1 Session de sécurité 2 ème semestre 2013 Service Public de Programmation Int é gration Sociale,

1

Service Public de Programmation Intégration Sociale,

2

PROGRAMMEPROGRAMME1) Présentation du conseiller

2) Aperçu sommaire des règles de déontologie des membres du conseil de l’Action sociale

3) Lignes directrices de la BCSS pour les clouds (non encore officiellement agréées par le groupe de sécurité constitué à cet effet).

4) Windows 365: bref aperçu.

5) Nouvelle méthode de désignation du conseiller en sécurité


Questions ou sujets à aborder

A vous!

4

PRESENTATION DU PRESENTATION DU CONSEILLER EN SECURITE CONSEILLER EN SECURITE

11


LES CONSEILLERS DE L’ACTION SOCIALE NE SAVENT PAS:

ce qu’est la sécurité de l’information;

ce qu’est un conseiller en sécurité;

ce qu’ils doivent respecter afin d’être en

ordre avec les normes minimales.

5


2 2


La sécurité de l’information est:

- la prévention et la réparation rapide et efficiente des dommages aux données sociales

- et des violations illégitimes de la vie privée des intéressés.

6


3 3


Le service chargé de la sécurité de l’information veille au respect, dans le CPAS, des règles de sécurité imposées par une disposition légale.

AR 12/08/1993

7


4 4


Le service chargé de la sécurité de l’information a une mission: d’avis, de stimulation, de documentation, de contrôle.

8


55


Le service chargé de la sécurité de

l’information conseille le responsable de

la gestion journalière (Directeur général –

Secrétaire) de son CPAS, à la demande de

celui-ci ou de sa propre initiative, au sujet

de tous les aspects de la sécurité de

l’information.

9


6 6


Sauf si les risques ne sont

pas suffisamment importants,

les avis s’expriment par écrit

et sont motivés.

10


7 7


Dans le délai …. maximum de trois mois,

le responsable de la gestion journalière

décide/

de suivre ou non les avis et informe le service

chargé de la sécurité de la décision adoptée.

Si la décision déroge à un avis exprimé par écrit,

elle doit être communiquée de façon écrite et

motivée.

11


88



l’information promeut le respect des

règles de sécurité imposées par une

disposition ………ainsi que l’adoption, par

les personnes employées dans le CPAS

d’un comportement favorisant la sécurité.

12


9 9


Le service chargé de la

sécurité de l’information

rassemble la documentation

utile à ce sujet.

13


10 10


Le conseiller en sécurité veille au respect, dans

le CPAS, des règles de sécurité imposées par

une disposition légale ….. Toutes les infractions

constatées sont communiquées par écrit et

exclusivement au responsable de la gestion

journalière de l’institution, accompagnées des

avis nécessaires en vue d’éviter de telles

infractions à l’avenir.

14


11 11


Les conseillers en sécurité et leurs

adjoints éventuels ne peuvent être

relevés de cette fonction en raison des

opinions qu’ils émettent ou des actes

qu’ils accomplissent dans le cadre de

l’exercice correct de leur fonction.

15


1212


Le service chargé de la sécurité

de l’information est placé sous

l’autorité fonctionnelle directe

du responsable de la gestion

journalière du CPAS.

16


1313


Il travaille en étroite collaboration avec

les services qui requièrent ou peuvent

requérir, son intervention, en particulier:

avec le service informatique;

le SIPP.

17


1414


Le conseiller en sécurité rédige un projet de

plan de sécurité pour une durée de 3 ans, à

l’attention du responsable de la gestion

journalière, en spécifiant sur base annuelle les

moyens nécessaires à la réalisation du plan. Ce

projet est révisé au moins annuellement et

adapté si nécessaire. Le projet de plan de

sécurité est considéré comme un avis

18


1515



l’information rédige un rapport annuel à

l’attention du responsable de la gestion

journalière de l’institution.

19


1616


Les missions du service chargé de la

sécurité de l’information telles que définies

se rapportent également aux données

sociales à caractère personnel conservées,

traitées ou échangées par l’intermédiaire

de tiers (maisons de soft, administration

communale, etc.) pour le compte du CPAS.

