Académique Documents
Professionnel Documents
Culture Documents
d’Information
Diffusion restreinte
HIRIAPHE
Politique de Sécurité du Système d’Information
Diffusion Restreinte
1. Introduction..........................................................................................................4
1.1. Objet du document.........................................................................................4
1.2. Champ d’application du document................................................................4
1.3. Responsabilités et revue du document.........................................................4
1.4. Classification du document...........................................................................4
2. Documents de référence......................................................................................5
3. Terminologie.........................................................................................................6
3.1. Acronyme.......................................................................................................6
3.2. Définitions......................................................................................................6
4. Présentation du document...................................................................................7
5. Politique de sécurité du système d’information (PSSI).......................................8
5.1. Formalisation de la PSSI................................................................................8
5.2. Diffusion de la PSSI et des documents thématiques....................................9
5.3. Revue de la PSSI et des politiques thématiques..........................................9
6. Organisation de la sécurité................................................................................10
o Organisation de la sécurité interne au périmètre..........................................10
6.1.1. Fonctions et responsabilités.................................................................10
6.1.2. Sécurité de l’information dans la gestion des projets..........................11
6.2. Appareils mobiles et travail à distance.......................................................11
6.2.1. Politique en matière d’appareils mobiles.............................................11
6.2.2. Travail à distance..................................................................................11
7. Sécurité liée aux ressources humaines.............................................................13
7.1. Gestion des arrivants...................................................................................13
7.2. Gestion des arrivées, des mouvements et des départs..............................15
7.3. Application des règles, sensibilisation et formation des intervenants......15
8. Gestion des actifs du SI.....................................................................................17
8.1. Responsabilités relatives aux actifs...........................................................17
8.2. Classification et marquage de l’information et des supports.....................18
8.3. Gestion des supports amovibles.................................................................18
8.4. Réaffectation, maintenance et mise au rebut............................................19
9. Contrôle d’accès.................................................................................................20
9.1. Exigences en matière de contrôle d’accès.................................................20
9.2. Gestion de l’accès utilisateur et des privilèges d’accès............................20
Diffusion Restreinte
10. Cryptologie......................................................................................................24
11. Sécurité physique et environnementale.........................................................26
11.1. Zones de sécurité.....................................................................................26
11.2. Matériels...................................................................................................27
12. Sécurité liée à l’exploitation...........................................................................29
12.1. Procédures et responsabilités liées à l’exploitation...............................30
12.2. Durcissement des configurations............................................................30
12.3. Administration des systèmes...................................................................31
12.4. Protection contre les codes malveillants................................................32
12.5. Gestion des correctifs de sécurité...........................................................32
12.6. Gestion des changements........................................................................33
12.7. Sauvegarde...............................................................................................34
12.8. Journalisation et surveillance..................................................................35
12.9. Maîtrise des logiciels en exploitation......................................................35
13. Sécurité des communications........................................................................36
13.1. Management de la sécurité des réseaux.................................................36
13.2. Transfert de l’information.........................................................................38
14. Développement...............................................................................................40
