{"id":139,"date":"2009-10-19T09:17:49","date_gmt":"2009-10-19T07:17:49","guid":{"rendered":"http:\/\/www.identitycosmos.com\/?p=139"},"modified":"2009-10-19T09:17:49","modified_gmt":"2009-10-19T07:17:49","slug":"cnil","status":"publish","type":"post","link":"https:\/\/identitycosmos.com\/index.php\/2009\/10\/19\/cnil\/","title":{"rendered":"La CNIL met en avant la s\u00e9curit\u00e9 par la gestion des identit\u00e9s et des acc\u00e8s"},"content":{"rendered":"

\"cnil\"10 conseils de la CNIL pour s\u00e9curiser votre syst\u00e8me d’information:<\/span><\/strong> La loi \u00ab\u00a0informatique et libert\u00e9s\u00a0\u00bb impose que les organismes mettant en \u0153uvre des fichiers garantissent la s\u00e9curit\u00e9 des donn\u00e9es qui y sont trait\u00e9es. Cette exigence se traduit par un ensemble de mesures que les d\u00e9tenteurs de fichiers doivent mettre en \u0153uvre, essentiellement par l’interm\u00e9diaire de leur direction des syst\u00e8mes d’information (DSI) ou de leur responsable informatique. Il apparait clairement que la gestion des identit\u00e9s et des acc\u00e8s est au coeur de la s\u00e9curit\u00e9 du syst\u00e8me d’information.<\/strong> Voici la liste des 10 recommendations de la CNIL:<\/p>\n

1. Adopter une politique de mot de passe rigoureuse<\/strong><\/p>\n

L’acc\u00e8s \u00e0 un poste de travail informatique ou \u00e0 un fichier par identifiant et mot de passe est la premi\u00e8re des protections. Le mot de passe doit \u00eatre individuel, difficile \u00e0 deviner et rester secret. Il ne doit donc \u00eatre \u00e9crit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse\u00a0: un mot de passe doit comporter au minimum 8 caract\u00e8res incluant chiffres, lettres et caract\u00e8res sp\u00e9ciaux et doit \u00eatre renouvel\u00e9 fr\u00e9quemment (par exemple tous les 3 mois). Le syst\u00e8me doit contraindre l’utilisateur \u00e0 choisir un mot de passe diff\u00e9rent des trois qu’il a utilis\u00e9s pr\u00e9c\u00e9demment. G\u00e9n\u00e9ralement attribu\u00e9 par l’administrateur du syst\u00e8me, le mot de passe doit \u00eatre modifi\u00e9 obligatoirement par l’utilisateur d\u00e8s la premi\u00e8re connexion. Enfin, les administrateurs des syst\u00e8mes et du r\u00e9seau doivent veiller \u00e0 modifier les mots de passe qu’ils utilisent eux-m\u00eames.<\/p>\n

2. Concevoir une proc\u00e9dure de cr\u00e9ation et de suppression des comptes utilisateurs<\/strong><\/p>\n

L’acc\u00e8s aux postes de travail et aux applications doit s’effectuer \u00e0 l’aide de comptes utilisateurs nominatifs, et non \u00ab\u00a0g\u00e9n\u00e9riques\u00a0\u00bb (compta1, compta2…), afin de pouvoir \u00e9ventuellement \u00eatre capables de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l’ensemble des intervenants. En effet, les comptes \u00ab\u00a0g\u00e9n\u00e9riques\u00a0\u00bb ne permettent pas d’identifier pr\u00e9cis\u00e9ment une personne. Cette r\u00e8gle doit \u00e9galement s’appliquer aux comptes des administrateurs syst\u00e8mes et r\u00e9seaux et des autres agents charg\u00e9s de l’exploitation du syst\u00e8me d’information.<\/p>\n

3. S\u00e9curiser les postes de travail<\/strong><\/p>\n

Les postes des agents doivent \u00eatre param\u00e9tr\u00e9s afin qu’ils se verrouillent automatiquement au-del\u00e0 d’une p\u00e9riode d’inactivit\u00e9 (10 minutes maximum)\u00a0; les utilisateurs doivent \u00e9galement \u00eatre incit\u00e9s \u00e0 verrouiller syst\u00e9matiquement leur poste d\u00e8s qu’ils s’absentent de leur bureau. Ces dispositions sont de nature \u00e0 restreindre les risques d’une utilisation frauduleuse d’une application en cas d’absence momentan\u00e9e de l’agent du poste concern\u00e9. Par ailleurs, le contr\u00f4le de l’usage des ports USB sur les postes \u00ab\u00a0sensibles\u00a0\u00bb, interdisant par exemple la copie de l’ensemble des donn\u00e9es contenues dans un fichier, est fortement recommand\u00e9.<\/p>\n