20


1717


21

Aperçu sommaire des règles de déontologie des membres du conseil de l’Action sociale


Source: http://www.uvcw.be/articles/33,38,38,0,2207.htm

Le respect de la vie privée A. Le secret

Au sein du CPAS, le respect du secret professionnel est une nécessité sociale impérieuse.L’obligation au secret professionnel est consacrée d’abord par l’article 458 du Code pénal,

Toutes les informations reçues ou constatées durant l’exercice de la profession ou du mandat tombent sous le secret professionnel.

22


La loi du 8 juillet 1976 organique des CPAS précise en outre que: les membres du conseil de l’action sociale

ainsi que toute autre personne qui, en vertu de la loi, assistent aux réunions du conseil, du bureau permanent et des comités spéciaux, sont tenus au secret (art. 36, al. 2);

ces dispositions sont également applicables aux membres du personnel du CPAS (art. 50).


23



Ainsi, au sein du CPAS, ce ne sont pas

seulement les travailleurs sociaux mais

l’ensemble des membres du personnel

(y compris le personnel auxiliaire) ainsi

que les mandataires qui sont tenus au

secret professionnel.

24



Les membres du conseil et les personnes

qui peuvent assister à la réunion ne

peuvent donc divulguer la teneur des

discussions et délibérations, les points de

vue, opinions et prises de position ni la

manière dont le vote s'est déroulé, fût-ce

aux demandeurs d'aide.

CONSEIL Examiner d’abord avec votre Directeur

général et votre Président: l’intérêt de rappeler les règles, le contenu, la manière (très didactique si possible et très

simple).

26

Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques 1concernant les clouds: risques 1


La perte de gouvernance sur le traitement. La perte d’auditabilité du prestataire due à

une défaillance de gestion des sous-traitants.

La dépendance technologique du CPAS vis-à-vis du fournisseur de Cloud Computing = impossibilité ou difficulté de changer de solution (pour un autre fournisseur ou une solution interne) sans perte de données.

27



Une faille dans l’isolation des données = c’est-

à-dire le risque que les données hébergées sur

un système (virtualisé) ne soient plus isolées et

puissent être modifiées ou rendues

accessibles à des tiers non autorisés, suite à

une défaillance du prestataire ou à une

mauvaise gestion du rôle d’hyperviseur ;

28



L’exécution de réquisitions judiciaires sur base de droit étranger sans concertation avec les autorités nationales (exemple: USA).

http://www.levif.be/info/actualite/international/google-veut-pouvoir-publier-le-nombre-de-requetes-de-la-nsa/article-4000331420445.htm

29



Google veut pouvoir publier le nombre de requêtes de la NSA

Le Vif mercredi 19 juin 2013 à 06h36 Google a demandé mardi à la cour

spéciale gérant les enquêtes liées à la sécurité nationale la permission de publier le nombre de requêtes des services de renseignement lui réclamant des données.

30



Une faille dans la chaîne de sous-traitance e.a., dans le cas où le prestataire a lui-même fait appel à des tiers pour fournir le service.

Le non-respect des règles de conservation et de destruction de l’institution, e.a. par une destruction ineffective ou non sécurisée des données, ou durée de conservation trop longue.

31



Problèmes de gestion des droits d’accès. Indisponibilité du prestataire =

indisponibilité du service en lui-même mais aussi indisponibilité des moyens d’accès au service (notamment les problèmes réseaux).

La fermeture du service du prestataire ou le changement non volontaire de prestataire par un tiers.

Non-conformité réglementaire, notamment sur les transferts internationaux.

32



Observations (1) Avant d’envisager l’utilisation d’un Cloud Computing, le

CPAS doit clairement identifier les données, traitements ou services qui pourraient être hébergés dans le Cloud et déterminer le retour sur investissement en tenant compte, notamment de l’application des contraintes de sécurité.

Au cas où un type de donnée est soumis à une réglementation spécifique, le CPAS doit identifier les conditions minimales ou restrictions à leur transfert. Les surcoûts de l’application des évolutions, vraisemblables et probables, des contraintes de sécurité notamment, devront être évalués et chiffrés.

