Download - HDS Manuel Opérationnel de la Sécurité du SI

Manuel Opérationnel de la Sécurité du SI

Version 1.0 1 / 47

Manuel Opérationnel de la Sécurité du

Système d'Information pour l’hébergement de donnés de santé à caractère personnel

(Exemple)


Version 1.0 2 / 47

Révisions

Date Révision Objet

Rédaction Validation Approbation

01/01/2011 1.0 Manuel Opérationnel de la sécurité pour l’Hébergement de donnés de santé à caractère personnel (Exemple) Security Risk Analyst RSSI DSI

Documents de référence

Titre / Révision / Date Origine

1 PSSI et politique du SMSI Hébergeur

2 Norme ISO 27001 ISO




Version 1.0 3 / 47

SOMMAIRE

S O M M A I R E ........................................................................................................................ 3

1 . P O L I T I Q U E P A R T I C U L I E R E D E S E C U R I T E D E L ’ H E B E R G E M E N T D E

D O N N E E S D E S A N T E A C A R A C T E R E P E R S O N N E L ............................................... 6

1 . 1 . C O N T E X T E ................................................................................................................ 6 1 . 2 . L E S R E F E R E N C E S U T I L I S E E S ................................................................................ 6 1 . 3 . D O M A I N E D ’ A P P L I C A T I O N ....................................................................................... 7

2 . T E R M I N O L O G I E ....................................................................................................... 8

3 . O R G A N I S A T I O N D E L A S E C U R I T E ................................................................... 10

3 . 1 . P I L O T A G E , M I S E E N Œ U V R E E T C O N T R O L E ........................................................10 3 . 1 . 1 . R O L E S E T R E S P O N S A B I L I T E S ............................................................................10 3 . 1 . 2 . R E V U E S E T A U D I T S .............................................................................................10 3 . 2 . R E G L E S A P P L I C A B L E S A U X T I E R C E S P A R T I E S ..................................................11 3 . 2 . 1 . T I E R C E S P A R T I E S ...............................................................................................11 3 . 2 . 2 . O B L I G A T I O N S C O M M U N E S ..................................................................................11 3 . 2 . 3 . O B L I G A T I O N S R E L A T I V E S A U X I N T E R V E N A N T S S U R S I T E .............................11

4 . I D E N T I F I C A T I O N E T G E S T I O N D E S I N F O R M A T I O N S E T D E S B I E N S ... 12

4 . 1 . R E S P O N S A B I L I T E S R E L A T I V E S A U X B I E N S .........................................................12 4 . 2 . C L A S S I F I C A T I O N D E S I N F O R M A T I O N S .................................................................12 4 . 3 . G E S T I O N D E S B I E N S M A T E R I E L S E T L O G I C I E L S ................................................13

5 . S E C U R I T E L I E E A U X C O M P O R T E M E N T S D E S P E R S O N N E S ..................... 14

5 . 1 . R E S P O N S A B I L I T E S .................................................................................................14 5 . 2 . O B L I G A T I O N D E C O N F I D E N T I A L I T E ......................................................................15 5 . 3 . F O R M A T I O N E T S E N S I B I L I S A T I O N ........................................................................15 5 . 4 . A V A N T L E R E C R U T E M E N T ......................................................................................16 5 . 5 . P E N D A N T L A D U R E E D U C O N T R A T .......................................................................16 5 . 6 . F I N O U M O D I F I C A T I O N D E C O N T R A T ....................................................................17 5 . 7 . T R A I T E M E N T D E S I N C I D E N T S E T N O N C O N F O R M I T E S .......................................17 5 . 7 . 1 . A C T I O N S C O R R E C T I V E S .....................................................................................18

6 . S E C U R I T E P H Y S I Q U E E T E N V I R O N N E M E N T A L E ........................................ 19

6 . 1 . Z O N E S S E N S I B L E S ..................................................................................................19 6 . 1 . 1 . A C C E S P H Y S I Q U E D U P E R I M E T R E ....................................................................19 6 . 2 . G E S T I O N D E S B A D G E S D ’ A C C E S ..........................................................................20 6 . 2 . 1 . C A T E G O R I E S D E B A D G E S ...................................................................................20 6 . 2 . 2 . A T T R I B U T I O N S .....................................................................................................20 6 . 2 . 3 . M O D I F I C A T I O N .....................................................................................................20 6 . 2 . 4 . R E V O C A T I O N ........................................................................................................20 6 . 3 . T R A V A I L D A N S L E S L O C A U X S E C U R I S E S ............................................................21 6 . 4 . P R O T E C T I O N D E S E Q U I P E M E N T S .........................................................................21 6 . 4 . 1 . I N S T A L L A T I O N E T P R O T E C T I O N D E S E Q U I P E M E N T S . .....................................21 6 . 4 . 1 . 1 . P R E V E N T I O N D E S R I S Q U E S N A T U R E L S . .......................................................22 6 . 4 . 1 . 2 . S U R V E I L L A N C E P A R D E S M O Y E N S H U M A I N S . ..............................................23 6 . 4 . 2 . C O N D I T I O N N E M E N T E L E C T R I Q U E E T C L I M A T I Q U E .........................................23 6 . 4 . 2 . 1 . C L I M A T I S A T I O N ................................................................................................23 6 . 4 . 2 . 2 . É N E R G I E ............................................................................................................23 6 . 4 . 3 . S E C U R I S A T I O N D U C A B L A G E .............................................................................24 6 . 4 . 4 . M A I N T E N A N C E D E S E Q U I P E M E N T S ...................................................................24 6 . 4 . 5 . M E S U R E S I N D I V I D U E L L E S D E P R O T E C T I O N ....................................................24


Version 1.0 4 / 47

7 . G E S T I O N D E S S Y S T E M E S E T R E S E A U X .......................................................... 25

7 . 1 . A D M I N I S T R A T I O N D E S S Y S T E M E S ........................................................................25 7 . 1 . 1 . P R O C E D U R E S D ’ A D M I N I S T R A T I O N E T D ’ E X P L O I T A T I O N . ..............................25 7 . 1 . 2 . G E S T I O N D E S C H A N G E M E N T S ...........................................................................25 7 . 1 . 3 . S E P A R A T I O N D E S R O L E S ...................................................................................25 7 . 1 . 4 . S E P A R A T I O N D E S A C T I V I T E S D E D E V E L O P P E M E N T E T D ’ E X P L O I T A T I O N ...25 7 . 2 . M A I N T I E N E N C O N D I T I O N O P E R A T I O N N E L ..........................................................26 7 . 2 . 1 . M A I N T I E N D E L A D I S P O N I B I L I T E .......................................................................26 7 . 2 . 2 . M A I N T I E N D E L ’ I N T E G R I T E ................................................................................26 7 . 2 . 2 . 1 . T R A Ç A B I L I T E D E S G E S T E S D ’ A D M I N I S T R A T I O N ..........................................26 7 . 2 . 2 . 2 . T R A Ç A B I L I T E D E S I N C I D E N T S ........................................................................26 7 . 3 . L U T T E C O N T R E L E S V I R U S E T C O D E S M A L V E I L L A N T S ......................................26 7 . 3 . 1 . T R A I T E M E N T ........................................................................................................27 7 . 3 . 2 . R E P O R T I N G ..........................................................................................................27 7 . 4 . A D M I N I S T R A T I O N D E S R E S E A U X ..........................................................................27 7 . 4 . 1 . R E S E A U X L O C A U X ...............................................................................................27 7 . 4 . 2 . L E S A C C E S D I S T A N T S .........................................................................................28 7 . 4 . 2 . 1 . G E S T I O N D E S D R O I T S .....................................................................................29 7 . 4 . 2 . 2 . C L I E N T S ............................................................................................................29 7 . 5 . P R O T E C T I O N E T M A N I P U L A T I O N D E S M E D I A S ....................................................29 7 . 5 . 1 . D I S P O S I T I O N S G E N E R A L E S ...............................................................................29 7 . 5 . 2 . P R O T E C T I O N ........................................................................................................29 7 . 5 . 3 . R E C Y C L A G E E T M I S E A U R E B U T .......................................................................30

8 . C O N T R O L E D ’ A C C E S ............................................................................................ 31

8 . 1 . P R O F I L S E T R E G L E S D ’ A C C E S ..............................................................................31 8 . 2 . G E S T I O N D E S H A B I L I T A T I O N S ..............................................................................31 8 . 2 . 1 . C R E A T I O N A L ’ E M B A U C H E ..................................................................................31 8 . 2 . 2 . G E S T I O N D E S D E M A N D E S ..................................................................................32 8 . 2 . 3 . G E S T I O N D E S P R I V I L E G E S .................................................................................32 8 . 2 . 4 . G E S T I O N D E S M O T S D E P A S S E .........................................................................32 8 . 2 . 5 . V E R I F I C A T I O N ......................................................................................................32 8 . 3 . O B L I G A T I O N D E S U T I L I S A T E U R S ..........................................................................33 8 . 3 . 1 . S E C U R I T E D E S M O T S D E P A S S E .......................................................................33 8 . 3 . 2 . P O S T E D E T R A V A I L .............................................................................................33 8 . 4 . C O N T R O L E D ’ A C C E S A U R E S E A U .........................................................................33 8 . 4 . 1 . A D M I N I S T R A T I O N D E S E Q U I P E M E N T S R E S E A U X .............................................34 8 . 4 . 2 . A U T H E N T I F I C A T I O N R E N F O R C E E D A N S L E C A D R E D E L ’ H E B E R G E M E N T D E

D O N N E E S D E S A N T E A C A R A C T E R E P E R S O N N E L ............................................................35 8 . 5 . C O N T R O L E D ’ A C C E S A U S Y S T E M E .......................................................................35 8 . 5 . 1 . A D M I N I S T R A T I O N D E S M O T S D E P A S S E ...........................................................35 8 . 6 . C O N T R O L E D ’ A C C E S A U X A P P L I C A T I O N S ...........................................................35 8 . 7 . D E T E C T I O N , A N A L Y S E E T T R A I T E M E N T D E S I N C I D E N T S D E S E C U R I T E .........36 8 . 7 . 1 . É V E N E M E N T S J O U R N A L I S E S ..............................................................................37 8 . 7 . 2 . A L A R M E S E T T A B L E A U X D E B O R D D E S E C U R I T E ............................................37 8 . 7 . 3 . A U D I T E T D R O I T D ’ A C C E S ..................................................................................38 8 . 7 . 4 . S T O C K A G E E T P R O T E C T I O N D E S E V E N E M E N T S D E S E C U R I T E .....................38 8 . 8 . P R O T E C T I O N D E S S Y S T E M E S E T D E S R E S E A U X ................................................38 8 . 8 . 1 . S E R V E U R S ............................................................................................................38 8 . 8 . 1 . 1 . P R E C A U T I O N D ’ I N S T A L L A T I O N .......................................................................38 8 . 8 . 1 . 2 . P A R A M E T R A G E D U S Y S T E M E ..........................................................................39 8 . 8 . 1 . 3 . P A R T A G E D E S R E S S O U R C E S ..........................................................................39 8 . 8 . 2 . P O S T E D E T R A V A I L .............................................................................................39 8 . 8 . 2 . 1 . P R E C A U T I O N A L ’ I N S T A L L A T I O N ....................................................................40 8 . 8 . 2 . 2 . P A R A M E T R A G E D U S Y S T E M E ..........................................................................40 8 . 8 . 3 . É Q U I P E M E N T S R E S E A U X ....................................................................................40 8 . 9 . U T I L I S A T I O N D E M O Y E N S C R Y P T O G R A P H I Q U E S ................................................41


Version 1.0 5 / 47

8 . 9 . 1 . P R I N C I P E S A P P L I C A B L E S ...................................................................................41 8 . 9 . 2 . C H I F F R E M E N T ......................................................................................................41 8 . 9 . 3 . G E S T I O N D E S C L E S ............................................................................................41

