les normes minimales de sécurité

Patrick BOCHART Conseiller en sécurité de l’information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: [email protected] Site web BCSS: www.bcss.fgov.be

Les normes minimales de sécurité

11/7/2014

mailto:[email protected]



http://www.ksz.fgov.be/

Agenda

• Introduction & scope • Champ d’application et interprétation • Normes minimales de sécurité, ISMS, structure ISO 27002:2013

– la politique de sécurité de l'information, – l'organisation de la sécurité, – la sécurité liée aux collaborateurs, – la gestion des ressources de l'entreprise, – la protection d’accès logique, – la cryptographie, – la sécurité physique et la protection de l'environnement, – la gestion opérationnelle (logging, protection contre des logiciels malveillants, ...), – La sécurité des communications, – L’acquisition, le développement et la maintenance de systèmes, – La relations avec les fournisseurs, – la gestion des incidents, – L’aspect de la sécurité de l’information dans la gestion de la continuité, – La conformité .

• Révision • Sanction

2

Introduction & scope

• Source: http://www.bcss.fgov.be/ (Page d'accueil Sécurité et vie privée Documentation – Sécurité Information Security Management System)

• Obligatoires

– Institutions de sécurité sociale visées à l’article 2, alinéa 1er, 2°, de la loi organique de la Banque Carrefour

– Art. 18 : l'extension du réseau est possible, en ce compris les droits et les obligations de la loi BCSS,

– sur demande explicite (par exemple par le Comité sectoriel dans le cadre d'une délibération)

3

http://www.bcss.fgov.be/


• Champ d’application :

– traitement de données sociales à caractère personnel.

– bon usage : la sécurité de l’information au sens large du terme

• Cas spécifique :

– Utilisation du numéro RN au sien des services RH

4


• Contrôle :

– Evaluation périodique par le Comité Sectoriel sur base de questionnaire

– Contrôle possible par un organisme externe

• Sous-traitance :

– le donneur d’ordre reste responsable de la mise en œuvre et du contrôle de l’application des normes minimales de sécurité chez le sous-traitant.

5


• Interprétation des normes:

– Mise en œuvre des mesures de sécurité les plus appropriées compte tenu de la situation spécifique et de l’importance des moyens de fonctionnement à protéger.

6


• Objectifs poursuivis

– Assurer de manière coordonnée un niveau minimal de sécurité

– Respect aspect légaux et règlementaires

– Obtenir/conserver l’autorisation d’échange

7


• Relation à l'ISMS et à l'ISP ("Politique de sécurité de l'information" - conforme à la série ISO 27000)

8

ISMS: MÉTHODOLOGIE

Questionnaire

Directives

Policie

Comité sectoriel de la

sécurité sociale et de la

santé

ISP

(Information Security Policy)‏

Normes minimales

Loi organique de la Banque

Carrefour

15/01/90 – 12/08/93

9

Structure ISO 27002:2013 Ces normes minimales portent sur les aspects

suivants:

• la politique de sécurité de l'information, • l'organisation de la sécurité, • la sécurité liée aux collaborateurs • la gestion des ressources de l'entreprise, • la protection d’accès logique, • la cryptographie • la sécurité physique et la protection de l'environnement, • la gestion opérationnelle (logging, protection contre des logiciels

malveillants, ...), • La sécurité des communications • L’acquisition, le développement et la maintenance de systèmes, • La relations avec les fournisseurs • la gestion des incidents, • L’aspect de la sécurité de l’information dans la gestion de la continuité, • La conformité (contrôle/audit).

Les normes minimales de sécurité

5. Politique de sécurité de l’information

• Toute organisation doit disposer d’une politique de sécurité de l’information formelle et actualisée, approuvée par le responsable de la gestion journalière, (ou équivalent).