33



Observations (2) Les modèles de services sont les suivants :

SaaS : « Software as a Service », c’est-à-dire la fourniture de logiciel en ligne;

PaaS : « Platform as a Service », c’est-à-dire la fourniture d’une plateforme de développement d’applications en ligne;

IaaS : « Infrastructure as a Service », c’est-à-dire la fourniture d’infrastructures de calcul et de stockage en ligne.

34

Lignes directrices de sécuritéLignes directrices de sécuritéconcernant les clouds: risques concernant les clouds: risques

99


Observations (3) Les modèles de déploiement sont les suivants :

« Public » quand un service est partagé et mutualisé entre de nombreux clients;

« Privé » quand le Cloud est dédié à un client; « Communautaire » quand le Cloud est partagé

par des clients ayant les mêmes contraintes (légales, …);

« Hybride » quand un service est partiellement dans un Cloud public et partiellement dans un Cloud privé.

35


1010


Observations (4) Ni le cloud public ni le cloud hybride ne

rencontrent actuellement les contraintes de sécurité requises.

Il faut définir ses propres exigences de sécurité technique et juridique. Si le but du Cloud est de décharger le CPAS de certaines tâches opérationnelles, il doit s’assurer a priori que le prestataire suit un niveau d’exigence au moins égal à celui demandé par le CPAS (exemple: cloud Adehis).

36



Plus le cloud est loin, plus le risque est élevé.

Le CPAS doit s’assurer que les données sont réellement conservées dans le cloud et non ailleurs (il y a des outils permettant de vérifier le lieu de stockage).

Conduire une analyse de risques adéquate est essentiel pour être en mesure de définir les mesures de sécurité appropriées et notamment à exiger du prestataire.

37



38



Garanties Clause relative à la possibilité pour un prestataire

de service « cloud » de sous-traiter une partie de ses activités. Le prestataire de service reste le seul responsable vis-à-

vis du CPAS de l’exécution de ses obligations donc aussi dans le cas où il sous-traite certaines de ses activités.

Dans la perspective que certaines tâches particulières puissent être attribuées à des sous-traitants, le contrat doit stipuler que le prestataire « cloud » en informe le CPAS et s’engage à reporter formellement toutes les obligations qui lui incombent dans les engagements qu’il contactera avec ses sous-traitants. Le prestataire devra également s'assurer que ces engagements sont respectés par ses sous-traitants en effectuant les contrôles nécessaires.

39


1212


Garanties Clause relative à l’intégrité, la continuité et

la qualité de service Le prestataire doit disposer et mettre en

œuvre tous les dispositifs assurant la conservation et l’intégrité des informations traitées durant la durée du contrat tels que des systèmes de sauvegarde.

40


1313


Garanties Un engagement sur un niveau de service (SLA) doit

être formalisé dans un accord annexé au contrat entre le CPAS et le prestataire de service « cloud » ; y seront spécifiés, notamment, pendant et après toute période de garantie, la disponibilité de service et le délai maximum de redémarrage en cas d’interruption après accident et tous autres critères relatifs à la reprise des activités (temps délimité de récupération et perte maximale de données tolérable).

De même, le détail des mesures permettant la continuité de service doit être fourni dans l’accord de niveau de service (SLA) annexé au contrat.

41


1414


Garanties Clause relative à l’assurance de restitution des données.

Le prestataire s’engage à ne pas conserver les données du CPAS au-delà de la durée de conservation fixée en concertation avec l’institution au regard des finalités pour lesquelles les données ont été collectées.

En cas de rupture anticipée ou en fin de prestation, le prestataire s’engage à la restitution de l’intégralité des données du CPAS dans un mode et un délai convenu, sur base d’un format conventionnel, structuré et couramment utilisé afin que le CPAS puisse assurer la continuité de son service. Une fois la restitution effectuée et avec l’accord du CPAS, le prestataire de service s’engage à détruire toutes les copies des données en sa possession, y compris les backups et archives dans un délai raisonnable et à apporter la preuve de la destruction.

42


1515


Garanties Clause sur la garantie de portabilité des

données et l’interopérabilité des systèmes.

En fin de prestation, le prestataire s’engage à fournir, à des conditions convenues dans le contrat, l’aide nécessaire à la migration des traitements opérés de son « cloud » vers une autre solution.

