Eta DIRECTION GENERALE Suivi des versions DIRECTIVES CHARTE INFORMATIQUE Date Version |Commentaire 26/06/2009 |1.0 —_| Création du document 19/04/2019 réglementaires du Péle SI 2.0 | Miseajourdudocumentsuiteal'audit Sécurité Sl etalarevuedestextes 'GS2E, réalisés en 2018 DIRECTION DES RESSOURCES HUMAINES COMITE DE DIRECTION COLLABORATEURS CIE Nom : BAGAYOGO Harouna pate: A6|Ad|2AS Si Nom : BAKAYOKO Ahmadou Date : APOE Signature : [FTSL¢ iE Ahmadou BAKAYOKOCHARTE INFORMATIQUE Version : 2.0 Table des matiéres 1 Objet et champ ¢application. 11 Objet 12 Champ d'application... 2 Communication de la charte. 3 Accs aux ressources informatiques ... 4 Regles d'utilisation, de sécurité et de bon usage.. 41 Généralités 42. Protection des ressources informatiques et de information . 43° Anomalies. 4.4 Respect des principes de sécurit 4.5 Installation et ajout de matériel ou logiciels: 5 Utilisation des services de communication... 5.1 Acces Internet. 5.2 Messagerie... 6 Contréle et surveillance.. 61 Filtrage 6.2 Collecte d’informations.. 63 Mesures exceptionnelies.... 7 Protection des données & caractére personnel 8 Sanctions. 9 Evolution.. Page? sur 10CHARTE INFORMATIQUE Versior 1 Objet et champ d’application 1.1 Objet Uobjet de la charte informatique est de préciser la responsabilité des utilisateurs permettant, en accord avec la législation en vigueur, d'assurer un bon usage des ressources informatiques mises & disposition ar Entreprise, conformément aux principes et régles de sécurité décrites dans la politique de sécurité des systemes d'information, Par extension, cette charte s‘applique & toutes les entreprises dont le Systéme d'information est opéré par GS2E (ci-aprés I’ « Entreprise »), 1.2 Champ d’application la présente charte s‘applique a ensemble des Utilisateurs du Systeme d’Information de Entreprise, Cest-a-dire ensemble des personnes ayant accés ou utilisant les ressources informatiques de Entreprise quils en soient salariés ou non. Cela inclut notamment les salariés de Entreprise, les Drestataires, les intérimaires, les stagiaires, les visiteurs et les partenaires commerciaux. La charte informatique ne couvre pas les clients accédant aux sites web de I'Entreprise car ceux-ci sont régis par les termes et conditions d'usage disponibles sur les sites web de I'Entreprise, Dans la suite du document, on fera référence a l'ensemble des utilisateurs du Systeme d'information c- aprés « I'Utilisateur ou les Utilisateurs ». Par « ressource informatique » on entend tout élément du Syst@me d'information géré par GS2E ou mis 4 disposition par Entreprise, quill soit logiciel (systéme d'exploitation, application, réseau, accds Internet, messagerie, ...) ou matériel (ordinateur fixe ou portable, serveur, imprimante, équipement ‘réseau, périphérique, assistant personnel, téléphone, ... accessible directement ou a distance. 2 Communication de la charte La présente charte est remise par la Direction des Ressources Humaines de l'Entreprise, 8 chaque salarié de Entreprise, Intérimaire et stagiaire utilisant le Systéme d'information de l'Entreprise. Elle est une annexe au Réglement Intérieur de l'Entreprise. La charte informatique est également disponible en consultation sur Intranet de Entreprise. Les responsables de structure ont la responsabilité de porter la présente charte & la connaissance de toute personne (prestataires, visiteurs et partenaires commerciaux) a laquelle ils permettent d’accéder aux ressources informatiques de l'Entreprise, La communication de la charte informatique est également intégrée au programme de sensibilisation 3 la sécurité des systémes d'information, Page 3 sur 10CHARTE INFORMATIQUE Version : 2.0 3. Accés aux ressources informatiques utilisation des ressources informatiques est soumise @ autorisation préalable suite 4 une demande adressée au Centre de Service du GS2E. L’autorisation d’acces aux ressources informatiques de Fentrepy ‘ée par ouverture d'un compte nominatif, par Voctroi de droits sur ces ressources et la protection par un dispositif de contréle d’accés (par exemple, un mot de passe). Cet acces aux ressources informatiques, peut étre retiré 8 tout moment et, dans tous les cas, prend fin lors de la cessation méme provisoire de activité professionnelle qui a justifiée. Les ragles suivantes doivent étre respectées : = Maccés aux ressources informatiques, est strictement personnel et ne peut donc en aucun cas atre cédé et/ou partagé, méme temporairement, a (avec) un tiers, afin de préserver acces aux ressources informatiques contre des personnes non autorisées ; = [Utilisateur ne doit pas utiliser ou essayer d'utiliser des comptes autres que le sien ; ~ PUtilisateur doit choisir des mots de passe d'une longueur minimale de huit (8) caractéres et contenant au moins un chiffre et un caractére spécial ; - les mots de passe doivent étre gardés secrets, ne doivent jamais apparaitre sur un support quelconque et en aucun cas étre communiqués et accessibles a des tiers ; = fUtilisateur ne doit pas quitter son poste de travail ou un poste en libre-service, sans verrouiller ou quitter la session de travail ; = les applications sensibles sont dotées de dispositifs d’authentification forte (clé USB, carte & uice, etc.) qui ont été délivrées. L'usage de ces dispositifs est personnel et ne doit en aucun cas faire objet d'un prét - alfextérieur des locaux de Entreprise, un matériel ne doit pas étre laissé sans surveillance, ni etre config a un tiers ; = il est interdit 8 un Utilisateur disposant d'un compte & privlége d’administrateur de se connecter & un systéme informatique pour effectuer les taches autres que celles autorisées par son activité professionnelle. 4 Régles d’utilisation, de sécurité et de bon usage 4.1 Généralités UUtilisateur est responsable de usage quill fait des ressources informatiques et du réseau auxquels il a acts. II doit respecter les dispositions légales, celles de la présente charte, ainsi que les procédures, consignes et régles propres 4 son lieu de travail. usage par I'Utilisateur des ressources informatiques de "Entreprise se limite 8 'usage professionnel effectué dans le cadre de son activité. Dans tous les cas, I'Utilisateur ne peut se livrer a une activité concurrente a celle de I'Entreprise ou susceptible de lui causer un quelconque préjudice en utilisant le Systéme d'information. L'usage des ressources informatiques de Entreprise, ne doit ni étre contraire & Fordre public ni aux bonnes moeurs, et, ne doit pas mettre en cause I'intérét et la réputation de Entreprise. Page 4 sur 19 usCHARTE INFORMATIQUE Version : 2.0 Un usage personnel raisonnable est toutefois admis pour répondre a des nécessités de la vie privée. UUtilisateur d'un ordinateur portable est tenu de se connecter fréquemment au réseau d’Entreprise pour permettre l'exécution des mises a jour des configurations systémes et antivirus de son ordinateur portable. Un ordinateur portable est plus exposé qu'un ordinateur de bureau du fait de sa mobilité. Son Utilisateur doit veiller 8 ne pas exposer & la chaleur, aux intempéries, le préserver des chocs, le transporter systématiquement avec sa housse et prendre des dispositions contre le vol et le vandalisme. UUtilisateur doit en toutes circonstances veiller au respect de la législetion, qui protage notamment les droits de la propriété intellectuelle, le secret des correspondances, les données & caractére personnel, les systémes de traitement automatisé de données, le droit & l'image, etc. UUtilisateur s‘interdit de produire, de collecter ou de transmettre des données, messages ou ceuvres en Infraction avec la législation en vigueur, notamment les messages contraires & l'ordre public, présentant un caractére diffamatoire, injurieux, raciste, xénophobe, ethnique, religieux, _pédophile, pornographique, portant atteinte la décence ou constituant une diffusion de fausses nouvelles. 4.2 Protection des ressources informatiques et de information LUtilisateur est responsable des ressources qui lui sont configes dans le cadre de son activité et de Vusage quill en LUtilisateur veille au respect de la confidentialité des informations en sa possession, {lui appartient donc de protéger les données et les systémes dont ila la responsabilité conformément 3 la présente charte, Hest également responsable des droits d’accés qu'il octroie aux autres utilisateurs (acc&s au répertoire partagé, acces a I'agenda, etc). est interdit a I'Utilisateur de mettre a la disposition d'utilisateurs non autorisés, un accés aux systémes ou aux réseaux d' Entreprise, & travers des matériels ou logiciels dont ila usage. 