e Dataguard Questionnaire 2008-05 \(template

COURTIER
BUZZ ASSURANCE
Nom du courtier : _______________________________
Code ACE __________
BP 105 - Service Clients
Adresse : _________________________________________________________
83061
Toulon Cedex
Code Postal ____________
Ville : _____________________________________
94 98 60 79 e-mail : [email protected]
Téléphone :04
__________________
______________________________
Quand l’information fait partie du patrimoine de
l’entreprise, alors sa protection financière devient
stratégique
et vitale.
e-Dataguard
IDENTIFICATION DE L’ENTREPRISE
Raison sociale de l’entreprise : ________________________________________
Site Web : http://www._______________________________________________
Code SIREN : _______________
NATURE PRINCIPALE DE DONNEES
Données administratives, comptables ou de gestion,
sous environnement logiciels standards
En plus des données ci-dessus, existence de
données sensibles ou de paramètres techniques
nécessitant des environnements logiciels dédiés
La majorité des employés de la société utilisent chaque jour le système d’information de l’entreprise pour
interroger ou implémenter les fichiers sans administration de la sécurité qui reste confiée à du personnel
spécialisé en interne ou dans le cadre d’un contrat de maintenance.
Exemples : les TPE pour leurs activités administratives et comptables, les petits établissements financiers, les
agents et courtiers d’assurance, les cabinets juridiques ou d’experts, les notaires et avocats, les médecins…
La case devra être cochée si l’activité de la société, fortement dépendante de son système d’information,
est plutôt tournée vers la gestion technique des données, la sécurité informatique ou encore la création /
transformation de paramètres originaux ou sensibles à partir d’environnements informatiques dédiés.
Entrent dans cette catégorie les sites de e-commerce (B2C et B2B), les fournisseurs d’accès à internet
(ISP) ou d’applications en ligne (ASP), les hébergeurs, archiveurs et info gérants, les architectes et
dessinateurs industriels, les graphistes / designers…
Pour les 7 critères suivants, cochez le niveau de sécurité en place
Des commentaires détaillés et conseils sont disponibles page 3
1 - Incendie
Pas de mesure spécifique
1 - Détection incendie dans les zones critiques
2 - Id. niveau 1 + alarme reportée vers un poste de surveillance 24H/24H
3 - Id. niveau 2 + système automatique d’extinction incendie
4 - Id. niveau 3 + tests et maintenance régulière
2 - Sauvegarde
Pas de mesure spécifique
1 - Sauvegardes au moins hebdomadaires
2 - Id. niveau 1 + sauvegardes quotidiennes
3 - Id. niveau 2 + externalisation hebdomadaire des sauvegardes
4 - Id. niveau 3 + tests de restauration périodiques ou usage effectif
3 - Organisation
Pas de mesure spécifique
1 - Existence de procédures informelles et/ou partielles
2 - Id. niveau 1 + politique sécurité formalisée
3 - Id. niveau 2 + existence d’un Responsable Sécurité du Système
d’Information
4 - Id. niveau 3 + audits réguliers avec mise en œuvre des
recommandations
ACE European Group Limited
ACE Building
100 Leadenhall Street
London EC3A 3BP
+44 (0) 20 7173 7000 tel
+44 (0) 20 7173 7800 fax
[email protected] email
www.acelimited.com
Authorised and Regulated by the
Financial Services Authority
4 - Intrusion logique
Pas de mesure spécifique
1 - Existence d’une architecture pare-feu de contrôle des flux entrant et
sortant
2 - Id. niveau 1 + suivi des incidents
3 - Id. niveau 2 + mise à jour régulière de l’architecture de sécurité
4 - Id. niveau 3 + équipe de réaction sur incident, opérationnelle 24h/24h
5 - Contrôle d’accès logique interne
Pas de mesure spécifique
1 - Mots de passe individuel pour tous les utilisateurs
2 - Id. niveau 1 + gestion des droits par profil et séparation des taches
3 - Id. niveau 2 + durcissement des mots de passe (longueur,
vieillissement, non-trivialité, etc...)
