ISMS Politique générale sur l`utilisation des messages électroniques

Transcription

Politique générale sur l'utilisation des messages électroniques
(Information Security Policy)
LOGO
Institution
Version 0.300
4/11/200910
ISMS
(Information Security Management System)
Politique générale sur l'utilisation des
messages électroniques
Version control – please always check if you’re using the latest version
Doc. Ref. : isms_041_email_policy_fr_v1.doc
Release
FR_0.30
Status
Date
Proposition
des
institutions
de
sécurité sociale
4/11/200910
Written by
Patrick BOCHART
Approved by
Groupe de travail Sécurité
de l’information
Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les
personnes suivantes: messieurs Bochart (BCSS), Costrop (Smals), Petit (FMP), Quewet (SPF Santé
publique), Symons (ONEm), Van Cutsem (ONSS-APL)Vandergoten (INAMI)
LOGO
Institution
Version 0.300
4/11/200910
Table des matières
1.
INTRODUCTION .................................................................................................................................... 4
2.
PORTÉE ................................................................................................................................................. 4
3.
DÉFINITIONS ......................................................................................................................................... 4
3.1.
3.2.
3.3.
3.4.
3.5.
3.6.
3.7.
3.8.
3.9.
3.10.
4.
MALWARE ............................................................................................................................................. 4
VIRUS ................................................................................................................................................... 4
VERS (WORM) ..................................................................................................................................... 5
TROJAN (CHEVAL DE TROIE)................................................................................................................... 5
SPAM .................................................................................................................................................. 5
PHISHING .............................................................................................................................................. 6
HOAX .................................................................................................................................................... 6
TAG / TAGGING.................................................................................................................................. 7
MESSAGE PRIVÉ .................................................................................................................................... 7
INGÉNIERIE SOCIALE (SOCIAL ENGINEERING) ........................................................................................... 7
CATÉGORISATION DE L’UTILISATION DE LA MESSAGERIE ÉLECTRONIQUE ........................... 8
4.1. UTILISATION PROFESSIONNELLE ............................................................................................................. 8
4.1.1. Utilisateur final ............................................................................................................................. 8
4.1.2. Systèmes & Applications ............................................................................................................. 8
4.2. UTILISATION PRIVÉE ............................................................................................................................... 9
5.
CODE DE BONNE CONDUITE.............................................................................................................. 9
5.1.
5.2.
5.3.
5.4.
6.
SÉCURISATION DE LA MESSAGERIE ÉLECTRONIQUE................................................................ 11
6.1.
6.2.
6.3.
6.4.
7.
DONNÉES CONFIDENTIELLES .................................................................................................................. 9
DROITS ET OBLIGATIONS. ..................................................................................................................... 10
ETHIQUE ............................................................................................................................................. 10
INTERDICTION D’UTILISATION ................................................................................................................ 10
PROTECTION CONTRE LES MALWARES .................................................................................................. 11
PROTECTION CONTRE LES SPAMS ........................................................................................................ 11
TRANSFERT ......................................................................................................................................... 11
SIGNATURE ÉLECTRONIQUE & LÉGALITÉ ASSOCIÉE ................................................................................ 11
GUIDE DE BONNE PRATIQUE POUR L’UTILISATEUR FINAL ....................................................... 12
7.1. DESTINATAIRE EN TO : / CC : / BCC : .................................................................................................. 12
7.2. COMPOSITION DU SUJET ...................................................................................................................... 12
7.2.1. Usage professionnel .................................................................................................................. 12
7.2.2. Usage à des fins privées............................................................................................................ 12
7.3. CONTENU ............................................................................................................................................ 13
7.4. STYLE ................................................................................................................................................. 13
7.5. TAILLE DES MESSAGES......................................................................................................................... 13
7.6. ATTACHEMENTS .................................................................................................................................. 13
7.7. BLOC SIGNATURE ................................................................................................................................ 14
7.8. « DISCLAIMER » .................................................................................................................................. 14
7.9. ACCUSÉ DE RÉCEPTION ET LECTURE..................................................................................................... 14
7.10. RÉPONSE ............................................................................................................................................ 14
7.11. CONVERSATION ................................................................................................................................... 15
7.12. LA NOTIFICATION D’ABSENCE ................................................................................................................ 15
7.13. SÉCURITÉ ........................................................................................................................................... 15
7.13.1.
SPAM ..................................................................................................................................... 15
7.13.2.
