ISMS Politique générale sur l`utilisation d`internet
Transcription
ISMS Politique générale sur l`utilisation d`internet
Politique générale sur l'utilisation d'internet (Information Security Policy) LOGO Institution Version 0.30 25/05/2010 ISMS (Information Security Management System) Politique générale sur l'utilisation d'internet Version control – please always check if you’re using the latest version Doc. Ref. : isms_040_internet_policy_fr_v1.doc Release Status Date Written by Approved by FR_0.30 Proposition des institutions de sécurité sociale 25/05/2010 Alain Quewet Groupe de travail Sécurité de l’information Remarque : ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes: madame Pinte (ONSS), messieurs Bochart (BCSS), Costrop (Smals), Petit (FMP), Quewet (SPF Santé publique), Symons (ONEm), Vandergoten (INAMI), Van Cutsem (ONSSAPL). Politique générale sur l'utilisation d'internet (Information Security Policy) LOGO Institution Version 0.30 25/05/2010 Table des matières 1. INTRODUCTION ........................................................................................................................ 4 2. PORTEE ..................................................................................................................................... 4 3. DEFINITIONS ............................................................................................................................. 4 3.1. 3.2. 3.3. 3.4. 3.5. 3.6. 3.7. 3.8. 3.9. 3.10. 3.11. 3.12. 3.13. 3.14. 3.15. 3.16. 4. L’INTERNET ........................................................................................................................... 4 ROUTEUR .............................................................................................................................. 4 DMZ ..................................................................................................................................... 4 IPS ....................................................................................................................................... 5 DEFENSE IN DEPTH ................................................................................................................ 5 FLUX DE DONNEES ................................................................................................................. 5 WEB...................................................................................................................................... 5 WEBSITE DEFACEMENT .......................................................................................................... 5 MALWARE.............................................................................................................................. 5 VIRUS ................................................................................................................................... 5 VERS (WORM) ..................................................................................................................... 6 TROJAN (CHEVAL DE TROIE) ................................................................................................... 6 SPAM................................................................................................................................... 6 PHISHING .............................................................................................................................. 7 HOAX .................................................................................................................................... 7 INGENIERIE SOCIALE (SOCIAL ENGINEERING)............................................................................ 8 CATEGORISATION DE L’UTILISATION DE L’ACCES A L’INTERNET. ................................ 9 4.1. 4.2. 5. UTILISATION PROFESSIONNELLE ............................................................................................. 9 UTILISATION PRIVEE ............................................................................................................... 9 CODE DE BONNE CONDUITE.................................................................................................. 9 5.1. 5.2. 5.3. 5.4. 5.5. 5.5.1. 5.5.2. 5.6. 6. DONNEES CONFIDENTIELLES .................................................................................................. 9 DROITS ET OBLIGATIONS ...................................................................................................... 10 ETHIQUE ............................................................................................................................. 10 INTERDICTION D’UTILISATION ................................................................................................ 10 PUBLICATION ....................................................................................................................... 11 Publication sur les sites de l’institution .......................................................................... 11 Publication externe ........................................................................................................ 11 DEVELOPPEMENT D'APPLICATIONS WEB PAR L’ICT................................................................. 11 SECURISATION DU SYSTEME D’ACCES A INTERNET ...................................................... 12 6.1. 6.2. 7. PROTECTION DES SYSTEMES END-USER ................................................................................ 12 SYSTEME D’ACCES ............................................................................................................... 12 GUIDE DE BONNES PRATIQUES POUR L’UTILISATEUR FINAL....................................... 