PS Guot V1 01 04 2023

MINISTÈRE DES TRANSPORTS, DE L’AVIATION CIVILE RÉPUBLIQUE DU CONGO
Unité * Travail * Progrès

ET DE LA MARINE MARCHANDE
GUICHET UNIQUE DES OPÉRATIONS

TRANSFRONTALIÈRES
+242 06 665 19 04 1153 contact@guot.org
www.guot.org | Pointe-Noire
N° 00/GUOT/DG/DCEJ/01
POLITIQUE DE SECURITE DU GUOT VERSION 1
Gestion du Document
Date Version Auteur Description de la Date Date d’entrée
modification d’approbation en vigueur
27/03/2023 1.0 SASIEI Première version
Marquage et Manipulation de l’information

Public Interne Confidentiel Secret
x
GUICHET UNIQUE DES OPERATIONS TRANSFRONTALIERES

Rue Kouanga MAKOSSO, CQ 101 Centre-Ville A – B.P : 1153 - Pointe-Noire R. du Congo
NIU : M2014110000720079 – RCCM : RCCMCG/PNR/14B742
Email: contact@guot.org; contact.guot@gmail.com | Web: www.guot.org
TABLE DES MATIERES
1.Préambule
1.1. Mot du Directeur Général du GUOT
1.2. Termes et définitions
1.3. Contexte
1.4. Enjeux
1.4.1. Protection des données et des outils de travail
1.4.2. Protection de la réputation
1.5. Risques
1.6. Objectifs
1.7. Champ d’application
1.8. Elaboration, Mise à jour et Diffusion
1.9. Responsabilités
1.9.1. Mesures en cas de non-respect de la politique de sécurité
2. Cadre règlementaire et normatif
2.1. Convention de l’Union Africaine sur la Cyber-sécurité
2.2. Protection de la propriété intellectuelle
2.3. Lois nationales
2.3.1. Constitution de la République du Congo
2.3.2. Protection des données à caractère personnel
2.3.3. Autres lois nationales
2.4. Normes ISO 27000
2.4.1. Exigences pour un Système de Management de la Sécurité de l’Information - ISO
27001
2.4.2. Code de bonnes pratiques pour le management de la sécurité de l’information - ISO
27002
2.4.3. Gestion des risques liés à la sécurité de l'information

3. Structure organisationnelle
3.1. COSI
3.2. SASI
3.3. SAC
3.4. SRFAI
3.5. Administrateurs systèmes et réseaux
3.6. Technicien Support
3.7. Revue indépendante de la sécurité de l’information
4. Système de gestion de la sécurité de l’information (SMSI)
4.1. Phase d’établissement (PLAN)
4.1.1. Périmètre
4.1.2. Inventaire des Actifs
4.1.3. Analyse de vulnérabilité
4.1.4. Analyse de risques
4.1.5. Plan de gestion et choix du mode de traitement du risque et identification du risque
résiduel
4.1.6. Sélection des mesures de sécurité
4.2. Phase d’implémentation (DO)
4.2.1. Plan d’actions : traitement du risque
4.2.2. Déploiement des mesures de sécurité
4.2.3. Vérification de la sécurité
4.2.4. Gestion des incidents de sécurité avérés
4.2.4.1. Détection et signalement
4.2.4.2. Enregistrement
4.2.4.3. Evaluation
4.2.4.4. Analyse
4.2.4.5. Traitement
4.2.4.6. Communication
4.2.4.7. Vérification
4.3. Phase de vérification (CHECK)
4.4. Phase d’amélioration (ACT)
5. Standards de sécurité
5.1. Gestion des identités et des accès
5.1.1. Gestion des identités et authentification
5.1.1.1. Directives à l’attention des administrateurs
5.1.1.2. Norme à exiger et à respecter lors de la création d’un compte
5.1.1.3. Envers les utilisateurs
5.1.1.4.Concernant la gestion des serveurs

5.1.2. Contrôle des accès
5.1.3. Surveillance et journalisation
5.2. Utilisation des installations à des fins privées
5.3. Utilisation de matériel personnel
5.4. Gestion et utilisation du réseau
5.4.1. Gestion du réseau
5.4.2. Conception et configuration du réseau
5.4.3. Sécurité physique et intégrité
5.4.4. Gestion du changement
5.4.5. Connexion de périphériques au réseau
5.4.6. Gestion des adresses réseau
5.4.7. Contrôles des accès au réseau
5.4.8. Règles de sécurité en matière d’utilisation du réseau
5.5. Stockage distant des données
5.6. Autres standards de sécurité
6. Sous-traitance et conformité des tiers
6.1. Vérifications
6.2. Formalisation contractuelle
6.3. Règlement général sur la protection des données
6.4. Externalisation informelle
6.4.1. Externalisation informelle de données à caractère personnel
6.4.2. Externalisation informelle des données relevant de la propriété intellectuelle,
littéraire ou artistique ou protégées par le secret professionnel
6.5. Accès physique par des tiers
7. Annexes
1.Préambule

1.1. Mot du Directeur Général du GUOT
1.2. Termes et définitions
• Actif informationnel: information numérique, document numérique, donnée, système
d’information, équipement informatique, banque de données, les réseaux et leurs
infrastructures, serveurs, dont le Collège est le propriétaire ou utilisateur autorisé.
• Classification de l’information : processus d’assignation d’une valeur à une donnée selon
certaines caractéristiques, lesquelles précisent le degré de criticité, de confidentialité et
de sensibilité d’une telle information et conséquemment les risques et la protection à lui
accorder;
• Disponibilité : signifie qu’un système est prêt à rendre les services qu’il est censé rendre
au moment où un utilisateur le demande;
• Donnée : élément de base constitutif d’une information. Une donnée peut être de nature
publique, privée, confidentielle, sensible ou nominative.
• Équipement : consiste, entre autres, des serveurs, des postes de travail, des accessoires
tels numériseurs et imprimantes, des unités de stockage, des composants réseaux, des
appareils de télécommunications (cellulaire ou filaire);
• Intégrité : signifie que les données présentées à l’utilisateur sont complètes et exactes
et n’ont pas été altérées durant le traitement ou la transmission;
• Ressources informationnelles : signifie les termes actifs informationnels, les systèmes
d’information et les données;
• Utilisateur : toute personne physique (administratrice et administrateur, membre du
personnel ou stagiaire, permanent ou temporaire, contractuel ou mandataire, étudiant,
personne chargée de cours, tutrice et tuteur) ou morale (partenaire d’affaires,
fournisseur) qui accède et qui utilise les ressources informationnelles du Collège;
• Système d’information : est un ensemble organisé de ressources (matériels, logiciels,
personnel, données et procédures) qui permet de regrouper, de classifier, de traiter et de
diffuser de l'information sur un environnement donné.
1.3. Contexte

La transformation numérique est au cœur du nouveau siècle où l’industrie 4.0 se voit
prospérer à travers la digitalisation, la big data, l’intelligence artificielle etc. Elle change
fondamentalement la mise en œuvre des activités économiques, sociales et
environnementales en intégrant la technologie numérique dans tous les domaines d’activités
de façon durable. Ceci justifie l’intérêt pour le Congo d’en faire une priorité, pour
accélérer le développement.
Cette dynamique sur le numérique au Congo s’explique par le défi de digitaliser le tissu
économique congolais dans toutes ses composantes et de réduire la fracture numérique
dans le pays. Pour soutenir cette ambition, le Congo par l’entremise du guot, autorité de
certification racine a décidé de mettre en place une infrastructure IGC OU PKI qui
confirme sa volonté de garantir un cyberespace sécurisé pour une économie numérique
florissante.
1.4. Enjeux
le phénomène de la cybercriminalité au plan mondial a atteint des proportions inquiétantes,
et mérite des réflexions profondes au regard des implications désastreuses qui affectent
toute une chaîne d'acteurs depuis l'Etat, les entreprises, jusqu'au particulier. Au Congo et
depuis plusieurs années déjà, la cybercriminalité se propage par les multiples formes
qu'elle revêt mais aussi parce qu'elle porte atteinte à la société dans son ensemble. Le
projet PKI vise à accroître au Congo la sécurité et la résilience des infrastructures, des
réseaux et systèmes d’information critiques soutenant les services essentiels du pays tout
en garantissant le respect des droits de l’homme et de l’Etat de droit, grâce à l’adoption et
à la mise en œuvre d’un ensemble complet de politiques en termes d’organisation et des
mesures techniques. Il a également pour objectif de donner à chacun l’accès aux avantages
d’un cyberespace ouvert, gratuit, sécurisé et résilient.
1.4.1. Protection des données et des outils de travail