4. Identifier pr\u00e9cis\u00e9ment qui peut avoir acc\u00e8s aux fichiers <\/strong><\/p>\n

L’acc\u00e8s aux donn\u00e9es personnelles trait\u00e9es dans un fichier doit \u00eatre limit\u00e9 aux seules personnes qui peuvent l\u00e9gitimement y avoir acc\u00e8s pour l’ex\u00e9cution des missions qui leur sont confi\u00e9es. De cette analyse, d\u00e9pend \u00ab\u00a0le profil d’habilitation\u00a0\u00bb de l’agent ou du salari\u00e9 concern\u00e9. Pour chaque mouvement ou nouvelle affectation d’un salari\u00e9 \u00e0 un poste, le sup\u00e9rieur hi\u00e9rarchique concern\u00e9 doit identifier le ou les fichiers auxquels celui-ci a besoin d’acc\u00e9der et faire proc\u00e9der \u00e0 la mise \u00e0 jour de ses droits d’acc\u00e8s. Une v\u00e9rification p\u00e9riodique des profils des applications et des droits d’acc\u00e8s aux r\u00e9pertoires sur les serveurs est donc n\u00e9cessaire afin de s’assurer de l’ad\u00e9quation des droits offerts et de la r\u00e9alit\u00e9 des fonctions occup\u00e9es par chacun.<\/p>\n

5. Veiller \u00e0 la confidentialit\u00e9 des donn\u00e9es vis-\u00e0-vis des prestataires<\/strong><\/p>\n

Les interventions des divers sous-traitants du syst\u00e8me d’information d’un responsable de traitement doivent pr\u00e9senter les garanties suffisantes en terme de s\u00e9curit\u00e9 et de confidentialit\u00e9 \u00e0 l’\u00e9gard des donn\u00e9es auxquels ceux-ci peuvent, le cas \u00e9ch\u00e9ant, avoir acc\u00e8s. La loi impose ainsi qu’une clause de confidentialit\u00e9 soit pr\u00e9vue dans les contrats de sous-traitance. Les \u00e9ventuelles interventions d’un prestataire sur des bases de donn\u00e9es doivent se d\u00e9rouler en pr\u00e9sence d’un salari\u00e9 du service informatique et \u00eatre consign\u00e9es dans un registre. Les donn\u00e9es qui peuvent \u00eatre consid\u00e9r\u00e9es \u00ab\u00a0sensibles\u00a0\u00bb au regard de la loi, par exemple des donn\u00e9es de sant\u00e9 ou des donn\u00e9es relatives \u00e0 des moyens de paiement, doivent au surplus faire l’objet d’un chiffrement.<\/p>\n

\u00ab\u00a0A noter\u00a0\u00bb\u00a0: l’administrateur syst\u00e8mes et r\u00e9seau n’est pas forc\u00e9ment habilit\u00e9 \u00e0 acc\u00e9der \u00e0 l’ensemble des donn\u00e9es de l’organisme. Pourtant, il a besoin d’acc\u00e9der aux plates-formes ou aux bases de donn\u00e9es pour les administrer et les maintenir. En chiffrant les donn\u00e9es avec une cl\u00e9 dont il n’a pas connaissance, et qui est d\u00e9tenue par une personne qui n’a pas acc\u00e8s \u00e0 ces donn\u00e9es (le responsable de la s\u00e9curit\u00e9 par exemple), l’administrateur peut mener \u00e0 bien ses missions et la confidentialit\u00e9 est respect\u00e9e.<\/p>\n

6. S\u00e9curiser le r\u00e9seau local <\/strong><\/p>\n

Un syst\u00e8me d’information doit \u00eatre s\u00e9curis\u00e9 vis-\u00e0-vis des attaques ext\u00e9rieures.<\/p>\n