13 7.1. NAVIGATION SUR INTERNET .................................................................................................. 13 7.1.1. Prévention contre les sites malveillants......................................................................... 13 7.1.2. Qualité de l’information .................................................................................................. 13 7.2. CONTRIBUTIONS AUX DISCUSSIONS :..................................................................................... 13 7.2.1. Risques .......................................................................................................................... 14 7.2.2. Prévention...................................................................................................................... 14 7.3. SECURITE DES TRANSACTIONS ............................................................................................. 14 8. CONTROLES ET SANCTIONS ............................................................................................... 15 8.1. 8.2. CONTROLES ........................................................................................................................ 15 MODALITES D’INDIVIDUALISATION DES DONNEES DE COMMUNICATION ELECTRONIQUES ............ 15 P2 LOGO Institution Politique générale sur l'utilisation d'internet (Information Security Policy) Version 0.30 8.3. 25/05/2010 SANCTIONS ......................................................................................................................... 16 P3 Politique générale sur l'utilisation d'internet (Information Security Policy) LOGO Institution Version 0.30 25/05/2010 1. Introduction Comme tous les autres instruments de travail mis à votre disposition, les moyens de communication de l’institution ne peuvent, normalement, être utilisés qu’à des fins professionnelles. 2. Portée Cette politique s’applique à toutes les personnes ayant un accès à l’Internet mis à la disposition de l’utilisateur par le service informatique de l’institution, que ce soit dans ses locaux ou en dehors via un accès sécurisé à distance, ainsi qu’aux collaborateurs qui développent ou gèrent des systèmes basés sur l’Internet. Ce document a pour but d’assurer que toutes les personnes impliquées comprennent leurs droits et devoirs concernant l’utilisation des systèmes Internet de l’institution, et ainsi d’éviter l’utilisation abusive de ceux-ci. 3. Définitions1 3.1. L’Internet L’Internet est un réseau de télécommunication mondial. Il rend accessibles au public et aux institutions des services variés comme le courrier électronique, la messagerie instantanée et le World Wide Web, en utilisant le protocole de communication IP (internet protocol). Son architecture technique qui repose sur une hiérarchie de réseaux, segmentés par des routeurs, lui vaut le surnom de « réseau des réseaux ». 3.2. Routeur Le routeur est un appareil de télécommunication dont le rôle est d’aiguiller des paquets d’information d’un segment de réseau vers un autre, de façon à éviter la dissémination des paquets dans toutes les machines de tous les réseaux. 3.3. DMZ La DMZ (pour DeMilitarized Zone) est un sous-réseau d’une entreprise qui contient les serveurs accessibles à l’Internet. La DMZ ne contient que les machines strictement nécessaires à l’établissement des flux de données, les serveurs sensibles sont placés dans des sous-réseaux sécurisés non accessibles de l’extérieur. 1 Les définitions ont été basée sur les définitions disponible dans l'encyclopédie libre Wikipédia. P4 Politique générale sur l'utilisation d'internet (Information Security Policy) LOGO Institution Version 0.30 3.4. 25/05/2010 IPS IPS est l’acronyme d’ « Intrusion Prevention System », ou « système de prévention d’intrusions ». Cet appareillage est destiné à détecter et, en théorie, à répondre automatiquement aux tentatives d’attaques sur le réseau de l’entreprise/institution. 3.5. Defence in depth Le principe de la « defence in depth » vient des stratégies militaires et consiste essentiellement à ralentir la progression de l’attaquant plutôt qu‘à l’éradiquer. Il s’agit donc de multiplier les barrières défensives, d’installer de la sécurité à chaque endroit possible. 3.6. Flux de données Communication structurée d’informations entre partenaires en utilisant les techniques de l’Internet. Un flux de données est caractérisé par la source, les destinataires et le partenaire qui initie le transfert. 3.7. Web Le World Wide Web, littéralement la « toile mondiale », communément appelé ‘Web’, ‘la Toile’ ou le WWW, est un système hypertexte public fonctionnant sur l’Internet qui permet de consulter, avec un navigateur, des pages accessibles sur des sites. L’image de la toile d'araignée vient des hyperliens qui lient les pages web entre elles (http://fr.wikipedia.org/wiki/World_Wide_Web). Le Web n’est qu’une des applications d’Internet. 3.8. Website defacement Pratique frauduleuse de corruption de données ou d’atteinte à l’image du propriétaire d’un site ; l’objectif est de modifier le contenu des pages du site web ciblé par l’attaquant. 3.9. Malware Le malware est la contraction de « malicious » (qui peut se traduire par « malicieux » dans le sens de « malveillant », et non celui de « porté à la plaisanterie ») et « software » (logiciel). C’est un terme désignant un logiciel malveillant ; un logiciel développé dans le but de nuire à un système informatique. Les virus et les vers sont les deux exemples les plus connus de logiciels malveillants. 3.10. Virus Au sens strict, un virus informatique est un programme informatique écrit dans le but de se propager à d'autres ordinateurs en s'insérant dans des programmes ou données légitimes appelés « hôtes ». Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme l'internet, mais aussi les disquettes, les cédéroms, les clefs USB, etc. Les virus informatiques ne doivent pas être confondus avec les vers qui sont des programmes P5 Politique générale sur l'utilisation d'internet (Information Security Policy) LOGO Institution Version 0.30 25/05/2010 capables de se propager et de se dupliquer par leurs propres moyens sans contaminer un « programme hôte ». 3.11. Vers (WORM) Un ver, contrairement à un virus informatique, n'a pas besoin d'un « programme hôte » pour se reproduire. Il exploite les différentes ressources existantes ou disponibles afin d'assurer sa reproduction. La définition d'un ver s'arrête à la manière dont il se propage de machine en machine, mais le véritable but de tels programmes peut aller bien au-delà du simple fait de se reproduire, notamment espionner, offrir un point d'accès caché (porte dérobée), détruire des données, faire des dégâts, envoyer de multiples requêtes vers un site internet dans le but de le saturer, etc. Les effets secondaires peuvent être aussi un ralentissement de la machine infectée, un ralentissement du réseau, le plantage de services ou du système, etc. Des vers écrits sous forme de scripts peuvent être intégrés dans un courrier électronique ou sur une page HTML de l’Internet. Ils sont activés par des manipulations de l'utilisateur qui croit accéder à des informations lui étant destinées et étant totalement fiables. 3.12. Trojan (cheval de Troie) Un cheval de Troie est un logiciel d’apparence légitime, mais conçu pour exécuter subrepticement (de façon cachée) des actions à l’insu de l'utilisateur. En général, un cheval de Troie tente d’utiliser les droits appartenant à son environnement pour détourner, diffuser ou détruire des informations, ou encore pour ouvrir une porte dérobée qui permettra à un attaquant de prendre, à distance, le contrôle de l'ordinateur. Un cheval de Troie n’est pas un virus informatique, en ce sens qu'il ne se reproduit pas par luimême, fonction essentielle pour qu’un logiciel puisse être considéré comme un virus. Un cheval de Troie est conçu pour être reproduit lors de téléchargements ou de copies par des utilisateurs naïfs, attirés par les fonctionnalités du programme. Les chevaux de Troie servent très fréquemment à introduire une porte dérobée sur un ordinateur. L’action nuisible à l’utilisateur est alors le fait qu’un pirate informatique peut à tout moment prendre à distance (par Internet) le contrôle de l’ordinateur. Un cheval de Troie se compose de deux parties distinctes : la partie "serveur" et la partie "client". La partie client est le composant envoyé à la victime tandis que la partie serveur reste sur l'ordinateur du pirate. La partie client est envoyée par courriel et se présente sous la forme d'une amélioration d'un logiciel (ex : MSN, Adobe Photoshop, Safari ...). Il peut aussi se présenter sous la forme d'un test de QI ou d'un jeu à but lucratif. Bref, les formes sont multiples. Le cheval de Troie se glisse donc dans l'ordinateur et s'installe dans l'éditeur du registre. Là, il ouvre une porte dérobée (backdoor) de l'ordinateur et établit une connexion avec l'ordinateur pirate. La partie serveur, elle, s'occupe d'envoyer les informations. Le pirate peut contrôler la totalité des commandes exécutables sur un PC (il peut contrôler la souris, le clavier mais aussi imprimer, formater le disque dur, activer une webcam, etc.). La distinction entre un cheval de Troie, un spyware, un keylogger et une porte dérobée n'est donc souvent qu'une question de mot ou de contexte. 3.13. SPAM Le SPAM désigne une communication expédiée en masse à des fins publicitaires ou malhonnêtes, notamment du courrier électronique non sollicité par les destinataires. La perception du niveau de pertinence d'un message SPAM varie d'un utilisateur à l'autre. P6 Politique générale sur l'utilisation d'internet (Information Security Policy) LOGO Institution Version 0.30 25/05/2010 L'association de « SPAM » et d’« indésirable » provient d'un sketch comique des Monty Python dans lequel le même mot, désignant un jambon en boîte de basse qualité, envahit la conversation et le menu d'un petit restaurant. Ce sketch parodiait d'ailleurs une des premières formes de message indésirable. En effet c'est une publicité radiophonique pour SPAM, pendant laquelle la marque était répétée de nombreuses fois, qui est à l'origine du sketch des Monty Python. Les SPAM contiennent généralement de la publicité pour différents services et produits tels que les services pornographiques, les médicaments, le crédit financier, les casinos en ligne, les montres de contrefaçon, etc. . Ces messages non sollicités sont généralement issus de l'activité d'un logiciel malveillant ayant compromis un ou plusieurs systèmes. Ces logiciels utilisent généralement leur propre moteur interne pour propager ces SPAM. Néanmoins, dans certains cas, ils peuvent également utiliser le système de messagerie déjà configuré sur le(s) système(s) infecté(s). La dernière évolution actuelle du SPAM est le phishing, une méthode qui consiste à tromper le destinataire en se faisant passer pour un message officiel de sa banque ou d'un quelconque service protégé par un mot de passe. Le but est de récupérer les données personnelles des destinataires (notamment des mots de passe, un numéro de carte bancaire) en les attirant sur un site factice enregistrant toutes leurs actions. 3.14. Phishing Le phishing est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. … — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale. Le phishing, ou hameçonnage, peut se faire par courrier électronique, par des sites web falsifiés ou par d’autres moyens électroniques. 