du bureau propre et de l`écran vide

Transcription

Responsabilité de l’utilisateur final à propos de la
politique " du bureau propre et de l’écran vide"
Information Security Guidlines
Version : 1.20
26 janvier 2015
Securité de l’information :
(Politique:2013.0020)
Responsabilité de l’utilisateur final à
propos de la politique " du bureau propre
et de l’écran vide"
Version control – please always check if you are using the latest version.
Doc. Ref. :v2013.0020. clean desk policy.fr.1.20
Release
Status
Date
Written by
FR_2013.0020
First edition
30/04/2013
Alain Houbaille
Edited by
Approved by
Staff BCSS
27/05/2013
Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les
personnes suivantes : messieurs Bochart , Régis Pierlot.
Information Security Policy
Version : 1.20
26 janvier 2015
Table des matières
1.
2.
3.
4.
Introduction.................................................................................................................................................... 3
1.1.
ISO 27002 contexte............................................................................................................................... 3
1.2.
Historique .............................................................................................................................................. 3
1.3.
Rôles ..................................................................................................................................................... 4
1.4.
Champ d’application ............................................................................................................................. 4
Responsabilités du Collaborateur .................................................................................................................. 5
2.1.
Scope ..................................................................................................................................................... 5
2.2.
Moyens d’authentification .................................................................................................................... 5
2.3.
Compte « spécifique » utilisé par un groupe de personne.................................................................... 5
2.4.
Utilisation inapproprié ........................................................................................................................... 6
2.5.
Equipement sans surveillance ............................................................................................................... 6
Politique « Clear Desk » versus « Clean desk »: ............................................................................................. 8
3.1.
Définition ............................................................................................................................................... 8
3.2.
Objectifs................................................................................................................................................. 8
3.3.
En pratique ............................................................................................................................................ 8
3.4.
Accès à l’information ............................................................................................................................. 9
Sécurité additionnelle .................................................................................................................................. 11
4.1.
Antivirus............................................................................................................................................... 11
4.2.
Backup ................................................................................................................................................. 11
4.3.
USB stick ou autre media portatif ....................................................................................................... 11
4.4.
Imprimante .......................................................................................................................................... 11
4.5.
Outils de communication .................................................................................................................... 12
5.
Rapports, évaluation et campagne de sensibilisation .................................................................................. 13
6.
Annexe: Brochure – Clean desk policy ......................................................................................................... 14
p2
Version : 1.20
26 janvier 2015
1. Introduction
Ce document décrit les responsabilités du collaborateur relatif au maintien des contrôles
d’accès logiques ou physiques efficaces de la Banque Carrefour de la Sécurité Sociale. A
savoir, comment le collaborateur doit gérer les moyens d’accès tant physiques que
