CHARTE DES SYSTÈMES D’INFORMATION DE L’ETAT

ANNEXE AU “JOURNAL DE MONACO” N° 8.255DU 11 DÉCEMBRE 2015

CHARTE DES SYSTÈMES D’INFORMATIONDE L’ETAT

Annexe à l’Arrêté Ministériel n° 2015-703du 26 novembre 2015

00-Anx-AM-2015-703-charte.qxp 07/12/2015 12:41 Page1

2 JOURNAL DE MONACO Vendredi 11 décembre 2015

SOMMAIRE

1. DISPOSITIONS GENERALES 21.1 Préambule, définitions et objectifs 2

1.1.1 Préambule 21.1.2 Définitions 21.1.3 Objectifs 3

1.2 Personnes concernées 3

1.3 Equipements et services concernés 31.3.1 Equipements concernés 31.3.2 Services concernés 3

1.4 Usages concernés 3

2. REGLES D’UTILISATION 42.1 Conditions générales d’utilisation 4

2.1.1 Accès et identification 42.1.2 Intégrité des outils 42.1.3 Gestion des absences et accès aux

systèmes d’information 52.1.4 Gestion des départs 52.1.5 Protection de la propriété

intellectuelle 52.1.6 Protection des informations

nominatives 52.1.7 Confidentialité des données 62.1.8 Enregistrements et vidéoprotection 6

2.2 Conditions particulières d’utilisation 62.2.1 Principes de base 62.2.2 Poste de travail fixe ou portable 72.2.3 Messagerie 72.2.4 Internet/intranet et réseaux sociaux 82.2.5 Téléphonie fixe 92.2.6 Equipements « nomades » 92.2.7 Espace collaboratif 9

3. SECURITE ET VIGILANCE 103.1 Généralités 10

3.2 Traçabilité 11

3.3 Filtrage 11

3.4 Mesures d’urgence et plan de reprised’activité 11

4. MAINTENANCE ET CONTROLE DESECURITE 11

4.1 Opérations de maintenance 11

4.2 Opérations de contrôle de sécurité 12

4.3 Conservation, sauvegarde et archivageélectronique 12

5. RESPONSABILITE ET SANCTIONS 13

6. DEROGATION 13

7. ENTREE EN VIGUEUR 13

1. DISPOSITIONS GENERALES

1.1 Préambule, définitions et objectifs

1.1.1 Préambule

L’utilisation des systèmes d’information de l’Etattels que déterminés par la présente Charte s’effectueconformément aux règles destinées à assurer un niveauoptimum de sécurité, de confidentialité et deperformance et, de manière générale, dans le respectdes dispositions constitutionnelles, légales etréglementaires applicables.

1.1.2 Définitions

Dans le cadre de la présente charte, les termes ouexpressions ci-dessous auront la signification suivante :

- « accès distant » : il s’agit d’un accès à partir d’unsite extérieur et quel que soit le lieu de cet accès(domicile, etc.) aux systèmes d’information qui nesont pas présents sur le moyen informatique local, etce grâce à une technologie d’accès à distance (exemple :citrix) ;

- « espace collaboratif » : il s’agit d’un espace dédiéà la collaboration entre différents acteurs ; il peutnotamment prendre la forme d’un site internet, oud’un serveur partagé. Cet espace a pour fonction decentraliser tous les outils liés à la conduite d’un projet,la gestion des connaissances ou au fonctionnementd’une organisation afin de les mettre à disposition desdifférents acteurs. L’objectif d’un espace collaboratifest de faciliter et d’optimiser la communication entreles différents acteurs d’une entité ou d’un projet ;

- « information nominative » : toute informationrelative à une personne physique identifiée ouidentifiable, directement ou indirectement, parréférence à un numéro d’identification ou à un ouplusieurs éléments qui lui sont propres ;

- « matériel nomade » : moyens et ressourcesinformatiques et de communication électroniqueportables, pouvant en conséquence être utilisés àl’extérieur des locaux de l’Administration tels que parexemple ordinateur portable, téléphone mobile,Personal Digital Assistant (PDA), tablettes et autresaccessoires (disquette, disque dur, carte mémoire, CD-Rom, clé USB, équipement réseaux, équipement sansfil, carte de communication à distance), et autresexistants ou à venir ;


Vendredi 11 décembre 2015 JOURNAL DE MONACO 3

- « systèmes d’information de l’Etat » : ressources etmoyens informatiques et moyens de communicationélectronique des services exécutifs de l’Etat, recouvranttout matériel informatique (câblage, périphérique (telque imprimantes simples ou multifonctions, webcam,etc…), disquette, disque dur, carte mémoire, CD-Rom,clé USB, ordinateur, tablette, PDA, photocopieurs,scanner, serveurs, baies de stockage, équipementsréseau etc.) et toute ressource informatique de toutenature (telle que logiciels, applications, bases dedonnées, etc., et ce, qu’ils soient accessibles à distance,directement ou en cascade à partir d’un réseau, ainsiles moyens de communication électronique recouvrantinternet et les télécommunications (tels que téléphones,équipement sans fil, carte de communication sans fil,terminaux portables, le matériel nomade, messagerie,forum, sites web, etc.) ;

- « Administration » : autorités relevant des servicesexécutifs de l’Etat au sens de l’article 44 de laConstitution, se trouvant placés sous l’autorité duMinistre d’Etat. Il s’agit en d’autres termes del’administration gouvernementale ;

- « Service Informatique Habilité » : Entitéinformatique autre que la Direction Informatique au seind’un service de l’Etat, qui gère sous sa responsabilitéun système d’information et/ou qui utilise certainesapplications fournies par la Direction Informatique.

1.1.3 Objectifs

La présente Charte, rédigée dans l’intérêt desutilisateurs, manifeste la volonté de l’Etat d’assurerun développement sécurisé de l’accès et de l’utilisationde ses systèmes d’information.