4 - Id. niveau 3 + procédure formalisée pour la gestion des attributions,
des modifications et des révocations des mots de passe
6 - Protection antivirus
Les utilitaires antivirus sont en emploi limité
1 - Antivirus actif sur toutes les stations de travail, les serveurs et les
passerelles
2 - Id. niveau 1 + architecture distribuée pour mise à jour automatique
et au moins hebdomadaire desdits équipements
3 - Id. niveau 2 + contrôle quotidien des nouvelles mises à jour
disponibles et application de ces dernières
4 - Id. niveau 3 + test du bon fonctionnement, système d’alerte et
cellule de réaction 24h/24 et 7j/7 habilitée pour agir
7 - Plan de reprise d’activité
Pas de mesure spécifique
1 - Plan formalisé pour le remplacement des équipements informatiques
critiques
2 - Plan formalisé pour le remplacement de tous les équipements
informatiques
3 - Id. niveau 2 + solution de secours contractuelle ou interne
4 - Id. niveau 3 + mise à jour du plan, tests réguliers et formalisés
RAPPEL DES SOUS-LIMITES ET FRANCHISE
CAPITAL ASSURANCE
Par sinistre et par année d’assurance
Cochez la case correspondant au capital souhaité
50 000 €
600 000 €
100 000 €
700 000 €
200 000 €
800 000 €
300 000 €
900 000 €
400 000 €
1 000 000 €
Sous-limites par sinistre
Franchise par sinistre
Virus informatique
10% du capital assuré
En cas de sinistre, il sera
fait
application
d’une
franchise d’un montant de
10% du sinistre avec un
minimum de 1% du capital
assurance choisi.
Dépenses de relations publiques
20% du montant du sinistre dans
la limite de 10% du capital assuré
Honoraires d’expert
5% du montant du sinistre
500 000 €
Déclaration
L’entreprise confirme :
Qu’elle ne bénéficie pas à ce jour d’un contrat d’assurance de l’information.
Dans l’hypothèse où elle a bénéficié d’une telle couverture d’assurance au cours des trois dernières années, elle atteste que le
contrat dont elle bénéficiait n’a pas fait l’objet d’une résiliation par l’assurance pour sinistre, pour défaut de paiement de la prime,
ou encore pour raison judiciaire.
Que son système d’information est protégé par un logiciel anti-virus mis à jour au moins chaque semaine, et que les procédures
en vigueur de sauvegardes informatiques prévoient des sauvegardes faites au moins chaque semaine et stockées en dehors de
ses locaux au moins de façon hebdomadaire.
Qu’elle n’est pas en cessation d’activité ni en liquidation ou redressement judiciaire.
Que son chiffre d’affaires annuel est inférieur à 50 M€ avec un effectif inférieur à 250 employés.
Je confirme
Ce questionnaire a été rempli par
CLIENT
Nom
ACE European
Group Limited
: ___________________________________________________________
Qualité : ___________________________________________________________
Adresse e-mail : ____________________________________________________
Date : _________________
Signature
26, rue Louis Blanc
Immeuble Le Rodin
69006 LYON
www.aceeurope-assurances.fr
Votre contact régional chez ACE :
Martine HANSER
04.72.56.17.09 Tél direct
01.56.37.71.33 Fax Lyon
[email protected]
SOUS LA SUPERVISION DE SON CONSEILLER EN ASSURANCE
Nom
BUZZ ASSURANCE
: ___________________________________________________________
Le groupe ACE, la force d’un leader mondial de l’assurance des entreprises :
Le groupe des compagnies ACE est un acteur mondial majeur de l’industrie de l’assurance I.A.R.D., présent dans 50 pays.
ACE limited, holding du groupe, est côté A+ (supérieur) par Standard & Poors, A par AM Best.
ACE Europe, côté A+ et A par ces agences, est présent sur le marché français depuis plus de 130 ans et a bâti sa réputation sur sa qualité de service et son approche de spécialiste.
ACE Europe a réalisé un chiffre d’affaires de 334,9 millions d’euros en France, en 2004.
CRITERES D’EVALUATION DE LA SECURITE INFORMATIQUE
QUELQUES EXPLICATIONS UTILES ET CONSEILS
1 - Protection physique
La protection physique concerne des risques de natures très variées mais il faut systématiquement prendre en compte le contrôle des accès et la sécurité incendie.
Les fenêtres seront condamnées (si elles existent), la porte verrouillée et l'accès limité aux seuls exploitants informatiques. Une détection d'incendie renverra l'alarme vers un poste de (télé-)surveillance,
de telle sorte que l'alarme soit transmise au plus tôt et à tout moment. Il est recommandé de mettre en place une double détection : chaleur et fumée. En présence d'un faux-plancher et/ou d'un fauxplafond, la détection pourra être étendue à ces deux espaces.
Un système d'extinction par gaz inerte empêchera le développement de l'incendie dans la salle. En complément, il est fortement recommandé de surveiller la climatisation, l'alimentation électrique et
encore mieux, d'appliquer les principes de construction d'un centre informatisé sécurisé. Une sonde de température, également renvoyée vers le centre de surveillance, avertira de toute augmentation de
chaleur dans la salle. On n'oubliera pas d'asservir la climatisation à la détection incendie, permettant de couper la ventilation lors qu'une détection de feu est peut aussi être supérieur à 30 jours.
