Politique sur la sécurité de l’information

1. La politique de sécurité de l’information décrit les principes de base sur lesquels se fonde le PNUD pour protéger la confidentialité, l’intégrité et la disponibilité de ses données, pour classer et traiter les informations confidentielles et pour faire face aux violations de la présente politique.

2. Le système de gestion de la sécurité de l’information (ISMS) stipulé par la norme ISO 27001 exige un document complet de politique de sécurité de l’information couvrant tous les domaines de la sécurité de l’information et, étant donné la prévalence des techniques de traitement automatisé de l’information, notamment dans le domaine de la sécurité informatique. Le présent document satisfait à cette exigence.

3. La structure de la présente politique de sécurité de l’information suit celle des normes ISO/CEI 27001 et 27002 afin d’assurer une corrélation facile entre les exigences de la norme et les déclarations de politique connexes du PNUD. L’annexe ci-dessous détaille la relation entre le Plan stratégique du PNUD, la Stratégie de gestion de l’information du PNUD, la Politique de sécurité de l’information du PNUD et les normes subordonnées qui fournissent des orientations plus détaillées sur l’application des exigences de la Politique de sécurité de l’information.

But

4. La gestion de la sécurité de l’information est la sélection raisonnable et la mise en œuvre efficace de contrôles appropriés pour protéger les actifs informationnels essentiels de l’Organisation. Les processus de contrôle et de gestion, associés à la surveillance ultérieure de leur pertinence et de leur efficacité, constituent les deux principaux éléments du programme de sécurité de l’information. Les trois objectifs de la sécurité de l’information sont :

a) Confidentialitéb) Intégritéc) Disponibilité

5. Le point (i) de l’article 1.2 Statut et Règlement du personnel des Nations Unies stipule que les fonctionnaires doivent faire preuve de la plus absolue discrétion en ce qui concerne toutes les questions relevant des fonctions officielles. Ils ne doivent communiquer, à aucun gouvernement, entité, personne ou autre source, aucune information dont ils ont connaissance du fait de leur fonction officielle et dont ils savent ou auraient dû savoir qu’elle n’a pas été rendue publique, sauf dans l’exercice normal de leurs fonctions ou sur autorisation du Secrétaire général. Cette orientation est appuyée et mise en œuvre par la présente Politique.

6. La présente Politique définit les fondements de la protection de l’information, facilite la prise de décisions en matière de gestion de la sécurité et oriente les objectifs qui établissent, favorisent et assurent les meilleurs contrôles et la meilleure gestion de la sécurité de l’information dans l’environnement de travail du PNUD.

Portée

Page 1 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

7. La présente Politique décrit les grands principes de gestion qui guident le programme de sécurité de l’information en place au sein du PNUD. Elle s’applique à toutes les régions physiques sous le contrôle du PNUD. Dans le cas où d’autres politiques fonctionnelles spécifiques fixent des exigences plus strictes, elles ont la priorité dans ces domaines fonctionnels. La présente Politique de sécurité de l’information est examinée à intervalles réguliers par le Bureau des systèmes d’information et de la technologie informatique (OIMT)/Bureau des Services de Gestion (BMS) pour s’assurer qu’elle est toujours adaptée, adéquate et efficace.

8. Les normes de sécurité de l’information et les instructions de travail relatives à la sécurité de l’information sont subordonnées à la présente Politique et fournissent des détails plus précis sur sa mise en œuvre.

Objectifs

9. Établir l’orientation et l’engagement en matière de sécurité de l’information et veiller à ce qu’elle soit communiquée, appliquée et respectée dans l’ensemble de l’Organisation. En outre, élaborer et mettre en œuvre une architecture de sécurité de l’information, protéger les actifs informationnels contre toute perte ou utilisation abusive, et atténuer les risques de perte des finances, de productivité et de réputation pour le PNUD.

10. La Politique sur la sécurité de l’information consiste en une déclaration principale qui énonce la position sur la sécurité de l’information et définit trois principes de sécurité à partir desquels la présente Politique est élaborée, suivie de neuf Déclarations de politique connexes qui développent ces principes.

Principes

11. Le PNUD reconnaît que les données et les informations (qu’elles soient les siennes ou celles qui lui sont confiées) sont essentielles à sa capacité de remplir sa mission.

