HDS Manuel Opérationnel de la Sécurité du SI

of 47/47
Manuel Opérationnel de la Sécurité du SI Version 1.0 1 / 47 Manuel Opérationnel de la Sécurité du Système d'Information pour l’hébergement de donnés de santé à caractère personnel (Exemple)
  • date post

    26-Jan-2016
  • Category

    Documents

  • view

    174
  • download

    3

Embed Size (px)

description

Ce document est un exemple de politique sécurité incluant l'appel des procédures opérationnelle qui peut être mis en place dans le cadre d'un hébergement agréé de données de santé.

Transcript of HDS Manuel Opérationnel de la Sécurité du SI

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 1 / 47

    Manuel Oprationnel de la Scurit du

    Systme d'Information pour lhbergement de donns de sant caractre personnel

    (Exemple)

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 2 / 47

    Rvisions

    Date Rvision Objet

    Rdaction Validation Approbation

    01/01/2011 1.0 Manuel Oprationnel de la scurit pour lHbergement de donns de sant caractre personnel (Exemple) Security Risk Analyst RSSI DSI

    Documents de rfrence

    Titre / Rvision / Date Origine

    1 PSSI et politique du SMSI Hbergeur

    2 Norme ISO 27001 ISO

    3 Norme ISO 20000 ISO

    4 Norme ISO 27799 ISO

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 3 / 47

    SOMMAIRE

    S O M M A I R E ........................................................................................................................ 3

    1 . P O L I T I Q U E P A R T I C U L I E R E D E S E C U R I T E D E L H E B E R G E M E N T D E D O N N E E S D E S A N T E A C A R A C T E R E P E R S O N N E L ............................................... 6

    1 . 1 . C O N T E X T E ................................................................................................................ 6 1 . 2 . L E S R E F E R E N C E S U T I L I S E E S ................................................................................ 6 1 . 3 . D O M A I N E D A P P L I C A T I O N ....................................................................................... 7

    2 . T E R M I N O L O G I E ....................................................................................................... 8

    3 . O R G A N I S A T I O N D E L A S E C U R I T E ................................................................... 10

    3 . 1 . P I L O T A G E , M I S E E N U V R E E T C O N T R O L E ........................................................10 3 . 1 . 1 . R O L E S E T R E S P O N S A B I L I T E S ............................................................................10 3 . 1 . 2 . R E V U E S E T A U D I T S .............................................................................................10 3 . 2 . R E G L E S A P P L I C A B L E S A U X T I E R C E S P A R T I E S ..................................................11 3 . 2 . 1 . T I E R C E S P A R T I E S ...............................................................................................11 3 . 2 . 2 . O B L I G A T I O N S C O M M U N E S ..................................................................................11 3 . 2 . 3 . O B L I G A T I O N S R E L A T I V E S A U X I N T E R V E N A N T S S U R S I T E .............................11

    4 . I D E N T I F I C A T I O N E T G E S T I O N D E S I N F O R M A T I O N S E T D E S B I E N S ... 12

    4 . 1 . R E S P O N S A B I L I T E S R E L A T I V E S A U X B I E N S .........................................................12 4 . 2 . C L A S S I F I C A T I O N D E S I N F O R M A T I O N S .................................................................12 4 . 3 . G E S T I O N D E S B I E N S M A T E R I E L S E T L O G I C I E L S ................................................13

    5 . S E C U R I T E L I E E A U X C O M P O R T E M E N T S D E S P E R S O N N E S ..................... 14

    5 . 1 . R E S P O N S A B I L I T E S .................................................................................................14 5 . 2 . O B L I G A T I O N D E C O N F I D E N T I A L I T E ......................................................................15 5 . 3 . F O R M A T I O N E T S E N S I B I L I S A T I O N ........................................................................15 5 . 4 . A V A N T L E R E C R U T E M E N T ......................................................................................16 5 . 5 . P E N D A N T L A D U R E E D U C O N T R A T .......................................................................16 5 . 6 . F I N O U M O D I F I C A T I O N D E C O N T R A T ....................................................................17 5 . 7 . T R A I T E M E N T D E S I N C I D E N T S E T N O N C O N F O R M I T E S .......................................17 5 . 7 . 1 . A C T I O N S C O R R E C T I V E S .....................................................................................18

    6 . S E C U R I T E P H Y S I Q U E E T E N V I R O N N E M E N T A L E ........................................ 19

    6 . 1 . Z O N E S S E N S I B L E S ..................................................................................................19 6 . 1 . 1 . A C C E S P H Y S I Q U E D U P E R I M E T R E ....................................................................19 6 . 2 . G E S T I O N D E S B A D G E S D A C C E S ..........................................................................20 6 . 2 . 1 . C A T E G O R I E S D E B A D G E S ...................................................................................20 6 . 2 . 2 . A T T R I B U T I O N S .....................................................................................................20 6 . 2 . 3 . M O D I F I C A T I O N .....................................................................................................20 6 . 2 . 4 . R E V O C A T I O N ........................................................................................................20 6 . 3 . T R A V A I L D A N S L E S L O C A U X S E C U R I S E S ............................................................21 6 . 4 . P R O T E C T I O N D E S E Q U I P E M E N T S .........................................................................21 6 . 4 . 1 . I N S T A L L A T I O N E T P R O T E C T I O N D E S E Q U I P E M E N T S . .....................................21 6 . 4 . 1 . 1 . P R E V E N T I O N D E S R I S Q U E S N A T U R E L S . .......................................................22 6 . 4 . 1 . 2 . S U R V E I L L A N C E P A R D E S M O Y E N S H U M A I N S . ..............................................23 6 . 4 . 2 . C O N D I T I O N N E M E N T E L E C T R I Q U E E T C L I M A T I Q U E .........................................23 6 . 4 . 2 . 1 . C L I M A T I S A T I O N ................................................................................................23 6 . 4 . 2 . 2 . N E R G I E ............................................................................................................23 6 . 4 . 3 . S E C U R I S A T I O N D U C A B L A G E .............................................................................24 6 . 4 . 4 . M A I N T E N A N C E D E S E Q U I P E M E N T S ...................................................................24 6 . 4 . 5 . M E S U R E S I N D I V I D U E L L E S D E P R O T E C T I O N ....................................................24

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 4 / 47

    7 . G E S T I O N D E S S Y S T E M E S E T R E S E A U X .......................................................... 25

    7 . 1 . A D M I N I S T R A T I O N D E S S Y S T E M E S ........................................................................25 7 . 1 . 1 . P R O C E D U R E S D A D M I N I S T R A T I O N E T D E X P L O I T A T I O N . ..............................25 7 . 1 . 2 . G E S T I O N D E S C H A N G E M E N T S ...........................................................................25 7 . 1 . 3 . S E P A R A T I O N D E S R O L E S ...................................................................................25 7 . 1 . 4 . S E P A R A T I O N D E S A C T I V I T E S D E D E V E L O P P E M E N T E T D E X P L O I T A T I O N ...25 7 . 2 . M A I N T I E N E N C O N D I T I O N O P E R A T I O N N E L ..........................................................26 7 . 2 . 1 . M A I N T I E N D E L A D I S P O N I B I L I T E .......................................................................26 7 . 2 . 2 . M A I N T I E N D E L I N T E G R I T E ................................................................................26 7 . 2 . 2 . 1 . T R A A B I L I T E D E S G E S T E S D A D M I N I S T R A T I O N ..........................................26 7 . 2 . 2 . 2 . T R A A B I L I T E D E S I N C I D E N T S ........................................................................26 7 . 3 . L U T T E C O N T R E L E S V I R U S E T C O D E S M A L V E I L L A N T S ......................................26 7 . 3 . 1 . T R A I T E M E N T ........................................................................................................27 7 . 3 . 2 . R E P O R T I N G ..........................................................................................................27 7 . 4 . A D M I N I S T R A T I O N D E S R E S E A U X ..........................................................................27 7 . 4 . 1 . R E S E A U X L O C A U X ...............................................................................................27 7 . 4 . 2 . L E S A C C E S D I S T A N T S .........................................................................................28 7 . 4 . 2 . 1 . G E S T I O N D E S D R O I T S .....................................................................................29 7 . 4 . 2 . 2 . C L I E N T S ............................................................................................................29 7 . 5 . P R O T E C T I O N E T M A N I P U L A T I O N D E S M E D I A S ....................................................29 7 . 5 . 1 . D I S P O S I T I O N S G E N E R A L E S ...............................................................................29 7 . 5 . 2 . P R O T E C T I O N ........................................................................................................29 7 . 5 . 3 . R E C Y C L A G E E T M I S E A U R E B U T .......................................................................30

    8 . C O N T R O L E D A C C E S ............................................................................................ 31