Un premier niveau de protection doit \u00eatre assur\u00e9 par des dispositifs de s\u00e9curit\u00e9 logique sp\u00e9cifiques tels que\u00a0des routeurs filtrants (ACL), pare-feu, sonde anti intrusions, etc. Une protection fiable contre les virus et logiciels espions suppose une veille constante pour mettre \u00e0 jour ces outils, tant sur le serveur que sur les postes des agents. La messagerie \u00e9lectronique doit \u00e9videmment faire l’objet d’une vigilance particuli\u00e8re. Les connexions entre les sites parfois distants d’une entreprise ou d’une collectivit\u00e9 locale doivent s’effectuer de mani\u00e8re s\u00e9curis\u00e9e, par l’interm\u00e9diaire des liaisons priv\u00e9es ou des canaux s\u00e9curis\u00e9s par technique de \u00ab\u00a0tunneling\u00a0\u00bb ou VPN (r\u00e9seau priv\u00e9 virtuel). Il est \u00e9galement indispensable de s\u00e9curiser les r\u00e9seaux sans fil compte tenu de la possibilit\u00e9 d’intercepter \u00e0 distance les informations qui y circulent\u00a0: utilisation de cl\u00e9s de chiffrement, contr\u00f4le des adresses physiques des postes clients autoris\u00e9s, etc. Enfin, les acc\u00e8s distants au syst\u00e8me d’information par les postes nomades doivent faire pr\u00e9alablement l’objet d’une authentification de l’utilisateur et du poste. Les acc\u00e8s par internet aux outils d’administration \u00e9lectronique n\u00e9cessitent \u00e9galement des mesures de s\u00e9curit\u00e9 fortes, notamment par l’utilisation de protocoles IPsec, SSL\/TLS ou encore HTTPS.<\/p>\n

\u00ab\u00a0A noter\u00a0\u00bb\u00a0: Un r\u00e9f\u00e9rentiel g\u00e9n\u00e9ral de s\u00e9curit\u00e9, relatif aux \u00e9changes \u00e9lectroniques entre les usagers et les autorit\u00e9s administratives (ordonnance 2005-1516), doit voir le jour prochainement (voir projet sur le site http:\/\/www.ssi.gouv.fr\/<\/a>). Il imposera \u00e0 chacun des acteurs des mesures de s\u00e9curit\u00e9 sp\u00e9cifiques.<\/p>\n

7. S\u00e9curiser l’acc\u00e8s physique aux locaux<\/strong><\/p>\n

L’acc\u00e8s aux locaux sensibles, tels que les salles h\u00e9bergeant les serveurs informatiques et les \u00e9l\u00e9ments du r\u00e9seau, doit \u00eatre limit\u00e9 aux personnels habilit\u00e9s. Ces locaux doivent faire l’objet d’une s\u00e9curisation particuli\u00e8re\u00a0: v\u00e9rification des habilitations, gardiennage, portes ferm\u00e9es \u00e0 cl\u00e9, digicode, contr\u00f4le d’acc\u00e8s par badge nominatifs, etc. La DSI ou le responsable informatique doit veiller \u00e0 ce que les documentations techniques, plans d’adressages r\u00e9seau, contrats, etc. soient eux aussi prot\u00e9g\u00e9s.<\/p>\n

8. Anticiper le risque de perte ou de divulgation des donn\u00e9es<\/strong><\/p>\n

La perte ou la divulgation de donn\u00e9es peut avoir plusieurs origines\u00a0: erreur ou malveillance d’un salari\u00e9 ou d’un agent, vol d’un ordinateur portable, panne mat\u00e9rielle, ou encore cons\u00e9quence d’un d\u00e9g\u00e2t des eaux ou d’un incendie. Il faut veiller \u00e0 stocker les donn\u00e9es sur des espaces serveurs pr\u00e9vus \u00e0 cet effet et faisant l’objet de sauvegardes r\u00e9guli\u00e8res. Les supports de sauvegarde doivent \u00eatre stock\u00e9s dans un local distinct de celui qui h\u00e9berge les serveurs, id\u00e9alement dans un coffre ignifug\u00e9. Les serveurs h\u00e9bergeant des donn\u00e9es sensibles ou capitales pour l’activit\u00e9 l’organisme concern\u00e9 doivent \u00eatre sauvegard\u00e9s et pourront \u00eatre dot\u00e9s d’un dispositif de tol\u00e9rance de panne. Il est recommand\u00e9 d’\u00e9crire une proc\u00e9dure \u00ab\u00a0urgence – secours\u00a0\u00bb qui d\u00e9crira comment remonter rapidement ces serveurs en cas de panne ou de sinistre majeur. Les supports nomades\u00a0(ordinateurs portables, cl\u00e9 USB, assistants personnels etc.) doivent faire l’objet d’une s\u00e9curisation particuli\u00e8re, par chiffrement, au regard de la sensibilit\u00e9 des dossiers ou documents qu’ils peuvent stocker. Les mat\u00e9riels informatiques en fin de vie, tels que les ordinateurs ou les copieurs, doivent \u00eatre physiquement d\u00e9truits avant d’\u00eatre jet\u00e9s, ou expurg\u00e9s de leurs disques durs avant d’\u00eatre donn\u00e9s \u00e0 des associations. Les disques durs et les p\u00e9riph\u00e9riques de stockage amovibles en r\u00e9paration, r\u00e9affect\u00e9s ou recycl\u00e9s, doivent faire l’objet au pr\u00e9alable d’un formatage de bas niveau destin\u00e9 \u00e0 effacer les donn\u00e9es qui peuvent y \u00eatre stock\u00e9es.<\/p>\n