Phishing.................................................................................................................................. 15
7.13.3.
Chaîne de lettres .................................................................................................................... 16
7.13.4.
Hoax ....................................................................................................................................... 16
P2
LOGO
Institution
Version 0.300
4/11/200910
7.13.5.
Trojan ..................................................................................................................................... 18
7.14. UTILISATION EFFICACE DES « FOLDERS ».............................................................................................. 18
7.15. SOUSCRIPTION AUX BULLETINS D’INFORMATION (NEWSLETTERS) ........................................................... 18
8.
CONTRÔLES & SANCTIONS ............................................................................................................. 19
8.1.
8.2.
8.3.
CONTRÔLES ........................................................................................................................................ 19
MODALITÉS D’INDIVIDUALISATION DES DONNÉES DE COMMUNICATIONS ÉLECTRONIQUES ......................... 19
SANCTIONS ......................................................................................................................................... 20
P3
LOGO
Institution
Version 0.300
4/11/200910
1. Introduction
Comme tous les autres instruments de travail mis à votre disposition, les moyens de communication de
l’institution ne peuvent, normalement, être utilisés qu’à des fins professionnelles.
Cette POLICY s’inscrit dans le cadre de la politique de sécurité du réseau de la sécurité sociale énoncée
dans le document ‘Information Security Management System’ approuvée par le Comité Général de
Coordination de la Banque Carrefour de la sécurité sociale.
Ses objectifs sont d’établir les règles et obligations pour :
•
Les utilisateurs,
•
Les institutions sociales.
Il y a lieu de tenir compte des règles et des législations locales, régionales, nationales et internationales
pertinentes.
2. Portée
Cette politique de sécurité couvre les aspects de liés à l’utilisation de la messagerie électronique. Cette
politique de sécurité s’adresse à l’ensemble des utilisateurs de la messagerie électronique (utilisateurs
finaux, développeurs, gestionnaires systèmes, …) et le but est de leur fournir dans la section 7. un Guide de
bonne pratique pour l’utilisateur final.
3. Définitions1
3.1.
Malware
Le malware est la contraction de « malicious » (qui peut se traduire par « malicieux » dans le sens de
« malveillant », et non celui de « porté à la plaisanterie ») et « software » (logiciel). C’est un terme désignant
un logiciel malveillant ; un logiciel développé dans le but de nuire à un système informatique. Les virus et les
vers sont les deux exemples les plus connus de logiciels malveillants.
3.2.
Virus
Au sens strict, un virus informatique est un programme informatique écrit dans le but de se propager à
d'autres ordinateurs en s'insérant dans des programmes ou données légitimes appelés « hôtes ». Il peut
aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le
fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données
numériques comme l'internet, mais aussi les disquettes, les cédéroms, les clefs USB, etc. Les virus
informatiques ne doivent pas être confondus avec les vers qui sont des programmes capables de se
propager et de se dupliquer par leurs propres moyens sans contaminer un « programme hôte ».
1
Les définitions ont été basée sur les définitions disponible dans l'encyclopédie libre Wikipédia.
P4
LOGO
Institution
Version 0.300
3.3.
4/11/200910
Vers (WORM)
Un ver, contrairement à un virus informatique, n'a pas besoin d'un « programme hôte » pour se reproduire. Il
exploite les différentes ressources existantes ou disponibles afin d'assurer sa reproduction. La définition d'un
ver s'arrête à la manière dont il se propage de machine en machine, mais le véritable but de tels
programmes peut aller bien au-delà du simple fait de se reproduire, notamment espionner, offrir un point
d'accès caché (porte dérobée), détruire des données, faire des dégâts, envoyer de multiples requêtes vers
un site internet dans le but de le saturer, etc.…. Les effets secondaires peuvent être aussi un ralentissement
de la machine infectée, un ralentissement du réseau, le plantage de services ou du système, etc.
Des vers écrits sous forme de scripts peuvent être intégrés dans un courrier électronique ou sur une page
HTML de l’Internet. Ils sont activés par des manipulations de l'utilisateur qui croit accéder à des informations
lui étant destinées et étant totalement fiables.
3.4.
Trojan (cheval de Troie)
Un cheval de Troie est un logiciel d’apparence légitime, mais conçu pour exécuter subrepticement (de façon
cachée) des actions à l’insu de l'utilisateur. En général, un cheval de Troie tente d’utiliser les droits
appartenant à son environnement pour détourner, diffuser ou détruire des informations, ou encore pour
ouvrir une porte dérobée qui permettra à un attaquant de prendre, à distance, le contrôle de l'ordinateur.
Un cheval de Troie n’est pas un virus informatique, en ce sens qu'il ne se reproduit pas par lui-même,
fonction essentielle pour qu’un logiciel puisse être considéré comme un virus. Un cheval de Troie est conçu
pour être reproduit lors de téléchargements ou de copies par des utilisateurs naïfs, attirés par les
fonctionnalités du programme. Les chevaux de Troie servent très fréquemment à introduire une porte
dérobée sur un ordinateur. L’action nuisible à l’utilisateur est alors le fait qu’un pirate informatique peut à tout
moment prendre à distance (par Internet) le contrôle de l’ordinateur.
Un cheval de Troie se compose de deux parties distinctes : la partie "serveur" et la partie "client". La partie
client est le composant envoyé à la victime tandis que la partie serveur reste sur l'ordinateur du pirate. La
partie client est envoyée par courriel et se présente sous la forme d'une amélioration d'un logiciel (ex : MSN,
Adobe Photoshop, Safari ...). Elle peut aussi se présenter sous la forme d'un test de QI ou d'un jeu à but
lucratif. Bref, les formes sont multiples. Le cheval de Troie se glisse donc dans l'ordinateur et s'installe dans
l'éditeur du registre. Là, il ouvre une porte dérobée (backdoor) de l'ordinateur et établit une connexion avec
l'ordinateur pirate. La partie serveur, elle, s'occupe d'envoyer les informations. Le pirate peut contrôler la
totalité des commandes exécutables sur un PC (il peut contrôler la souris, le clavier mais aussi imprimer,
formater le disque dur, activer une webcam, etc..).
La distinction entre un cheval de Troie, un spyware, un keylogger, et une porte dérobée n'est donc souvent
qu'une question de mot ou de contexte.
3.5.
SPAM
Le SPAM désigne une communication expédiée en masse à des fins publicitaires ou malhonnêtes,
notamment du courrier électronique non sollicité par les destinataires. La perception du niveau de pertinence
d'un message SPAM varie d'un utilisateur à l'autre.
L'association de « SPAM » et d’« indésirable » provient d'un sketch comique des Monty Python dans lequel
le même mot, désignant un jambon en boîte de basse qualité, envahit la conversation et le menu d'un petit
restaurant. Ce sketch parodiait d'ailleurs une des premières formes de message indésirable. En effet c'est
une publicité radiophonique pour SPAM, pendant laquelle la marque était répétée de nombreuses fois, qui
