de radiation des utilisateurs destines
accorder et retirer laccs au traitement ;
- les mesures incitant les utilisateurs respecter les bonnes pratiques de
scurit lors de la slection et lutilisation de mots de passe ou dautres
moyens dauthentification ;
- les mesures permettant de restreindre et de contrler lattribution et
lutilisation des accs au traitement.
Classifier les informations de manire notamment indiquer si celles-ci
&
&
sont des donnes sensibles. Cette classification permet de rendre compte du
H A B I L I T A T I O N S
H A B I L I T A T I O N S
niveau de scurit appliquer.
Envoyer rgulirement tous les utilisateurs les mises jour des politiques et
procdures pertinentes pour leurs fonctions.
Organiser des sances de formation et de sensibilisation la scurit de
linformation. Des rappels priodiques peuvent tre faits par le biais de la
messagerie lectronique.
D E S
D E S
Prvoir la signature dun engagement de confidentialit (cf. modle de
clause ci-dessous), ou prvoir dans les contrats de travail une clause de
G E S T I O N
G E S T I O N
-
N 3
N 3
F I C H E
F I C H E
13
Exemple dengagement de confidentialit relatif aux donnes caractre personnel :
U T I L I S A T E U R S
Je soussign Monsieur/Madame __________, exerant les fonctions de _______ au sein de
la socit ________ (ci-aprs dnomm la Socit), tant ce titre amen accder
des donnes caractre personnel, dclare reconnatre la confidentialit desdites donnes.
Je mengage par consquent, conformment aux articles 34 et 35 de la loi du 6 janvier 1978
modifie relative linformatique, aux fichiers et aux liberts, prendre toutes prcautions
conformes aux usages et ltat de lart dans le cadre de mes attributions afin de protger
D E S
la confidentialit des informations auxquelles jai accs, et en particulier dempcher quelles
ne soient modifies, endommages ou communiques des personnes non expressment
S E N S I B I L I S A T I O N
autorises recevoir ces informations.
Je mengage en particulier :
- ne pas utiliser les donnes auxquelles je peux accder des fins autres que celles prvues
par mes attributions ;
- ne divulguer ces donnes quaux personnes dment autorises, en raison de leurs
fonctions, en recevoir communication, quil sagisse de personnes prives, publiques,
physiques ou morales ;
- ne faire aucune copie de ces donnes sauf ce que cela soit ncessaire lexcution de
mes fonctions ;
&
- prendre toutes les mesures conformes aux usages et ltat de lart dans le cadre de mes
H A B I L I T A T I O N S
attributions afin dviter lutilisation dtourne ou frauduleuse de ces donnes ;
- prendre toutes prcautions conformes aux usages et ltat de lart pour prserver la
scurit matrielle de ces donnes ;
- massurer, dans la limite des mes attributions, que seuls des moyens de communication
scuriss seront utiliss pour transfrer ces donnes ;
- assurer, dans la limite de mes attributions, lexercice des droits dinformation, daccs et
de rectification de ces donnes ;
D E S
- en cas de cessation des mes fonctions, restituer intgralement les donnes, fichiers
informatiques et tout support dinformation relatif ces donnes. G E S T I O N
vigueur.
F I C H E
G U I D E P R AT I Q U E S C U R I T 14
Fiche n 4 - Scurit des postes de
travail
La scurit des postes de travail passe par une mise en uvre de mesures
U T I L I S A T E U R S
T R A V A I L
pour prvenir
- les tentatives daccs frauduleux ;
- lexcution de virus ;
D E
- la prise de contrle distance, notamment via internet.
P O S T E S
Les risques dintrusion dans les systmes informatiques sont importants et
peuvent conduire limplantation de virus ou de programmes espions.
D E S
D E S
Limiter le nombre de tentatives daccs un compte. En fonction du
contexte, ce nombre peut varier entre trois et dix. Lorsque la limite est atteinte,
S C U R I T
il est prfrable de bloquer la possibilit dauthentification ce compte
temporairement ou jusqu lintervention dun administrateur du systme ;
installer un pare-feu (firewall) logiciel, et limiter les ports de communication
strictement ncessaires au bon fonctionnement des applications installes
sur le poste de travail ;
-
utiliser des antivirus rgulirement mis jour ;
&
4
H A B I L I T A T I O N S
n
prvoir une procdure de verrouillage automatique de session en cas
de non-utilisation du poste pendant un temps donn. Pour les oprations de
F iche
maintenance, il convient de mettre fin une session aprs une cinq minutes
dinactivit. Pour dautres oprations moins critiques (accs une application
mtier par exemple), un dlai de quinze minutes doit permettre de garantir la
scurit sans compromettre lergonomie dutilisation ;
prvoir dafficher, lors de la connexion un compte, les dates et heures
de la dernire connexion.
D E S
15
T R A V A I L
D E
Pour aller plus loin
P O S T E S
Limiter les applications ncessitant des droits de niveau administrateur pour
leur excution ;
limiter les services du systme dexploitation sexcutant sur le poste de
travail ceux qui sont strictement ncessaires ;
D E S
installer les mises jour critiques des systmes dexploitation sans dlai
en programmant une vrification automatique priodique hebdomadaire ;
S C U R I T
mettre jour les applications lorsque des failles critiques ont t identifies
et corriges ;
concernant les virus, se rfrer au document du CERTA disponible ladresse
internet http://www.certa.ssi.gouv.fr/site/CERTA-2000-INF-007/ pour des
-
recommandations plus compltes.
4
n
F iche
G U I D E P R AT I Q U E S C U R I T 16
Fiche n 5 - Comment scuriser
linformatique mobile ?
La multiplication des ordinateurs portables, des cls USB et des smartphones
T R A V A I L
?
rend indispensable danticiper la possible perte dinformations conscutive au
M O B I L E
vol o la perte dun tel quipement.