11

12

6. Organisation de la sécurité de l’information

Deux parties

• 6.1 Organisation de la sécurité de l’information

• 6. 2 Appareils mobiles et télétravail

6.1 Organisation de la sécurité de l’information • 6.1.1 Organisation de la sécurité de l’information

– organiser, en son sein, un service de sécurité de l’information;

– communiquer l’identité de son conseiller en sécurité et de ses adjoints éventuels au Comité sectoriel de la sécurité sociale et de la santé;

– disposer d’un plan de sécurité approuvé par le responsable de la gestion journalière;

– disposer des crédits de fonctionnement nécessaires;

– communiquer à la BCSS le nombre d’heures qu’elle a officiellement attribuées à son conseiller en sécurité et à ses adjoints éventuels pour l’exécution de leurs tâches;

– planifier la communication d’informations au conseiller en sécurité;

13

6.1 Organisation de la sécurité de l’information • 6.1.2 Plateforme de décision

– disposer d’une plateforme de décision pour valider et approuver les mesures de sécurité..

14

6.1 Organisation de la sécurité de l’information • 6.1.3 Réseau secondaire

– Echanger d’information au moins une fois par semestre avec son réseau secondaire, • Avis

• Promotion

• Documentation

• Contrôle en matière de sécurité de l'information

15

6.1 Organisation de la sécurité de l’information • 6.1.4 Sécurité de l’information dans le cadre de

projets

– Disposer de procédures pour le développement de nouveaux systèmes ou d’évolutions importantes dans les systèmes existants, pour que le responsable de projet tienne compte des exigences de sécurité décrites dans le présent document.

16

6.2 Appareils mobiles et télétravail

• 6.2.1 Accès à distance

– Prendre les mesures adéquates, en fonction du moyen d’accès, afin de sécuriser l’accès on-line réalisé en dehors de l’organisation aux données sociales à caractère personnel. • Moyen d’accès : p.ex. Internet, ligne louée, réseau privé, wireless.

17

6.2 Appareils mobiles et télétravail

• 6.2.2 Protection des données sur des médias mobiles

– Prendre les mesures adéquates afin que les données à caractère personnel enregistrées sur des médias mobiles ne soient accessibles qu’aux personnes autorisées

18

• 7.1 Traitement des données:

– Engagement de tous les collaborateurs internes et externes à respecter leurs obligations en ce qui concerne la confidentialité et la sécurité des données.

19

7. Sécurité liée aux collaborateurs

• 7.2 Sensibilisation

– sensibiliser chaque collaborateur à la sécurité de l’information.

20

7. Sécurité liée aux collaborateurs

8. Gestion des ressources de l’entreprise

• 8.1 Inventaire

– Disposer d’un inventaire du matériel informatique et des logiciels

– Mis à jour en permanence.

21


• 8.2 Protection des ressources de l’entreprise

– S’assurer de la protection des supports des données à caractère personnel et les systèmes informatiques les traitant

– Conformément à leur classification, • dans des locaux identifiés et protégés

• dont l’accès est limité aux seules personnes autorisées et aux seules heures justifiées par leur fonction.

22


• 8.3 Internet et e-mail

– Etablir et appliquer un code de bonne conduite pour l’usage de l’Internet et de l’e-mail

23

• 8.4 Support physique en transit

– Prendre les mesures nécessaires pour protéger, contre les accès non autorisés, les supports en transit dont notamment les backups contenant des données sensibles

24


9. Protection de l’accès (logique)

• 9.1 Protection des données

– sécuriser l’accès aux données nécessaires à l’application et à l’exécution de la sécurité sociale par un système d’identification, d’authentification et d’autorisation.

25


• 9.2 Autorisations Comité sectoriel

– S’assurer de l’existence des autorisations nécessaires du comité sectoriel compétent pour l’accès aux données (sociales) à caractère personnel gérées par une autre organisation

26


• 9.3 Accès aux systèmes informatiques par les gestionnaires d’information

– limiter l'accès au(x) système(s) informatique(s) aux gestionnaires d’information identifiés, authentifiés et autorisés

27

• 9.4 Utilisation des services en réseaux

– prendre les mesures adéquates afin que toute personne n’ait uniquement accès qu’aux services pour lesquels elle a spécifiquement reçu une autorisation.

