Politique de sécurité de l`information

Politique de sécurité de l'information
Information Security Guidelines
Version : 1.10
24 mars 2015
ISMS
(Information Security Management System)
Politique de sécurité de
l'information
(Information Security Policy)
2015
Version control – please always check if you’re using the latest version
Doc. Ref. : isms.001.isp. fr v1.10
Release
Status
Date
Written by
FR_1.1
Révision
24/03/2015
Alain Houbaille
Approved by
Remarque : Ce document intègre les remarques d’un groupe de travail auquel ont participé
madame Glorieux (FAMIFED) et messieurs Bochart (BCSS), Houbaille (BCSS), Costrop
(Smals), Perot (ONSS), De Vuyst (BCSS), Petit (FMP), Quewet (SPP SP), Symons (ONEm),
Van Cutsem (ONSS APL), Vandergoten (INAMI).
P1
Politique de sécurité de l'information
Information Security Guidelines
Version : 1.10
24 mars 2015
Table des matières
1
INTRODUCTION ........................................................................................................................... 3
2
POLITIQUE DE SÉCURITÉ DE L'INFORMATION ................................................................ 4
2.1
2.2
2.3
2.4
2.5
2.6
2.7
2.8
CONTEXTE .................................................................................................................................. 4
OBJECTIFS DE LA POLITIQUE ....................................................................................................... 4
RESPECT DE LA POLITIQUE ......................................................................................................... 4
PORTÉE....................................................................................................................................... 5
PRINCIPES DIRECTEURS .............................................................................................................. 5
RÔLES ET MISSIONS .................................................................................................................... 6
ENTRÉE EN VIGUEUR, ÉVALUATION ET MODIFICATION ............................................................... 8
RÉFÉRENCES............................................................................................................................... 8
3
ANNEXE A: HARMONISATION DES FONCTIONS DE SÉCURITÉ DE
L’INFORMATION ................................................................................................................................. 9
P2
Politique de sécurité de l'information
Information Security Guidelines
Version : 1.10
24 mars 2015
1 Introduction
L'information est une ressource qui, à l'instar d'autres moyens de production importants,
représente une valeur considérable devant être protégée de manière appropriée. La gestion
de la sécurité de l'information sert à mettre en place les mesures nécessaires à contrer une
multitude de menaces spécifiques. Les organisations, leurs systèmes d’information et réseaux
sont de plus en plus confrontés à un nombre croissant de risques divers issus de sources
multiples. Songeons par exemple aux virus informatiques, au piratage, au déni de service, à la
fraude, mais également à la perte, au vol (p.ex. d’un ordinateur portable), à la divulgation de
données confidentielles, au risque d’incendie, etc…
Le maintien et l’amélioration de la sécurité de l’information peut s’avérer d’une importance
fondamentale pour assurer la continuité du fonctionnement de l’organisation, le respect de la
loi et également l’image de l’organisation.
De manière générale, la sécurité de l'information se caractérise par la garantie de la
confidentialité, de l'intégrité et de la disponibilité de l'information. Concrètement, la gestion de
la sécurité de l'information propose des moyens permettant de réfuter des informations
falsifiées et de rendre impossible la réfutation d’informations légitimes.
Dans le domaine de la sécurité sociale, la sécurité de l'information se définit comme étant la
stratégie, les règles, les procédures et les moyens de protection de tout type d'information tant
dans les systèmes de transmission que dans les systèmes de traitement en vue de garantir la
confidentialité, la disponibilité, l'intégrité, la fiabilité, l'authenticité et l'irréfutabilité de
l'information. (Cfr. Arrêté royal du 17 mars 2013 relatif aux conseillers en sécurité institués par
la loi du 15 août 2012 relative à la création et à l’organisation d’un intégrateur de services
fédéral).