15. Relation avec les fournisseurs.......................................................................43
16. Gestion des incidents liés à la sécurité de l’information...............................44
17. Continuité d’activité........................................................................................46
18. Conformité.......................................................................................................48
18.1. Conformité aux obligations règlementaires et contractuelles...............48
18.2. Conformité des pratiques à la politique...................................................49
Diffusion Restreinte
1. Introduction
Diffusion Restreinte
2. Documents de référence
Identifiant Intitulé
Norme ISO/IEC 27001:2017 Technologies de l’information –
[ISO27001] Techniques de sécurité – Systèmes de management de la
sécurité de l’information – Exigences
Norme ISO/IEC 27002:2017 Technologies de l’information –
[ISO27002] Techniques de sécurité – Code de bonne pratique pour le
management de la sécurité de l’information
RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU
CONSEIL du 27 avril 2016 relatif à la protection des personnes
physiques à l'égard du traitement des données à caractère
[RGPD]
personnel et à la libre circulation de ces données, et abrogeant
la directive 95/46/CE (RGPD : règlement général sur la protection
des données)
Diffusion Restreinte
3. Terminologie
3.1. Acronyme
Acronyme Signification
CPS Comité de pilotage stratégique
CPO Comité de pilotage stratégique et opérationnel
PCA Plan de continuité d’activité
Politique de gouvernance de la sécurité des systèmes
PGSSI
d’information
PSSI Politique de sécurité du système d’information
DRH Direction des ressources humaines
RSSI Responsable de la sécurité des systèmes d’information
SI Système d’information
DG Direction Générale
AD Active Directory
Réglementation Européenne sur la Protection des Données à
RGPD
caractère personnelle
DSI Direction du Système d’Information
DAF Direction Administrative et Financière
3.2. Définitions
Terme Définition
Ensemble des moyens humains et matériels ayant pour
Système
finalité d’élaborer, traiter, stocker, acheminer, présenter ou
d’information
détruire l’information
Ensemble d’éléments interactifs permettant à un organisme
Système de
d’établir une politique et des objectifs en matière de
management de la
sécurité de l’information, d’appliquer la politique,
sécurité de
d’atteindre ces objectifs et de contrôler l’atteinte des
l’information
objectifs
Diffusion Restreinte
4. Présentation du document
Ce document se compose de l’ensemble des règles à appliquer, réparties suivant
les chapitres de ISO27002 (annexe A de l’ISO27001).
Chaque chapitre est présenté sous une forme identique, avec les champs
suivants :
Chaque règle est également présentée sous une forme identique, avec les champs
suivants :
Les identifiants des règles sont basés sur les abréviations détaillées dans le
tableau qui suit :
Abréviatio No du
Intitulé du chapitre
n chapitre
PSSI V Politique de sécurité du système d’information
ORG VI Organisation de la sécurité
RH VII Sécurité liée aux ressources humaines
ACT VIII Gestion des actifs du SI
ACC IX Contrôle d’accès
CRY X Cryptologie
PHY XI Sécurité physique et environnementale
EXP XII Sécurité liée à l’exploitation
COM XIII Sécurité des communications
ACQ XIV Acquisition, développement et maintenance du SI
FRN XV Relation avec les fournisseurs
INC XVI Gestion des incidents liés à la sécurité de l’information
Diffusion Restreinte
Abréviatio No du
Intitulé du chapitre
n chapitre
PCA XVII Continuité d’activité
CONF XVIII Conformité
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
6. Organisation de la sécurité
Objectif Mettre en place une organisation adéquate, garantissant
la prise en compte préventive et réactive de la sécurité
de l’information
Documents de Politique de Gouvernance de la Sécurité du Système
référence et d’Information
d’application Procédure d’intégration de la sécurité dans les projets
Chartes
Points de contrôle PGSSI validée par la DG
Existence et mise à jour des documents de référence
et d’application
Études de sécurité macroscopique des projets
Analyses de risques des projets sensibles et/ou
soumis au RGPD (démarche d’homologation sécurité)
Comptes rendus des CPS / CPO
Conformité RGPD
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
9. Contrôle d’accès
Objectif Limiter l’accès à l’information et aux moyens de
traitement de l’information conformément aux besoins
d’en connaître de chacun
Documents de Politique de gestion des identités et des accès
référence et Procédure de gestion des entrées, sorties et
d’application mouvements du personnel
Procédure de contrôle des accès logiques et des
habilitations.
Points de contrôle Contrôle des traces d’accès
Existence de l’inventaire à jour
Marquage des actifs
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
10. Cryptologie
Objectif Garantir l’utilisation correcte et efficace de la
cryptologie en vue de protéger la confidentialité,
l’authenticité et/ou l’intégrité de l’information
Documents de
référence et Politique de gestion des moyens cryptographiques
d’application
Points de contrôle Existence et mise à jour des documents de référence
et d’application
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
11.2. Matériels
PHY-R08 Protection du câblage
Les câbles de l’infrastructure du SI (réseau,
Règle communication…) sont protégés contre les dommages et
les interceptions.