La sécurité de l’information répond à quatre besoins principaux :
 la confidentialité, ou la garantie que seules les personnes autorisées ont
accès aux éléments considérés (applications, fichiers,…) ;

 l’intégrité, ou la garantie que les éléments considérés (données, messages,)
sont exacts et complets et qu’il n’ont pas été modifiés ou perdus ;
 la disponibilité, ou la garantie que les éléments considérés (fichiers,
messages, applications, services) sont accessibles au moment voulu par les
personnes autorisées ;
 la traçabilité, ou la garantie que les accès et tentatives d’accès aux
informations sont tracés et que les traces sont conservées et exploitables
en temps voulu.
1.4.2. Protection de la réputation

L’estime et la confiance accordées au guot par ses différents partenaires et
clients se basent sur la réputation de celle-ci. Une atteinte à cette réputation
pourrait impacter négativement :
L’image de l’entreprise ;
Le nombre des usagers au SEG ;
La capacité de l’entreprise à recruter du personnel de qualité ;
Les projets de collaborations inter-institionnelles, y compris internationales.
N.B : Une prévention contrôlée des risques et une gestion cadrée des incidents
de sécurité de l’information permettent de protéger l’image du guot, tant en
interne qu’à l’extérieur.
1.5. Risques
La gouvernance de l’entreprise se construit aujourd’hui avec une approche et une réflexion
sur les risques. C’est à la fois une exigence et un acte managérial. Il est vrai qu’au premier
abord, l’entreprise numérique semble éviter des risques auxquels fait face l’entreprise
classique. Mais ses caractéristiques propres génèrent de nouvelles sources de risques.
Cette politique vise à recenser tous les types de risques liés au caractère numérique d’une
entreprise, ainsi que ceux qui sont susceptibles d’émerger lors de son passage vers le
numérique. Ils ne sont pas circonscrits au seul périmètre des systèmes d’information et
sont transversaux puisque le numérique est au cœur de la chaine de valeur de l’entreprise.
Dans ce cadre, 31 risques liés au numérique regroupés en 8 familles ont été

identifiés :
 Les risques liés aux ressources humaines

 Les risques liés à la dématérialisation des rapports humains
 Les risques stratégiques
 Les risques liés au contrôle des systèmes d’information
 Les risques éthiques et juridiques
 Les risques liés au patrimoine numérique
 Les risques marketing
 Les risques périphériques
Tous ces risques peuvent être mesurés en fonction d’un degré d’occurrence et
d’un degré de gravité dont la combinaison détermine le facteur de risque pour
l’entreprise. A partir de ces éléments, l’établissement d’une cartographie des
risques permet de mettre en lumière plusieurs points :
 Des risques SI maîtrisés

 Le facteur de risque lié au contrôle et à la maitrise du système
d’information, risque auquel on pense de prime abord lorsqu’on évoque
l’entreprise numérique, apparait comme étant relativement peu important.
Ces risques, parce que bien connus, sont généralement bien maitrisés, et
leur impact est donc faible sur la vie de l’entreprise.
 Un risque majeur : le manque de culture numérique
Les principales sources de danger sont plus liées au manque de culture numérique
des dirigeants comme des salariés de l’entreprise. Un défaut de stratégie
numérique, une mauvaise gestion des ressources humaines lors du « passage » au
numérique ou des problèmes liés à la dématérialisation des rapports humains sont
autant de risques majeurs qui peuvent entrainer d’importants dommages pour
l’entreprise.
1.6. Objectifs
La Politique de Sécurité des Systèmes d’Information définit la vision stratégique

du guot en termes de sécurité des données. Elle fixe les objectifs et standards
de sécurité, le périmètre d’application et traduit l’engagement du guot à mettre
en œuvre les mesures de protection adaptées à son contexte ainsi qu’au cadre
juridique en vigueur.

Au-delà d’une mise en conformité de l’entreprise à la législation nationale et
supranationale, il s’agit pour le guot de se rapprocher des standards
internationaux et :
 Protéger la réputation, l’intégrité, l’éthique, et l’image publique du guot.

 Maintenir la confiance des clients, fournisseurs ainsi que les partenaires
du guot.
 Optimiser l’utilisation des ressources du guot en s’assurant qu'elles ne
sont pas mal utilisées ou sont gaspillées.
 Se conformer avec les exigences réglementaires et légales.
 Supporter les objectifs métiers du guot.
 De prevenir et réduire les incidents ainsi que leurs impacts sur le
fonctionnement du guot ;
De réduire les risques et leurs conséquences potentielles ;
De prioriser efficacement les actions à entreprendre ;
De rationaliser les couts et ressources à engager dans le cadre de la mise
en œuvre des objectifs et mesures de sécurité ;
De s’inscrire dans un processus d’amélioration continue de la sécurité, qui
tienne compte de l’évolution des activités de l’entreprise et du contexte
numérique ;
D’apporter la garantie d’un traitement sécurisé des données et des lors
d’améliorer la confiance dans le cadre des partenariats (contrats de recherche,
protocole d’accord, convention …)
1.7. Champ d’application
La présente Politique s’appliquent à:

 L’information dans toutes ses formes, résidente sur des serveurs, des PCs,
des équipements réseaux ou autres, les bases de données, les documents
personnels, dossiers et documents de travail.
 Toutes les Applications, systèmes d’exploitation, progiciels et logiciels.
 Tous le Matériel, Serveurs, postes de travail, Laptops, composants du
réseau, équipements de communication et périphériques possédés.
 Toutes les antennes du guot hébergent les informations et ses systèmes
supports.
 Tous les employés permanents, contractuels et temporaires, consultants,
fournisseurs et prestataire tiers ou personnel affectés pour travailler
avec le guot.
Il est obligatoire que tous les agents du guot précités adhèrent à cette politique
et à tous les standards et directives qui lui sont dérivés.

1.8 Elaboration, Mise à jour et Diffusion
La politique est élaborée et vérifiée par le Responsable audite et Sécurité
informatique en collaboration avec la direction des systèmes d’information et le
service d’anticipation cyber, validée et approuvée par la Direction générale. Il
est soumis à l’avis du Comité de Sécurité de l’information du guot. L’opportunité
de mise à jour du manuel de la politique globale de sécurité est examinée une fois
par an. Les mises à jour du manuel suivent le circuit de validation de la rédaction
initiale. Le responsable sécurité informatique et Ressources Humaines assurent
la diffusion de la politique de Sécurité. Toutes les versions sont conservées sous
forme électronique. Toutefois, la version française originale sous forme papier
constitue la version de référence.
1.9. Responsabilités
La Direction générale est responsable de fournir les moyens de prévention et de

contrôle pour la protection de tous les actifs du guot.
 Le Comité de sécurité de l’information, COSI est responsable pour la mise
à jour de cette politique ainsi que les directives associées.
 Le SASI du guot, ainsi que le Service Anticipation Cyber sont
responsables de la mise à disposition, l’information et la sensibilisation du
personnel à la Politique de la Sécurité de l'Information.
 Tous les employés du guot sont responsables de la protection de
l'information dont ils sont propriétaires ou sous leur contrôle,
conformément avec cette politique de sécurité de l’information.
 Les Propriétaires de l’information sont responsables de définir la
classification des données et les autorisations d’accès aux systèmes mis
sous leur contrôle.
 Le SASI, est responsable pour planifier et exécuter des vérifications et
audits périodiques pour s’assurer que les différentes unités
opérationnelles de l’organisme sont conformes à la politique de la sécurité
de l'information, aux directives, standards et procédures.
 Aucune exception à cette politique n’est autorisée sans approbation écrite
du Directeur General.
1.9.1. Mesures en cas de non-respect de la politique de sécurité

Les infractions mineures de la PSSI seront traitées par le COSI. Les supérieurs
hiérarchiques peuvent en être informés, en fonction de l’impact sur les activités
de leurs équipes ou selon le besoin de mesures disciplinaires de leur ressort.
Les infractions graves (ou les infractions mineures répétées) sont traitées
conformément aux procédures disciplinaires du guot.

