1 Session de sécurité 2 ème semestre 2013 Service Public de Programmation Int é gration Sociale,
-
Upload
anne-valentin -
Category
Documents
-
view
104 -
download
0
Transcript of 1 Session de sécurité 2 ème semestre 2013 Service Public de Programmation Int é gration Sociale,
1
Service Public de Programmation Intégration Sociale,
2
PROGRAMMEPROGRAMME1) Présentation du conseiller
2) Aperçu sommaire des règles de déontologie des membres du conseil de l’Action sociale
3) Lignes directrices de la BCSS pour les clouds (non encore officiellement agréées par le groupe de sécurité constitué à cet effet).
4) Windows 365: bref aperçu.
5) Nouvelle méthode de désignation du conseiller en sécurité
Service Public de Programmation Intégration Sociale,
Questions ou sujets à aborder
A vous!
4
PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE
11
Service Public de Programmation Intégration Sociale,
LES CONSEILLERS DE L’ACTION SOCIALE NE SAVENT PAS:
ce qu’est la sécurité de l’information;
ce qu’est un conseiller en sécurité;
ce qu’ils doivent respecter afin d’être en
ordre avec les normes minimales.
5
PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE
2 2
Service Public de Programmation Intégration Sociale,
La sécurité de l’information est:
- la prévention et la réparation rapide et efficiente des dommages aux données sociales
- et des violations illégitimes de la vie privée des intéressés.
6
PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE
3 3
Service Public de Programmation Intégration Sociale,
Le service chargé de la sécurité de l’information veille au respect, dans le CPAS, des règles de sécurité imposées par une disposition légale.
AR 12/08/1993
7
PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE
4 4
Service Public de Programmation Intégration Sociale,
Le service chargé de la sécurité de l’information a une mission: d’avis, de stimulation, de documentation, de contrôle.
8
PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE
55
Service Public de Programmation Intégration Sociale,
Le service chargé de la sécurité de
l’information conseille le responsable de
la gestion journalière (Directeur général –
Secrétaire) de son CPAS, à la demande de
celui-ci ou de sa propre initiative, au sujet
de tous les aspects de la sécurité de
l’information.
9
PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE
6 6
Service Public de Programmation Intégration Sociale,
Sauf si les risques ne sont
pas suffisamment importants,
les avis s’expriment par écrit
et sont motivés.
10
PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE
7 7
Service Public de Programmation Intégration Sociale,
Dans le délai …. maximum de trois mois,
le responsable de la gestion journalière
décide/
de suivre ou non les avis et informe le service
chargé de la sécurité de la décision adoptée.
Si la décision déroge à un avis exprimé par écrit,
elle doit être communiquée de façon écrite et
motivée.
11
PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE
88
Service Public de Programmation Intégration Sociale,
Le service chargé de la sécurité de
l’information promeut le respect des
règles de sécurité imposées par une
disposition ………ainsi que l’adoption, par
les personnes employées dans le CPAS
d’un comportement favorisant la sécurité.
12
PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE
9 9
Service Public de Programmation Intégration Sociale,
Le service chargé de la
sécurité de l’information
rassemble la documentation
utile à ce sujet.
13
PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE
10 10
Service Public de Programmation Intégration Sociale,
Le conseiller en sécurité veille au respect, dans
le CPAS, des règles de sécurité imposées par
une disposition légale ….. Toutes les infractions
constatées sont communiquées par écrit et
exclusivement au responsable de la gestion
journalière de l’institution, accompagnées des
avis nécessaires en vue d’éviter de telles
infractions à l’avenir.
14
PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE
11 11
Service Public de Programmation Intégration Sociale,
Les conseillers en sécurité et leurs
adjoints éventuels ne peuvent être
relevés de cette fonction en raison des
opinions qu’ils émettent ou des actes
qu’ils accomplissent dans le cadre de
l’exercice correct de leur fonction.
15
PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE
1212
Service Public de Programmation Intégration Sociale,
Le service chargé de la sécurité
de l’information est placé sous
l’autorité fonctionnelle directe
du responsable de la gestion
journalière du CPAS.
16
PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE
1313
Service Public de Programmation Intégration Sociale,
Il travaille en étroite collaboration avec
les services qui requièrent ou peuvent
requérir, son intervention, en particulier:
avec le service informatique;
le SIPP.