L I N F O R M A T I Q U E
matriels informatiques mobiles (ordinateur portable, priphrique de
P O S T E S
stockage amovible tels que cls USB, CD-ROM, DVD-RW, etc.). Parmi ces
moyens, on peut citer :
- le chiffrement du disque dur dans sa totalit au niveau matriel ;
D E S
S C U R I S E R
- la cration de conteneurs5 chiffrs.
Parmi les outils disponibles, des logiciels libres tels que TrueCrypt6 (www.
truecrypt.org) permettent de crer des containeurs chiffrs dont la scurit
repose sur un mot de passe.
-
4
C O M M E N T
disque dur chiffr : il convient de privilgier ces quipements et de sassurer
n
-
Conserver des donnes personnelles dans les quipements mobiles lors de
5
dplacement ltranger. On peut consulter ce sujet les prconisations
n
formules dans le document Passeport de conseils aux voyageurs publi par
lANSSI disponible ladresse http://www.securite-informatique.gouv.fr/IMG/
F iche
pdf/Passeport-de-conseils-aux-voyageurs_janvier-2010.pdf.
17
Fiche n 6 - Les sauvegardes et la
continuit dactivit
Des copies de sauvegarde des donnes caractre personnel doivent tre
D A C T I V I T E
faites et testes rgulirement, conformment la politique de sauvegarde
adopte. Il faut galement procder une sauvegarde des logiciels servant au
traitement afin de garantir la prennit de celui-ci.
Une scurisation renforce est requise pour les sauvegardes de donnes
sensibles.
Il convient de prvoir la continuit dactivit en anticipant les pannes matrielles.
C O N T I N U I T E
Des mesures de protection physique contre les dommages causs par les
incendies ou les inondations doivent tre envisages.
L A
- effectuer des sauvegardes frquentes pour viter la perte dinformation.
Selon le volume dinformations sauvegarder, il peut tre opportun
E T
de prvoir des sauvegardes incrmentales7 avec une frquence
quotidienne et des sauvegardes compltes avec une frquence moindre
S A U V E G A R D E S
(hebdomadaires ou bimensuelles) ;
- prvoir de stocker les supports de sauvegarde sur un site extrieur, dans
des coffres ignifugs et tanches ;
- combiner une ou plusieurs des solutions suivantes pour scuriser les
sauvegardes soit en :
- chiffrant les sauvegardes elles-mmes ;
L E S
- chiffrant les donnes la source ;
- prvoyant un stockage dans un lieu scuris.
-
- suivre des rgles en adquation avec la politique de scurit pour le
6
convoyage ventuel des sauvegardes.
n
Sagissant de la continuit dactivit :
- mettre en place des dtecteurs de fume ainsi que des extincteurs. Ces F iche
systmes doivent tre inspects annuellement ;
- concernant les inondations, les matriels informatiques ne doivent pas
tre mis mme le sol, mais surlevs ;
- propos des matriels :
- lutilisation dun onduleur est recommande pour le matriel
servant aux traitements critiques ;
- il convient galement de prvoir une redondance matrielle des
units de stockage par une technologie RAID8.
7 - Une sauvegarde incrmentale consiste nenregistrer que les modifications faites par rapport une prcdente
sauvegarde.
8 - RAID dsigne des techniques de rpartition de donnes sur plusieurs supports de sauvegardes
(par exemple des disques durs) afin de prvenir la perte de donnes conscutives la panne dun des supports.
G U I D E P R AT I Q U E S C U R I T 18
Ce quil ne faut pas faire
D A C T I V I T E
D A C T I V I T E
Conserver les sauvegardes au mme endroit que les machines hbergeant
les donnes. Un sinistre majeur intervenant cet endroit aurait comme
consquence une perte dfinitive des donnes.
C O N T I N U I T E
C O N T I N U I T E
Pour aller plus loin
Concernant la continuit du service, prvoir de dimensionner tous les services
gnraux, tels que llectricit ou lalimentation en eau relatifs aux systmes
pris en charge, et les inspecter rgulirement pour carter tout risque de
dysfonctionnement ou de panne.
L A
L A
Pour les traitements revtant des exigences fortes de disponibilit, prvoir de
connecter linfrastructure de tlcommunications par au moins deux voies
E T
E T
diffrentes.
S A U V E G A R D E S
S A U V E G A R D E S
L E S
L E S
-
-
6
6
n
n
F iche
F iche
19
Fiche n 7 - La maintenance
M A I N T E N A N C E
doit tre garantie.
On recommande galement de supprimer les donnes des matriels destins
tre mis au rebut.
L A
de maintenance en appliquant une ou plusieurs des mesures numres ci-
dessous :
-
- lenregistrement des interventions de maintenance dans une main
7
courante ;
n
- lencadrement par un responsable de lorganisme lors dinterventions par
F iche
des tiers ;
- la configuration des systmes critiques (serveurs, quipements rseau )
de manire empcher leur tlmaintenance.
Inspecter tout matriel contenant des supports de stockage avant sa mise
au rebut ou sa sortie du primtre de lorganisme, pour sassurer que toute
donne sensible en a bien t supprime de faon scurise.
A titre dexemple, lANSSI accorde des certifications de premier niveau des
logiciels pour raliser cet objectif (http://www.ssi.gouv.fr/archive/fr/confiance/
certif-cspn.html).
Concernant la mise au rebut de matriels, on peut mentionner:
- les broyeurs et dchiqueteurs pour le papier ou les supports numriques
tels que les CD et DVD ;
- les dgausseurs9 pour les units de stockage technologie magntique.
Ces prconisations concernent galement les matriels en location lorsquils
sont retourns lexpiration du dlai contractuel.