En cas de suspicion d’une activité suspecte qui pourrait nécessiter une ingérence
dans la vie privée de l’agent (ex : vérifier le contenu des fichiers, ou les sites
web visités par cet agent), le Comité de sécurité de l’information du guot doit
être saisie.
Le cas échéant, les infractions pénales seront signalées à la police. Si l'infraction a
eu lieu dans une antenne autre que la direction générale, l'infraction peut être
signalée aux autorités compétentes de ce département.
2. Cadre règlementaire et normatif

La mise en œuvre de systèmes d’information est soumise à des obligations
relevant de dispositions législatives et réglementaires qui confèrent un enjeu
juridique important à cette activité. L’entreprise doit s’assurer de la conformité
permanente de la PSSI à celles-ci.
2.1. Convention de l’union africaine sur la cyber sécurité
La Loi Nº43-2020 du 20 aout 2020 autorisant la ratification de la convention de l’union
africaine sur la cyber-sécurité et la protection des données à caractère personnel;
2.2. Protection de la propriété intellectuelle
La PSSI, bien qu’elle n’en couvre pas tous les aspects, favorise la protection de la
propriété intellectuelle.
2.3. Lois nationales
2.3.1. Constitution de la République du Congo
La constitution de la République du Congo du 6 novembre 2015 stipule dans son article 25

que « Tout citoyen a le droit d'exprimer et de diffuser librement son opinion par la parole,
l'écrit, l'image ou par tout autre moyen de communication… » L’article 26 prévoit que « Le
secret des correspondances, des télécommunications ou de toute autre forme de
communication ne peut être violé, sauf dans les cas et les conditions prévus par la loi. »
2.3.2. Protection des données à caractère personnel

La PSSI incorpore les éléments de la Loi Nº29-2019 portant sur la protection
des données à caractère personnel dans son intégralité.
2.3.3. Autres lois nationales

La PSSI intègre les éléments des lois suivantes :
La Loi Nº26-2020 du 5 juin 2020 relative à la cyber-sécurité ;
La Loi Nº27-2020 du 5 juin 2020 portant lutte contre la cybercriminalité
La Loi Nº37-2019 relative aux transactions électroniques, dans leurs globalités.
2.4. Normes ISO 27000
Les normes internationales de sécurité de la série ISO 27000 sont destinées à protéger
l’information. Elles découlent d’une recherche de consensus dans le domaine et servent de
base à la PSSI du guot.

2.4.1. Exigences pour un Système de Management de la Sécurité de
l’Information - ISO 27001
La norme ISO/CEI 27001 s’adresse à tous les types d’organismes (entreprises,
ONG, administrations privée et publique) et définit les exigences pour la mise en
place d'un système de management de la sécurité de l'information (SMSI).
Le SMSI recense les mesures de sécurité, dans un périmètre défini, afin de
garantir la protection des actifs de l'entreprise. L’objectif est de protéger les
informations de toute perte, vol ou altération, et les systèmes informatiques de
toute intrusion et sinistre informatique.
La norme précise que les exigences en matière de mesures de sécurité doivent
être adéquates et proportionnées aux risques encourus et donc ne pas être ni
trop laxistes, ni trop sévères.
Elle énumère un ensemble de points de contrôle à respecter pour s'assurer de la
pertinence du SMSI, permettre de l'exploiter et de le faire évoluer.
2.4.2. Code de bonnes pratiques pour le management de la sécurité de
l’information - ISO 27002
La norme ISO/IEC 27002 :2017 constitue un volet concret pour la mise en œuvre du
SMSI. Elle est composée de 114 mesures de sécurité réparties en 14 chapitres couvrant
les domaines organisationnels et techniques.
2.4.3. Gestion des risques liés à la sécurité de l'information

La norme ISO 27005 propose des lignes directrices traitant spécifiquement de la gestion
des risques dans le contexte de la Sécurité des systèmes d'information.

3. Structure organisationnelle
La mise en œuvre de la PSSI s’appuie sur une structure fonctionnelle interne
spécialisée en sécurité des systèmes d’information.
3.1. COSI
Le Comité de Sécurité de l’Information (COSI) définit, contrôle la mise en
œuvre de la politique de sécurité, améliore et encourage de façon continue les
politique et stratégie de sécurité, qu’il porte devant le Conseil d’Administration
le cas échéant. Il fixe en outre les standards de contrôle et de sécurité de
l’information, basés sur les recommandations du SASI et du SAC.
La révision et approbation de la Politique de Sécurité de l’Information, la gestion
des changements et modifications en tenant compte de l'exposition des actifs
aux nouvelles menaces et le Reporting à la Direction Générale.
Le COSI regroupe les fonctions suivantes :

Directeur General ;
DRHPD ;
DSI ;
DCEM ;
DFC ;
DCEJ ;
DCGAI ;
SAC ;
SASI ;
SSRFAI ;
SRHAQ.
Sa composition transversale permet de fluidifier la transmission de l’information vers les
parties concernées, particulièrement dans les situations de crise.
L’impartialité des analyses et des recommandations du SASI et du SAC est garantie par
leur indépendance. Ils sont néanmoins étroitement associé aux activités du COSI.
3.2. SASI
Le Responsable Audit et Sécurité des Systèmes d’Information a été nommé afin
de coordonner la mise en œuvre de toutes les taches de la sécurité informatique
au niveau du guot. Les responsabilités du SASI incluent:
 Implémenter et coordonner la mise en œuvre de la Politique de Sécurité
de l’information.
 Mettre en place et suivre le programme de Sensibilisation à la Sécurité de
l'Information.
 Mettre en place une stratégie et approche pour détecter les risques en
collaborant avec Le SAC.

 Revue périodique de la Politique de la Sécurité et recommandations pour
les améliorations.
 Elaborer et diffuser les documents liés aux processus de sécurité,
directives, standards, et stratégies spécifiques en cas de besoin.
 Examiner et analyser les incidents de la sécurité de l'information en
coopération avec les autres services impliqués (SAC et SRFAI), et
soumettre les rapports à la Direction générale.
 Conseil sur les aspects de la sécurité de l'information, les plans de
continuité d’activité et les plans de secours.
 S’assurer que la Politique de la Sécurité est mise en vigueur en exécutant
périodiquement des tests de conformité, et rapporter toutes les violations
pour la Direction Générale.
 Approuver les procédures de protections, sauvegarde et restauration des
données et s’assurer de leur bonne documentation.
 Assurer que les violations de la sécurité sont rapportées au Propriétaire
de l'Information et au Comité de Sécurité de l’information
 Contribuer à l’élaboration du rapport annuel de l’audit de la sécurité de
l'information.
 Effectuer les estimations périodiques des risques liés aux technologies
numériques.
 Travailler en étroite collaboration avec le service systèmes réseaux et
techniciens support au niveau des antennes pour assurer et satisfaire les
exigences de la Politique de la sécurité.
3.3. SAC
Il est chargé, notamment, de :
Veiller à la détection des cyber menaces ;
Prévenir les vulnérabilités des infrastructures logicielles et matérielle ;
Bâtir une stratégie de cyber défense face aux éventuels cyber attaques ;
Réaliser une veille technologique, règlementaire et prospective.
Il collabore étroitement avec le SASI qui est systématiquement consulté.
3.4. SSRFAI
Il a pour mission :
la sécurisation des échanges de données électroniques ;
La gestion des réseaux informatiques internes et externes ; conformément au
processus de gestion adopté par l’entreprise.
Il matérialise les directives et recommandations liées à la sécurité du SASI.
3.5. Administrateurs systèmes et réseaux
Les administrateurs systèmes et réseaux sont autorisés à agir rapidement pour
protéger la sécurité de leurs systèmes et réseaux. Les actions de protection

qu’ils entreprennent, en particulier celles ayant un impact direct sur leurs
utilisateurs, doivent être proportionnées.
Les administrateurs systèmes et réseaux doivent immédiatement signaler tout incident de
sécurité à haut niveau de risque au SASI, conformément au processus de gestion des
incidents de sécurité.
3.6. Technicien support