logiques mis à sa disposition de façon sécurisée afin d’assurer une protection optimale
des infrastructures IT et des locaux de la Banque Carrefour de la Sécurité Sociale. Mais
aussi, savoir quelles sont les mesures de protection à prendre sur le poste de travail afin
de se protéger d’accès non autorisés à l’information.
Dans ce cadre, l’application de la politique «Clean Desk, du bureau propre et de l’écran
vide » permet de réduire le risque d’accès non autorisé ou d’endommagement des
supports, papiers ou autres, et des moyens de traitements de l’information.
1.1. ISO 27002 contexte
Ce document implémente les mesures de sécurité décrites dans les sections suivantes
de l’iso 27002 : 11.3 Responsabilités de l’utilisateur
o
o
o
o
11.3.1 Utilisation du mot de passe
11.3.2 Matériel utilisateur laissé sans surveillance
11.3.3 Politique du bureau propre et de l’écran vide
11.7.1 Informatique et communications mobiles
1.2. Historique
Version
Commentaires
0.1
Draft (Alain Houbaille – 15/8/2012)
0.2
Révision (Alain Houbaille – 15/11/2012)
0.3
Révision (Patrick Bochart – Régis Pierlot – 28/01/2013)
1.0
Final (Alain Houbaille – 31/01/2013)
1.2
Modifications à la suite des remarques du Staff (Alain Houbaille – 25/02/2013)
p3
Version : 1.20
26 janvier 2015
1.3. Rôles 1
Qui
Rôle
R
Service de sécurité
Responsable de la maintenance de ce document
A
Staff
Approbation et exécution de ce document
C
N/A
Role de consultation
I
Collaborateurs
Personne qui doit être tenu informé
1.4. Champ d’application 2
La politique décrite ci-après est d’application pour tout collaborateur travaillant dans un milieu ouvert
(« open space »). Tout autre collaborateur ayant la possibilité de travailler dans un local fermé (bureau)
est uniquement sujet à la connaissance de ces bonnes pratiques en matière de sécurité. En d’autres
termes, cette politique est seulement délivrée à titre de recommandation pour ces personnes.
1
2
R=Responsible, A=Accountable, C=Consulted, I=Informed
Ce terme “champ d’application” désigne les catégories de situations auxquelles la politique s’applique.
p4
Version : 1.20
26 janvier 2015
2. Responsabilités du Collaborateur
2.1. Scope
Le collaborateur joue un rôle essentiel dans la prévention des accès non autorisés.
Ceci est valable tant au niveau de l’accès aux systèmes d’information et d’applications
qu’au niveau de l’accès physique des locaux. La collaboration de l’ensemble des
utilisateurs habilités est essentielle à la sécurité.
2.2. Moyens d’authentification
L’authentification est un procédé permettant de vérifier l’identité d’une personne. Ce
processus est largement utilisé dans l’accès à des ressources informatiques.
Les moyens d’authentification utilisés par l’utilisateur de la Banque Carrefour de la
Sécurité Sociales sont les suivantes. Cette liste n’est donc pas exhaustive à l’égard du
nombre de moyens d’authentification qu’un utilisateur peut potentiellement avoir:
•
•
•
•
•
•
La carte d’identité électronique (eID) ;
Le token citoyen ou fonctionnaire ;
Les comptes « utilisateur » et mots de passe y associés ;
Le badge d’accès aux locaux ;
Les clés des bureaux ou des coffres éventuelles;
…
Au vu de ce qui précède, et de par la fonctionnalité qu’offre ces moyens, ces derniers
sont personnels et leur propriétaire doit assurer une gestion en tant que bon père de
famille. En d’autres mots, le détenteur est donc responsable de la protection de ses
moyens d’authentification. Ils ne peuvent jamais être utilisés, transmis, ou
communiqués à d’autres personnes voire même empruntés.
Dès que l’utilisateur soupçonne que son moyen d’authentification pourrait être
potentiellement compromis, par la capture de son code d’accès, son mot de passe, …
celui-ci doit demander au plus vite aux propriétaires/gestionnaires des systèmes
d’accès le blocage du moyen d’authentification ou de son compte impacté. Afin qu’il
puisse continuer son activité, cet utilisateur devra redemander un nouveau moyen
d’authentification.
De plus, l’utilisateur est également responsable des moyens d’accès utilisés pour
accéder aux données. De ce fait, ce dernier ne doit jamais laisser le moyen d’accès
ouvert de telle façon qu’un tiers puisse en abuser.
2.3. Compte « spécifique » utilisé par un groupe de personne
Un compte « spécifique » peut revêtir deux différents types de compte. Les premiers,
les comptes administrateurs, créés lors de l’installation d’une application; ces
p5
Version : 1.20
26 janvier 2015
comptes ont généralement des droits administrateurs. Les seconds sont des comptes
définis afin de réaliser des tâches bien spécifiques, telles que la prise des sauvegardes
applicatives, la réalisation de travaux automatiques (batch), … Les détails de ces
comptes « spécifiques » sont connus au sein d’un groupe d’utilisateur définis. Ce qui
résulte que la gestion de ce compte doit être définie et connue par l’ensemble des
utilisateurs gérant ce compte. La gestion du mot de passe associé à ce type de