12. Le PNUD s’engage pleinement à protéger les informations et les environnements dans lesquels elles sont traitées, transmises et stockées, conformément aux principes de sécurité suivants :

a) Meilleures pratiques en matière de sécurité de l’informationb) La valeur ou le niveau de sensibilitéc) L’ensemble des lois, politiques, statuts, règlements et exigences contractuelles

applicables

13. Il incombe à tous les fonctionnaires du PNUD et aux autres personnes physiques ou morales autorisées d’exercer un contrôle approprié sur les informations dont ils ont la charge et de porter toute menace potentielle à la confidentialité, à l’intégrité ou à la disponibilité de ces informations à l’attention de la direction compétente. Des programmes de formation et de sensibilisation appropriés seront disponibles pour soutenir et renforcer cette responsabilité.

Page 2 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

14. Les déclarations de politique suivantes, structurées selon la norme ISO/CEI 27002, appuient la Déclaration des principes et définissent les exigences de conformité de la gestion de la politique de sécurité de l’information. Les déclarations portent sur les domaines suivants :

a) Gestion d’actifs

b) Sécurité des ressources humaines1*

c) Sécurité physique et de l’environnement

d) Gestion des communications et des opérations

e) Contrôle d’accès

f) Acquisition, développement et maintenance de systèmes d’information

g) Gestion des incidents liés à la sécurité de l’information

h) Gestion de la continuité des activités

i) Conformité

16. Le respect de la Politique et des normes de sécurité de l’information connexes est obligatoire pour tout le personnel et les autres personnes physiques ou morales autorisées, afin qu’elles soient intégrées aux procédures de travail pertinentes.

17. L’OIMT/BMS assurera un suivi périodique et le Bureau de l’audit et des enquêtes procédera à des audits périodiques des services du PNUD pour confirmer le respect de la présente Politique et des normes connexes.

Gestion d’actifs

18. Assurer et maintenir une protection et un contrôle appropriés des actifs informationnels du PNUD et veiller à ce que la responsabilité et la redevabilité de rendre compte de cette protection et de ce contrôle soient dûment confiées aux propriétaires ou dépositaires désignés de l’information. Veiller à ce que des procédures de traitement appropriées soient appliquées aux actifs informationnels importants.

Responsabilité de la gestion d’actifs

19. Tous les actifs doivent être clairement identifiés et un inventaire de tous les actifs importants liés à l’information doit être dressé et tenu à jour à des fins de sécurité de l’information.

Ces actifs importants liés à l’information à des fins de protection peuvent comprendre, sans toutefois s’y limiter, les éléments suivants :

a) Informations : les bases de données et fichiers de données, les contrats et accords, la documentation du système, les manuels d’utilisation, le matériel de formation, les

1 Désigne les mesures administratives prises au cours de la vie professionnelle d’un fonctionnaire ou d’un titulaire de contrat qui ont une incidence sur la sécurité de l’information de l’Organisation.

Page 3 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

procédures opérationnelles ou de soutien, les plans de continuité d’activité, la procédure de secours en cas de défaillance, les pistes de vérification et l’information archivée

b) Actifs logiciels : les logiciels d’application, logiciels système, les outils de développement et utilitaires

c) Actifs physiques : le matériel informatique, matériel de communication, les supports amovibles et autres équipements

d) Services : les services informatiques et de communications, les services publics généraux, par exemple le chauffage, l’éclairage, l’électricité et la climatisation

20. Toutes les informations et tous les actifs associés aux systèmes d’information appartiennent à une unité désignée du PNUD. Le propriétaire désigné (personne physique ou morale qui a approuvé la responsabilité de gestion du contrôle de la garde, de la production, du développement, de l’entretien, de l’utilisation et de la sécurité des actifs ; les tâches courantes peuvent être déléguées, par exemple à un dépositaire qui s’occupe quotidiennement de l’actif, mais la responsabilité incombe au propriétaire) doit :

a) S’assurer que l’information et les actifs associés aux systèmes d’information sous leur contrôle sont classés de façon appropriée

b) Examiner de temps à autre les restrictions d’accès et les classifications, en tenant compte des politiques d’accès applicables

21. Les règles et les normes relatives à l’utilisation acceptable de l’information et des actifs associés aux systèmes d’information doivent être définies, documentées et mises en œuvre. Veuillez vous reporter à la politique sur l’utilisation des ressources TIC du PNUD (Apportez votre équipement personnel de communication).

Classification de l’information

22. Les informations doivent être classées ou catégorisées en fonction de leur valeur, des exigences légales, de leur sensibilité et de leur criticité pour le PNUD.

23. Des procédures appropriées d’étiquetage et de manipulation des informations sensibles doivent être élaborées et mises en œuvre. Ces procédures peuvent comprendre des mentions de traitement particulier ou d’autres mises en garde relatives à la diffusion, telles qu’« à titre confidentiel » et/ou que « réservé à un usage interne ».