    8 . 1 . P R O F I L S E T R E G L E S D A C C E S ..............................................................................31 8 . 2 . G E S T I O N D E S H A B I L I T A T I O N S ..............................................................................31 8 . 2 . 1 . C R E A T I O N A L E M B A U C H E ..................................................................................31 8 . 2 . 2 . G E S T I O N D E S D E M A N D E S ..................................................................................32 8 . 2 . 3 . G E S T I O N D E S P R I V I L E G E S .................................................................................32 8 . 2 . 4 . G E S T I O N D E S M O T S D E P A S S E .........................................................................32 8 . 2 . 5 . V E R I F I C A T I O N ......................................................................................................32 8 . 3 . O B L I G A T I O N D E S U T I L I S A T E U R S ..........................................................................33 8 . 3 . 1 . S E C U R I T E D E S M O T S D E P A S S E .......................................................................33 8 . 3 . 2 . P O S T E D E T R A V A I L .............................................................................................33 8 . 4 . C O N T R O L E D A C C E S A U R E S E A U .........................................................................33 8 . 4 . 1 . A D M I N I S T R A T I O N D E S E Q U I P E M E N T S R E S E A U X .............................................34 8 . 4 . 2 . A U T H E N T I F I C A T I O N R E N F O R C E E D A N S L E C A D R E D E L H E B E R G E M E N T D E D O N N E E S D E S A N T E A C A R A C T E R E P E R S O N N E L ............................................................35 8 . 5 . C O N T R O L E D A C C E S A U S Y S T E M E .......................................................................35 8 . 5 . 1 . A D M I N I S T R A T I O N D E S M O T S D E P A S S E ...........................................................35 8 . 6 . C O N T R O L E D A C C E S A U X A P P L I C A T I O N S ...........................................................35 8 . 7 . D E T E C T I O N , A N A L Y S E E T T R A I T E M E N T D E S I N C I D E N T S D E S E C U R I T E .........36 8 . 7 . 1 . V E N E M E N T S J O U R N A L I S E S ..............................................................................37 8 . 7 . 2 . A L A R M E S E T T A B L E A U X D E B O R D D E S E C U R I T E ............................................37 8 . 7 . 3 . A U D I T E T D R O I T D A C C E S ..................................................................................38 8 . 7 . 4 . S T O C K A G E E T P R O T E C T I O N D E S E V E N E M E N T S D E S E C U R I T E .....................38 8 . 8 . P R O T E C T I O N D E S S Y S T E M E S E T D E S R E S E A U X ................................................38 8 . 8 . 1 . S E R V E U R S ............................................................................................................38 8 . 8 . 1 . 1 . P R E C A U T I O N D I N S T A L L A T I O N .......................................................................38 8 . 8 . 1 . 2 . P A R A M E T R A G E D U S Y S T E M E ..........................................................................39 8 . 8 . 1 . 3 . P A R T A G E D E S R E S S O U R C E S ..........................................................................39 8 . 8 . 2 . P O S T E D E T R A V A I L .............................................................................................39 8 . 8 . 2 . 1 . P R E C A U T I O N A L I N S T A L L A T I O N ....................................................................40 8 . 8 . 2 . 2 . P A R A M E T R A G E D U S Y S T E M E ..........................................................................40 8 . 8 . 3 . Q U I P E M E N T S R E S E A U X ....................................................................................40 8 . 9 . U T I L I S A T I O N D E M O Y E N S C R Y P T O G R A P H I Q U E S ................................................41

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 5 / 47

    8 . 9 . 1 . P R I N C I P E S A P P L I C A B L E S ...................................................................................41 8 . 9 . 2 . C H I F F R E M E N T ......................................................................................................41 8 . 9 . 3 . G E S T I O N D E S C L E S ............................................................................................41

    9 . D E R O G A T I O N .......................................................................................................... 42

    1 0 . C O N F O R M I T E .......................................................................................................... 43

    1 0 . 1 . D R O I T S D A U T E U R ..............................................................................................43 1 0 . 2 . D E C L A R A T I O N A L A C N I L ..................................................................................43 1 0 . 3 . F R A U D E I N F O R M A T I Q U E .....................................................................................44 1 0 . 4 . M A N Q U E M E N T A L A S E C U R I T E D U S Y S T E M E D I N F O R M A T I O N ......................44 1 0 . 5 . O B L I G A T I O N D E C O N F I D E N T I A L I T E ...................................................................44 1 0 . 6 . C A D R E L E G A L P O U R L U T I L I S A T I O N D E L A C R Y P T O L O G I E ...........................45 1 0 . 7 . C O D E D E C O N D U I T E D E L A U D I T E U R ................................................................46 1 0 . 7 . 1 . O B L I G A T I O N D E C O N F I D E N T I A L I T E ...............................................................46 1 0 . 7 . 2 . L I M I T E D E L A U D I T ...........................................................................................46 1 0 . 7 . 3 . M O D E O P E R A T O I R E .........................................................................................46 1 0 . 7 . 4 . C O N S E R V A T I O N D E L I N F O R M A T I O N .............................................................47 1 0 . 7 . 5 . C O M M U N I C A T I O N .............................................................................................47

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 6 / 47

    1. Politique particulire de scurit de lhbergement de donnes de sant caractre personnel

    1.1. Contexte

    La scurit et la confidentialit sont une contrainte forte et une condition de succs de lhbergement de donnes de sant caractre personnel. Les objectifs de scurit dcoulent, d'une part, directement des contraintes, notamment rglementaires, qui incombent lhbergement de donnes de sant caractre personnel et, d'autre part, des risques couvrir tels qu'ils dcoulent d'une analyse de risque mene, suivant la mthodologie EBIOS, sur l'ensemble du systme dhbergement de donnes de sant caractre personnel. La Politique Particulire de Scurit de lhbergement de donnes de sant caractre personnel est structure autour de trois critres fondamentaux :

    La confidentialit : laptitude du systme rserver laccs aux informations aux seules personnes ayant les connatre ;

    La disponibilit : laptitude du systme tre accessible et utilisable lorsque cela est requis par les acteurs autoriss ;

    Lintgrit : laptitude du systme demeurer intact, non corrompu et sans altration. Ce critre est aussi tendu laptitude fournir la preuve de cette intgrit (traabilit, authenticit de lmetteur et du contenu).

    Les informations ou ressources du SI protger ne concernent pas seulement les informations attaches lhbergement de donnes de sant caractre personnel mais aussi :

    Les environnements et donnes de configuration et de paramtrage des systmes et rseaux, ainsi que toutes donnes relatives lhabilitation des utilisateurs ;

    Les environnements et donnes dexploitation ou dadministration des systmes et rseaux ainsi que toutes donnes relatives lhabilitation des exploitants et administrateurs ;

    Les composants organisationnels, matriels et logiciels participant la scurit du Systme dInformation.

    1.2. Les rfrences uti l ises

    Les exigences de scurit dveloppes dans ce document et qui traduisent la Politique Particulire de Scurit de lhbergement de donnes de sant caractre personnel sappuient en particulier sur :

    la norme ISO27001:2005, ISO27002 et ISO 27799

    le rfrentiel scurit de lhbergeur,

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 7 / 47

    Loi 78.17 du 06 janvier 1978 relative l'informatique, aux fichiers et aux liberts, et dispositions d'application associes ;

    Loi 91.646 du 10 juillet 1991 relative au secret des correspondances mises par la voie des tlcommunications ;

    Dcret 2007- 960 du 15 mai 2007 relatif la confidentialit des informations mdicales ;

    Dcret n2006-6 du 4 janvier 2006 dfinissant les conditions dagrment des hbergeurs de donnes de sant caractre personnel ;

    loi du 4 mars 2002 relative aux droits des malades et la qualit du systme de sant, et notamment larticle L1111-8 du Code de la sant publique relative lhbergement de donnes de sant ;

    Article L1110-4 relatif au droit au respect de la vie prive et au secret des informations des patients ;

    Loi du 13 aot 2004 portant cration du Dossier Mdical Personnel, notamment au travers de larticle L161-36-1 ;

    Loi 85.660 du 3 juillet 1985 sur la protection des logiciels ;

    Loi 92.597 du 1er juillet 1992 relative la partie lgislative du Code de la proprit intellectuelle ;

    Loi 94.361 du 10 mai 19941985 sur la protection des logiciels ;

    Articles 323-1 323-7 du nouveau code pnal, relatifs la fraude informatique.

    1.3. Domaine dappl ication

    Ce document prescriptif sapplique lorganisation, au pilotage, ladministration, lexploitation, lutilisation, lvolution, au maintien en condition oprationnelle et au retrait dexploitation pour lensemble des ressources informatiques de lhbergement de donnes de sant caractre personnel. Le Systme dInformation, objet de la Politique Particulire de Scurit de lhbergement de donnes de sant caractre personnel, comprend les matriels informatiques, les logiciels, les algorithmes et les spcifications internes, la documentation, les moyens de transmission, les procdures et les paramtres de contrle de la scurit, les donnes et les informations qui sont collectes, gardes, traites, recherches ou transmises par ces moyens et lorganisation des ressources humaines les mettant en uvre. Ce document constitue la base de la scurit de lensemble des ressources informatiques de lhbergement de donnes de sant caractre personnel.

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 8 / 47

    2. Terminologie

    ADMINISTRATION Dsigne lensemble des oprations quotidiennes raliser sur une application (ou un progiciel) ou un quipement pour quelle rende le service voulu lutilisateur (exemple : installation, paramtrage et optimisation des systmes).

    COSEC Dsigne le Comit de Pilotage de la Scurit compos de la Direction mdicale, de la Direction de lHbergement et du RSSI.

    DI Demande dintervention

    Dsigne le processus de lancement, la demande dun utilisateur, de tches conscutives une dfaillance ou un incident, destines recouvrer lintgrit du service attendu.

    DICA

    Disponibilit, Intgrit, Confidentialit, Auditabilit, les quatre piliers de la scurit.

    DEPLOIEMENT Au sein des activits dexploitation, le dploiement dsigne plus particulirement la validation et la diffusion de tous les logiciels et applications ainsi que leur mise jour, sur les postes de travail et les serveurs.

    DH Direction Hbergement.

    DONNEES SENSIBLES Dans le Systme dInformation les donnes sont classifies.

    DM Direction Mdicale (Mdecin responsable hbergeur).

    DMP Dossier Mdical Personnel.

    EXPLOITATION Dsigne lensemble des oprations quotidiennes raliser sur les machines (serveurs, postes de travail) et les systmes dexploitation (OS) afin que les quipements rendent le service attendu. A ces oprations, sajoutent des actions de diagnostic dincident sur les composants objets de lexploitation.

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 9 / 47

    JOURNAUX DAUDIT Dsigne les moyens permettent, soit manuellement, soit de faon automatise, de recueillir les informations en provenance des diffrents composants du systme quips des outils de traage ad hoc (journaux, traces diverses) afin de vrifier que les oprations sont ralises conformment aux rgles en vigueur et de dtecter les tentatives dactions illicites.