3.15. Hoax En informatique, les canulars (appelés « hoax » en anglais) se trouvent souvent sous la forme de message électronique ou de simple lettre-chaîne. Dans ce dernier cas, l’Internet ne fait qu'amplifier un phénomène qui existait déjà à travers le courrier traditionnel. Le mot hoax est une simplification du premier mot de l'expression hocus pocus, signifiant « tromperie » ou « escroquerie ». À la différence des SPAM qui sont la plupart du temps envoyés de manière automatisée à une liste de destinataires, les canulars (Hoax) sont, eux, relayés manuellement par des personnes de bonne foi à qui on demande de renvoyer le message à toutes ses connaissances, ou à une adresse de courrier électronique bien précise. Les canulars sont souvent bâtis sur les mêmes modèles que les légendes urbaines. Dans ce cas ils en exploitent les caractéristiques de diffusion par colportage, ce qui renforce à la fois leur impact et leur audience. • On essaie de vous prendre par les sentiments de manière assez grossière : sauvez Brian ! • Les faits relatés sont généralement très flous (« au Brésil », par exemple, sans plus de détails, ou « dans trois mois », sans donner la date de départ). • Les références sont généralement inexistantes ou au contraire trop énormes (le Pentagone, Microsoft, etc.). • On vous fait des promesses disproportionnées et en lien avec la disparité du monde d'aujourd’hui : devenir milliardaire vite et aisément, gagner un bateau, etc. P7 Politique générale sur l'utilisation d'internet (Information Security Policy) LOGO Institution Version 0.30 25/05/2010 • On vous envoie des messages alarmistes ou des fausses alertes au virus, dans le but de faire paniquer les utilisateurs novices, et parfois de leur faire commettre des manipulations dangereuses de leur système informatique (exemples : « Attention, ce virus détruit toutes les données du disque dur », Ultima de athenas). • Des quantités d'adresses électroniques sont aussi exposées, car souvent les utilisateurs ne savent pas les mettre en mode bcc (ce qui est une aubaine pour les spammeurs). • Parfois, on vous assure à maintes reprises que ce n'est pas un canular en disant qu'un de ses amis a été convaincu par le message alors que c'est évidemment totalement faux. • Vous pouvez également recevoir de surprenants messages publicitaires vous promettant des bouteilles de champagne de grandes marques ou des bordeaux d'un grand château, ou tout autre cadeau si vous transmettez le message électronique à une vingtaine de vos relations électroniques. • Enfin, une variante appelée le « viroax » associe le virus et le hoax. Cette variante profite de la crédulité du destinataire, le pousse à effacer un fichier de son ordinateur, en lui faisant penser que c'est un virus, fichier parfois utile au fonctionnement de son système d'exploitation, son antivirus ou son pare-feu. Parfois, et malheureusement, le message de départ est envoyé en toute bonne foi (vente de chiots, disparition d’une personne, demande de don de moelle osseuse, …) mais il est ensuite expédié et réexpédié par tant de personnes (voire – et très souvent – modifié) qu'il peut durer des années après la résolution du problème (qui a en général été réglé dans les plus brefs délais). On assiste alors à la diffusion massive de coordonnées personnelles de personnes dépassées par les événements qui sont donc obligées de fermer leur adresse électronique, leur numéro de téléphone, … pour retrouver la paix. Des associations, organismes ou hôpitaux ont été victimes de ces débordements (par exemple « l'American Cancer Society »). 3.16. Ingénierie sociale (social engineering) L'ingénierie sociale (« social engineering » en anglais) est une forme d'escroquerie utilisée en informatique pour obtenir un bien ou une information. Cette pratique exploite l'aspect humain et social de la structure à laquelle est lié le système informatique visé. Utilisant ses connaissances, son charisme, l'imposture ou le culot, le pirate abuse de la confiance, de l'ignorance ou de la crédulité des personnes possédant ce qu'il tente d'obtenir. Dans son ouvrage « L'art de la supercherie », Kevin Mitnick a théorisé et popularisé cette pratique qui vise le facteur humain d'un système informatique pour briser sa sécurité. Ce terme est surtout utilisé en jargon informatique pour définir les méthodes des pirates informatiques (catégorie des hackers Black hat), qui usent d'ingénierie sociale pour obtenir accès à un système informatique ou simplement pour satisfaire leur curiosité. De nos jours, un effort de formation et de prévention des utilisateurs de systèmes informatisés sécurisés est fourni. Les départements de gestion informatique font circuler des documents décrivant les règles de sécurité de base : la façon de choisir un mot de passe long et ne se trouvant pas dans le dictionnaire, ne jamais donner son mot de passe à quelqu'un, pas même à un employé du département informatique, etc. Des conférences invitant des spécialistes du renseignement ou de la sécurité informatique sont parfois organisées au sein des plus grandes structures, afin de sensibiliser davantage les utilisateurs à cette menace. Ces formations visent à prévenir les employés de ne pas divulguer accidentellement des informations sensibles, et de donner l'alerte en cas de tentative détectée. P8 Politique générale sur l'utilisation d'internet (Information Security Policy) LOGO Institution Version 0.30 25/05/2010 4. Catégorisation de l’utilisation de l’accès à l’Internet. L’Internet est un moyen de communication, deux cas de figures en termes d’utilisation se présentent ; l’utilisation professionnelle et l’utilisation privée. Néanmoins, pour des raisons de sécurité, les règles suivantes devront être d’application. Dans le cadre de l’utilisation, chaque utilisateur devra considérer la nécessité de respecter la confidentialité et l’intégrité de l’information qu’ils consultent. 