Вы находитесь на странице: 1из 48

LA SCURIT DES DONNES

PERSONNELLES

dition 2010

Sommaire
Avant-propos

page 1

Introduction

page 3

Termes & dfinitions

page 5

Fiche n 1 - Quels risques ?

page 6

Fiche n 2 Lauthentification des utilisateurs

page 9

Fiche n 3 La gestion des habilitations & la sensibilisation des utilisateurs

page 11

Fiche n 4 La scurit des postes de travail

page 15

Fiche n 5 - Comment scuriser linformatique mobile ?

page 17

Fiche n 6 - Les sauvegardes et la continuit dactivit

page 18

Fiche n 7 - La maintenance

page 20

Fiche n 8 La tracabilit et la gestion des incidents

page 22

Fiche n 9 La scurit des locaux

page 24

Fiche n 10 La scurit du rseau informatique interne

page 25

Fiche n 11 La scurit des serveurs et des applications

page 28

Fiche n 12 - La sous-traitance

page 30

Fiche n 13 - Larchivage

page 32

Fiche n 14 - Lchange dinformations avec dautres organismes

page 34

Fiche n 15 - Les dveloppements informatiques

page 37

Fiche n 16 Lanonymisation

page 38

Fiche n 17 Le chiffrement

page 40

Acronymes

page 43

Annexes

page 44

Ce guide est tlchargeable sur le site Internet de la CNIL : www.cnil.fr

La place grandissante de linformatique dans toutes les sphres de notre


socit entrane la production, le traitement et la dissmination dun nombre
croissant de donnes personnelles.
Les menaces pesant sur les systmes et rseaux dinformation incluent la
fraude informatique, le dtournement de finalit, la captation frauduleuse, la
perte de donnes, le vandalisme, ou encore les sinistres les plus frquents, tels
que lincendie ou linondation.
La loi informatique et liberts impose que les organismes mettant en uvre
des traitements ou disposant de fichiers de donnes en garantissent la
scurit. Par scurit des donnes, on entend lensemble des prcautions
utiles, au regard de la nature des donnes et des risques prsents par le
traitement, pour notamment, empcher que les donnes soient dformes,
endommages, ou que des tiers non autoriss y aient accs. (Art.34 loi IL).
Cette scurit se conoit pour lensemble des processus relatifs ces donnes,
quil sagisse de leur cration, leur utilisation, leur sauvegarde, leur archivage ou
leur destruction et concerne leur confidentialit, leur intgrit, leur authenticit
et leur disponibilit.
Ce guide sadresse tout responsable de traitement ainsi qu toute personne
disposant dun minimum de connaissances informatiques (administrateur
systme, dveloppeur, responsable de la scurit des systmes dinformation,
utilisateur) et souhaitant valuer le niveau de scurit dont doit bnficier tout
traitement de donnes caractre personnel.
Il prsente un ensemble de prconisations essentielles regroupes par fiches
thmatiques concernant la scurit de donnes caractre personnel.
Chaque fiche est structure en trois sections :

- les prcautions lmentaires ;

- ce quil ne faut pas faire ;

- pour aller plus loin.

La section Pour aller plus loin recommande des mesures additionnelles aux
prcautions lmentaires.
Parmi lensemble des prconisations, certaines sont issues de bonnes
pratiques en matire de gestion de la scurit des systmes dinformations,
tandis que dautres rsultent des rgles relatives la protection de donnes
caractre personnel du fait de la spcificit de ces informations.

A V A N T- P R O P O S

Avant-propos

Bien entendu, aux yeux des experts et des profanes, ce guide ne rpondra
pas compltement leurs attentes, jugeant quil ne va pas assez ou trop loin.
Jespre nanmoins quil satisfera au plus grand nombre, et je peux dores et
dj annoncer quun document plus labor est en cours de prparation.