A cet égard, elle a pour objectif de poser les règlesde déontologie et de sécurité applicables aux utilisateurslorsqu’ils font usage des systèmes d’information del’Etat.

La Charte est complétée par un document « Foireaux Questions » (FAQ) qui recense des questionsréponses et un « guide d’utilisation du poste de travail »ayant pour objet de préciser, de manière pratique, àses destinataires les règles de bon usage des systèmesd’information de l’Etat. Ce guide est destiné auxutilisateurs du parc informatique géré par la DirectionInformatique. Des documents spécifiques pourront êtreétablis par ailleurs par le service informatique habilité.

1.2 Personnes concernées

La présente Charte est applicable aux fonctionnaireset agents non titulaires de l’Etat lorsqu’ils utilisent lessystèmes d’information de l’Etat.

Au sens de la présente Charte, l’utilisateur est toutfonctionnaire ou agent non titulaire de l’Etat, y comprisles stagiaires, qui fait usage des systèmes d’informationde l’Etat.

Elle est également applicable aux tiers appelés àréaliser des missions pour le compte del’Administration.

1.3 Equipements et services concernés

1.3.1 Sont visés par la présente Charte les équipementssuivants :

- l’ensemble des systèmes d’information définisci-avant qui sont la propriété de l’Etat ou que cedernier détient en licence ou en location et qui sontmis à la disposition des utilisateurs à des finsprofessionnelles, tels que notamment par exemple sansque cette liste ne soit limitative les postes de travail,les logiciels, les téléphones, existants ou à venir, etc…

- l’ensemble des systèmes d’information tels quedéfinis à la présente Charte qui sont la propriétépersonnelle de l’utilisateur notamment smartphone ettablette et autres équipements qui seraient autorisés àl’avenir, et pour lesquels celui-ci a obtenu l’accordpréalable de sa hiérarchie pour les utiliser dans lecadre de son activité professionnelle.

1.3.2 Sont visés par la présente Charte les servicessuivants :

Les bases de données et leur contenu, les applicationsinformatiques, la messagerie électronique permettantl’échange de courriers et de documents, Intranet,Internet et toutes leurs applications, la téléphonie, ainsique tout autre réseau d’information ou decommunication existant ou à venir.

Les utilisateurs ne deviennent en aucun caspropriétaire des systèmes d’information de l’Etat misà leur disposition.

1.4 Usages concernés

La présente Charte s’applique à tous les typesd’usages, quels que soient leur fréquence ou leurpériodicité et qu’ils aient lieu :

- dans les locaux de l’Administration ;

- dans le cadre d’un usage dit « nomade », c’est-à-dire l’usage des systèmes d’information pour des



déplacements professionnels en-dehors des locaux del’Administration, et quel qu’en soit le lieu ;

- dans le cadre d’un accès distant (y compris lamessagerie).

2. REGLES D’UTILISATION

2.1 Conditions générales d’utilisation

2.1.1 Accès et identification

L’accès aux systèmes d’information de l’Etat estdéterminé par l’autorité hiérarchique de l’utilisateurqui l’accorde en fonction des nécessités du service.

L’autorisation, la suppression et la suspension del’accès aux systèmes d’information de l’Etat sonteffectuées par la Direction Informatique ou le serviceinformatique habilité, à la demande expresse del’autorité hiérarchique du service de l’utilisateur.

Tout usage des systèmes d’information de l’Etat estréputé avoir été réalisé par le bénéficiaire del’identification d’accès qui en sera pleinementresponsable, sauf s’il démontre qu’il n’était en réalitépas l’utilisateur.

• Constitution des identifiants et des codes confidentiels

Chaque utilisateur est doté d’un ou plusieursidentifiants et codes confidentiels permettant l’accèsaux systèmes d’information de l’Etat, de manièrenomade ou non, et qui peuvent prendre diverses formeset notamment login, mots de passe, cartes à puce, cléUsb, … sans préjudice de l’introduction parl’administration, de nouveaux moyensd’authentification des utilisateurs qui seront soumisaux mêmes règles.

Ces identifiants et codes confidentiels sontstrictement personnels et permettent à chaque titulairede se connecter sur tout poste informatique et d’utiliserles ressources en local.

L’utilisateur s’interdit :

- d’utiliser un identifiant ou un codeconfidentiel/mot de passe autre que le sien, dansl’hypothèse où il en aurait eu connaissance ;

- de supprimer, masquer ou modifier son identitéou son identifiant ;

- d’user de son droit d’accès pour accéder à unposte de travail autre que le sien, à des applications,

à des données ou à un compte informatique autresque ceux qui lui auront été éventuellement attribuésou pour lesquels il a reçu l’autorisation de sa hiérarchie.

• Renouvellement et modification des identifiants etdes codes confidentiels

En cas de communication ou de risque decommunication, d’oubli, de perte ou de vol de sesidentifiants et codes confidentiels, l’utilisateur, aprèsavoir avisé sans délai la Direction Informatique ou leservice informatique habilité, devra en demander lerenouvellement.

Il devra également, selon les cas, soit apporter sacollaboration à l’Administration, soit procéderlui-même à toutes les démarches (déclarationd’assurance, dépôt de plainte, etc.) rendues nécessairesà la suite d’un incident de quelque nature que ce soit.

Un code confidentiel/ mot de passe doit être modifiéselon une fréquence déterminée le cas échéant parl’Administration et notamment par la DirectionInformatique ou le service informatique habilité, etspécifiée s’il y a lieu, dans le guide d’utilisation duposte de travail.

2.1.2 Intégrité des outils

Les équipements et services et plus généralementles systèmes d’information de l’Etat, mis à ladisposition de l’utilisateur, sont exclusivement installés,configurés et paramétrés par la Direction Informatiqueou le service informatique habilité ou les prestatairesdûment désignés à cet effet. Il est strictement interdità l’utilisateur de les modifier notamment par l’ajoutde logiciels ou de matériels.