43


1616


Garanties Clause sur les règles d’audits

Le prestataire s’engage à autoriser les audits commandités par le CPAS, à collaborer étroitement et à traiter les déficiences observées le plus rapidement possible. Ces audits peuvent être effectués par le CPAS lui-même ou par un tiers de confiance choisi par le CPAS.

Les audits doivent permettre l’analyse du respect du contrat et des règles de sécurité en application dans cette politique ou encore l’analyse de conformité, au regard notamment des bonnes pratiques recommandées par des organismes internationaux (ISO p.ex).

L’audit doit aussi permettre de s’assurer que les mesures de sécurité relatives à la confidentialité, la disponibilité, la traçabilité et l’intégrité des données mises en place ne peuvent être contournées sans que cela ne soit détecté et notifié.

Lorsqu'il y a sous-traitance, qu'elle soit totale ou partielle, les règles d’audit sont aussi d’application chez tous les sous-traitants.

44


1717


Microsoft n’autorise pas d’audit dans ses clouds.

45


1818


Garanties Clause sur les obligations du prestataire en matière de

confidentialité des données: le prestataire doit s’engager, pour lui, ses sous-traitants et

éventuels repreneurs, à ne pas utiliser ou divulguer les données pour son propre compte ou celui d’un tiers.

il doit s’engager à protéger et tenir à la disposition du client toutes les traces d’accès (nécessaires à déterminer qui à fait quoi et quand) aux données, outils d’administration et applicatifs, et ce pendant une durée déterminée contractuellement.

il doit informer le CPAS de toute anomalie détectée dans les traces de connexion, exemple: tentatives d’accès de personnes non-autorisées.

le prestataire doit informer immédiatement le CPAS de toute enquête ou demande d’enquête provenant d’une autorité administrative ou judicaire belge ou étrangère.

46


1919


Garanties Clause sur la souveraineté

Fournir au CPAS l'assurance que le prestataire et ses éventuels sous-traitants ne sont pas assujettis à des requêtes d'autorités étrangères à la Belgique ou à d'autres Etats membres de l'Union européenne.

47


2020


Garanties Clause sur les obligations du prestataire en

matière de sécurité des données. Fournir au client la politique de sécurité des

systèmes d’information qu’il a mise en place et l’informer des évolutions de cette politique.

Le fournisseur de service « Cloud Computing » est tenu au respect des bonnes pratiques en vigueur et exigées par et pour l’institution ; notamment telles que structurées dans l’ISO 27002 ou telles que mentionnées dans les normes minimales pour la sécurité sociale.

48


2121


Respect des bonnes pratiques par le prestataire de service

Les bonnes pratiques mentionnées ici sont une liste minimum et non-exhaustive de mesures de sécurité que le prestataire de service « cloud computing » est dans l’obligation de respecter tout en sachant que l’analyse de risques exécutée par CPAS peut donner lieu à d’autres mesures de sécurité complémentaires

49


2222


Respect des bonnes pratiques par le prestataire de service 5 domaines d’attention.

Les données sensibles: le prestataire doit mettre en œuvre, de façon cohérente, les processus en matière de sécurité, gestion du personnel, inventaire, qualification et traçabilité des données,

les centres de calcul : le prestataire doit disposer d’une gestion de la sécurité des accès physiques aux centres de calcul ainsi des dispositifs techniques assurant la protection contre les menaces extérieures et environnementales (incendie, inondation, panne de courant, etc) .

50


2323


Respect des bonnes pratiques par le prestataire de service 5 domaines d’attention.

la sécurité des accès logiques : le prestataire doit disposer de contrôles d’accès logique assurant la protection adéquate des données sensibles ou non,

la sécurité des systèmes : le prestataire doit disposer de systèmes configurés et protégés des failles de sécurité, en particulier pour les hébergements de données,

la sécurité du réseau : le prestataire doit disposer d’un réseau sécurisé avec un isolement approprié envers les tiers.