Sécurité des informations des ressources humaines

24. Le PNUD veille à ce que le personnel et les autres personnes physiques ou morales autorisées comprennent leurs responsabilités et réduisent le risque de vol, de fraude ou de mauvaise utilisation des installations. (Reportez-vous au cadre juridique du PNUD pour le traitement des cas de non-respect des normes de conduite des Nations Unies, à la page Politiques et procédures en matière de ressources humaines, et à la Politique antifraude. Les candidats à

Page 4 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

un emploi et toutes les autres personnes autorisées doivent faire l’objet d’une présélection adéquate et d’une vérification détaillée des références, en particulier pour les postes sensibles. Les responsabilités en matière de sécurité de l’information doivent être abordées avant l’embauche, dans les descriptions de poste et dans les conditions d’emploi.

Avant l’emploi

25. Les rôles et responsabilités en matière de sécurité de l’ensemble du personnel et des autres personnes physiques ou morales autorisées des actifs informationnels du PNUD doivent être définis et documentés dans des modalités et les conditions appropriées avant l’embauche ou la finalisation du contrat, conformément aux dispositions de la présente Politique.

26. La vérification des renseignements essentiels, y compris les diplômes universitaires, les langues, la nationalité, l’expérience professionnelle et la vérification détaillée des références de tous les candidats à l’emploi, des contractants et des utilisateurs tiers, doit être effectuée conformément aux politiques et procédures pertinentes et proportionnellement aux besoins de l’organisation, à la classification des renseignements auxquels il faut accéder et aux risques perçus. La vérification des références tient compte de toutes les politiques et procédures établies en matière de respect de la vie privée, de protection des données à caractère personnel et/ou d’emploi et, dans toute la mesure autorisée, comprend :

a) La disponibilité de références satisfaisantesb) La vérification de l’exhaustivité et de l’exactitude du curriculum vitae/de la Notice

personnelle des candidats (P.11)c) La confirmation des qualifications universitaires et professionnelles supposéesd) Un contrôle d’identité indépendante) Des contrôles plus détaillés, le cas échéant

27. Dans le cadre de leurs obligations contractuelles, les fonctionnaires des Nations Unies se conforment au point (i) de l’article 1.2. Du statut et règlement du personnel des Nations Unies.

Pendant l’emploi

28. Tous les membres du personnel et autres personnes physiques ou morales autorisées qui utilisent les actifs informationnels du PNUD doivent appliquer les mesures de sécurité conformément à l’ensemble des règlements, règles, politiques et procédures pertinents du PNUD. L’ensemble des données, fichiers et dossiers des RH est considéré comme sensibles et confidentiels. Le PNUD doit veiller à ce que tous les membres du personnel et autres personnes physiques ou morales autorisées :

Soient bien informés de leurs rôles et responsabilités en matière de sécurité de l’information avant d’avoir accès à de l’information ou à des systèmes d’information de nature sensible.

Disposent des directives suffisantes décrivant les attentes en matière de sécurité de l’information en ce qui concerne leur fonction au sein du PNUD.

Page 5 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

29. Tout le personnel du PNUD et, le cas échéant, les autres personnes physiques ou morales autorisées doivent bénéficier d’une formation appropriée et recevoir des mises à jour régulières sur les politiques et procédures relatives à la sécurité de l’information de leur fonction.

30. Toute procédure disciplinaire requise à la suite d’une violation grave des actifs ou des protocoles relatifs à la sécurité de l’information doit être menée conformément aux dispositions pertinentes du Statut et Règlement du personnel du PNUD.

Cessation de service, réaffectation et licenciement du personnel

31. Les responsabilités en matière de cessation d’emploi, de réaffectation et de licenciement doivent être clairement définies et attribuées. Veuillez consulter les Politiques de cessation de service des POPP.

32. Le personnel et les autres personnes physiques ou morales autorisées doivent restituer tous les biens du PNUD qu’ils ont en leur possession au moment de leur cessation de service, de leur contrat ou de leur accord. Le processus de cessation de service doit officialiser la restitution de tous les actifs informationnels déjà émis.

33. Les droits d’accès à l’information et aux systèmes d’information de l’ensemble du personnel et des autres personnes physiques ou morales autorisées doivent être supprimés ou modifiés, selon le cas, en cas de cessation d’emploi ou de cessation de service, de contrat ou d’accord, ou ajustés en cas de réaffectation. Toute dérogation à cette exigence ne peut se faire qu’avec l’accord du Directeur de l’informatique.