    MAINTENANCE LOGICIELLE

    Dsigne les actions permettant de prendre en compte de petites volutions logicielles. A titre dexemple, lapplication de correctifs mineurs entre dans cette catgorie.

    MAINTENANCE MATERIELLE

    Dsigne les actions permettant de diagnostiquer une dfaillance du matriel, et de remettre celui-ci en service : remplacement dun composant matriel, action de maintenance prventive, escalade.

    PLAV Plan de Lutte Antivirus

    RFC

    Request for Change

    Dsigne le processus de gestion du changement, la demande dune personne habilite, de tches planifies destines amliorer un service attendu et/ou ayant un impact sur les cots et/ou la scurit.

    RSSI Responsable de la Scurit du Systme dInformation

    SI Systme dInformation

    SUPERVISION

    Dsigne les actions permettant de visualiser les composants actifs et les flux dinformations, et de collecter des vnements paramtrs intressant la disponibilit, la prvention, la dtection et le diagnostic des anomalies ou encore la scurit du systme.

    UTILISATEURS Il s'agit des diffrentes catgories de personnes ayant un rle vis--vis de la plateforme dhbergement de donnes de sant caractre personnel.

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 10 / 47

    3. Organisation de la scurit

    3.1. Pilotage, mise en uvre et contrle

    3 . 1 .1 . R l es e t responsabi l i t s

    Le RSSI, dfinit la politique de scurit et de confidentialit et veille son application. Il a la responsabilit de la scurit, sur le primtre de lhbergement de donnes de sant caractre personnel. A ce titre, le RSSI est garant de lefficacit des mesures mises en uvre y compris du contrle daccs aux locaux. Pour ce faire, il sappuie sur :

    La direction de lhbergeur pour solliciter les budget des moyens mettre en uvre.

    Les Services Gnraux pour mettre en uvre les moyens de scurit physique.

    Le Responsable des oprations informatiques et ses quipes en charge de la mise en uvre pratique des fonctions de scurit.

    Le Responsable de lexploitation informatique et ses quipes. Le Directeur Mdical pour laudit des donnes de sant.

    Politique du SMSI

    Les rles et fonctions sont dfinis dans le document Nomenclature mtier

    Organigramme de lhbergeur de donnes de sant caractre personnel

    3 . 1 .2 . Revues e t audi t s

    Le RSSI mne une revue rgulire de conformit permettant de valider lapplication des mesures, solutions et procdures de scurit. Les conclusions de cette revue saccompagnent de recommandations pour atteindre le niveau de scurit souhaitable et corriger les dysfonctionnements et vulnrabilits ventuelles. Lorsque des failles de scurit graves ont t mises jour, le RSSI vrifie que les dlais fixs pour engager des actions correctives sont adapts la menace. Il contrle, si ncessaire la pertinence et la bonne application des mesures mises en uvre.

    Pour chaque volution majeure su SI, le RSSI est consult pour valider par analyse de risque ou audit le changement.

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 11 / 47

    3.2. Rgles appl icables aux t ierces part ies

    3 . 2 .1 . T i er ces par t ies

    Le terme de tierce partie lhbergement de donnes de sant caractre personnel distingue les catgories suivantes :

    Consultant, prestataire, appui,

    Fournisseur de biens matriels ou logiciels,

    Tiers mainteneur,

    Partenaire technique ou commercial.

    3 . 2 .2 . Obl i ga t i ons communes

    Lhbergeur de donnes de sant caractre personnel sappuie sur une procdure de gestion des fournisseurs et de la sous-traitance, qui permet dvaluer, de slectionner et de grer efficacement les fournisseurs en fonction de leur aptitude fournir un produit ou un service conforme aux exigences de lentreprise. La procdure prvoit une tude des risques avant dtablir un contrat avec un sous-traitant afin de garantir la prennit de lentreprise sous traitante. Ce contrat stipule la dure de la mission, le travail et la qualit de ce qui doit tre livr en fin de mission ainsi que les clauses contractuelles, les obligations de confidentialit et de respect des consignes de scurit sous peine de sanction. Ce contrat est paraph par les deux parties prenantes, savoir lhbergeur de donnes de sant caractre personnel et la socit prestataire. La charte dapplication et le guide de la scurit de linformation sont applicables aux Tiers accdant aux informations, au mme titre que le personnel de lhbergeur de donnes de sant caractre personnel.

    Charte de scurit et guide de scurit de linformation

    Procdure de Gestion de la sous-traitance

    3 . 2 .3 . Obl i ga t i ons re l a t ives aux in t er venan ts sur s i te

    Laccs aux locaux, aux btiments et aux sites est soumis lautorisation du RSSI du site concern. Des badges Prestataire avec des accs standards sont dlivrs aux prestataires. Ces badges sont limits dans le temps correspondant la dure prvue de la mission.

    Des badges temporaires sont remis au personnel technique des fournisseurs en intervention rgulire, aprs avoir t dment identifi par laccueil ou par les oprateurs de la salle dactivit, contre remise dune pice didentit.

    Les livreurs nont quun accs limit au portillon du service de livraison.

    Laccs certains locaux, en particulier les locaux dans lesquels sont manipules des donnes sensibles, est soumis habilitation / autorisation spcifique.

    Procdure dAccs Prestataires au Datacenter

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 12 / 47

    4. Identification et gestion des informations et des biens

    4.1. Responsabil i ts relat ives aux biens

    Lapplication des rgles de protection des ressources et informations est sous lautorit des responsables de service. Ils se font assister dans cette mission par le RSSI.

    4.2. Classif ication des informations

    En termes de confidentialit, lhbergeur de donnes de sant caractre personnel qualifie la sensibilit de linformation selon trois niveaux :

    Public, ce niveau correspond aux informations accessibles au public,

    Interne, ce niveau est le niveau par dfaut de toutes les informations relatives lhbergement de donnes de sant caractre personnel,

    Confidentiel, ce niveau sapplique aux donnes mdicales, aux donnes dadministration, aux identits des patients, des donnes personnelles, ...

    Guide de scurit de l'information : Classification de l'information

    Dans le domaine li la diffusion de linformation, seules les informations de niveau Confidentiel ncessitent une protection adapter en fonction de lenvironnement de linformation. Toute information a un propritaire qui doit en dfinir la sensibilit. Toute information publie doit faire lobjet dune classification pour rglementer sa diffusion. Tout propritaire doit classifier les documents quil est amen publier, de manire dterminer les personnes qui ont le droit den connatre. Tout utilisateur dinformations sensibles doit leur appliquer les rgles de scurit adquates, de mme quil doit respecter ces mmes rgles pour tous les documents auxquels il a accs dans le cadre de ses fonctions.

    Il est de la responsabilit du propritaire de :

    s'assurer que l'information est classe au bon niveau de sensibilit (confidentielle, interne, publique); par exemple, en l'inscrivant sur tous les documents ou supports contenant des donnes sensibles,

    dfinir la liste les personnes autorises accder ou modifier une information confidentielle et de le mentionner ces personnes,

    s'assurer que l'information est stocke dans un endroit accessible aux seules personnes autorises (en lecture ou en criture),

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 13 / 47

    de mentionner la proprit intellectuelle sur l'information et les ventuelles dispositions spcifiques dfinies par son propritaire lgal (classification, utilisation, diffusion...),

    de s'assurer que la d-classification, l'archivage et la destruction de l'information sont grs de manire approprie.

    Guide de scurit de l'information : Responsabilit du "propritaire" de l'information

    4.3. Gestion des biens matriels et logiciels

    Les biens matriels (quipements informatiques et tlcoms) de lHbergement de donnes de sant caractre personnel, et de leurs clients sont identifis (tiquetage individuel) et grs sous la responsabilit de leur propritaire. La sortie dquipements du site nest possible que dans le cadre de procdures appropries sous lautorit du Directeur Informatique et du RSSI.

    Procdure de sortie de matriel

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 14 / 47

    5. Scurit lie aux comportements des personnes

    On distingue 4 catgories de personnes :

    les managers et personnel dencadrement, les agents et tierces parties utilisant linformatique dans le cadre de leur

    mtier,

    les administrateurs en charge de la scurit des systmes dinformation, ncessitant une formation spcialise,

    les clients (utilisateur final) La Politique Particulire de Scurit de lHbergement de donnes de sant caractre personnel, ainsi que les chartes dutilisation des moyens informatiques de lhbergeur sappliquent tous les utilisateurs, sur les sites de lhbergeur.

    5.1. Responsabil i ts

    Lutilisateur a lobligation de respecter lensemble des rgles de scurit de lhbergeur. Lutilisateur est tenu de signaler toute dfaillance ou tout manquement vis--vis des rgles de scurit dont il aurait connaissance ou auquel il serait incit. Chaque utilisateur est responsable vis--vis de lhbergeur de l'usage des ressources informatiques de lHbergement de donnes de sant caractre personnel fait avec ses droits d'accs. Chaque utilisateur doit donc :

    observer des mesures individuelles de protection,

    grer ses moyens daccs (cartes puces, codes pins, mots de passe), se dconnecter du rseau, ou passer en cran de veille avec mot de passe,

    ds qu'il s'loigne de son poste,

    prvenir dans les meilleurs dlais l'administrateur de toute anomalie constate quant leur utilisation ou envoyer un message au RSSI qui escaladera si ncessaire au niveau suprieur,

    respecter les consignes de scurit qui lui sont communiques par sa hirarchie et le RSSI.

    En cas de non-respect de ses obligations en matire de scurit, la responsabilit pnale de lutilisateur peut tre engage. En cas daccs aux ressources informatiques au moyen dun dispositif dauthentification renforce, le couple, authentificateur plus code secret, remis l'utilisateur est strictement personnel et incessible. Tout accs ralis grce un dispositif dauthentification renforc sera rput l'avoir t par l'utilisateur. Lutilisateur est tenu de prserver le caractre secret du code.