4.1. Utilisation professionnelle Si nécessaire dans le cadre de leurs missions au sein de l’institution, les collaborateurs disposeront d’un accès à l’Internet aux conditions fixées par la hiérarchie. Toutes les utilisations de l’Internet doivent être appropriées et en rapport avec les activités de la personne au sein de cette institution. L’utilisation d’autres systèmes de messagerie électronique que ceux mis à disposition ou autorisés par l’institution, et ce via le canal Internet est prohibée. 4.2. Utilisation privée Une utilisation privée limitée de l’Internet est tolérée dans des limites raisonnables, tant que les sites visités ne contreviennent pas à la loi et restent appropriés à un environnement professionnel. 5. Code de bonne conduite 5.1. Données confidentielles Toutes les données à caractère personnel ou médical devant être transmises par la voie électronique ne peuvent être transférées que par les systèmes d’informations définis et approuvés par les Comités Sectoriels compétents. Quand d’autres données confidentielles sont transmises par la voie électronique, des mesures adéquates doivent être prises afin d’assurer la confidentialité et l’intégrité des données transmises tout en respectant les législations et règlements en vigueur (Banque Carrefour de la sécurité sociale, Registre national des personnes physiques, Protection des données à caractère personnel, …) P9 Politique générale sur l'utilisation d'internet (Information Security Policy) LOGO Institution Version 0.30 5.2. 25/05/2010 Droits et obligations L’institution respecte le droit des utilisateurs d’Internet à la protection de leur vie privée dans le cadre de la relation de travail et des droits et obligations que celle-ci implique pour chacune des parties. Les utilisateurs du système permettant l’accès à l’Internet reconnaissent le principe selon lequel l’institution dispose d’un droit de contrôle sur l’outil de travail et sur l’utilisation de cet outil par les utilisateurs dans le cadre de l’exécution de leurs obligations contractuelles, y compris lorsque cette utilisation relève de la sphère privée. Tous les collaborateurs doivent être conscients que les accès à l’Internet pourraient être filtrés, surveillés, enregistrés et analysés en accord avec la législation belge en vigueur en la matière, entre autres la convention collective de travail N° 81 si applicable. En conséquence, l’institution se réserve le droit de bloquer les accès vers des sites internet jugés inappropriés en regard des critères définis au point 5.4. Interdiction d’utilisation}. 5.3. Ethique Tous les utilisateurs du système d’accès à Internet de l’institution sont responsables des aspects éthiques liées à cette utilisation et doivent donc faire usage de ce système en « bon père de famille ». 5.4. Interdiction d’utilisation L’usage du système permettant l’accès à l’Internet depuis l’institution est interdit dans les cas suivants ou similaires, de manière non exhaustive : • des sites prônant l’engagement dans des activités illégales, frauduleuses ou malveillantes ; • la communication de données en violation des droits d’auteur ; • des sites incitant à la calomnie, à la diffamation ; • des sites publiant de l’information à caractère choquant, obscène, pornographique, racial, diffamatoire ; • des sites publiant de l’information à caractère injurieux, désobligeant et/ou menaçant ; • des sites incitant à enfreindre la loi ; • des sites prônant l’engagement dans des activités de harcèlement sur base du sexe, de la race, de la nationalité, de la capacité physique ou de tout autre domaine ; • la communication via des sites interactifs de faits en relation2 : o à la sécurité nationale; o à la protection de l'ordre public; o aux intérêts financiers de l'autorité publique; o à la prévention et à la répression des faits délictueux; o au secret médical; o aux droits et libertés du citoyen; o au respect de la vie privée; o à la préparation des décisions, tant que la décision finale n'a pas été prise. L’internet ne peut pas être utilisé pour violer les droits de propriété intellectuelle de quelque partie que ce soit. Ceux-ci incluent les droits de reproduction, les marques protégées, la publicité et les 2 Cette liste d’interdiction a été extraite de l’article 11 du statut du fonctionnaire fédéral (AR 2/10/1937) et de la circulaire 573 régissant le cadre déontologique de la fonction publique fédérale. P 10 Politique générale sur l'utilisation d'internet (Information Security Policy) LOGO Institution Version 0.30 25/05/2010 droits privés. Il est interdit aux collaborateurs d’essayer de déjouer les mécanismes mis en œuvre pour protéger ces droits de propriété intellectuelle. Les attaques quelles qu’elles soient vers les systèmes informatiques et les réseaux sont strictement interdites. L’utilisation disproportionnée et déraisonnable des ressources de l’institution est interdite. Ainsi sont prohibés par exemple : • le téléchargement de fichiers volumineux (vidéos, jeux, musique, …) ; • l’utilisation de systèmes utilisant des hauts débits (streaming vidéo et radio, jeux en ligne, …) ; • la consultation de sites nécessitant des ressources importantes (sites commerciaux, sites de partage d’images, sites tournant en permanence des vidéos, …). 5.5. 