9 . D E R O G A T I O N .......................................................................................................... 42

1 0 . C O N F O R M I T E .......................................................................................................... 43

1 0 . 1 . D R O I T S D ’ A U T E U R ..............................................................................................43 1 0 . 2 . D E C L A R A T I O N A L A C N I L ..................................................................................43 1 0 . 3 . F R A U D E I N F O R M A T I Q U E .....................................................................................44 1 0 . 4 . M A N Q U E M E N T A L A S E C U R I T E D U S Y S T E M E D ’ I N F O R M A T I O N ......................44 1 0 . 5 . O B L I G A T I O N D E C O N F I D E N T I A L I T E ...................................................................44 1 0 . 6 . C A D R E L E G A L P O U R L ’ U T I L I S A T I O N D E L A C R Y P T O L O G I E ...........................45 1 0 . 7 . C O D E D E C O N D U I T E D E L ’ A U D I T E U R ................................................................46 1 0 . 7 . 1 . O B L I G A T I O N D E C O N F I D E N T I A L I T E ...............................................................46 1 0 . 7 . 2 . L I M I T E D E L ’ A U D I T ...........................................................................................46 1 0 . 7 . 3 . M O D E O P E R A T O I R E .........................................................................................46 1 0 . 7 . 4 . C O N S E R V A T I O N D E L ’ I N F O R M A T I O N .............................................................47 1 0 . 7 . 5 . C O M M U N I C A T I O N .............................................................................................47


Version 1.0 6 / 47

1. Politique particulière de sécurité de

l’hébergement de données de santé à caractère

personnel

1.1. Contexte

La sécurité et la confidentialité sont une contrainte forte et une condition de succès de l’hébergement de données de santé à caractère personnel. Les objectifs de sécurité découlent, d'une part, directement des contraintes, notamment réglementaires, qui incombent à l’hébergement de données de santé à caractère personnel et, d'autre part, des risques à couvrir tels qu'ils découlent d'une analyse de risque menée, suivant la méthodologie EBIOS, sur l'ensemble du système d’hébergement de données de santé à caractère personnel. La Politique Particulière de Sécurité de l’hébergement de données de santé à caractère personnel est structurée autour de trois critères fondamentaux :

La confidentialité : l’aptitude du système à réserver l’accès aux informations aux seules personnes ayant à les connaître ;

La disponibilité : l’aptitude du système à être accessible et utilisable lorsque cela est requis par les acteurs autorisés ;

L’intégrité : l’aptitude du système à demeurer intact, non corrompu et sans altération. Ce critère est aussi étendu à l’aptitude à fournir la preuve de cette intégrité (traçabilité, authenticité de l’émetteur et du contenu).

Les informations ou ressources du SI à protéger ne concernent pas seulement les informations attachées à l’hébergement de données de santé à caractère personnel mais aussi :

Les environnements et données de configuration et de paramétrage des systèmes et réseaux, ainsi que toutes données relatives à l’habilitation des utilisateurs ;

Les environnements et données d’exploitation ou d’administration des systèmes et réseaux ainsi que toutes données relatives à l’habilitation des exploitants et administrateurs ;

Les composants organisationnels, matériels et logiciels participant à la sécurité du Système d’Information.

1.2. Les références uti l isées

Les exigences de sécurité développées dans ce document et qui traduisent la Politique Particulière de Sécurité de l’hébergement de données de santé à caractère personnel s’appuient en particulier sur :

la norme ISO27001:2005, ISO27002 et ISO 27799

le référentiel sécurité de l’hébergeur,


Version 1.0 7 / 47

Loi 78.17 du 06 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, et dispositions d'application associées ;

Loi 91.646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications ;

Décret 2007- 960 du 15 mai 2007 relatif à la confidentialité des informations médicales ;

Décret n°2006-6 du 4 janvier 2006 définissant les conditions d’agrément des hébergeurs de données de santé à caractère personnel ;

loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé, et notamment l’article L1111-8 du Code de la santé publique relative à l’hébergement de données de santé ;

Article L1110-4 relatif au droit au respect de la vie privée et au secret des informations des patients ;

Loi du 13 août 2004 portant création du Dossier Médical Personnel, notamment au travers de l’article L161-36-1 ;

Loi 85.660 du 3 juillet 1985 sur la protection des logiciels ;

Loi 92.597 du 1er juillet 1992 relative à la partie législative du Code de la propriété intellectuelle ;

Loi 94.361 du 10 mai 19941985 sur la protection des logiciels ;

Articles 323-1 à 323-7 du nouveau code pénal, relatifs à la fraude informatique.

1.3. Domaine d’appl ication

Ce document prescriptif s’applique à l’organisation, au pilotage, à l’administration, à l’exploitation, à l’utilisation, à l’évolution, au maintien en condition opérationnelle et au retrait d’exploitation pour l’ensemble des ressources informatiques de l’hébergement de données de santé à caractère personnel. Le Système d’Information, objet de la Politique Particulière de Sécurité de l’hébergement de données de santé à caractère personnel, comprend les matériels informatiques, les logiciels, les algorithmes et les spécifications internes, la documentation, les moyens de transmission, les procédures et les paramètres de contrôle de la sécurité, les données et les informations qui sont collectées, gardées, traitées, recherchées ou transmises par ces moyens et l’organisation des ressources humaines les mettant en œuvre. Ce document constitue la base de la sécurité de l’ensemble des ressources informatiques de l’hébergement de données de santé à caractère personnel.


Version 1.0 8 / 47

2. Terminologie

ADMINISTRATION Désigne l’ensemble des opérations quotidiennes à réaliser sur une application (ou un progiciel) ou un équipement pour qu’elle rende le service voulu à l’utilisateur (exemple : installation, paramétrage et optimisation des systèmes).

COSEC Désigne le Comité de Pilotage de la Sécurité composé de la Direction médicale, de la Direction de l’Hébergement et du RSSI.

DI Demande d’intervention

Désigne le processus de lancement, à la demande d’un utilisateur, de tâches consécutives à une défaillance ou à un incident, destinées à recouvrer l’intégrité du service attendu.

DICA

Disponibilité, Intégrité, Confidentialité, Auditabilité, les quatre piliers de la sécurité.

DEPLOIEMENT Au sein des activités d’exploitation, le déploiement désigne plus particulièrement la validation et la diffusion de tous les logiciels et applications ainsi que leur mise à jour, sur les postes de travail et les serveurs.

DH Direction Hébergement.

DONNEES SENSIBLES Dans le Système d’Information les données sont classifiées.

DM Direction Médicale (Médecin responsable hébergeur).

DMP Dossier Médical Personnel.

EXPLOITATION Désigne l’ensemble des opérations quotidiennes à réaliser sur les machines (serveurs, postes de travail) et les systèmes d’exploitation (OS) afin que les équipements rendent le service attendu. A ces opérations, s’ajoutent des actions de diagnostic d’incident sur les composants objets de l’exploitation.


Version 1.0 9 / 47

JOURNAUX D’AUDIT Désigne les moyens permettent, soit manuellement, soit de façon automatisée, de recueillir les informations en provenance des différents composants du système équipés des outils de traçage ad hoc (journaux, traces diverses) afin de vérifier que les opérations sont réalisées conformément aux règles en vigueur et de détecter les tentatives d’actions illicites.

MAINTENANCE LOGICIELLE

Désigne les actions permettant de prendre en compte de petites évolutions logicielles. A titre d’exemple, l’application de correctifs « mineurs » entre dans cette catégorie.

MAINTENANCE MATERIELLE

Désigne les actions permettant de diagnostiquer une défaillance du matériel, et de remettre celui-ci en service : remplacement d’un composant matériel, action de maintenance préventive, escalade.

PLAV Plan de Lutte Antivirus

RFC

Request for Change

Désigne le processus de gestion du changement, à la demande d’une personne habilitée, de tâches planifiées destinées à améliorer un service attendu et/ou ayant un impact sur les coûts et/ou la sécurité.

RSSI Responsable de la Sécurité du Système d’Information

SI Système d’Information

SUPERVISION

Désigne les actions permettant de visualiser les composants actifs et les flux d’informations, et de collecter des événements paramétrés intéressant la disponibilité, la prévention, la détection et le diagnostic des anomalies ou encore la sécurité du système.

UTILISATEURS Il s'agit des différentes catégories de personnes ayant un rôle vis-à-vis de la plateforme d’hébergement de données de santé à caractère personnel.


Version 1.0 10 / 47

3. Organisation de la sécurité

3.1. Pilotage, mise en œuvre et contrôle

3 . 1 .1 . Rô l es e t responsabi l i t és

Le RSSI, définit la politique de sécurité et de confidentialité et veille à son application. Il a la responsabilité de la sécurité, sur le périmètre de l’hébergement de données de santé à caractère personnel. A ce titre, le RSSI est garant de l’efficacité des mesures mises en œuvre y compris du contrôle d’accès aux locaux. Pour ce faire, il s’appuie sur :

La direction de l’hébergeur pour solliciter les budget des moyens à mettre en œuvre.

Les Services Généraux pour mettre en œuvre les moyens de sécurité physique.

Le Responsable des opérations informatiques et ses équipes en charge de la mise en œuvre pratique des fonctions de sécurité.

Le Responsable de l’exploitation informatique et ses équipes.

Le Directeur Médical pour l’audit des données de santé.

Politique du SMSI

Les rôles et fonctions sont définis dans le document « Nomenclature

métier »

Organigramme de l’hébergeur de données de santé à caractère

personnel

3 . 1 .2 . Revues e t audi t s

Le RSSI mène une revue régulière de conformité permettant de valider l’application des mesures, solutions et procédures de sécurité. Les conclusions de cette revue s’accompagnent de « recommandations » pour atteindre le niveau de sécurité souhaitable et corriger les dysfonctionnements et vulnérabilités éventuelles. Lorsque des failles de sécurité graves ont été mises à jour, le RSSI vérifie que les délais fixés pour engager des actions correctives sont adaptés à la menace. Il contrôle, si nécessaire la pertinence et la bonne application des mesures mises en œuvre.

Pour chaque évolution majeure su SI, le RSSI est consulté pour valider par analyse de risque ou audité le changement.


Version 1.0 11 / 47

3.2. Règles appl icables aux t ierces part ies

3 . 2 .1 . T i er ces par t ies

Le terme de « tierce partie » à l’hébergement de données de santé à caractère personnel distingue les catégories suivantes :

Consultant, prestataire, appui,

Fournisseur de biens matériels ou logiciels,

Tiers mainteneur,

Partenaire technique ou commercial.

3 . 2 .2 . Obl i ga t i ons communes

L’hébergeur de données de santé à caractère personnel s’appuie sur une procédure de gestion des fournisseurs et de la sous-traitance, qui permet d’évaluer, de sélectionner et de gérer efficacement les fournisseurs en fonction de leur aptitude à fournir un produit ou un service conforme aux exigences de l’entreprise. La procédure prévoit une étude des risques avant d’établir un contrat avec un sous-traitant afin de garantir la pérennité de l’entreprise sous traitante. Ce contrat stipule la durée de la mission, le travail et la qualité de ce qui doit être livré en fin de mission ainsi que les clauses contractuelles, les obligations de confidentialité et de respect des consignes de sécurité sous peine de sanction. Ce contrat est paraphé par les deux parties prenantes, à savoir l’hébergeur de données de santé à caractère personnel et la société prestataire. La charte d’application et le guide de la sécurité de l’information sont applicables aux Tiers accédant aux informations, au même titre que le personnel de l’hébergeur de données de santé à caractère personnel.

Charte de sécurité et guide de sécurité de l’information

Procédure de Gestion de la sous-traitance

3 . 2 .3 . Obl i ga t i ons re l a t ives aux in t er venan ts sur s i te

L’accès aux locaux, aux bâtiments et aux sites est soumis à l’autorisation du RSSI du site concerné. Des badges « Prestataire » avec des accès standards sont délivrés aux prestataires. Ces badges sont limités dans le temps correspondant à la durée prévue de la mission.