Alex TRK
Prsident de la CNIL

La Commission Nationale de lInformatique et des Liberts


La CNIL, autorit administrative indpendante, est charge de veiller au respect
des dispositions de la loi. A ce titre, elle assure des missions dinformation, de
conseil, dexpertise et de veille technologique.
La CNIL dispose de pouvoirs particuliers pour faire respecter la loi : elle contrle
la mise en uvre des fichiers informatiques et peut galement procder des
vrifications sur place.

Lensemble de ces informations est galement disponible sur le site


Internet de la CNIL :
http://www.cnil.fr/dossiers/securite

G U I D E P R AT I Q U E S C U R I T

A V A N T- P R O P O S

Ce premier guide scurit est videmment perfectible. Aussi, le lecteur ne


devra-t-il pas hsiter nous contacter pour nous transmettre ses propositions
en la matire.

Scuriser un systme informatique ncessite de prendre en compte tous les


aspects de sa gestion. Cette scurit passe par le respect de bonnes pratiques
et le maintien de loutil informatique ltat de lart quant aux attaques dont
il peut faire lobjet. Toutefois, cette scurit ne sera effective qu condition
de faire preuve de rigueur notamment dans la dlivrance (et le retrait) des
habilitations ainsi que dans le traitement des invitables incidents.
Afin de garantir que chaque utilisateur du systme informatique naccde
quaux donnes quil a besoin de connatre, deux lments sont ncessaires :

- la remise dun identifiant unique chaque utilisateur associ un moyen


de sauthentifier : une mthode dauthentification ;

- un contrle a priori de laccs aux donnes pour chaque catgorie


dutilisateurs : une gestion des habilitations.

La protection de donnes concernant des personnes impose en plus que


celles-ci soient :

- collectes et traites de manire loyale et licite (Art. 6 al.1 loi I&L)

- collectes pour des finalits dtermines, explicites et lgitimes et ne


soient pas traites ultrieurement de manire incompatible avec ces
finalits (Art. 6 al.2 loi I&L).

Ces obligations ne peuvent sapprcier qu travers lusage qui est fait du


systme informatique. Par consquent, il est ncessaire de procder une
journalisation, cest--dire lenregistrement des actions de chaque utilisateur
sur le systme pendant une dure dfinie.
En outre, la loi Informatique et Liberts dispose que les donnes soient exactes,
compltes et si ncessaires mises jour. (Art. 6 al.4 loi I&L). Ces obligations
ncessitent que les systmes dinformation prvoient des mcanismes
garantissant lintgrit des donnes.
La loi dispose galement que ces donnes soient conserves sous une forme
permettant lidentification des personnes concernes pendant une dure
qui nexcde pas la dure ncessaire aux finalits pour lesquelles elles sont
collectes et traites (Art. 6 al.5 loi I&L). Les systmes doivent donc prvoir la
suppression, larchivage, ou encore lanonymisation de ces donnes, lorsque
leur dure de conservation est atteinte.
Enfin, grer les risques constitue un moyen efficace de protger les liberts
et droits fondamentaux des personnes physiques, notamment leur vie prive,
lgard du traitement des donnes caractre personnel (article premier de
la Directive 95/46/CE).

I N T R O D U C T I O N

A V A N T- P R O P O S

Introduction

Le montant de ces sanctions est proportionn la gravit des manquements


commis et aux avantages tirs de ce manquement.
La CNIL peut galement dnoncer pnalement les infractions la loi dont elle a
connaissance au Procureur de la Rpublique.

G U I D E P R AT I Q U E S C U R I T

I N T R O D U C T I O N

Pour rappel, la CNIL peut procder des vrifications sur place. En outre,
la formation restreinte peut prononcer diverses sanctions gradues :
avertissement, mise en demeure, sanctions pcuniaires, injonction de cesser le
traitement. Le montant des sanctions pcuniaires peut atteindre 150 000 euros
lors du premier manquement constat puis 300 000 euros, ou 5% du chiffre
daffaire hors taxes du dernier exercice, dans la limite de 300 000 euros , sil
sagit dune entreprise.