17
PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE
1414
Service Public de Programmation Intégration Sociale,
Le conseiller en sécurité rédige un projet de
plan de sécurité pour une durée de 3 ans, à
l’attention du responsable de la gestion
journalière, en spécifiant sur base annuelle les
moyens nécessaires à la réalisation du plan. Ce
projet est révisé au moins annuellement et
adapté si nécessaire. Le projet de plan de
sécurité est considéré comme un avis
18
PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE
1515
Service Public de Programmation Intégration Sociale,
Le service chargé de la sécurité de
l’information rédige un rapport annuel à
l’attention du responsable de la gestion
journalière de l’institution.
19
PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE
1616
Service Public de Programmation Intégration Sociale,
Les missions du service chargé de la
sécurité de l’information telles que définies
se rapportent également aux données
sociales à caractère personnel conservées,
traitées ou échangées par l’intermédiaire
de tiers (maisons de soft, administration
communale, etc.) pour le compte du CPAS.
20
PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE
1717
Service Public de Programmation Intégration Sociale,
21
Aperçu sommaire des règles de déontologie des membres du conseil de l’Action sociale
Service Public de Programmation Intégration Sociale,
Source: http://www.uvcw.be/articles/33,38,38,0,2207.htm
Le respect de la vie privée A. Le secret
Au sein du CPAS, le respect du secret professionnel est une nécessité sociale impérieuse.L’obligation au secret professionnel est consacrée d’abord par l’article 458 du Code pénal,
Toutes les informations reçues ou constatées durant l’exercice de la profession ou du mandat tombent sous le secret professionnel.
22
Service Public de Programmation Intégration Sociale,
La loi du 8 juillet 1976 organique des CPAS précise en outre que: les membres du conseil de l’action sociale
ainsi que toute autre personne qui, en vertu de la loi, assistent aux réunions du conseil, du bureau permanent et des comités spéciaux, sont tenus au secret (art. 36, al. 2);
ces dispositions sont également applicables aux membres du personnel du CPAS (art. 50).
Aperçu sommaire des règles de déontologie des membres du conseil de l’Action sociale
23
Aperçu sommaire des règles de déontologie des membres du conseil de l’Action sociale
Service Public de Programmation Intégration Sociale,
Ainsi, au sein du CPAS, ce ne sont pas
seulement les travailleurs sociaux mais
l’ensemble des membres du personnel
(y compris le personnel auxiliaire) ainsi
que les mandataires qui sont tenus au
secret professionnel.
24
Aperçu sommaire des règles de déontologie des membres du conseil de l’Action sociale
Service Public de Programmation Intégration Sociale,
Les membres du conseil et les personnes
qui peuvent assister à la réunion ne
peuvent donc divulguer la teneur des
discussions et délibérations, les points de
vue, opinions et prises de position ni la
manière dont le vote s'est déroulé, fût-ce
aux demandeurs d'aide.
CONSEIL Examiner d’abord avec votre Directeur
général et votre Président: l’intérêt de rappeler les règles, le contenu, la manière (très didactique si possible et très
simple).
26
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques 1concernant les clouds: risques 1
Service Public de Programmation Intégration Sociale,
La perte de gouvernance sur le traitement. La perte d’auditabilité du prestataire due à
une défaillance de gestion des sous-traitants.
La dépendance technologique du CPAS vis-à-vis du fournisseur de Cloud Computing = impossibilité ou difficulté de changer de solution (pour un autre fournisseur ou une solution interne) sans perte de données.
27
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques 2concernant les clouds: risques 2
Service Public de Programmation Intégration Sociale,
Une faille dans l’isolation des données = c’est-
à-dire le risque que les données hébergées sur
un système (virtualisé) ne soient plus isolées et
puissent être modifiées ou rendues
accessibles à des tiers non autorisés, suite à
une défaillance du prestataire ou à une
mauvaise gestion du rôle d’hyperviseur ;
28
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques 3concernant les clouds: risques 3
Service Public de Programmation Intégration Sociale,
L’exécution de réquisitions judiciaires sur base de droit étranger sans concertation avec les autorités nationales (exemple: USA).
http://www.levif.be/info/actualite/international/google-veut-pouvoir-publier-le-nombre-de-requetes-de-la-nsa/article-4000331420445.htm
29
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques 4concernant les clouds: risques 4
Service Public de Programmation Intégration Sociale,
Google veut pouvoir publier le nombre de requêtes de la NSA
Le Vif mercredi 19 juin 2013 à 06h36 Google a demandé mardi à la cour
spéciale gérant les enquêtes liées à la sécurité nationale la permission de publier le nombre de requêtes des services de renseignement lui réclamant des données.
