Page 1 sur 3

Gestion de la sécurité de l’information Version : 1.0

Date : 22/03/2017
Objet du Document Références
Charte de sécurité de l’information FOR-SMSI-01

Charte de bon Usage des Ressources Informatiques, de la

messagerie et de l’Internet
0.1 Étendue
L’Information dans toutes ses formes : données stockées, traitées, transmises sur des supports informatiques et documents. Toutes les
applications informatiques, logiciels et systèmes informatiques.
Tout le matériel, serveurs, postes de travail, Laptops, composants du réseau, appareils de la communication et périphériques possédés
par la MAS.
Tous les centres, et locaux qui hébergent les systèmes d’information de la MAS et toutes les installations et moyens associés.
MAS : Ministère des Affaires Sociales

0.2 Conformité
Les employés qui ne se respectent pas cette charte seront considérés en violation de la politique sécurité de la MAS et feront l’objet
de sanctions appropriées. Aucune exception à cette politique n’est autorisée sans approbation écrite du Comité de la Sécurité de
l’Information.

0.3 Contact
Toutes les questions concernant cette politique devraient être adressées à la MAS.
Cette charte exige à chaque employé la déclaration et le signalement immédiat des incidents liés à la sécurité de l’information. Pour
déclarer un incident ou violation de la politique, contacter : securite@social.gov.tn

0.4 But
Le but de ce document est de s’assurer que tous les utilisateurs de la MAS sont sensibilisés et conscients de leurs devoirs et
responsabilités lors de l’utilisation quotidienne des moyens informatiques de la MAS. La MAS se réserve le droit de modifier ses politiques
et directives lorsque c’est nécessaire. Dans ce cas les utilisateurs seront informés convenablement.

1. Sécurité de l’Internet et du courrier électronique

1.1 L’Internet et le courrier électronique doivent être utilisés principalement pour des besoins professionnels.
1.2 Bien que le système Email de la MAS soit réservé pour l’usage professionnel, l’usage personnel, raisonnable, et occasionnel est
permis si certaines directives sont appliquées, tel que:
1.2.1. L’usage personnel de l’e-mail ne devrait pas perturber le travail de l’employé.
1.2.2. Les envois des lettres déplaisants, plaisanteries et de fichiers exécutables sont strictement interdits.
1.2.3. Les utilisateurs ne sont pas autorisés à envoyer de nombreux e-mails personnels ou des emails volumineux, provoquant des
perturbations sur le système de mail professionnel.
1.2.4. Tous les messages distribués par le système email de la MAS même les emails personnels, sont la propriété de la MAS.
1.3 Le téléchargement des fichiers n’est autorisé seulement que pour les fichiers dans le cadre de l’activité de la MAS; le
téléchargement des utilitaires et des exécutables est interdit par l’utilisateur, et si c’est nécessaire, il doit le demander à la MAS
l’opération sera effectuée sur un système dédié afin de se protéger contre les codes malicieux et les malveillances.
1.4 Il est interdit d’envoyer des e-mails désobligeants, pornographiques, impudiques, ou déplaisants.
1.5 Tous les utilisateurs doivent signer la présente charte avant que l'accès à l’Email leur soit accordé.
1.6 S’assurer que l’information envoyée par email est bien adressée et communiquée uniquement à son destinataire.
1.7 Le volume de boîtes email est limité à 5 Go. L'utilisateur doit régulièrement supprimer les emails/ attachements inutiles et non
désirés, et archiver les anciens messages en les transférant à ses dossiers personnels.
1.8 Le volume d’un message email destiné à l’extérieur de la MAS est limité à 20MB par message. L'utilisateur devra éviter d’envoyer
le(s) fichier(s) plus volumineux.
1.9 Les utilisateurs ne devront pas utiliser l’email de la MAS pour s'abonner à des groupes de Forums ou de News sans l'autorisation
préalable de la direction générale.
1.10 Utiliser des dossiers personnels afin d’archiver vos messages email. L’archivage des emails améliore la performance de l'e-mail et
réduit le risque de défaillance du système Email.
1.11 Eviter d’envoyer de l'information confidentielle par e-mail. S’il est nécessaire de le faire, vous devez utiliser des mots de passe dans
les fichiers attachés Word ou Excel. La communication du Mot de passe au destinataire doit être effectuée par un autre média de
communication, par exemple par téléphone.
1.12 Il est strictement interdit, sauf autorisation préalable, d’utiliser les Clés 3G et Flybox pour s’interconnecter au réseau Internet au sein
de la MAS.
1.13. Consignes à respecter lors de la réception de courrier :
1.13.1 Il est interdit d’ouvrir des courriers suspects car ils présentent des risques notamment d’infection virale. Un courrier suspect est un
message qui n’a pas de rapport avec votre activité normale, ou provient d’un émetteur inconnu, et/ou comporte un titre inhabituel.
1.13.2. Il est interdit d’ouvrir, enregistrer ou exécuter les pièces jointes suspectes. Ces dernières doivent être détruire immédiatement.
1.13.3. Il est important d’éviter de faire suivre un courrier créant ou perpétuant une chaîne (les courriers demandant une transmission à
un grand nombre de nouveaux destinateurs).