Des badges temporaires sont remis au personnel technique des fournisseurs en intervention régulière, après avoir été dûment identifié par l’accueil ou par les opérateurs de la salle d’activité, contre remise d’une pièce d’identité.

Les livreurs n’ont qu’un accès limité au portillon du service de livraison.

L’accès à certains locaux, en particulier les locaux dans lesquels sont manipulées des données sensibles, est soumis à habilitation / autorisation spécifique.

Procédure d’Accès Prestataires au Datacenter


Version 1.0 12 / 47

4. Identification et gestion des informations et

des biens

4.1. Responsabil i tés relat ives aux biens

L’application des règles de protection des ressources et informations est sous l’autorité des responsables de service. Ils se font assister dans cette mission par le RSSI.

4.2. Classif ication des informations

En termes de confidentialité, l’hébergeur de données de santé à caractère personnel qualifie la sensibilité de l’information selon trois niveaux :

Public, ce niveau correspond aux informations accessibles au public,

Interne, ce niveau est le niveau par défaut de toutes les informations relatives à l’hébergement de données de santé à caractère personnel,

Confidentiel, ce niveau s’applique aux données médicales, aux données d’administration, aux identités des patients, des données personnelles, ...

Guide de sécurité de l'information : § Classification de l'information

Dans le domaine lié à la diffusion de l’information, seules les informations de niveau « Confidentiel » nécessitent une protection à adapter en fonction de l’environnement de l’information. Toute information a un « propriétaire » qui doit en définir la sensibilité. Toute information publiée doit faire l’objet d’une classification pour réglementer sa diffusion. Tout propriétaire doit classifier les documents qu’il est amené à publier, de manière à déterminer les personnes qui ont le droit d’en connaître. Tout utilisateur d’informations sensibles doit leur appliquer les règles de sécurité adéquates, de même qu’il doit respecter ces mêmes règles pour tous les documents auxquels il a accès dans le cadre de ses fonctions.

Il est de la responsabilité du propriétaire de :

s'assurer que l'information est classée au bon niveau de sensibilité (confidentielle, interne, publique); par exemple, en l'inscrivant sur tous les documents ou supports contenant des données sensibles,

définir la liste les personnes autorisées à accéder ou à modifier une information confidentielle et de le mentionner à ces personnes,

s'assurer que l'information est stockée dans un endroit accessible aux seules personnes autorisées (en lecture ou en écriture),


Version 1.0 13 / 47

de mentionner la propriété intellectuelle sur l'information et les éventuelles dispositions spécifiques définies par son propriétaire légal (classification, utilisation, diffusion...),

de s'assurer que la dé-classification, l'archivage et la destruction de l'information sont gérés de manière appropriée.

Guide de sécurité de l'information : § Responsabilité du "propriétaire"

de l'information

4.3. Gestion des biens matériels et logiciels

Les biens matériels (équipements informatiques et télécoms) de l’Hébergement de données de santé à caractère personnel, et de leurs clients sont identifiés (étiquetage individuel) et gérés sous la responsabilité de leur propriétaire. La sortie d’équipements du site n’est possible que dans le cadre de procédures appropriées sous l’autorité du Directeur Informatique et du RSSI.

Procédure de sortie de matériel


Version 1.0 14 / 47

5. Sécurité liée aux comportements des personnes

On distingue 4 catégories de personnes :

les managers et personnel d’encadrement,

les agents et tierces parties utilisant l’informatique dans le cadre de leur métier,

les administrateurs en charge de la sécurité des systèmes d’information, nécessitant une formation spécialisée,

les clients (utilisateur final) La Politique Particulière de Sécurité de l’Hébergement de données de santé à caractère personnel, ainsi que les chartes d’utilisation des moyens informatiques de l’hébergeur s’appliquent à tous les utilisateurs, sur les sites de l’hébergeur.

5.1. Responsabil i tés

L’utilisateur a l’obligation de respecter l’ensemble des règles de sécurité de l’hébergeur. L’utilisateur est tenu de signaler toute défaillance ou tout manquement vis-à-vis des règles de sécurité dont il aurait connaissance ou auquel il serait incité. Chaque utilisateur est responsable vis-à-vis de l’hébergeur de l'usage des ressources informatiques de l’Hébergement de données de santé à caractère personnel fait avec ses droits d'accès. Chaque utilisateur doit donc :

observer des mesures individuelles de protection,

gérer ses moyens d’accès (cartes à puces, codes pins, mots de passe),

se déconnecter du réseau, ou passer en écran de veille avec mot de passe, dès qu'il s'éloigne de son poste,

prévenir dans les meilleurs délais l'administrateur de toute anomalie constatée quant à leur utilisation ou envoyer un message au RSSI qui escaladera si nécessaire au niveau supérieur,

respecter les consignes de sécurité qui lui sont communiquées par sa hiérarchie et le RSSI.

En cas de non-respect de ses obligations en matière de sécurité, la responsabilité pénale de l’utilisateur peut être engagée. En cas d’accès aux ressources informatiques au moyen d’un dispositif d’authentification renforcée, le couple, authentificateur plus code secret, remis à l'utilisateur est strictement personnel et incessible. Tout accès réalisé grâce à un dispositif d’authentification renforcé sera réputé l'avoir été par l'utilisateur. L’utilisateur est tenu de préserver le caractère secret du code.


Version 1.0 15 / 47

5.2. Obligation de confidential i té

Les données contenues dans l’Hébergement de données de santé à caractère personnel sont strictement couvertes par le secret professionnel. En cas de non-respect de ses obligations en matière de confidentialité, la responsabilité pénale de l’utilisateur peut-être engagé (article 226-13 du code pénal). Conformément à l’article 29 de la loi du 6 janvier 1978 relative à l’information, aux fichiers et aux Libertés, l’hébergeur s’engage à prendre toutes les mesures nécessaires afin de préserver la confidentialité des informations et notamment d’empêcher qu’elles soient consultées, utilisées ou communiquées à des personnes non autorisées. L’hébergeur s’engage donc à respecter et à faire respecter par son personnel le secret professionnel. La politique de confidentialité, son application et son contrôle sont confiés au RSSI. La direction des ressources humaines de l’hébergeur est chargée de :

Définir les missions et pouvoirs des utilisateurs et des éventuels sous-traitants;

Faire signer une clause de confidentialité par l’ensemble du personnel et des éventuels fournisseurs et sous-traitants ;

Le RSSI est chargé de :

Informer et former les utilisateurs aux obligations en matière de confidentialité et aux mesures de protection du secret professionnel ;

Procéder à des contrôles réguliers pour vérifier le respect des obligations en matière de confidentialité, et apporter les modifications nécessaires aux mesures de protection du secret professionnel en cas de défaillance.

L’Hébergement de données de santé à caractère personnel est tenu dans le respect du secret médical. Seul le directeur médical de l’hébergeur, tenu au respect du secret médical, a un droit d’accès aux données médicales.

Charte d’utilisation du SI

Charte déontologique

5.3. Formation et sensibi l isation

La formation et la sensibilisation visent à faire prendre conscience à chaque utilisateur qu’il détient une part importante de responsabilité dans le maintien des objectifs de sécurité de l’hébergeur et de ses clients.


Version 1.0 16 / 47

Le RSSI engage des actions régulière de communication et de sensibilisation sur la sécurité. Lors de la mise en exploitation ou de la refonte d’une application impliquant l’accès à des informations sensibles, le RSSI sensibilise le personnel aux risques et prescrit les gestes et comportements de sécurité nécessaires.

De plus, le service de formation de l’hébergeur permet d’assurer la formation des collaborateurs sur l’utilisation des technologies, des processus, et tout autre dispositif constituant le système d’information utilisé pour l’Hébergement de données de santé à caractère personnel

5.4. Avant le recrutement

Tout le personnel de l’hébergeur suit le même circuit de recrutement quel que soit le type de son contrat de travail (CDI, CDD, Intérim, Stage, …). Le personnel temporaire suit donc le même processus de recrutement que le personnel définitif. Afin d’apprécier les informations données par le futur salarié, une prise de contact peut être effectuée auprès de ses anciens employeurs. Les responsabilités relatives entre autre à la sécurité sont abordées au moment du recrutement. Une clause de confidentialité est incluse dans les contrats de travail de l’hébergeur concernant les responsabilités en matière de sécurité dans leurs fonctions ainsi que des clauses de confidentialité par rapport aux données clientes. Au niveau prestataires, stagiaires ou filiales, une clause de confidentialité est définie dans le contrat liant la société externe et l’hébergeur. De plus une même clause lie le collaborateur extérieur à sa société dans son ordre de mission. De plus la charte de sécurité de l’information est annexée à tous les contrat de travail et signée par le collaborateur.

5.5. Pendant la durée du contrat

Il incombe au responsable hiérarchique du collaborateur de rappeler et de s’assurer du respect des consignes de sécurité. Une clause de chaque contrat de travail attire l’attention sur l’utilisation professionnelle des moyens mis à disposition. Il est mentionné dans le règlement intérieur et dans la charte informatique que l’usage des outils mis à disposition du salarié doit être limité à un usage professionnel. Seul un usage privé raisonnable, modéré ou en situations urgentes est autorisé. Une responsabilisation forte sur les règles de sécurité est faite selon les besoins ou les structures. Une charte et un guide de sécurité de l'information sont en vigueur. Ils s’appliquent à tous les salariés de l’hébergeur utilisant les ressources informatiques. Ils ont été mis en place pour informer les utilisateurs du cadre définissant l’utilisation des SI (procédures utilisées pour le signalement des incidents, incitation forte au signalement d’incidents constatés par ces utilisateurs, sanctions à l’encontre des


Version 1.0 17 / 47

employés coupables d’infraction à la sécurité, …) et pour fixer les droits et devoirs des administrateurs du système d’information. Cette « Charte d’utilisation du système informatique et d’accès aux services Internet » est accessible par tous les utilisateurs salariés du réseau au quotidien sur l’intranet.

Charte d’utilisation du SI

Règlement intérieur

5.6. Fin ou modif ication de contrat

Lors de la modification de contrat incluant un changement de fonction et de responsabilité, le salarié aura, à la demande de la hiérarchie, des droits d’accès différents, en rapport avec les modifications apportées à son contrat de travail, lui seront attribués, ainsi que la restitution et/ou le prêt de biens servant à la réalisation de ses nouvelles fonctions. Lors de la fin de contrat d’un salarié, il lui est demandé de restituer les biens qui lui ont été confiés pour l’exercice de ses fonctions. Ses droits d’accès physiques et logiques seront supprimés et son compte sera désactivé à réception du fichier hebdomadaire des sorties fournit par les ressources humaines ou à la demande de la hiérarchie.

Guide de la sécurité de l'information : § Inventaire et restitution des

équipements individuels et des informations

5.7. Traitement des incidents et non conformités

Afin de minimiser les impacts des incidents et des défauts de sécurité, l’hébergeur a mis en place des procédures favorisant la réactivité. Ainsi, une surveillance des équipements et des traitements critiques est assurée 24h/24 et 7j/7, permettant une détection et donc une prise en compte rapide des incidents.

Pendant les heures ouvrées, les utilisateurs ont pour consigne d’alerter le support informatique pour tout incident. Ce dernier est enregistré avec un degré de criticité dans un logiciel d’incident afin d’en garder la traçabilité. L’incident est classifié en « Incident de sécurité ». Celui-ci est pris en compte, analysé et escaladé aux équipes compétentes si nécessaire jusqu’à résolution complète de l’incident.

La communication est faite à la direction métier ou technique concernée.

En heures non ouvrées, une équipe d’astreinte peut être appelée de jour comme de nuit en cas d’incident par les opérateurs 24h/24, 7j/7.