30
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques 5concernant les clouds: risques 5
Service Public de Programmation Intégration Sociale,
Une faille dans la chaîne de sous-traitance e.a., dans le cas où le prestataire a lui-même fait appel à des tiers pour fournir le service.
Le non-respect des règles de conservation et de destruction de l’institution, e.a. par une destruction ineffective ou non sécurisée des données, ou durée de conservation trop longue.
31
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques 6concernant les clouds: risques 6
Service Public de Programmation Intégration Sociale,
Problèmes de gestion des droits d’accès. Indisponibilité du prestataire =
indisponibilité du service en lui-même mais aussi indisponibilité des moyens d’accès au service (notamment les problèmes réseaux).
La fermeture du service du prestataire ou le changement non volontaire de prestataire par un tiers.
Non-conformité réglementaire, notamment sur les transferts internationaux.
32
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques 7concernant les clouds: risques 7
Service Public de Programmation Intégration Sociale,
Observations (1) Avant d’envisager l’utilisation d’un Cloud Computing, le
CPAS doit clairement identifier les données, traitements ou services qui pourraient être hébergés dans le Cloud et déterminer le retour sur investissement en tenant compte, notamment de l’application des contraintes de sécurité.
Au cas où un type de donnée est soumis à une réglementation spécifique, le CPAS doit identifier les conditions minimales ou restrictions à leur transfert. Les surcoûts de l’application des évolutions, vraisemblables et probables, des contraintes de sécurité notamment, devront être évalués et chiffrés.
33
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques 8concernant les clouds: risques 8
Service Public de Programmation Intégration Sociale,
Observations (2) Les modèles de services sont les suivants :
SaaS : « Software as a Service », c’est-à-dire la fourniture de logiciel en ligne;
PaaS : « Platform as a Service », c’est-à-dire la fourniture d’une plateforme de développement d’applications en ligne;
IaaS : « Infrastructure as a Service », c’est-à-dire la fourniture d’infrastructures de calcul et de stockage en ligne.
34
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
99
Service Public de Programmation Intégration Sociale,
Observations (3) Les modèles de déploiement sont les suivants :
« Public » quand un service est partagé et mutualisé entre de nombreux clients;
« Privé » quand le Cloud est dédié à un client; « Communautaire » quand le Cloud est partagé
par des clients ayant les mêmes contraintes (légales, …);
« Hybride » quand un service est partiellement dans un Cloud public et partiellement dans un Cloud privé.
35
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
1010
Service Public de Programmation Intégration Sociale,
Observations (4) Ni le cloud public ni le cloud hybride ne
rencontrent actuellement les contraintes de sécurité requises.
Il faut définir ses propres exigences de sécurité technique et juridique. Si le but du Cloud est de décharger le CPAS de certaines tâches opérationnelles, il doit s’assurer a priori que le prestataire suit un niveau d’exigence au moins égal à celui demandé par le CPAS (exemple: cloud Adehis).
36
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques 9concernant les clouds: risques 9
Service Public de Programmation Intégration Sociale,
Plus le cloud est loin, plus le risque est élevé.
Le CPAS doit s’assurer que les données sont réellement conservées dans le cloud et non ailleurs (il y a des outils permettant de vérifier le lieu de stockage).
Conduire une analyse de risques adéquate est essentiel pour être en mesure de définir les mesures de sécurité appropriées et notamment à exiger du prestataire.
37
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques 10concernant les clouds: risques 10
Service Public de Programmation Intégration Sociale,
38
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques 11concernant les clouds: risques 11
Service Public de Programmation Intégration Sociale,
Garanties Clause relative à la possibilité pour un prestataire
de service « cloud » de sous-traiter une partie de ses activités. Le prestataire de service reste le seul responsable vis-à-
vis du CPAS de l’exécution de ses obligations donc aussi dans le cas où il sous-traite certaines de ses activités.