est à l'origine du sketch des Monty Python.
Les SPAM contiennent généralement de la publicité pour différents services et produits tels que les services
pornographiques, les médicaments, le crédit financier, les casinos en ligne, les montres de contrefaçon, etc.
Ces messages non sollicités sont généralement issus de l'activité d'un logiciel malveillant ayant compromis
un ou plusieurs systèmes. Ces logiciels utilisent généralement leur propre moteur interne pour propager ces
P5
LOGO
Institution
Version 0.300
4/11/200910
SPAM. Néanmoins, dans certains cas, ils peuvent également utiliser le système de messagerie déjà
configuré sur le(s) système(s) infecté(s).
La dernière évolution actuelle du SPAM est le phishing, une méthode qui consiste à tromper le destinataire
en se faisant passer pour un message officiel de sa banque ou d'un quelconque service protégé par un mot
de passe. Le but est de récupérer les données personnelles des destinataires (notamment des mots de
passe, un numéro de carte bancaire) en les attirant sur un site factice enregistrant toutes leurs actions.
3.6.
Phishing
Le phishing, est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans
le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle
s'adresse à un tiers de confiance — banque, administration, etc. … — afin de lui soutirer des
renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une
forme d'attaque informatique reposant sur l'ingénierie sociale. Le phishing, ou hameçonnage, peut se faire
par courrier électronique, par des sites web falsifiés ou par d’autres moyens électroniques.
3.7.
Hoax
En informatique, les canulars (appelés « hoax » en anglais) se trouvent souvent sous la forme de message
électronique ou de simple lettre-chaîne. Dans ce dernier cas, Internet ne fait qu'amplifier un phénomène qui
existait déjà à travers le courrier traditionnel. Le mot hoax est une simplification du premier mot de
l'expression hocus pocus, signifiant « tromperie » ou « escroquerie ».
À la différence des SPAM qui sont la plupart du temps envoyés de manière automatisée à une liste de
destinataires, les canulars (Hoax) sont, eux, relayés manuellement par des personnes de bonne foi à qui on
demande de renvoyer le message à toutes ses connaissances, ou à une adresse de courrier électronique
bien précise.
Les canulars sont souvent bâtis sur les mêmes modèles que les légendes urbaines. Dans ce cas ils en
exploitent les caractéristiques de diffusion par colportage, ce qui renforce à la fois leur impact et leur
audience.
•
On essaie de vous prendre par les sentiments de manière assez grossière : sauvez Brian !
•
Les faits relatés sont généralement très flous (« au Brésil », par exemple, sans plus de détails, ou «
dans trois mois », sans donner la date de départ).
•
Les références sont généralement inexistantes ou au contraire trop énormes (le Pentagone,
Microsoft, etc.).
•
On vous fait des promesses disproportionnées et en lien avec la disparité du monde d'aujourd’hui :
devenir milliardaire vite et aisément, gagner un bateau, etc.
•
On vous envoie des messages alarmistes ou des fausses alertes au virus, dans le but de faire
paniquer les utilisateurs novices, et parfois de leur faire commettre des manipulations dangereuses
de leur système informatique (exemples : « Attention, ce virus détruit toutes les données du disque
dur », Ultima de athenas).
•
Des quantités d'adresses électroniques sont aussi exposées, car souvent les utilisateurs ne savent
pas les mettre en mode bcc (ce qui est une aubaine pour les spammeurs).
•
Parfois, on vous assure à maintes reprises que ce n'est pas un canular en disant qu'un de ses amis
a été convaincu par le message alors que c'est évidemment totalement faux.
•
Vous pouvez également recevoir de surprenants messages publicitaires vous promettant des
bouteilles de champagne de grandes marques ou des bordeaux d'un grand château, ou tout autre
cadeau si vous transmettez le message électronique à une vingtaine de vos relations électroniques.
•
Enfin, une variante appelée le « viroax » associe le virus et le hoax. Cette variante profite de la
crédulité du destinataire, le pousse à effacer un fichier de son ordinateur, en lui faisant penser que
P6
LOGO
Institution
Version 0.300
4/11/200910
c'est un virus, fichier parfois utile au fonctionnement de son système d'exploitation, son antivirus ou
son pare-feu.
Parfois, et malheureusement, le message de départ est envoyé en toute bonne foi (vente de chiots,
disparition d’une personne, demande de don de moelle osseuse…) mais il est ensuite expédié et réexpédié
par tant de personnes (voire – et très souvent – modifié) qu'il peut durer des années après la résolution du
problème (qui a en général été réglé dans les plus brefs délais). On assiste alors à la diffusion massive de
coordonnées personnelles de personnes dépassées par les événements qui sont donc obligées de fermer
leur adresse électronique, leur numéro de téléphone… pour retrouver la paix. Des associations, organismes
ou hôpitaux ont été victimes de ces débordements (par exemple l' »American Cancer Society »).
3.8.
TAG / TAGGING
Un tag (ou étiquette, balise, marqueur, libellé) est un mot-clé (relevant) ou terme associé ou assigné à de
l'information (par exemple une image, un article, ou un clip vidéo), qui décrit ainsi l'objet et permet une
classification des informations basée sur les mots-clés.
3.9.
Message privé
Par « message privé », il faut entendre tout message qui n’a aucun rapport avec l’activité professionnelle.
3.10.
Ingénierie sociale (social engineering)
L'ingénierie sociale (« social engineering » en anglais) est une forme d'escroquerie utilisée en informatique
pour obtenir un bien ou une information. Cette pratique exploite l'aspect humain et social de la structure à
laquelle est lié le système informatique visé. Utilisant ses connaissances, son charisme, l'imposture ou le
culot, le pirate abuse de la confiance, de l'ignorance ou de la crédulité des personnes possédant ce qu'il
tente d'obtenir. Dans son ouvrage « L'art de la supercherie », Kevin Mitnick a théorisé et popularisé cette
pratique qui vise le facteur humain d'un système informatique pour briser sa sécurité.
Ce terme est surtout utilisé en jargon informatique pour définir les méthodes des pirates informatiques
(catégorie des hackers Black hat), qui usent d'ingénierie sociale pour obtenir accès à un système
informatique ou simplement pour satisfaire leur curiosité.
De nos jours, un effort de formation et de prévention des utilisateurs de systèmes informatisés sécurisés est
fourni. Les départements de gestion informatique font circuler des documents décrivant les règles de
sécurité de base : la façon de choisir un mot de passe long et ne se trouvant pas dans le dictionnaire, ne
jamais donner son mot de passe à quelqu'un, pas même à un employé du département informatique, etc.
Des conférences invitant des spécialistes du renseignement ou de la sécurité informatique sont parfois
organisées au sein des plus grandes structures, afin de sensibiliser davantage les utilisateurs à cette
menace. Ces formations visent à prévenir les employés de ne pas divulguer accidentellement des
informations sensibles, et de donner l'alerte en cas de tentative détectée.
P7
LOGO
Institution
Version 0.300
4/11/200910
4. Catégorisation de l’utilisation de la messagerie
électronique
La messagerie électronique est essentiellement un moyen de communication ; il n’est pas recommandé de
l’utiliser comme un système de documentation ni un stockage de dossiers ou d’informations. Deux cas de