En cas d’incident de sécurité concernant les dispositifs physiques, les Services Généraux sont alertés dès l’incident ou le défaut de sécurité constaté.

Pour tout incident ou défaut constaté, le collaborateur se doit d’alerter un responsable hiérarchique et l’équipe compétente. En aucun cas il ne doit tenter de solutionner l’incident seul et sans communiquer.


Version 1.0 18 / 47

Tous les mois, les incidents sont revus en comité Sécurité sous la responsabilité du RSSI afin d’en contrôler le type et la nature. Ce qui permet, en cas d’identification d’incidents récurrents, ou dont l’impact est élevé, de mettre des dispositifs de contrôles renforcés ou supplémentaires, l’élaboration d’un plan d’action après analyse du risque. Des indicateurs relatifs au suivi de la sécurité alimenteront un tableau de bord. Ces indicateurs concerneront en particulier les infections virales, les non-conformités, les attaques et toute autre tentative d’accès illicite aux ressources informatiques.

5 . 7 .1 . Ac t i ons cor rect i ves

Des actions correctives, si possible définitives, sont systématiquement recherchées et suivies jusqu’à leur terme par le RSSI, à la suite d’incidents de sécurité répétitifs ou sérieux, de remontées d’alertes, de vulnérabilités détectées lors de la revue de conformité, ou lorsqu’elles font suite à un retour d’expérience.


Version 1.0 19 / 47

6. Sécurité physique et environnementale

6.1. Zones sensibles

Les biens et informations sensibles sont protégés. Les mesures de protection techniques et organisationnelles mises en œuvre garantissent que des intrusions physiques dans les zones contrôlées sont détectables. Les zones contrôlées sont identifiées et soumises à des inspections régulières de la part du RSSI. Bien que les agressions physiques ne puissent être toutes empêchées, les moyens de protection physique offrent une résistance effective aux intrusions physiques à minima pour en ralentir la progression et permettre l’alerte. Toute intrusion dans un local sensible génère une alarme qui est remontée en salle de supervision qui en fonction de la gravité et de la nature de la menace peut entrainer un déplacement de la police.

6 . 1 .1 . Accès phys ique du p é r imèt r e

Chaque zone de bureaux nécessite un accès par badge habilité.

Chaque bâtiment de l’hébergeur se trouve sous vidéo surveillance, et conformément à la loi informatique et liberté n°78-17, les enregistrements sont conservés un mois, et sont visibles sur demande auprès du service sécurité.

Chaque bâtiment est protégé par une alarme anti-intrusion le soir (20h) jusqu'au lendemain matin (7h) pour les jours ouvrés et 24h/24 les week-ends. Les traces d’alarme sont conservées en historique. L’alarme ne peut être désactivée en cas de présence dans le bâtiment, elle peut uniquement être retardée par tranche de 45 minutes par les badges habilités.

Tous les bureaux peuvent être fermés à clé la journée en cas d’absence. Le personnel dispose de rangements sous clé (caisson, armoire) dans son bureau afin d’y classer les documents et matériels de travail confidentiels.

Les bureaux avec des accès pompiers restent ouverts.

Les locaux techniques (électricité, télécommunication, réseau, …) sont fermés à clé ou contrôlés par badges.

Les salles serveurs disposent de protections supplémentaires : contrôle d’accès double (badge et biométrie), sas d’accès, vidéo surveillance. De plus, tous les accès sont tracés. Ces traces ne sont accessibles qu’à un nombre restreint de personne.

Elles sont supervisées en permanence par les opérateurs.

Descriptif technique du Data Center


Version 1.0 20 / 47

6.2. Gestion des badges d’accès

6 . 2 .1 . Cat égor ies de badges

Les badges ont un accès modulable (accès au bâtiment par service).

Chaque badge d’accès est nominatif. Il comporte le logo de l’hébergeur (pas le nom de la société), la photo, le nom et le prénom du salarié.

Un numéro de badge permet de rapprocher le cas échéant le badge de son propriétaire.

Le badge doit être porté de façon visible lors des déplacements dans les locaux.

Le mode d’attribution des badges dépend de catégories :

Salarié en CDI : le badge n’a pas de date limite de validité (en début de contrat le salarié a un badge temporaire pendant 1 à 5 jours le temps que son badge définitif soit généré),

Salarié en CDD : le badge est limité dans le temps (à fin de contrat) et ne comporte pas l’identité du salarié mais la mention TEMPORAIRE,

Stagiaire : le badge est limité dans le temps (à fin de stage) et ne comporte pas l’identité du stagiaire mais la mention STAGIAIRE,

Prestataire : le badge est limité dans le temps (à fin de prestation) et ne comporte pas l’identité du prestataire mais la mention PRESTATAIRE,

Visiteurs : Les visiteurs n’ont pas de badge mais sont toujours accompagnés d’une personne interne à l’hébergeur. Cette personne aura la responsabilité du ou des visiteurs qu’elle accompagne.

6 . 2 .2 . At t r ibut ions

Les demandes de badges sont faites par le service du personnel à l’embauche d’un collaborateur, ou à l’arrivée d’un stagiaire, intérimaire ou prestataire.

Toutes les demandes de badge sont stockées puis archivées.

Le badge est remis au salarié accompagné d’un document expliquant ses responsabilités.

6 . 2 .3 . Modi f i ca t ion

Par défaut les badges sont créés pour des accès standards. Si le salarié a besoin d’accès plus large, son responsable hiérarchique doit en faire la demande justifiée aux services généraux.

6 . 2 .4 . Révocat i on

Les ressources humaines envoient une liste du personnel sortant quand il y a des mouvements. Dans le cas d’un salarié qui a déjà quitté la société le badge est révoqué. Dans le cas d’un salarié dont la date de départ est fixée, la période de validité du badge est modifiée.

Les badges révoqués, comportant la photo du salarié, sont détruits.


Version 1.0 21 / 47

En cas de vol de badge, celui-ci est immédiatement supprimé. Un badge temporaire avec date de validité est fournit en attendant que le nouveau badge définitif soit généré.

En cas d’oubli de badge, la personne doit se rendre aux services généraux afin d’avoir un badge temporaire valable une journée.

Guide de sécurité de l'information : § Accès aux locaux

Guide de sécurité de l'information : § Travail en zone sécurisé

Guide de sécurité de l'information - Annexe Administrateur : § Travail

en zone sécurisée

6.3. Travai l dans les locaux sécurisés

Des procédures et des contrôles renforcés sont exigibles par le RSSI pour accroître la sécurité des locaux sensibles. Des consignes, portées à la connaissance du personnel par sa hiérarchie et par le Data Center Manager, déterminent les conditions de travail dans les locaux sécurisés :

ne pas laisser seule une personne travaillant dans ces locaux pour des

raisons de sécurité du personnel ou compte tenu de la sensibilité des informations accessibles, à défaut dans le premier cas, obligation faite que la personne signale sa présence (à son responsable hiérarchique, au service sécurité…) de sorte qu’un contrôle fréquent assure que la vie de la personne isolée n’est pas en danger,

maintenir systématiquement fermés les locaux sécurisés, même provisoirement vacants,

ne pas laisser seule une tierce partie dans un local sécurisé.

Guide de sécurité de l'information : § Travail en zone sécurisé

Guide de sécurité de l'information - Annexe Administrateur : § Travail

en zone sécurisée

Guide de sécurité de l'information - Annexe Administrateur : §

Protection des systèmes sensibles

Procédure d'enrôlement

Procédure d’accès des mainteneurs tiers

6.4. Protection des équipements

6 . 4 .1 . Ins ta l l a t ion e t pr ot ect ion des équipem ents .

Le matériel est situé dans des salles d’hébergement dont l’accès est protégé par un lecteur de badges et un appareil de reconnaissance biométrique.


Version 1.0 22 / 47

Les autorisations d’accès aux Data Center sont faites par formulaire papier signé du responsable de la ressource et transmise au Data Center Manager qui vérifie la demande et la signe conjointement avec le RSSI.

Seul le Data Center Manager et le responsable sécurité physique des Services Généraux sont habilités à « enrôler » de nouveaux membres ou à en supprimer.

Une liste des personnes ayant accès aux salles d’hébergement est tenue à jour par le Data Center Manager. Cette liste est contrôlée périodiquement par le RSSI.

Des caméras enregistrent sur 7 jours les différents évènements : les passages (accès au bâtiment, accès à la salle d’hébergement) et présence dans la salle sont enregistrés et gardés pendant 1 mois.

Aucune personne extérieure, ou n’étant pas habilitée à accéder aux salles d’hébergement ne pourra entrer sans s’être enregistrée dans le registre des visites et sans être accompagnée par une personne ayant accès.

En cas de visite de la salle par une personne extérieure (client ou prospect), une personne habilitée fera s’enregistrée les personnes extérieures sur le registre des visites tenu par les opérateurs, puis accompagnera ces personnes tout le long de la visite.

Pour les Tiers mainteneurs, ils doivent s’enregistrer sur un registre, puis se faire accompagner par un opérateur le temps de leur intervention.


Procédure d'enrôlement

Procédure d’accès des mainteneurs tiers

6 . 4 .1 . 1 . P révent ion des r i sques natu re l s .

Les mesures de protection contre l'incendie et les dégâts des eaux sont prises à plusieurs niveaux : prévention, détection, confinement, extinction pour l’incendie, et sauvegarde résiduelle des biens. Des consignes au personnel de surveillance et des consignes générales diffusées à tout le personnel indiquent la conduite à tenir. Au niveau de l’hébergement, le confinement du feu et des fumées est assuré par la résistance des matériaux au feu, le compartimentage du bâtiment, la configuration des ouvertures et par les mesures suivantes prises dès la confirmation de détection : arrêt de la climatisation, fermeture des clapets et des portes coupe-feu, coupure d'alimentation électrique des machines. Les moyens de surveillance et de détection sont centralisés vers une salle opérateur qui dispose de consignes claires et connues en cas d’incident. Des boucles de détection d’eau sont présentes en faux plancher dans les salles informatiques, et notamment dans les bacs de rétention d’eau disposées sous les Unités de Climatisation. La supervision se fait depuis la centrale d’alarme en salle opérateur.


Version 1.0 23 / 47

6 . 4 .1 . 2 . Sur ve i l l ance par des moyens hum ains .

Les dispositifs de surveillance par des moyens humains ont pour but de détecter et d’interdire en permanence la présence de personnel non autorisé à l’intérieur du site. Ces dispositifs supposent la mise en œuvre de moyens différents selon les périodes de la journée (heures ouvrées ou non), tels que des moyens :

statiques : filtrage à l’entrée de l’établissement par les personnels d’accueil aux heures ouvrées, aux heures non ouvrées la surveillance se fait via supervision des caméras par les opérateurs,

mobiles : rondes d’un maitre chien, effectuées essentiellement en dehors des heures de travail et permettant de surveiller l’intégrité du site et des zones sensibles,

d’intervention : internes ou externes (police, etc.).

Le personnel assurant la surveillance est en nombre suffisant pour effectuer en toutes circonstances les surveillances et rondes nécessaires, de jour comme de nuit. Les surveillants appelés à se déplacer seuls sur un site sont équipés d’un matériel de communication.

6 . 4 .2 . Condi t i onnem ent é l ec t r ique e t c l ima t ique

Les mesures décrites au présent chapitre s’appliquent au site d’hébergement.


6 . 4 .2 . 1 . C l imat i sa t i on

La fiabilité du système d’information ne peut se concevoir sans un contrôle rigoureux des conditions ambiantes dans lesquelles il est placé. La chaleur, l’humidité, la poussière, les écarts de température nuisent au bon fonctionnement des équipements. Les climatiseurs sont équipés d’une régulation de type numérique garantissant l’adéquation aux besoins de la zone concernée. Les moyens de surveillance et de détection sont centralisés vers la salle opérateur. Un automate de contrôle supervise les systèmes de climatisation, et assure le délestage de la climatisation de confort sur défaillance ou surcharge et la retransmission des alarmes vers la salle opérateur. L’alimentation des climatiseurs est du type Normal / Secours assuré par les groupes électrogènes.