28



• 9.5 Connexion IP externe - réseau primaire

– Utiliser l’Extranet de la sécurité sociale pour toutes les connexions externes à l’institution ou à son réseau secondaire.

– Dérogation possible !

29


• 9.6 Connexion IP externe - réseau secondaire

– Possibilité d’utiliser l’Extranet

– Si pas d’utilisation de l’Extranet • Prise de mesures de sécurité qui garantiront un niveau de sécurité

équivalent à celui de l’Extranet

30

31

10. Cryptographie

• 10.1 Cryptographie

– “NIHIL.”

11. Protection physique et protection de l’environnement • 11.1 Protection physique de l’accès

– limiter l’accès aux bâtiments et locaux aux personnes autorisées et effectuer un contrôle à ce sujet

32

• 11.2 Incendie, intrusion, dégâts causés par l’eau

– Prendre des mesures pour la prévention, la protection, la détection, l’extinction et l’intervention en cas d’incendie, d’intrusion et de dégâts causés par l’eau.

33

11. Protection physique et protection de l’environnement

11. Protection physique et protection de l’environnement • 11.3 Alimentation en électricité

– Disposer d’un moyen alternatif en électricité afin de garantir la prestation de services attendue

34

• 11.4 Mise au rebut ou recyclage sécurisé du matériel

– prendre des mesures pour que toute donnée soit supprimée ou rendue inaccessible sur tout support de stockage avant sa mise au rebut ou recyclage

35

11. Protection physique et protection de l’environnement

• 12.1 Séparation des environnements

– Ségrégation des environnements;

– S’assurer que tout développement, ou test soit exclu au sein de l’environnement de production;

– Possibilité de dérogation.

36

12. Gestion opérationnelle


• 12.2 Gestion de la mise en production

– Disposer de procédures pour la mise en production de nouvelles applications et la réalisation d’adaptations aux applications existantes.

– Eviter qu’une seule et même personne n'assure le contrôle de l’ensemble de ce processus.

37


• 12.3 Protection contre des codes nocifs

– Doit disposer de systèmes actualisés pour se protéger (prévention, détection et rétablissement) contre des codes nocifs

38


• 12.4 Politique de sauvegarde

– définir la politique et la stratégie organisant la mise en œuvre d’un système de sauvegarde en phase avec la gestion de la continuité

– contrôler régulièrement les sauvegardes réalisées dans ce cadre.

39


• 12.5 Logging de l’accès

– Implémentation d’un système de logging pour les données à caractère personnel nécessaires à l’application et à l’exécution de la sécurité sociale.

40


• 12.6 Traçabilité des identités.

– Assurer à son niveau la traçabilité des identifiants utilisés

– Permettre l’identification de bout en bout des identifiants utilisés.

41


• 12.7 Détection d’infractions à la sécurité

– Installer un système et des procédures formelles et actualisées permettant la détection, le suivi et la réparation d’infractions

42

13. Sécurité des communications

• 13.1 Sécurité au niveau du réseau

– 13.1.1 Gestion de la sécurité des réseaux • vérifier que les réseaux sont gérés et contrôlés de façon adéquate

afin de les protéger contre les menaces et de garantir de façon efficace la protection des systèmes et des applications qui utilisent le réseau

43

• 13.1 Sécurité au niveau du réseau

– 13.1.2 Disponibilité des réseaux • mettre en place les mesures techniques nécessaires, suffisantes,

efficientes et adéquates en vue de garantir la plus haute disponibilité de connexion avec le réseau de la Banque Carrefour

44



• 13.2 Echange d’information

– 13.2.1 Cartographie des flux de l’Extranet • tenir à jour une cartographie technique des flux implémentés au

travers de l’Extranet de la sécurité sociale

45


• 13.2 Echange d’information

– 13.2.2 Qualité de service des échanges d’informations à caractère social • Traitement dans les meilleurs délais par l'ensemble des

intervenants

• Traitement en temps utile des messages de suivi qu'elles doivent recevoir des destinataires ou intermédiaires.

• Réalisation dans les meilleurs délais les actions adéquates et appropriées consécutives au traitement des messages de suivi.