P3
Politique de sécurité de l'information
Information Security Guidelines
Version : 1.10
24 mars 2015
2 Politique de sécurité de l'information
2.1 Contexte
L'informatisation des organisations de sécurité sociale et leur collaboration accrue donnent
lieu à des améliorations considérables sur le plan de l'efficacité et de l’efficience, mais
entraînent en même temps de nouveaux risques. Les différentes organisations de sécurité
sociale ne sont plus des entités isolées qui traitent des informations, mais elles font partie d'un
groupe cohérent. Les liens de collaboration accrus augmentent considérablement le risque et
l'ampleur des dommages collatéraux ; c'est pourquoi la stratégie en matière de sécurité de
l'information et de protection de la vie privée est fixée dans une politique commune.
2.2 Objectifs de la politique
La politique de sécurité de l’information vise à assurer le respect de la législation en vigueur à
l’égard des traitements et des échanges d’informations.
Les objectifs suivants sont visés:
1. le respect de la vie privée et des obligations légales se rapportant au traitement des
données à caractère personnelle et sociale,
2. la conformité aux normes minimales fixées par le comité sectoriel de sécurité sociale
et de la santé dans le cadre du traitement des données précitées,
3. l’inventaire des ressources et leur sécurisation conforme à la classification des
données,
4. la mise en œuvre d’un processus de gestion de risques selon une méthode
documentée pour l’ensemble des processus critiques,
5. la disponibilité, l’intégrité et la confidentialité des informations,
6. une amélioration continue de la sécurité de l’information,
7. l’intégration des exigences sécuritaires requises dans une convention lorsque l’on fait
appel à des sous-traitants ou à des fournisseurs.
Cette politique sera traduite en normes et en directives afin de préciser les obligations qui en
découlent.
2.3 Respect de la politique
Le responsable de la gestion journalière est responsable de l’application de la présente
politique.
La direction de l’organisation insiste sur l’importance de la sécurité de l’information au sein de
l’institution et l’obligation de tous les membres de l’organisation de se conformer aux
exigences de la présente politique.
P4
Politique de sécurité de l'information
Information Security Guidelines
Version : 1.10
24 mars 2015
1
Par conséquent, l’organisation exige de toute personne, qui utilise ses actifs (e.g. système
d’information) ou qui a/ aura accès à son ’information, de se conformer aux dispositions de la
présente politique ainsi qu’aux directives, procédures et standards qui s’y rattachent.
2.4 Portée
La présente politique s’applique :
•
à l’ensemble du personnel de l’organisation tant interne qu’externe et ce y compris le
personnel mis à disposition, et tant à durée déterminée qu'indéterminée (ex.
consultants, fournisseurs,...).
•
à toute personne physique ou morale qui utilise ou accède, pour le compte de
l’organisation ou non, à des informations confidentielles ou non,
•
à l’ensemble des actifs ainsi qu’à leur utilisation au sein de l'organisation tels que les
banques de données électroniques, les informations quel que soit le médium de
support, les réseaux, les systèmes d’informations, les logiciels ou les centres de
traitement.
•
à l’ensemble des activités de traitement.
2.5 Principes directeurs
Chaque organisation de la sécurité sociale doit assurer la sécurité de ses informations
conformément aux principes directeurs ci-dessous afin de garantir la réalisation de sa
mission.
I.
Au sein de la sécurité sociale, les normes minimales basées sur les normes de la
série ISO 27000 de l’organisation internationale de normalisation font partie du cadre
de gestion pour la mise en place de la politique de sécurité de l’information de
l’organisation. Ces normes édictent les objectifs minimaux (à atteindre) en matière de
sécurité de l’information.
II.
Il est également nécessaire de tenir compte des besoins spécifiques, des exigences
en matière de sécurité, de la taille et de la structure de l’organisation. Au sein des
organisations de sécurité sociale, les mesures de gestion sont par exemple
complétées par des mesures spécifiques pertinentes dans le domaine de la sécurité
sociale et de la protection de la vie privée.
III.
Compte tenu de la complexité et des coûts associés à l’élaboration de ces principes
directeurs, l’organisation met en place un cadre de gestion de la sécurité de
l’information basé sur l’identification et l’évaluation périodique des risques qui
menacent la disponibilité, l’intégrité et la confidentialité de l’information afin d’en
réduire la portée et de les maintenir à un niveau jugé acceptable pour l’organisation.
