e Dataguard Questionnaire 2008-05 \(template
Transcription
e Dataguard Questionnaire 2008-05 \(template
COURTIER BUZZ ASSURANCE Nom du courtier : _______________________________ Code ACE __________ BP 105 - Service Clients Adresse : _________________________________________________________ 83061 Toulon Cedex Code Postal ____________ Ville : _____________________________________ 94 98 60 79 e-mail : [email protected] Téléphone :04 __________________ ______________________________ Quand l’information fait partie du patrimoine de l’entreprise, alors sa protection financière devient stratégique et vitale. e-Dataguard IDENTIFICATION DE L’ENTREPRISE Raison sociale de l’entreprise : ________________________________________ Site Web : http://www._______________________________________________ Code SIREN : _______________ NATURE PRINCIPALE DE DONNEES Données administratives, comptables ou de gestion, sous environnement logiciels standards En plus des données ci-dessus, existence de données sensibles ou de paramètres techniques nécessitant des environnements logiciels dédiés La majorité des employés de la société utilisent chaque jour le système d’information de l’entreprise pour interroger ou implémenter les fichiers sans administration de la sécurité qui reste confiée à du personnel spécialisé en interne ou dans le cadre d’un contrat de maintenance. Exemples : les TPE pour leurs activités administratives et comptables, les petits établissements financiers, les agents et courtiers d’assurance, les cabinets juridiques ou d’experts, les notaires et avocats, les médecins… La case devra être cochée si l’activité de la société, fortement dépendante de son système d’information, est plutôt tournée vers la gestion technique des données, la sécurité informatique ou encore la création / transformation de paramètres originaux ou sensibles à partir d’environnements informatiques dédiés. Entrent dans cette catégorie les sites de e-commerce (B2C et B2B), les fournisseurs d’accès à internet (ISP) ou d’applications en ligne (ASP), les hébergeurs, archiveurs et info gérants, les architectes et dessinateurs industriels, les graphistes / designers… Pour les 7 critères suivants, cochez le niveau de sécurité en place Des commentaires détaillés et conseils sont disponibles page 3 1 - Incendie Pas de mesure spécifique 1 - Détection incendie dans les zones critiques 2 - Id. niveau 1 + alarme reportée vers un poste de surveillance 24H/24H 3 - Id. niveau 2 + système automatique d’extinction incendie 4 - Id. niveau 3 + tests et maintenance régulière 2 - Sauvegarde Pas de mesure spécifique 1 - Sauvegardes au moins hebdomadaires 2 - Id. niveau 1 + sauvegardes quotidiennes 3 - Id. niveau 2 + externalisation hebdomadaire des sauvegardes 4 - Id. niveau 3 + tests de restauration périodiques ou usage effectif 3 - Organisation Pas de mesure spécifique 1 - Existence de procédures informelles et/ou partielles 2 - Id. niveau 1 + politique sécurité formalisée 3 - Id. niveau 2 + existence d’un Responsable Sécurité du Système d’Information 4 - Id. niveau 3 + audits réguliers avec mise en œuvre des recommandations ACE European Group Limited ACE Building 100 Leadenhall Street London EC3A 3BP +44 (0) 20 7173 7000 tel +44 (0) 20 7173 7800 fax [email protected] email www.acelimited.com Authorised and Regulated by the Financial Services Authority 4 - Intrusion logique Pas de mesure spécifique 1 - Existence d’une architecture pare-feu de contrôle des flux entrant et sortant 2 - Id. niveau 1 + suivi des incidents 3 - Id. niveau 2 + mise à jour régulière de l’architecture de sécurité 4 - Id. niveau 3 + équipe de réaction sur incident, opérationnelle 24h/24h 5 - Contrôle d’accès logique interne Pas de mesure spécifique 1 - Mots de passe individuel pour tous les utilisateurs 2 - Id. niveau 1 + gestion des droits par profil et séparation des taches 3 - Id. niveau 2 + durcissement des mots de passe (longueur, vieillissement, non-trivialité, etc...) 4 - Id. niveau 3 + procédure formalisée pour la gestion des attributions, des modifications et des révocations des mots de passe 6 - Protection antivirus Les utilitaires antivirus sont en emploi limité 1 - Antivirus actif sur toutes les stations de travail, les serveurs et les passerelles 2 - Id. niveau 1 + architecture distribuée pour mise à jour automatique et au moins hebdomadaire desdits équipements 3 - Id. niveau 2 + contrôle quotidien des nouvelles mises à jour disponibles et application de ces dernières 4 - Id. niveau 3 + test du bon fonctionnement, système d’alerte et cellule de réaction 24h/24 et 7j/7 habilitée pour agir 7 - Plan de reprise d’activité Pas de mesure spécifique 1 - Plan formalisé pour le remplacement des équipements informatiques critiques 2 - Plan formalisé pour le remplacement de tous les équipements informatiques 3 - Id. niveau 2 + solution de secours contractuelle ou interne 4 - Id. niveau 3 + mise à jour du plan, tests réguliers et formalisés RAPPEL DES SOUS-LIMITES ET FRANCHISE CAPITAL ASSURANCE Par sinistre et par année d’assurance Cochez la case correspondant au capital souhaité 50 000 € 600 000 € 100 000 € 700 000 € 200 000 € 800 000 € 300 000 € 900 000 € 400 000 € 1 000 000 € Sous-limites par sinistre Franchise par sinistre Virus informatique 10% du capital assuré En cas de sinistre, il sera fait application d’une franchise d’un montant de 10% du sinistre avec un minimum de 1% du capital assurance choisi. Dépenses de relations publiques 20% du montant du sinistre dans la limite de 10% du capital assuré Honoraires d’expert 5% du montant du sinistre 500 000 € Déclaration L’entreprise confirme : Qu’elle ne bénéficie pas à ce jour d’un contrat d’assurance de l’information. Dans l’hypothèse où elle a bénéficié d’une telle couverture d’assurance au cours des trois dernières années, elle atteste que le contrat dont elle bénéficiait n’a pas fait l’objet d’une résiliation par l’assurance pour sinistre, pour défaut de paiement de la prime, ou encore pour raison judiciaire. Que son système d’information est protégé par un logiciel anti-virus mis à jour au moins chaque semaine, et que les procédures en vigueur de sauvegardes informatiques prévoient des sauvegardes faites au moins chaque semaine et stockées en dehors de ses locaux au moins de façon hebdomadaire. Qu’elle n’est pas en cessation d’activité ni en liquidation ou redressement judiciaire. Que son chiffre d’affaires annuel est inférieur à 50 M€ avec un effectif inférieur à 250 employés. Je confirme Ce questionnaire a été rempli par CLIENT Nom ACE European Group Limited : ___________________________________________________________ Qualité : ___________________________________________________________ Adresse e-mail : ____________________________________________________ Date : _________________ Signature 26, rue Louis Blanc Immeuble Le Rodin 69006 LYON www.aceeurope-assurances.fr Votre contact régional chez ACE : Martine HANSER 04.72.56.17.09 Tél direct 01.56.37.71.33 Fax Lyon [email protected] SOUS LA SUPERVISION DE SON CONSEILLER EN ASSURANCE Nom BUZZ ASSURANCE : ___________________________________________________________ Le groupe ACE, la force d’un leader mondial de l’assurance des entreprises : Le groupe des compagnies ACE est un acteur mondial majeur de l’industrie de l’assurance I.A.R.D., présent dans 50 pays. ACE limited, holding du groupe, est côté A+ (supérieur) par Standard & Poors, A par AM Best. ACE Europe, côté A+ et A par ces agences, est présent sur le marché français depuis plus de 130 ans et a bâti sa réputation sur sa qualité de service et son approche de spécialiste. ACE Europe a réalisé un chiffre d’affaires de 334,9 millions d’euros en France, en 2004. CRITERES D’EVALUATION DE LA SECURITE INFORMATIQUE QUELQUES EXPLICATIONS UTILES ET CONSEILS 1 - Protection physique La protection physique concerne des risques de natures très variées mais il faut systématiquement prendre en compte le contrôle des accès et la sécurité incendie. Les fenêtres seront condamnées (si elles existent), la porte verrouillée et l'accès limité aux seuls exploitants informatiques. Une détection d'incendie renverra l'alarme vers un poste de (télé-)surveillance, de telle sorte que l'alarme soit transmise au plus tôt et à tout moment. Il est recommandé de mettre en place une double détection : chaleur et fumée. En présence d'un faux-plancher et/ou d'un fauxplafond, la détection pourra être étendue à ces deux espaces. Un système d'extinction par gaz inerte empêchera le développement de l'incendie dans la salle. En complément, il est fortement recommandé de surveiller la climatisation, l'alimentation électrique et encore mieux, d'appliquer les principes de construction d'un centre informatisé sécurisé. Une sonde de température, également renvoyée vers le centre de surveillance, avertira de toute augmentation de chaleur dans la salle. On n'oubliera pas d'asservir la climatisation à la détection incendie, permettant de couper la ventilation lors qu'une détection de feu est peut aussi être supérieur à 30 jours. C'est pourquoi, la sauvegarde mensuelle doit avoir une durée d'un an : par exemple, le support de sauvegarde faite au mois de mai cette année ne sera réutilisé qu'en mai l'année prochaine. Tout aussi important, il faut régulièrement externaliser la sauvegarde hors-site, c'est-à-dire la conserver dans une banque, au domicile d'une personne dûment mandatée pour cela, sur un autre site de l'entreprise. Une bonne pratique est l'externalisation hebdomadaire. A minima, les supports seront conservés dans un autre bâtiment. On se préserve ainsi du seul risque d'incendie partiel mais on ne prend pas en compte tous les autres événements catastrophiques. Enfin, on effectuera périodiquement des tests de restauration de données (réinstallation des fichiers) pour contrôler que le processus de recopie est correct et prend bien en compte l'ensemble des fichiers de données et des programmes configurés nécessaires à la reprise d'activité. 