Dans la perspective que certaines tâches particulières puissent être attribuées à des sous-traitants, le contrat doit stipuler que le prestataire « cloud » en informe le CPAS et s’engage à reporter formellement toutes les obligations qui lui incombent dans les engagements qu’il contactera avec ses sous-traitants. Le prestataire devra également s'assurer que ces engagements sont respectés par ses sous-traitants en effectuant les contrôles nécessaires.
39
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
1212
Service Public de Programmation Intégration Sociale,
Garanties Clause relative à l’intégrité, la continuité et
la qualité de service Le prestataire doit disposer et mettre en
œuvre tous les dispositifs assurant la conservation et l’intégrité des informations traitées durant la durée du contrat tels que des systèmes de sauvegarde.
40
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
1313
Service Public de Programmation Intégration Sociale,
Garanties Un engagement sur un niveau de service (SLA) doit
être formalisé dans un accord annexé au contrat entre le CPAS et le prestataire de service « cloud » ; y seront spécifiés, notamment, pendant et après toute période de garantie, la disponibilité de service et le délai maximum de redémarrage en cas d’interruption après accident et tous autres critères relatifs à la reprise des activités (temps délimité de récupération et perte maximale de données tolérable).
De même, le détail des mesures permettant la continuité de service doit être fourni dans l’accord de niveau de service (SLA) annexé au contrat.
41
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
1414
Service Public de Programmation Intégration Sociale,
Garanties Clause relative à l’assurance de restitution des données.
Le prestataire s’engage à ne pas conserver les données du CPAS au-delà de la durée de conservation fixée en concertation avec l’institution au regard des finalités pour lesquelles les données ont été collectées.
En cas de rupture anticipée ou en fin de prestation, le prestataire s’engage à la restitution de l’intégralité des données du CPAS dans un mode et un délai convenu, sur base d’un format conventionnel, structuré et couramment utilisé afin que le CPAS puisse assurer la continuité de son service. Une fois la restitution effectuée et avec l’accord du CPAS, le prestataire de service s’engage à détruire toutes les copies des données en sa possession, y compris les backups et archives dans un délai raisonnable et à apporter la preuve de la destruction.
42
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
1515
Service Public de Programmation Intégration Sociale,
Garanties Clause sur la garantie de portabilité des
données et l’interopérabilité des systèmes.
En fin de prestation, le prestataire s’engage à fournir, à des conditions convenues dans le contrat, l’aide nécessaire à la migration des traitements opérés de son « cloud » vers une autre solution.
43
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
1616
Service Public de Programmation Intégration Sociale,
Garanties Clause sur les règles d’audits
Le prestataire s’engage à autoriser les audits commandités par le CPAS, à collaborer étroitement et à traiter les déficiences observées le plus rapidement possible. Ces audits peuvent être effectués par le CPAS lui-même ou par un tiers de confiance choisi par le CPAS.
Les audits doivent permettre l’analyse du respect du contrat et des règles de sécurité en application dans cette politique ou encore l’analyse de conformité, au regard notamment des bonnes pratiques recommandées par des organismes internationaux (ISO p.ex).
L’audit doit aussi permettre de s’assurer que les mesures de sécurité relatives à la confidentialité, la disponibilité, la traçabilité et l’intégrité des données mises en place ne peuvent être contournées sans que cela ne soit détecté et notifié.
Lorsqu'il y a sous-traitance, qu'elle soit totale ou partielle, les règles d’audit sont aussi d’application chez tous les sous-traitants.
44
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
1717
Service Public de Programmation Intégration Sociale,
Microsoft n’autorise pas d’audit dans ses clouds.
45
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
1818
Service Public de Programmation Intégration Sociale,
Garanties Clause sur les obligations du prestataire en matière de
confidentialité des données: le prestataire doit s’engager, pour lui, ses sous-traitants et
éventuels repreneurs, à ne pas utiliser ou divulguer les données pour son propre compte ou celui d’un tiers.
il doit s’engager à protéger et tenir à la disposition du client toutes les traces d’accès (nécessaires à déterminer qui à fait quoi et quand) aux données, outils d’administration et applicatifs, et ce pendant une durée déterminée contractuellement.
il doit informer le CPAS de toute anomalie détectée dans les traces de connexion, exemple: tentatives d’accès de personnes non-autorisées.
le prestataire doit informer immédiatement le CPAS de toute enquête ou demande d’enquête provenant d’une autorité administrative ou judicaire belge ou étrangère.