figures en termes d’utilisation se présentent :
4.1.
Utilisation professionnelle
Les messages électroniques peuvent avoir plusieurs origines : l’utilisateur final, l’application, le système
d’information sur lequel tournent une ou plusieurs applications.
4.1.1.
Utilisateur final
Pour réaliser les objectifs de l’institution des outils doivent être utilisés comme des applications métiers.
Il est à rappeler que le traitement des données à caractère personnel et ou social doit respecter un certains
nombres de contraintes et règlements. La messagerie électronique ne répond généralement à aucun de ces
contraintes et règlements.
Les informations importantes telle que la description de processus, les politiques, les lignes de conduites, les
instructions, les rapports, les contrats, accords, les livres blancs, les schémas techniques, les plans de
projet, etc.., doivent être créées par d'autres moyens et être stockées dans un espace de stockage de
données approprié ; par exemple : des systèmes de fichiers ou des systèmes de gestion de document.
Seul le client de messagerie habilité est autorisé à communiquer avec le serveur contenant la boite aux
lettres de l’utilisateur.
4.1.2.
Systèmes & Applications
Dans le cadre des messages en provenance des serveurs, et donc des applications et systèmes proprement
dit, certaines règles devront être respectées lors de l’envoi. La définition de ces règles dépendra de la
destination finale et du type de message.
Deux grands types de messages peuvent être définis :
• Le message provenant d’une application et à destination d’un utilisateur ou d’un tiers. Le contenu de
ce message sera lié à une requête de type information / question / confirmation.
• Le message provenant d’une application ou du système en lui-même mais à destination d’une
personne, ou groupe de personnes ayant le rôle de gestion de cette application ou ce système. Dès
lors de message sera de type système contenant des informations / notifications ou alertes
systèmes.
Dans tous les cas, les messages envoyés par l’application ou le système devront être envoyés sur la
plateforme de transfert des messages (« mail-relay ») et uniquement sur cette dernière.
L’adresse source devra indiquer clairement l’origine. La manière dont l’adresse source sera construite va
varier en fonction du type de message.
• Dans le cas du message de type requête, on peut envisager une adresse de type
[email protected]
• Par contre dans le cas du message de type système, il paraît important que l’adresse source
permette de décrire quel est le processus interne émetteur du message ; par exemple
[email protected].
P8
LOGO
Institution
Version 0.300
4/11/200910
Le système de transfert de message devra filtrer les envois afin qu’un message « système » ne puisse être
envoyé à l’extérieur de l’institution à l’exception du « fournisseur de support ».
Afin de palier au problème du départ d’un collaborateur, la destination des messages « systèmes » ne peut
être qu’une adresse de groupe ou de fonction, et jamais une adresse d’un utilisateur final.
4.2.
Utilisation privée
Par principe, l’utilisation des moyens de communication électronique mis à disposition par l’institution est
limitée à des fins professionnelles. L’usage limité, à des fins privées, du système de messagerie
électronique, par exemple dans une optique d’apprentissage et de développement personnel, est toutefois
accepté, à condition que cet usage soit occasionnel et raisonnable, ne porte pas atteinte au bon
fonctionnement du réseau, du travail ou à la productivité et qu’il ne constitue pas une infraction à la
législation en vigueur.
Le corps du message ne devra contenir aucune mention relative à l’institution (par exemple : signature
automatique) et toute autre indication qui pourrait laisser croire que le message est rédigé dans le cadre de
l’exercice de fonction.
Il est fortement recommandé, voire obligatoire que tout mail privatif envoyé contienne le tag [PRIVATE] ou
une forme similaire (Private, Privé, Privaat, …)dans son sujet.
Les paragraphes suivants doivent être considérés comme une bonne pratique pour l’utilisation privée de la
messagerie électronique.
Ces messages seront stockés dans un dossier spécifique : [PRIVATE MAIL].
Tout mail contenant dans le sujet [PRIVATE] ou (PRIVATE) sera automatiquement redirigé vers ce dossier.
De plus, si l’utilisateur reçoit un message dont le sujet ne contient pas ces tags privés et que le contenu n’a
aucun rapport avec l’institution ou avec sa fonction et son travail, l’utilisateur veillera à déplacer
manuellement ce message privé dans le dossier spécifique.
Il est recommandé qu’un processus automatique transfère chaque message privé, vieux de 30 jours,
contenu dans ce dossier dans un espace d’archive dédicacé localisé sur le disque dur local de la station de
travail. Cet archivage ne fera partie d’aucun processus de sauvegarde.
5. Code de bonne conduite
5.1.
Données confidentielles
Toutes données à caractère personnel ou médical devant être transmises par la voie électronique ne
peuvent être transférées que par les systèmes d’informations définis et approuvés par les Comités Sectoriels
compétents.
Quand d’autres données confidentielles sont transmises par la voie électronique, des mesures adéquates
doivent être prises afin d’assurer la confidentialité et l’intégrité des données transmises tout en respectant
les législations et règlements en vigueur (Banque Carrefour de la sécurité sociale, Registre national des
personnes physiques, Protection des données à caractère personnel, …)
Par défaut, le message électronique (e-mail) ne peut pas être considéré comme une voie électronique de
transmission sûre et permettant de garantir la confidentialité et l’intégrité des données contenues dans le
message.
P9
LOGO
Institution
Version 0.300
5.2.
4/11/200910
Droits et obligations.
L’institution respecte le droit des utilisateurs du système de messagerie électronique à la protection de leur
vie privée dans le cadre de la relation de travail et des droits et obligations que celle-ci implique pour
chacune des parties.
Les utilisateurs du système de messagerie électronique reconnaissent le principe selon lequel l’institution
dispose d’un droit de contrôle sur l’outil de travail et sur l’utilisation de cet outil par les utilisateurs dans le
cadre de l’exécution de ses obligations contractuelles, y compris lorsque cette utilisation relève de la sphère
privée.
5.3.
Ethique
Tous les utilisateurs du système de messagerie électronique de l’institution doivent utiliser le système de
messagerie électronique en « bon père de famille ». On s’attend dès lors à ce qu’ils respectent quelques
règles de bonne conduite, telles celles décrites dans la liste ci-dessous, liste non exhaustive :
• Soyez poli : N’utilisez pas un langage abusif dans les messages envoyés ;
• Maintenez les messages constructifs et professionnels dans la substance et dans le ton. Traitez les
personnes avec la même courtoisie et respectez-les dans le message électronique comme vous le
feriez de vis-à-vis ;
• Employez la langue appropriée. Ne jurez pas, n'employez pas des vulgarités, ou tout autre langage
inadéquat. Ne vous engagez pas dans des activités qui sont interdites en vertu du droit national ;
• N'employez pas le réseau de telle manière que vous perturberiez l'utilisation de celui-ci (par
exemple, l’envoi d’un message à l’ensemble du personnel, …);
• …
5.4.
Interdiction d’utilisation
L’usage du système de messagerie électronique de l’institution est interdit dans les cas suivants ou