C'est pourquoi, la sauvegarde mensuelle doit avoir une durée d'un an : par exemple, le support de sauvegarde faite au mois de mai cette année ne sera réutilisé qu'en mai l'année prochaine.
Tout aussi important, il faut régulièrement externaliser la sauvegarde hors-site, c'est-à-dire la conserver dans une banque, au domicile d'une personne dûment mandatée pour cela, sur un autre site de
l'entreprise. Une bonne pratique est l'externalisation hebdomadaire. A minima, les supports seront conservés dans un autre bâtiment. On se préserve ainsi du seul risque d'incendie partiel mais on ne
prend pas en compte tous les autres événements catastrophiques. Enfin, on effectuera périodiquement des tests de restauration de données (réinstallation des fichiers) pour contrôler que le processus
de recopie est correct et prend bien en compte l'ensemble des fichiers de données et des programmes configurés nécessaires à la reprise d'activité.
2 - Procédures de sauvegarde
La sauvegarde, c'est-à-dire la recopie des données et programmes sur un support amovible est presque une panacée contre tous les maux informatiques.
La nature du support de stockage sera adaptée à la volumétrie des données à sauvegarder, de telle sorte que le processus de recopie ne soit pas trop long. On mettra en place différents cycles de
sauvegarde. Par exemple une sauvegarde quotidienne et une sauvegarde mensuelle, c'est-à-dire réalisée le dernier jour du mois.
Très importante, la durée de rétention de chaque cycle doit maintenir une continuité dans l'enregistrement de l'évolution des données. Une sauvegarde quotidienne sera sur une durée d'un mois (soit
approximativement 30 supports de sauvegardes quotidiennes) lorsque le second cycle est mensuel. Si la sauvegarde journalière était sur une seule semaine, c'est-à-dire si on réutilisait le support au bout
d’un 8e jour, alors, en fonction de la date de survenance d'une erreur et de sa date de détection, il serait très souvent nécessaire de repartir de la dernière sauvegarde mensuelle et de ressaisir toutes les
variations de données intervenues entre temps. Mais le délai de détection peut aussi être supérieur à 30 jours. C'est pourquoi, la sauvegarde mensuelle doit avoir une durée d'un an : par exemple, le
support de sauvegarde faite au mois de mai cette année ne sera réutilisé qu'en mai l'année prochaine.
Tout aussi important, il faut régulièrement externaliser la sauvegarde hors-site, c'est-à-dire la conserver dans une banque, au domicile d'une personne dûment mandatée pour cela, sur un autre site de
l'entreprise. Une bonne pratique est l'externalisation hebdomadaire. A minima, les supports seront conservés dans un autre bâtiment. On se préserve ainsi du seul risque d'incendie partiel mais on ne
prend pas en compte tous les autres événements catastrophiques.
Enfin, on effectuera périodiquement des tests de restauration de données (réinstallation des fichiers) pour contrôler que le processus de recopie est correct et prend bien en compte l'ensemble des fichiers
de données et des programmes configurés nécessaires à la reprise d'activité.
3 - Organisation
En matière de sécurité de l'information, l'organisation c'est avant tout la formalisation des procédures d'exploitation informatique et des opérations de sécurité.
Il s'agit donc de systématiser des actes et de les optimiser. Cette formalisation par écrit permet ensuite de tester l'efficacité et l'optimisation des dites procédures. Leurs mises à jour s'en trouveront
facilitées lors des évolutions de l'architecture informatique.
Pour agir efficacement, on identifiera un responsable pour la mise à jour et le contrôle d'application des procédures ainsi que l'organisation générale des moyens et des procédures de sécurité.
Ce Responsable définit alors un schéma directeur de la sécurité du système d'information, composé de différents plans de sécurité et de l'harmonisation des moyens humains et techniques utilisés : le plan
de sauvegarde, de secours, de continuité d'activité, de lutte antivirus, etc.. Enfin, les standards définis et les procédures mises en œuvre doivent faire l'objet d'audits ou de contrôles réguliers pour vérifier
leur bonne application (dérive humaine) et leur adéquation aux besoins (évolution des architectures informatiques et des besoins économiques).
4 - Détection d’intrusion
Un réseau informatique d'entreprise connecté à Internet doit impérativement disposer d'un système de filtrage des flux de données entrants et sortants.
C'est le rôle du pare-feu (firewall) de contrôler que les données et programmes qui transitent ne présentent pas de risques pour l'entreprise : intrusion, déni de service, saturation de la messagerie
électronique, etc... Votre entreprise peut faire l'objet d'une attaque ciblée mais le plus souvent, c'est le fait d'outils automatiques cherchant les machines vulnérables : réseaux de robots, balayages de
ports, vulnérabilités non corrigées, etc... Il est donc utile de vérifier périodiquement les journaux de sécurité du pare-feu pour apprécier la nature des attaques repoussées.