compte (partagé entre membres d’une équipe) doit être aussi bien définie.
Ces comptes « spécifiques » ne doivent être utilisés que pour des tâches bien
particulières qui ne peuvent être attribuées à un compte individuel.
En effet, afin d’assurer la traçabilité des actions réalisées et de par ce fait identifier de
manière formelle l’auteur de ces actions, il est primordial d’utiliser en premier lieu le
compte individuel utilisateur.
2.4. Utilisation inapproprié
En plus de système d’authentification, la Banque Carrefour de la Sécurité Social a mis
en place des contrôles de sécurité supplémentaires qui protègent l’environnement de
travail. Il est évident que l’utilisateur n’est pas autorisé à contourner ces contrôles de
sécurité. Il est important de sensibiliser l’utilisateur à la sécurité. En effet, il n’est pas
évident pour un utilisateur final de savoir l’impact réel de rendre inopérant ces
contrôles de sécurité comme par exemple, le simple fait de laisser une porte de
secours ouverte par inadvertance.
En outre, une utilisation inappropriée d’un moyen d’authentification, comme par
exemple toute tentative de contournement du système d’authentification ou toute
tentative de cassure d’un système d’accès doit être signalée au gestionnaire du
système d’accès ou au service de sécurité. Ne pas le faire, signifie que l’utilisateur est
implicitement impliqué dans l’abus du système.
2.5. Equipement sans surveillance
Lorsque l’utilisateur a obtenu l’accès logique à un système ou l’autre, il doit s’assurer
que les accès ne peuvent pas être abusés par d’autres. En effet, lorsque
l’authentification a été réalisée, « la porte est ouverte ». Lorsque l’utilisateur effectue
alors autre chose, quelqu’un pourrait utiliser cette « porte ouverte ». L’utilisateur doit
prendre les mesures nécessaires pour que « la porte soit fermée » chaque fois qu’il
fait quelque chose d’autre.
Par exemple :
•
Chaque fois que l’utilisateur doit quitter son poste de travail, il doit prendre les
mesures adéquates afin de protéger ces informations d’ouvertures de session.
Par conséquent, l’utilisateur doit verrouiller sa station de travail. (par exemple,
l’économiseur d’écran sécurisé). Comme les êtres humains sont sources
d’erreurs, il est fortement recommandé que l’économiseur d’écran sécurisé
par mot de passe soit activé automatiquement après 5 minutes.
p6
Version : 1.20
26 janvier 2015
•
Bloquer une porte physiquement permet à des personnes non autorisées
d’avoir accès à des locaux. Ou encore, l’utilisateur doit être vigilent avec ceux
qui rentrent en même temps que lui dans le bâtiment car la personne nonautorisée prend avantage de l’utilisateur qui est en train d’ouvrir la porte.
Seules les personnes autorisées peuvent rentrer.
Dans le cas spécial où l’utilisateur n’utilise pas sa station de travail pour une longue
période, celui-ci doit dès lors fermer toutes les sessions encore ouvertes et éteindre
son poste de travail. Ceci offre une plus grande protection que celle obtenue avec
l’économiseur d’écran sécurisé par mot de passe.
Dans le cas où un collaborateur suspecte quelqu’un d’abuser d’un équipement sans
surveillance, il doit impérativement rapporter cet évènement le plus rapidement
possible au service de sécurité.
p7
Version : 1.20
26 janvier 2015
3. Politique « Clear Desk » versus « Clean desk »:
3.1. Définition
La politique « Clean desk » est différente de celle de « Clear desk ». En effet, la
politique « clean desk » va plus loin, elle introduit la notion d’ordre. La politique «
Clear desk » revient à dire que ce n’est pas nécessaire que tout soit enlevé du
bureau mais par contre c’est obligatoire que toute information à caractère
sensible ne soit pas sujette à un accès non autorisé. Par conséquent, toute
donnée sensible ne demeure pas sans surveillance sur le bureau. Tandis que la
politique « Clean desk » exige que le bureau soit rangé avec ordre et sécurité.
3.2. Objectifs
•
Améliorer la propreté au sein de la Banque Carrefour de la Sécurité Sociale.
Lorsque les bureaux sont rangés ou tous les espaces de travail sont libres de
papier et de désordre, les gens se sentent plus à l’aise en terme de confort et
les invités ont une impression positive de l’institution. Dans ce même ordre
d’idée, il vous est aussi demandé de ne pas manger à votre bureau, d’autres
espaces sont réservés à cet effet.
•
Améliorer la protection de données confidentielles
Une grande partie de l’information traitée par la Banque Carrefour de la
Sécurité Sociale est confidentielle et doit être protégée contre des accès non
autorisés.
•
Améliorer la productivité
Nous sommes convaincus qu’un bureau rangé augmentera la productivité car
moins de temps sera dépensé pour la recherche de documents.
•
Activer le concept « Flexdesk »
Avec l’application de cette politique nous avons la possibilité de partager les