2 - Procédures de sauvegarde La sauvegarde, c'est-à-dire la recopie des données et programmes sur un support amovible est presque une panacée contre tous les maux informatiques. La nature du support de stockage sera adaptée à la volumétrie des données à sauvegarder, de telle sorte que le processus de recopie ne soit pas trop long. On mettra en place différents cycles de sauvegarde. Par exemple une sauvegarde quotidienne et une sauvegarde mensuelle, c'est-à-dire réalisée le dernier jour du mois. Très importante, la durée de rétention de chaque cycle doit maintenir une continuité dans l'enregistrement de l'évolution des données. Une sauvegarde quotidienne sera sur une durée d'un mois (soit approximativement 30 supports de sauvegardes quotidiennes) lorsque le second cycle est mensuel. Si la sauvegarde journalière était sur une seule semaine, c'est-à-dire si on réutilisait le support au bout d’un 8e jour, alors, en fonction de la date de survenance d'une erreur et de sa date de détection, il serait très souvent nécessaire de repartir de la dernière sauvegarde mensuelle et de ressaisir toutes les variations de données intervenues entre temps. Mais le délai de détection peut aussi être supérieur à 30 jours. C'est pourquoi, la sauvegarde mensuelle doit avoir une durée d'un an : par exemple, le support de sauvegarde faite au mois de mai cette année ne sera réutilisé qu'en mai l'année prochaine. Tout aussi important, il faut régulièrement externaliser la sauvegarde hors-site, c'est-à-dire la conserver dans une banque, au domicile d'une personne dûment mandatée pour cela, sur un autre site de l'entreprise. Une bonne pratique est l'externalisation hebdomadaire. A minima, les supports seront conservés dans un autre bâtiment. On se préserve ainsi du seul risque d'incendie partiel mais on ne prend pas en compte tous les autres événements catastrophiques. Enfin, on effectuera périodiquement des tests de restauration de données (réinstallation des fichiers) pour contrôler que le processus de recopie est correct et prend bien en compte l'ensemble des fichiers de données et des programmes configurés nécessaires à la reprise d'activité. 3 - Organisation En matière de sécurité de l'information, l'organisation c'est avant tout la formalisation des procédures d'exploitation informatique et des opérations de sécurité. Il s'agit donc de systématiser des actes et de les optimiser. Cette formalisation par écrit permet ensuite de tester l'efficacité et l'optimisation des dites procédures. Leurs mises à jour s'en trouveront facilitées lors des évolutions de l'architecture informatique. Pour agir efficacement, on identifiera un responsable pour la mise à jour et le contrôle d'application des procédures ainsi que l'organisation générale des moyens et des procédures de sécurité. Ce Responsable définit alors un schéma directeur de la sécurité du système d'information, composé de différents plans de sécurité et de l'harmonisation des moyens humains et techniques utilisés : le plan de sauvegarde, de secours, de continuité d'activité, de lutte antivirus, etc.. Enfin, les standards définis et les procédures mises en œuvre doivent faire l'objet d'audits ou de contrôles réguliers pour vérifier leur bonne application (dérive humaine) et leur adéquation aux besoins (évolution des architectures informatiques et des besoins économiques). 