Au sein de chaque antenne, un technicien support est désigné, qui assure le rôle
d’interface entre celle-ci et le SASI. Celui-ci :
 Assume la responsabilité de la sécurité de l’information dans son
périmètre technique ;
 Effectuer/participer à la réalisation des tests de conformité.
 Veille à l’application des procédures et standards de sécurité pour la
partie technique de l’exploitation de systèmes, réseaux, postes de travail
et applicatifs ;
 Assure une veille (faille de sécurité, vulnérabilité, exploitations des
vulnérabilités, etc.…) dans son périmètre d’intervention afin de garantir le
maintien du niveau de sécurité (postes de travail, systèmes, réseaux,
etc…) ;
 s’assure de la sécurité des locaux techniques et des environnements de
travail et signale toute anomalie à l’administration de l’antenne
conformément au processus de gestion des incidents.
 Le technicien support, placé sous la responsabilité du chef d’antenne,
respecte et fait respecter les lois et règlements tant par le personnel que
par les sous-traitants de son antenne. Il exerce une surveillance
permanente et informe le SASI de toute situation anormale ou
présomption d’incident en sauvegardant les éléments de preuve.
3.7 Revue indépendante de la sécurité de l’information

La Politique de la Sécurité de l'information, les procédures et l’environnement de
la sécurité doivent être revus et examinés. Un processus documenté doit être
défini et mis en œuvre pour conduire des audits indépendants, internes et
externes de la sécurité des systèmes d’information de l’entreprise.
Les recommandations résultantes de ces audits doivent être mises en œuvre, si
nécessaire, et incorporées dans la Politique de sécurité de la société. La revue
doit fournir l'assurance de la conformité notamment à la norme ISO 27002 et
aux règles de bonne conduite. La revue doit également inclure des
recommandations procédurales et organisationnelles, ainsi que Techniques.
4. Système de gestion de la sécurité de l’information (SMSI)

La mise en œuvre du SMSI du guot applique la méthode PDCA ou Roue de Deming-
proposée par la norme ISO 27001.
Phase d’établissement (PLAN)

Définir la politique de sécurité et le périmètre du smsi ;
Identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité ;
Traiter le risque par un plan de gestion et identifier le risque résiduel ;
Choisir les mesures de sécurité à mettre en place
Phase d’implémentation (DO)

Etablir un plan de traitement des risques ;
Déployer les mesures de sécurité ;
Générer des indicateurs :
De performance pour savoir si les mesures de sécurité sont efficaces ;
De conformité qui mesurent l’adéquation des mesures aux normes ;
Former et sensibiliser les agents et partenaires.
Phase de maintien (CHECK)

Cette phase consiste à gérer le smsi au quotidien et à détecter les incidents en
permanence pour y réagir rapidement. Trois outils sont utilisés pour détecter ces
incidents :
Le contrôle interne, qui consiste à s’assurer en permanence que les processus
fonctionnement normalement ;
Les audits, internes ou externes, qui vérifient la conformité et l’efficacité du
système de management. Ces audits sont ponctuels et planifiés
Les revues de direction qui garantissent périodiquement l’adéquation du smsi avec
son environnement
Phase d’amélioration (ACT)

Il s’agit à cette étape de mettre en place des actions correctives, préventives ou
d’amélioration pour les incidents et écarts constatés lors de la phase de maintien
(check) :
Actions correctives: agir sur les effets pour corriger les écarts ;
Actions préventives: agir sur les causes avant que l’incident ne se produise
Actions d’amélioration: améliorer la performance d’un processus du smsi
Cette démarche adopte une spirale évolutive continue :la fin d’un cycle entraine le
début d’un nouveau.
4.1. Phase d’établissement (PLAN)
4.1.1. Périmètre
La PSSI du guot s’applique à l’ensemble des processus qui touchent aux missions
fondamentales de l’entreprise, traitent de données à caractère personnel ou

précieuses pour l’entreprise ou mettent en œuvre des technologies numériques
sujettes à la cybercriminalité.
4.1.2. Inventaire des Actifs
L’inventaire des actifs constitue un outil de contrôle central qui permet de
rationaliser les ressources et d’en optimiser la maintenance (ex : mises à jour
des systèmes d’exploitation, fin période de garantie du matériel).
Chaque actif, ainsi que ses propriétés, doit y être consigné :
Propriétaire
Localisation
Niveau de classification
L’inscription d’un actif au fichier des inventaires doit être effectué par son
responsable métier ou technique.
Pour les actifs de type applicatif, il convient d’enregistrer également la catégorie de
données selon la classification adoptée par l’entreprise.
4.1.3 CLASSIFICATION DE L'INFORMATION :

L’information sera classée par son Propriétaire dans une des catégories suivantes
:
1 - Public - Tout document ou information non sensible ou disponible pour le
public, par exemple : rapports habituels, circulaires, note de nomination et
information disponible sur les pages de l'Internet publiques. Recommandation
pour le marquage de document : C'est la classe par défaut. Par conséquent, il ne
devrait y avoir aucun besoin de marquer les documents publics, et tous les
documents non étiquetés seront normalement classés dans cette catégorie.
2 - Interne – L’Information qui est disponible pour tout le personnel du guot,
mais n'est pas destiné au public. La divulgation de ces informations peut
occasionner des gênes pour la société, mais en aucun l’entreprise ne serait
endommagée ou la dignité de ses employés ne serait atteinte.
Recommandation pour le marquage de document: ces documents devraient
être marqué "Interne."
3 - Confidentiel - Information avec une circulation limitée qui a une valeur
considérable pour l’entreprise et dont la divulgation causerait une menace
potentielle ou une gêne embarrassante par exemple contrat, plans financiers ou
marges de ventes. Cela devrait inclure aussi que toute information privée par
exemple les dossiers de santé du personnel, les salaires, ou Information critique
à circulation limitée. Recommandation pour le marquage de document: ces
documents devraient être marqués "Confidentiel."
4 – Secret- Documents et informations d'importance extrême au guot où la
divulgation causerait des dégâts sévères à l’entreprise, à son capital, Business ou
image de marque. Par exemple réorganisations majeurs de l’organisme ou
documents stratégiques.

Recommandation pour le marquage de document: ces documents devraient
être marqués "Secret."
N.B. : Les informations financières sensibles doivent est être toujours classées
comme "Confidentiel" et doivent bénéficier des mesures et moyens de
protection convenables. Ces moyens doivent combiner les techniques de contrôle
d’accès et de sauvegarde et restauration.
4.1.4 MARQUAGE ET MANIPULATION DE L’NFORMATION :

Les informations très sensibles, données et documents doivent être clairement
marqués afin que tous les utilisateurs soient informés de la propriété et de la
classification de l'information. Les informations, données et documents doivent
être traitées et stockées en conformité avec leurs niveaux de la classification.
4.1.5 PROPRIETAIRE DE L’INFORMATION :

La personne qui crée, ou qui initialise la création ou le stockage de l'information,
est le propriétaire initial. Le Propriétaire final de l'information est la direction
ou service avec la personne responsable (il peut être le chef du projet), désigné
conjointement le Propriétaire.
Le Propriétaire de l'Information est responsable de la :
 Classification et marquage de chaque document ou fichier dans chacun des
catégories de la classification. La disponibilité du document ou fichier
devrait être déterminée par la classification respective.
 Sécurisation de chaque document ou fichier selon le niveau approprié. Les
mécanismes de sécurité nécessaires doivent être disponibles selon les
niveaux exigés du caractère confidentiel.
 Vérification périodique pour assurer que cette information continue à être
convenablement classée et que les sauvegardes restent valides et en
vigueur.
4.1.6 PROPRIETAIRE DE L’APPLICATION :
Les Module & Applications Métiers doivent être possédées (sous la
responsabilité) par les processus
Métiers. Le Responsable du processus Métier est le Propriétaire de l’Application
et par conséquent est responsable de l’assurance de la Confidentialité, Intégrité
et de la Disponibilité de l’application.
Le Propriétaire de l’Application a les responsabilités suivantes :
 Assurer que les contrôles d’accès sont mis en place,
 Approuver les droits d’accès à l’Application,
 Assurer la revue périodique des droits d’accès,
 Approuver les changements et modifications de l’Application, y compris les
améliorations, correctifs et mise à jour.