2. Utilisation des photocopieurs et des imprimantes

2.1 Les copies papiers de documents ou informations sensibles et/ou classés doivent être protégées et gérées d'après les listes de
diffusion et les niveaux des autorisations.
2.2 Pour photocopier tout document classé comme confidentiel ou plus haut, l’autorisation du propriétaire du document doit être au
préalable obtenu.
2.3 L’utilisateur ne doit pas faire des copies illégales ou non autorisées des documents.

3. Gestion des mots de passe

Le choix des mots de passe, leur usage et leur gestion est essentiel pour le contrôle d’accès aux systèmes de la MAS Il est exigé, afin de
mieux se protéger, d’adhérer aux directives de la gestion du mot de passe et procédures publiées par la MAS.

Interne - MAS
 Page 2 sur 3
Gestion de la sécurité de l’information Version : 1.0
Date : 22/03/2017
Objet du Document Références
Charte de sécurité de l’information FOR-SMSI-01

3.1 L’usage des mots de passe Admin/ et ou root doit être limité aux administrateurs des systèmes autorisés. Lorsqu’il est possible, un
compte Admin équivalent doit être créé pour l’utilisation quotidienne de l'administrateur, au lieu d'utiliser le mot de passe par défaut
d’administration.
3.2 Les mots de passe doivent contenir au minimum 8 caractères alphanumériques, et ne doivent pas être semblables aux cinq mots
de passe antérieurs. Ils doivent également suivre au moins trois des quatre combinaisons suivantes : petite lettre, lettre capitale, chiffre,
et un caractère du contrôle "Non-alphanumérique" (aucuns narres communs ou expressions).
3.3 Les mots de passe de domaine Windows doivent expirer et être renouvelés chaque 60 jours.
3.4 Les mots de passe doivent être gardés privés, non partagés, ou codés dans des programmes, ou écrits sur un papier, et ne doivent
pas être divulgués à un collègue ou personne de l’équipe Support de la MAS
3.5 Les mots de passe par défaut doivent être changés pendant le premier login.

4. Protection des données

4.1 Toutes les données critiques et sensibles doivent être stockées sur le dossier respectif du serveur de partage de la MAS, ou sur un
dossier/serveur partagé ou sur un dossier personnel.
4.2 Toutes les informations des utilisateurs doivent être stockées sur les serveurs de partage. Les données stockées sur les disques durs
locaux doivent être supprimées avant la fin du jour, à moins qu’il soit nécessaire que l'information demeure sur le disque dur local pour
un déplacement d’affaire.