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 15 / 47

    5.2. Obligation de confidential i t

    Les donnes contenues dans lHbergement de donnes de sant caractre personnel sont strictement couvertes par le secret professionnel. En cas de non-respect de ses obligations en matire de confidentialit, la responsabilit pnale de lutilisateur peut-tre engag (article 226-13 du code pnal). Conformment larticle 29 de la loi du 6 janvier 1978 relative linformation, aux fichiers et aux Liberts, lhbergeur sengage prendre toutes les mesures ncessaires afin de prserver la confidentialit des informations et notamment dempcher quelles soient consultes, utilises ou communiques des personnes non autorises. Lhbergeur sengage donc respecter et faire respecter par son personnel le secret professionnel. La politique de confidentialit, son application et son contrle sont confis au RSSI. La direction des ressources humaines de lhbergeur est charge de :

    Dfinir les missions et pouvoirs des utilisateurs et des ventuels sous-traitants;

    Faire signer une clause de confidentialit par lensemble du personnel et des ventuels fournisseurs et sous-traitants ;

    Le RSSI est charg de :

    Informer et former les utilisateurs aux obligations en matire de confidentialit et aux mesures de protection du secret professionnel ;

    Procder des contrles rguliers pour vrifier le respect des obligations en matire de confidentialit, et apporter les modifications ncessaires aux mesures de protection du secret professionnel en cas de dfaillance.

    LHbergement de donnes de sant caractre personnel est tenu dans le respect du secret mdical. Seul le directeur mdical de lhbergeur, tenu au respect du secret mdical, a un droit daccs aux donnes mdicales.

    Charte dutilisation du SI

    Charte dontologique

    5.3. Formation et sensibi l isation

    La formation et la sensibilisation visent faire prendre conscience chaque utilisateur quil dtient une part importante de responsabilit dans le maintien des objectifs de scurit de lhbergeur et de ses clients.

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 16 / 47

    Le RSSI engage des actions rgulire de communication et de sensibilisation sur la scurit. Lors de la mise en exploitation ou de la refonte dune application impliquant laccs des informations sensibles, le RSSI sensibilise le personnel aux risques et prescrit les gestes et comportements de scurit ncessaires.

    De plus, le service de formation de lhbergeur permet dassurer la formation des collaborateurs sur lutilisation des technologies, des processus, et tout autre dispositif constituant le systme dinformation utilis pour lHbergement de donnes de sant caractre personnel

    5.4. Avant le recrutement

    Tout le personnel de lhbergeur suit le mme circuit de recrutement quel que soit le type de son contrat de travail (CDI, CDD, Intrim, Stage, ). Le personnel temporaire suit donc le mme processus de recrutement que le personnel dfinitif. Afin dapprcier les informations donnes par le futur salari, une prise de contact peut tre effectue auprs de ses anciens employeurs. Les responsabilits relatives entre autre la scurit sont abordes au moment du recrutement. Une clause de confidentialit est incluse dans les contrats de travail de lhbergeur concernant les responsabilits en matire de scurit dans leurs fonctions ainsi que des clauses de confidentialit par rapport aux donnes clientes. Au niveau prestataires, stagiaires ou filiales, une clause de confidentialit est dfinie dans le contrat liant la socit externe et lhbergeur. De plus une mme clause lie le collaborateur extrieur sa socit dans son ordre de mission. De plus la charte de scurit de linformation est annexe tous les contrat de travail et signe par le collaborateur.

    5.5. Pendant la dure du contrat

    Il incombe au responsable hirarchique du collaborateur de rappeler et de sassurer du respect des consignes de scurit. Une clause de chaque contrat de travail attire lattention sur lutilisation professionnelle des moyens mis disposition. Il est mentionn dans le rglement intrieur et dans la charte informatique que lusage des outils mis disposition du salari doit tre limit un usage professionnel. Seul un usage priv raisonnable, modr ou en situations urgentes est autoris. Une responsabilisation forte sur les rgles de scurit est faite selon les besoins ou les structures. Une charte et un guide de scurit de l'information sont en vigueur. Ils sappliquent tous les salaris de lhbergeur utilisant les ressources informatiques. Ils ont t mis en place pour informer les utilisateurs du cadre dfinissant lutilisation des SI (procdures utilises pour le signalement des incidents, incitation forte au signalement dincidents constats par ces utilisateurs, sanctions lencontre des

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 17 / 47

    employs coupables dinfraction la scurit, ) et pour fixer les droits et devoirs des administrateurs du systme dinformation. Cette Charte dutilisation du systme informatique et daccs aux services Internet est accessible par tous les utilisateurs salaris du rseau au quotidien sur lintranet.

    Charte dutilisation du SI

    Rglement intrieur

    5.6. Fin ou modif ication de contrat

    Lors de la modification de contrat incluant un changement de fonction et de responsabilit, le salari aura, la demande de la hirarchie, des droits daccs diffrents, en rapport avec les modifications apportes son contrat de travail, lui seront attribus, ainsi que la restitution et/ou le prt de biens servant la ralisation de ses nouvelles fonctions. Lors de la fin de contrat dun salari, il lui est demand de restituer les biens qui lui ont t confis pour lexercice de ses fonctions. Ses droits daccs physiques et logiques seront supprims et son compte sera dsactiv rception du fichier hebdomadaire des sorties fournit par les ressources humaines ou la demande de la hirarchie.

    Guide de la scurit de l'information : Inventaire et restitution des quipements individuels et des informations

    5.7. Traitement des incidents et non conformits

    Afin de minimiser les impacts des incidents et des dfauts de scurit, lhbergeur a mis en place des procdures favorisant la ractivit. Ainsi, une surveillance des quipements et des traitements critiques est assure 24h/24 et 7j/7, permettant une dtection et donc une prise en compte rapide des incidents.

    Pendant les heures ouvres, les utilisateurs ont pour consigne dalerter le support informatique pour tout incident. Ce dernier est enregistr avec un degr de criticit dans un logiciel dincident afin den garder la traabilit. Lincident est classifi en Incident de scurit . Celui-ci est pris en compte, analys et escalad aux quipes comptentes si ncessaire jusqu rsolution complte de lincident.

    La communication est faite la direction mtier ou technique concerne.

    En heures non ouvres, une quipe dastreinte peut tre appele de jour comme de nuit en cas dincident par les oprateurs 24h/24, 7j/7.

    En cas dincident de scurit concernant les dispositifs physiques, les Services Gnraux sont alerts ds lincident ou le dfaut de scurit constat.

    Pour tout incident ou dfaut constat, le collaborateur se doit dalerter un responsable hirarchique et lquipe comptente. En aucun cas il ne doit tenter de solutionner lincident seul et sans communiquer.

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 18 / 47

    Tous les mois, les incidents sont revus en comit Scurit sous la responsabilit du RSSI afin den contrler le type et la nature. Ce qui permet, en cas didentification dincidents rcurrents, ou dont limpact est lev, de mettre des dispositifs de contrles renforcs ou supplmentaires, llaboration dun plan daction aprs analyse du risque. Des indicateurs relatifs au suivi de la scurit alimenteront un tableau de bord. Ces indicateurs concerneront en particulier les infections virales, les non-conformits, les attaques et toute autre tentative daccs illicite aux ressources informatiques.

    5 . 7 .1 . Ac t i ons cor rect i ves

    Des actions correctives, si possible dfinitives, sont systmatiquement recherches et suivies jusqu leur terme par le RSSI, la suite dincidents de scurit rptitifs ou srieux, de remontes dalertes, de vulnrabilits dtectes lors de la revue de conformit, ou lorsquelles font suite un retour dexprience.

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 19 / 47

    6. Scurit physique et environnementale

    6.1. Zones sensibles

    Les biens et informations sensibles sont protgs. Les mesures de protection techniques et organisationnelles mises en uvre garantissent que des intrusions physiques dans les zones contrles sont dtectables. Les zones contrles sont identifies et soumises des inspections rgulires de la part du RSSI. Bien que les agressions physiques ne puissent tre toutes empches, les moyens de protection physique offrent une rsistance effective aux intrusions physiques minima pour en ralentir la progression et permettre lalerte. Toute intrusion dans un local sensible gnre une alarme qui est remonte en salle de supervision qui en fonction de la gravit et de la nature de la menace peut entrainer un dplacement de la police.

    6 . 1 .1 . Accs phys ique du p r imt r e

    Chaque zone de bureaux ncessite un accs par badge habilit.

    Chaque btiment de lhbergeur se trouve sous vido surveillance, et conformment la loi informatique et libert n78-17, les enregistrements sont conservs un mois, et sont visibles sur demande auprs du service scurit.

    Chaque btiment est protg par une alarme anti-intrusion le soir (20h) jusqu'au lendemain matin (7h) pour les jours ouvrs et 24h/24 les week-ends. Les traces dalarme sont conserves en historique. Lalarme ne peut tre dsactive en cas de prsence dans le btiment, elle peut uniquement tre retarde par tranche de 45 minutes par les badges habilits.

    Tous les bureaux peuvent tre ferms cl la journe en cas dabsence. Le personnel dispose de rangements sous cl (caisson, armoire) dans son bureau afin dy classer les documents et matriels de travail confidentiels.

    Les bureaux avec des accs pompiers restent ouverts.

    Les locaux techniques (lectricit, tlcommunication, rseau, ) sont ferms cl ou contrls par badges.

    Les salles serveurs disposent de protections supplmentaires : contrle daccs double (badge et biomtrie), sas daccs, vido surveillance. De plus, tous les accs sont tracs. Ces traces ne sont accessibles qu un nombre restreint de personne.

    Elles sont supervises en permanence par les oprateurs.

    Descriptif technique du Data Center

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 20 / 47

    6.2. Gestion des badges daccs

    6 . 2 .1 . Cat gor ies de badges

    Les badges ont un accs modulable (accs au btiment par service).

    Chaque badge daccs est nominatif. Il comporte le logo de lhbergeur (pas le nom de la socit), la photo, le nom et le prnom du salari.