4.1.7 UTILISATEUR DE L'INFORMATION :
Un Utilisateur de l'Information est la personne responsable de la consultation et
de la mise à jour du contenu des actifs informationnels. L’utilisateur a les
responsabilités suivantes:
 Maintenir le caractère confidentiel des mots de passe affectés au niveau
de chaque actif informationnel, Respecter les politiques de sécurité de
l’information, procédures, et directives.
L’utilisateur est un acteur important de la sécurité des SI, son implication se
fait à trois niveaux :
 Respect des règles : Chaque utilisateur doit respecter les règles de
sécurité édictées, respecter les dispositifs de sécurité et observer les
mesures édictées.
 Prudence : Chaque utilisateur doit agir avec discernement et appliquer un
principe de précaution vis à vis de tout comportement potentiellement à
risque pour la sécurité du système d’information.
 Vigilance : Tout utilisateur doit informer sa hiérarchie, le RSSI et les
administrateurs de tout incident ou anomalie constatée (devoir d’alerte).
4.1.8 ADMINISTRATEURS FONCTIONNELS :
Un Administrateur fonctionnel est la personne responsable de la gestion
(Paramétrages et configurations), de la surveillance et de la protection des
actifs informationnels (données applicatives).
Les responsabilités de l’Administrateur fonctionnel couvrent:
 Assurer la sauvegarde et la restauration, conformément aux procédures
définies par le Propriétaire de l'Information
 Gérer et administrer le parc informatique et les solutions des
Applicatives.
 Etablir les contrôles de sécurité des systèmes d’exploitation,
 Réagir avec rapidité face aux incidents de sécurité,
4.1.9 AUTRES ADMINISTRATEURS:

Les autres administrateurs disposant de droits techniques élevés
(administrateur web, développeurs, DBA, etc.) doivent respecter les règles de
sécurité édictées et tout mettre en œuvre pour paramétrer les systèmes afin
que le niveau de sécurité soit conforme aux règles de sécurité et en adéquation
avec les enjeux métier. Etablir les contrôles de sécurité des Applications et
Bases de données.
4.1.10. Analyse de vulnérabilité

Tous les systèmes doivent être soumis à des analyses de vulnérabilité régulières. Ces
analyses peuvent être effectuées par les services systèmes et réseaux, audit et
sécurité et service anticipation cyber ou par des évaluateurs externes agréés. Les
systèmes critiques de l'entreprise et les autres systèmes utilisés pour traiter ou
stocker des données classées comme critiques doivent être soumis à des tests
d’intrusion réguliers réalisés par un évaluateur agréé.
4.1.11. Analyse de risques
L’ensemble du périmètre du système d’information du guot doit faire l’objet
d’analyses de risques périodiques, basées sur les échelles institutionnelles. Ces
analyses relèvent de la responsabilité :
Du service système et réseau, pour les ressources transversales BLR, LAN, VPN et
WAN et internet mises à disposition des agents des tiers et contractants ;
Du service analyse, gestion de données et développement informatique pour :
Les équipements et ressources informatiques mis à disposition des agents ou
tiers dans le cadre de prestations contractuelles ;
Les locaux techniques (salle informatique, salle banalisée, datacenter…) ;
Des propriétaires de données, pour les applicatifs métier mis à disposition des
membres de la communauté portuaire ;
Des responsables hiérarchiques, pour le personnel informaticien ;
Du service Assistance Utilisateurs et Hotline, pour les utilisateurs finaux du système
d’information.
4.1.12. Plan de gestion et choix du mode de traitement du risque et
identification du risque résiduel
Le plan de gestion du guot applique le modèle du « 4T Process ». Selon les cas, le
RSSI recommande :
1-TRANSFERER : de transférer le risque lorsque l’entreprise ne peut pas faire y
face par ses propres moyens (ex : souscription d’une assurance ou contrat de sous-
traitances)
2-TOLERER : d’accepter le risque, si la survenance de celui-ci entraine des
répercussions acceptables pour l’entreprise (ex :
3-TRAITER : de traiter le risque, de façon à le rendre acceptable (ex :
4-TERMINER : d’éviter le risque, lorsque les conséquences d’une attaque sont jugées
trop périlleuses pour l’entreprise (ex
Les risques résiduels c’est-à-dire ceux qui persistent après la mise en place des
mesures de sécurité doivent eux aussi être pris en compte. Des mesures
complémentaires de protection doivent être appliquées pour les rendre acceptables.
4.1.13. Sélection des mesures de sécurité

Il convient à cette étape :

D’identifier les mesures de sécurités nécessaires, suffisantes et proportionnées à
mettre en place ;
De réunir les intervenants internes et/ou externes ;
D’identifier, d’analyser et de sélectionner les solutions ;
De consigner les points susmentionnés dans un rapport
4.2. Phase d’implémentation (DO)

4.2.1. Plan d’actions : traitement du risque
Le plan d’actions consiste à détailler l’organisation à mettre en place en vue du
déploiement des solutions sélectionnées à l’étape précédente. Il définit les
actions à entreprendre ainsi que les responsabilités.
4.2.2. Déploiement des mesures de sécurité
Le déploiement des mesures de sécurité met en œuvre:
Des moyens techniques, tels que :
Le contrôle des accès au système d’information ;
La surveillance du réseau : système de détection d’intrusion, vidéosurveillance
La sécurité applicative : séparation des privilèges, audit de code, retro-ingénierie,
mise à jour conformément aux exigences ou recommandations des fournisseurs de
logiciels ;
L’emploi de technologies ad hoc : pare-feu, UTM, antivirus, antimalware
La cryptographie : authentification forte, infrastructure à clés publiques,
chiffrement ;
Le plan de continuité d’activité : sauvegarde et restauration des données ;
Le plan de reprise d’activité
La veille technologique
Des moyens humains, dont principalement la sensibilisation/formation du public
concerné ;
Le service système et réseaux en charge de l’implémentation peut bénéficier sur
demande de l’assistance et du conseil du SASI et SAC.
4.2.3. Vérification de la sécurité

Le SASI et le SAC ont pour charge la vérification régulière de la sécurité du
système d’information. A cette fin, ils font usage d’indicateurs de performance
mesurant l’efficacité des solutions implémentées.
Le SASI et SAC vérifient également la conformité aux normes des mesures de
sécurité.
4.2.4. Gestion des incidents de sécurité avérés

La gestion des incidents de sécurité s’effectue conformément au processus de
gestion des incidents de sécurité adopté par l’entreprise.

4.2.4.1. Détection et signalement
La sécurité de l’information est l’affaire de tous. Chaque agent a le devoir de
rapporter dans les meilleurs délais tout incident de sécurité dont il est témoin, au
choix :
Par email à l’adresse du SASI
Par email à l’adresse du SAC
Par email à l’adresse du SRFAI
Par téléphone IP Cisco de différents services
En contactant le SASI, SAC et SRFAI par leurs numéros privés ou
personnellement.
4.2.4.2. Enregistrement
L’incident de sécurité doit être enregistré dans le fichier de gestion des incidents par
l’un des acteurs suivants :
Le SASI ;
Le SAC;
Le SRFAI.
4.2.4.3. Evaluation
Le niveau de risque doit être évalué selon la grille d’évaluation officielle, par un
administrateur et/ou les services techniques spécialisés en la matière.
L’information est transférée au SASI et/ou au SAC en cas de risque potentiellement
élevé.
4.2.4.4. Analyse
L’analyse de l’incident doit permettre :
D’identifier le fait générateur ;
De définir le périmètre concerné ;
D’analyser l’impact.
Le SASI et le SAC sont associés à l’analyse des incidents à haut niveau de risque.
4.2.4.5. Traitement
Des mesures de réponse immédiates, visant à éviter l’aggravation des conséquences,
peuvent être prises dès l’évaluation du niveau de risque. Le cas échéant, un plan de
continuité de l’activité sera activé.
La résolution de l’incident s’effectue selon le modèle du « 4 T Process » .
Les mesures appliquées doivent être documentées
4.2.4.6. Communication
L’analyse de risque sert d’appui à la définition d’un plan de communication. Selon la
situation, la communication peut poursuivre divers objectifs :
Gestion de l’incident : communication avec d’autres équipes en interne ou avec
des équipes externes ;