En cas de nécessité de services et après autorisationdonnée par la hiérarchie conformément à la procédureprévue à l’article 3, la Direction Informatique ou leservice informatique habilité ou les prestataires dûmentdésignés à cet effet sont seuls habilités à procéder àl’installation de logiciels ou matériels nécessaires pourl’exercice des fonctions confiées à l’utilisateur.

L’utilisateur s’engage, de manière générale, à ne pasporter atteinte à l’intégrité et à la conservation desbases de données de l’Administration, en respectantles finalités des outils mis à sa disposition.

Il s’interdit, notamment et en particulier, de chargerou de transmettre, sciemment, des fichiers contenantdes virus ou des données altérées.



2.1.3 Gestion des absences et accès aux systèmesd’information

Chaque utilisateur doit veiller à ce que la continuitédu service soit assurée, conformément aux modalitésd’organisation du service, telles que définies par lahiérarchie et le cas échéant, avec le concours laDirection Informatique ou du service informatiquehabilité.

A cette fin, en cas d’absence, l’utilisateur doitmettre en œuvre l’une des procédures suivantes, tellesque définies par le guide d’utilisation du poste detravail :

- le message d’absence, en précisant de préférencele nom de la personne à contacter durant laditeabsence ;

- le système de délégation.

Le système de reroutage des messages peut êtreégalement utilisé exclusivement vers un destinataireau sein du service ou vers la messagerie du service.

Par ailleurs, afin d’assurer le bon fonctionnementdu service, en cas de nécessité professionnelle ou pourdes raisons d’urgence, la Direction Informatique oule service informatique habilité pourra être saisi parle chef de Service en cas d’absence de l’utilisateur,afin d’accéder directement à l’aide de comptesAdministrateur aux différents dossiers et répertoiresstockées dans le Bureau Windows de l’utilisateur,courriers électroniques et plus généralement à tousdocuments à caractère professionnel de l’utilisateur.

2.1.4 Gestion des départs

Lors de la cessation de ses fonctions, l’utilisateurdoit remettre à sa hiérarchie et en bon état généralde fonctionnement, les éléments des systèmesd’information qui lui ont été mis à disposition(ordinateurs, périphériques, mobiles, PDA, carted’accès, moyens d’authentification à distance, badges,supports de stockage, …).

Le compte messagerie de l’utilisateur est suppriméle jour de son départ, ses identifiants et codesconfidentiels sont également désactivés à la mêmeéchéance. Toutefois, si la nécessité du service lejustifie, le Secrétaire Général du Ministère d’Etatpourra autoriser, sur demande du Chef de Service, lemaintien de la messagerie pour un temps raisonnablequi ne saurait excéder six mois.

Les documents identifiés comme étant « PRIVE »au sens des dispositions des articles 2.2.2 et 2.2.3devront être supprimés par l’utilisateur avant sondépart, sauf en cas de procédure judiciaire en coursou pour les besoins d’une enquête administrative. Ilpourra conserver une copie à titre personnel de cesseuls documents.

2.1.5 Protection de la propriété intellectuelle

L’utilisation des systèmes d’information de l’Etatimplique le respect des droits de propriété intellectuelle.

Sans que cette liste soit exhaustive, l’utilisateurs’engage à :

- utiliser les logiciels, applications, dans lesconditions de la licence souscrite par l’Administration ;

- ne pas effectuer de copie illicite de logiciel,d’applications et, a fortiori, de tenter d’installer deslogiciels pour lesquels l’Administration ne possèderaitpas un droit d’usage ;

- ne pas reproduire et utiliser les bases de données,pages web ou autres créations de l’Administration oude tiers protégés par le droit d’auteur ou un droitprivatif sans avoir obtenu préalablement l’autorisationdu titulaire de ces droits ;

- ne pas diffuser des textes, des images, desphotographies, des œuvres musicales ou audiovisuelleset, plus généralement, toute création copiée sur leréseau internet ;

- ne pas copier et remettre à des tiers des créationsappartenant à des tiers ou à l’Administration sanss’assurer de l’autorisation du titulaire des droits quis’y rapportent.

2.1.6 Protection des informations nominatives

L’utilisation des systèmes d’information de l’Etatpeut donner lieu à la mise en œuvre par l’Etat detraitements d’informations nominatives dans le respectdes dispositions de la loi n° 1.165 du 23 décembre1993, modifiée.

L’utilisateur doit, dans l’exercice de ses fonctions,respecter les finalités de ces traitements d’informationsnominatives et s’abstenir de communiquer desinformations nominatives à des tiers extérieurs àl’Administration, sauf autorisation de sa hiérarchie etdans le respect des dispositions légales etréglementaires en vigueur.



Conformément à la loi sur la protection desinformations nominatives, les utilisateurs sontinformés, en particulier, qu’ils disposent d’un droitd’accès et de rectification des informations lesconcernant.

2.1.7 Confidentialité des données

La sauvegarde des intérêts et de la sécurité de l’Etatnécessite le respect, par l’utilisateur, d’une obligationgénérale et permanente de confidentialité laquellerésulte des devoirs généraux des fonctionnaires etagents de l’Etat en matière de secret professionnel,de discrétion professionnelle et de réserve inhérents àleur statut, à l’égard des informations ou données dontil a connaissance dans l’exercice ou à l’occasion del’exercice de ses fonctions.

Le respect de cette obligation implique notammentde :

- veiller à ce que les tiers non autorisés n’aient pasconnaissance de telles informations ou données ;

- n’accéder qu’aux informations en rapport directavec sa fonction et ne pas chercher, en conséquence,à prendre connaissance d’informations ou donnéesréservées à d’autres utilisateurs ;

- d’une manière générale, respecter les règlesd’éthique professionnelle, de déontologie, ainsi que lesobligations de réserve, de devoir de discrétion, deconfidentialité en usage au sein de l’Administration.