6 . 4 .2 . 2 . Énerg i e

Les équipements télécoms et informatiques, notamment les serveurs hébergeant les données requièrent, pour leur bon fonctionnement, la mise en œuvre de dispositifs d’alimentation en énergie ayant un taux de disponibilité adapté aux exigences spécifiques d’exploitation.

Arrivées de distribution électrique redondées.


Version 1.0 24 / 47

Secours électrique par des onduleurs redondés, des batteries et un groupe électrogène.

Chaque protection est reliée à la console GTB (Supervision électrique)

6 . 4 .3 . Sécur i sa t i on du câb lage

Les conduits utilisés pour les câbles réseau sont séparés d’au moins 30 cm des conduits utilisés pour les câbles électriques en respect des normes en vigueur. Les câbles réseau pénètrent directement en salle informatique depuis un réseau de conduits souterrains en double parcours indépendants passant sous la voirie.

6 . 4 .4 . Ma i ntenance des équi pem ent s

L’ensemble des équipements informatiques et télécoms fait l’objet d’un contrat de maintenance. Les mesures suivantes sont prises pour la maintenance des équipements supportant des données sensibles :

signature, par les sociétés titulaires des contrats de maintenance, d’engagements de confidentialité nominatifs,

avertissement de l’hébergeur par le mainteneur, préalablement à toute opération de maintenance sur site,

accompagnement de tout personnel externe par l’hébergeur pour les matériels placés dans une zone sécurisée,

enregistrement des interventions de maintenance par l’hébergeur (heure de début et de fin d’intervention, matériel concerné, motif de l’intervention),

respect des exigences de sécurité en termes de recyclage, de mise au rebut et de destruction des médias.

Les exigences de sécurité sont prises en compte dans les clauses contractuelles des contrats de maintenance sur site ou en atelier et approuvées par l’hébergeur.

6 . 4 .5 . Mesures i nd i v idue l les de p rot ect i on

Le contrôle d’accès au poste de travail est nominatif. Le poste de travail est protégé par un mot de passe personnel (unicité d’identité) soumis à des règles de construction et de péremption. Le poste de travail revient automatiquement en mode protégé après 10 minutes d’inactivité. Le mode protégé (écran de veille) nécessite la saisie d’un mot de passe. Les répertoires personnels en local et sur les serveurs de fichiers sont protégés. L’utilisateur est responsable des informations confidentielles qu’il crée ou utilise. Il est tenu de les protéger. En fonction de leur sensibilité, il pourra les protéger au moyen d’un produit de chiffrement approuvé par le RSSI.


Version 1.0 25 / 47

7. Gestion des systèmes et réseaux

7.1. Administration des systèmes

7 . 1 .1 . Procédur es d ’admin i s t r a t ion e t d ’exp l o i ta t i on .

L’utilisation des comptes des systèmes, des équipements réseau actifs et des comptes d’administration de bases de données ou d’applications est réglementée. Des procédures sécurisées régissent les gestes d’administration et d’exploitation sensibles. La liste des comptes sensibles est revue régulièrement lors d’audit des comptes par le RSSI, au minimum une fois par an.

7 . 1 .2 . Gest ion des changements

Les changements matériels et logiciels sont gérés en configuration. Les changements ou mises à niveau sont précédés par une analyse d’impact, une étude de faisabilité du retour arrière et une sauvegarde des configurations matérielles et logicielles. Toute modification de l’infrastructure du système d’information, au niveau applicatif, système ou réseau (avec ou sans interruption de service) doit faire l’objet d’une demande de changement. (Request For Change) Celle-ci sera soumise à acceptation lors du CAB (Change Advisory Board).

Les changements sont validés avant leur mise en œuvre dans l’environnement de pré-production avec un plan de tests.

Procédure de gestion des changements et des mises en production

7 . 1 .3 . Sépar a t ion des r ô les

L’hébergement est organisé selon le principe de séparation des tâches d’administration, d’exploitation et de contrôle sécurité. L’attribution des comptes et des niveaux de droits se limite aux besoins de la fonction des différents acteurs.

7 . 1 .4 . Sépar a t ion des ac t i v i t és de déve loppement e t d’ explo i t a t ion

Les activités de développement et d’exploitation sont séparées. Des moyens techniques et organisationnels garantissent cette séparation.

Organigramme de l’hébergeur de données de santé à caractère

personnel


Version 1.0 26 / 47

7.2. Maintien en condit ion opérationnel

7 . 2 .1 . Ma i nt ien de la d isponi b i l i t é

Les mesures propres à minimiser l’indisponibilité du SI, concernent en particulier le suivi des ressources consommées (espace mémoire, médias, robots, charge réseau, puissance CPU, taux d’erreurs…) et les tests fonctionnels avant mise en production (fonctions de sécurité…)

Afin de réduire le risque de défaillance des systèmes, les équipements mis en place sont toujours plus performants que le besoin immédiat de manière à anticiper les évolutions futures.

Les outils de supervision de l’infrastructure permettent de détecter les pics de charge et donc d’anticiper les éventuels goulets d’étranglement.

7 . 2 .2 . Mai nt ien de l ’ in t égr i té

7 . 2 .2 . 1 . Tr açabi l i t é des ges tes d ’admin i s t r a t ion

Toute action sensible exécutée à partir d’un compte d’administration est tracée et est à tout moment auditable.

7 . 2 .2 . 2 . Tr açabi l i t é des inc i dents

Tout incident d’administration, de sauvegarde, de restauration ou de sécurité est tracé et fait l’objet d’une déclaration. Tout accès non autorisé à une fonction d’administration ou d’exploitation est tracé, toute violation faisant l’objet d’une remontée d’alarme. L’hébergeur a en charge :

l’activation des fonctions d’audit (sur tous les serveurs et équipements réseaux qui le justifient),

l’édition des journaux d’audit sur des machines différentes des machines auditées,

la mise en place de droits d’accès restrictifs aux journaux d’audit,

l’analyse des évènements dont la surveillance lui est déléguée,

la conservation des journaux d’audit pendant une durée supérieure à la fréquence d’analyse et d’archivage,

la conservation des archives.

7.3. Lutte contre les virus et codes malvei l lants

Les postes de travail et les serveurs sont munis d’une protection permanente et à jour contre les virus et les codes malveillants.

Un antivirus est installé sur chaque poste de travail et chaque serveur. Cet antivirus est géré par un serveur qui se met à jour toutes les 4 heures, les serveurs de traitements données et les postes de travail interrogent ce serveur toutes les 10


Version 1.0 27 / 47

minutes pour télécharger le cas échéant une mise à jour (politiques d’exceptions et jeu de signatures antivirus ainsi que la liste de malwares référencés). L’antivirus de fichiers analyse tous les fichiers en temps réel sauf ceux présents dans une liste d’exception. L’antivirus de messagerie analyse tous les contenus. Lors de la connexion au réseau via un poste de travail équipé de l’antivirus, une mise à jour est effectuée si cela est nécessaire. Un système anti spam permet de filtrer les spyware, virus et autres spam via la messagerie. La charte informatique donne la ligne de conduite sur l’usage d’internet, de la messagerie et notamment des téléchargements de fichiers et de logiciels.

Procédure de gestion des antivirus et filtre anti spam

7 . 3 .1 . Tr a i t ement

L’Exploitant a l’obligation d’alerter sans délais sa hiérarchie et le RSSI pour tout problème d’infection qui lui est soumis et de prendre toute mesure d’isolement nécessaire pour éviter la propagation des infections virales.

7 . 3 .2 . Repor t i ng

Les messages d’alerte sont stockés sur le poste utilisateur, les remontées d’alertes d’infections sont gérées par une équipe de surveillance grâce à des rapports du serveur antivirus. L’Exploitant a l’obligation de remonter mensuellement au RSSI les statistiques concernant les infections enregistrées et les virus éradiqués sur les serveurs.

7.4. Administration des réseaux

7 . 4 .1 . Réseaux locaux

Les procédures sécurisées d’administration, de supervision, d’exploitation et de surveillance des réseaux locaux concernent notamment :

la connectique (brassage, connexion, cartographie),

la gestion du plan d'adressage,

l’installation et la maintenance des équipements réseau et dispositifs de sécurité associés,

la supervision et la configuration des équipements sur les réseaux locaux,

la supervision, la sauvegarde et la configuration des dispositifs de sécurité associés,

la gestion des sauvegardes et des supports,

la surveillance du fonctionnement du réseau local et des dispositifs de sécurité associés,

la vérification des performances et des paramétrages sécurité du réseau, selon les fonctionnalités offertes par les outils utilisés,

la gestion des alertes et le déclenchement des actions correctrices,


Version 1.0 28 / 47

la gestion des sécurités : comptes d’administration, accès distants (authentification renforcée, filtres,..), pare-feux,

la traçabilité des interventions.

Le SI de l’hébergeur est composé de plusieurs zones (délimitées par des éléments de sécurité) ayant chacune une fonction différente (usage interne, serveurs connectés à Internet, applications clientes, …). Cela permet de différencier les flux et ainsi de mieux les canaliser, surveiller, analyser et protéger.

Les infrastructures de réseau local sont distinctes pour les usages internes (serveurs internes) et externes (serveurs clients). De façon plus générale, à chaque fois que cela est possible, les ressources utilisées pour les clients sont distinctes des ressources utilisées en interne. Le principe est de pouvoir intervenir en maintenance sur les équipements internes sans faire aucune interruption de service pour les clients et aussi de séparer les ressources afin d'éviter les effets de bord, c'est-à-dire éviter toute influence des usages internes sur le service rendu au client.

Afin de garantir la protection des informations transitant par le réseau, les interconnexions et accès aux ressources sont contrôlés par des firewalls et des « sniffeurs ». Dès qu'une attaque est détectée, l'accès intéressé est automatiquement clôturé. Ces firewalls assurent le contrôle des flux entrant et sortant. Une tenue à jour des ports ouverts et des droits d’accès est faite périodiquement.

Différents « Firewalls » filtrent et tracent les activités entre les différentes zones réseau. Chaque zone réseau ayant une fonction précise, une analyse des traces permet de détecter les intrusions (Trojan en interne, accès distants, interconnexions de réseaux, …).

Quand un problème est détecté, une sonde est placée sur le réseau à l’endroit le plus approprié pour compléter l’information par une écoute active du réseau (enregistrement du trafic).

Des mails d’alertes ou des indicateurs dans les consoles de supervision informent également administrateurs des problèmes survenus.

7 . 4 .2 . Les accès d i s tants

La mise en place d’un antivirus est fortement préconisée dans le cas de l’utilisation de matériel personnel.

La connexion au réseau de l’hébergeur en mode télétravail reprend les droits similaires à ceux d’une connexion interne avec quelques privilèges en moins (par exemple la connexion au domaine interne).

Le mode télétravail n’est utilisé que pour le personnel d’astreinte pour faciliter la couverture 24h/24.

En cas d’accès à des données sensibles, un antivirus est exigé.

Procédure de gestion des accès distants


Version 1.0 29 / 47

7 . 4 .2 . 1 . Gest ion des dro i ts

Dans le cas d’interconnexions ponctuelles (accès distants) les utilisateurs s’authentifient sur une base (Serveur d’identité protégé par des équipements de sécurité filtrant) gérée par les administrateurs de l’hébergeur. Une fois cette étape d’authentification effectuée, l’utilisateur pénètre sur le réseau sur une zone délimitée (il reste encore les authentifications sur les applications). Cette phase d’authentification est totalement transparente pour l’utilisateur dans la mesure où il utilise une application intégrée qui gère elle-même l’appel au SI, l’authentification sur le réseau et l’authentification sur le serveur d’application. La création des comptes d’accès distants est définie dans un processus établi.