bureaux entre plusieurs collaborateurs.
3.3. En pratique
En pratique, la politique « clean desk » encourage l’application de ces trois règles de
base:
•
Quand le collaborateur est présent à son bureau
Le collaborateur tâche de garder uniquement sur son bureau les documents
dont il a besoin pour la journée.
p8
Version : 1.20
26 janvier 2015
•
Quand le collaborateur quitte temporairement son bureau
Si le collaborateur est fréquemment attendu à des réunions, il doit vérifier s’il
n’y a pas de données confidentielles présentes sur son bureau qui pourraient
être sans surveillance. Dans ce cas, il doit les mettre en lieux sûr. Par ailleurs, il
doit s’assurer également de mettre son ordinateur en mode veille, sécurisé
par un mot de passe en cas de longue absence...
•
Quand le collaborateur quitte son bureau
Il incombe au collaborateur de s’assurer que tous les documents sensibles sont
placés dans un lieu sécurisé tel qu’une armoire fermée à clé et que son bureau
est rangé avant de quitter partir. A cette effet, un casier individuel « locker »
est mis à la disposition du collaborateur afin d’y ranger ses effets personnels
mais aussi ces documents sensibles, son ordinateur portable,…
Par conséquent, une seconde clé doit être mise à la disposition de l’Economat
afin de permettre l’accès aux documents en cas de besoin. C’est la
responsabilité des utilisateurs de prendre les mesures de protection
nécessaires au sein de son environnement de travail.
3.4. Accès à l’information
Un système d’accès (physique ou logique) est implémenté afin d’éviter tout accès non
autorisé aux actifs de l’institution. L’accès est sécurisé par un dispositif d’accès.
L’utilisateur peut obtenir des données à caractère confidentiel durant l’exécution de
ses tâches journalières et les placer autre part où le dispositif d’accès ne fonctionne
plus ou est inapplicable. Par exemple, l’utilisateur peut imprimer des données
provenant d’une application protégée par la carte d’identité électronique; dans ce
cas, la version imprimée de ces données n’est plus protégée par ce moyen.
L’utilisateur demeure responsable de l’information sous quelque forme qu’elle soit.
L’utilisateur doit donc veiller à la bonne protection de celle–ci. Chaque fois que
l’information n’est plus utilisée par l’utilisateur, celui-ci doit aussi veiller à sa
destruction.
De plus, les types de média exposés ci-dessous doivent être gérés minutieusement
par l’utilisateur : papier imprimé, courrier postale, USB sticks, disques backup, fichiers
partagés, post-it, PC, tablette…
Cela signifie que :
•
•
Quand il s’agit de documents sensibles, ils ne peuvent pas être laissés sans
surveillance sur l’imprimante. Imprimez seulement les documents dont vous
avez besoin.
Tout USB stick peut être utilisé pour transférer des documents d’un système à
un autre. Dans le cas de transferts de données sensibles, tout USB stick doit
être encrypté et les données stockées dessus doivent être immédiatement
supprimées après transfert.
p9
Version : 1.20
26 janvier 2015
•
•
•
•
•
Tout backup sur tout type de média (SD drive, CD, DVD,…) doit être localisé
dans un environnement physiquement sécurisé et jamais laissé sans
surveillance.
Un système de destruction est à la disposition du collaborateur pour la
suppression de documents confidentiels. Il va de soi que tout document
confidentiel en fin de vie doit être détruit par ce système.
Aucune donnée à caractère personnel ne peut être transmise par e-mail. Mais
aussi, soyez sûr, en cas d’envoi de fichiers sensibles par e-mail que ceux-ci
soient encryptés avant envoi.
Dans le cas de répertoires partagés contenant des informations sensibles
dédiées à un certain public, ces répertoires doivent être configurés au niveau
des droits d’accès.
Tout post-it avec des informations sensibles est proscrit.
p 10
Version : 1.20
26 janvier 2015
4. Sécurité additionnelle
Un nombre additionnel de mesures de sécurités existe au sein de l’environnement
de travail de la Banque Carrefour de la Sécurité Sociale. Le collaborateur doit
respecter ces mesures et ne doit pas essayer de les contourner. On entend par
mesures de sécurité par exemple l’antivirus déployé sur les ordinateurs de la
Banque Carrefour de la Sécurité Sociale. Toute anomalie fonctionnelle sur ces
mesures de sécurités doit être rapportée au service informatique (helpdesk).
L’idée derrière ces mesures de sécurité est la protection de l’environnement de
travail de la BCSS contre une erreur humaine. Ces mesures sont là pour aider
l’utilisateur à travailler sans se soucier des risques liés aux erreurs humaines. C’est
donc obligatoire que l’utilisateur final ait confiance en ces mesures de sécurité et
qu’il ne les altère pas d’une façon ou d’une autre.
4.1. Antivirus
La Banque Carrefour de la Sécurité Sociale installe et maintient un antivirus sur
chaque PC de l’institution. Sachant que cet antivirus protège le PC contre toute