L’attention de l’utilisateur est attirée sur les risquesliés à la diffusion de contenus d’information et dedonnées sur internet, en particulier au sein des réseauxsociaux et sur les blogs. Il est donc strictement interditde diffuser la moindre information nominative, qu’ellesoit ou non protégée par une obligation légale de secretou une obligation contractuelle de confidentialité, surinternet.

La diffusion de toute donnée ne peut être réaliséeque dans les conditions dans lesquelles le fonctionnaireou l’agent non titulaire de l’Etat peut être délié deson obligation de discrétion professionnelle.

L’utilisation de procédés de cryptage est une fonctionqui ne peut être mise en œuvre que dans certains casautorisés. Il est interdit d’utiliser des moyens decryptologie autres que ceux expressément autorisés parl’Administration.

2.1.8 Enregistrements et vidéoprotection

L’Administration peut, à titre exceptionnel, recourirà des outils techniques d’enregistrements vidéo etsonores dans le but d’enregistrer les réunionsprofessionnelles. Dans ce cas, les utilisateurs en sontinformés.

Par ailleurs, les utilisateurs sont informés de lapossibilité pour l’Administration de mettre en place,selon les règles en vigueur, un dispositif devidéoprotection dans ses locaux ou à l’extérieur deses locaux à des fins de sécurité et de prévention desatteintes aux biens et/ou aux personnes.

2.2 Conditions particulières d’utilisation deséquipements et services

2.2.1 Principes de base

• Utilisation à des fins professionnelles

Dans tous les cas, et quelles que soient les conditionseffectives d’utilisation, l’usage des systèmesd’information de l’Etat est réservé à l’exercice de sonactivité professionnelle.

• Utilisation à des fins privées

Toutefois, un usage personnel est toléré pourrépondre aux nécessités de la vie courante et familiale,sous réserve qu’il :

- soit occasionnel et raisonnable tant dans lafréquence que dans la durée ;

- ne perturbe pas le bon fonctionnement du serviceet des systèmes d’information de l’Etat ;

- ne compromette pas l’activité de l’utilisateur ;

- ne porte pas atteinte aux devoirs généraux desfonctionnaires et agents de l’Etat ;

- ne porte pas atteinte à l’ordre public ;

- ne poursuive pas un but lucratif ou même ludique.

L’Administration se réserve le droit de limiter oude suspendre cette tolérance en cas d’abus.

• Utilisation des systèmes d’information personnels àdes fins professionnelles

L’utilisateur ne peut utiliser des systèmesd’information qui sont sa propriété personnelle à des



fins professionnelles, sauf accord formel du Chef deservice et sous réserve, le cas échéant des prescriptionstechniques exigées par la Direction Informatique oule service informatique habilité.

A ce titre, le Chef de Service, saisi d’une telledemande par un fonctionnaire ou par un agent nontitulaire de l’Etat relevant de son autorité, doit eninformer la Direction Informatique ou le serviceinformatique habilité afin qu’il puisse examiner lesconditions dans lesquelles l’utilisation à des finsprofessionnelles des systèmes d’information personnelspeut être envisagée. Dans ce cadre, les éventuels coûtsnotamment en matière de télécommunication sontsupportés par l’utilisateur.

2.2.2 Poste de travail fixe ou portable


Le poste de travail est par principe d’usagestrictement professionnel.


Il est possible de créer un répertoire privé au seindu disque dur de l’ordinateur, sous réserve qu’il soitidentifié sous le terme « PRIVE ». Ainsi, tous lesrépertoires informatiques ne portant pas cette mention,sont considérés comme professionnels.

Par ailleurs, aucune information à caractèreprofessionnel ne peut être stockée dans le répertoireinformatique « PRIVE ».

Le caractère « PRIVE » de l’usage des systèmesd’information interdit, par principe, à l’Administrationd’accéder aux contenus ou données stockées.

Toutefois, l’utilisateur est informé que :

- ces éléments peuvent faire l’objet de copie dansle cadre d’une maintenance du poste de travailnécessitant la restauration des données locales ;

- un administrateur réseau ou système d’exploitationou toute autorité spécialement « habilitée », accède àces contenus dans le cadre de sa mission consistantà assurer le fonctionnement normal et la sécurité dessystèmes d’information, ce notamment dans le cadred’opérations de maintenance ;

- l’Administration peut, dans tous les cas, pour desmotifs légitimes, accéder à ces éléments en présencede l’utilisateur ou ce dernier dûment appelé.

2.2.3 Messagerie


L’adresse « électronique » est strictementprofessionnelle. Elle ne doit donc pas être utilisée dansun autre contexte, et notamment diffusée sur des sitesinternet (chats, forums, blogs, etc.), sans rapport avecl’activité professionnelle.

L’inscription sur des listes de diffusion permettantla réception automatique et périodique d’informationsest également réservée à un usage strictementprofessionnel. Elle est basée sur un principed’autodiscipline des utilisateurs, destiné à s’assurerd’une part, de la pertinence et de la nécessité d’unetelle inscription et d’autre part, des conséquences decelle-ci (fréquence de réception des messages, poidsdes messages, encombrement des réseaux, etc..).

Sont interdits :

- l’utilisation de l’adresse électronique personnellede l’utilisateur dans le cadre de l’activitéprofessionnelle de l’utilisateur ;

- le reroutage de la messagerie professionnelle versla messagerie personnelle de l’utilisateur ou vers toutautre destinataire extérieur à l’Administration, saufdérogation accordée par le chef de service et portéeà la connaissance de la Direction Informatique ou duservice informatique habilité ;

- les comportements pouvant inciter les tiers à luiadresser des messages non sollicités ou des fichiersdouteux, qu’il devra détruire en cas de réceptionfortuite.