4.3 Anomalies Tout constat, tentative ou soupgon de violation d'un systéme informatique doit étre signalé au Centre de Service GS2E et aux responsables de la sécurité du Systeme d'information de I’Entreprise UUtilisateur a un devoir de vigilance : il doit signaler au Centre de Service GS2E toute tentative d’accés on autorisé aux ressources qui lui sont confiées et plus généralement toute anomalie constatée ou supposée, pouvant porter atteinte au bon fonctionnement du Systéme d'Information. Préalablement 3 ce signalement, 'Utiisateur procédera a la déconnexion de son ordinateur du réseau en débranchant le cAble réseau, et sans éteindre l'ordinateur. Page § sur 10 - = =CHARTE INFORMATIQUE Versio 4.4 Respect des principes de sécurité Lutilisateur doit respecter les principes de sécurité visant & protéger le Systéme d’Information et le patrimoine de Entreprise. Par conséquent : ~ il s'engage & ne pas effectuer d'opérations qui pourraient perturber le bon fonctionnement ou nuire a la sécurité et a lintégrité du Systeme d'information. Ceci comprend notamment. Vexploitation de failles de sécurité, anomalies de fonctionnement ou défauts de configuration ainsi que le développement ou l'utilisation de logiciels, scripts et programmes permettant ces actions ; = _illui est interditd utiliser ou de tenter d'utiliser des logiciels destinés a détecter ou exploiter des failles de sécurité ; ~ illest interdit d’effectuer toute action visant & écouter le trafic réseau en mettant en place une sonde logicielle ou matérielle d’écoute des flux réseaux, sans autorisation écrite préalable du Responsable de la Sécurité des Systémes d'information ; ~ _ ildoit s'abstenir de toute tentative de masquage ou de falsification didentité ; = _Illuiest interdit de tenter de lire, modifier, copier, divulguer ou détruire des données autres que celles qui lui appartiennent en propre, ou pour lesquelles il 2 préalablement regu une autorisation spécifique d’accés, permettant ce type d'action ; = Il lui est interdit d’accéder & des informations détenues par d'autres Ui meme ceux-ci ne les auraient pas correctement protégées ; ~ il lui est interdit d’utiliser des moyens de communication électronique, dans le but de contourner les moyens de sécurité et les syst#mes de surveillance. teurs, quand bien 4.5 Installation et ajout de matériel ou logiciels West strictement interdit a I'Utilisateur, sans autorisation écrite préalable du Département des Systémes d'Information (DSI) de Entreprise : = de connecter aux réseaux et équipements de I'Entreprise tout matériel (clé USB, disque dur, Imprimante, modem, borne Wifi, téléphone, ordinateur portable, assistant personnel, etc.) non fourni par OSI; = diinstaller lui-méme un logiciel (jeux, applications, etc..) sur un systéme de ’Entreprise (poste de travail, serveur) dont Entreprise n’a pas acquis la licence d'utilisation ; = de réaliser la copie d'un logiciel de l'Entrep De facon générale, l'utilisation des logiciels doit se faire dans le respect de la propriété intellectuelle, et conformément a la gestion des licences par I'Entreprise et apres l'autorisation de celle-ci Les composants techniques mis 8 disposition de I'Utilisateur pour ses activités professionnelles font Vobjet de mesures techniques de sécurité édictées par l’Entreprise. A cet effet, les régles suivantes sont a respecter : HUtlisateur ne doit pas modifier les configurations des périphériques et logiciels qui lui sont fournis, sauf s'il y est autorisé ; ~ les seules configurations matérielles et logicielles autorisées sont celles mises a la disposition par DSI. OSI se réserve le droit de remettre en conformité tout équipement qui dérogerait a la regle; Page 6 sur 10, a ipCHARTE INFORMATIQUE Version : 2.0 ~ _ Utilisateur s‘interdit strictement de désactiver la fonction de mise & jour du logiciel antivirus, et de désinstaller le logiciel antivirus ; ~ alfintérieur des locaux de Entreprise, 'Utilisateur d'un ordinateur portable : © doit utiliser la prise du réseau local (réseau local cablé) ou le réseau sans fil disponible ; © ne doit pas utiliser la prise réservée au téléphone analogique au moyen d'un modem ; ~ _ [Utilisateur ne doit pas connecter son poste de travail en méme temps sur le réseau local cablé de Entreprise et sur un réseau sans fil (3G/GPRS, Wifi.) 5 Utilisation des services de communication UEntreprise ne pourra étre tenue pour responsable de préjudices envers des tiers ou des infractions ‘commises par un Utilisateur qui ne se serait pas conformé aux régles d'utilisation, de sécurité et de bon usage du Systeme d'information. 