46
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
1919
Service Public de Programmation Intégration Sociale,
Garanties Clause sur la souveraineté
Fournir au CPAS l'assurance que le prestataire et ses éventuels sous-traitants ne sont pas assujettis à des requêtes d'autorités étrangères à la Belgique ou à d'autres Etats membres de l'Union européenne.
47
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
2020
Service Public de Programmation Intégration Sociale,
Garanties Clause sur les obligations du prestataire en
matière de sécurité des données. Fournir au client la politique de sécurité des
systèmes d’information qu’il a mise en place et l’informer des évolutions de cette politique.
Le fournisseur de service « Cloud Computing » est tenu au respect des bonnes pratiques en vigueur et exigées par et pour l’institution ; notamment telles que structurées dans l’ISO 27002 ou telles que mentionnées dans les normes minimales pour la sécurité sociale.
48
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
2121
Service Public de Programmation Intégration Sociale,
Respect des bonnes pratiques par le prestataire de service
Les bonnes pratiques mentionnées ici sont une liste minimum et non-exhaustive de mesures de sécurité que le prestataire de service « cloud computing » est dans l’obligation de respecter tout en sachant que l’analyse de risques exécutée par CPAS peut donner lieu à d’autres mesures de sécurité complémentaires
49
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
2222
Service Public de Programmation Intégration Sociale,
Respect des bonnes pratiques par le prestataire de service 5 domaines d’attention.
Les données sensibles: le prestataire doit mettre en œuvre, de façon cohérente, les processus en matière de sécurité, gestion du personnel, inventaire, qualification et traçabilité des données,
les centres de calcul : le prestataire doit disposer d’une gestion de la sécurité des accès physiques aux centres de calcul ainsi des dispositifs techniques assurant la protection contre les menaces extérieures et environnementales (incendie, inondation, panne de courant, etc) .
50
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
2323
Service Public de Programmation Intégration Sociale,
Respect des bonnes pratiques par le prestataire de service 5 domaines d’attention.
la sécurité des accès logiques : le prestataire doit disposer de contrôles d’accès logique assurant la protection adéquate des données sensibles ou non,
la sécurité des systèmes : le prestataire doit disposer de systèmes configurés et protégés des failles de sécurité, en particulier pour les hébergements de données,
la sécurité du réseau : le prestataire doit disposer d’un réseau sécurisé avec un isolement approprié envers les tiers.
51
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
2323
Service Public de Programmation Intégration Sociale,
Respect des bonnes pratiques par le prestataire de service Données
Le prestataire assure : que la localisation des données sensibles ou non,
propriétés de l’institution, est connue et conforme aux exigences du CPAS (centre de calcul, stockage et serveurs)
que les systèmes de sauvegardes et plan de secours informatiques associés sont mis en œuvre et testés périodiquement,
disposer d’un code d’éthique appliqué par et à son personnel et ses éventuels sous-traitants. Il n’exerce et n’exercera pas d’activités pouvant entrainer un risque de conflit d’intérêts,
52
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
2424
Service Public de Programmation Intégration Sociale,
Respect des bonnes pratiques par le prestataire de service Données
Le prestataire assure : que son personnel suit régulièrement des
formations de sensibilisation à la sécurité, disposer de moyens de traçabilité centralisés
permettant de détecter des violations de privilèges ou des comportements malveillants,
disposer d’une gestion des incident de sécurité incluant la détection, l’alerte, le traitement jusqu’à la résolution, identification des causes et la communication à l’institution.
53
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
2525
Service Public de Programmation Intégration Sociale,
Respect des bonnes pratiques par le prestataire de service
Sécurité des centres de calculLe prestataire assure : disposer de systèmes de contrôle d’accès physiques sécurisés, de
détection d’intrusion, d’incendie, d’inondations et de vidéo surveillance ;
Que les accès aux centres de calcul sont autorisés aux seules personnes habilitées en suivant un circuit d’approbation approprié ; ils sont tracés et revus régulièrement ;
que tout sous-traitant de maintenance amené à utiliser ou réparer des équipements contenant des données sensibles est soumis à des clauses contractuelles de confidentialité ;
que tout media de stockage de données contenant des données sensibles et destiné à être réaffecté, mis au rebus ou recyclé fait l’objet d’un effacement adéquat préalable.