Dans l’hypothèse où l’utilisateur recevrait,régulièrement ou non, des messages non sollicités ouqui seraient manifestement illicites, il en préviendrala Direction Informatique ou le service informatiquehabilité afin qu’ils puissent prendre les mesuresnécessaires en fonction des obligations légales, despossibilités techniques et des contraintes économiques.

L’utilisateur doit être vigilant sur la nature desmessages électroniques qu’il envoie ou qu’il échangecar ils peuvent engager sa responsabilité personnelleou dévoiler des informations confidentielles.

La transmission d’informations par l’utilisateur àdes tiers doit se faire dans le respect de son obligationde discrétion professionnelle et de son devoir deréserve qui s’imposent à lui.




Afin qu’un message soit présumé commenon-professionnel, l’utilisateur doit mentionner leterme « PRIVE » dans la zone « objet » du message.A cet égard, l’utilisateur est tenu d’informer sondestinataire de cette règle, afin qu’il applique égalementla mention « PRIVE » dans sa réponse.

Le recours aux pièces jointes est à éviter dans lescas d’un usage non professionnel.

Sans préjudice des règles applicables au secret descorrespondances, un message, adressé ou reçu parl’utilisateur à partir d’une adresse électronique attribuéepour des raisons professionnelles et ne portant pas,dans la zone objet, la mention « PRIVE » est considérécomme professionnel.

Par ailleurs, aucune information à caractèreprofessionnel ne peut être émise ou reçue via uncourrier électronique identifié comme « PRIVE ».

Le caractère « privé » de l’usage des systèmesd’information interdit, par principe, à l’Administrationd’accéder aux contenus ou données émis, reçus ouéchangés via la messagerie.

Toutefois, l’utilisateur est informé que :

- ces éléments peuvent faire l’objet de conservationtechnique dans le cadre des procédures de back upou de plans de continuité ou reprise d’activité misesen œuvre au sein de l’Administration ;

- un administrateur réseau ou système d’exploitationou toute autorité spécialement « habilitée », accède àces contenus dans le cadre de sa mission consistantà assurer le fonctionnement normal et la sécurité dessystèmes d’information, ce notamment dans le cadred’opérations de maintenance ;

- l’Administration peut, dans tous les cas, pour desmotifs légitimes, accéder à ces éléments en présencede l’utilisateur ou ce dernier dûment appelé.

Dans le cadre de son obligation de réserve,l’utilisateur s’abstient de tenir des propos inappropriéssur la politique conduite par le Gouvernement Princieret de faire état de ses opinions politiques.

2.2.4 Internet / Intranet et réseaux sociaux

2.2.4.1. Internet / Intranet

L’accès à des applications en ligne (sites web, webRadio, web TV, blogs, forums, chats, applications

existantes ou à venir etc.) est strictement réservé à unusage professionnel.

L’utilisateur ne doit en aucune manière se livrer àla consultation, au chargement, téléchargement, austockage, à la publication ou à la diffusion de fichiers,y compris vidéos ou musicaux, et de messagesélectroniques, dont le contenu présente un caractèreinjurieux, diffamatoire, pornographique ou raciste etc.et ce sans que cette liste ne soit exhaustive, sauf dansle cadre d’une mission liée à la recherche et à lapoursuite d’infractions. Ceci s’applique tant auxfichiers qu’aux messages électroniques, avec ou sanspièces attachées et à toute forme de communicationquelle que soit la forme des contenus (sonores,audiovisuels, multimédias ou logiciel).

L’utilisation des réseaux sociaux peut être sourcede risques et de responsabilité notamment en termesde sécurité et/ou d’image pour l’Administration. Aussi,afin de limiter les risques encourus, les règles suivantesont été arrêtées.

2.2.4.2. Réseaux sociaux


Dans le cadre de la sphère professionnelle ou dela communication institutionnelle du Gouvernement,l’usage des réseaux sociaux est strictement encadré.

A ce titre, l’utilisateur doit :

- respecter toute procédure qui aura été définie parl’Administration ;

- répondre aux contributions des tiers avecpertinence, exactitude, en s’efforçant de promouvoirl’image de l’Administration ;

- respecter les conditions générales d’utilisation duréseau social et l’ensemble des dispositionsapplicables ;

- utiliser uniquement les outils de communicationde l’Administration, selon les instructions qui lui ontété données et valoriser la visibilité du site web oudu réseau social de l’Administration ;

- s’abstenir de diffuser toute informationconfidentielle ou toute information commercialesensible relative à l’Administration ;

- respecter son devoir de réserve ;

- s’assurer de la préservation de l’ordre public etprendre toutes précautions utiles.



En cas de doute sur l’utilisation d’un réseau social,l’utilisateur devra immédiatement consulter sonsupérieur hiérarchique.

Toute habilitation spécifique donnée pourra êtreretirée, modifiée ou suspendue par le Ministre d’Etatou le Secrétaire Général du Ministère d’Etat.

L’utilisation d’un réseau social par un serviceadministratif doit faire l’objet d’une autorisationpréalable du Ministre d’Etat ou du Secrétaire Généraldu Ministère d’Etat.


Dans le cadre de la sphère privée, en dehors del’exercice de ses fonctions, l’utilisateur est libred’utiliser les réseaux sociaux et d’y accéder à partirde son poste de travail et en dehors de son travail.Cependant il s’interdit de communiquer touteinformation à caractère professionnel, en particulierdes informations confidentielles, des informationssensibles relatives à l’Administration, des informationsrelatives aux conditions de travail, à l’organisationgénérale, au calendrier d’évènements et déplacements,à la rémunération, etc...

L’utilisateur est toutefois autorisé à faire mentionde son appartenance à l’Administration et à faire étatde son grade et de son service de rattachement.