5.1 Accés Internet utilisation des services Internet mis & disposition par 'Entreprise n'est autorisée que dans le cadre de Vactivité professionnelle, conformément & la législation en vigueur et est sujette a validation du Département des Systémes d'information (DSI). L'Utilsateur doit faire usage des services Internet dans le respect des régles propres aux sites auxquels il accdde, ainsi que dans le respect de la législation en vigueur. Il est done formellement interdit aux Utiisateurs de : ~ participer a des forums de discussion, blogs, systémes de messagerie instantanée, avec des identifiants de "Entreprise ; ~ commettre des actes répréhensibles au regard de la loi, notamment en ce qui concerne le droit de la propriété intellectuelle ; ~ visualiser, télécharger ou transmettre des contenus a caractére pédophile, pornographique, raciste, xénophobe, ethnique, religieux, diffamatoire, incitant a la violence, a la commission de crimes ou délits et plus généralement portant atteinte au respect et & la dignité de la personne humaine; ~ diffuser des contenus 8 caractére commercial, politique ; ~ participer & des activités de jeux en ligne, jeux de hasard ou jeux d'argent ; ~ utiliser les accés Internet de Entreprise pour exercer une activité professionnelle ou commerciale distincte de celle quril exerce dans Entreprise ; = transmettre ou publier des informations non publiques ou confidentielles relatives a VEntrepris ~ envoyer des fichiers vers internet au moyen d'outils non sécurisés tels que le protocole FTP (File Transfer Protocol) et d’échanger des fichiers entre ordinateurs « peer to peer », sauf autorisation écrite préalable de DSI; ~ télécharger ou installer depuis Intemet des programmes inconnus (notamment les fonds d'écran, les utilitaires de navigation, etc) ainsi que des pices jointes de la messagerie personnelle (yahoo fr, hotmail.com, gmail.com, etc.) ~ se livrer a des actions portant atteinte a la sécurité ou au bon fonctionnement des systemes auxquels il accede ; ~ _réaliser une connexion a Internet depuis le réseau d’Entreprise par des moyens distincts de ceux prévus et autorisés par Entreprise. Page 7 sur 10CHARTE INFORMATIQUE Version : 2.0 En outre les Utilisateurs des services Internet sont soumis 8 une obligation de réserve et de discrétion et ne peuvent en aucun cas s'exprimer au nom de I'Entreprise sans y avoir été ddment autorisés au préalable par le Directeur Général de I'entreprise ou son représentant. Une vigilance particuliére est demandée dans l'utilisation de certains services sur Internet. L'Utilisateur doit étre conscient que ~ une page web contient des données et du code exécutable normal et/ou malveillant ; = le téléchargement de logiciels douteux peut amener une infection voire une attaque informatique de Entreprise ; - [a navigation peut générer a insu de T'Utilisateur une surcharge du trafic (vidéo, visioconférence, ..) surle réseau de I’Entreprise, voire le bloquer ; toute requéte issue du réseau de I’Entreprise vers un site web transporte Entreprise et done implique celle-ci ; ~ la navigation génére des « cookies » (fichiers spécifiques) permettant de connaitre les consultations effectuées et les centres dintéréts de IUtilisateur. identité de 5.2 Messagerie utilisation des services de messagerie mis & disposition par l'Entreprise est restreinte & Vactivité professionnelle. Dans le cadre de l'activité professionnelle, les Utilisateurs sont tenus d' utiliser exclusivement le systéme de messagerie fourni par Entreprise, utilisation de tout autre systéme de messagerie est prohibée. Sont également interdits = la rédaction ou la transmission de messages dont le contenu serait contraire aux lois en vigueur (propos a caractére pédophile, pornographique, raciste, xénophobe, ethnique, religieux, diffamatoire, incitant a la violence, a la commission de crimes ou délits et plus généralement portant atteinte au respect et ala dignité de la personne humaine) ; = _ latransmission de messages & caractére commercial, politique ; = latransmission a grande échelle (& plus de 50 destinataires) de messages ; = la transmission non autorisée & des tiers, d'informations non publiques ou confidentielles relatives 8 "Entreprise ; ~ le routage des boites aux lettres du systéme d’Entreprise vers les bottes aux lettres des systémes de messagerie publique sauf autorisation préalable du Département des Systémes d'information (DSI) de "Entreprise ; ~ _ Futilisation des services de messagerie instantanée publics disponibles sur Internet (du type ICQ, Yahoo Messenger, etc.), sauf autorisation écrite préalable de DSI. lest fortement déconseillé de : = ouvrir des pices jointes @ des messages électroniques dont I'émetteur est inconnu (email douteux) ; ~ accéder auxsites web dont les liens sont contenus dans des emails douteux. Dans l'utilisation des services de messagerie, I'Utilisateur doit étre conscient que : = adresse d'émission peut étre usurpée (volée} ; Page 8 sur10CHARTE INFORMATIQUE Version : 2.0 - le message peut étre adressé en copie cachée a certains destinataires ; ~ le message peut étre intercepté pour en connaitre son contenu et son émetteur ; = tout message émis depuis le réseau de I’Entreprise transporte I’identité de I'Entreprise et donc implique celle-ci via son contenu ; ~ le contenu du message peut étre altéré ; = les fichiers attachés sont des vecteurs d’infections ; = les messages trop volumineux ou trop fréquents saturent le réseau ; = tout message recu par erreur de destinataire doit étre supprimé sans divulguer le contenu. 