IV.
Le cadre pour la détermination, la mise en œuvre, l’exécution, le contrôle, l’évaluation,
le maintien et l’amélioration d’un système de gestion documenté en matière de
sécurité de l’information est donné par la norme ISO27001.
1
Un actif est tout élément ayant de la valeur pour l’organisme et nécessitant, par conséquent, une protection (norme
ISO 27005 8.2.1.2)
P5
Politique de sécurité de l'information
Information Security Guidelines
Version : 1.10
24 mars 2015
V.
Les mesures de protection, de prévention, de détection, d’assurance et de correction
doivent permettre d’assurer la confidentialité, l’intégrité et la disponibilité des actifs de
même la continuité des activités.
VI.
Les mesures de sécurité doivent être proportionnelles à la valeur de l’information à
protéger. Elles sont établies en fonction des risques et de leurs impacts et visent à :

assurer la disponibilité de l’information de l’organisation de façon à ce qu’elle soit
accessible en temps voulu et de la manière requise par une personne autorisée;

assurer l’intégrité de l’information de manière à ce qu’elle ne soit pas détruite ou
altérée de quelque façon, sans autorisation, et que le support de cette information
lui procure la stabilité et la pérennité voulue;

limiter l’accès à l'information aux seules personnes autorisées à en prendre
connaissance, assurant ainsi une stricte confidentialité;

permettre de confirmer l’identité d’une personne ou l’identification d’un document
ou d’un dispositif;

se prémunir contre le refus par une personne de reconnaître sa responsabilité à
l’égard d’un document ou d’un autre objet.
VII.
L’efficacité de la sécurité de l’information exige l’attribution claire des responsabilités à
tous les niveaux de l’organisation et la mise en place d’un processus de gestion
interne de la sécurité permettant la vérification, la validation, le suivi et le rapportage.
VIII.
Le processus de gestion de la sécurité de l’information doit être soutenu par la
direction comme moteur principal visant à assurer son efficacité.
IX.
La gestion de la sécurité doit être intégrée et appliquée tout au long du processus
menant à l’acquisition, au développement, à l’utilisation, au remplacement ou à la
destruction d’un actif.
X.
Les pratiques et les solutions retenues en matière de sécurité de l’information doivent
être réévaluées périodiquement, afin de tenir compte des changements juridiques,
organisationnels et technologiques, ainsi que de l’évolution des menaces et des
risques.
XI.
Le niveau de la sécurité de l’information doit être maintenu à un niveau acceptable;
celui-ci peut être mesuré selon un modèle de référence destiné à appréhender,
évaluer et améliorer des processus, tel que le C(apability) M(aturity) M(odel)
XII.
Les contrats établis entre l’organisme et des tiers doivent contenir des dispositions
écrites garantissant le respect, par toutes les parties, des exigences en matière de
sécurité, y compris la protection de la vie privée.
2.6 Rôles et missions
Les principaux rôles nécessaires pour assurer
l’information sont :
2.6.1
une bonne gestion de la sécurité de
Le conseiller en sécurité de l’information (CSI)
Le conseiller en sécurité de l'information a une mission d'avis, de stimulation, de
documentation et de contrôle en matière de sécurité de l'information (cf. Arrêté royal du 12
août 1993).
P6
Politique de sécurité de l'information
Information Security Guidelines
Version : 1.10
24 mars 2015
Sous l’autorité directe du responsable de la gestion journalière, le CSI stimule et coordonne
la sécurité de l’information au sein de l’organisation. Il doit donc harmoniser l’action des
divers acteurs dans l’élaboration, la mise en place, le suivi et l’évaluation de la sécurité de
l’information (voir annexe A : harmonisation des fonctions de sécurité de l’information).
Le CSI veille à l’élaboration et à l’application de la politique de sécurité de l’information. Dans
cette perspective, il collabore avec tous les responsables et en particulier, avec le
responsable du service des technologies de l’information.