En matire dassistance sur les postes clients :
- les outils dadministration distance doivent tre configurs de manire
recueillir laccord de lutilisateur avant toute intervention sur son poste,
par exemple en cliquant sur une icne ou encore en rpondant un
message saffichant lcran ;
- lutilisateur doit galement pouvoir constater si la prise de main
distance est en cours et quand elle se termine, par exemple grce
laffichage dun message lcran.
9 - Un dgausseur est un quipement ralisant une destruction irrmdiable de donnes confidentielles par dmagntisation.
G U I D E P R AT I Q U E S C U R I T 20
Ce quil ne faut pas faire
M A I N T E N A N C E
M A I N T E N A N C E
Installer des applications pour la tlmaintenance qui sont vulnrables (ex :
certaines versions de xVNC, cf. http://www.certa.ssi.gouv.fr/site/CERTA-
2009-AVI-035/).
L A
diagnostic et de configuration distance.
-
-
A titre dexemple, il faut restreindre lusage du protocole SNMP qui permet la
7
7
configuration des quipements rseau par connexion sur le port TCP 161.
n
n
Des prconisations concernant les matriels mis au rebut sont disponibles
dans le document de lANSSI intitul Guide technique pour la confidentialit
F iche
F iche
des informations enregistres sur les disques durs recycler ou exporter,
disponible ladresse http://www.ssi.gouv.fr/archive/fr/documentation/
Guide_effaceur_V1.12du040517.pdf.
21
Fiche n 8 - Tracabilit et gestion
des incidents
afin dtre en mesure didentifier a posteriori un accs frauduleux des donnes
I N C I D E N T S
personnelles, une utilisation abusive de telles donnes, ou de dterminer lorigine
dun incident, il convient denregistrer les actions effectues sur le systme
informatique. Pour ce faire, le responsable dun systme informatique doit
mettre en place un dispositif adapt aux risques associs son systme. Celui-
ci doit enregistrer les vnements pertinents, garantir que ces enregistrements
ne peuvent tre altrs, et dans tous les cas conserver ces lments pendant
D E S
une dure non excessive.
G E S T I O N
Prvoir un systme de journalisation (cest--dire un enregistrement dans
des fichiers de logs) des activits des utilisateurs, des anomalies et des
vnements lis la scurit. Ces journaux doivent conserver les vnements
sur une priode glissante ne pouvant excder six mois (sauf obligation lgale,
E T
ou demande de la CNIL, de conserver ces informations pour une dure plus
longue).
T R A C A B I L I T
Prvoir au minimum la journalisation des accs des utilisateurs incluant leur
identifiant, la date et lheure de leur connexion, ainsi que la date et lheure
de leur dconnexion. Le format de lhorodatage doit de prfrence prendre
comme rfrence le temps UTC10.
Dans certains cas, il peut tre ncessaire de conserver galement le dtail
des actions effectues par lutilisateur, telles que les donnes consultes par
-
exemple.
8
n
Se rfrer au document du CERTA disponible ladresse internet
http://www.certa.ssi.gouv.fr/site/CERTA-2008-INF-005, pour un exemple de
F iche
mise en uvre.
Informer les utilisateurs de la mise en place dun tel systme.
Protger les quipements de journalisation et les informations journalises
contre le sabotage et les accs non autoriss.
Etablir des procdures dtaillant la surveillance de lutilisation du traitement et
procder priodiquement lexamen des informations journalises.
Le responsable de traitement doit tre inform dans les meilleurs dlais des
failles ventuelles de scurit.
En cas daccs frauduleux des donnes personnelles, le responsable de
traitement devrait le notifier aux personnes concernes.
G U I D E P R AT I Q U E S C U R I T 22
I N C I D E N T S
I N C I D E N T S
Ce quil ne faut pas faire
Utiliser les informations issues des dispositifs de journalisation dautres fins
que celles de garantir le bon usage du systme informatique.
D E S
D E S
G E S T I O N
G E S T I O N
Pour aller plus loin
Les horloges des diffrents systmes de traitement de linformation dun
organisme ou dun domaine de scurit doivent tre synchronises laide
dune source de temps fiable et pralablement dfinie.
E T
E T
Lorsque le traitement fait appel des ressources rseau, la synchronisation des
sources de temps peut tre ralise par le recours au protocole NTP11.
T R A C A B I L I T
T R A C A B I L I T
e responsable de traitement doit se tenir inform des vulnrabilits
L
techniques des systmes et entreprendre les actions appropries pour
traiter le risque associ.
-
-
8
8
n
n
F iche
F iche
11 - Le protocole NTP (Network Time Protocol) permet de caler lhorloge dun ordinateur sur une source dhorodatage fiable
via le rseau.
23
Fiche n9 - Scurit des locaux
L O C A U X
donnes personnelles, prvoir :
- des alarmes afin de dceler une intrusion au sein dune zone scurise ;
- des mesures afin de ralentir la progression des personnes parvenues
sintroduire ;
D E S
- des moyens afin de mettre fin lintrusion.
S C U R I T
Les prcautions lmentaires
Restreindre les accs aux salles ou bureaux susceptibles dhberger du
matriel contenant des donnes au moyen de portes verrouilles, ou de
sas daccs pour les quipements les plus critiques.
-
Installer des alarmes anti-intrusion et les vrifier priodiquement.
n 9
Ce quil ne faut pas faire
F iche
Sous-dimensionner ou ngliger lentretien de la climatisation des
salles hbergeant les machines : une panne sur cette installation a souvent
comme consquence larrt des machines ou encore louverture des portes
des salles et donc la neutralisation de facto dlments concourant la
scurit physique des locaux.
G U I D E P R AT I Q U E S C U R I T 24
Fiche n 10 - Scurit du rseau
informatique interne
Pour tous les services rseau, il faut identifier les fonctions rseau et les niveaux
L O C A U X
I N T E R N E
de service ncessaires au bon fonctionnement du traitement et nautoriser que
ceux-ci.