    Un numro de badge permet de rapprocher le cas chant le badge de son propritaire.

    Le badge doit tre port de faon visible lors des dplacements dans les locaux.

    Le mode dattribution des badges dpend de catgories :

    Salari en CDI : le badge na pas de date limite de validit (en dbut de contrat le salari a un badge temporaire pendant 1 5 jours le temps que son badge dfinitif soit gnr),

    Salari en CDD : le badge est limit dans le temps ( fin de contrat) et ne comporte pas lidentit du salari mais la mention TEMPORAIRE,

    Stagiaire : le badge est limit dans le temps ( fin de stage) et ne comporte pas lidentit du stagiaire mais la mention STAGIAIRE,

    Prestataire : le badge est limit dans le temps ( fin de prestation) et ne comporte pas lidentit du prestataire mais la mention PRESTATAIRE,

    Visiteurs : Les visiteurs nont pas de badge mais sont toujours accompagns dune personne interne lhbergeur. Cette personne aura la responsabilit du ou des visiteurs quelle accompagne.

    6 . 2 .2 . At t r ibut ions

    Les demandes de badges sont faites par le service du personnel lembauche dun collaborateur, ou larrive dun stagiaire, intrimaire ou prestataire.

    Toutes les demandes de badge sont stockes puis archives.

    Le badge est remis au salari accompagn dun document expliquant ses responsabilits.

    6 . 2 .3 . Modi f i ca t ion

    Par dfaut les badges sont crs pour des accs standards. Si le salari a besoin daccs plus large, son responsable hirarchique doit en faire la demande justifie aux services gnraux.

    6 . 2 .4 . Rvocat i on

    Les ressources humaines envoient une liste du personnel sortant quand il y a des mouvements. Dans le cas dun salari qui a dj quitt la socit le badge est rvoqu. Dans le cas dun salari dont la date de dpart est fixe, la priode de validit du badge est modifie.

    Les badges rvoqus, comportant la photo du salari, sont dtruits.

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 21 / 47

    En cas de vol de badge, celui-ci est immdiatement supprim. Un badge temporaire avec date de validit est fournit en attendant que le nouveau badge dfinitif soit gnr.

    En cas doubli de badge, la personne doit se rendre aux services gnraux afin davoir un badge temporaire valable une journe.

    Guide de scurit de l'information : Accs aux locaux

    Guide de scurit de l'information : Travail en zone scuris

    Guide de scurit de l'information - Annexe Administrateur : Travail en zone scurise

    6.3. Travai l dans les locaux scuriss

    Des procdures et des contrles renforcs sont exigibles par le RSSI pour accrotre la scurit des locaux sensibles. Des consignes, portes la connaissance du personnel par sa hirarchie et par le Data Center Manager, dterminent les conditions de travail dans les locaux scuriss :

    ne pas laisser seule une personne travaillant dans ces locaux pour des

    raisons de scurit du personnel ou compte tenu de la sensibilit des informations accessibles, dfaut dans le premier cas, obligation faite que la personne signale sa prsence ( son responsable hirarchique, au service scurit) de sorte quun contrle frquent assure que la vie de la personne isole nest pas en danger,

    maintenir systmatiquement ferms les locaux scuriss, mme provisoirement vacants,

    ne pas laisser seule une tierce partie dans un local scuris.

    Guide de scurit de l'information : Travail en zone scuris

    Guide de scurit de l'information - Annexe Administrateur : Travail en zone scurise

    Guide de scurit de l'information - Annexe Administrateur : Protection des systmes sensibles

    Procdure d'enrlement

    Procdure daccs des mainteneurs tiers

    6.4. Protection des quipements

    6 . 4 .1 . Ins ta l l a t ion e t pr ot ect ion des quipem ents .

    Le matriel est situ dans des salles dhbergement dont laccs est protg par un lecteur de badges et un appareil de reconnaissance biomtrique.

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 22 / 47

    Les autorisations daccs aux Data Center sont faites par formulaire papier sign du responsable de la ressource et transmise au Data Center Manager qui vrifie la demande et la signe conjointement avec le RSSI.

    Seul le Data Center Manager et le responsable scurit physique des Services Gnraux sont habilits enrler de nouveaux membres ou en supprimer.

    Une liste des personnes ayant accs aux salles dhbergement est tenue jour par le Data Center Manager. Cette liste est contrle priodiquement par le RSSI.

    Des camras enregistrent sur 7 jours les diffrents vnements : les passages (accs au btiment, accs la salle dhbergement) et prsence dans la salle sont enregistrs et gards pendant 1 mois.

    Aucune personne extrieure, ou ntant pas habilite accder aux salles dhbergement ne pourra entrer sans stre enregistre dans le registre des visites et sans tre accompagne par une personne ayant accs.

    En cas de visite de la salle par une personne extrieure (client ou prospect), une personne habilite fera senregistre les personnes extrieures sur le registre des visites tenu par les oprateurs, puis accompagnera ces personnes tout le long de la visite.

    Pour les Tiers mainteneurs, ils doivent senregistrer sur un registre, puis se faire accompagner par un oprateur le temps de leur intervention.

    Descriptif technique du Data Center

    Procdure d'enrlement

    Procdure daccs des mainteneurs tiers

    6 . 4 .1 . 1 . P rvent ion des r i sques natu re l s .

    Les mesures de protection contre l'incendie et les dgts des eaux sont prises plusieurs niveaux : prvention, dtection, confinement, extinction pour lincendie, et sauvegarde rsiduelle des biens. Des consignes au personnel de surveillance et des consignes gnrales diffuses tout le personnel indiquent la conduite tenir. Au niveau de lhbergement, le confinement du feu et des fumes est assur par la rsistance des matriaux au feu, le compartimentage du btiment, la configuration des ouvertures et par les mesures suivantes prises ds la confirmation de dtection : arrt de la climatisation, fermeture des clapets et des portes coupe-feu, coupure d'alimentation lectrique des machines. Les moyens de surveillance et de dtection sont centraliss vers une salle oprateur qui dispose de consignes claires et connues en cas dincident. Des boucles de dtection deau sont prsentes en faux plancher dans les salles informatiques, et notamment dans les bacs de rtention deau disposes sous les Units de Climatisation. La supervision se fait depuis la centrale dalarme en salle oprateur.

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 23 / 47

    6 . 4 .1 . 2 . Sur ve i l l ance par des moyens hum ains .

    Les dispositifs de surveillance par des moyens humains ont pour but de dtecter et dinterdire en permanence la prsence de personnel non autoris lintrieur du site. Ces dispositifs supposent la mise en uvre de moyens diffrents selon les priodes de la journe (heures ouvres ou non), tels que des moyens :

    statiques : filtrage lentre de ltablissement par les personnels daccueil aux heures ouvres, aux heures non ouvres la surveillance se fait via supervision des camras par les oprateurs,

    mobiles : rondes dun maitre chien, effectues essentiellement en dehors des heures de travail et permettant de surveiller lintgrit du site et des zones sensibles,

    dintervention : internes ou externes (police, etc.).

    Le personnel assurant la surveillance est en nombre suffisant pour effectuer en toutes circonstances les surveillances et rondes ncessaires, de jour comme de nuit. Les surveillants appels se dplacer seuls sur un site sont quips dun matriel de communication.

    6 . 4 .2 . Condi t i onnem ent l ec t r ique e t c l ima t ique

    Les mesures dcrites au prsent chapitre sappliquent au site dhbergement.

    Descriptif technique du Data Center

    6 . 4 .2 . 1 . C l imat i sa t i on

    La fiabilit du systme dinformation ne peut se concevoir sans un contrle rigoureux des conditions ambiantes dans lesquelles il est plac. La chaleur, lhumidit, la poussire, les carts de temprature nuisent au bon fonctionnement des quipements. Les climatiseurs sont quips dune rgulation de type numrique garantissant ladquation aux besoins de la zone concerne. Les moyens de surveillance et de dtection sont centraliss vers la salle oprateur. Un automate de contrle supervise les systmes de climatisation, et assure le dlestage de la climatisation de confort sur dfaillance ou surcharge et la retransmission des alarmes vers la salle oprateur. Lalimentation des climatiseurs est du type Normal / Secours assur par les groupes lectrognes.

    6 . 4 .2 . 2 . nerg i e

    Les quipements tlcoms et informatiques, notamment les serveurs hbergeant les donnes requirent, pour leur bon fonctionnement, la mise en uvre de dispositifs dalimentation en nergie ayant un taux de disponibilit adapt aux exigences spcifiques dexploitation.

    Arrives de distribution lectrique redondes.

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 24 / 47

    Secours lectrique par des onduleurs redonds, des batteries et un groupe lectrogne.

    Chaque protection est relie la console GTB (Supervision lectrique)

    6 . 4 .3 . Scur i sa t i on du cb lage

    Les conduits utiliss pour les cbles rseau sont spars dau moins 30 cm des conduits utiliss pour les cbles lectriques en respect des normes en vigueur. Les cbles rseau pntrent directement en salle informatique depuis un rseau de conduits souterrains en double parcours indpendants passant sous la voirie.

    6 . 4 .4 . Ma i ntenance des qui pem ent s

    Lensemble des quipements informatiques et tlcoms fait lobjet dun contrat de maintenance. Les mesures suivantes sont prises pour la maintenance des quipements supportant des donnes sensibles :

    signature, par les socits titulaires des contrats de maintenance, dengagements de confidentialit nominatifs,

    avertissement de lhbergeur par le mainteneur, pralablement toute opration de maintenance sur site,

    accompagnement de tout personnel externe par lhbergeur pour les matriels placs dans une zone scurise,

    enregistrement des interventions de maintenance par lhbergeur (heure de dbut et de fin dintervention, matriel concern, motif de lintervention),

    respect des exigences de scurit en termes de recyclage, de mise au rebut et de destruction des mdias.