51


2323


Respect des bonnes pratiques par le prestataire de service Données

Le prestataire assure : que la localisation des données sensibles ou non,

propriétés de l’institution, est connue et conforme aux exigences du CPAS (centre de calcul, stockage et serveurs)

que les systèmes de sauvegardes et plan de secours informatiques associés sont mis en œuvre et testés périodiquement,

disposer d’un code d’éthique appliqué par et à son personnel et ses éventuels sous-traitants. Il n’exerce et n’exercera pas d’activités pouvant entrainer un risque de conflit d’intérêts,

52


2424


Respect des bonnes pratiques par le prestataire de service Données

Le prestataire assure : que son personnel suit régulièrement des

formations de sensibilisation à la sécurité, disposer de moyens de traçabilité centralisés

permettant de détecter des violations de privilèges ou des comportements malveillants,

disposer d’une gestion des incident de sécurité incluant la détection, l’alerte, le traitement jusqu’à la résolution, identification des causes et la communication à l’institution.

53


2525



Sécurité des centres de calculLe prestataire assure : disposer de systèmes de contrôle d’accès physiques sécurisés, de

détection d’intrusion, d’incendie, d’inondations et de vidéo surveillance ;

Que les accès aux centres de calcul sont autorisés aux seules personnes habilitées en suivant un circuit d’approbation approprié ; ils sont tracés et revus régulièrement ;

que tout sous-traitant de maintenance amené à utiliser ou réparer des équipements contenant des données sensibles est soumis à des clauses contractuelles de confidentialité ;

que tout media de stockage de données contenant des données sensibles et destiné à être réaffecté, mis au rebus ou recyclé fait l’objet d’un effacement adéquat préalable.

54


2626


Respect des bonnes pratiques par le prestataire de service Sécurité des accès logiques

Le prestataire assure : appliquer les règles d’autorisation d’accès aux données

en fonction des éléments communiqués par le CPAS (consultation, création, modification et suppression);

que les accès des utilisateurs et administrateurs aux systèmes contenant des données sensibles s’appuient sur des mécanismes assurant la confidentialité et la traçabilité (pistes d’audit des accès aux données et traitement de la problématique des comptes génériques) ;

appliquer une politique d’authentification conforme à celle du CPAS.

55


2727


Respect des bonnes pratiques par le prestataire de service Sécurité des systèmes

Le prestataire assure : que les données sauvegardées, quel que soit le

support, sont chiffrées au moyen d’un dispositif adéquat (algorithme, longueur de clef,…) ;

gérer les vulnérabilités des systèmes et organise au moins annuellement des tests d’intrusion, les vulnérabilités critiques identifiées sont corrigées immédiatement ;

que les serveurs hébergeant les données sensibles sont configurés avec un niveau de sécurité renforcé ;

56


2828


Respect des bonnes pratiques par le prestataire de service Sécurité des systèmes

Le prestataire assure que: les patchs de sécurité sont gérés de façon centralisée,

testés préalablement et appliqués dans des délais inférieurs à un mois ;

les anti-virus sont installés sur les serveurs, les postes de travail, tenus à jour et supervisés ;

l’usage des clés USB et autres medias de stockage mobiles est contrôlé, géré et nativement interdit sur tous les systèmes contenant des données sensibles ; en ce compris tous types de stockages externes non prévus explicitement dans le contrat.

57


2929



Sécurité des accès au réseauLe prestataire assure que: les points d’entrée au réseau sont limités, sécurisés et filtrés ; les tâches d’administration des systèmes sont opérées depuis un

réseau d’administration sécurisé ; dédié et isolé en se connectant avec des mécanismes d’authentification forte ;

les changements au niveau des équipements réseau sont tracés, documentés et préalablement approuvés ;

dans le cas d’un service « Cloud computing » partagé :• l’accès au réseau est autorisé uniquement à des terminaux

de confiance ;• le réseau sur lequel sont connectés les systèmes hébergeant

les données sensibles est isolé du réseau des autres clients.

58


3030


Respect de certains obligations légales dans le cas de traitement de données personnelles Le CPAS doit toujours veiller au respect des règles

de protection des données à caractère personnel (loi de la vie privée) lors de traitement de telles données dans un service de type « cloud ». Dans ce cadre, le CPAS propriétaire des données sera toujours tenu responsable du bon respect des règles de protection des données personnelles.

Le choix du prestataire de service « cloud computing » par le CPAS se limite à des prestataires de service qui n’offrent uniquement que des services « cloud privé » en cas d’externalisation de données à caractère personnel.