Sécurité physique et de l’environnement

34. Veiller à ce que les locaux, les zones de travail et les actifs informationnels du PNUD soient convenablement protégés des risques identifiés contre les actifs informationnels. Les systèmes d’informations essentielles ou sensibles doivent être hébergés dans des zones sécurisées, protégées par des périmètres de sécurité définis, avec des barrières de sécurité et des contrôles d’accès appropriés.

Actifs informationnels

35. Tout le personnel et les autres personnes physiques ou morales autorisées doivent s’assurer que les documents contenant des renseignements sensibles sont protégés lorsqu’ils ne sont pas utilisés.

36. Les actifs d’information sensibles ne doivent pas être sortis des locaux du PNUD sans autorisation expresse.

Zones de travail

Page 6 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

37. Les périmètres de sécurité (murs, portes et portails d’accès contrôlés par carte et postes de réception occupés) doivent être utilisés pour protéger les zones qui contiennent des informations et des systèmes d’information.

38. Les périmètres de sécurité doivent être clairement définis et toutes les mesures de sécurité doivent être mises en œuvre.

Matériel

39. Les systèmes d’information doivent être situés ou protégés de manière à réduire les risques liés aux menaces et aux dangers environnementaux et les possibilités d’accès non autorisé. Les câbles d’alimentation électrique et de télécommunication transportant des données ou des services d’information connexes doivent être protégés de toute interception ou tout dommage.

40. Les systèmes d’information doivent être protégés des coupures de courant et autres perturbations causées par des défaillances dans les services publics de soutien. Cette protection doit être intégrée à la planification de la continuité des opérations (BCP) et à la reprise après sinistre (DR).

41. Les systèmes d’information doivent être correctement entretenus pour assurer leur disponibilité et leur intégrité en permanence. Seul le personnel d’entretien autorisé ou les contractants doivent effectuer l’entretien, et des registres adéquats de tous les travaux d’entretien doivent être tenus. Le cas échéant, l’information devrait être supprimée du matériel de stockage avant que l’entretien ne soit effectué.

42. La sécurité s’applique aux systèmes d’information et au matériel hors site, en tenant compte des différents risques liés au travail en dehors des locaux du PNUD. Cette sécurité peut comprendre des mesures de protection contre le vol occasionnel en voyage, l’utilisation inappropriée ou la perte de la confidentialité des actifs informationnels.

43. Les systèmes et le matériel d’information contenant des supports de stockage doivent être vérifiés pour s’assurer que les données sensibles ou les logiciels sous licence ont été retirés ou détruits en toute sécurité avant leur élimination.

44. Les systèmes et le matériel d’information ne doivent pas être sortis des locaux du PNUD sans autorisation expresse.

Gestion des communications et des opérations

45. Veiller au bon fonctionnement et à la sécurité des systèmes d’information, veiller à ce que les principaux processus opérationnels et d’appui intègrent des contrôles efficaces de la sécurité de l’information et à ce que des procédures opérationnelles adéquates existent pour la gestion et le fonctionnement des systèmes informatiques du PNUD.

Procédures et responsabilités opérationnelles

Page 7 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

46. Des procédures officielles documentées doivent être établies, maintenues et mises à disposition pour toutes les activités impliquant des installations de traitement de l’information et de communication.

47. Les modifications apportées aux systèmes d’information et aux applications font l’objet d’un contrôle de gestion des modifications. Les procédures de gestion des changements doivent être élaborées à l’aide d’une documentation appropriée pour démontrer la conformité.

48. Une séparation appropriée des tâches et des responsabilités doit être mise en œuvre autant que possible afin de réduire au minimum la possibilité qu’une personne puisse compromettre une application, une politique, une procédure ou une activité, ou d’apporter des modifications non autorisées ou involontaires aux actifs informationnels ou d’en faire un mauvais usage.

49. Les installations de développement, d’essai et d’exploitation (de production) doivent être séparées afin de réduire les risques d’accès non autorisé ou de modifications au système opérationnel.

Gestion de la prestation des services par des tiers

50. Les niveaux de service et d’exécution ainsi que les contrôles de sécurité fournis par les prestataires tiers participant à l’appui des services de traitement de l’information ou de télécommunication du PNUD doivent faire l’objet d’un suivi pour s’assurer qu’ils sont exécutés, exploités et maintenus conformément aux obligations contractuelles.

51. Les modifications apportées à la prestation de services par des tiers doivent être gérées avec soin, en tenant compte de la criticité des systèmes d’information et des processus concernés et de la réévaluation de tous les risques pertinents.