6 Contréle et surveillance Pour des nécessités de maintenance, de gestion technique et de sécurisation des ressources matérielles ou logicielles ainsi que des échanges via le réseau de I'Entreprise, des informations sont collectées et analysées dans le respect dela Iégislation. 6.1 Filtrage Les Utilisateurs sont informés et acceptent expressément que des systémes de filtrage ont été mis en place, en particulier: ~ le contréle antiviral pour la messagerie électronique et les accés web ; = le contréle anti spam pour la messagerie électronique ; = le blocage de messages électroniques dont les caractéristiques nulsent au bon fonctionnement de la messagerie et du réseau (taille importante, ..); = le blocage de laccés a des sites internet non autorisés, sur la base d'une liste de « mots clefs » ‘ou de catégories interdites (jeux, charme, ..). Plus généralement, tout filtrage nécessaire a la préservation de la sécurité du Systéme d’Information de Entreprise peut étre mis en ceuvre. 6.2. Collecte d’informations Les Utilisateurs sont informés et acceptent expressément que I'Entreprise a mis en ceuvre des moyens permettant d’enregistrer les traces d’activité de ses systémes et d’exploiter ces traces. Peuvent étre ainsi conservées et exploitées = ~ les données de journalisation des connexions & Internet : liste des ressources et sites accédés, identifiant du compte de l'Utilisateur, date, heure, durée de connexion, volume des données transmises, .. = les données de journalisation des connexions & des systémes de l'Entreprise : liste des ressources accédées, actions effectuées, identifiant du compte de ’Utilisateur, date, heure, durée de connexion, = les données de journalisation des échanges par courrier électronique : compte de I'Utilisateur, coordonnées du destinataire, date, heure, taille des messages, format et nature des pices jointes, Page 9 sur 100 CHARTE INFORMATIQUE Version Les traces sont conservées pour une durée de trois (3) mois. Les informations qu’elles contiennent sont communiquées a des Tiers sur autorisation du Directeur Général de lentreprise sous réserve de la legislation en vigueur. Il faut noter que les équipes informatiques sont assujetties a une obligation de confidentialité sur les informations qu'elles sont amenées a connaitre de par leur fonction. 6.3 Mesures exceptionnelles Laces aux moyens de communication électronique pourra étre suspendu, restreint ou supprimé, individuellement ou collectivement quand cela s‘averera nécessaire, notamment pour le maintien du bon fonctionnement ou de la sécurité du Systéme d’Information de ’Entreprise. 7 Protection des données a caractére personnel Un correspondant a la protection des données a caractére personnel est désigné. (On entend par donnée a caractére personnel, toute information relative & une personne physique identifiée ou qui peut étre idemtifige, directement ou indirectement, par référence @ un numéro Giidentification ou a un ou plusieurs éléments qui lui sont propres (Nom/Prénom, adresse, date de naissance, référence client, adresse IP du poste, numéro contrat, numéro de téléphone, numéro carte banceire, etc.). Constitue un traitement de données & caractére personnel, toute opération ou ensemble d'opérations portant sur des données & caractére personnel, quel que solt le procédé utilisé. Le correspondant a pour mission de veiller au respect des dispositions de la loi 2013-450 du 19 juin 2013 relative & la protection des données a caractére personnel. Cette loi définit les conditions dans lesquelles utilisation et le traitement de données a caractére personnel peuvent étre opérés, LUtilisateur doit obligatoirement consulter au préalable le correspondant avant la mise en ceuvre de tout nouveau traitement ou modification de traitement existant de données a caractére personnel. 8 Sanctions UEntreprise se réserve le droit de prendre toute mesure légale en cas de non-respect des régles ‘mentionnées dans la présente charte. 9 Evolu n La charte informatique est susceptible de modifications en fonction d’évol réglementaires ou législatives. "ions. techniques, a Page 10 sur 10