infection virale provenant de sources différentes (messagerie, Internet,…), le
collaborateur ne doit pas essayer de modifier la configuration du système antivirus
ou de le désactiver.
4.2. Backup
Le collaborateur est responsable de la protection contre la perte de données de son
PC. Toutes données relatives à la Banque Carrefour doit être sauvegardées sur les
serveurs « file system » où des répertoires partagés sont à la disposition de
l’utilisateur final.
4.3. USB stick ou autre media portatif
Toute information confidentielle stockée dans tout media portatif doit être
protégée contre tout accès non autorisé. Dans ce cadre, tout USB stick peut être
encrypté avec un outil de chiffrement.
4.4. Imprimante
Toute impression nécessite une nouvelle validation au niveau de l’imprimante par
l’utilisateur final. En effet, dans une politique « paperless », on invite le
collaborateur à l’utilisation de la version électronique de l’information plutôt que la
version papier. La validation permet de sensibiliser le collaborateur à la politique
«paperless». De plus, la source d’impression est chaque fois identifiée.
p 11
Version : 1.20
26 janvier 2015
4.5. Outils de communication
Le collaborateur doit essayer dans la mesure du possible d’indiquer son statut
d’occupation au sein des outils de communication dont il dispose. Par exemple, au
travers du téléphone « VOIP », le collaborateur a la possibilité de gérer son statut
d’occupation (au bureau, absent ou occupé). De même, le logiciel «Instant
Messaging » offre cette même fonctionnalité.
p 12
Version : 1.20
26 janvier 2015
5. Rapports, évaluation et campagne de sensibilisation
Pour cette politique de sécurité, les aspects suivant devront être exécutés :
•
•
Tout collaborateur doit être régulièrement sensibilisé au contenu des
politiques de sécurité en vigueur à la Banque Carrefour de la Sécurité Sociale.
Dans ce cadre, une campagne de sensibilisation ou session d’information
relative à la sécurité doit être exécutée au moins une fois par année.
Une évaluation de la situation relative à cette politique devra être établie afin
de vérifier le respect de cette politique de sécurité.
p 13
Version : 1.20
26 janvier 2015
6. Annexe: Brochure – Clean desk policy
Le collaborateur joue un rôle essentiel dans la sécurité en général de l’institution. Dans ce
cadre, il est important que celui-ci soit au courant de ses responsabilités et ses devoirs en la
matière au sein de la Banque Carrefour de la Sécurité Sociale.
Dans ce cadre, une des premières choses demandées aux collaborateurs c’est de respecter la
politique du bureau propre et de l’écran vide; à savoir que l’utilisateur minimise le risque
d’accès non autorisé ou d’endommagement des supports ou autres, et des moyens de
traitement de l’information par l’application au quotidien de bonnes pratiques.
En effet, dans la mesure du possible, il convient que:
•
•
•
•
le collaborateur s’assure que tous les documents sensibles sous format papier ou
électronique soient sous clé dans les armoires prévus à cet effet lorsqu’il quitte son
bureau;
il veille aussi à mettre son ordinateur en mode veille, sécurisé par mot de passe en
cas d’absence prolongée;
le soir avant de son départ, il se charge de ranger et vider son bureau ; d’éteindre et
de protéger son PC, et de mettre en lieu sûr toute informations ou supports
sensibles.
Dans le cas où un collaborateur suspecte quelqu’un d’abuser d’un équipement sans
surveillance, il rapporte cet évènement le plus rapidement possible au service de
sécurité.
L’utilisateur demeure responsable de l’information sous quelque forme qu’elle soit, de
l’accès à celle-ci et de ses moyens d’authentification (mot de passe, badge,… ). L’utilisateur
doit donc veiller à la bonne protection de ceux–ci.
Cela signifie que :
•
•
•
•
•
il ne faut pas divulguer son propre mot de passe aux autres,
quand il s’agit de documents sensibles, ils ne peuvent pas être laissés sans
surveillance sur l’imprimante.
Dans le cas de transferts de données sensibles, toute clé USB doit être cryptée et les
données stockées dessus doivent être immédiatement supprimées après transfert.
Tout support de stockage tel que des clé USB, drive SD, CD, DVD,… doit être localisé
dans un environnement physiquement sécurisé ou ne peut jamais être laissé sans
surveillance.
Tout post-it contenant des informations sensibles est proscrit.
p 14

du bureau propre et de l`écran vide

Transcription

Documents pareils

Inscrire votre Conjoint Collaborateur

CONFÉRENCE GILLES FARCET LYCÉE SAINT JACQUES DE

un agent immobilier independant (f/m)

Réponse de Ségolène Royal à Nicolas Hulot

Une offre globale au service de vos projets

ISAIAH SOVAL-LEVINE Collaborateur Tel +1 202 930 5700 Fax +1

Catalogue des formations Cime Consulting 2016

Medewerker Gebruikersondersteuning IT

reglement d`utilisation des vehicules de service affectés