54
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
2626
Service Public de Programmation Intégration Sociale,
Respect des bonnes pratiques par le prestataire de service Sécurité des accès logiques
Le prestataire assure : appliquer les règles d’autorisation d’accès aux données
en fonction des éléments communiqués par le CPAS (consultation, création, modification et suppression);
que les accès des utilisateurs et administrateurs aux systèmes contenant des données sensibles s’appuient sur des mécanismes assurant la confidentialité et la traçabilité (pistes d’audit des accès aux données et traitement de la problématique des comptes génériques) ;
appliquer une politique d’authentification conforme à celle du CPAS.
55
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
2727
Service Public de Programmation Intégration Sociale,
Respect des bonnes pratiques par le prestataire de service Sécurité des systèmes
Le prestataire assure : que les données sauvegardées, quel que soit le
support, sont chiffrées au moyen d’un dispositif adéquat (algorithme, longueur de clef,…) ;
gérer les vulnérabilités des systèmes et organise au moins annuellement des tests d’intrusion, les vulnérabilités critiques identifiées sont corrigées immédiatement ;
que les serveurs hébergeant les données sensibles sont configurés avec un niveau de sécurité renforcé ;
56
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
2828
Service Public de Programmation Intégration Sociale,
Respect des bonnes pratiques par le prestataire de service Sécurité des systèmes
Le prestataire assure que: les patchs de sécurité sont gérés de façon centralisée,
testés préalablement et appliqués dans des délais inférieurs à un mois ;
les anti-virus sont installés sur les serveurs, les postes de travail, tenus à jour et supervisés ;
l’usage des clés USB et autres medias de stockage mobiles est contrôlé, géré et nativement interdit sur tous les systèmes contenant des données sensibles ; en ce compris tous types de stockages externes non prévus explicitement dans le contrat.
57
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
2929
Service Public de Programmation Intégration Sociale,
Respect des bonnes pratiques par le prestataire de service
Sécurité des accès au réseauLe prestataire assure que: les points d’entrée au réseau sont limités, sécurisés et filtrés ; les tâches d’administration des systèmes sont opérées depuis un
réseau d’administration sécurisé ; dédié et isolé en se connectant avec des mécanismes d’authentification forte ;
les changements au niveau des équipements réseau sont tracés, documentés et préalablement approuvés ;
dans le cas d’un service « Cloud computing » partagé :• l’accès au réseau est autorisé uniquement à des terminaux
de confiance ;• le réseau sur lequel sont connectés les systèmes hébergeant
les données sensibles est isolé du réseau des autres clients.
58
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
3030
Service Public de Programmation Intégration Sociale,
Respect de certains obligations légales dans le cas de traitement de données personnelles Le CPAS doit toujours veiller au respect des règles
de protection des données à caractère personnel (loi de la vie privée) lors de traitement de telles données dans un service de type « cloud ». Dans ce cadre, le CPAS propriétaire des données sera toujours tenu responsable du bon respect des règles de protection des données personnelles.
Le choix du prestataire de service « cloud computing » par le CPAS se limite à des prestataires de service qui n’offrent uniquement que des services « cloud privé » en cas d’externalisation de données à caractère personnel.
59
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
3131
Service Public de Programmation Intégration Sociale,
Respect de certains obligations légales dans le cas de traitement de données personnelles
Les données à caractère personnel peuvent circuler librement depuis la Belgique et au sein de l’union européenne, tant que les principes généraux de la loi « vie privée belge sont respectées. Dans ce cadre, le choix d’une externalisation de données à caractère personnel ou de services de traitement de données personnelles vers un pays de l’union européenne est autorisé uniquement si la loi « vie privée belge est d’application.en fonction des pays de l’union (comme indiqué dans la directive européenne 95/46/CE).
De plus, toute externalisation de données à caractère personnel nécessite un chiffrement des données durant le transfert et la période de stockage. Les moyens de chiffrement doivent toujours rester sous le contrôle de l’institution en termes de gestion et ne peuvent être sous-traité.
60
Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques
3434
Service Public de Programmation Intégration Sociale,
Questions éventuelles???
61
WINDOWS 365WINDOWS 365
Service Public de Programmation Intégration Sociale,
Quelques principes
62
Nouvelle procédure de Nouvelle procédure de désignation du conseiller en désignation du conseiller en
sécurité* (1)sécurité* (1)
Service Public de Programmation Intégration Sociale,
Voici les différentes étapes.