I N F O R M A T I Q U E
Limiter les flux rseau au strict ncessaire. Par exemple, si laccs
un serveur web passe obligatoirement et uniquement par lutilisation du
S C U R I T
protocole SSL, il faut autoriser uniquement les flux rseau IP entrants sur
cette machine sur le port de communication 443 et bloquer tous les autres
ports de communication.
Se rfrer aux documents suivants du CERTA :
- http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-001/,
-
R S E A U
pour les questions de filtrage et pare-feux ;
n 9
- http://www.certa.ssi.gouv.fr/site/CERTA-2005-REC-001/,
F iche
D U
informatiques nomades tels que des ordinateurs portables par la mise en
S C U R I T
place de connexions VPN reposant sur des algorithmes cryptographiques
rputs forts12 et mettant si possible en uvre un matriel (carte puce,
boitier gnrateur de mots de passe usage unique (OTP One Time
Password), etc.).
Recourir au chiffrement de la communication par lusage du protocole SSL
avec une cl de 128 bits lors de la mise en uvre de services web.
-
1 0
Ce quil ne faut pas faire
n
Utiliser le protocole telnet pour la connexion distance aux quipements
F iche
actifs du rseau (pare-feu, routeurs, switches). Il convient dutiliser plutt SSH
ou un accs physique direct lquipement.
Installer des rseaux WiFi. Si de tels quipements doivent tre mis en uvre,
il est ncessaire de scuriser les connexions par lusage du protocole WPA,
en choisissant le mode de chiffrement AES/CCMP.
Pour plus de dtails sur laccs aux rseaux sans fil, se rfrer aux mesures
prconises sur le site du CERTA ladresse
http://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-002/.
25
Pour aller plus loin
I N T E R N E
Le cloisonnement rseau permet notamment dviter que la compromission
dun poste nentrane celle de lensemble du systme. En pratique, il est
recommand de segmenter le rseau en sous-rseaux logiques selon les
services censs y tre dploys.
I N F O R M A T I Q U E
Un exemple dune telle architecture est reprsent ci-dessous.
Serveurs
dapplication
vlan1 vlan1
imprimante Service 1
R S E A U
vlan3
poste client
D U
service 2 Serveurs
dapplication
Unit de
Service 2 vlan2
S C U R I T
vlan2 sauvegarde
-
1 0
Pour mettre en uvre un tel cloisonnement, plusieurs mthodes sont
envisageables :
n
- la mise en place de rseaux physiques distincts : il est alors possible de
F iche
cloisonner les diffrents rseaux en contrlant les flux de donnes sur la
base des adresses rseau ;
- le recours des rseaux virtuels, dnomms VLAN : lobjectif de
cette technologie est de regrouper certains matriels connects un
quipement physique (switch) selon des critres logiques (par exemple
lappartenance un dpartement), dans le but de sparer les trafics
rseau entre les diffrents groupes ainsi constitus.
G U I D E P R AT I Q U E S C U R I T 26
Il est galement possible de restreindre les connexions autorises en
I N T E R N E
I N T E R N E
diffrenciant par exemple un rseau interne pour lequel aucune connexion
venant dInternet nest autorise, et un rseau dit DMZ (DeMilitarized Zone ou
zone dmilitarise en franais) accessible depuis Internet.
I N F O R M A T I Q U E
I N F O R M A T I Q U E
Rseau interne -> <- Zone accessible -> <- Internet
depuis Internet (DMZ)
Poste client Pare feu Pare feu
(Firewall) (Firewall)
Modem
Routeur
Portail
Web
Serveurs Serveurs
R S E A U
R S E A U
techniques de messagerie
Serveurs (DHCP, DNS)
dapplication
D U
D U
Figure 2: Exemple de mise en uvre dune DMZ
S C U R I T
S C U R I T
La mise en uvre dune DMZ ncessite linstallation de passerelles scurises
(pare-feux) entre les rseaux cloisonner afin de contrler les flux dinformation
entrants et sortants.
Des systmes de dtection dintrusion (Intrusion Detection Systems
-
-
ou IDS) peuvent tre mis en place en vue danalyser le trafic rseau en
1 0
1 0
temps rel, afin dy dtecter toute activit suspecte voquant un scnario
n
n
dattaque informatique. Le but de ces systmes est de djouer les attaques
informatiques au plus tt. Il convient de rappeler que les utilisateurs dun
F iche
F iche
rseau informatique doivent tre avertis lorsquil est prvu une analyse des
contenus transitant sur le rseau.
Il peut tre envisag de mettre en place lidentification automatique de
matriels comme moyen dauthentification des connexions partir de lieux
et matriels spcifiques. Cette technique utilise par exemple les identifiants
uniques des cartes rseau (ladresse MAC) afin de dtecter la connexion dun
dispositif non rpertori et de router son trafic rseau de manire spare.
27
Fiche n 11 - scurite des serveurs
et des applications
Les serveurs sont les quipements les plus critiques et ce titre, ils mritent des
A P P L I C A T I O N S
mesures de scurit renforces.
D E S
- utiliser des caractres de types diffrents (majuscules, minuscules,
chiffres et caractres spciaux) ;
E T
- changer de mot de passe notamment lors du dpart dun des
administrateurs.
S E R V E U R S
Installer les mises jour critiques des systmes dexploitation sans dlai en
programmant une vrification automatique hebdomadaire.