Dans tous les cas, l’utilisateur doit respecter sondevoir de réserve et son obligation de discrétionprofessionnelle. A ce titre, il s’abstient de tenir despropos inappropriés sur la politique conduite par leGouvernement Princier.

2.2.5 Téléphonie fixe


Le téléphone fixe mis à disposition de l’utilisateurest destiné à un usage professionnel tant pour lesappels émis que pour les appels reçus.


Un usage privé en est toutefois toléré dans la mesureoù il demeure raisonnable et ne perturbe ni sa propreactivité professionnelle ni celle de ses collègues.

2.2.6 Equipements « nomades »

Les matériels dits « nomades » sont mis à ladisposition de l’utilisateur par la Direction Informatiqueou le service informatique habilité.

L’utilisateur en assure la garde et la responsabilité.Il assiste ou procède lui-même selon les cas à toutesles démarches (dépôt de plainte…) rendues nécessairesà la suite d’un incident de quelque nature que ce soit(perte ou vol par exemple).

Lorsque qu’un accès à distance est accordé à unutilisateur, celui-ci s’engage à utiliser, à l’exclusionde tout autre, les identifiants et codes confidentielsqui lui seront remis.

L’utilisation de systèmes d’information nomadeset/ou à distance impose à l’utilisateur un niveau desurveillance et de confidentialité renforcée.

Il doit notamment veiller à ce que des tiersnon-autorisés ne puissent accéder à ces ressources etéléments accessoires, les utiliser ou accéder à leurscontenus.

En cas d’incident avéré mais aussi en cas de doute,il doit immédiatement en aviser sa hiérarchie et laDirection Informatique (Cf. Guide d’utilisation duposte de travail) ou le service informatique habilité.

Lorsqu’un accès à distance est accordé à unutilisateur, celui-ci s’engage à utiliser les identifiantset codes confidentiels qui lui seront remis et aucunautre. En termes de sécurité et de confidentialité,l’utilisateur est soumis aux mêmes obligations quecelles visées pour la gestion des identifiants et codesconfidentiels et devra suivre toutes les prescriptionscomplémentaires qui lui seront signifiées.

Il devra aviser, sans délai, la Direction Informatiqueou le service informatique habilité de la perte ou duvol des identifiants et codes confidentiels.

Par ailleurs, l’utilisateur se doit d’adopter uneattitude de prudence, de confidentialité, de sécurité etde réserve au regard des informations et des ressourcesdu système d’information de l’Etat.

2.2.7 Espace collaboratif

L’Administration privilégie, autant que faire se peut,le partage et la mutualisation des connaissances, etpeut être ainsi amenée à mettre en place des espacescollaboratifs de travail. A ce titre, un espace collaboratifde travail peut par exemple prendre la forme d’unoutil spécifique, d’une plateforme collaborative, oud’une base de données partagée, etc.

La qualité des informations ainsi disponibles est unobjectif élevé et chaque utilisateur s’engage à être



attentif à la pertinence des informations diffusées ausein de ces espaces.

Par souci de qualité, de responsabilité et deprotection de l’ensemble des informations et donnéescontenues dans les systèmes d’informations de l’Etat,l’utilisation de ces mêmes espaces peut faire objetd’opérations de contrôle, d’audit, de modération et detraçabilité renforcées.

Aux mêmes fins, l’Administration peut mettre enplace des outils de marquage de tout ou partie deséléments des bases de données constituées dans cecadre, pour éviter notamment toute extraction. Lesutilisateurs seront avertis de la présence de tels outils.

3. SECURITE ET VIGILANCE

3.1 Généralités

L’utilisateur s’engage à user des systèmesd’information de façon loyale et à être vigilant ensignalant toute anomalie ou intrusion. L’utilisateur esttenu d’informer, sans délai, sa hiérarchie et la DirectionInformatique ou le service informatique habilité detout dysfonctionnement, altération, perte, vol,destruction et autre événement pouvant affecter lessystèmes d’information.

L’utilisateur doit utiliser les systèmes d’informationdans le respect des procédures et méthodologies quilui sont adressées (notes de Direction, livrets desprocédures, livrets des préconisations, manuelsutilisateurs, guide d’utilisation du poste de travail…)et s’engage à user exclusivement les services d’accèssécurisés mis à sa disposition.

L’utilisateur pourra être invité à prendre des mesuresd’urgence ou de sécurité spécifique, qu’il s’engage àappliquer sans le moindre délai.

A des fins de précaution, certaines configurationspeuvent être verrouillées par la Direction Informatiqueou le service informatique habilité (poste de travail,accès internet, etc.).

La mise en place d’outils de sécurité par la DirectionInformatique ou le service informatique habilité nedoit pas, toutefois, dispenser les utilisateurs d’uneobligation de vigilance à cet égard.

En effet, tout utilisateur a la charge, à son niveau,de contribuer à la sécurité des systèmes d’informationmis à sa disposition, principalement en évitantl’introduction de codes malveillants susceptiblesd’endommager le système d’information de l’Etat.

L’utilisateur s’interdit également de :

- modifier les systèmes d’information de l’Etatnotamment par l’ajout de logiciels, progiciels, mêmegratuits, ou de matériels pour quelque raison que cesoit ;

- modifier ou détruire, ou tenter de modifier oudétruire, des fichiers sur lesquels il ne dispose d’aucundroit, en particulier les fichiers contenant desinformations comptables ou d’identification ;

- mettre à la disposition d’utilisateurs non autorisésun accès aux systèmes ou aux réseaux à travers lesmatériels dont il a usage ;

- utiliser ou tenter d’utiliser des comptes autres queceux qui lui sont attribués ou masquer son identité ;

- effectuer des opérations pouvant nuire aux relationsinternes ou externes de l’Etat.