    Les exigences de scurit sont prises en compte dans les clauses contractuelles des contrats de maintenance sur site ou en atelier et approuves par lhbergeur.

    6 . 4 .5 . Mesures i nd i v idue l les de p rot ect i on

    Le contrle daccs au poste de travail est nominatif. Le poste de travail est protg par un mot de passe personnel (unicit didentit) soumis des rgles de construction et de premption. Le poste de travail revient automatiquement en mode protg aprs 10 minutes dinactivit. Le mode protg (cran de veille) ncessite la saisie dun mot de passe. Les rpertoires personnels en local et sur les serveurs de fichiers sont protgs. Lutilisateur est responsable des informations confidentielles quil cre ou utilise. Il est tenu de les protger. En fonction de leur sensibilit, il pourra les protger au moyen dun produit de chiffrement approuv par le RSSI.

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 25 / 47

    7. Gestion des systmes et rseaux

    7.1. Administration des systmes

    7 . 1 .1 . Procdur es d admin i s t r a t ion e t d exp l o i ta t i on .

    Lutilisation des comptes des systmes, des quipements rseau actifs et des comptes dadministration de bases de donnes ou dapplications est rglemente. Des procdures scurises rgissent les gestes dadministration et dexploitation sensibles. La liste des comptes sensibles est revue rgulirement lors daudit des comptes par le RSSI, au minimum une fois par an.

    7 . 1 .2 . Gest ion des changements

    Les changements matriels et logiciels sont grs en configuration. Les changements ou mises niveau sont prcds par une analyse dimpact, une tude de faisabilit du retour arrire et une sauvegarde des configurations matrielles et logicielles. Toute modification de linfrastructure du systme dinformation, au niveau applicatif, systme ou rseau (avec ou sans interruption de service) doit faire lobjet dune demande de changement. (Request For Change) Celle-ci sera soumise acceptation lors du CAB (Change Advisory Board).

    Les changements sont valids avant leur mise en uvre dans lenvironnement de pr-production avec un plan de tests.

    Procdure de gestion des changements et des mises en production

    7 . 1 .3 . Spar a t ion des r les

    Lhbergement est organis selon le principe de sparation des tches dadministration, dexploitation et de contrle scurit. Lattribution des comptes et des niveaux de droits se limite aux besoins de la fonction des diffrents acteurs.

    7 . 1 .4 . Spar a t ion des ac t i v i t s de dve loppement e t d explo i t a t ion

    Les activits de dveloppement et dexploitation sont spares. Des moyens techniques et organisationnels garantissent cette sparation.

    Organigramme de lhbergeur de donnes de sant caractre personnel

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 26 / 47

    7.2. Maintien en condit ion oprationnel

    7 . 2 .1 . Ma i nt ien de la d isponi b i l i t

    Les mesures propres minimiser lindisponibilit du SI, concernent en particulier le suivi des ressources consommes (espace mmoire, mdias, robots, charge rseau, puissance CPU, taux derreurs) et les tests fonctionnels avant mise en production (fonctions de scurit)

    Afin de rduire le risque de dfaillance des systmes, les quipements mis en place sont toujours plus performants que le besoin immdiat de manire anticiper les volutions futures.

    Les outils de supervision de linfrastructure permettent de dtecter les pics de charge et donc danticiper les ventuels goulets dtranglement.

    7 . 2 .2 . Mai nt ien de l in t gr i t

    7 . 2 .2 . 1 . Tr aabi l i t des ges tes d admin i s t r a t ion

    Toute action sensible excute partir dun compte dadministration est trace et est tout moment auditable.

    7 . 2 .2 . 2 . Tr aabi l i t des inc i dents

    Tout incident dadministration, de sauvegarde, de restauration ou de scurit est trac et fait lobjet dune dclaration. Tout accs non autoris une fonction dadministration ou dexploitation est trac, toute violation faisant lobjet dune remonte dalarme. Lhbergeur a en charge :

    lactivation des fonctions daudit (sur tous les serveurs et quipements rseaux qui le justifient),

    ldition des journaux daudit sur des machines diffrentes des machines audites,

    la mise en place de droits daccs restrictifs aux journaux daudit, lanalyse des vnements dont la surveillance lui est dlgue, la conservation des journaux daudit pendant une dure suprieure la

    frquence danalyse et darchivage, la conservation des archives.

    7.3. Lutte contre les virus et codes malvei l lants

    Les postes de travail et les serveurs sont munis dune protection permanente et jour contre les virus et les codes malveillants.

    Un antivirus est install sur chaque poste de travail et chaque serveur. Cet antivirus est gr par un serveur qui se met jour toutes les 4 heures, les serveurs de traitements donnes et les postes de travail interrogent ce serveur toutes les 10

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 27 / 47

    minutes pour tlcharger le cas chant une mise jour (politiques dexceptions et jeu de signatures antivirus ainsi que la liste de malwares rfrencs). Lantivirus de fichiers analyse tous les fichiers en temps rel sauf ceux prsents dans une liste dexception. Lantivirus de messagerie analyse tous les contenus. Lors de la connexion au rseau via un poste de travail quip de lantivirus, une mise jour est effectue si cela est ncessaire. Un systme anti spam permet de filtrer les spyware, virus et autres spam via la messagerie. La charte informatique donne la ligne de conduite sur lusage dinternet, de la messagerie et notamment des tlchargements de fichiers et de logiciels.

    Procdure de gestion des antivirus et filtre anti spam

    7 . 3 .1 . Tr a i t ement

    LExploitant a lobligation dalerter sans dlais sa hirarchie et le RSSI pour tout problme dinfection qui lui est soumis et de prendre toute mesure disolement ncessaire pour viter la propagation des infections virales.

    7 . 3 .2 . Repor t i ng

    Les messages dalerte sont stocks sur le poste utilisateur, les remontes dalertes dinfections sont gres par une quipe de surveillance grce des rapports du serveur antivirus. LExploitant a lobligation de remonter mensuellement au RSSI les statistiques concernant les infections enregistres et les virus radiqus sur les serveurs.

    7.4. Administration des rseaux

    7 . 4 .1 . Rseaux locaux

    Les procdures scurises dadministration, de supervision, dexploitation et de surveillance des rseaux locaux concernent notamment :

    la connectique (brassage, connexion, cartographie),

    la gestion du plan d'adressage,

    linstallation et la maintenance des quipements rseau et dispositifs de scurit associs,

    la supervision et la configuration des quipements sur les rseaux locaux,

    la supervision, la sauvegarde et la configuration des dispositifs de scurit associs,

    la gestion des sauvegardes et des supports,

    la surveillance du fonctionnement du rseau local et des dispositifs de scurit associs,

    la vrification des performances et des paramtrages scurit du rseau, selon les fonctionnalits offertes par les outils utiliss,

    la gestion des alertes et le dclenchement des actions correctrices,

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 28 / 47

    la gestion des scurits : comptes dadministration, accs distants (authentification renforce, filtres,..), pare-feux,

    la traabilit des interventions.

    Le SI de lhbergeur est compos de plusieurs zones (dlimites par des lments de scurit) ayant chacune une fonction diffrente (usage interne, serveurs connects Internet, applications clientes, ). Cela permet de diffrencier les flux et ainsi de mieux les canaliser, surveiller, analyser et protger.

    Les infrastructures de rseau local sont distinctes pour les usages internes (serveurs internes) et externes (serveurs clients). De faon plus gnrale, chaque fois que cela est possible, les ressources utilises pour les clients sont distinctes des ressources utilises en interne. Le principe est de pouvoir intervenir en maintenance sur les quipements internes sans faire aucune interruption de service pour les clients et aussi de sparer les ressources afin d'viter les effets de bord, c'est--dire viter toute influence des usages internes sur le service rendu au client.

    Afin de garantir la protection des informations transitant par le rseau, les interconnexions et accs aux ressources sont contrls par des firewalls et des sniffeurs . Ds qu'une attaque est dtecte, l'accs intress est automatiquement cltur. Ces firewalls assurent le contrle des flux entrant et sortant. Une tenue jour des ports ouverts et des droits daccs est faite priodiquement.

    Diffrents Firewalls filtrent et tracent les activits entre les diffrentes zones rseau. Chaque zone rseau ayant une fonction prcise, une analyse des traces permet de dtecter les intrusions (Trojan en interne, accs distants, interconnexions de rseaux, ).

    Quand un problme est dtect, une sonde est place sur le rseau lendroit le plus appropri pour complter linformation par une coute active du rseau (enregistrement du trafic).

    Des mails dalertes ou des indicateurs dans les consoles de supervision informent galement administrateurs des problmes survenus.

    7 . 4 .2 . Les accs d i s tants

    La mise en place dun antivirus est fortement prconise dans le cas de lutilisation de matriel personnel.

    La connexion au rseau de lhbergeur en mode tltravail reprend les droits similaires ceux dune connexion interne avec quelques privilges en moins (par exemple la connexion au domaine interne).

    Le mode tltravail nest utilis que pour le personnel dastreinte pour faciliter la couverture 24h/24.

    En cas daccs des donnes sensibles, un antivirus est exig.

    Procdure de gestion des accs distants

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 29 / 47

    7 . 4 .2 . 1 . Gest ion des dro i ts

    Dans le cas dinterconnexions ponctuelles (accs distants) les utilisateurs sauthentifient sur une base (Serveur didentit protg par des quipements de scurit filtrant) gre par les administrateurs de lhbergeur. Une fois cette tape dauthentification effectue, lutilisateur pntre sur le rseau sur une zone dlimite (il reste encore les authentifications sur les applications). Cette phase dauthentification est totalement transparente pour lutilisateur dans la mesure o il utilise une application intgre qui gre elle-mme lappel au SI, lauthentification sur le rseau et lauthentification sur le serveur dapplication. La cration des comptes daccs distants est dfinie dans un processus tabli.