similaires :
• l’engagement dans des activités illégales, frauduleuses ou malveillantes ;
• la communication ou le stockage de tout élément à caractère offensif, obscène (par exemple
pornographique), racial, diffamatoire ou politique ;
• la communication de données protégées par le droit d’auteur, en violation des lois protégeant ce
droit ;
• l’envoi de messages électroniques en l’absence de but professionnel légitime, dans des
circonstances de nature à porter préjudice à l’auteur du message originel ;
• l’envoi de messages dont l’identité de l’expéditeur est cachée ou falsifiée ;
• la participation à des « chaînes de lettres » ;
• le partage de mot de passe ;
• la distribution, la sollicitation, ou l’offre pour la vente ou l’achat de biens ou de services ;
• la souscription à des bulletins d’information n’étant pas en relation avec l’activité (exemple : joke,
….)
• la divulgation de faits en relation
o à la sécurité nationale;
o à la protection de l'ordre public;
o aux intérêts financiers de l'autorité publique;
o à la prévention et à la répression des faits délictueux;
o au secret médical;
o aux droits et libertés du citoyen;
o au respect de la vie privée;
o à la préparation des décisions, tant que la décision finale n'a pas été prise.
P 10
LOGO
Institution
Version 0.300
4/11/200910
6. Sécurisation de la messagerie électronique
6.1.
Protection contre les malwares
Le système de messagerie électronique est l’une des méthodes les plus employées pour la propagation des
malwares. Dès lors, l’institution doit mettre en œuvre différents niveaux de protection afin de lutter contre
l’arrivée dans la boîte aux lettres de ce genre d’applications néfastes.
Dès lors, toute tentative de désactivation, de modification de la configuration, de contournement des
systèmes de protection est interdite.
L’ouverture d’attachement en provenance de personnes non connues, non sûres, ou l’ouverture
d’attachement douteux sans vérification au préalable avec l'expéditeur peut entraîner de graves
conséquences à l’ensemble du réseau interne et aux données qui y circulent ou qui y sont stockées.
6.2.
Protection contre les Spams
L’institution doit mettre en œuvre une protection afin de lutter contre l’arrivée dans la boîte aux lettres de
messages non sollicités.
Cette protection réalise un certain nombre de tests sur les messages entrants. En fonction du résultat de ces
tests, le processus attribue un score au message. Si le message obtient un certain score, alors le message
est considéré comme message non sollicité.
Pour éviter que l’institution se retrouve sur les back-lists mail2, l’institution devrait mettre en œuvre une
configuration technique de base empêchant que toute notification d’absence soit envoyée en dehors du/des
domaines mails trustés.
6.3.
Transfert
Le transfert systématique de tous les messages électroniques arrivant dans une boîte aux lettres vers une
adresse externe à l’institution est totalement interdit, car ce transfert automatique risque de mettre en péril la
confidentialité des données.
6.4.
Signature électronique & légalité associée
Par défaut un courrier électronique n’a pas de valeur juridique. Afin d’assurer la légalité associée, des
mesures spécifiques doivent être mises en œuvre.
La loi du 9 juillet 2001 fixe les règles relatives au cadre juridique pour les signatures électroniques et les
services de certification.
2
Certains systèmes de filtrage anti-spam peuvent considérer un mail de notification d’absence comme un
SPAM. Dans le cas où l’institution autorise l’envoi à l’extérieur de ces notifications d’absences, il est
probable qu’une succession de ces notifications génère une alerte et donc place le domaine mail (ou le/les
adresses publiques du/des serveurs relais) de l’institution sur des black-lists.
P 11
LOGO
Institution
Version 0.300
4/11/200910
7. Guide de bonne pratique pour l’utilisateur final
7.1.
Destinataire en TO : / CC : / BCC :
Limitez au maximum le nombre de destinataires indiqués dans la zone TO :, et si possible limitez cette liste à
une seule personne. Indiquez dans cette zone TO : uniquement les destinataires qui devront probablement
agir ou répondre au message.
La zone CC : (Carbon Copy) est destinée aux destinataires qui sont en copie à titre d’information du contenu
du message. Ne placez pas systématiquement votre responsable en CC de tous les mails. Il dispose
d’autres moyens pour savoir que vous travaillez activement. Les responsables ne doivent être en copie
qu’en cas de problèmes importants et/non courants, sauf si demandés spécifiquement.
Utilisez la zone BCC : (Blind Carbon Copy) pour l’envoi de message à une liste de destinataires qui doivent
s’ignorer l’un l’autre. C’est spécifiquement le cas d’une liste de distribution. Si la zone BCC : est utilisée de
manière exclusive, alors les zones TO : et CC : devront être vides ou pourront contenir dans certains cas
uniquement votre propre adresse.
Si vous recevez un message contenant un ou plusieurs attachements, et qu’il s’avère nécessaire de
répondre ou de transférer ce message, évaluez au préalable la pertinence d’y inclure le/les attachements, et
ce afin de limiter la taille des messages à transférer et à stocker.
7.2.
Composition du sujet
Le sujet est un champ non obligatoire, mais il est grandement conseillé de l’utiliser. Les messages dont le
sujet est vide sont susceptibles d'être traités comme messages non sollicités (Spam). Le sujet doit être
significatif, il aidera le destinataire à gérer ses messages. Le sujet doit être court mais assez descriptif pour
une bonne compréhension par le destinataire.
Afin de faciliter la gestion et le traitement du/des messages électroniques par le destinataire, l’utilisation de
balise, étiquette dans le début du sujet pourrait ou devrait être utilisée en fonction du type de message,
professionnel ou privé.
Ces balises (« tag ») peuvent être utilisées tant pour l’envoi de messages que pour la notification
d’évènements (appointement personnel, réunion, …)
7.2.1.
Usage professionnel
Pour les messages électroniques professionnels, il peut être intéressant que le sujet contienne à son début
une balise avec un code (par exemple le titre, référence du projet, du dossier, …) auquel ce mail se
rapporte. Cette balise permettrait tant à l’émetteur qu’au destinataire un classement plus rapide et une
possibilité de recherche améliorée.
7.2.2.
Usage à des fins privées
Pour les messages à usage privé, le sujet du/des messages doit commencer par [PRIVATE] / (PRIVATE).
Le but de ce « tagging » est de différentier le message professionnel du message privé. Et en cas
d’absence, si une ou plusieurs personnes ont reçu les droits d’accès par le biais de la délégation, il ou elle
saura que ce message ne concerne en rien le service et n’y prêtera donc aucune attention.
P 12
LOGO
Institution
Version 0.300
7.3.
4/11/200910
Contenu
Afin d’éviter toute confusion lors de la rédaction d’une réponse, ou afin également de faciliter le classement
par le destinataire, il est fortement recommandé de ne traiter qu’un sujet par mail.
7.4.
Style
Le style du message doit être clair et direct. L’utilisation d’une police de caractères standard à
Windows/Office (tel : Arial, Times New Roman, …) est recommandée afin de permettre la lecture du
message par les destinataires, surtout si ceux-ci sont extérieurs à l’institution.
7.5.
Taille des messages
La taille des messages électroniques peut être limitée par les administrateurs système et ce tant pour
l’envoi, que pour la réception. Beaucoup d’organismes ou de sociétés privées font de la sorte, et fixent