Dans le cas où des logiciels ou matériels noninstallés semblent nécessaires à l’utilisateur pourl’exercice de sa mission, la procédure à respecter estla suivante :

- l’utilisateur doit transmettre une demande par noteà son chef de service afin d’en saisir son départementde tutelle ;

- la demande doit être ensuite relayée au SecrétariatGénéral du Ministère d’Etat qui saisit la DirectionInformatique ou le service informatique habilité ;

- le traitement et l’analyse de la demande sonteffectués par la Direction Informatique ou le serviceinformatique habilité en relation avec la Direction del’Administration Electronique et de l’Information auxUsagers, en tenant compte de la nature du besoin etdes impératifs de sécurité ;

- le Secrétariat Général du Ministère d’Etat notifiela décision au Département concerné.

D’une manière générale, toute installation ouutilisation de matériels non expressément autoriséeconformément à cette procédure est interdite.

En cas de violation de la présente Charte ou derisque d’atteinte à la sécurité des systèmesd’information de l’Etat ou dans tous les cas d’intérêtpublic, l’Administration pourra, à titre conservatoire,prendre toutes mesures de sécurité consistant à effectuerdes contrôles renforcés, suspendre, bloquer, retirer,supprimer le(s) droit(s) de l’utilisateur sur tout oupartie des moyens informatiques et de communication



électronique ainsi que des espaces collaboratifs etréseaux sociaux.

3.2 Traçabilité

Dans le cadre des règles d’engagement de laresponsabilité de la puissance publique,l’Administration peut mettre en œuvre des outils detraçabilité tels que des journaux de connexions del’ensemble des systèmes d’information.

Tout détournement, altération ou modification deces outils ou des données recueillies grâce à ces outils(« traces ») est strictement interdit.

3.3 Filtrage

Dans le cadre des règles d’engagement de laresponsabilité de la puissance publiquel’Administration peut procéder à la mise en placed’outils de filtrage (filtrage des contenus, des URL,protocolaire, proxy, etc.) permettant d’analyser lesconditions d’utilisation des systèmes d’information del’Etat, d’interdire tel ou tel protocole, ou encore derestreindre certaines catégories de sites internet. A cetitre, l’utilisation de Webmail est notamment interdite.

Il est précisé que ces outils, en ce qu’ils portententre autre sur l’accès à internet, permettent uncontrôle des connexions des utilisateurs.

Tout détournement, altération ou modification deces outils ou des données recueillies grâce à ces outilsest strictement interdit.

3.4 Mesures d’urgence et plan de reprise d’activité

L’utilisateur est informé qu’en cas de sinistre,d’incident majeur ou de nécessité impérative,l’Administration peut mettre en œuvre un certainnombre de mesures exceptionnelles visant à assurerla reprise de son activité et le respect de sesengagements contractuels ou légaux.

Dans cette hypothèse, l’utilisateur pourra être amenéà la demande de l’Administration à prendre desmesures d’urgence et de sécurité spécifiques, qu’ils’engage à appliquer sans délai.

Ces mesures exceptionnelles peuvent inclure,notamment, le basculement sur un systèmeinformatique de relève, une dégradation de service surtout ou partie des ressources du système d’information(temps de réponse, capacité de stockage, d’accès oude traitement de l’information, etc.), la suppression

temporaire de l’accès à certaines ressources du systèmed’information (messagerie, connexion internet, accèsapplicatifs, éléments relatifs au poste de travail, etc.)ou la mise en œuvre de contraintes exceptionnelles(restriction temporaire de l’accès au site ou au systèmed’information, déplacement sur des sites de secourstiers, etc.).

4. MAINTENANCE ET CONTROLE DESECURITE

4.1 Opérations de maintenance

La mise à disposition et l’utilisation des systèmesd’information de l’Etat impliquent nécessairement desopérations de maintenance technique, qu’il s’agisse demaintenance corrective, de maintenance préventive oude maintenance évolutive.

L’objectif de ces opérations est d’assurer le bonfonctionnement et la sécurité des systèmesd’information de l’Etat.

Les utilisateurs sont informés des opérations demaintenance lorsqu’elles sont susceptibles d’affecterleur activité ou leurs accès.

Elles peuvent être réalisées sous la forme d’une« prise de main à distance ».

Les opérations de « prise de main à distance » sonteffectuées en accord avec l’utilisateur qui pourra êtreprésent téléphoniquement, devant son poste de travailinformatique.

A cette occasion, la Direction Informatique ou leservice informatique habilité peut être amené à prendreconnaissance de l’ensemble des éléments présents surle poste de l’utilisateur et notamment des messagesélectroniques émis ou reçus par l’utilisateur ainsi qu’àexaminer en détail le journal de ses connexions, etcela qu’il s’agisse d’un usage professionnel ou privé.

Si à l’occasion d’opérations de maintenance laDirection Informatique ou le service informatiquehabilité identifie une utilisation anormale et/ou uncontenu illicite ou préjudiciable, il en informe sahiérarchie et celle de l’utilisateur.

Les fonctionnaires et agents de la DirectionInformatique ou du service informatique habilité sonttenus de respecter le secret professionnel, l’obligationde discrétion professionnelle et la confidentialité desinformations auxquelles ils accèdent. Ils ne peuventutiliser leurs droits d’accès étendus qu’à des finsstrictement professionnelles.



4.2 Opérations de contrôle de sécurité

Les opérations de contrôle de sécurité se distinguentdes opérations de maintenance en ce qu’elles portentsur la sécurité et le bon fonctionnement des systèmesd’information et sur la vérification du respect desdispositions de la présente Charte.

A ce titre, elles répondent à des finalités statistiques,de traçabilité, d’optimisation, de sécurité, ou dedétection des abus.