Planification et acceptation du système

52. Des critères d’acceptation pour les nouveaux systèmes d’information ou ceux mis à niveau doivent être établis et des essais appropriés du ou des systèmes doivent être effectués au cours du développement et avant l’acceptation.

53. Les ressources existantes du système d’information doivent être surveillées et ajustées si nécessaire, et les besoins futurs en capacité doivent faire l’objet de projections, afin de garantir une performance continue aux niveaux requis.

Protection contre les codes malveillants et mobiles

Page 8 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

54. Des contrôles de détection, de prévention et de correction, ainsi que des procédures appropriées de sensibilisation des utilisateurs, doivent être mis en œuvre pour se protéger contre les codes malveillants.

55. Lorsque l’utilisation du code mobile est autorisée, la configuration doit garantir que le code mobile autorisé fonctionne conformément à une politique de sécurité clairement définie.

Sauvegarde

56. Des dispositions de sauvegarde appropriées, y compris des essais annuels, doivent être mises en œuvre et maintenues afin de protéger l’information et les logiciels et de veiller à ce que tous les actifs et processus d’information essentiels puissent être récupérés au besoin pour quelque raison que ce soit.

Gestion de la sécurité réseau

57. Les réseaux informatiques et de communication doivent être gérés et contrôlés de manière adéquate afin d’être protégés contre les menaces et de maintenir la sécurité des systèmes et applications utilisant le réseau, y compris l’information en transit.

58. Les fonctions de sécurité, les niveaux de service et les exigences en matière de gestion de tous les services de réseau, tant internes qu’externes, doivent être identifiés et inclus dans tous les accords de services de réseau.

Gestion des supports de stockage

59. Des procédures doivent être établies pour la gestion des supports de stockage amovibles, y compris des procédures pour leur élimination sûre et sécurisée lorsqu’ils ne sont plus nécessaires.

60. Des procédures doivent être établies pour le traitement et le stockage des informations afin de les protéger contre toute divulgation non autorisée ou utilisation abusive.

Suivi

61. Des procédures de suivi de l’utilisation des systèmes d’information doivent être établies, et les résultats des activités de suivi régulièrement examinés. La surveillance doit être utilisée pour déterminer si l’utilisation réelle est conforme à l’utilisation autorisée.

62. Des journaux d’audit enregistrant les activités des utilisateurs, les exceptions et les événements liés à la sécurité de l’information doivent être produits et conservés pendant une période convenue pour faciliter d’éventuelles enquêtes et/ou une surveillance du contrôle d’accès. Les dispositifs de journalisation et les informations de journal doivent être protégés contre toute falsification et tout accès non autorisé.Les activités de l’administrateur système et de l’opérateur système doivent être consignées dans les journaux. Les défaillances doivent être consignées dans les journaux, analysées, et des mesures appropriées prises.

Page 9 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

63. Les horloges de tous les systèmes de traitement de l’information pertinents du PNUD doivent être synchronisées avec une source de temps précise convenue.

Procédures d’échange d’informations

Parties externes

64. Dans le cadre de la présente politique, les parties externes comprennent des partenaires, tels que d’autres entités et contractants des Nations Unies. Afin d’assurer la sécurité des informations de l’Organisation et des installations de traitement de l’information qui sont consultées, traitées, communiquées ou gérées par des parties externes, telles que d’autres entités et contractants des Nations Unies, les conditions suivantes s’appliquent :

a) Les risques que présentent les processus opérationnels impliquant des parties externes pour les informations et les installations de traitement de l’information de l’Organisation doivent être cernés et des contrôles appropriés mis en place avant d’accorder l’accès ou de communiquer des informations à ces entités.

b) Les accords conclus avec des tiers concernant l’accès, le traitement, la communication ou la gestion des informations ou des installations de traitement de l’information de l’Organisation, ou l’ajout de produits ou de services aux installations de traitement de l’information, doivent répondre à tous les besoins de sécurité pertinents.

(Pour le traitement des parties externes plus larges, telles que les médias et le grand public, veuillez consulter la Politique de divulgation de l’information (Mettre l’information à la disposition du public), qui précise la liste du contenu qui n’est pas rendu public)

65. Aucun échange d’informations sensibles du PNUD ne doit se faire avec un tiers sans autorisation et sans que des contrôles appropriés soient en place pour protéger ces informations de toute divulgation non autorisée. Des accords doivent être conclus pour l’échange d’informations et de logiciels entre le PNUD et des parties externes.

Commerce électronique et systèmes d’information d’entreprise

66. Les informations associées à l’interconnexion des systèmes d’information des entreprises sont protégées afin d’éviter toute utilisation abusive ou corruption. L’information utilisée dans le commerce électronique transitant par les réseaux publics doit être protégée des activités frauduleuses, des différends contractuels et de toute divulgation et de toute modification non autorisées.