généralement la taille maximale qu’un message peut avoir. Cette limite est propre à chaque
institution/société. Dès lors il est toujours possible, et même fortement probable, que certains envois soient
refusés simplement parce que le système de destination ne permet pas la réception d’un message ayant
une taille importante.
L’adjonction d’attachements volumineux doit être évitée autant que possible.
Dans le cas où l’ensemble des intervenants (destinataires du/des mails) ont un accès à un espace de
stockage commun sécurisé, il est préférable, voire même recommandé que l’émetteur du mail indique le lien
vers cet espace de stockage où sont placés ces attachements plutôt que d’inclure ceux-ci dans son mail.
L’utilisation des liens permet de diminuer la taille des messages et donc de diminuer la taille totale
des boîtes aux lettres.
7.6.
Attachements
Comme la taille des messages peut être limitée, le type des attachements peut l’être également. La plupart
des systèmes filtrant les messages contre la propagation de malwares ou de Spam, peuvent bloquer ou
interdire certains types d’attachements tels que :
•
Fichiers susceptibles de modifier les systèmes ou de contenir des virus :
BAT, COM, EXE, SCR, PIF, VBS
•
Fichiers audio :
MP3, MP4, MPA, MPE, MPV, MPV2, WM, WMA
•
Fichiers vidéo :
MPEG, MPG, M1V, M2V, MP2, AVI, MOD, WMV, WMF
•
…
Dès lors il est toujours possible, et même fortement probable, que certains envois soient refusés simplement
parce que le système de destination ne permet pas la réception d’un message contenant de tels
attachements.
P 13
LOGO
Institution
Version 0.300
7.7.
4/11/200910
Bloc signature
L’usage d’une signature est recommandé et celle-ci doit inclure les détails de contact. L’usage de logos n’est
pas recommandé, pour plusieurs raisons liées, premièrement à l’augmentation réelle de la taille du message
envoyé, et deuxièmement, que ce logo de signature peut être considéré comme une annexe/attachement au
message, surtout si le mail est converti en format texte.
7.8.
« Disclaimer »
L’usage d’un disclaimer est hautement recommandé. Le service juridique de l’institution peut fournir ce texte.
Il doit être rajouté à la fin de la signature, soit comme texte, soit sous forme d’un URL pointant vers une page
web spécifique dédiée à cet usage sur le site web de l’institution.
Voici un exemple fourni par le service juridique de la Banque Carrefour de la sécurité sociale.
***
De Kruispuntbank van de Sociale Zekerheid sluit elke aansprakelijkheid uit in verband met de juistheid, de
volledigheid of het tijdig toekomen van de informatie in deze e-mail. Aan deze e-mail kunnen geen rechten
worden ontleend en deze e-mail houdt in geen geval een erkenning van welkdanige aansprakelijkheid in.
Dit bericht is alleen bestemd voor de geadresseerde. Indien dit bericht niet voor u bestemd is, verzoeken wij
u dit onmiddellijk aan ons te melden en het bericht te vernietigen.
***
La Banque Carrefour de la Sécurité Sociale décline toute responsabilité quant à l'exactitude, à l'exhaustivité
et au délai de transmission des informations contenues dans cet e-mail. Aucun droit ne peut être
revendiqué sur cet e-mail et cet e-mail n'implique en aucun cas une reconnaissance de responsabilité,
quelle qu'elle soit. Ce message s'adresse uniquement au destinataire. Si ce message ne vous est pas
destiné, nous vous prions de nous le signaler immédiatement et de détruire le message.
7.9.
Accusé de réception et lecture
L’utilisation d’accusé de réception ainsi que de lecture peut être très pratique pour des mails importants et
dont l’auteur souhaite être informé de la réception et/ou de la lecture. Certains systèmes luttant contre la
propagation de courrier non sollicité (ou Spam) considèrent ce genre de demande comme indésirable. Dès
lors, l’usage avec le monde extérieur doit faire l’objet d’une attention particulière.
7.10.
Réponse
Lors d’une réponse, demandez-vous s’il est nécessaire d’y inclure l’ensemble de l’historique des messages.
Trop d’historique peut rendre les messages incompréhensibles.
Lors d’une réponse, vérifiez toujours si votre réponse a un lien avec le message reçu. Si ce n’est pas le cas,
envisagez plutôt l’envoi d’un nouveau message avec un nouveau sujet.
Évitez le « Reply to All » aux messages. La plupart des personnes n'ont pas besoin d'avoir une copie de
chaque réponse à chaque itération du même message. Considérez que les destinataires externes peuvent
faire partie de la distribution. Faite usage du « Reply to All » uniquement après avoir pris en considération
tous les destinataires et vous être assuré qu’il y a une valeur ajoutée à recevoir vos commentaires.
P 14
LOGO
Institution
Version 0.300
7.11.
4/11/200910
Conversation
Le système de messagerie n’est pas un espace de discussion (« chat system »). Il convient dès lors de faire
attention à ne pas entamer de longues discussions surtout quand plusieurs personnes sont notifiées en
copie (CC).
7.12.
La notification d’absence
Lors de déplacements ou pendant les vacances et congés, la notification d’absence doit être activée avec
les détails de la date de retour prévue et du contact de/des personnes de secours ou d'escalade en cas
d’urgences.
Pour des raisons de sécurité, cette notification d’absence ne doit être en principe activée que pour le
domaine interne à l’institution.
7.13.
Sécurité
À moins d’utiliser des techniques de chiffrage certifiées (encryptions), le message électronique doit être
considéré comme peu sûr. Le message envoyé peut être lu par une autre personne que votre destinataire
final. Le message reçu peut provenir d’une personne se faisant passer pour une autre (duperie et
usurpation) qui, elle, peut inspirer confiance, car des en-têtes de courrier sont facilement forgés. En
conséquence, ne jamais rien révéler de confidentiel tel que mot de passe, code d’accès, données
personnelles, etc, dans un message électronique.
7.13.1.
SPAM
La propagation de Spam est une des principales menaces qui impactent les systèmes de transmission de
messages électroniques et du réseau en consommant une quantité considérable de stockage et de largeur
de bande.
Le fait de répondre à ce genre de message entraîne généralement une validation de l’adresse de
l’institution, et donc permet ainsi l’activation et l’envoi d’autres messages qui pourront quant-à eux contenir
potentiellement un malware.
7.13.2.
Phishing
Votre boîte aux lettres semble bien protégée, mais voici qu'une nouvelle forme de spam se profile à
l'horizon. Ce type de courrier non sollicité est beaucoup plus dangereux que le spam ordinaire. En effet,
vous risquez de vous faire voler vos numéros de carte de crédit, vos mots de passe, vos numéros de compte
et autres informations confidentielles.
Le phishing est un type de falsification qui a pour but de voler votre identité. Ainsi, une personne malveillante
tente d'obtenir des informations, telles que vos numéros de carte de crédit, vos mots de passe, vos numéros
de compte ou autres informations confidentielles sous de faux prétextes. Ce type d'attaque se produit
généralement par l'intermédiaire de messages électroniques non sollicités ou de fenêtres contextuelles.
Un utilisateur malveillant envoie des millions de messages falsifiés qui semblent provenir de sites Web
connus ou de sites de confiance, tels que ceux de votre banque ou de votre gestionnaire de carte de crédit.
Ces messages, et les sites Web auxquels ils renvoient, sont souvent si proches de l'original que de
nombreuses personnes s'y trompent et communiquent leurs numéros de carte de crédit, leurs mots de
