Guide de sécurité.6 - Environnement

VI. Modalités techniques et sécuritaires de l’environnement ISO 17799

6.4.1 Gestion des ressources informationnelles

- Identifier les ressources informationnelles

- Élaborer un inventaire des informations sensibles ou critiques :

  • Les informations critiques sont celles dont la divulgation, l’altération, la perte ou la destruction risquent de rendre vulnérable ou encore de paralyser un service ou l’organisation elle-même
  • Les informations sensibles sont celles qui pourraient causer des préjudices non négligeables à l’organisation

- Distinguer les trois catégories d’actifs :

  • Les actifs appartenant à l’organisation et qu’elle exploite
  • Les actifs appartenant à l’organisation mais détenus et exploités par un tiers, fournisseur de services
  • Les actifs qui appartiennent à un tiers ou fournisseur mais exploités au profit de l’organisation

- Élaborer un registre d’autorité de la sécurité de l’information :

  • Description des ressources informationnelles qui doivent être protégées
  • Désignation et attributions des détenteurs de ressources
  • Désignation et attributions du responsable de sécurité
  • Attribution de tout autre intervenant en sécurité

6.4.2 Protection des ressources informationnelles

- Déterminer les ressources informationnelles à catégoriser :

  • Système d’information ( fichier de base de données, contrat et entente, manuel de l’utilisateur)
  • Logiciel
  • Élément de l’infrastructure technologique
  • Type de document
  • Environnement physique

- Catégoriser les actifs

  • Critères selon la valeur, les exigences légales, sensibilité, risque
  • Déterminer les modes de protection et de traitement

- Déterminer les mesures de sécurité selon les catégories

  • Marquage de l’information
  • Mise en place de procédure pour la manipulation de l’information : transfert, conservation, récupération, transmission, destruction ( Voir Partie V)

6.5.1 Contrôle dans le traitement de l’information

- Contrôle des données d’entrée des systèmes d’information :

  • Vérification des éléments de données
  • Examen de l’intégrité et de la validité des fichiers
  • Vérification d’autorisation des changements aux données
  • Définitions des responsabilités du personnel affecté au traitement des données d’entrée
  • Création d’un journal de transactions enregistrant tous les changements apportées aux données d’entrée

- Contrôle des données de sortie de systèmes d’information :

  • vérifications permettant d’assurer la validité des données
  • Définition des responsabilités du personnel affecté au traitement de données de sortie
  • Mise en place d’une procédure de contrôle permettant de vérifier le traitement des données de sortie
  • Création d’un journal de transactions enregistrant tous les changements apportées aux données de sortie

6.5.2 Contrôle par des mesures de chiffrement de l’information

- Politique d’utilisation des mesures cryptographiques

- Chiffrement

- Signatures numériques

- Services de non répudiation

- Gestion des clés ( révocation)

6.5.3 Sécurité des fichiers de système d’information

- contrôle des logiciels opérationnels

- Protection des données d’essai des systèmes

- Contrôle de l’accès aux bibliothèques de programme sources

6.5.4 Sécurité des environnements de développement de soutien technique

- Mise en place de procédures de contrôle des changements apportés aux systèmes

- Une révision technique de toutes les modifications apportées à un système d’exploitation

- Des restrictions sur les modifications à apporter aux prologiciels

- Surveillance de la sous-traitance du développement des logiciels ( droits de licence, droits de propriété du code source, droits d’accès, sécurité au niveau des fonctionnalités)

6.5.5 Gestion de l’exploitation et des vulnérabilités techniques

- Gestion de l’exploitation :

  • Sauvegarde régulière des données personnelles des utilisateurs
  • En cas d’expédition ou de transport de supports d’information prendre des mesures appropriées pour en assurer la sécurité (emballage spécial, code, livraison sécuritaire, cryptage)
  • Mise en place d’un plan de sauvegarde de données en fonction selon le volume des données à sauvegarder, la périodicité de la sauvegarde, la durée légale de conservation
  • Identifier les vulnérabilités techniques
  • Mise en place de correctifs

- Gestion de la sécurité des réseaux de télécommunications :

  • Mise en place de moyens de protection informatique : coupe-feu, logiciel anti-virus, mise à jour des logiciels

6.6.1 Périmètre de sécurité physique

- Périmètre de sécurité physique

- Mesures de sécurité physique à l’entrée

- Mesures de sécurité des bureaux, salles et infrastructures

- Limiter les zones de travail

- Sécurité du matériel : emplacement, maintenance

- Isolation des zones de livraisons

6.6.2 Personnes responsables

- Identifier le ou les responsables de sécurité

- Prévoir les modalités de changement de poste ou de renouvellement

- Attributions des rôles et responsabilités :

  • Les qualifications et compétences des personnes qui assumeront les rôles
  • Les gestionnaires qui en assurent la gestion
  • Les utilisateurs des ressources
  • Les administrateurs techniques qui gèrent les accès aux informations et fonctionnalités des ressources informationnelles
  • Les techniciens qui assurent la maintenance et la contingence
  • Les tiers et les fournisseurs qui offrent des services contractuels

6.6.3 Encadrement de l’environnement

- Droits et conditions d’accès à certaines catégories de documents

- Droits et conditions d’accès à certains équipements informatiques

- Audits et vérifications relatifs aux incidents de sécurité

- Modalités de surveillance

- Modalités d’administration de l’environnement

- Procédure d’urgence en cas d’événements susceptibles de mettre en péril la sécurité de l’environnement