4 - Détection d’intrusion Un réseau informatique d'entreprise connecté à Internet doit impérativement disposer d'un système de filtrage des flux de données entrants et sortants. C'est le rôle du pare-feu (firewall) de contrôler que les données et programmes qui transitent ne présentent pas de risques pour l'entreprise : intrusion, déni de service, saturation de la messagerie électronique, etc... Votre entreprise peut faire l'objet d'une attaque ciblée mais le plus souvent, c'est le fait d'outils automatiques cherchant les machines vulnérables : réseaux de robots, balayages de ports, vulnérabilités non corrigées, etc... Il est donc utile de vérifier périodiquement les journaux de sécurité du pare-feu pour apprécier la nature des attaques repoussées. Et tout comme les stations de travail, les serveurs et le site web font l'objet d'une maintenance corrective (application de patches), il est nécessaire de mettre à jour son pare-feu pour qu'il prenne en compte de nouvelles formes d'attaques et qu'il ne soit pas non plus exposé à des vulnérabilités rendues publiques. A l'instar de la sécurité antivirus, la sécurité anti-intrusion repose sur l'emploi de mises à jour et la correction des failles de sécurité. Mais lorsque l'attaque cible véritablement l'entreprise, il vaut mieux alors réagir au plus tôt et avec les bonnes mesures. C'est l'objet de la réaction sur incident et de la procédure d'escalade d'engagement qui anticipera les actions en fonction de la gravité appréciée. 5 - Contrôle d'accès interne L'essentiel de la malveillance est interne à l'entreprise : elle est généralement le fait des utilisateurs. Le mot de passe permet, s'il n'est pas rendu public, d'authentifier l'utilisateur connecté. Il est donc recommandé de définir un mot de passe pour chaque utilisateur et d'en préserver la confidentialité. Une gestion des droits d'accès par profils de métiers permettra de limiter les accès aux seuls besoins de l'activité de chaque utilisateur. Par exemple, le service commercial ne pourra accéder aux données du département de production et réciproquement. Ce contingentement des accès aux ressources et des privilèges permet de limiter l'impact d'une action malveillante : altération de données, vol de fichier, destruction de codes. Mais pour être encore plus efficace, un mot de passe ne doit pas être trivial : ni date de naissance, ni mot du dictionnaire. Une combinaison de caractères alphabétiques et numériques est un bon choix qui d'ailleurs, n'est pas forcément difficile à mémoriser : un chiffre ou une date fétiche, puis des initiales, puis un mot court... et le tour est joué ! Malheureusement, il existe des attaques un peu plus sophistiquées que la divination du mot de passe. Pour s'en prévenir, on peut utiliser une authentification forte à l'aide d'une carte à puce ou d'un générateur de mots de passe de session unique. Dans ce dernier cas, même s'il est compromis, le mot de passe ne peut être réutilisé pour une autre session de connexion. 6 - Antivirus Les virus sont des programmes autoreproducteurs qui se propagent tous seuls sur un réseau : ils pullulent ! Il est donc indispensable d'avoir un logiciel antivirus pour les détecter, les stopper voire les désinfecter s'ils sont arrivés avant ou par un autre moyen (CD, clef USB). Ce logiciel doit faire l'objet d'une mise à jour si possible quotidienne en fonction des livraisons de l'éditeur antivirus. Pour que cette action soit facilitée, la meilleure solution est une architecture avec distribution automatique des mises à jour sur l'ensemble des équipements à protéger : postes de travail, serveurs, services de messagerie, web, etc. Bien penser aux postes portables car les virus tenteront de s'infiltrer par tous les moyens possibles !. Enfin, et cela arrive parfois, si vous êtes contaminé par un virus nouvellement créé et donc mal ou non détecté, la cellule de réaction sur incident pourra prendre contact avec l'éditeur antivirus ou un spécialiste pour isoler la souche virale et définir un mode opératoire d'éradication. 7 - Plan de reprise d'activité Le PRA s'inscrit dans la continuité de la sauvegarde et permet la poursuite de l'activité économique. La sauvegarde concerne la réplication des données. Le plan de reprise d'activité, encore appelé plan de continuité d'activité ou plan de continuité des services, formalise les moyens de reconnexion des utilisateurs aux ressources informatiques mais sur un site différent de celui de l'exploitation normale. Dans une première ébauche, ce plan concernera les ressources informatiques essentielles (serveurs, données) pour la poursuite de l'activité économique. Mais pour une reprise optimale ou si l'incident informatique est catastrophique et durable, c'est l'ensemble des ressources informatiques qui sera rendu à nouveau opérationnel. Un PRA peut être relativement coûteux à mettre en place et à maintenir avec des ressources internes : disponibilité d'un deuxième site, de serveurs en double-emplois, de postes de travail utilisateurs prêts à l'emploi, de moyens télécoms, etc. Une autre solution est de contractualiser avec un prestataire la disponibilité de ces ressources. On veillera toutefois à ce que les dispositions du contrat, mutualisation des moyens et délais d'activation, sont cohérents avec les exigences de l'activité économique.