passe, leurs numéros de compte et autres informations personnelles.
Pour rendre ces messages encore plus réalistes, les escrocs ajoutent une adresse électronique qui semble
correspondre au site Web officiel, mais qui en réalité mène vers un site falsifié, voire une fenêtre contextuelle
qui est une copie conforme du site officiel. Ces copies sont parfois appelées « sites Web usurpés ». Une fois
sur ce type de site, vous risquez de donner davantage d'informations personnelles qui peuvent tomber entre
P 15
LOGO
Institution
Version 0.300
4/11/200910
les mains du créateur du site, qui pourra ensuite les utiliser pour acheter quelque chose, demander une
nouvelle carte de crédit ou voler votre identité.
Tout comme leurs homologues du monde réel, les cyber-escrocs sont toujours à la recherche de méthodes
de plus en plus performantes et sinistres pour s'enrichir à vos dépends. Toutefois, les cinq étapes suivantes
vous aideront à protéger vos informations.
•
Ne répondez jamais aux demandes d'informations personnelles par courrier électronique. En cas de
doute, contactez l'institution sensée vous avoir envoyé le message.
•
Consultez les sites Web en tapant l'URL dans votre barre d'adresses.
•
Assurez-vous que le site Web a recours au chiffrement.
•
Vérifiez régulièrement vos relevés bancaires et de carte de crédit.
•
Signalez l'abus de vos informations personnelles aux autorités compétentes.
7.13.3.
Chaîne de lettres
Une chaîne de lettres est un message (postal ou électronique) demandant au destinataire d'en envoyer une
copie à chacun de ses proches ou s’il ne l'envoie pas, un « malheur » lui arrivera. Parfois même, on fait
miroiter la possibilité de recevoir un cadeau ou une somme d'argent. Le processus se réitère ainsi de suite et
peut se propager loin dans le temps et l'espace géographique, selon un effet boule de neige. C'est le moyen
le plus fréquemment utilisé pour transférer des canulars.
Les auteurs de « chaîne de lettres » misent principalement sur la naïveté des gens... Avant de faire parvenir
ce type de courriel à vos proches, il est fortement conseillé de vérifier la validité des informations transmises.
7.13.4.
Hoax
Des messages invitant le lecteur à les faire suivre au plus grand nombre de destinataires possible circulent
sur la messagerie. Ils diffusent souvent des rumeurs.
Ce type de canular peut être réalisé sur différents supports :
•
la messagerie ;
•
les forums de discussions
•
Les risques principaux
En participant, ou en étant victime de ces canulars, vous vous exposez, ainsi que votre institution à certains
risques :
•
participation à votre insu à une attaque en déni de service ;
•
recommandations de fausses mesures de sécurité pouvant causer des dégâts ;
•
divulgation de l’organisation interne de votre entreprise, voire de la liste des personnes les plus
crédules ;
•
déni de service sur les outils de messagerie ;
•
banalisation du risque sur la sécurité.
Pour inciter les lecteurs à faire suivre le message au maximum de personnes, celui ci joue généralement sur
les sentiments du destinataire. Les leviers les plus couramment utilisés sont l’estime de soi, en faisant valoir
au destinataire qu’il réalise une "bonne action" (aider un enfant malade, bloquer la prochaine épidémie de
virus informatiques...), et l’argent, en lui faisant croire qu’il peut acquérir à bon compte certains objets
intéressants (un téléphone portable, une image attrayante,...).
Pour convaincre de la véracité du message, il est souvent fait appel à divers éléments :
•
des arguments d’autorités : le message prétend, par exemple, ne pas être un canular (ou hoax en
anglais), ou que l’information a été vérifiée par une autorité reconnue (FBI, éditeur d’antivirus,
P 16
LOGO
Institution
Version 0.300
4/11/200910
hôpital, fournisseur d’accès à internet, le service informatique, Microsoft ou tout autre grand éditeur
de logiciel, etc.) ;
•
le message est présenté comme le témoignage direct d’une personne impliquée ;
•
des éléments d’actualité sont cités : le destinataire sera d’autant plus incité à accorder sa confiance
si il peut rattacher le message à un contexte d’évènements qu’il connaît ;
•
le message provient d’une connaissance, elle-même victime de la rumeur : cette situation tend à
faire baisser votre niveau de vigilance. "Puisque je reçois une invitation à propager un message de
la part de quelqu’un que je connais, je suppose qu’il s’est assuré du bien fondé de la démarche et je
me dispense de le faire".
Afin d’augmenter l’efficacité du message, le destinataire est souvent placé en situation d’urgence afin de
limiter son analyse. Il est incité à prendre une décision rapide concernant l’envoi du message et à considérer
qu’il vaut mieux diffuser une fausse nouvelle plutôt que de laisser arriver une catastrophe.
Le premier risque concerne la surcharge de vos réseaux et de vos serveurs de messagerie.
Il est également possible de déclencher systématiquement l’envoi d’un message à la réception du canular.
Cette fonctionnalité peut être obtenue :
•
automatiquement, par le biais d’une inclusion malicieuse dans le code source de la page lorsque le
texte du message est exprimé en HTML ;
•
manuellement en invitant le destinataire à ajouter une adresse particulière à la liste de diffusion
(l’argumentaire du message vise à justifier pourquoi il est nécessaire d’ajouter ce destinataire).
Cet envoi peut avoir différentes utilités pour la personne à l’origine du canular :
•
lorsque le destinataire de ce message est une victime, il est noyé sous un flot de messages. Dans
ce cas, le fait de lire le message et de le faire suivre s’apparente à de la complicité dans une
opération de déni de service sur un tiers ;
•
lorsque le destinataire de ce message envoyé automatiquement est la personne malicieuse, elle
obtient la liste de vos correspondants, ce qui lui permet d’imaginer la structure de votre entité et les
réseaux de personnes à l’intérieur. De surcroît, elle reçoit la liste des personnes les plus crédules
(celles qui font suivre les courriels). Cette information pourrait être exploitée ultérieurement pour
obtenir, à moindre risque, des informations plus sensibles.
Il existe également une variante, demandant d’envoyer vos cartes de visite à un enfant gravement malade
qui les collectionne et dont c’est la seule passion. Une personne malintentionnée dispose ainsi des
informations lui permettant de prétendre vous connaître et avoir travaillé avec vous, voire de se faire passer
pour vous. Elle est également en mesure d’en déduire l’organigramme de votre entité.
Parfois le message vous demande de réaliser des actions supposées être les seules pertinentes étant
donné l’urgence. Cependant elles sont dangereuses. Par exemple, vous êtes invités à :
•
débrancher l’ordinateur sans l’éteindre proprement pour éviter d’être contaminé par un virus ;
•
effacer tous vos documents bureautiques probablement déjà contaminés.
Il ne faut jamais chercher à savoir si de telles rumeurs, véhiculées par la messagerie, sont fondées ou non.
C’est une fausse piste. La décision doit se prendre de façon objective sur ce que le message vous incite à
faire.
Dès que vous recevez un message :
•
avec beaucoup de destinataires ;
•
dont le texte véhicule une forte charge émotive ;
•
qui inspire un sentiment d’urgence ;
•
qui vous invite à faire quelque chose que vous ne faites pas spontanément ;
Vous pouvez supposer que vous êtes probablement en présence d’un canular.
P 17
LOGO
Institution
Version 0.300
4/11/200910
Que la rumeur soit fondée ou non, la diffusion massive d’un message par tous les usagers de la messagerie,