Acteurs Moyens généraux, DSI, Equipes opérationnelles CLOUD
Responsable de
l’application de la Moyens généraux, DSI, Equipes opérationnelles CLOUD
règle
Diffusion Restreinte
Diffusion Restreinte
PHY-R11 Climatisation
Un dispositif de climatisation dimensionné en fonction
des besoins énergétiques du SI doit être installé dans les
locaux le nécessitant (Datacenters, locaux techniques,
…).
La DSI, en coordination avec les moyens généraux, ont la
charge de définir des procédures de réaction en cas de
panne de la climatisation des locaux techniques équipés
Règle au sein de bâtiments de HIRIAPHE. Ces procédures
doivent être testées périodiquement et mises à jour le
cas échéant. Elles doivent être connues de l’ensemble du
personnel DSI.
La DSI et Equipes opérationnelles CLOUD s’assurent que
des tests réguliers sont effectués par les prestataires
hébergeurs.
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
12.7. Sauvegarde
EXP-R20 Politique de sauvegarde
Une politique de sauvegarde du SI (systèmes serveurs,
images, configurations) est rédigée. Cette politique
définit les méthodes, les supports de sauvegarde, le
périmètre ainsi que les durées de rétention des actifs
sauvegardés.
Dans la mesure du possible, les sauvegardes sont
Règle réalisées par l’intermédiaire d’un ordonnanceur.
Les sauvegardes de données ne doivent pas être
soumises aux mêmes risques de sinistres que les
données sauvegardées.
Les sauvegardes doivent être traitées de manière à
garantir leur confidentialité, leur intégrité et leur
disponibilité.
Acteurs RSSI, DSI, Equipes opérationnelles CLOUD, R&D
Responsable de
l’application de la DSI, Equipes opérationnelles CLOUD, R&D
règle
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
14. Développement
Objectif Veiller à ce que la sécurité fasse partie intégrante du SI
tout au long de son cycle de vie
Documents de Procédure d’intégration de la sécurité dans la relation
référence et avec les fournisseurs
d’application Plan de formation et de sensibilisation
Politique de développement sécurisé
Points de contrôle Journaux applicatifs
Documentation d’urbanisation applicative
Document de contrôle des accès applicatifs
Revue et audit de codes
Tests d’intrusion régulier sur les applicatifs
accessibles de l’Internet
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
FRN-R01 Contractualisation
Les fournisseurs critiques sont identifiés, et des
exigences de sécurité encadrent les activités
contractualisées. Le suivi de ces exigences de sécurité
est régulièrement effectué par les responsables
Règle concernés de HIRIAPHE.
Les mesures de sécurité mises en place par les
fournisseurs critiques afin de répondre aux exigences de
HIRIAPHE font l’objet d’un plan d’assurance sécurité
contractualisé.
Acteurs RSSI, Legal, Fournisseurs, DAF, Métiers
Responsable de
l’application de la RSSI
règle
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
Diffusion Restreinte
PCA-R04 Tests
Des exercices de reprise d’activités annuels sont
effectués par la DSI et Equipes opérationnelles CLOUD et
Règle
les moyens généraux, sous la supervision du RSSI qui en
définit le scénario.
RSSI, DSI, Equipes opérationnelles CLOUD, moyens
Acteurs
généraux, personnel interne, prestataires
Responsable de
l’application de la RSSI
règle
Diffusion Restreinte
18. Conformité
Objectif Éviter toute violation des obligations relatives à la
sécurité des SI
Documents de Procédure d’intégration de la sécurité dans les
référence et projets
d’application Programme d’audits
Politique de Gouvernance de la Sécurité du
Système d’Information
Points de contrôle Analyse annuelle de conformité de la PSSI au
regard des obligations règlementaires
Comptes rendus d’activité du processus de
veille réglementaire
Plan d’audit
Suivi du plan d’audit
Contrôle et suivi des rapports d’audit
Audits internes
Contrôle annuel des licences logicielles
Diffusion Restreinte
Diffusion Restreinte
CONF-R06 Enregistrements
Les enregistrements générés dans le cadre des audits
internes et des tests de conformité technique sont
stockés sur un espace documentaire sécurisé,
Règle
uniquement accessible par des personnes autorisées.
Ces enregistrements sont gérés conformément à la
procédure de gestion documentaire.
Acteurs RSSI, DSI
Responsable de
l’application de la RSSI
règle