• Toute anomalie ou lacune dans la transmission électronique des données doit être signalée dans les meilleurs délais aux intervenants concernés

46

14. Acquisition, développement et maintenance de systèmes • 14.1 Documentation

– Disposer de procédures pour la rédaction de documentation lors du développement de nouveaux systèmes et applications et lors de la maintenance des applications et systèmes existants.

47

14. Acquisition, développement et maintenance de systèmes • 14.2 Méthode de développement structurée

– Doit avoir recours à une approche structurée en vue d’un développement sécurisé de systèmes

48

14. Acquisition, Développement et maintenance de systèmes • 14.3 Vérifier les exigences de sécurité avant la mise

en production

– Veiller à ce que le responsable de projet vérifie le respect des exigences de sécurité établies au début de la phase de développement ou de la procédure d’achat avant toute mise en production de nouveaux systèmes ou d’évolutions importantes dans les systèmes existants

49

• 14.4 Sécurité applicative

– prendre les mesures nécessaires pour assurer la sécurité au niveau applicatif dans le but de minimiser les brèches potentielles de sécurité (confidentialité, intégrité, disponibilité).

50

14. Acquisition, développement et maintenance de systèmes

51

15. Relation avec les fournisseurs

• 15.1 Collaboration avec des sous-traitants

– doit s’assurer que les obligations en matière de traitement de données à caractère personnel sont contractuellement établies.

– “Dans le cadre d’une solution de type « Cloud Computing », la politique de sécurité y relative (ISMS.0050) précise que le choix dans une telle situation est limité uniquement à des services cloud « communautaire » (ou « privé »).”

16. Gestion d’incidents relatifs à la sécurité de l’information • 16.1 Incidents majeurs

– Veiller à ce que le service de Sécurité de l’information soit informé, par le service responsable, des incidents majeurs susceptibles de compromettre la sécurité de l’information et des mesures prises pour faire face à ces incidents

– S'assurer que la BCSS soit informé de tout incident de sécurité classifié "Majeur" suivant la politique générale de remontée d'incident sécurité établie au sein de la sécurité sociale.

52

17. Gestion de la continuité

• 17.1 Gestion de la continuité

– élaborer, tester et maintenir un plan de continuité basé sur une analyse des risques, afin d’assurer la mission de l’organisation dans le cadre de la sécurité sociale.

• 17.2 Redondances

– prévoir un centre de migration informatique et/ou une infrastructure redondante informatique en cas de catastrophe totale ou partielle.

53

18. Conformité

• 18.1 Audit externe

– entreprendre périodiquement un audit de conformité relatif à la situation de la sécurité telle que circonscrite par les normes minimales.

54

Révisions

• Les normes minimales de sécurité sont susceptibles d'être revisées. – Tâche du groupe de travail Sécurité de l'information du Comité général

de coordination

• Dernière normes minimales de sécurité entrées en vigueur : 1er janvier 2015 – Adaptées et rendues conformes à la numérotation du standard ISO

27002:2013, aux recommandations du Comité sectoriel du Registre national et aux dernières modifications de la loi organique de la Banque Carrefour

– Approuvées par le Comité de gestion de la BCSS

– Le nouveau questionnaire a été envoyé pour la première fois en janvier 2016.

55

Sanctions

• En cas de non-respect de ces normes minimales, l'institution de sécurité sociale concernée peut se voir interdire, après mise en demeure, l'accès au réseau conformément à l'article 46, alinéa premier, 1°, de la loi organique de la Banque Carrefour.

• Les institutions qui souhaitent s’intégrer au réseau de la Banque Carrefour doivent disposer d’un plan pluriannuel actualisé mentionnant les mesures permettant de satisfaire aux normes minimales.

56

Questions ?

57

[email protected]

+32 741 83 04




Patrick Bochart conseiller en sécurité de l’Information Banque Carrefour de la Sécurité Sociale [email protected] http://www.bcss.fgov.be

MERCI ! QUESTIONS ?

58

les normes minimales de sécurité

Documents