6.6.4 Gérer les incidents de sécurité

- Prévention des incidents : tests d’intrusion, sensibiliser et former les utilisateurs, analyse de risques

- Détection : antivirus, système de prévention, système de prévention et de détection d’intrusions

- Réaction face aux incidents : mise en place d’une équipe de réponse aux incidents, identification et catégorisation des incidents, procédures d’interventions et de rétablissement, évaluation des dommages

- Mesures de rétroaction : procédure de retour avec les détails de résolution du problème

6.7.1 Responsabilité de la direction

- Inclusion de la sécurité dans la responsabilité des postes
- sélection du personnel et politique de recrutement
- accords de confidentialité
- conditions d’emploi

6.7.2 Processus disciplinaire

- élaboration d’un processus disciplinaire formel et publique
- conformité du processus aux lois et règlements en vigueur

6.7.3 Processus d’embauche

- Description des tâches pour tous les postes à combler
- Mention des exigences et des responsabilités en matière de sécurité avant l’embauche
- Préciser qu’un engagement de sécurité devra être signé et que cela vise tous les employés, tiers et sous-traitants
- Habilitation particulière pour tout employé devant accéder à des informations sensibles

6.7.4 Processus d’accueil
- Sensibilisation à la sécurité de l’information : politique de sécurité, directives, procédures, standards, bonnes pratiques
- Organisation hiérarchique des intervenants en sécurité
- Identification et mot de passe : composition des mots de passe, confidentialité, responsabilités des utilisateurs concernant les actions effectuées avec son identifiant
- Copie et sauvegarde
- Usage des équipements, logiciels, Internet

6.7.5 Formation et sensibilisation

- Séances d’informations périodiques sur la sécurité de l’information
- Rappel des enjeux et des conséquences de l’utilisation des ressources informationnelle de l’entreprise

6.7.6 Processus de départ

- Tout employé ou contractuel perd ses droits d’accès immédiatement après sa démission, congédiement, fin de contrat ou entente

- Processus formel de résiliation prévoyant la restitution de l’ensemble des cartes d’accès, de crédit, manuels, documents, logiciels, équipement appartenant à l’organisation

- Dans l’hypothèse où l’employé, tiers ou le sous-traitant a utilisé son propre matériel pendant la durée du contrat, s’assurer de la destruction de toutes les informations concernant l’entreprise

6.8.1 Gestion des accès utilisateurs

- Enregistrement des utilisateurs

- Gestion des privilèges

- Gestion des mots de passe utilisateurs

- Examen des droits d’accès utilisateur

6.8.2 Contrôle de l’accès aux réseaux

- Politique sur l’utilisation des services sur réseaux

- Itinéraire obligatoire

- Authentification des utilisateurs pour les connexions externes

- Authentification des nœuds

- Isolation au sein des réseaux

- Contrôle des connexions réseau

- Contrôle du routage des réseaux

- Sécurité des services réseau

6.8.3 Contrôle de l’accès aux systèmes d’exploitation

- Identification automatique du terminal

- Procédures de connexion de terminal

- Identification et authentification des utilisateurs

- Systèmes des gestions des mots de passe

- Utilisation des programmes utilitaires

- Avertisseurs individuels pour la protection des utilisateurs

- Fonction d’arrêt à délai d’inactivité du terminal

- Limitation du temps de connexion

6.8.4 Responsabilités des utilisateurs

- Tout utilisateur détient un droit d’accès personnel et unique à son environnement de travail ( outils de communication, systèmes d’exploitation, logiciels, applications)

- Sont prohibées :

  • La divulgation des informations confidentielles
  • L’obtention d’informations classées et non reliées à sa tâche
  • L’abus du droit d’accès

- Gestion des mots de passe :

  • Garder les mots de passe secret
  • Respecter les exigences du système
  • Responsabilité de l’utilisateur en ce qui concerne toute action effectuée avec son identifiant et son mot de passe

RÉFÉRENCES

-  AICPA/CICA : Comptables agrées du Canada : Principes et critères des services Trust- Intégration de SysTrust et de WebTrust, 1er avril 2003.

- Cigref : Club informatique des grandes entreprises françaises – Sécurité des systèmes d’information, septembre 2002

- Code de pratique pour la gestion de sécurité d’information (ISO/CEI 17799 - international)

- Forum du droit sur Internet : Recommandation – La conservation électronique des documents

- Guide des droits sur Internet (Québec)

- Guide de sécurité en ligne et de protection des renseignements personnels (2003 –Canada)

- Guide relatif à la gestion des documents technologiques – Afin d’y voir plus clair, Fondation du Barreau du Québec

- ISIQ : Institut pour la sécurité de l’information du Québec – Guide de sécurité PME

- Loi sur la protection des renseignements personnels dans le secteur privé (1994 - Québec)

- Loi concernant le cadre juridique des technologies de l’information

- Loi sur la protection des renseignements personnels et les documents électroniques.(2000 - Canada)

- Santé et services sociaux : Politique de sécurité de l’information – Guide de rédaction, trousse d’outils- juin2003

- Services du gouvernement du Québec, Loi concernant le cadre juridique des technologies de l’information

- SGQRI : Standard du gouvernement du Québec pour les ressources informationnelles – Guide pour l’élaboration d’une politique de sécurité de l’information numériques et des échanges électroniques, juillet 2003

- SGQRI-32 : Contenu type et guide à l’élaboration d’une entente de sécurité – Pratique recommandée, Gouvernement du Québec -Novembre 2002

- Site général relatif à la Loi concernant le cadre juridique des technologies de l’information (2001 - Québec)