5.5.1. Publication Publication sur les sites de l’institution Une procédure appropriée doit être définie pour la publication sur les sites web (tant internes qu’externes) de l’institution. Cette procédure doit au minimum avoir trait à : • l’approbation du contenu, • la mise à jour pour les changements de contenu, et • le cas échéant, la détermination des responsabilités lorsqu'il s'agit de répondre aux demandes externes. Si un collaborateur a connaissance d’une dégradation quelle qu’elle soit des pages web de l’institution, il doit en informer le service de support aux utilisateurs. (exemple : website defacement). Il appartient au conseiller en sécurité de faire en sorte que la procédure détaillée de traitement des incidents soit définie et communiquée. 5.5.2. Publication externe Toute communication d’informations impactant directement ou indirectement l’institution de quelque manière que ce soit, fournie dans le cadre d’une relation professionnelle ou privée, sur quelque support que ce soit (forum, messagerie, site web, blog, réseau social, …) doit être approuvée par le service de communication, l’administration générale, voire le responsable de la gestion journalière de l’institution. 5.6. Développement d'applications web par l’ICT Les applications développées pour le Web sont particulièrement vulnérables, car elles sont exposées à un grand nombre d’attaquants potentiels. Il est donc de première importance de développer ces applications dans les règles de l’art. Des attentions particulières doivent être accordées à la méthodologie de gestion du projet (cycle de développement, tests, …), à l’utilisation sûre de techniques de programmation et à la bonne intégration des nouvelles applications dans l’infrastructure existante. P 11 Politique générale sur l'utilisation d'internet (Information Security Policy) LOGO Institution Version 0.30 25/05/2010 6. Sécurisation du système d’accès à Internet L’accès à des ressources de l’Internet à partir des installations de l’institution est réservé exclusivement au personnel autorisé. Ces accès doivent être bien définis, limités à un propos légitime, et doivent respecter les lois et réglementations en vigueur. L’institution doit mettre en œuvre différents dispositifs de protection de façon à se prémunir contre toute attaque, tant interne qu’externe. Dès lors, toute tentative de désactivation, de modification de la configuration, de contournement des systèmes de protection est interdite. Les institutions de sécurité sociale doivent respecter les normes minimales de sécurité pour leurs accès à l’Internet. Plus particulièrement, les institutions du réseau primaire doivent exploiter l’Extranet de la BCSS pour leurs liaisons internet (Normes minimales, §10.3), car celui-ci bénéficie de mesures de protection adaptées. 6.1. Protection des systèmes end-user Tous les systèmes utilisés en tant que station de travail doivent être configurés de manière à atteindre les niveaux de sécurité utiles, tels que ceux décrits dans les politiques « protection des postes de travail » (ISMS.039.Workstation) et « utilisation d’ordinateur portable » (ISMS.025.laptop). 6.2. Système d’accès Le système d’accès inclut tous les éléments compris entre le point de connexion à internet et le système/l’application utilisé(e) par l’utilisateur final. Ces systèmes ne sont pas nécessairement gérés par l’institution elle-même, mais restent de leur responsabilité (ex : extranet de la sécurité sociale pour les institutions du réseau primaire). L’infrastructure d’accès à internet mise en place par l’institution devrait suivre le principe de la sécurisation à tous les niveaux (‘defense in depth’). Par exemple, outre la sécurité offerte par l’extranet, l’institution pourrait : - limiter les accès au niveau des routeurs d’entrée, par le contrôle des flux entrants et sortants (adresses IP et ports, protocoles, etc.…) ; - mettre en place une DMZ ; - installer et configurer des firewalls, un proxy et / ou un reverse proxy ; - sécuriser les flux d’informations en fonction de leur classe de sensibilité. Dans le cas du transfert d’informations sensibles par internet, le système d’accès devrait inclure des protections (cryptage des liaisons, authentification des utilisateurs, utiliser SFTP plutôt que FTP, …) ; - mettre en place un IPS (intrusion prevention system) ; - mettre en place des outils de web content filtering et de lutte anti-malware ; - utiliser un système de monitoring actif permettant de consolider et d’interpréter les données des événements liés à l’utilisation de la connexion internet ; - mettre en place les procédures de gestion des configurations, des changements, de la capacité et de la continuité des différents systèmes considérés. P 12 Politique générale sur l'utilisation d'internet (Information Security Policy) LOGO Institution Version 0.30 25/05/2010 7. Guide de bonnes pratiques pour l’utilisateur final 7.1. Navigation sur Internet Par navigation, il est entendu la consultation de sites et la récolte d’informations au fil des liens proposés et des recherches au moyen de sites spécialisés (moteurs de recherche et annuaires) dont le but est la collecte d’informations pertinentes par rapport au but poursuivi par l’utilisateur. 