5. Installations des utilitaires sur les PCs utilisateurs

5.1 La MAS fournit les logiciels et les applications dont l’utilisateur a besoin dans l’exercice de ses fonctions.
5.2. L’utilisateur ne doit pas effectuer des copies de logiciels afin de respecter les obligations en matière de licence et de propriété
intellectuelle. Il doit se conformer aux restrictions d’utilisation des logiciels.
5.3 Les utilisateurs ne sont pas autorisés à installer des utilitaires, programmes et applications sur leurs postes de travail, sans
l’autorisation préalable du RSSI.
5.4 Avant toute installation de logiciel, les utilisateurs doivent prouver la nécessite et la légitimité/autorisation d’installation du Produit
(Licence ou autre). Le logiciel autorisé doit être ajouté à la liste de l'inventaire du logiciel. Les Procédures générales de contrôle
Antivirus des fichiers du logiciel doivent être exécutées.

6. Sécurité des postes de travail des utilisateurs & Responsabilités

6.1 Les utilisateurs sont autorisés uniquement à utiliser des logiciels légaux, d'une source prouvée et doivent être approuvés par le
service informatique de la MAS.
6.2 Les utilisateurs doivent s’assurer que leurs données critiques et sensibles sont protégées par des Login/mot de passe, et sont
stockées sur les serveurs de données de la MAS.
6.3 Les utilisateurs doivent s’assurer que les sauvegardes périodiques de leurs données locales sont régulièrement effectuées. Les
données créées localement doivent être par défaut enregistrées sur les serveurs de données de la MAS.
6.4 Les utilisateurs doivent s’assurer que leur PC/Laptop sont fermés lorsqu’ils ne sont pas utilisés, que les mots de passe sont activés
dans les différents modes veille.

7. Jeux & Programmes d’écrans de veille

7.1 Les jeux informatiques et les programmes et utilitaires d’écrans de veille sont reconnus comme une source de virus informatiques et
leur usage est strictement interdit.

8. Outils de communication Peer-To-Peer

8.1 L’utilisation des outils de communication du peer-to-peer tel que Skype et le Messager MSN est strictement interdite sans
autorisation préalable du Responsable sécurité de la MAS.

9. Firewall personnel
9.1 Un employé qui accède de l’extérieur au réseau de la MAS devra utiliser le Laptop/ordinateur portable fourni par la MAS et ne doit
pas mettre hors fonction les firewalls déjà installés. L’employé doit également adhérer à toutes les politiques et procédures de travail
appliquées dans les locaux de la MAS.
9.2 Les employés doivent interdire à leurs membres de la famille ou autres non-employés d'accéder aux ordinateurs, systèmes ou
réseaux de la MAS.

10. Authentification
10.1 Chaque utilisateur aura une identification unique sur le réseau et les SI de la MAS.
10.2 Les partages des identifiants utilisateurs avec les autres employés sont strictement interdits.
10.3 Les comptes Utilisateurs et mots de passe partagés entre un ou plusieurs services peuvent être permis seulement après justification
détaillée et une approbation obtenue par le Responsable Sécurité de la MAS.

11. Autorisation
11.1 L’accès aux ressources informatiques et SI de la MAS sera accordé sur la base des exigences d’activité de l'utilisateur.
11.2 Une révision des droits d'accès Utilisateurs doit être effectuée avec le Propriétaire du système au moins semestriellement.
11.3 L’autorisation d’accès à l'information devrait être retirée de l’utilisateur quand celle-ci n'est plus exigée.
11.4 Toutes les activités, y compris l’administration du système, doivent être exécutées avec les autorisations minimales exigées pour
conduire l'activité.
11.5 Les abus des niveaux d’autorité ou l’accès à des informations professionnelles, ainsi que l’assistance à des personnes
malveillantes, ne sont pas permis et sont considérés comme des attaques et des manquements sérieux aux obligations
professionnelles.
11.6 Lorsque les employés quittent leur lieu de travail, ils doivent s’assurer que leurs postes de travail ont été fermés, ou utiliser des mots
de passe sur les écrans de veille.

12. Démission et fin de contrat de travail

12.1 En cas de démission ou de fin de contrat, notifié par le Département de Ressources humaines, les Responsables de Département
doivent reconsidérer les droits d’accès utilisateurs, et éventuellement les supprimés en conséquence.