7 . 4 .2 . 2 . C l ients

Les clients se raccordant à l’hébergement de données de santé à caractère personnel depuis l'extérieur des sites de l’hébergeur accèdent au système au travers de dispositifs d’authentification renforcés :

carte CPS pour les professionnels de santé,

certificat numérique pour les patients.

7.5. Protection et manipulation des médias

7 . 5 .1 . D ispos i t ions génér a les

L’utilisation de médias contenant des informations confidentielles fait l’objet de règles d’accès, de conservation et de destructions sécurisées. Ces règles s’appliquent notamment aux :

documents papier et électroniques,

bandes magnétiques, disques durs, optiques, DVD, CD-ROM, disquettes, cartouches et cassettes (informatiques, vidéo ou audio), clés USB.

documents en sortie d’imprimante et de télécopieur.

Procédure de gestion des supports de données

7 . 5 .2 . P rot ect i on

Des mesures de protection garantissent l’intégrité, la disponibilité et la confidentialité des informations confidentielles. Les mesures de protection applicables aux informations confidentielles consistent notamment à :

limiter l’accès aux informations aux personnes ayant besoin d’en connaître,

mentionner la confidentialité des documents sur chaque page

déchiqueter les brouillons ou les documents périmés

transmettre les documents et médias confidentiels en main propre, sous enveloppe fermée par le courrier interne ou sous double enveloppe pour le courrier externe, la sensibilité des documents ou


Version 1.0 30 / 47

des médias étant rappelée si nécessaire dans la lettre d’accompagnement

proscrire la transmission totale ou partielle des documents confidentiels par télécopie

conserver les documents et médias confidentiels dans des locaux protégés ou dans des coffres.

7 . 5 .3 . Recyc lage e t mise au r ebut

Une procédure de mise au rebut garantie que, les informations détruites ne seront plus accessibles et que des objets nouvellement créés ne contiennent pas d’informations qui ne devraient pas être accessibles. Les médias susceptibles de contenir des informations confidentielles (disques durs, cartouches…) sont détruits physiquement et font l’objet d’un procès verbal de destruction. L’échange standard de médias non soumis à destruction physique est conditionné à l’exécution d’un formatage haute sécurité à réutilisation ou restitution, selon le cas. Un certificat de formatage haute sécurité est exigé. Le RSSI est responsable des modalités et des procédures de destruction et de stockage transitoire avant destruction des médias qui lui sont confiés du fait de son métier

Procédure de gestion des supports de données - § Mise au rebut


Version 1.0 31 / 47

8. Contrôle d’accès

La politique de contrôle d’accès s’applique à l’ensemble des utilisateurs du système de l’hébergeur, quels que soient leurs profils ou privilèges

8 . 1 . Prof i l s e t r èg l es d ’accès

Les mesures de sécurité appliquées pour les profils et règles d’accès consistent notamment à :

octroyer et gérer de façon centralisée droits et privilèges en définissant des groupes d’utilisateurs (administrateurs, rédacteur, lecteur, …),

dissocier les comptes administrateurs et autres comptes à privilèges des autres comptes.

La politique générale est que :

les utilisateurs ne doivent avoir de vue que sur les applications auxquelles ils ont besoin d’accéder,

les données ne doivent être accessibles que par les utilisateurs habilités.

Pour cela il faut :

s'assurer que l'information est classée au bon niveau de sensibilité (confidentielle, interne, public),

définir la liste les personnes autorisées à accéder ou à modifier une information confidentielle et de le mentionner à ces personnes,

s'assurer que l'information est stockée dans un endroit accessible aux seules personnes autorisées (en lecture ou en écriture).

Guide de sécurité de l'information - § Responsabilité du "propriétaire" de

l'information

Guide de sécurité de l'information - Annexe Administrateur : § Accès aux systèmes

sensibles

8 . 2 . Gest ion des habi l i t a t ions

8 . 2 .1 . Créat ion à l ’ embauche

Tous les nouveaux arrivants sont déclarés dans le logiciel des Ressources Humaines (SIRH). Leur déclaration créé automatiquement une entrée dans le référentiel une fois que l’utilisateur est validé par la RH. La création de compte d’accès au SI est conditionnée par la présence dans le référentiel RH.

Les Ressources Humaines sont le point central du processus. En effet, dès qu’une personne est embauchée, les RH saisissent dans le logiciel SIRH le nom et prénom


Version 1.0 32 / 47

de la personne, son poste et sa fonction, et si nécessaire, une date de fin de contrat (exemple : CDD, prestataires, stagiaires...). Une fois ces informations saisies, une création automatique est faite dans l’Active Directory, et un mail est automatiquement envoyé aux Services Généraux pour la création du badge d’accès au bâtiment.

8 . 2 .2 . Gest ion des dem andes

Toute demande de modification/suppression/création est formalisée par une demande faite dans le SI Support. Les demandes de création / modification / suppression des comptes utilisateurs relatives aux applications métier, à la messagerie, aux bases documentaires sont réglementées par des procédures et sont traitées comme demandes de travaux. Les demandes de travaux visant à faire évoluer le Système d’information ou les Télécoms sont obligatoirement validées par la Direction. Toute demande de travaux qui contrevient aux règles d’exploitation nominales de l’hébergement de données de santé doit faire l’objet d’une demande de dérogation soumise au RSSI.

Procédure de gestion des demandes d’accès

8 . 2 .3 . Gest ion des pr i v i l èges

La politique de gestion des comptes privilégiés ou sensibles consiste à :

Réglementer par des procédures et restreindre l’utilisation des comptes privilégiés (système, réseau, SGBD, applications métiers, gestion des mots de passe) en dissociant les rôles.

Faire établir et maintenir à jour par les équipes d’exploitation la liste des comptes sensibles, des droits associés et des détenteurs.

Faire effectuer le contrôle des groupes particulièrement sensibles par le RSSI.

Rappel : Les droits sur les comptes de service sont configurés au plus juste et revus périodiquement.

8 . 2 .4 . Gest ion des m ots de passe

L’hébergeur met en place et maintien une politique de gestion robuste des mots de passe en imposant des règles de construction complexe et de mise à jour minimales.

8 . 2 .5 . Vér i f i ca t i on

Dans le cadre de la revue régulière de conformité, le RSSI vérifie que la politique de sécurité relative aux règles de construction et de mise à jour des mots de passe et aux droits et privilèges sur les serveurs et postes de travail des sites est bien appliquée.


Version 1.0 33 / 47

8 . 3 . Obl i ga t i on des u t i l i sa teur s

8 . 3 .1 . Sécur i t é des m ots de passe

L’authentification de l’utilisateur s’effectue au moyen d’outils (identification de l’utilisateur + mot de passe) strictement personnels et incessibles. L’utilisateur est responsable de la gestion de ses mots de passe. L’utilisateur à l’obligation de :

choisir des mots de passe complexes et difficiles à trouver,

préserver ses mots de passe contre toute diffusion intentionnelle ou accidentelle,

modifier immédiatement les mots de passe temporaires présents lors de l’initialisation d’un système ou d’un produit.

De ne pas utiliser les 5 derniers mots de passe.

8 . 3 .2 . Poste de t r ava i l

Le contrôle d’accès aux postes de travail se fait par le biais d’une authentification sur le domaine d’authentification (AD). Sans compte dans le domaine il n’est pas possible d’accéder au réseau et au poste de travail.

Procédure de Contrôle d’accès d’un poste de travail

L’installation et l’utilisation de logiciels dont les droits n’ont pas été acquis sont interdites. L’utilisation d’un modem ou d’une connexion Wifi externe sur un poste de travail est strictement interdite. L’utilisateur a obligation :

de protéger ses données résidant sur son poste de travail par des sauvegardes régulières sur les portails et espaces partagés mis à disposition,

de ne pas désactiver ou augmenter le délai de basculement en écran de veille protégé par le mot de passe d’accès au système,

si nécessaire, d’utiliser les outils de chiffrement qui seront approuvés par le RSSI pour préserver la confidentialité des données sensibles,

8 . 4 . Cont rô l e d ’ accès au r éseau

Le principe de base de l’architecture du réseau de l’hébergeur est qu’aucun flux externe (en provenance d’Internet) ne peut pénétrer le réseau directement. Cela se traduit par une architecture composée de plusieurs « zones » délimitées par de multiples éléments de sécurité (pour filtrer) et de relais (pour couper les flux). Chaque zone a un rôle bien précis (postes de travail, serveurs connectés à Internet, serveurs internes, serveurs utilisés par les clients, …).

Les seuls accès depuis Internet autorisés sont :

les flux de messagerie (SMTP) qui accèdent à des serveurs de messagerie relais sur une zone délimitée (DMZ),


Version 1.0 34 / 47

les flux pour serveurs WEB (HTTP/HTTPS) des applications WEB hébergées qui accèdent à des relais WEB sur une zone délimitée (SMZ).

Ces flux sont coupés par des relais pour interdire toute connexion directe au réseau.

Procédure architecture réseau

L’hébergeur distingue deux types d’interconnexions :

les interconnexions permanentes internes (VPN et liaison de type LS/RNIS),

les interconnexions ponctuelles (accès distants) interne pour les collaborateurs de l’hébergeur.

Dans le cas d’interconnexions permanentes, le site est considéré comme « sûr » après un audit de mise en place. Les équipements d’interconnexions sont gérés par les administrateurs de l’hébergeur.

Les équipements de sécurité entre les utilisateurs et les applications filtrent les accès et ne les autorisent qu’aux seules applications nécessaires.


Procédure de gestion des interconnexions

Chaque ressource destinée à un usage interne (serveurs, postes de travail) se trouve dans la même « zone » réseau. Les équipements de sécurité filtrants permettent d’interdire tout flux externe à cette zone d’y entrer.

La connexion d’un équipement à cette zone nécessite une procédure particulière. En effet chaque équipement réseau (commutateur) est verrouillé pour ne pas accepter de nouveaux équipements sans intervention d’un administrateur. Cette mesure permet de garantir qu’aucun poste de travail ne sera connecté au réseau sans y être autorisé.

Guide de sécurité de l’information : § Sécurité des réseaux

Guide de sécurité de l’information : § Paramétrage de la sécurité


8 . 4 .1 . Adm i n is t r a t ion des équipements réseaux

La connexion aux équipements réseau à des fins d’administration, de maintenance ou d’audit nécessite obligatoirement l’usage d’un identifiant et d’un mot de passe. Les mots de passe installés par défaut sont systématiquement changés, un mot de passe différent étant affecté pour chaque mode de connexion. Les mots de passe non triviaux et de longueur minimale (8 caractères) sont changés à minima :

suite au départ d’un des administrateurs des équipements réseaux,

suite à la diffusion exceptionnelle de ceux-ci.


Version 1.0 35 / 47

L’accès à partir de l’extérieur par un tiers mainteneur n’est pas autorisé, sauf dérogation. Les équipements actifs du réseau remontent automatiquement des alarmes vers les outils de supervision du réseau.

8 . 4 .2 . Au t hent i f i ca t ion r enf or cée dans le cadr e d e l ’ héber gem ent de données de san té à ca ractèr e per sonnel

La sécurité des comptes pour l’accès au système d’hébergement de données de santé à caractère personnel opérant à distance est assurée par des solutions d’authentification renforcée.

8 . 5 . Cont rô l e d ’ accès au sys t ème

8 . 5 .1 . Adm i n is t r a t ion des m ots de passe

Les mots de passe des comptes administration, non triviaux, régulièrement changés, peuvent, si nécessaire, être remis au RSSI par les administrateurs dans des enveloppes cachetées et conservées dans un coffre fort. Pour renforcer les stratégies des mots de passe, et dans la mesure où le système le permet, la politique de gestion des mots de passe consiste à :

conserver l’historique des mots de passe sur les derniers utilisés avec interdiction de les réutiliser,

fixer à 1 jour la durée de vie minimale des mots de passe,

limiter à 42 jours la durée de vie maximale des mots de passe,

fixer la longueur minimale des mots de passe à 8 caractères alphanumériques avec caractères spéciaux,

choisir des mots de passe difficiles à découvrir ou non re-jouables et journaliser les tentatives de connexion infructueuses.