Plus précisément, le CSI :
•
élabore et propose la politique de sécurité de l’information ;
•
pilote le comité sur la sécurité de l’information ;
•
coordonne, avec les services visés, la mise en œuvre de la politique de sécurité de
l’information et en suit l’évolution ;
•
identifie les propriétaires d’actifs dans leurs domaines respectifs ;
•
s’informe des besoins en matière de sécurité de l’information, propose des solutions
et coordonne la mise en place de ces solutions ;
•
sensibilise les collaborateurs à la sécurité de l’information ;
•
est impliqué dans le processus de gestion du plan de continuité de l’organisation
(élaboration, mise en œuvre et suivi).;
•
assure le suivi et/ou la coordination des grands projets de sécurité de l’information;
•
gère les aspects relatifs à l’escalade des incidents de sécurité de l’information et
procède à des évaluations de la situation en matière de sécurité de l’information ;
•
suit la mise en œuvre de toute recommandation découlant d’une vérification ou d’un
audit ;
•
rend compte de l’état d’avancement des dossiers de sécurité de l’information ;
•
transmet périodiquement au responsable de la gestion journalière un rapport sur la
maturité de la politique de sécurité de l’information ;
•
produit annuellement les bilans et les rapports relatifs à la sécurité de l’information
appartenant à l’organisation.
2.6.2
2
Le responsable de la gestion journalière
Le responsable de la gestion journalière est le responsable de la sécurité de l’information au
sein de l’organisation.
Il s'assure que les valeurs et les orientations en matière de sécurité de l’information cadrent
avec les objectifs stratégiques de l’organisation mais également soient partagées par
l’ensemble des responsables de service et du personnel de l’organisation.
À cette fin, il :
2
•
s’assure de l’application de la politique dans l’organisation;
•
apporte les appuis financiers et logistiques nécessaires pour la mise en œuvre et
l’application de la présente politique;
Référence : norme minimale 6.1.2 – Plateforme de décision
P7
Politique de sécurité de l'information
Information Security Guidelines
Version : 1.10
24 mars 2015
•
s’assure de la mise en place de la structure organisationnelle et des moyens humains
nécessaires à une bonne gestion de la sécurité de l’information;
•
reçoit périodiquement un rapport du conseiller en sécurité de l’information sur
l’application de la politique.
2.6.3
Les collaborateurs
Chaque collaborateur est tenu de respecter les directives et procédures en vigueur en
matière de sécurité de l'information qui découlent de la présente politique et d’informer le CSI
de toute violation des mesures de sécurité dont il pourrait être témoin ou de toutes anomalies
décelées pouvant nuire à la protection des actifs.
À cet effet, il :
• prend connaissance, s’informe et adhère à la politique de sécurité de l’information et
aux règles spécifiques à sa fonction;
•
utilise les actifs en se limitant aux fins pour lesquelles ils sont destinés et dans le
cadre des accès qui lui sont autorisés;
•
se conforme aux consignes et directives établies dans le respect des dispositions de
la présente politique.
.
2.7 Entrée en vigueur, évaluation et modification
La présente politique entre en vigueur à la date de son approbation par le comité de direction
de l’organisation. La politique est évaluée périodiquement afin de tenir compte des nouveaux
besoins, des nouvelles pratiques et technologies, des nouvelles menaces et risques
encourus. Toute modification à la présente politique doit être approuvée par le comité de
direction de l’organisation.
2.8 Références
Les références utilisées sont:
- les normes minimales 2015 de la BCSS
- les normes ISO 27001, ISO 27002:2013 et ISO 27005
- « Harmonisation des fonctions de sécurité de l’information » proposition du
comité BELNIS
P8
Politique de sécurité de l'information
Information Security Guidelines
Version : 1.10
24 mars 2015
Annexe A: Harmonisation des fonctions de sécurité de l’information 3
3
- assignation des enjeux de sécurité aux rôles (proposition informative)
3
Source: groupe de travail BELNIS.
P9