Interne - MAS
 Page 3 sur 3
Gestion de la sécurité de l’information Version : 1.0
Date : 22/03/2017
Objet du Document Références
Charte de sécurité de l’information FOR-SMSI-01

12.2 Le personnel partant sera traité sensiblement (avec prudence), en particulier la suppression de leurs privilèges d'accès.

13. Utilisation des média amovibles

13.1 Seulement le personnel autorisé à installer ou à modifier les logiciels, pourra utiliser les médias amovibles afin de transférer les
données au réseau de LA MAS Toutes les autres personnes doivent avoir des autorisations spécifiques.
13.2 Tous les médias de stockage de l'ordinateur (CD, disquettes, Bandes, etc.) contenant de l'information sensibles seront étiquetés,
protégés dans des emplacements sûrs. Les utilisateurs qui ont besoin d'échanger des informations stockées sur des médias amovibles
sont responsables pour la sécurité de leurs données.

14. Partage des cartes d’accès & Mots de passe

14.1 Les emprunts des clés et des cartes d’accès entre employés, physique et électronique, sont interdits.
14.2 LA MAS se réserve le droit d’accéder à toute information créé et entreposée sur ses systèmes.
14.3 L’information Confidentielle doit être partagée seulement avec les autres personnes autorisées.

15. Signalement des incidents de la sécurité de l’information

15.1 Les incidents de la sécurité de l'information devraient être rapportés, le plutôt que possible, à travers des canaux appropriés avec
le Responsable et les Correspondants locaux de la Sécurité. Les événements de violation des directives et politiques de sécurité
doivent également être rapportés. Dans le cas où les Directeurs ou les Correspondants de Sécurité ne seraient pas disponibles au
temps de l'événement, les utilisateurs doivent rapporter l'événement au Responsable de Sécurité RSSI de la MAS
15.2 Il existe un processus de réponse aux incidents, documenté afin de fournir l’assistance nécessaire et éviter les perturbations des
activités de la MAS Pour de plus amples informations, Prière de consulter le document "Processus de gestion des Incidents de la
sécurité" sur l'Intranet de la MAS.
15.3 Tous les employés, contractants, prestataires externes de service et tiers devraient rapporter les faiblesses de sécurité et failles
constatées au sein de la MAS.
15.4 Tout le personnel est responsable de rapporter tout incident, virus, vol, action malveillante d’une autre personne, fraude,
détournement de fonds, ou tout autre acte contraire à l'affaire.

16. La politique du bureau ‘propre’

Il est crucial de protéger l'information sensible de la divulgation. L'espace du bureau est fréquenté par des visiteurs, consultants,
Fournisseurs, personnel de nettoyage et d’entretien. Prière de garder votre lieu de travail propre. S'il y a un désordre, vous ne pouvez
pas remarquer les documents manquants.
16.1 Préserver les documents sensibles et médias dans des coffres et armoires fermées à clé.
16.2 Les Laptops doivent être de préférence attachés physiquement par des câbles sécurisés.
16.3 Sécuriser votre poste de travail en tapant : (Ctrl+Alt+Delete)
16.4 A la fin de la journée, prenez un moment pour ranger les biens sensibles et onéreux.

17. Le droit de propriété intellectuelle (Copyright)

17.1 Tout le personnel de la MAS doit se conformer aux clauses et exigences du copyright (propriété intellectuelle).
17.2 L’information provenant de l’l’Internet ou autres sources électroniques ne peut pas être utilisée sans autorisation.
17.3 Les textes de rapports, livres ou documents ne peuvent pas être reproduits ou réutilisés sans autorisation du RSSI.

18. Non-conformité
Toute déviation de cette Politique et qui n’est pas formellement autorisé par la direction générale de la MAS est considéré comme
une violation et non-conformité qui peuvent engendrer des sanctions disciplinaires.

Date / Nom et prénom / Signature de l’employé, (avec mention lu et approuvé)

Interne - MAS