7.1.1. Prévention contre les sites malveillants Lorsque l’on navigue sur internet, il n’est pas rare de se trouver confronté à des attaques par l’intermédiaire de sites présentant des risques particuliers. Voici quelques conseils pour éviter des surprises désagréables : • évitez les sites non professionnels. Lorsque vous suspectez que le site ne correspond pas à celui de la société/institution que vous attendez, quittez-le ; • vérifiez systématiquement les adresses URL sur lesquelles vous vous connectez, une des caractéristiques du phishing est d’utiliser des adresses URL très proches de celles des sites officiels. En cas de doute, fermez votre session ; • évitez le plus possible de répondre à des fenêtres ‘pop-up’ et aux publicités intempestives, qui souvent branchent vers des sites douteux ; • contrôlez les possibilités d’exécution de scripts et de contrôles, qui sont autant de points d’entrée de virus et de chevaux de Troie ; • ne modifiez pas la configuration de votre navigateur, seul le responsable système a le droit de définir les conditions d’utilisation d’internet ; • ne désactivez jamais les logiciels de protection (anti-virus, anti-spam, firewall, …) 7.1.2. Qualité de l’information L’Internet est un outil de recherche et de récolte d’informations essentiel dans l’institution. La qualité et la quantité de cette récolte peuvent être très variables et un bon sens critique de l’utilisateur est nécessaire pour garantir l’absence de désagréments lors de l’utilisation de l’information trouvée. Par exemple, voici quelques conseils de navigation sur internet : • l’utilisation de moteurs de recherche (google, yahoo, bing, …) peut parfois donner des résultats surprenants, ne vous limitez pas à un seul canal de recherche ; • contrôlez toujours la validité et la fiabilité des informations récoltées, croisez les sources pour assurer la qualité des informations que vous utiliserez ; • lors de l’utilisation des informations, citez toujours vos sources ; • vérifiez les clauses de confidentialité éventuelles (sites sécurisés) et de droits d’auteur ou de copie. N’oubliez pas de demander les autorisations de copie si nécessaire ; • respectez les principes repris dans le code de bonne conduite (voir Chap. 5). 7.2. Contributions aux discussions : Nous considérons ici toute forme d’interaction avec la communauté internet consistant en la mise en ligne d’informations, sous quelque forme que ce soit, et dans quelque contexte que se soit, également le partage de documents, la participation à des forums, l’utilisation de réseaux sociaux, etc. P 13 Politique générale sur l'utilisation d'internet (Information Security Policy) LOGO Institution Version 0.30 25/05/2010 L’Internet est une source importante d’informations pour des personnes malveillantes, d’autant plus que beaucoup de contributeurs y livrent des considérations en apparence anodines, mais qui peuvent renseigner un connaisseur éclairé. 7.2.1. Risques Voici quelques exemples concrets de risques : • les informations publiées à titre personnel (adresse, âge, numéros de téléphone, adresse mail, …) peuvent, lorsqu’elles sont croisées avec les données publiées par l’institution (fonction, coordonnées, participation à des activités externes, …), faciliter des fraudes par usurpation d’identité ou par ‘social engineering’ ; • les communications que vous faites dans le cadre d’un « groupe d’amis » peuvent être visibles ou relayées à un groupe plus large, voire à l’Internet ; • les informations professionnelles que vous divulguez peuvent, lorsqu’elles sont trop précises, inclure des indications précieuses sur des vulnérabilités de l’institution (ex : une anecdote sur la façon dont les visiteurs sont mal accueillis) ; • les forums de discussions de professionnels de l’informatique (développeurs Java par exemple) sont particulièrement fréquentés par les ‘hackers’ à la recherche de failles de sécurité ou simplement de données de configuration (logiciel et version pour lesquels les failles sont connues) pour mieux attaquer les systèmes d’information de votre institution ; • lors du partage ou de la publication de documents, il convient de faire attention au contenu des « métadonnées » associées, car elles peuvent délivrer des informations « confidentielles » sur les personnes ou les systèmes d’informations qui les ont traités ; • certaines invitations ou requêtes pouvant être initiées dans des forums sont parfois conçues pour récolter les adresses mail des personnes avec lesquelles vous êtes en contact, et ainsi distribuer du SPAM plus facilement. 7.2.2. Prévention Voici quelques conseils utiles pour limiter les risques d’utilisation malveillante d’informations que vous publiez : • rappelez-vous que tout ce que vous publiez est potentiellement accessible par le monde entier ; • évitez de publier des informations sur les actifs de l’institution (nature des dossiers, systèmes de protection, versions logicielles, etc.) ; • en toutes circonstances, respectez la ‘netiquette’ : utilisez un langage approprié, un ton calme et serein ; • rappel : la liste des interdictions reprise en § 5.4 est bien sûr d’application ici ; • dans le cadre d’une contribution officielle, la communication doit être validée par l’administration générale et ce via le service de communication. Cette contribution devra être déclarée au nom de l’institution ; • limitez les informations professionnelles donnant des indications sur votre fonction et votre institution. Par exemple : lors de contributions, utilisez un pseudonyme qui ne permet pas de vous identifier, ni d’identifier votre institution. 