Conformité : communication de l’incident aux clients concernés et/ou
communication à destination des autorités concernées ;
Réduction de l’atteinte à la réputation : communication vers les partenaires, les
médias et le public.
4.2.4.7. Vérification
Le SASIEO et le SAC s’assurent de la bonne résolution des incidents de sécurité à
haut niveau de risque.
4.3. Phase de vérification (CHECK)
La cohérence et l’efficacité du SMSI doivent faire l’objet d’une vérification
régulière, par le biais :
De contrôles internes, permettant de vérifier la bonne application des
procédures au quotidien ;
D’audits internes ou externes ;
De revues de direction, dont l’objectif est de réexaminer avec recul
l’adéquation du smsi à son environnement ;
4.4. Phase d’amélioration (ACT)
Cette phase inscrit l’entreprise dans une logique d’amélioration continue par la mise
en place d’actions :
Correctives, visant à corriger les dysfonctionnements et en supprimer les
effets ;
Préventives, visant à empêcher les incidents ;
D’amélioration des performances des processus
Toutes les modifications apportées aux systèmes informatiques sont soumises
aux processus et procédures de gestion des modifications des services
informatiques.
Un logiciel de surveillance de l'intégrité des fichiers doit être utilisé pour détecter
les modifications non autorisées du système d’information.
5. Standards de sécurité
La COSI, sous l’autorité du Directeur Général, définit les standards de sécurité du
guot. Ceux-ci évoluent au rythme des avancées technologiques ainsi que du cadre
normatif.
5.1. Gestion des identités et des accès
5.1.1. Gestion des identités et authentification
L’identité et les accès de chaque agent devant accéder à des ressources guot
doivent être enregistrés dans le l’annuaire AD et la pointeuse.
Chaque agent se voit également attribuer une adresse électronique professionnel
unique pour son usage personnel.
5.1.1.1 Directives à l’attention des administrateurs

1. A appliquer
 Identifier nommément chaque personne ayant accès au système.
 Créer et attribuer un compte d’accès au système d’information à tout

nouvel utilisateur). Le mot de passe délivré doit être remplacé lors du
premier accès au système par l’utilisateur (une notification automatique
sera activée par l’administrateur) en respectant les obligations et
recommandations se référant à la création des comptes utilisateurs.
 Réserver les droits "administrateur" aux membres du groupe

d'administration du système.
 Supprimer les droits d'administration aux utilisateurs classiques.
 Avoir, pour chaque responsable du groupe d'administration, son propre

compte associé aux droits d'administrateur système et toutes les actions
d'administration seront réalisées sous l'identité effective du responsable.
De plus, un système d'audit sera mis en place pour permettre la
traçabilité des actions réalisées.
 Avoir au moins deux comptes distincts : un compte administrateur

uniquement pour les tâches d’administration et un compte utilisateur pour
toute autre tâche que l’administration.
 Veiller à ce que tous les employés aient chacun un identifiant unique et un

mot de passe respectant la norme pour les mots de passe. Les mots de
passe vides ne sont pas tolérés et la durée de validité est de 90 jours, et
un système de renouvellement forcé sera mis en place.
 Appliquer et faire appliquer les règles de choix et de dimensionnement des

mots de passe.
 Mettre en place des moyens techniques permettant de faire respecter les

règles relatives à l’authentification.

 Ne pas conserver les mots de passe en clair dans des fichiers sur les
systèmes informatiques.
 Renouveler systématiquement les éléments d’authentification par défaut

(mots de passe, certificats) sur les équipements (commutateurs réseau,
routeurs, serveurs, imprimantes) et, les comptes installés par défaut lors
de la mise en place de logiciels (tels que les systèmes d'exploitation).
 Veiller à une bonne séparation entre les tâches à exécuter et les droits
octroyés pour exécuter certaines opérations est absolument nécessaire
afin:
o d'assurer un bon fonctionnement des systèmes,
o d'éviter des destructions accidentelles de données,
o d'éviter une perte de la confidentialité.
Fixer toujours les droits d'accès des utilisateurs au système en fonction de leurs
tâches et de leurs responsabilités. Ainsi, les développeurs recevront des droits
d'accès à leur environnement de travail, les
 personnes chargées des tests auront leur environnements de test, les
utilisateurs finaux auront des droits limités à une ou plusieurs
application(s), etc.
 Préférer lorsque l'on doit attribuer des droits identiques à plusieurs

utilisateurs, d'octroyer ces droits à un groupe dans lequel les utilisateurs
concernés seront inclus. Les administrateurs systèmes veilleront à être
les seuls à gérer ces droits et à avoir accès aux fichiers sensibles: les logs
des systèmes, des fichiers de configuration, etc.
 , Permettre l’accès seulement, à un nombre limité de personnes de

confiance, pour les systèmes critiques
 Disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir

à jour.
A minima, il est important de disposer de la liste :

 des utilisateurs qui disposent d’un compte administrateur (ou de
privilèges supérieurs à ceux d’un utilisateur standard) sur le système
d’information ;
 des utilisateurs qui disposent de privilèges suffisants pour accéder aux
répertoires de travail des dirigeants ou, a fortiori, de l’ensemble des
utilisateurs ;
 des utilisateurs qui disposent d’un poste non administré par le service
informatique et donc non géré selon la politique de sécurité générale de
l’organisme.
NB : Il est de plus très fortement recommandé d’utiliser une nomenclature claire pour les
noms de comptes (faire systématiquement précéder les noms de comptes de service par le
préfixe SRV, les comptes d’administration du préfixe ADM).
5.1.1.2. Norme à exiger et à respecter lors de la création d’un compte
a. Minimum de 8 caractères
 Au moins une lettre majuscule

 Au moins une lettre minuscule
 Au moins un chiffre
 Au moins un caractère spécial ! ? : ; @ # $ % * ( ) [ ]
b. Doit être changé tous les 90 jours (Expiration du mot de passe au bout de
3 mois).
c. Doit être différent des 6 derniers mots de passe utilisés.
d. Blocage du compte après 5 tentatives d’identifications manquées.
NB : Le (ou les) fichier contenant les mots de passe doit être crypté et protégé des accès
d’intrus.

Toutefois, il faut éviter que ce fichier soit récupéré par toute personne non autorisée (ou
mal intentionnée) car des tentatives d’accès peuvent être réalisées, par comparaison à
l’aide de mots déjà cryptés par ailleurs dans un autre fichier.
Notre système étant complexe, la prolifération de mots de passe peut en réduire la
sécurité.
5.1.1.3. Envers les utilisateurs
 Ne pas fermer ou réinitialiser le mot de passe d’un utilisateur sans

vérifier son identité.
 Choisir des mots de passe élaborés dans le cas de création de comptes
pour les nouveaux utilisateurs.
 Ne pas transmettre les mots de passe aux utilisateurs de façon non
chiffrée spécialement via la messagerie.
 Éviter d’envoyer les mots de passe par mail.
 Demander impérativement aux nouveaux utilisateurs de changer le mot de
passe utilisé pour la création du compte et de changer leur mot de passe
périodiquement.
 Utiliser les fonctionnalités du système d’exploitation pour suspendre
automatiquement les comptes des utilisateurs après un nombre d’essais
infructueux, la valeur est définie à 5.
 Ne réactiver le compte suspendu d’un utilisateur que sous la responsabilité
de son chef de service.
5.1.1.4. Concernant la gestion des serveurs
 Changer impérativement tous les mots de passe système ou

administrateur donnés par défaut pour le système ou l’application après
l’installation d’une nouvelle machine.
 Ne pas autoriser qu’un mot de passe soit public ou soit commun à plusieurs
comptes d’accès.
 Utiliser des mots de passe différents pour chaque compte créé.
 Ne pas créer des comptes ou groupes génériques avec un mot de passe
commun.
 Ne pas utiliser le même mot de passe sur plusieurs systèmes ou serveurs,
même pour des comptes identiques.