En matire dadministration de bases de donnes:
- ne pas utiliser les serveurs hbergeant les bases de donnes dautres
D E S
fins (notamment pour naviguer sur des sites internet, accder la
messagerie lectronique ) ;
S E C U R I T E
- utiliser des comptes nominatifs pour laccs aux bases de donnes, sauf
si une contrainte technique lempche ;
- mettre en uvre des mesures et/ou installer des dispositifs pour se
prmunir des attaques par injection de code SQL, scripts ;
-
- prvoir des mesures particulires pour les bases de donnes sensibles
1 1
(chiffrement en base, chiffrement des sauvegardes).
n
Assurer une continuit de disponibilit des donnes, ce qui ncessite
notamment de prendre des prcautions en cas dinstallation ou de mises
jour de logiciels sur les systmes en exploitation. F iche
Mettre jour les applications lorsque des failles critiques ont t identifies
et corriges.
G U I D E P R AT I Q U E S C U R I T 28
A P P L I C A T I O N S
A P P L I C A T I O N S
Pour aller plus loin
Les systmes sensibles, cest--dire tout systme traitant de donnes
sensibles ou juges confidentielles pour lentreprise, doivent disposer dun
D E S
D E S
environnement informatique ddi (isol).
E T
E T
Sagissant des logiciels sexcutant sur des serveurs, il est conseill
dutiliser des outils de dtection des vulnrabilits (logiciels scanners de
S E R V E U R S
S E R V E U R S
vulnrabilit tels que nmap (http://nmap.org/), nessus (http://www.nessus.
org), nikto (http://www.cirt.net/nikto2) etc.) pour les traitements les plus
critiques afin de dtecter dventuelles failles de scurit. Des systmes de
dtection et prvention des attaques sur des systmes/serveurs critiques
dnomms Host Intrusion Prevention peuvent aussi tre utiliss.
D E S
D E S
Selon la nature de lapplication, il peut tre ncessaire dassurer lintgrit des
traitements par le recours des signatures du code excutable garantissant
quil na subi aucune altration. A cet gard, une vrification de signature tout
S E C U R I T E
S E C U R I T E
au long de lexcution (et pas seulement avant lexcution) rend plus difficile
la compromission dun programme.
-
-
1 1
1 1
n
n
F iche
F iche
29
Fiche n 12 - Sous-traitance
S O U S - T R A I T A N C E
traitants doivent bnficier de garanties de scurit.
-
matire de protection des donnes. Cela inclut notamment :
1 2
- le chiffrement des donnes selon leur sensibilit ou dfaut lexistence de
n
procdures garantissant que la socit de prestation na pas accs aux
donnes qui lui sont confies ;
F iche
- le chiffrement de la liaison de donnes (connexion de type https par
exemple) ;
- des garanties en matire de protection du rseau, traabilit (journaux,
audits), gestion des habilitations, authentification, etc.
Prvoir les conditions de restitution des donnes et de leur destruction en cas
de rupture ou la fin du contrat.
13 - cloud computing.
G U I D E P R AT I Q U E S C U R I T 30
Modle de clauses de confidentialit pouvant tre utilises en cas de sous-
S O U S - T R A I T A N C E
S O U S - T R A I T A N C E
traitance
-
Conformment larticle 34 de la loi informatique et liberts modifie, Y sengage
1 2
1 2
prendre toutes prcautions utiles afin de prserver la scurit des informations
et notamment dempcher quelles ne soient dformes, endommages ou
n
n
communiques des personnes non autorises.
F iche
F iche
Y sengage donc respecter les obligations suivantes et les faire respecter par son
personnel :
- ne prendre aucune copie des documents et supports dinformations qui lui sont
confis, lexception de celles ncessaires lexcution de la prsente prestation
prvue au contrat, laccord pralable du matre du fichier est ncessaire ;
- ne pas utiliser les documents et informations traits des fins autres que celles
spcifies au prsent contrat ;
- ne pas divulguer ces documents ou informations dautres personnes, quil
sagisse de personnes prives ou publiques, physiques ou morales ;
- prendre toutes mesures permettant dviter toute utilisation dtourne ou
frauduleuse des fichiers informatiques en cours dexcution du contrat ;
- prendre toutes mesures de scurit, notamment matrielles, pour assurer la
conservation et lintgrit des documents et informations traits pendant la dure
du prsent contrat ;
- et en fin de contrat, procder la destruction de tous fichiers manuels ou
informatiss stockant les informations saisies.
A ce titre, Y ne pourra sous-traiter lexcution des prestations une autre socit, ni
procder une cession de march sans laccord pralable de X.
X se rserve le droit de procder toute vrification qui lui paratrait utile pour constater
le respect des obligations prcites par Y.
En cas de non-respect des dispositions prcites, la responsabilit du titulaire peut
galement tre engage sur la base des dispositions des articles 226-5 et 226-17 du
nouveau code pnal.
X pourra prononcer la rsiliation immdiate du contrat, sans indemnit en faveur du
titulaire, en cas de violation du secret professionnel ou de non-respect des dispositions
prcites.
31
Fiche n13 - Larchivage
L A R C H I V A G E
- Les bases actives ou archives courantes : il sagit des donnes dutilisation
courante par les services en charge de la mise en uvre du traitement ;
- Les archives intermdiaires : il sagit des donnes qui ne sont plus utilises
mais qui prsentent encore un intrt administratif pour lorganisme. Les
donnes sont conserves sur support distinct et sont consultes de
manire ponctuelle et motive ;
-
- Les archives dfinitives : il sagit des donnes prsentant un intrt
n 1 3
historique, scientifique ou statistique justifiant quelles ne fassent lobjet
daucune destruction. Elles sont alors rgies par le livre II du Code du
patrimoine et non par la loi informatique et liberts.
F iche
Les archives doivent tre scurises et chiffres si les donnes archives sont
des donnes sensibles ou juges confidentielles par lentreprise.
G U I D E P R AT I Q U E S C U R I T 32
Ce quil ne faut pas faire
L A R C H I V A G E
L A R C H I V A G E
Utiliser des supports ne prsentant pas une garantie de longvit suffisante. A
titre dexemple, on peut mentionner les CD et DVD dont la longvit dpasse
rarement 4/5 annes.