    7 . 4 .2 . 2 . C l ients

    Les clients se raccordant lhbergement de donnes de sant caractre personnel depuis l'extrieur des sites de lhbergeur accdent au systme au travers de dispositifs dauthentification renforcs :

    carte CPS pour les professionnels de sant,

    certificat numrique pour les patients.

    7.5. Protection et manipulation des mdias

    7 . 5 .1 . D ispos i t ions gnr a les

    Lutilisation de mdias contenant des informations confidentielles fait lobjet de rgles daccs, de conservation et de destructions scurises. Ces rgles sappliquent notamment aux :

    documents papier et lectroniques,

    bandes magntiques, disques durs, optiques, DVD, CD-ROM, disquettes, cartouches et cassettes (informatiques, vido ou audio), cls USB.

    documents en sortie dimprimante et de tlcopieur.

    Procdure de gestion des supports de donnes

    7 . 5 .2 . P rot ect i on

    Des mesures de protection garantissent lintgrit, la disponibilit et la confidentialit des informations confidentielles. Les mesures de protection applicables aux informations confidentielles consistent notamment :

    limiter laccs aux informations aux personnes ayant besoin den connatre,

    mentionner la confidentialit des documents sur chaque page

    dchiqueter les brouillons ou les documents prims

    transmettre les documents et mdias confidentiels en main propre, sous enveloppe ferme par le courrier interne ou sous double enveloppe pour le courrier externe, la sensibilit des documents ou

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 30 / 47

    des mdias tant rappele si ncessaire dans la lettre daccompagnement

    proscrire la transmission totale ou partielle des documents confidentiels par tlcopie

    conserver les documents et mdias confidentiels dans des locaux protgs ou dans des coffres.

    7 . 5 .3 . Recyc lage e t mise au r ebut

    Une procdure de mise au rebut garantie que, les informations dtruites ne seront plus accessibles et que des objets nouvellement crs ne contiennent pas dinformations qui ne devraient pas tre accessibles. Les mdias susceptibles de contenir des informations confidentielles (disques durs, cartouches) sont dtruits physiquement et font lobjet dun procs verbal de destruction. Lchange standard de mdias non soumis destruction physique est conditionn lexcution dun formatage haute scurit rutilisation ou restitution, selon le cas. Un certificat de formatage haute scurit est exig. Le RSSI est responsable des modalits et des procdures de destruction et de stockage transitoire avant destruction des mdias qui lui sont confis du fait de son mtier

    Procdure de gestion des supports de donnes - Mise au rebut

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 31 / 47

    8. Contrle daccs

    La politique de contrle daccs sapplique lensemble des utilisateurs du systme de lhbergeur, quels que soient leurs profils ou privilges

    8 . 1 . Prof i l s e t r g l es d accs

    Les mesures de scurit appliques pour les profils et rgles daccs consistent notamment :

    octroyer et grer de faon centralise droits et privilges en dfinissant des groupes dutilisateurs (administrateurs, rdacteur, lecteur, ),

    dissocier les comptes administrateurs et autres comptes privilges des autres comptes.

    La politique gnrale est que :

    les utilisateurs ne doivent avoir de vue que sur les applications auxquelles ils ont besoin daccder,

    les donnes ne doivent tre accessibles que par les utilisateurs habilits.

    Pour cela il faut :

    s'assurer que l'information est classe au bon niveau de sensibilit (confidentielle, interne, public),

    dfinir la liste les personnes autorises accder ou modifier une information confidentielle et de le mentionner ces personnes,

    s'assurer que l'information est stocke dans un endroit accessible aux seules personnes autorises (en lecture ou en criture).

    Guide de scurit de l'information - Responsabilit du "propritaire" de l'information

    Guide de scurit de l'information - Annexe Administrateur : Accs aux systmes sensibles

    8 . 2 . Gest ion des habi l i t a t ions

    8 . 2 .1 . Crat ion l embauche

    Tous les nouveaux arrivants sont dclars dans le logiciel des Ressources Humaines (SIRH). Leur dclaration cr automatiquement une entre dans le rfrentiel une fois que lutilisateur est valid par la RH. La cration de compte daccs au SI est conditionne par la prsence dans le rfrentiel RH.

    Les Ressources Humaines sont le point central du processus. En effet, ds quune personne est embauche, les RH saisissent dans le logiciel SIRH le nom et prnom

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 32 / 47

    de la personne, son poste et sa fonction, et si ncessaire, une date de fin de contrat (exemple : CDD, prestataires, stagiaires...). Une fois ces informations saisies, une cration automatique est faite dans lActive Directory, et un mail est automatiquement envoy aux Services Gnraux pour la cration du badge daccs au btiment.

    8 . 2 .2 . Gest ion des dem andes

    Toute demande de modification/suppression/cration est formalise par une demande faite dans le SI Support. Les demandes de cration / modification / suppression des comptes utilisateurs relatives aux applications mtier, la messagerie, aux bases documentaires sont rglementes par des procdures et sont traites comme demandes de travaux. Les demandes de travaux visant faire voluer le Systme dinformation ou les Tlcoms sont obligatoirement valides par la Direction. Toute demande de travaux qui contrevient aux rgles dexploitation nominales de lhbergement de donnes de sant doit faire lobjet dune demande de drogation soumise au RSSI.

    Procdure de gestion des demandes daccs

    8 . 2 .3 . Gest ion des pr i v i l ges

    La politique de gestion des comptes privilgis ou sensibles consiste :

    Rglementer par des procdures et restreindre lutilisation des comptes privilgis (systme, rseau, SGBD, applications mtiers, gestion des mots de passe) en dissociant les rles.

    Faire tablir et maintenir jour par les quipes dexploitation la liste des comptes sensibles, des droits associs et des dtenteurs.

    Faire effectuer le contrle des groupes particulirement sensibles par le RSSI.

    Rappel : Les droits sur les comptes de service sont configurs au plus juste et revus priodiquement.

    8 . 2 .4 . Gest ion des m ots de passe

    Lhbergeur met en place et maintien une politique de gestion robuste des mots de passe en imposant des rgles de construction complexe et de mise jour minimales.

    8 . 2 .5 . Vr i f i ca t i on

    Dans le cadre de la revue rgulire de conformit, le RSSI vrifie que la politique de scurit relative aux rgles de construction et de mise jour des mots de passe et aux droits et privilges sur les serveurs et postes de travail des sites est bien applique.

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 33 / 47

    8 . 3 . Obl i ga t i on des u t i l i sa teur s

    8 . 3 .1 . Scur i t des m ots de passe

    Lauthentification de lutilisateur seffectue au moyen doutils (identification de lutilisateur + mot de passe) strictement personnels et incessibles. Lutilisateur est responsable de la gestion de ses mots de passe. Lutilisateur lobligation de :

    choisir des mots de passe complexes et difficiles trouver,

    prserver ses mots de passe contre toute diffusion intentionnelle ou accidentelle,

    modifier immdiatement les mots de passe temporaires prsents lors de linitialisation dun systme ou dun produit.

    De ne pas utiliser les 5 derniers mots de passe.

    8 . 3 .2 . Poste de t r ava i l

    Le contrle daccs aux postes de travail se fait par le biais dune authentification sur le domaine dauthentification (AD). Sans compte dans le domaine il nest pas possible daccder au rseau et au poste de travail.

    Procdure de Contrle daccs dun poste de travail

    Linstallation et lutilisation de logiciels dont les droits nont pas t acquis sont interdites. Lutilisation dun modem ou dune connexion Wifi externe sur un poste de travail est strictement interdite. Lutilisateur a obligation :

    de protger ses donnes rsidant sur son poste de travail par des sauvegardes rgulires sur les portails et espaces partags mis disposition,

    de ne pas dsactiver ou augmenter le dlai de basculement en cran de veille protg par le mot de passe daccs au systme,

    si ncessaire, dutiliser les outils de chiffrement qui seront approuvs par le RSSI pour prserver la confidentialit des donnes sensibles,

    8 . 4 . Cont r l e d accs au r seau

    Le principe de base de larchitecture du rseau de lhbergeur est quaucun flux externe (en provenance dInternet) ne peut pntrer le rseau directement. Cela se traduit par une architecture compose de plusieurs zones dlimites par de multiples lments de scurit (pour filtrer) et de relais (pour couper les flux). Chaque zone a un rle bien prcis (postes de travail, serveurs connects Internet, serveurs internes, serveurs utiliss par les clients, ).

    Les seuls accs depuis Internet autoriss sont :

    les flux de messagerie (SMTP) qui accdent des serveurs de messagerie relais sur une zone dlimite (DMZ),

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 34 / 47

    les flux pour serveurs WEB (HTTP/HTTPS) des applications WEB hberges qui accdent des relais WEB sur une zone dlimite (SMZ).

    Ces flux sont coups par des relais pour interdire toute connexion directe au rseau.

    Procdure architecture rseau

    Lhbergeur distingue deux types dinterconnexions :

    les interconnexions permanentes internes (VPN et liaison de type LS/RNIS),

    les interconnexions ponctuelles (accs distants) interne pour les collaborateurs de lhbergeur.

    Dans le cas dinterconnexions permanentes, le site est considr comme sr aprs un audit de mise en place. Les quipements dinterconnexions sont grs par les administrateurs de lhbergeur.

    Les quipements de scurit entre les utilisateurs et les applications filtrent les accs et ne les autorisent quaux seules applications ncessaires.

    Procdure architecture rseau

    Procdure de gestion des interconnexions

    Chaque ressource destine un usage interne (serveurs, postes de travail) se trouve dans la mme zone rseau. Les quipements de scurit filtrants permettent dinterdire tout flux externe cette zone dy entrer.

    La connexion dun quipement cette zone ncessite une procdure particulire. En effet chaque quipement rseau (commutateur) est verrouill pour ne pas accepter de nouveaux quipements sans intervention dun administrateur. Cette mesure permet de garantir quaucun poste de travail ne sera connect au rseau sans y tre autoris.

