Utilisation de l`Internet comme moyen d`accès au réseau de la

KSZ - BCSS
Accès réseau Banque-Carrefour par l’Internet
Version 3.2.
06/06/2005
ISMS
(Information Security Management System)
Utilisation de l’Internet comme moyen d’accès
au réseau de la Banque-Carrefour de la sécurité
dans le cadre du traitement de données à
caractère personnel par les acteurs du secteur
social.
Version control – please always check if you’re using the latest version
Doc. Ref. : isms.027.internet
Version
Date
Author’s
Reason for change
1.0
16/11/2004
JMG
2.0
10/01/2005
JMG
Remarques sur le contenu général
3.0
14/02/2005
JMG
Préciser le champ d’application
Approved by
Enoncer la politique de sécurité de
l’extranet.
3.1
28/02/2005
JMG
Préciser les niveaux d’identification
et d’authentification.
3.2
06/06/2005
JMG
Préciser que cela s’applique dans le
cadre d’utilisation des données à
caractère personnel.
Groupe de
Travail Sécurité
de l’information
Ce document est la propriété de la Banque Carrefour de la sécurité sociale. La publication de ce document ne
préjudicie nullement aux droits de la Banque Carrefour de la sécurité sociale à l'égard de ce document.
Le contenu de ce document peut être diffusé librement à des fins non commerciales à condition de mentionner la
source (Banque Carrefour de la sécurité sociale, http://www.bcss.fgov.be).
La diffusion éventuelle à des fins commerciales doit faire l’objet d’une autorisation écrite préalable de la part de la
Banque Carrefour de la sécurité sociale.
P1
KSZ - BCSS
Accès réseau Banque-Carrefour par l’Internet
Version 3.2.
06/06/2005
1 Introduction
L’Extranet de la Sécurité Sociale est un réseau IP sécurisé ayant pour fonction
l’interconnexion des différentes organisations de la Sécurité Sociale, ainsi que la fourniture
d’un certain nombre de services communs tels que l’interconnexion sécurisée de réseaux
hétérogènes, la mise à disposition de proxies HTTP/FTP, l’échange de messages et
d’informations, le scanning anti-virus du trafic HTTP/FTP/SMTP, le hosting de sites web, la
gestion et la maintenance de noms de domaines, l’accès à des ressources internes via dial-up
ou Vpn.
La protection de l’infrastructure répartie sur deux sites et basée sur une sécurité en couches
est assurée par des firewalls installés sur chaque connexion entrante à savoir, d'une part,
entre l'institution et le backbone et, d'autre part, entre le backbone et l'Internet et entre le
backbone et les réseaux privés; une gestion centralisée des protections anti-virus y est
également assurée.
L’Extranet de la Sécurité Sociale s’est doté un système d’IDS (Intrusion Detection System)
consolidé par une analyse permanente des logs au travers d’un MSS (Management Security
Services).
L’infrastructure et ses composants font l’objet d’audits périodiques.
2 Portée
L’usage de l’Internet comme moyen d’accès aux systèmes du réseau de la Banque-carrefour
de la sécurité sociale en dehors de l’infrastructure de l’Extranet est un risque majeur qui doit
faire l’objet d’une politique de sécurité stricte et rigoureuse.
Cette POLICY s’inscrit dans le cadre de la stratégie de la politique de sécurité du réseau de
la Sécurité Sociale énoncée dans le document ‘Information Security Management System’
approuvée par le Comité Général de Coordination de la Banque Carrefour de la sécurité
sociale.
3 Champ d’application
Cette politique concerne uniquement les acteurs du secteur social qui, dans le cadre du
traitement des données à caractère personnel, ne sont pas connectées à l’Extranet de la
sécurité sociale et qui peuvent justifier de l’impossibilité d’y adhérer.
P2
KSZ - BCSS
Accès réseau Banque-Carrefour par l’Internet
Version 3.2.
06/06/2005
4 Policy générale
L’utilisation de l’Internet comme moyen d’accès au réseau de la Banque-carrefour de la
sécurité sociale constitue une exception au principe général de l’accès via l’Extranet de la
Sécurité Sociale.
Cette utilisation doit faire l’objet d’une demande d’autorisation et de dérogation écrite auprès
du fonctionnaire dirigeant de la Banque Carrefour de la Sécurité Sociale.
5 Contenu de la demande
La demande d’autorisation et de dérogation doit justifier des motivations à ne pas utiliser
l’Extranet de la Sécurité Sociale ou les réseaux privatifs sécurisés ainsi qualifiés par la BCSS
et décrire de manière précise les mesures prises au sein de l’organisation pour réduire les
risques de sécurité inhérents à l’usage du protocole Internet.