-
n 1 3
n 1 3
Plus dinformations sur les problmatiques darchivage sont disponibles sur
le site des archives de France : http://www.archivesdefrance.culture.gouv.fr/
gerer/archives-electroniques/.
F iche
F iche
33
Fiche n 14 - Lchange
dinformations avec dautres
organismes
O R G A N I S M E S
la communication de donnes caractre personnel doit tre scurise, cest-
-dire que la confidentialit, lintgrit et lauthenticit des informations doivent
tre assures.
La messagerie lectronique et le fax, mme sils apportent un gain de temps,
ne constituent pas a priori un moyen de communication sr pour transmettre
D A U T R E S
des donnes personnelles. Une simple erreur de manipulation (e-mail erron,
erreur de numrotation du fax destinataire) peut conduire divulguer des
destinataires non habilits des informations personnelles et porter ainsi
atteinte au droit la vie prive des personnes.
En outre la transmission via Internet de donnes nominatives comporte, compte
A V E C
tenu de labsence gnrale de confidentialit du rseau Internet, des risques
importants de divulgation de ces donnes et dintrusion dans les systmes
informatiques internes.
D I N F O R M A T I O N S
Les prcautions lmentaires
Concernant la confidentialit de la communication :
- Chiffrer les donnes avant leur enregistrement sur le support lorsque la
transmission de donnes seffectue par lenvoi dun support physique (
technologie optique ou magntique).
- Lors dun envoi via un rseau :
L E C H A N G E
- si cette transmission utilise la messagerie lectronique, chiffrer les pices
transmettre. A ce sujet, il convient de se rfrer aux prconisations de la
fiche n17 Le chiffrement ;
- sil sagit dun transfert de fichiers, utiliser un protocole garantissant la
confidentialit, tel que SFTP ;
-
- si cette transmission utilise le protocole HTTP, utiliser le protocole SSL
1 4
G U I D E P R AT I Q U E S C U R I T 34
Si vous tes amen utiliser le fax, il est recommand de mettre en place les
O R G A N I S M E S
O R G A N I S M E S
mesures suivantes :
- le fax doit tre situ dans un local physiquement contrl et accessible
uniquement au personnel habilit ;
- limpression des messages doit tre subordonne lintroduction dun
code daccs personnel ;
- lors de lmission des messages, le fax doit afficher lidentit du fax
D A U T R E S
D A U T R E S
destinataire afin dtre assur de lidentit du destinataire ;
-d
oubler lenvoi par fax dun envoi des documents originaux au destinataire ;
- prenregistrer dans le carnet dadresse des fax (si cette fonctionnalit
existe) les destinataires potentiels.
A V E C
A V E C
Ce quil ne faut pas faire
Transmettre des fichiers contenant des donnes personnelles en clair via des
D I N F O R M A T I O N S
D I N F O R M A T I O N S
messageries web du type Gmail ou Hotmail.
L E C H A N G E
SHA-2 est recommande.
Concernant lauthenticit des donnes :
lmetteur peut signer les donnes avant leur envoi afin de garantir quil est
lorigine de la transmission. Une signature lectronique requiert la mise en
place dune infrastructure de gestion de cls publiques14 (en anglais Public Key
Infrastructure, PKI) ;
-
-
1 4
1 4
F iche
35
Une telle infrastructure consiste dlivrer une paire de cls prive/publique
O R G A N I S M E S
lensemble des personnes susceptibles dchanger des informations. Les cls
publiques doivent tre certifies par une autorit de certification pour laquelle
chacun des utilisateurs le certificat15 racine, ceci afin que lauthenticit des
cls publiques soient garanties.
Les algorithmes mis en uvre dans le cadre de cette infrastructure doivent
suivre les prconisations de lannexe B1 du Rfrentiel Gnral de Scurit16.
D A U T R E S
Ce rfrentiel prcise notamment les longueurs de cl considrer. la date de
rdaction de ce document, il est par exemple prconis que :
- La taille minimale dune cl RSA soit de 2048 bits, pour une utilisation ne
devant pas dpasser lanne 2020 ;
- Pour une utilisation au-del de 2020, la taille minimale de la cl RSA est
A V E C
de 4096 bits.
Ces valeurs sont donnes titre indicatif, et sont dpendantes du contexte
D I N F O R M A T I O N S
propre chaque traitement.
D
s lors que les donnes ont t reues, que leur intgrit a t vrifie par le
destinataire et quelles ont t intgres dans le systme dinformation, il est
conseill de dtruire les supports ou fichiers ayant servi leur transmission.
L E C H A N G E
-
1 4
n
F iche
G U I D E P R AT I Q U E S C U R I T 36
Fiche n 15 - Les dveloppements
informatiques
la protection des donnes caractre personnel doit tre partie intgrante du
O R G A N I S M E S
I N F O R M A T I Q U E S
dveloppement informatique afin dempcher toute erreur, perte, modification
non autorise, ou tout mauvais usage de celles-ci dans les applications.
D E V E L O P P E M E N T S
caractre personnel ds llaboration du service ou ds la conception
de lapplication.
A V E C
L E S
Pour aller plus loin
Le dveloppement doit imposer des formats de saisie et denregistrement
-
des donnes qui minimisent les donnes collectes. Par exemple,
1 5
sil sagit de collecter lanne de naissance dune personne, le champ du
formulaire correspondant ne doit pas permettre la saisie du mois et du jour de
n
naissance. Cela peut se traduire notamment par la mise en uvre dun menu
L E C H A N G E
F iche
droulant limitant les choix pour un champ dun formulaire.
Les formats de donnes doivent tre compatibles avec la mise en uvre
dune dure de conservation.