8 . 6 . Cont rô l e d ’ accès aux appl ica t ions

Le contrôle d’accès aux applications dépend du type d’application :

application WEB (sur Internet),

application sur le réseau privé (interconnecté),

application en accès distant.

Dans le cas d’applications WEB (sur Internet) l’authentification et l’application en elle-même sont cryptées par SSL car le réseau de transport utilisé n’est pas maîtrisé.

Dans le cas d’une application sur le réseau privé (interconnecté) l’authentification est cryptée. Le réseau est considéré suffisamment maîtrisé pour ne pas crypter tout le flux applicatif.

Le contrôle d’accès dans le cas d’accès distant est géré dans l’application elle-même. En effet l’application fonctionne en mode local et se connecte pour les synchronisations avec les serveurs. L’application est pré paramétrée en fonction de


Version 1.0 36 / 47

l’utilisateur qui ne doit saisir que son mot de passe. Les connexions au réseau puis au serveur applicatif sont intégrées dans l’application.

Les applications nécessitent un renouvellement de mots de passe périodique et chaque compte se verrouille après plusieurs tentatives de connexion infructueuses. Ceci n’est valable que sur les applications pouvant gérer ces fonctionnalités.

Pour les applications historiques ne gérant pas le renouvellement automatique des mots de passe il est conseillé aux utilisateurs de changer leur mot de passe régulièrement.

Procédure de gestion des mots de passe

Toute personne accédant aux applications doit pouvoir être identifiée individuellement. L’attribution de droits d’accès fonctionnels et géographiques (strictement limités à la durée de la mission) est l’objet d’un contrôle préalable par la hiérarchie directe de la personne.

8 . 7 . Dét ect i on , ana l yse e t t ra i t ement des inc idents de sécur i t é

Auditer la sécurité implique la reconnaissance, l’enregistrement, le stockage et l’analyse d’informations associées à des activités touchant à la sécurité. Les enregistrements d’audit en résultant doivent permettre de déterminer quelles activités touchant à la sécurité ont eu lieu et quelles personnes (utilisateurs) en sont responsables.

Des outils d’analyse réseau et de surveillance des applications et des systèmes supervisent les liens et équipements réseau.

Ces outils sont mis à disposition de l’équipe d’exploitation assure la gestion de premier niveau des incidents. Cette équipe s’appuie sur des méthodes, procédures et outils des différentes équipes (systèmes, réseau, communication électronique).

En cas de difficulté l’équipe supervision fait appel à l’équipe concernée pour la résolution de l’incident.

Les opérateurs reçoivent sur les consoles de pilotage et de surveillance les différents messages d’anomalies.

En fonction du type d’incident, ils entreprennent les actions prévues dans les consignes en leur possession. Ces actions peuvent être aussi différentes que la relance d’un service, le reboot d’un serveur, la mise en œuvre d’une procédure de restauration, l’appel à la maintenance constructeur, l’appel à la maintenance système et réseau ou l’appel à l’astreinte applicative.

Guide de sécurité de l'information : § Signalement des incidents

Procédure de gestion des incidents

Les incidents sont reçus par l’équipe de support dédié par application ou domaine technique. L’incident ou la demande est enregistré et qualifié.

S’il s’agit d’une demande de service, la procédure de demande est enclenchée.

Sinon l’incident est transmis à un support de niveau 2, composé d’experts techniques ou métier selon le domaine, pour investigation et diagnostic. Au final une résolution


Version 1.0 37 / 47

de l’incident ou une méthode de contournement est communiquée par le support au demandeur et appliquée.

L’incident ou la demande peut alors être clos.

En permanence le support suit l’incident et sa résolution, il communique avec le demandeur jusqu’à la clôture.

Guide de sécurité de l'information - Annexe Administrateur : § Gestion

des incidents

8 . 7 .1 . Évènements jour na l i sés

Chaque système est synchronisé sur la même horloge (serveur de temps NTP) de sorte qu’une recherche dans les fichiers de trace soit rendue plus facile.

Pour les systèmes historiques, l'horloge est synchronisée manuellement et de façon périodique sur le serveur de temps.

Guide de sécurité de l'information : § Surveillance des réseaux et des

systèmes

Guide de sécurité de l'information - Annexe Administrateur : § Historique

de l’utilisation du système informatique

Guide de sécurité de l'information - Annexe Administrateur : § Gestion et

utilisation des traces

Guide de sécurité de l'information - Annexe Administrateur : § Contrôle et

surveillance des actes d’utilisation d’Internet

Procédure de gestion des logs

Tout équipement sensible est l’objet d’une journalisation centralisée des évènements de sécurité. Les journaux sécurité sont alimentés en permanence et analysés en temps réel par un corrélateur des évènements de sécurité qui génère des alarmes. Les moyens de journalisation permettent la détection (en temps réel ou en différé selon la gravité de l’atteinte potentielle ou avérée) des événements représentant une menace significative à l’encontre de l’application de la Politique Particulière de Sécurité de l’hébergement des données de santé à caractère personnel. Chaque enregistrement d’audit comporte au minimum les informations suivantes :

date et heure de l’événement, type d’événement, identité du sujet, identité de l’hôte, ainsi que le résultat (succès ou échec) de l’événement,

identité de l’utilisateur qui est à l’origine de l’événement, Les journaux d’audit sont gérés sans intervention des administrateurs. Les accès et la destruction de ces journaux sont audités.

8 . 7 .2 . Al a rm es e t tab leaux de bor d de sécur i té

Des mesures de protection interdisent à toutes autres personnes que celles habilitées à accéder aux enregistrements d’audit de sécurité.


Version 1.0 38 / 47

Les incidents de sécurité graves journalisés font l’objet d’une alerte immédiate aux acteurs de la sécurité : administrateurs système ou réseau, au RSSI. Des procédures décrivent les mesures à prendre. Le tableau de bord des anomalies et incidents de sécurité permet de :

rendre compte au management sur le niveau et l’activité sécurité du système d’’hébergement des données de santé à caractère personnel et de tracer son évolution,

D’identifier les domaines dans lesquels les actions devront être renforcées.

8 . 7 .3 . Aud i t e t dro i t d ’accès

Toute anomalie grave est signalée directement au RSSI. Un audit des comptes non utilisés est effectué régulièrement. Après information, les comptes non utilisés sont fermés et les répertoires archivés.

8 . 7 .4 . S tockage e t prot ec t ion des évènements de sécur i té

Des mesures de sécurité garantissent la confidentialité des enregistrements d’audit et les préservent contre toute suppression non autorisée tout en permettant de détecter, et si possible d’empêcher, leur modification. Des mesures techniques et organisationnelles permettent de conserver la disponibilité, l’intégrité et la confidentialité des mécanismes et enregistrements d’audit en cas de dépassement de capacité ou de défaillance des moyens de stockage des journaux, ou d’attaque. Au cas où un journal d’audit est proche de la saturation, un message alerte l’administrateur de sorte qu’il ait le temps suffisant pour assurer sa copie sur un support de sauvegarde. Si cette opération ne peut s’effectuer suffisamment rapidement, les enregistrements d’audit les plus anciens sont écrasés et l’événement est tracé.

8 . 8 . P rot ect i on des sys tèmes e t des r éseaux

8 . 8 .1 . Ser veurs

L’application récurrente des patchs de sécurité, l’utilisation systématique des moyens et fonctions de sécurité propres aux systèmes opérés et la journalisation permanente des évènements et actions sensibles participent à la sécurisation de tout serveur du système d’hébergement des données de santé à caractère personnel.

8 . 8 .1 . 1 . Précaut ion d ’ i ns t a l l a t i on

La procédure d’installation d’un serveur est sécurisée, elle tient compte des derniers correctifs de sécurité du constructeur, les services inutiles ne sont pas installés. La sécurisation de l’installation s’effectue notamment en :

isolant la machine du réseau logiquement ou physiquement si possible,


Version 1.0 39 / 47

installant les correctifs de sécurité et de préférence la dernière version validée du système,

sélectionnant uniquement les composants indispensables.

Des tests unitaires sont effectués avant toute installation d’un nouveau système afin de mesurer les impacts sur la production. Des tests de filtrage des logiciels malveillants pour les anti-virus et firewall.

Des tests de vulnérabilité réseau et système automatisés sont effectués régulièrement afin de déceler les failles éventuelles de sécurité. Cela est renforcé par des contrôles humains réguliers.

Un outil de test de vulnérabilité est utilisé avant chaque mise en production d’un nouveau serveur ou d’une nouvelle application, afin de déceler et de corriger les failles de sécurité critiques.

8 . 8 .1 . 2 . Par amét r age du sys t èm e

Le paramétrage concourt à la sécurité du système. Une référence maitre (master) du système est, régulièrement mise à jour, est utilisée. Elle contient les mesures de sécurité qui consistent notamment à :

utiliser un système de fichiers autorisant un contrôle « fin » des droits sur les répertoires et les fichiers,

changer systématiquement les noms des comptes et mots de passe « constructeur »,

interdire les connexions « anonymes » pour accéder au système,

durcir la politique de sécurité des partages de fichiers,

restreindre l’accès distant aux seules machines autorisées,

limiter l’usage des commandes système et réseau sensibles aux seules personnes habilitées.

8 . 8 .1 . 3 . Par t age des r essources

Seuls les groupes d’utilisateurs authentifiés sont autorisés à accéder aux ressources partagées.

8 . 8 .2 . Poste de t r ava i l

L’application récurrente des patchs de sécurité, l’utilisation systématique des moyens et fonctions de sécurité propres aux systèmes opérés et la journalisation permanente des évènements et actions sensibles participent à la sécurisation de tout poste de travail. Par poste de travail, il faut entendre les machines fixes ou portables, quelque en soit le système d’exploitation ainsi que les stations de travail, à l’exclusion des terminaux passifs et des serveurs. La sécurisation du poste de travail est nécessaire pour :

protéger des données personnelles,


Version 1.0 40 / 47

limiter les risques de compromission du réseau par rebond sur un poste de travail,

intervenir à distance. L’utilisation d’un poste de travail est conditionnée à minima par le respect des règles suivantes :

accès au poste de travail contrôlé de façon nominative,

protection par un mot de passe personnel (Unicité d’identité),

configuration du poste non modifiable par l’utilisateur standard,

basculement automatique en mode protégé, pendant les périodes d’inactivité supérieures à 10 minutes.

8 . 8 .2 . 1 . Précaut ion à l ’ i ns t a l l a t ion

La procédure d’installation d’un poste de travail est sécurisée, elle tient compte des derniers correctifs de sécurité du constructeur, les services inutiles ne sont pas installés. La sécurisation de l’installation s’effectue notamment en :

installant les correctifs de sécurité et de préférence la dernière version validée du système,

sélectionnant uniquement les composants indispensables,

masquant à l’utilisateur les fichiers protégés du système d’exploitation,

interdisant l’accès aux paramètres et commandes sensibles susceptibles d’introduire des failles de sécurité dans le système ou sur le réseau.

8 . 8 .2 . 2 . Par amét r age du sys t èm e

Le paramétrage concourt à la sécurité du système. Les mesures de sécurité consistent notamment, quand le système le permet, à :

changer systématiquement les noms des comptes et mots de passe « constructeur »,

interdire les connexions « anonymes » pour accéder au système,

interdire et auditer les bases de comptes.