1. Faire désigner le conseiller en sécurité ou le
conseiller en sécurité adjoint par le Conseil de
l’Action sociale.
2. Envoyer la désignation signée au conseiller en
sécurité du SPP IS par courrier ou scannée par
mail à [email protected], SPP Intégration
sociale, Bd Roi Albert II, 30, 1000 Bruxelles.
*Ceci vaut aussi pour le conseiller en sécurité adjoint.
63
Nouvelle procédure de Nouvelle procédure de désignation du conseiller en désignation du conseiller en
sécurité (2)sécurité (2)
Service Public de Programmation Intégration Sociale,
3. Aller ensuite sur le site de la BCSS.
4. Cliquer sur Conseillers en sécurité
(juste en dessous de "Sécurité et vie
privée" ).
64
Nouvelle procédure de Nouvelle procédure de désignation du conseiller en désignation du conseiller en
sécurité (3)sécurité (3)
Service Public de Programmation Intégration Sociale,
ou sur http://www.bcss.fgov.be/fr/bcss/page/c
ontent/websites/belgium/security/security_03.html
Aller sur "Questionnaire d'évaluation pour le candidat conseiller en sécurité« et cliquer dessus. L’adresse du lien est la suivante: http://www.bcss.fgov.be/binaries/documentation/fr/securite/explications_questionnaire_evaluation_conseiller_e.pdf
65
Nouvelle procédure de Nouvelle procédure de désignation du conseiller en désignation du conseiller en
sécurité (4)sécurité (4)
Service Public de Programmation Intégration Sociale,
7. Le document "Questionnaire d'évaluation pour le candidat conseiller en sécurité" s’ouvre.
8. Lisez attentivement tout le document AVANT de le compléter.
9. Cliquez ensuite sur "ici" pour ouvrir le document à remplir.
10.Lexique: responsable de la gestion journalière à Bruxelles: le Secrétaire en Wallonie: le Directeur général.L’organisme demandeur est le CPAS.
66
Nouvelle procédure de Nouvelle procédure de désignation du conseiller en désignation du conseiller en
sécurité (5)sécurité (5)
Service Public de Programmation Intégration Sociale,
11. Complétez tout le formulaire.12. Lorsque le formulaire est complété, allez à la
page 2 et signez le électroniquement.13. Si le Secrétaire ou Directeur général est le
conseiller en sécurité, faites signer le Président à la place du Responsable de la gestion journalière.
14. Le fait de signer électroniquement envoie automatiquement le document vers la Commission de la vie privée.
15. Faites une impression du document complété si vous voulez l’envoyer par la poste et gardez toujours un exemplaire pour vous.
67
Nouvelle procédure de Nouvelle procédure de désignation du conseiller en désignation du conseiller en
sécurité (6)sécurité (6)
Service Public de Programmation Intégration Sociale,
Lorsque le nouveau conseiller en sécurité a rempli ces formalités, il doit:
- attendre une quinzaine de jours (temps de traitement de la Commission de la vie privée);
- Demander au Responsable des Accès Entités d’aller sur https://professional.socialsecurity.be, de cliquer sur Employeur et ensuite de cliquer sur "Se connecter« .
68
Nouvelle procédure de Nouvelle procédure de désignation du conseiller en désignation du conseiller en
sécurité (7)sécurité (7)
Service Public de Programmation Intégration Sociale,
- si le conseiller en sécurité existe déjà et a un rôle, de le supprimer;
- si le conseiller en sécurité n’existe pas encore, de ne pas le créer,
- de cliquer sur "Remplacer le Gestionnaire local"
- d’introduire le numéro de Registre national du nouveau conseiller en sécurité, d’enregistrer et de cliquer sur "confirmer".
69
Nouvelle procédure de Nouvelle procédure de désignation du conseiller en désignation du conseiller en
sécurité (8)sécurité (8)
Service Public de Programmation Intégration Sociale,
Rappel: le conseiller en sécurité ne peut être le
Secrétaire ou le Directeur général dans un grand CPAS.
Le conseiller en sécurité ne peut être le Responsable du
service informatique ou le Directeur du service
informatique.
La Commission de la vie privée enregistrera les
informations mais ne portera aucun jugement sur vos
connaissances et n’empêchera personne d’être désigné
Conseiller en sécurité de l’information.
QUESTIONS?
FIN