 Ne pas utiliser de mots de passe génériques ou courants (utilisés par
plusieurs personnes) surtout s’il s’agit d’un compte système ou
d’application.
 Modifier rapidement tout mot de passe généré de façon unique ou dès la
suspicion d’un accès non autorisé au compte.
 Ne pas utiliser un mot de passe qui a été utilisé précédemment sur le
même ou un autre système (serveur, poste de travail…).
5.1.2. Contrôle des accès

A l'exception de celui en lecture seule aux informations publiques, l'accès à tous
les systèmes d’information du guot doit s'effectuer via le processus
d'authentification défini par l’entreprise. Sauf impossibilité technique, les
comptes gérés localement doivent être évités.
L’accès à des ressources du guot et a fortiori à des données à caractère personnel
est soumis à plusieurs conditions :
L’utilisateur doit être identifié personnellement ;
Ces ressources ou données doivent être reconnues par le responsable
hiérarchique comme indispensable à l’utilisateur pour l’exercice de son activité ;
L’utilisateur accepte de facto les règles de confidentialités du système auquel
il accède.
L'accès aux comptes d'administrateur de réseaux non fiables, de même que l’accès
aux comptes administrateurs via l’utilisation d'appareils personnels doit autant que
possible être protégé par une authentification multi-facteurs.
5.1.3. Surveillance et journalisation
Toute utilisation, ou tentative d'utilisation, des systèmes doit être consignée.
Les données consignées (« log files ») doivent être suffisantes pour prendre en
charge les exigences du système en matière de sécurité, de conformité et de
planification de la capacité, sans pour autant être inutilement intrusives. Les
utilisateurs de systèmes doivent recevoir des informations claires sur les
informations enregistrées, leurs objectifs et le calendrier de conservation des
données collectées. Ces informations doivent être mises à la disposition des
utilisateurs sous la forme d'une politique de confidentialité spécifique au
système.
Il est recommandé que les « log files » soient enregistrés sur un système
différent du système surveillé, le plus probablement celui de la gestion des logs
files
Les logs d'audit doivent être configurés pour enregistrer toutes les actions
entreprises à l'aide de privilèges d'administrateur. Les journaux d'audit doivent
être sécurisés pour prévenir les modifications non autorisées.
5.2. Utilisation des installations à des fins privées

Les installations d’information et de communication du guot, y compris les adresses
électroniques et les ordinateurs, sont fournies à des fins d’administration, de
recherche et de service à l’entreprise.
Les agents du guot ne sont pas autorisés à utiliser un compte de messagerie

personnel (non fourni par le guot) pour mener à bien leurs activités au guot, et
doivent conserver un compte de messagerie personnel et séparé pour leur
correspondance privée.
5.3. Utilisation de matériel personnel
L’utilisation de matériel personnel n’est pas autorisée sous réserve d’entraver les
normes de sécurité établies. Les agents doivent à tout moment tenir compte des
risques liés à l'utilisation d'appareils personnels pour accéder aux informations du
guot et, en particulier, aux informations classifiées comme confidentielles ou
critiques.
5.4. Gestion et utilisation du réseau

5.4.1. Gestion du réseau
Les réseaux de communication du guot sont gérés par un personnel spécialement
qualifié pour superviser leur fonctionnement quotidien et assurer leur sécurité
permanente (confidentialité, intégrité et disponibilité).
Les agents du Service système et réseau sont autorisés à agir promptement pour
protéger la sécurité du réseau, mais doivent être proportionnés dans les actions
qu’ils entreprennent, en particulier lorsque celles-ci ont un impact sur les
utilisateurs.
Les agents du Service réseau doit immédiatement signaler tout incident de
sécurité à haut niveau de risque au SASIEO et SAC qui, le cas échéant, avertira
le DSI, DCEJ et/ou DG conformément au processus de gestion des incidents de
sécurité.
5.4.2. Conception et configuration du réseau
Le réseau doit être conçu et configuré pour fournir des niveaux élevés de
performance, de disponibilité et de fiabilité, adaptés aux besoins du guot, tout
en offrant un degré élevé de contrôle de l’accès.
Le réseau doit être séparé en domaines logiques distincts avec des contrôles de
routage et d'accès mis en place entre les domaines afin d'empêcher tout accès
non autorisé aux ressources du réseau, et afin d’éviter tout flux de trafic inutile
entre les domaines.
5.4.3. Sécurité physique et intégrité
Les installations de mise en réseau et de communication, y compris les armoires
de câblage, les Emetteurs/Récepteurs, les points de raccordement à fibre
optique, les centres de données et les salles informatiques, salle banalisée

doivent être correctement protégées contre les dommages accidentels (par
exemple, incendie ou inondation), contre le vol ou tout autre acte malveillant.
Le réseau doit, le cas échéant, et dans la mesure du possible, être résilient afin
d’atténuer les effets de la défaillance de ses composants.
5.4.4. Gestion du changement
Toutes les modifications apportées aux composants réseau (routeurs, switch, pare-
feu, etc.) sont soumises aux processus et procédures de gestion des modifications
du service système et réseau.
5.4.5. Connexion de périphériques au réseau

Toute connexion de périphérique au réseau du guot doit se s’effectuer
exclusivement au moyen de matériel fourni par l’équipe réseau.
Il est permis de connecter du matériel appartenant aux particuliers aux réseaux
sans fil de l’entreprise.
Tous les appareils connectés au réseau, quel que soit leur propriétaire, sont
soumis à des tests de surveillance et de sécurité, conformément aux pratiques
opérationnelles normales.
5.4.6. Gestion des adresses réseau
L'attribution d'adresses utilisées sur les réseaux de l'entreprise doit être
gérée par l'équipe réseau, qui peut déléguer la gestion de sous-ensembles de ces
espaces d'adresses à d'autres équipes au sein des services informatiques.
Les adresses réseau attribuées aux systèmes des utilisateurs finaux doivent,
dans la mesure du possible, être attribuées de manière dynamique.
5.4.7. Contrôles des accès au réseau
L'accès aux ressources du réseau doit être strictement contrôlé pour empêcher
tout accès non autorisé. Les procédures de contrôle d'accès doivent fournir des
garanties adéquates grâce à des techniques d'identification et
d'authentification robustes.
Le service réseau est responsable de la gestion des passerelles reliant le réseau
du guot à Internet. Des contrôles seront appliqués à ces passerelles pour limiter
l'exposition des systèmes d’information à Internet et ainsi réduire les risques de
piratage, d'attaque par déni de service, d'infection par un programme malveillant
ou encore d'accès non autorisé à l'information. Les contrôles seront appliqués au
trafic entrant et sortant.
5.4.8. Règles de sécurité en matière d’utilisation du réseau
Cette politique définit les responsabilités et le comportement requis des utilisateurs
du réseau de l'entreprise. Tout utilisateur du réseau de l'entreprise est soumis à
cette politique, quel que soit son statut ou son affiliation à l’entreprise:

Les utilisateurs ne doivent pas exploiter de services qui redistribuent les services
du reseau guot à d’autres personnes, de même que les utilisateurs ne doivent pas
donner accès à des services à ceux qui n’y sont pas autorisés ;
Aucun périphérique connecté au réseau du guot ne peut etre configuré avec une
adresse (IP ou MAC) autre que celle qui lui a été attribuée par les administrateurs
du service reseau ;
Les ordinateurs ne doivent pas fonctionner en tant que serveurs à moins d’etre
enregistrés et autorisés. Les serveurs autorisés doivent répondre aux standards de
sécurité définis par le RSSI
Le reseau est une ressource partagée et doit etre utilisée de manière
responsable et securisé. Tout agent qui persiste à generer un traffic excessif apres
avoir été invité à ne pas le faire par le support reseau, enfreindra cette politique de
securité.
Toute utilisation du reseau guot doit etre en totale conformite avec la loi ;
Les utilisateurs sont responsables de la securité de leurs ordinateurs, et
doivent s’assurer que ceux-ci ne peuvent pas etre utilisés de manière abusive ;
Les utilisateurs doivent suivre les instructions du service système et reseau
pour installer, configurer les applications, mettre à niveau les logiciels nécessaires
afin de garantir la securité de leurs ordinateurs.
5.5. Stockage distant des données
Les données classées « internes », « confidentielles » ou « critiques » doivent
être stockées dans un système de gestion des données délocalisée chez le DG.
5.6. Autres standards de sécurité
Tout utilisateur s’engage à faire usage du système d’information de l’entreprise en
bon père de famille et à respecter les standards de sécurité définis dans la PSSI,
les règlements, procédures et guides de bonnes pratique de l’entreprise.
6. Sous-traitance et conformité des tiers
Avant d'externaliser ou de permettre à un tiers d'accéder aux informations ou
systèmes non publiques du guot, le personnel possédant l’expérience appropriée
doit prendre une décision indiquant que les risques encourus sont clairement
identifiés et acceptables pour le guot. Le niveau d'expérience du personnel
dépendra de la nature et de l'ampleur de la sous-traitance.
Lorsqu'un service est officiellement externalisé par le guot, les normes et les
attentes en matière de sécurité de l'information doivent faire partie intégrante du
cahier des charges et du contrat mis en place.
6.1. Vérifications
Le processus de sélection d'un fournisseur de services doit inclure une
vérification préalable du tiers en question, une évaluation des risques et un
examen des conditions générales ; ceci afin de garantir que le guot ne soit pas
exposée à des risques sous-jacents. Ce processus peut impliquer les conseils des
agents du service juridique du guot experts en droit des contrats, en