7.3. Sécurité des transactions À l’heure actuelle, l’Internet est de plus en plus utilisé comme support afin de vous permettre d’accéder aux applications et aux données accessibles à travers elles. Afin de garantir le respect de la protection de ces informations confidentielles, des mesures de sécurité ont été mises en œuvre. L’utilisateur final doit aussi contribuer à la sécurité en respectant les quelques règles suivantes : • les moyens d’identification et d’authentification (identifiant, mot de passe, token, clé rsa, certificat électronique …) sont strictement personnels et confidentiels. Aucune information ou matériel visant à identifier ou authentifier des personnes ou des entités ne peuvent être transmis à d’autres ; P 14 Politique générale sur l'utilisation d'internet (Information Security Policy) LOGO Institution Version 0.30 • • • 25/05/2010 un login sur un site supportant des transactions sensibles est en général accompagné d’une sécurisation par l’utilisation du protocole HTTPS. Vérifiez que l’URL de la page de login exploite bien ce type d’accès ; les sites authentifiés par un certificat électronique peuvent également être vérifiés. Le certificat doit être valide (non expiré, délivré et authentifié par une autorité de certification reconnue). Ces informations sont disponibles en cliquant sur l’icône « cadenas » qui se trouve à droite de l’adresse du site ; les sites professionnels ne demandent jamais de réintroduire vos identités et mots de passe après avoir créé un ‘profil’. Un mail ou une page internet vous demandant de vous brancher sur une page de confirmation de vos données est vraisemblablement une tentative de phishing. Ne répondez pas à ces sollicitations et communiquez toutes les informations en votre possession à votre conseiller en sécurité. 8. Contrôles et sanctions 8.1. Contrôles Il est recommandé à l’institution de mettre en œuvre un système de contrôle global permettant un contrôle sur les finalités ci-dessous : • la prévention de faits illicites, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d'autrui; (p.ex. : le piratage informatique, la prise de connaissance non autorisée de données de communication électroniques en réseau relatives à la gestion du personnel ou de fichiers médicaux confidentiels, la consultation de sites à caractère pornographique ou pédophile ou de sites incitant à la discrimination, à la ségrégation, à la haine ou à la violence à l'égard d'un groupe, d'une communauté ou de leurs membres, en raison de la race, de la couleur, de l'ascendance, de la religion ou de l'origine nationale ou ethnique de ceux-ci); • la protection des intérêts de l'organisme; • la sécurité et/ou le bon fonctionnement technique des systèmes informatiques en réseau de l'organisme, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l'organisme; • le respect de bonne foi des principes et règles d'utilisation des technologies en réseau. 8.2. Modalités d’individualisation communication électronique des données de Ces règles ne s'appliquent ni à l'objet ni au contenu des données de communication électroniques en réseau dont le caractère professionnel n'est pas contesté par l'utilisateur. Dans ce cas, la direction pourra prendre connaissance de ces données sans formalités. • Individualisation directe Si, à l'occasion d'un contrôle global ou sur base d’une plainte officielle approuvée par le responsable de la gestion journalière, l'employeur constate des anomalies dans le cadre des finalités de contrôle mentionnées aux trois premiers points du paragraphe 8.1, il a le droit d'individualiser directement les données afin de retracer l'identité de la (des) personne(s) responsable(s) de l'anomalie. • Individualisation indirecte moyennant le respect d'une phase préalable d'information P 15 Politique générale sur l'utilisation d'internet (Information Security Policy) LOGO Institution Version 0.30 25/05/2010 Par contre et lorsque l'objectif tient au respect de bonne foi des règles et principes d'utilisation des technologies utilisées dans l'entreprise, il y a lieu de respecter une phase dite de sonnette d'alarme qui vise essentiellement à parfaire, préciser ou rappeler par une information au travailleur quels sont ces règles et principes. L'individualisation s'inscrit dans une procédure en 3 étapes : o Information préalable La direction, préalablement à l'individualisation des données, informe les utilisateurs du nonrespect d'une des règles d'utilisation fixées dans l'entreprise. Cette information a pour objet de porter à la connaissance du ou des utilisateurs, de manière certaine et compréhensible, l'existence de l'anomalie et de les avertir d'une individualisation des données de communication électroniques en réseau lorsqu'une nouvelle anomalie de même nature sera constatée. o Contrôle individualisé En cas de détection d'une nouvelle anomalie, la direction peut réaliser le Contrôle individualisé lui permettant de retracer l'identité de la/des personnes(s) responsable(s) des anomalies. o Suivi de l’incident Dans le cadre de ce suivi d’incident, l’institution s’engage à respecter les lois et règlements en vigueur en son sein. Néanmoins, une proposition de processus en ligne avec la CCT81 est que l'administrateur général ou un membre de la direction, dans le cadre d'une procédure contradictoire, laisse à l'utilisateur ainsi identifié la possibilité de s'expliquer à l'occasion d'un entretien. Cet entretien est préalable à toute décision ou évaluation susceptible d'affecter individuellement l'utilisateur. Il a pour but de permettre à l'utilisateur de faire part à l'administration de ses objections vis-à-vis de la décision ou de l'évaluation envisagée et de s'expliquer sur l'utilisation faite par lui des moyens de communication électroniques en réseau mis à sa disposition. L'utilisateur peut, lors de cet entretien, se faire assister éventuellement, à sa demande, par son délégué syndical. 8.3. Sanctions Les infractions constatées mèneront aux sanctions disciplinaires ou pénales applicables conformément aux lois, directives et règlements en vigueur à ce moment, et en particulier au(x) règlement(s) de travail de l’institution et à la convention collective, selon le cas. P 16