Le contrle daccs aux donnes par des catgories dutilisateurs doit tre
intgr au moment du dveloppement.
-
Eviter le recours des zones de texte libre. Si de telles zones sont requises,
1 4
il faut faire apparatre soit en filigrane, soit comme texte pr-rempli seffaant
sitt que lutilisateur dcide dcrire dans la zone, les mentions suivantes :
n
dans cette zone de texte. Les informations que vous y inscrivez doivent
tre PERTINENTES au regard du contexte. Elles ne doivent pas comporter
dapprciation subjective, ni faire apparatre, directement ou indirectement
les origines raciales, les opinions politiques, philosophiques ou religieuses, les
appartenances syndicales ou les murs de la personne concerne.
37
Fiche n 16 - Lanonymisation
L A N O N Y M I S A T I O N
rversible, cette dernire tant parfois dnomme pseudonymisation.
Lanonymisation irrversible consiste supprimer tout caractre identifiant un
ensemble de donnes. Concrtement, cela signifie que toutes les informations
directement et indirectement identifiantes sont supprimes et rendre
impossible toute r-identification des personnes.
Lanonymisation rversible est une technique qui consiste remplacer un
identifiant (ou plus gnralement des donnes caractre personnel) par un
pseudonyme. Cette technique permet la leve de lanonymat ou ltude de
corrlations en cas de besoin.
-
1 6
Les prcautions lmentaires
n
Etre trs vigilant dans la mesure o une r-identification peut intervenir partir
F iche
dinformations partielles17.
Anonymiser une donne personnelle en procdant comme suit :
- gnrer un secret suffisamment long et difficile mmoriser18 ;
- appliquer une fonction dite sens unique sur les donnes : un algorithme
convenant pour une telle opration est un algorithme de hachage cl
secrte, tel que lalgorithme HMAC19 bas sur SHA-1.
S
i une donne personnelle est anonymise et non purement supprime, il
existe un risque de r-identification20.
- En labsence dun besoin de leve de lanonymat, prvoir de supprimer le
secret afin de rduire ce risque.
- Dans lhypothse o le secret doit tre conserv pour une ventuelle leve
de lanonymisation ou une finalit de corrlation entre diffrentes donnes,
prvoir de mettre en place des mesures organisationnelles21 pour
garantir la confidentialit de ce secret. Les accs celui-ci doivent
tre tracs.
17 - A titre dexemple, la ville et la date de naissance peuvent parfois suffire identifier formellement une personne.
18 - Un exemple de chaine de caractres ayant valeur de secret est : f{rXan?cI$IPCk|Bb-aQWH6ud0;#oQt.
19 - HMAC est spcifi dans le document RFC 2104, http://www.ietf.org/rfc/rfc2104.txt
20 - Il est possible dassocier la donne originale la donne anonymise ds lors que le secret est compromis et que la
complexit de la donne originale nest pas suffisante. Les donnes personnelles possdent souvent une complexit,
autrement dit une entropie insuffisante. Par exemple, les patronymes franais sont en nombre limit (infrieur 1,5
millions), tous rpertoris.
21 - Un exemple de telle mesure consiste partager la cl en trois paires de valeurs confies trois personnes diffrentes,
ncessitant quau moins deux personnes se runissent pour reconstituer la cl.
G U I D E P R AT I Q U E S C U R I T 38
L A N O N Y M I S A T I O N
L A N O N Y M I S A T I O N
Ce quil ne faut pas faire
Utiliser des mcanismes danonymisation non valids par des experts. Un
bon algorithme danonymisation doit notamment :
- tre irrversible ;
-
-
1 6
1 6
- avoir un trs faible taux de collision : deux donnes diffrentes ne doivent
pas mener un mme rsultat ;
n
n
- avoir une grande dispersion : deux donnes quasi-semblables doivent
F iche
F iche
avoir des rsultats trs diffrents ;
- pouvoir mettre en uvre une cl secrte.
39
Fiche n 17 - Le chiffrement
C H I F F R E M E N T
cryptographique permettant de garantir la confidentialit dune information.
Les mcanismes cryptographiques permettent galement dassurer lintgrit
dune information, ainsi que lauthenticit dun message en le signant.
On distingue deux familles cryptographiques permettant de chiffrer : la
cryptographie symtrique et la cryptographie asymtrique :
- la cryptographie symtrique comprend les mcanismes pour lesquels la
mme cl sert chiffrer et dchiffrer ;
L e
- la cryptographie asymtrique comprend les mcanismes pour lesquels la
-
cl servant chiffrer, appele cl publique, est diffrente de la cl servant
1 7
dchiffrer, appele cl prive. On parle de paire de cls.
n
Lintrt de la cryptographie asymtrique est multiple :
F iche
- Chaque personne na besoin que dune paire de cls prive/publique.
A contrario, la cryptographie symtrique ncessite davoir autant de
cls diffrentes que de couples de personnes qui veulent communiquer
confidentiellement ;
- Les cls publiques peuvent tre rendues publiques pour quiconque
souhaitant vous envoyer un message confidentiel. Toutefois lauthenticit
des cls publiques nest ainsi pas garantie. Aussi la mise en uvre de
la cryptographie asymtrique dans le cadre dchanges de messages
sinscrit le plus souvent dans la mise en place dune Infrastructure de
Gestion de Cls Publiques22 ;
Lchange dinformations de manire confidentielle entre deux parties A et B
seffectue comme suit :
Chiffrement au moyen de la cryptographie symtrique :
Cl Cl
Transmission via un canal non scuris Donne chiffre Dchiffrement Donne en Clair
G U I D E P R AT I Q U E S C U R I T 40
Chiffrement au moyen de la cryptographie asymtrique :
C H I F F R E M E N T
C H I F F R E M E N T
A Si lchange de la cl publique B
a lieu via un canal non scuris,
Cl publique il faut que leur authenticit soit Cl publique Cl prive
de B (KpubB) garantie22 de B (KpubB) de B (KprivB)
Transmission via un canal non scuris Donne chiffre Dchiffrement Donne en Clair
L e
L e
-
-
1 7
1 7
Signature au moyen de la cryptographie asymtrique :
Du fait que la cl prive nest dtenue que par une personne, la cryptographie
n
n
asymtrique permet de garantir limputabilit dun message en le signant
F iche
F iche
laide sa cl prive. Ce que la cryptographie ne permet pas du fait du partage
de la cl entre deux parties.