67. L’information contenue dans les transactions en ligne doit être protégée afin d’éviter une transmission incomplète, un mauvais acheminement, une modification non autorisée du message, une divulgation non autorisée, une duplication ou une rediffusion non autorisée du message. L’intégrité de l’information fournie sur le système accessible au public doit être protégée afin d’empêcher toute modification non autorisée.

Page 10 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

Exigences opérationnelles en matière de contrôle d’accès

68. Afin d’assurer des restrictions appropriées à l’accès à l’information, un contrôle d’accès adéquat est appliqué aux actifs informationnels pour garantir que l’accès n’est réservé qu’aux membres actuels du personnel (ou aux autres personnes physiques ou morales autorisées) qui en ont besoin dans l’exercice de leurs fonctions officielles et que les droits d’accès des utilisateurs tiennent dûment compte du type et du niveau de sensibilité des informations concernées

Contrôle d’accès aux systèmes d’information

69. Les systèmes d’information, les réseaux, les services, les logiciels d’exploitation et les applications du PNUD doivent être configurés de manière à ce que les mécanismes appropriés de contrôle d’accès et d’autorisation soient mis en œuvre, fonctionnels et efficaces.

70. L’utilisation de programmes utilitaires susceptibles de surcharger le système ou d’autres contrôles d’accès doit être restreinte et soumise à un contrôle rigoureux.

71. Les sessions interactives doivent s’arrêter après une période d’inactivité définie, et des restrictions sur les temps de connexion doivent être utilisées pour assurer une sécurité supplémentaire pour les applications à haut risque.

Sécurité de l’information sur les réseaux

72. L’identification automatique de l’équipement doit être utilisée pour en authentifier les connexions s’il est important que les communications ne puissent être initiées qu’à partir d’un emplacement ou d’un équipement spécifique.

73. L’accès physique et logique aux ports de diagnostic et de configuration doit être contrôlé.

74. Les groupes de services d’information, d’utilisateurs et de systèmes d’information doivent être séparés sur des réseaux. Pour les réseaux partagés, en particulier ceux qui s’étendent au-delà des limites du PNUD, la capacité des utilisateurs à se connecter au réseau doit être limitée à des fins professionnelles du PNUD sur la base du besoin de savoir.

75. Des contrôles d’acheminement doivent être mis en place pour les réseaux afin de s’assurer que les connexions informatiques et les flux d’informations ne violent pas la politique de contrôle d’accès des applications.

76. L’accès aux systèmes d’exploitation doit être contrôlé par une procédure de connexion sécurisée. Tous les utilisateurs doivent disposer d’un identifiant utilisateur unique réservé à leur usage personnel et d’une technique d’authentification appropriée utilisée pour authentifier les utilisateurs.

77. Les systèmes sensibles doivent disposer d’un environnement informatique dédié (isolé).

78. Une politique, des plans opérationnels et des procédures officiels doivent être élaborés et mis en œuvre pour les activités de télétravail et des mesures de sécurité appropriées adoptées

Page 11 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

pour se protéger contre les risques liés à l’utilisation des installations informatiques et de communication mobile.

Acquisition, développement et maintenance de systèmes d’information

79. Objectifs : s’assurer que les systèmes d’information (p. ex. les applications, les infrastructures, les services, etc.) sont conçus en tenant compte de la sécurité et mis en exploitation dans le respect de toutes les exigences de sécurité propres au système entièrement comprises et mises en œuvre.

Exigences de sécurité pour les systèmes d’information

80. Les nouveaux systèmes d’information et les améliorations importantes des systèmes doivent être officiellement présentés au Conseil de l’informatique et des communications, et approuvés par ce dernier avant d’être acquis ou développés. Les nouveaux systèmes d’information et leurs améliorations doivent faire l’objet d’essais officiels dans un environnement contrôlé et d’essais d’acceptation par l’utilisateur (UAT) avant leur promotion au statut de production. Les essais officiels doivent comprendre des essais appropriés de toutes les exigences en matière de sécurité afin de s’assurer de leur exactitude et de leur pertinence. Les essais doivent être documentés et les résultats des essais conservés à titre d’actifs informationnels.

81. Les exigences de sécurité d’un nouveau système d’information ou d’une amélioration du système doivent être définies et convenues avant son développement ou acquisition.

82. Les responsabilités liées à la propriété d’un nouveau système d’information doivent être convenues avant sa mise en œuvre.