ne constitue jamais la bonne démarche.
Si vous recevez un tel message, il faut en informer son responsable de la sécurité de l’information.
7.13.5.
Trojan
Comme dans la mythologie grecque, le cheval de Troie s’introduit dans l’espace protégé, l’ordinateur
victime, pour permettre à l’attaquant extérieur de s’introduire dans cet espace. Dans le domaine
informatique, le cheval de Troie ouvre une porte dérobée (décrit dans le point 3. Définitions ) qui permet à un
utilisateur malveillant de prendre le contrôle de l’ordinateur compromis et de s’en servir à l’insu de son
propriétaire.
Un cheval de Troie se cache en général dans un programme d’aspect inoffensif ou usuel. Il faut donc une
action de l’utilisateur (exécution du programme) pour que celui-ci soit activé.
Des gestes simples et une bonne hygiène d’utilisation de son outil informatique permettent de se prémunir
des risques liés aux chevaux de Troie. Ainsi, il convient de n’installer et de n’exécuter des programmes que
si l’on est certain de leur source et de leur contenu.
7.14.
Utilisation efficace des « folders »
Nous ne sommes pas tous des organisateurs parfaits pouvant gérer un système de classement permettant
de retrouver facilement un message vieux de quelques années. Voici quelques petits conseils qui vous
permettront d’optimaliser votre système de classement :
•
Clarifiez vos priorités de l'information. Quelles sont les catégories principales d'information que vous
employez régulièrement à plusieurs reprises ?
•
Essayez d’être cohérent entre l’organisation de vos « folders » sur votre station de travail, dans la
messagerie électronique ainsi que dans le classement des documents.
•
Créer un « folders » [PRIVATE MAIL] afin d’y placer l’ensemble des messages privés.
•
Lors de la création d’un dossier, veuillez à utiliser correctement les notions de « folders » partagés
ou « folders » privés qu’offre le système de messagerie.
7.15.
Souscription aux bulletins d’information (Newsletters)
La souscription aux bulletins d’information n’est autorisée que dans le cas où ces bulletins sont en relation
avec le travail.
L’utilisateur qui se serait inscrit à des bulletins d’informations veillera à bien se désinscrire de tous ceux-ci
avant son départ.
L’utilisateur veillera à utiliser son adresse officielle lors de son inscription et non à un alias à celle-ci, et ce
afin de permettre la désinscription.
P 18
LOGO
Institution
Version 0.300
4/11/200910
8. Contrôles & sanctions
L’institution s’engage à respecter les lois et règlements en vigueur.
8.1.
Contrôles
Il est recommandé à l’institution de mette en œuvre un système de contrôle global permettant un contrôle
sur les finalités ci-dessous :
•
la prévention de faits illicites, de faits contraires aux bonnes mœurs ou susceptibles de porter
atteinte à la dignité d'autrui;
(p.ex. : le piratage informatique, la prise de connaissance non autorisée de données de
communication électroniques en réseau relatives à la gestion du personnel ou de fichiers médicaux
confidentiels, la consultation de sites à caractère pornographique ou pédophile ou de sites incitant à
la discrimination, à la ségrégation, à la haine ou à la violence à l'égard d'un groupe, d'une
communauté ou de leurs membres, en raison de la race, de la couleur, de l'ascendance, de la
religion ou de l'origine nationale ou ethnique de ceux-ci);
•
la protection des intérêts de l'organisme;
•
la sécurité et/ou le bon fonctionnement technique des systèmes informatiques en réseau de
l'organisme, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des
installations de l'organisme;
•
le respect de bonne foi des principes et règles d'utilisation des technologies en réseau
8.2.
Modalités
d’individualisation
communications électronique
des
données
de
Ces règles ne s'appliquent ni à l'objet ni au contenu des données de communication électroniques en réseau
dont le caractère professionnel n'est pas contesté par l'utilisateur. Dans ce cas, la direction pourra prendre
connaissance de ces données sans formalités.
Plusieurs types d’individualisation sont définis :
•
Individualisation directe
Si, à l'occasion d'un contrôle global ou sur base d’une plainte officielle approuvée par le responsable
de la gestion journalière, l'employeur constate des anomalies dans le cadre des finalités de contrôle
mentionnées aux trois premiers points du paragraphe 8.1. il a le droit d'individualiser directement les
données afin de retracer l'identité de la (des) personne(s) responsable(s) de l'anomalie.
•
Individualisation indirecte moyennant le respect d'une phase préalable d'information.
Par contre et lorsque l'objectif tient au respect de bonne foi des règles et principes d'utilisation des
technologies fixées dans l'entreprise, il y a lieu de respecter une phase dite de sonnette d'alarme qui
vise essentiellement à parfaire, préciser ou rappeler par une information au travailleur quels sont ces
règles et principes.
L'individualisation s'inscrit dans une procédure en 3 étapes :
o
Information préalable
La direction, préalablement à l'individualisation des données, informe les utilisateurs du non respect
d'une des règles d'utilisation fixées dans l'entreprise. Cette information a pour objet de porter à la
P 19
LOGO
Institution
Version 0.300
4/11/200910
connaissance du ou des utilisateurs, de manière certaine et compréhensible, l'existence de
l'anomalie et de les avertir d'une individualisation des données de communication électroniques en
réseau lorsqu'une nouvelle anomalie de même nature sera constatée.
o
Contrôle individualisé
En cas de détection d'une nouvelle anomalie, la direction peut réaliser le Contrôle individualisé lui
permettant de retracer l'identité de la/des personnes(s) responsable(s) des anomalies.
o
Suivi de l’incident
Dans le cadre de ce suivi d’incident, l’institution s’engage à respecter les lois et règlements en
vigueur en son sein.
Néanmoins, une proposition de processus en ligne avec la CCT81 est que l'administrateur général
ou un membre de la direction, dans le cadre d'une procédure contradictoire, laisse à l'utilisateur ainsi
identifié la possibilité de s'expliquer à l'occasion d'un entretien. Cet entretien est préalable à toute
décision ou évaluation susceptible d'affecter individuellement l'utilisateur. Il a pour but de permettre à
l'utilisateur de faire part à l'administration de ses objections vis-à-vis de la décision ou de l'évaluation
envisagée et de s'expliquer sur l'utilisation faite par lui des moyens de communication électroniques
en réseau mis à sa disposition. L'utilisateur peut, lors de cet entretien, se faire assister
éventuellement, à sa demande, par son délégué syndical.
8.3.
Sanctions
Les infractions constatées mèneront aux sanctions disciplinaires ou pénales applicables conformément aux
lois, directives et règlements en vigueur à ce moment, et en particulier au(x) règlement(s) de travail de
l’institution et convention collective selon le cas.
P 20

ISMS Politique générale sur l`utilisation des messages électroniques

Transcription

Documents pareils

Ouest France du 28 06 1993

Du bon usage de la messagerie électronique…

Connectez-vous en cliquant sur : https://webmail1.infomaniak.ch

Adresse du webmail, c`est à dire de la messagerie en ligne. Se

ISMS Politique de protection des postes de travail 2009

(Charte-Vacances-Propres non signée DEF [Mode de compatibilité])

tini-instant messagerie mobile securisee sur telephone portable

INTERNET INITIATION

Recherche de personnes et d`informations

COMMENT BIEN COMMUNIQUER sur les aspects de techniques