A Si lchange de la cl publique B
a lieu via un canal non scuris,
Cl prive Cl publique il faut que leur authenticit soit Cl publique
de A (KprivA) de A (KpubA) garantie22 de A (KpubA)
Calcul de
Vrification
lempreinte
Calcul de
Donne en clair Donne en clair Empreinte
lempreinte
41
Concernant le chiffrement asymtrique :
C H I F F R E M E N T
- Utiliser des algorithmes prouvs, tels que le RSA ou lECC ;
- Concernant la longueur des cls, il convient de suivre les prconisations
donnes en annexe B1 du Rfrentiel Gnral de Scurit25. En outre,
la gnration des cls doit se faire au moyen de logiciels prouvs, par
exemple openSSL24.
L e
Ce quil ne faut pas faire
Utiliser lalgorithme simple DES, algorithme considr comme obsolte.
-
1 7
Utiliser des logiciels ou des librairies cryptographiques nayant pas fait lobjet
de vrifications par des tierces parties lexpertise avre.
n
F iche
Pour aller plus loin
Le chiffrement de documents peut tre ralis au moyen de diffrents
logiciels, dont notamment :
- le logiciel TrueCrypt26, permettant la mise en uvre de conteneurs27
chiffrs ;
- le logiciel Gnu Privacy Guard, permettant la mise en uvre de la
cryptographie asymtrique et dont une version est disponible ladresse
http://www.gnupg.org/index.fr.html. Il est suggr de choisir des cls
PGP DSA/ElGamal ayant au minimum une taille de 1536 bits, ou des cls
RSA dune taille minimale de 2048 bits ;
- dfaut, il peut tre envisag dutiliser un utilitaire de compression tel que
ceux bass sur lalgorithme ZIP, ds lors quils permettent le chiffrement
laide dun mot de passe. Cest le cas notamment du logiciel 7-Zip.
24 - http://www.openssl.org/
25 - Cf http://www.references.modernisation.gouv.fr/rgs-securite
26 - Il convient dutiliser la version 6.0a qui bnficie dune certification de premier niveau par lANSSI.
27 - Par conteneur, il faut comprendre un fichier susceptible de contenir plusieurs fichiers.
G U I D E P R AT I Q U E S C U R I T 42
Acronymes
acronymes
considr comme une rfrence.
DES : Data Encryption Standard, un algorithme cryptographique symtrique considr
comme dpass.
DHCP : D
ynamic Host Configuration Protocol, un protocole permettant la configuration
dynamique des paramtres rseau dune machine (y compris lattribution de son
adresse IP).
DNS : Domain Name Server, Serveur de nom de domaine, Ces serveurs font notamment la
L e
EBIOS : Une mthodologie dvaluation des risques relatifs la scurit des Systmes
dInformation.
n
ECC : Elliptic Curve Cryptography, cryptographie base sur les courbes elliptiques.
F iche
43
Annexe 1 - Menaces informatiques
liste des menaces ciblant les systmes informatiques et les fichiers considrer
A N N E X E
en priorit :
pour les matriels :
- dtournement de lusage prvu (stockage de fichiers personnels sur
lordinateur de bureau, stockage de documents sensibles sur une cl USB
non prvue cet effet) ;
- espionnage (observation dun cran linsu de son utilisateur, golocalisation
dun tlphone) ;
- dpassement des limites de fonctionnement (panne de courant, temprature
excessive dune salle serveur, unit de stockage pleine) ;
- dtrioration (inondation ou incendie dune salle serveur, dgradation du fait
de lusure naturelle, vandalisme) ;
- modification (ajout de priphrique, webcam, keylogger28) ;
- disparition (vol, perte, cession ou mise au rebut dun ordinateur).
pour les logiciels :
- dtournement de lusage prvu (lvation de privilges, fouille de contenu,
effacement de traces) ;
- analyse (balayage dadresses rseaux, collecte de donnes de configuration) ;
- dpassement des limites de fonctionnement (injection de donnes en dehors
des valeurs prvues, dbordement de tampon) ;
- suppression totale ou partielle (bombe logique, effacement de code) ;
- modification (contagion par un code malveillant, manipulation inopportune
lors dune mise jour) ;
- disparition (cession dun logiciel dvelopp en interne, non renouvellement de
licence).
pour les canaux de communication :
- coute passive (coute sur un cble rseau, interception) ;
- saturation (exploitation distante dun rseau wifi, tlchargement non autoris,
assourdissement de signal) ;
- dgradation (sectionnement de cblage, torsion de fibre optique) ;
- modification (changement dun cble par un autre inappropri, modification
de chemin de cble),
- disparition (vol de cbles en cuivre) ;
- attaque du milieu (man in the middle, rejeu/rmission dun flux).
pour les supports papier :
- dtournement de lusage prvu (falsification, effacement, utilisation du verso
dimpressions papier en tant que brouillons) ;
- espionnage (lecture, photocopie ou photographie de documents) ;
- dtrioration (vieillissement naturel, corrosion chimique, dgradation
volontaire, embrasement lors dun incendie) ;
- disparition (vol de documents, revente, perte, prt, mise au rebut).
G U I D E P R AT I Q U E S C U R I T 44
A N N E X E