83. Des contrôles de validation des données doivent être intégrés lors du développement et de la maintenance des systèmes d’information afin de détecter et de prévenir toute corruption des informations par des erreurs d’entrée, de traitement ou de sortie. Les exigences visant à garantir l’authenticité et à protéger l’intégrité des messages dans les applications doivent être définies, et des contrôles appropriés doivent être également définis et mis en œuvre.

Contrôles de chiffrement

84. La mise en œuvre des contrôles de chiffrement lors de l’acquisition, du développement et de la maintenance des systèmes d’information doit être gérée et comprendre des procédures appropriées de gestion clés.

Sécurité des fichiers système

85. Des procédures doivent être mises en œuvre pour contrôler l’installation des logiciels sur les systèmes opérationnels. Les responsabilités spécifiques liées à l’installation des logiciels sur les systèmes opérationnels doivent être définies et attribuées uniquement aux utilisateurs

Page 12 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

autorisés ayant reçu une formation appropriée. Les logithèques opérationnelles doivent être maintenues et l’accès au code source des programmes doit être restreint.

Sécurité dans les processus de développement et de soutien

86. Toutes les modifications apportées aux systèmes d’information sur la production (et à leur code source) doivent être officiellement autorisées et contrôlées afin d’éviter de porter préjudice au traitement des opérations et aux mesures de sécurité. Toutes les modifications doivent faire l’objet d’essais adéquats et documentés.

87. Avant de modifier les systèmes d’exploitation, les applications essentielles à l’Organisation doivent être visualisées et testées pour s’assurer qu’il n’y a pas d’impact négatif sur ses opérations ou sa sécurité.

88. La sous-traitance du développement de logiciels doit être supervisée et contrôlée par l’unité ou les unités du PNUD compétentes.

Gestion de la vulnérabilité technique

89. Des informations rapides sur les vulnérabilités techniques des systèmes d’information utilisés doivent être obtenues, l’exposition à ces vulnérabilités évaluée et des mesures appropriées prises pour faire face aux risques associés.

90. L’OIMT doit surveiller et effectuer des évaluations périodiques des risques pour les processus, l’information, les systèmes et les installations en fonction de l’évolution des menaces et des vulnérabilités techniques.

Gestion des incidents liés à la sécurité de l’information

91. Objectifs : veiller à ce que les incidents touchant à la sécurité de l’information au sein du PNUD soient signalés et traités de manière rapide et efficace afin que des mesures correctives puissent être prises.

Signalement des incidents et des faiblesses en matière de sécurité de l’information

92. Tous les membres du personnel et autres personnes physiques ou morales autorisées sont tenus de signaler les faiblesses ou incidents présumés en matière de sécurité de l’information à l’unité de sécurité informatique du Bureau de la gestion (BoM)/Bureau des systèmes informatiques et des technologies de l’information (OIST) (ict.abuse@undp.org).

Gestion des incidents et des améliorations de la sécurité de l’information

93. La Section de la sécurité de l’information/le Bureau des systèmes informatiques et des technologies de l’information (OIST)/le Bureau de la gestion (BoM) doivent élaborer et tenir à jour des procédures d’établissement de rapports et de remontée d’informations sur les

Page 13 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

événements liés à la sécurité de l’information afin de s’assurer que les événements et les faiblesses associés aux systèmes d’information sont communiqués de manière à ce que des mesures correctives soient prises en temps opportun.

94. Dans les cas où un incident lié à la sécurité de l’information peut donner lieu à une action en justice ou à une enquête interne, le Directeur de l’OIMT consultera le Bureau des affaires juridiques (LO) et/ou le Bureau de l’audit et des enquêtes (OAI) afin d’autoriser la collecte et la conservation de preuves connexes et leur communication ultérieure au Bureau des affaires juridiques (LO) et/ou au Bureau de l’audit et des enquêtes (OAI).

Gestion de la continuité des activités

95. Objectif : veiller à ce que le PNUD soit équipé pour réagir en cas de perturbation des opérations et pour assurer la reprise en temps opportun des processus opérationnels essentiels, à la suite de catastrophes ou de défaillances majeures des systèmes d’information.

Aspects de la sécurité de l’information de la gestion de la continuité des opérations

96. Pour assurer la continuité des opérations, la Politique sur les normes de reprise après sinistre des TIC est mise en place.