informatique, en sécurité de l’information, en protection des données à
caractère personnel, en protection des données de recherche et de la propriété
intellectuelle, et en ressources humaines. Ce processus doit également inclure la
prise en compte de toute politique de sécurité des informations ou
d'informations similaires disponibles auprès de la tierce partie.
6.2. Formalisation contractuelle
Tout sous-traitant ayant accès aux informations ou aux systèmes d’informations non
publiques du guot doit accepter de respecter les règles de sécurité de l’information
propres au guot. Les clauses de confidentialité doivent être utilisées lors de tout
accord contractuel quand une tierce partie a accès aux informations non publiques
du guot.
Les contrats doivent également contenir des accords de support avec les parties
tierces, notamment en cas d'atteinte à la sécurité. Celles-ci comprendront des
heures d'assistance, des contacts d'urgence et des procédures d'escalade.
Par ailleurs, tous les contrats de sous-traitance au guot doivent faire l’objet de
contrôles afin de garantir qu’ils respectent les exigences requises en matière de
sécurité de l'information. Ceux-ci doivent effectivement inclure des dispositions
appropriées pour assurer la sécurité permanente des informations et des systèmes
en cas de résiliation du contrat ou de transfert de ce dernier à un autre sous-
traitant.
6.3. Règlement général sur la protection des données
Une évaluation des facteurs relatifs à la vie privée et à la protection des données à
caractère personnel doit être réalisée au début de tout projet qui implique
potentiellement l'accès à des données à caractère personnel par un tiers. Toute
externalisation d’activité impliquant le transfert de données à caractère personnel à
une tierce partie doit inclure l'acceptation des conditions standard de traitement
des données à caractère personnel du guot.
6.4. Externalisation informelle
6.4.1. Externalisation informelle de données à caractère personnel
L’externalisation informelle de données à caractère personnel n’est pas
autorisée.
Afin de minimiser les risques, les services informatiques mis à disposition par le
guot doivent être préférés aux solutions extérieures.
Dans le cas où un besoin informatique ne peut être satisfait par les outils du
guot, il convient de privilégier une solution approuvée par l’entreprise.
Toute nouvelle solution informatique impliquant des données à caractère
personnel doit obtenir une validation de l’entreprise préalablement à son
implémentation/utilisation.
Le personnel du guot n’est pas autorisé à configurer sa messagerie guot de manière à
transférer automatiquement le courrier entrant vers des services tiers avec
lesquels le guot n’a pas d’accord formel (ex : messagerie privée).

6.4.2. Externalisation informelle des données relevant de la propriété
intellectuelle, littéraire ou artistique ou protégées par le secret
professionnel
Il est formellement interdit de télécharger, diffuser, reproduire ou modifier des
données dont les droits de propriété intellectuelle, littéraire ou artistique n’ont pas
été respectés sans avoir préalablement obtenu l’autorisation des titulaires de ces
droits. Il est également formellement interdit de télécharger, diffuser, reproduire
ou modifier des données protégées par le secret professionnel.
6.5. Accès physique par des tiers
Une évaluation des risques doit être effectuée avant de permettre à un service
tiers l’accès à des zones sécurisées de l'entreprise, où des informations non
publiques et des actifs peuvent être stockés ou traités. Cette évaluation doit
prendre en considération :
Le matériel informatique auquel le tiers pourrait avoir accès ;
Les informations auxquelles il pourrait potentiellement accéder ;
L’identité du tiers ;
La nécessité ou non de superviser l’accès du tiers aux zones sécurisées ;
Les éventuelles mesures complémentaires visant à éviter des risques potentiels
7. Annexes


PS Guot V1 01 04 2023

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

PS Guot V1 01 04 2023

Transféré par

Droits d'auteur :

Formats disponibles

MINISTÈRE DES TRANSPORTS, DE L’AVIATION CIVILE RÉPUBLIQUE DU CONGO

Unité * Travail * Progrès

GUICHET UNIQUE DES OPÉRATIONS

POLITIQUE DE SECURITE DU GUOT VERSION 1

Marquage et Manipulation de l’information

GUICHET UNIQUE DES OPERATIONS TRANSFRONTALIERES

1.1. Mot du Directeur Général du GUOT

1.2. Termes et définitions

1.4.1. Protection des données et des outils de travail

1.4.2. Protection de la réputation

1.7. Champ d’application

1.8. Elaboration, Mise à jour et Diffusion

1.9.1. Mesures en cas de non-respect de la politique de sécurité

2. Cadre règlementaire et normatif

2.1. Convention de l’Union Africaine sur la Cyber-sécurité

2.2. Protection de la propriété intellectuelle

2.3. Lois nationales

2.3.1. Constitution de la République du Congo

2.3.2. Protection des données à caractère personnel

2.3.3. Autres lois nationales

2.4. Normes ISO 27000

2.4.1. Exigences pour un Système de Management de la Sécurité de l’Information - ISO

2.4.2. Code de bonnes pratiques pour le management de la sécurité de l’information - ISO

2.4.3. Gestion des risques liés à la sécurité de l'information

GUICHET UNIQUE DES OPERATIONS TRANSFRONTALIERES

5.1.1.3. Envers les utilisateurs

5.1.1.4.Concernant la gestion des serveurs

GUICHET UNIQUE DES OPERATIONS TRANSFRONTALIERES

5.1.3. Surveillance et journalisation

5.2. Utilisation des installations à des fins privées

5.3. Utilisation de matériel personnel

5.4. Gestion et utilisation du réseau

5.4.1. Gestion du réseau

5.4.2. Conception et configuration du réseau

5.4.3. Sécurité physique et intégrité

5.4.4. Gestion du changement

5.4.5. Connexion de périphériques au réseau

5.4.6. Gestion des adresses réseau

5.4.7. Contrôles des accès au réseau

5.4.8. Règles de sécurité en matière d’utilisation du réseau

5.5. Stockage distant des données

5.6. Autres standards de sécurité

6. Sous-traitance et conformité des tiers

6.2. Formalisation contractuelle

6.3. Règlement général sur la protection des données

6.4. Externalisation informelle

6.4.1. Externalisation informelle de données à caractère personnel

6.4.2. Externalisation informelle des données relevant de la propriété intellectuelle,

littéraire ou artistique ou protégées par le secret professionnel

6.5. Accès physique par des tiers

GUICHET UNIQUE DES OPERATIONS TRANSFRONTALIERES

1.2. Termes et définitions

• Actif informationnel: information numérique, document numérique, donnée, système

d’information, équipement informatique, banque de données, les réseaux et leurs

infrastructures, serveurs, dont le Collège est le propriétaire ou utilisateur autorisé.

• Classification de l’information : processus d’assignation d’une valeur à une donnée selon

certaines caractéristiques, lesquelles précisent le degré de criticité, de confidentialité et

de sensibilité d’une telle information et conséquemment les risques et la protection à lui

au moment où un utilisateur le demande;

publique, privée, confidentielle, sensible ou nominative.

appareils de télécommunications (cellulaire ou filaire);

et n’ont pas été altérées durant le traitement ou la transmission;

• Ressources informationnelles : signifie les termes actifs informationnels, les systèmes