    Guide de scurit de linformation : Scurit des rseaux

    Guide de scurit de linformation : Paramtrage de la scurit

    Procdure architecture rseau

    8 . 4 .1 . Adm i n is t r a t ion des quipements rseaux

    La connexion aux quipements rseau des fins dadministration, de maintenance ou daudit ncessite obligatoirement lusage dun identifiant et dun mot de passe. Les mots de passe installs par dfaut sont systmatiquement changs, un mot de passe diffrent tant affect pour chaque mode de connexion. Les mots de passe non triviaux et de longueur minimale (8 caractres) sont changs minima :

    suite au dpart dun des administrateurs des quipements rseaux, suite la diffusion exceptionnelle de ceux-ci.

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 35 / 47

    Laccs partir de lextrieur par un tiers mainteneur nest pas autoris, sauf drogation. Les quipements actifs du rseau remontent automatiquement des alarmes vers les outils de supervision du rseau.

    8 . 4 .2 . Au t hent i f i ca t ion r enf or ce dans le cadr e d e l hber gem ent de donnes de san t ca ractr e per sonnel

    La scurit des comptes pour laccs au systme dhbergement de donnes de sant caractre personnel oprant distance est assure par des solutions dauthentification renforce.

    8 . 5 . Cont r l e d accs au sys t me

    8 . 5 .1 . Adm i n is t r a t ion des m ots de passe

    Les mots de passe des comptes administration, non triviaux, rgulirement changs, peuvent, si ncessaire, tre remis au RSSI par les administrateurs dans des enveloppes cachetes et conserves dans un coffre fort. Pour renforcer les stratgies des mots de passe, et dans la mesure o le systme le permet, la politique de gestion des mots de passe consiste :

    conserver lhistorique des mots de passe sur les derniers utiliss avec interdiction de les rutiliser,

    fixer 1 jour la dure de vie minimale des mots de passe,

    limiter 42 jours la dure de vie maximale des mots de passe,

    fixer la longueur minimale des mots de passe 8 caractres alphanumriques avec caractres spciaux,

    choisir des mots de passe difficiles dcouvrir ou non re-jouables et journaliser les tentatives de connexion infructueuses.

    8 . 6 . Cont r l e d accs aux appl ica t ions

    Le contrle daccs aux applications dpend du type dapplication :

    application WEB (sur Internet),

    application sur le rseau priv (interconnect),

    application en accs distant.

    Dans le cas dapplications WEB (sur Internet) lauthentification et lapplication en elle-mme sont cryptes par SSL car le rseau de transport utilis nest pas matris.

    Dans le cas dune application sur le rseau priv (interconnect) lauthentification est crypte. Le rseau est considr suffisamment matris pour ne pas crypter tout le flux applicatif.

    Le contrle daccs dans le cas daccs distant est gr dans lapplication elle-mme. En effet lapplication fonctionne en mode local et se connecte pour les synchronisations avec les serveurs. Lapplication est pr paramtre en fonction de

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 36 / 47

    lutilisateur qui ne doit saisir que son mot de passe. Les connexions au rseau puis au serveur applicatif sont intgres dans lapplication.

    Les applications ncessitent un renouvellement de mots de passe priodique et chaque compte se verrouille aprs plusieurs tentatives de connexion infructueuses. Ceci nest valable que sur les applications pouvant grer ces fonctionnalits.

    Pour les applications historiques ne grant pas le renouvellement automatique des mots de passe il est conseill aux utilisateurs de changer leur mot de passe rgulirement.

    Procdure de gestion des mots de passe

    Toute personne accdant aux applications doit pouvoir tre identifie individuellement. Lattribution de droits daccs fonctionnels et gographiques (strictement limits la dure de la mission) est lobjet dun contrle pralable par la hirarchie directe de la personne.

    8 . 7 . Dt ect i on , ana l yse e t t ra i t ement des inc idents de scur i t

    Auditer la scurit implique la reconnaissance, lenregistrement, le stockage et lanalyse dinformations associes des activits touchant la scurit. Les enregistrements daudit en rsultant doivent permettre de dterminer quelles activits touchant la scurit ont eu lieu et quelles personnes (utilisateurs) en sont responsables.

    Des outils danalyse rseau et de surveillance des applications et des systmes supervisent les liens et quipements rseau.

    Ces outils sont mis disposition de lquipe dexploitation assure la gestion de premier niveau des incidents. Cette quipe sappuie sur des mthodes, procdures et outils des diffrentes quipes (systmes, rseau, communication lectronique).

    En cas de difficult lquipe supervision fait appel lquipe concerne pour la rsolution de lincident.

    Les oprateurs reoivent sur les consoles de pilotage et de surveillance les diffrents messages danomalies.

    En fonction du type dincident, ils entreprennent les actions prvues dans les consignes en leur possession. Ces actions peuvent tre aussi diffrentes que la relance dun service, le reboot dun serveur, la mise en uvre dune procdure de restauration, lappel la maintenance constructeur, lappel la maintenance systme et rseau ou lappel lastreinte applicative.

    Guide de scurit de l'information : Signalement des incidents Procdure de gestion des incidents

    Les incidents sont reus par lquipe de support ddi par application ou domaine technique. Lincident ou la demande est enregistr et qualifi.

    Sil sagit dune demande de service, la procdure de demande est enclenche.

    Sinon lincident est transmis un support de niveau 2, compos dexperts techniques ou mtier selon le domaine, pour investigation et diagnostic. Au final une rsolution

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 37 / 47

    de lincident ou une mthode de contournement est communique par le support au demandeur et applique.

    Lincident ou la demande peut alors tre clos.

    En permanence le support suit lincident et sa rsolution, il communique avec le demandeur jusqu la clture.

    Guide de scurit de l'information - Annexe Administrateur : Gestion des incidents

    8 . 7 .1 . vnements jour na l i ss

    Chaque systme est synchronis sur la mme horloge (serveur de temps NTP) de sorte quune recherche dans les fichiers de trace soit rendue plus facile.

    Pour les systmes historiques, l'horloge est synchronise manuellement et de faon priodique sur le serveur de temps.

    Guide de scurit de l'information : Surveillance des rseaux et des systmes

    Guide de scurit de l'information - Annexe Administrateur : Historique de lutilisation du systme informatique

    Guide de scurit de l'information - Annexe Administrateur : Gestion et utilisation des traces

    Guide de scurit de l'information - Annexe Administrateur : Contrle et surveillance des actes dutilisation dInternet

    Procdure de gestion des logs Tout quipement sensible est lobjet dune journalisation centralise des vnements de scurit. Les journaux scurit sont aliments en permanence et analyss en temps rel par un corrlateur des vnements de scurit qui gnre des alarmes. Les moyens de journalisation permettent la dtection (en temps rel ou en diffr selon la gravit de latteinte potentielle ou avre) des vnements reprsentant une menace significative lencontre de lapplication de la Politique Particulire de Scurit de lhbergement des donnes de sant caractre personnel. Chaque enregistrement daudit comporte au minimum les informations suivantes :

    date et heure de lvnement, type dvnement, identit du sujet, identit de lhte, ainsi que le rsultat (succs ou chec) de lvnement,

    identit de lutilisateur qui est lorigine de lvnement, Les journaux daudit sont grs sans intervention des administrateurs. Les accs et la destruction de ces journaux sont audits.

    8 . 7 .2 . Al a rm es e t tab leaux de bor d de scur i t

    Des mesures de protection interdisent toutes autres personnes que celles habilites accder aux enregistrements daudit de scurit.

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 38 / 47

    Les incidents de scurit graves journaliss font lobjet dune alerte immdiate aux acteurs de la scurit : administrateurs systme ou rseau, au RSSI. Des procdures dcrivent les mesures prendre. Le tableau de bord des anomalies et incidents de scurit permet de :

    rendre compte au management sur le niveau et lactivit scurit du systme dhbergement des donnes de sant caractre personnel et de tracer son volution,

    Didentifier les domaines dans lesquels les actions devront tre renforces.

    8 . 7 .3 . Aud i t e t dro i t d accs

    Toute anomalie grave est signale directement au RSSI. Un audit des comptes non utiliss est effectu rgulirement. Aprs information, les comptes non utiliss sont ferms et les rpertoires archivs.

    8 . 7 .4 . S tockage e t prot ec t ion des vnements de scur i t

    Des mesures de scurit garantissent la confidentialit des enregistrements daudit et les prservent contre toute suppression non autorise tout en permettant de dtecter, et si possible dempcher, leur modification. Des mesures techniques et organisationnelles permettent de conserver la disponibilit, lintgrit et la confidentialit des mcanismes et enregistrements daudit en cas de dpassement de capacit ou de dfaillance des moyens de stockage des journaux, ou dattaque. Au cas o un journal daudit est proche de la saturation, un message alerte ladministrateur de sorte quil ait le temps suffisant pour assurer sa copie sur un support de sauvegarde. Si cette opration ne peut seffectuer suffisamment rapidement, les enregistrements daudit les plus anciens sont crass et lvnement est trac.

    8 . 8 . P rot ect i on des sys tmes e t des r seaux

    8 . 8 .1 . Ser veurs

    Lapplication rcurrente des patchs de scurit, lutilisation systmatique des moyens et fonctions de scurit propres aux systmes oprs et la journalisation permanente des vnements et actions sensibles participent la scurisation de tout serveur du systme dhbergement des donnes de sant caractre personnel.

    8 . 8 .1 . 1 . Prcaut ion d i ns t a l l a t i on

    La procdure dinstallation dun serveur est scurise, elle tient compte des derniers correctifs de scurit du constructeur, les services inutiles ne sont pas installs. La scurisation de linstallation seffectue notamment en :

    isolant la machine du rseau logiquement ou physiquement si possible,

  • Manuel Oprationnel de la Scurit du SI

    Version 1.0 39 / 47

    installant les correctifs de scurit et de prfrence la dern