59


3131


Respect de certains obligations légales dans le cas de traitement de données personnelles

Les données à caractère personnel peuvent circuler librement depuis la Belgique et au sein de l’union européenne, tant que les principes généraux de la loi « vie privée belge sont respectées. Dans ce cadre, le choix d’une externalisation de données à caractère personnel ou de services de traitement de données personnelles vers un pays de l’union européenne est autorisé uniquement si la loi « vie privée belge est d’application.en fonction des pays de l’union (comme indiqué dans la directive européenne 95/46/CE).

De plus, toute externalisation de données à caractère personnel nécessite un chiffrement des données durant le transfert et la période de stockage. Les moyens de chiffrement doivent toujours rester sous le contrôle de l’institution en termes de gestion et ne peuvent être sous-traité.

60


3434


Questions éventuelles???

61

WINDOWS 365WINDOWS 365


Quelques principes

62

Nouvelle procédure de Nouvelle procédure de désignation du conseiller en désignation du conseiller en

sécurité* (1)sécurité* (1)


Voici les différentes étapes.

1. Faire désigner le conseiller en sécurité ou le

conseiller en sécurité adjoint par le Conseil de

l’Action sociale.

2. Envoyer la désignation signée au conseiller en

sécurité du SPP IS par courrier ou scannée par

mail à [email protected], SPP Intégration

sociale, Bd Roi Albert II, 30, 1000 Bruxelles.

*Ceci vaut aussi pour le conseiller en sécurité adjoint.

63


sécurité (2)sécurité (2)


3. Aller ensuite sur le site de la BCSS.

4. Cliquer sur Conseillers en sécurité

(juste en dessous de "Sécurité et vie

privée" ).

64




ou sur http://www.bcss.fgov.be/fr/bcss/page/c

ontent/websites/belgium/security/security_03.html

Aller sur "Questionnaire d'évaluation pour le candidat conseiller en sécurité« et cliquer dessus. L’adresse du lien est la suivante: http://www.bcss.fgov.be/binaries/documentation/fr/securite/explications_questionnaire_evaluation_conseiller_e.pdf

65




7. Le document "Questionnaire d'évaluation pour le candidat conseiller en sécurité" s’ouvre.

8. Lisez attentivement tout le document AVANT de le compléter.

9. Cliquez ensuite sur "ici" pour ouvrir le document à remplir.

10.Lexique: responsable de la gestion journalière à Bruxelles: le Secrétaire en Wallonie: le Directeur général.L’organisme demandeur est le CPAS.

66




11. Complétez tout le formulaire.12. Lorsque le formulaire est complété, allez à la

page 2 et signez le électroniquement.13. Si le Secrétaire ou Directeur général est le

conseiller en sécurité, faites signer le Président à la place du Responsable de la gestion journalière.

14. Le fait de signer électroniquement envoie automatiquement le document vers la Commission de la vie privée.

15. Faites une impression du document complété si vous voulez l’envoyer par la poste et gardez toujours un exemplaire pour vous.

67




Lorsque le nouveau conseiller en sécurité a rempli ces formalités, il doit:

- attendre une quinzaine de jours (temps de traitement de la Commission de la vie privée);

- Demander au Responsable des Accès Entités d’aller sur https://professional.socialsecurity.be, de cliquer sur Employeur et ensuite de cliquer sur "Se connecter« .

68




- si le conseiller en sécurité existe déjà et a un rôle, de le supprimer;

- si le conseiller en sécurité n’existe pas encore, de ne pas le créer,

- de cliquer sur "Remplacer le Gestionnaire local"

- d’introduire le numéro de Registre national du nouveau conseiller en sécurité, d’enregistrer et de cliquer sur "confirmer".

69




Rappel: le conseiller en sécurité ne peut être le

Secrétaire ou le Directeur général dans un grand CPAS.

Le conseiller en sécurité ne peut être le Responsable du

service informatique ou le Directeur du service

informatique.

La Commission de la vie privée enregistrera les

informations mais ne portera aucun jugement sur vos

connaissances et n’empêchera personne d’être désigné

Conseiller en sécurité de l’information.

QUESTIONS?

1 Session de sécurité 2 ème semestre 2013 Service Public de Programmation Int é gration Sociale,

Documents

Transcript of 1 Session de sécurité 2 ème semestre 2013 Service Public de Programmation Int é gration Sociale,