Ainsi, l’Administration se réserve le droit,notamment de :

- vérifier le trafic informatique entrant et sortant,ainsi que le trafic transitant sur le réseau interne ;

- diligenter des audits pour vérifier que les consignesd’usage et les règles de sécurité et de sûreté sontappliquées sur les ressources du systèmed’information ;

- contrôler l’origine licite des logiciels installés ;

- conserver des fichiers de journalisation des tracesen fonction des besoins propres de chaque systèmed’information ;

- transmettre aux autorités judiciaires sur requêtetout ou partie des enregistrements disponibles.

En outre, en cas d’incident, l’Administration seréserve le droit de :

- surveiller le contenu des informations qui transitentsur son système d’information ;

- vérifier le contenu des disques durs des ressourcesdu système d’information attribuées aux utilisateurs ;

- procéder à toutes copies utiles pour faire valoirses droits.

Les opérations de contrôle ciblé d’un utilisateur sonteffectuées par une « prise de main à distance » ou sursite, en présence de l’utilisateur devant son poste detravail informatique ou dûment appelé. Il est informéque dans ce cadre, les autorités habilitées peuventnotamment être amenées à avoir accès à l’ensembledes informations relatives aux utilisateurs (messages,connexions à internet, etc.), y compris à celles quisont enregistrées sur le disque dur de leur poste detravail, ainsi qu’à ouvrir tout message figurant sur samessagerie et à vérifier l’ensemble des connexionsdudit utilisateur.

Ces opérations de contrôle de sécurité relèvent desfonctions de la Direction Informatique ou du serviceinformatique habilité, qui a la charge de la qualité,de la protection et de la sécurité des systèmesd’information fournis aux utilisateurs.

Les agents relevant de ces services (administrateurréseau ou système d’exploitation ou toute autoritéspécialement « habilitée ») sont tenus de respecter lesecret professionnel, l’obligation de discrétionprofessionnelle et la confidentialité des informationsauxquelles elles accèdent. Ils ne peuvent utiliser leursdroits d’accès étendus qu’à des fins strictementprofessionnelles.

En ce qui concerne l’usage des services Internet,il peut être contrôlé a posteriori et peut porter sur letemps de connexion par poste ou sur les sites les plusconsultés par l’utilisateur. En cas de perturbationinduite par l’apparition intempestive d’alertes suite àdes tentatives d’infection des systèmes à l’aide devirus informatiques, la Direction Informatique ou leservice informatique habilité est habilité à mener toutesles investigations qu’elle jugera utiles aux finsd’éradiquer lesdits virus.

Si en cas d’opérations de contrôle, les services dela Direction Informatique ou du service informatiquehabilité identifient un faisceau d’indices laissantsupposer qu’un utilisateur met en cause les intérêts etla sécurité de l’Administration, ou réalisent uneutilisation anormale, ou identifient un contenu illiciteou préjudiciable, le Directeur Informatique ou leresponsable du service informatique habilité eninformera sa hiérarchie, laquelle saisira le SecrétariatGénéral du Ministère d’Etat qui se réserve le droit demettre à la disposition des services compétents lestraces individuelles des connexions incriminées.

Pour des raisons de sécurité des systèmesd’information de l’Etat, tout matériel ou logicielinstallé illicitement ou en violation de la présentecharte pourra être supprimé ou désactivé par lesintervenants de la Direction Informatique ou du serviceinformatique habilité, dès le constat de leur présencesur le poste de travail ou autre matériel.

4.3 Conservation, sauvegarde et archivageélectronique

Chaque utilisateur doit veiller au respect de lapolitique de conservation et d’archivage mise en œuvrepar l’Administration.



Les traces mentionnées au point 3.2 sont conservéespendant les durées nécessaires à la réalisation de lafinalité pour laquelle elles sont collectées, à l’issuedesquelles elles sont détruites.

Ces traces valent preuve de l’utilisation des systèmesd’information. Ces traces peuvent faire l’objet d’untraitement statistique. Ces traces peuvent être fourniesaux autorités compétentes selon les dispositions légaleset réglementaires en vigueur.

Elles peuvent aussi être communiquées àl’utilisateur, pour les seules informations qui leconcerne directement et individuellement, enapplication de la loi sur la protection des informationsnominatives.

Les éléments du répertoire et les messages identifiéscomme étant « PRIVE », qui seraient techniquementconservés, sont conservés sous la seule et entièreresponsabilité de l’utilisateur.

5. RESPONSABILITE ET SANCTIONS

Toute utilisation des systèmes d’information del’Etat en méconnaissance des règles de la présenteCharte est constitutive d’une faute, qui pourra êtresanctionnée conformément au régime disciplinaireapplicable, sans préjudice d’une action juridictionnellequ’elle soit de nature administrative, civile ou pénale.

En tout état de cause, l’Administration pourraprendre toute mesure conservatoire qu’elle jugera utilequant à l’accès et à l’utilisation par l’utilisateur dessystèmes d’information et ce, indépendamment d’unemesure de suspension des fonctions conformément auxrègles qui lui sont applicables.

L’utilisateur est informé que la multiplication defautes dans l’utilisation des systèmes d’informationconstitue une circonstance aggravante.

6. DEROGATION

Toute demande de dérogation aux termes de laprésente Charte doit être présentée, par écrit, auMinistre d’Etat qui se réserve le droit de l’accepterou de la refuser.

7. ENTREE EN VIGUEUR

La présente Charte figure en annexe de l’arrêtéministériel n° 2015-703 du 26 novembre 2015.

Elle se substitue à la précédente Charte en date du1er novembre 2007.

La présente charte entre en vigueur à compter dulendemain de la publication au Journal de Monaco del’arrêté ministériel précité.


IMPRIMERIE MULTIPRINT - MONACO +377 97 98 40 00

FO

U

RNISSEUR BREVET

é

DE S

.A.S. LE PRINCE DE M

ON

AC

O


CHARTE DES SYSTÈMES D’INFORMATION DE L’ETAT

Documents

Transcript of CHARTE DES SYSTÈMES D’INFORMATION DE L’ETAT