Et tout comme les stations de travail, les serveurs et le site web font l'objet d'une maintenance corrective (application de patches), il est nécessaire de mettre à jour son pare-feu pour qu'il prenne en
compte de nouvelles formes d'attaques et qu'il ne soit pas non plus exposé à des vulnérabilités rendues publiques. A l'instar de la sécurité antivirus, la sécurité anti-intrusion repose sur l'emploi de mises à
jour et la correction des failles de sécurité.
Mais lorsque l'attaque cible véritablement l'entreprise, il vaut mieux alors réagir au plus tôt et avec les bonnes mesures. C'est l'objet de la réaction sur incident et de la procédure d'escalade d'engagement
qui anticipera les actions en fonction de la gravité appréciée.
5 - Contrôle d'accès interne
L'essentiel de la malveillance est interne à l'entreprise : elle est généralement le fait des utilisateurs.
Le mot de passe permet, s'il n'est pas rendu public, d'authentifier l'utilisateur connecté. Il est donc recommandé de définir un mot de passe pour chaque utilisateur et d'en préserver la confidentialité.
Une gestion des droits d'accès par profils de métiers permettra de limiter les accès aux seuls besoins de l'activité de chaque utilisateur. Par exemple, le service commercial ne pourra accéder aux données
du département de production et réciproquement. Ce contingentement des accès aux ressources et des privilèges permet de limiter l'impact d'une action malveillante : altération de données, vol de fichier,
destruction de codes.
Mais pour être encore plus efficace, un mot de passe ne doit pas être trivial : ni date de naissance, ni mot du dictionnaire. Une combinaison de caractères alphabétiques et numériques est un bon choix
qui d'ailleurs, n'est pas forcément difficile à mémoriser : un chiffre ou une date fétiche, puis des initiales, puis un mot court... et le tour est joué ! Malheureusement, il existe des attaques un peu plus
sophistiquées que la divination du mot de passe. Pour s'en prévenir, on peut utiliser une authentification forte à l'aide d'une carte à puce ou d'un générateur de mots de passe de session unique.
Dans ce dernier cas, même s'il est compromis, le mot de passe ne peut être réutilisé pour une autre session de connexion.
6 - Antivirus
Les virus sont des programmes autoreproducteurs qui se propagent tous seuls sur un réseau : ils pullulent !
Il est donc indispensable d'avoir un logiciel antivirus pour les détecter, les stopper voire les désinfecter s'ils sont arrivés avant ou par un autre moyen (CD, clef USB). Ce logiciel doit faire l'objet d'une mise à
jour si possible quotidienne en fonction des livraisons de l'éditeur antivirus.
Pour que cette action soit facilitée, la meilleure solution est une architecture avec distribution automatique des mises à jour sur l'ensemble des équipements à protéger : postes de travail, serveurs, services
de messagerie, web, etc. Bien penser aux postes portables car les virus tenteront de s'infiltrer par tous les moyens possibles !.
Enfin, et cela arrive parfois, si vous êtes contaminé par un virus nouvellement créé et donc mal ou non détecté, la cellule de réaction sur incident pourra prendre contact avec l'éditeur antivirus ou un
spécialiste pour isoler la souche virale et définir un mode opératoire d'éradication.
7 - Plan de reprise d'activité
Le PRA s'inscrit dans la continuité de la sauvegarde et permet la poursuite de l'activité économique.
La sauvegarde concerne la réplication des données. Le plan de reprise d'activité, encore appelé plan de continuité d'activité ou plan de continuité des services, formalise les moyens de reconnexion des
utilisateurs aux ressources informatiques mais sur un site différent de celui de l'exploitation normale. Dans une première ébauche, ce plan concernera les ressources informatiques essentielles (serveurs,
données) pour la poursuite de l'activité économique. Mais pour une reprise optimale ou si l'incident informatique est catastrophique et durable, c'est l'ensemble des ressources informatiques qui sera
rendu à nouveau opérationnel.
Un PRA peut être relativement coûteux à mettre en place et à maintenir avec des ressources internes : disponibilité d'un deuxième site, de serveurs en double-emplois, de postes de travail utilisateurs
prêts à l'emploi, de moyens télécoms, etc. Une autre solution est de contractualiser avec un prestataire la disponibilité de ces ressources. On veillera toutefois à ce que les dispositions du contrat,
mutualisation des moyens et délais d'activation, sont cohérents avec les exigences de l'activité économique.