6 Exigences
L’utilisation de l’Internet comme mode de connexion au réseau de la Banque-carrefour de la
sécurité sociale est autorisée sous réserve d’une autorisation explicite et écrite de la Banque
Carrefour de la sécurité sociale et d’une application sans restrictions des exigences
suivantes :
6.1. Niveau autorisation d’accès
v L’autorisation accordée n’est jamais globale ; elle ne porte que sur le système ou la
transaction visée lors de la demande,
v dans le cadre de l’utilisation de données sociales à caractère personnel, la demande
précisera distinctement s’il s’agit d’un accès dans le cadre de la communication ou de
la consultation de données sociales ; lorsqu’il s’agit d’une consultation, le dossier de
demande décrira précisément la finalité recherchée,
v les transactions ou les systèmes accédés lorsqu’elles contiennent des données
sociales à caractère personnel doivent être protégés par un système d’autorisation
d’accès au travers du User Management Ambtenaar Fonctionnaire (UMAF),
v les utilisateurs concernés sont des personnes physiques nommément désignées par
le fonctionnaire dirigeant de l’institution.
La gestion de ces autorisations est assurée par un gestionnaire local dûment mandaté à cette
tâche par le fonctionnaire dirigeant de l’organisation.
6.2. Niveau identification / authentification
Le processus d’identification et d’authentication doit appliquer sans restrictions le règlement
des utilisateurs tel que repris en page d’accueil du Portail de la Sécurité Sociale.
(https://www.socialsecurity.be).
Le processus d’identification et d’authentification sera fonction du niveau de confidentialité des
données traitées par la transaction ou le système concerné ainsi que du cadre de la
communication ou de la consultation des données sociales.
P3
KSZ - BCSS
Accès réseau Banque-Carrefour par l’Internet
Version 3.2.
06/06/2005
L’accès à la transaction ou au système par l’Internet sera activé après un avis favorable de la
Banque Carrefour de la sécurité sociale qui précisera dans sa délibération le processus
d’identification / authentification à mettre en place.
Dans tous les cas ce processus sera composé au minimum :
v d’une identication par un user ID,
v d’une authentification par l’usage d’un mot de passe, du token fonctionnaire ou de la
carte d’identité électronique,
Dans le cas d’une liaison par transfert de fichier, l’usage d’un certificat pourra être exigé.
Le type de certificat sera défini de commun accord avec la Banque Carrrefour de la Sécurité
Sociale.
6.3. Traçabilité
L’activation des logs à caractère sécuritaire est obligatoire et doit être conforme au respect de
la norme minimale de sécurité énoncée par le groupe de travail ‘Sécurité de l’information’.
6.4. Restrictions
v l’usage de l’Internet dans le cadre du mode application à application est interdit,
v la disponibilité du réseau Internet n’est pas de la responsabilité du réseau de la
Banque Carrefour de la sécurité sociale,
v seul le protocole HTTPS (encapsulation du protocole HTTP dans SSL) est autorisé.
6.5. Liaison par transfert de fichier
L’activation de l’échange de données par transfert de fichiers via l’Internet est conditionné
par :
v l’autorisation explicite de la Banque Carrefour de la Sécurité Sociale,
v l’utilisation d’un protocole de transfert sécurisé qualifié par le réseau Banque
Carrefour de la Sécurité Sociale,
v l’utilisation d’un processus d’identification / authentification fort qualifié par le réseau
de la Banque Carrefour de la Sécurité Sociale.
7 Réglementation
Le non-respect de cette politique peut donner lieu à une sanction conformément à la
réglementation en vigueur au sein de l’institution.
La réglementation en vigueur au sein de l’institution devra éventuellement être adaptée afin
de pouvoir sanctionner le non-respect de cette politique.
8 Maintenance, suivi et révision
La maintenance, le suivi et la révision de cette POLICY est de la responsabilité du groupe de
travail sécurité de l’information.
P4
KSZ - BCSS
Accès réseau Banque-Carrefour par l’Internet
Version 3.2.
06/06/2005
9 Glossaire
SSL: Secure Sockets Layer protocol (Protocole permettant la transmission sécurisée de
formulaires sur le Web).
HTTP : HyperText Transfer Protocol (Protocole utilisé pour transférer des documents
hypertextes ou hypermédias entre un serveur Web et un client Web).
10Validation
Cette POLICY a reçu l’approbation du groupe de travail Sécurité de l’Information en : / /.
P5