Respect des exigences légales

97. Afin d’assurer le respect des exigences légales, statutaires, réglementaires et contractuelles en vigueur, des procédures doivent être mises en œuvre pour orienter le PNUD dans le respect de ses obligations. Ces obligations peuvent découler, sans toutefois s’y limiter, des :

a) Décisions des organes directeurs du PNUDb) Directives administratives

Respect des politiques et normes de sécurité

98. Les responsables du PNUD doivent veiller à ce que toutes les procédures de sécurité dans leur domaine de compétence soient correctement appliquées pour assurer le respect des politiques et normes de sécurité. Les responsables des centres régionaux et des bureaux de pays doivent procéder à une auto-attestation chaque année prouvant qu’ils respectent la présente politique de sécurité de l’information et les normes qui s’y rapportent. Le Directeur de l’OIMT fera une déclaration similaire au nom du Siège du PNUD. Toute non-conformité doit être documentéeet justifiée

Considérations relatives à la vérification de la sécurité de l’information

Page 14 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

99. Les exigences et les activités d’audit impliquant des vérifications de systèmes opérationnels doivent être soigneusement planifiées et convenues, afin de réduire au minimum le risque de perturbation des processus opérationnels.

100. Les outils d’audit pour l’accès aux systèmes d’information doivent être protégés afin d’éviter tout abus ou compromis éventuel.

Rôles et responsabilités

101. Le Directeur de l’OIMT est chargé de la sécurité de l’information au sein du PNUD.

102. Le responsable de la sécurité informatique (CISO), de l’OIMT fournit un appui technique consultatif au Directeur de l’OIMT.

Programme de sécurité de l’information

103. Il existe un programme de sécurité de l’information au sein du PNUD afin de s’assurer qu’il existe des responsabilités et une redevabilité claires, tant au sein des unités administratives qu’entre elles, en ce qui concerne la gestion de la sécurité de l’information. Le programme de sécurité de l’information comprend les politiques, les normes, les instructions de travail, les unités administratives et les personnes ayant des responsabilités en matière de sécurité et sert de cadre ainsi que de mécanisme efficace de coordination et de gestion de la sécurité de l’information pour l’Organisation.

104. Pour appuyer le programme de sécurité de l’information, l’OIMT/BMS exerce ses fonctions dans les domaines suivants :

a) Évaluer les risques potentiels, déterminer les besoins et recommander des contre-mesures appropriées pour gérer les risques dans les domaines liés au traitement et à la protection de l’information par le PNUD

b) Organiser et coordonner la formation du personnel dans les domaines des opérations, de l’information, des communications, des utilisateurs autorisés, des installations, et des procédures de sécurité informatique à suivre dans le cadre de la collaboration avec le PNUD

105. En fournissant des services de conseil et d’appui et en procédant à des examens continus, l’OIMT/BMS aidera chacune des unités administratives à se conformer aux politiques d’appui au programme de sécurité informatique.

106. La Section de la sécurité des TIC de l’OIMT participera également au processus d’autorisation des nouveaux systèmes ou applications informatiques afin de veiller à ce que les éléments de sécurité nécessaires soient pris en compte et traités de manière adéquate avant que l’utilisation du nouveau système ne soit approuvée par le PNUD.

107. Le Bureau de l’audit et des enquêtes (OAI) doit fournir de temps à autre à la direction du PNUD une évaluation indépendante du fonctionnement et de l’efficacité du programme de sécurité de l’information.

Page 15 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

108. Des réunions régulières sur la gestion de la sécurité de l’information seront organisées à l’intention du personnel et des contractants du PNUD qui jouent un rôle essentiel dans la mise en œuvre du programme de sécurité de l’information.

Conformité

109. Le non-respect de la présente Politique sans l’obtention préalable d’une dérogation sera traité conformément au Statut et Règlement du personnel du PNUD ou, le cas échéant, aux clauses contractuelles applicables au personnel.

Dérogations

110. Lorsqu’une unité administrative n’est pas en mesure de respecter une déclaration de politique générale figurant dans le présent document, le Chef de l’unité doit obtenir une dérogation auprès du directeur de l’OIMT/BMS.

111. Toutes les demandes de dérogation doivent être considérées comme temporaires et comporter une date d’expiration précise. Elles sont soumises à l’examen du Directeur de l’OIMT/BMS.

112. Si une dérogation n’est plus nécessaire avant la date d’expiration ou l’examen annuel, le Chef de l’unité doit en informer ou en aviser le directeur de l’OIMT/BMS.

Page 16 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

Organigramme

Avertissement: Ce document a été traduit de l'anglais vers le français. En cas de divergence entre cette traduction et le document anglais original, le document anglais original prévaudra.

Page 17 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

Disclaimer : This document was translated from English into French. In the event of any discrepancy between this translation and the original English document, the original English document shall prevail.

Page 18 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7