9. Anticiper et formaliser une politique de s\u00e9curit\u00e9 du syst\u00e8me d’information <\/strong><\/p>\n

L’ensemble des r\u00e8gles relatives \u00e0 la s\u00e9curit\u00e9 informatique doit \u00eatre formalis\u00e9 dans un document accessible \u00e0 l’ensemble des agents ou des salari\u00e9s. Sa r\u00e9daction requiert l’inventaire pr\u00e9alable des \u00e9ventuelles menaces et vuln\u00e9rabilit\u00e9s qui p\u00e8sent sur un syst\u00e8me d’information. Il convient de faire \u00e9voluer r\u00e9guli\u00e8rement ce document, au regard des modifications des syst\u00e8mes et outils informatiques utilis\u00e9s par l’organisme concern\u00e9. Enfin, le param\u00e8tre \u00ab\u00a0s\u00e9curit\u00e9\u00a0\u00bb doit \u00eatre pris en compte en amont de tout projet li\u00e9 au syst\u00e8me d’information.<\/p>\n

10. Sensibiliser les utilisateurs aux \u00ab\u00a0risques informatiques\u00a0\u00bb et \u00e0 la loi “informatique et libert\u00e9s” <\/strong><\/p>\n

Le principal risque en mati\u00e8re de s\u00e9curit\u00e9 informatique est l’erreur humaine. Les utilisateurs du syst\u00e8me d’information doivent donc \u00eatre particuli\u00e8rement sensibilis\u00e9s aux risques informatiques\u00a0li\u00e9s \u00e0 l’utilisation de bases de donn\u00e9es. Cette sensibilisation peut prendre la forme de formations, de diffusion de notes de service, ou de l’envoi p\u00e9riodique de fiches pratiques. Elle sera \u00e9galement formalis\u00e9e dans un document, de type \u00ab\u00a0charte informatique\u00a0\u00bb, qui pourra pr\u00e9ciser les r\u00e8gles \u00e0 respecter en mati\u00e8re de s\u00e9curit\u00e9 informatique, mais aussi celles relatives au bon usage de la t\u00e9l\u00e9phonie, de la messagerie \u00e9lectronique ou encore d’internet. Ce document devrait \u00e9galement rappeler les conditions dans lesquelles un salari\u00e9 ou un agent peut cr\u00e9er un fichier contenant des donn\u00e9es personnelles, par exemple apr\u00e8s avoir obtenu l’accord de son responsable, du service juridique ou du CIL de l’entreprise ou de l’organisme dans lequel il travaille.<\/p>\n

Ce document doit s’accompagner d’un engagement de responsabilit\u00e9 \u00e0 signer par chaque utilisateur.<\/p>\n","protected":false},"excerpt":{"rendered":"

10 conseils de la CNIL pour s\u00e9curiser votre syst\u00e8me d’information: La loi \u00ab\u00a0informatique et libert\u00e9s\u00a0\u00bb impose que les organismes mettant en \u0153uvre des fichiers garantissent la s\u00e9curit\u00e9 des donn\u00e9es qui y sont trait\u00e9es. Cette exigence se traduit par un ensemble de mesures que les d\u00e9tenteurs de fichiers doivent mettre en \u0153uvre, essentiellement par l’interm\u00e9diaire de leur direction des syst\u00e8mes d’information (DSI) ou de leur responsable informatique. Il apparait clairement que la gestion des identit\u00e9s et des acc\u00e8s est au coeur de la s\u00e9curit\u00e9 du syst\u00e8me d’information. Voici la liste des 10 recommendations de la CNIL:<\/p>\n

1. Adopter une politique de mot de passe rigoureuse<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,6],"tags":[68,216],"class_list":["post-139","post","type-post","status-publish","format-standard","hentry","category-business","category-strategie","tag-cnil","tag-securite"],"_links":{"self":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/139","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/comments?post=139"}],"version-history":[{"count":0,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/139\/revisions"}],"wp:attachment":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/media?parent=139"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/categories?post=139"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/tags?post=139"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}