8 . 8 .3 . Équipements r éseaux

L’application récurrente des patchs de sécurité, l’utilisation systématique des moyens et fonctions de sécurité propres aux équipements opérés et la journalisation permanente des évènements et actions sensibles participent à la sécurisation de tout équipement actif du réseau. Ils sont également configurés pour limiter le trafic aux échanges de données autorisés. Les capacités de filtrage sont exploitées pour limiter la réponse des équipements réseaux aux seules consoles habilitées et notamment pour bloquer toute requête d’administration venant de l’extérieur sans authentification renforcée préalable.


Version 1.0 41 / 47

8 . 9 . U t i l i sa t ion de moyens cr yp t ogr aphiques

8 . 9 .1 . P r inc ipes appl icab l es

Les données confidentielles ne peuvent être transmises par messagerie que sous forme de pièces jointes chiffrées.

8 . 9 .2 . Ch i f f r ement

En cas de besoin d’un outil de chiffrement robuste, celui-ci sera mis à la disposition des utilisateurs de données confidentielles pour le stockage et l’échange de ces données, après approbation du RSSI. Ce produit de chiffrement répondra aux contraintes de sécurité dans les termes suivants :

chiffrement des fichiers sur le poste utilisateur,

chiffrement des fichiers partagés par un groupe défini de personnes,

échange de fichiers chiffrés,

chiffrement sur internet, Intranet, messagerie ou support magnétique grâce à une fonction d’auto-décryptage.

L’usage des fonctions de chiffrement « transparent » des données utilisateurs qui peuvent être proposées par les systèmes d’exploitation est soumis à l’autorisation du RSSI.

8 . 9 .3 . Gest ion des c lés

Les clés utilisées devront être d’une taille de 1024 bits et seront mises à niveau au fur et à mesure de l’évolution de la technique ou de la législation autorisant un niveau élevé de chiffrement des signatures numériques. La clé privée protégée par un mot de passe sera alors stockée, avec le certificat correspondant, sur un support cryptographique externe.


Version 1.0 42 / 47

9. Dérogation

L’hébergeur a mis en place une procédure de dérogation. Toute dérogation est soumise à acceptation et doit faire l’objet d’un enregistrement dans un document tenu à jour. Ce document permettra une revue périodique des dérogations et ainsi permettre soit la fin de la dérogation si elle n’a plus de raison d’être, soit la reconduite pour une durée déterminée. Les personnes ayant autorité pour accorder ou refuser une dérogation sont :

La direction de l’hébergeur,

Le RSSI,

Toutes personnes mandatées par les deux premiers.

Procédure de dérogation


Version 1.0 43 / 47

10. Conformité

10 .1 . Droi t s d ’ aut eur

L’installation et l’utilisation de logiciels dont les droits n’ont pas été acquis est interdite. L’installation et l’utilisation de logiciels dont les droits n’ont pas été acquis est sanctionnée par la loi 85-660 du 3 juillet 1985. Des organismes de défense des droits d’auteurs et des producteurs de bases de données comme l’ADAPI sont autorisés à agir en justice en application de l’article L.331-1 du code de la propriété intellectuelle. Leurs contrôleurs sont habilités par la loi à constater toute infraction en matière de violation des droits d’auteurs, notamment en matière d’utilisation illicite de logiciels informatiques, et à dresser des procès-verbaux qui font foi. Les administrateurs du SI en charge de la gestion du parc est tenu de communiquer au RSSI, la liste des logiciels dont les droits n’ont pas été acquis et dont il aurait connaissance, notamment à l’occasion d’un inventaire ou d’une intervention de maintenance.

10 .2 . Déc lar a t ion à l a CNIL

Le défaut de déclaration / demande d'autorisation auprès de la CNIL, ainsi que le défaut de sécurité sont passibles de poursuites pénales. Il est important de traiter de manière spécifique les données personnelles nominatives, puisque le "traitement automatisé de données nominatives" fait l'objet, en France, de dispositions légales spécifiques. Face aux dangers potentiels que l'informatique peut faire peser sur les libertés, la CNIL a pour mission essentielle de protéger la vie privée et les libertés individuelles ou publiques, en application de la loi n°78-17 du 6 janvier 1978. La CNIL est chargée de veiller au respect de la loi "Informatique et libertés" notamment en :

enregistrant les demandes d'avis du secteur public et les déclarations du secteur privé, procédant à des vérifications sur place,

établissant des normes simplifiées, afin que les traitements les plus courants et les moins dangereux pour les libertés fassent l'objet de formalités allégées,

exerçant le droit d'accès indirect,

instruisant les plaintes,

informant et en conseillant les personnes de leurs droits et obligations,

proposant au gouvernement les mesures législatives ou réglementaires qui lui paraissent utiles.

Il revient à l’hébergeur de faire les déclarations relatives aux applications internes et au responsable de traitement celles composant l’hébergement de données de santé à caractère de santé.


Version 1.0 44 / 47

10 .3 . F raude in f ormat i que

L’accès frauduleux à tout ou partie du Système d’Information est réprimé par la loi du 5 janvier 1988, dite loi Godfrain. Cette loi s’applique à la suppression ou la modification de données, l’altération du fonctionnement du système d’information ou l’entrave à son fonctionnement, ainsi que pour les actes de malveillance commis par l’introduction, la suppression, la falsification de données ou de leur mode de traitement ou de transmission.

10 .4 . Manquem ent à l a sécur i t é du sys t ème d ’ in f orm a t ion

L’article 226-17 du nouveau Code pénal érige en infraction spécifique le fait de manquer à la sécurité. Les personnes en charge de la sécurité du système d’information ont, au titre d’une obligation de moyens, l’obligation de s’assurer que les mesures de sécurité nécessaires sont prises pour protéger le système d’information et ses données. Le fait de procéder ou de faire procéder à un traitement automatisé d’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés, est puni de 5 ans d’emprisonnement et de 304 898 euros d’amende.

Ainsi, les responsables opérationnels s’assurent du respect de la politique de sécurité de leurs équipes, ils sont force de proposition pour faire évoluer la politique de sécurité de l’information. Toutes les opérations sont identifiées et affectées à une équipe technique informatique de l’hébergeur.

Chaque équipe à pour responsabilité de planifier et de s’assurer le la bonne exécution du travail. En particulier de surveiller les alertes, d’enregistrer les disfonctionnements et de mettre en œuvre les corrections nécessaires.

Des astreintes 24h/24-7j/7sont mises en place pour garantir un fonctionnement continue de l’exploitation et des services.

10 .5 . Obl i ga t i on de conf iden t ia l i t é

A des fins de contrôle de sécurité, l’ensemble des flux d’informations pourra être sauvegardé pendant une durée à préciser par la direction. Sont ainsi susceptibles d’être archivées les informations suivantes :

L’ensemble des flux entrants ou sortants au niveau des passerelles inter-réseaux,

L’ensemble des fichiers journaux qui contiennent notamment les tentatives de connexion, les comptes et sites accédés, les fichiers système,

L’ensemble des fichiers rapports constitués par les machines de sécurité (pare-feu, sonde de détection d’intrusion, anti-virus,…).

Toute diffusion d’information sur ces moyens, par des personnes non mandatées, est interdite tant à l’intérieur qu’à l’extérieur.


Version 1.0 45 / 47

Le traitement d'information et les moyens associés peuvent être utilisés à des fins de contrôle, pour des raisons impérieuses et dans les conditions exposées ci dessus, à partir des archives, des documents mis en quarantaine, et de l’état instantané du système d’information.

Sur demande des autorités (administratives, judiciaires ou de police..),

En cas d'incidents divers (virus, intrusion, saturation des ressources, pannes,….),

En cas d'acte de malveillance ou de détournement des moyens ou des ressources d’information et de communication,

Si nécessaire, à la demande du destinataire ou de l'émetteur. Ces contrôles, qui nécessitent l’enregistrement d’informations à caractère nominatif, font l’objet de déclarations à la CNIL, conformément à la loi du 6 janvier 1978.

Guide de sécurité de l'information - Annexe Administrateurs : § Respect

de la légalisation, des contrats, de la politique de sécurité et des procédures

d'exploitation

L’hébergeur dispose de chartes et de clause de confidentialité, à faire signer, pour son personnel interne ainsi que pour les tierces parties.

10 .6 . Cadre l éga l pour l ’u t i l i sa t i on de l a c r yp t o log ie

La cryptologie constitue aujourd'hui pour les entreprises la solution technique incontournable pour protéger leurs échanges sur le réseau contre d'éventuelles violations de correspondance. La cryptologie est un moyen de préservation de l'intimité de la vie privée. Selon l'article 29 de la loi pour la confiance dans l'économie numérique (LCEN) :

"On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité. On entend par prestation de cryptologie toute opération visant à la mise en œuvre, pour le compte d'autrui, de moyens de cryptologie.".

En vertu de l’article 30 de cette loi 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, l’utilisation des moyens de cryptologie est libre en France. N'étant plus réservé au domaine militaire, la cryptologie est une nécessité pour le bon fonctionnement de la société de l'information En revanche, la fourniture, le transfert depuis ou vers un État membre de la Communauté européenne, l’importation et l’exportation de ces moyens sont réglementés lorsque ces moyens n’assurent pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité. Ces opérations sont soumises soit au régime de la déclaration, soit au régime de l’autorisation.


Version 1.0 46 / 47

Réf. ANSSI http://www.ssi.gouv.fr ; Article 12 de la loi sur la réglementation des Télécom du 26 juillet 1996 ; Article 30 de la loi 2004-575 du 21 juin 2004 ; Accords de Wassenar

10 .7 . Code de condui te de l ’ aud i t eur

10 .7 . 1 . Obl i ga t i on de conf iden t ia l i t é

Les procédures et moyens mis en œuvre par l’auditeur assurent un niveau élevé de confidentialité aux informations recueillies au cours de l’audit et tout particulièrement en ce qui concerne les vulnérabilités recensées. Ainsi, l’Auditeur s’engage notamment à ce qu’aucune information obtenue au cours de tests de vulnérabilité et/ou d’intrusion ne soit exploitée ultérieurement.

10 .7 . 2 . Limi t e de l ’ aud i t

Aucune prestation d’audit et tout particulièrement des tests d’intrusion ne sera effectuée sans :

une description du périmètre à couvrir, formalisée dans une proposition ou convention de service approuvée par le commanditaire de l’audit,

une autorisation d’intervention signée entre le commanditaire de l’audit et l’Auditeur.

10 .7 . 3 . Mode opéra t o i r e

Des audits de sécurité pourront être déclenchés à l’initiative de la Direction ou du RSSI ou à la demande des autorités.

Les utilisateurs sont informés que l’entreprise se réserve la possibilité d’effectuer des contrôles sur la teneur des informations déposées par eux sur les forums Internet par consultation de serveurs Internet externes à l’entreprise et spécialisés dans des recherches de ce type.

Ces contrôles peuvent être opérés de façon inopinée ou systématique en cas d’incident ou d’acte de malveillance. Dans le cadre de l’hébergement de données de santé, avant de débuter sa mission, l’Auditeur :

avertit le Commanditaire de l’audit des risques sous-tendus par l’usage de certaines techniques d’évaluation (niveau d’agressivité réelle des outils dans le contexte de l’audit,),

sollicite l’accord du Commanditaire de l’audit sur les différentes méthodes et techniques de recherche utilisées pour recueillir des informations pertinentes sur la cible de l’audit.

http://www.ssi.gouv.fr/


Version 1.0 47 / 47

10 .7 . 4 . Conser vat ion de l ’ in f orm at ion

Le rapport d’audit et toutes les pièces rattachées (comptes rendus d’entretien, vulnérabilité résiduelle, rapports d’intrusions et trophées, etc.) sont classées « Confidentiel » ou tout au moins « diffusion restreinte » pour toute ou partie, selon l’appréciation du commanditaire de l’audit.

10 .7 . 5 . Comm uni cat i on

L’Auditeur communique des informations sur sa mission uniquement aux personnes désignées par le Commanditaire de l’audit pour les consulter.