Donne caractre personnel : toute information relative une personne


physique identifie ou qui peut tre identifie, directement ou indirectement,
par rfrence un numro didentification ou un ou plusieurs lments qui
lui sont propres. Pour dterminer si une personne est identifiable, il convient de
considrer lensemble des moyens en vue de permettre son identification dont
dispose ou auxquels peut avoir accs le responsable du traitement ou toute
autre personne (Art. 2 loi I&L).
Donnes sensibles : les donnes caractre personnel qui font apparatre,
directement ou indirectement, les origines raciales ou ethniques, les opinions
politiques, philosophiques ou religieuses ou lappartenance syndicale des
personnes, ou qui sont relatives la sant ou la vie sexuelle de celles-ci (Art.
8 loi I&L).
Responsable de traitement : la personne, lautorit publique, le service
ou lorganisme qui dtermine les finalits et les moyens dudit traitement,
sauf dsignation expresse par des dispositions lgislatives ou rglementaires
relatives ce traitement (Art. 3 loi I&L).
Tiers : la personne physique ou morale, lautorit publique, le service ou
tout autre organisme autre que la personne concerne, le responsable du
traitement, le sous-traitant et les personnes qui, places sous lautorit directe
du responsable du traitement ou du sous-traitant, sont habilites traiter les
donnes (directive 95/46/CE).
Traitement : sauf mention explicite, un traitement sentend dans ce document
comme un traitement de donnes caractre personnel.
Traitement de donnes caractre personnel : toute opration ou
tout ensemble doprations portant sur de telles donnes, quel que soit le
procd utilis, et notamment la collecte, lenregistrement, lorganisation,
la conservation, ladaptation ou la modification, lextraction, la consultation,
lutilisation, la communication par transmission, diffusion ou toute autre forme
de mise disposition, le rapprochement ou linterconnexion, ainsi que le
verrouillage, leffacement ou la destruction (Art. 2 loi I&L).

D E F I N I T I O N S

Destinataire des donnes : toute personne habilite recevoir


communication de ces donnes autre que la personne concerne, le
responsable du traitement, le sous-traitant et les personnes qui, en raison de
leurs fonctions, sont charges de traiter les donnes (Art. 3 loi I&L).

&

Authentification : lauthentification a pour but de vrifier lidentit dont


une entit se rclame. Gnralement lauthentification est prcde dune
identification qui permet cette entit de se faire reconnatre du systme par
un lment dont on la dot. En rsum, sidentifier cest communiquer son
identit, sauthentifier cest apporter la preuve de son identit. (ANSSI Agence
Nationale de la Scurit des Sustmes dInformation).

T E R M E S

I N T R O D U C T I O N

Termes & dfinitions

Une telle approche permet en effet une prise de dcision objective et la


dtermination de mesures parfaitement adaptes son contexte.
Un risque est un scnario qui combine une situation crainte
(atteinte de la scurit des traitements et ses consquences) avec
toutes les possibilits quelle survienne (menaces sur les supports
des traitements). On estime son niveau en termes de gravit
(ampleur et nombre des impacts) et de vraisemblance
(possibilit/probabilit quil se ralise).

Les prcautions lmentaires


Ltude des risques doit tre formalise dans un document complet. Cette
tude devra tre mise jour de manire rgulire selon les volutions du
contexte et doit :
recenser les fichiers et donnes caractre personnel (ex : fichiers client,
contrats) et les traitements associs, automatiss ou non, en identifiant les
supports sur lesquels reposent ces traitements :

- les matriels (ex : serveur de gestion des ressources humaines, CDROM) ;

- les logiciels (ex : systme dexploitation, logiciel mtier) ;

- les canaux de communication (ex : fibre optique, Wifi, Internet) ;

- les supports papier (ex : document imprim, photocopie).

dterminer comment la vie prive des personnes pourrait tre affecte par
le biais de ces supports.
Pour chaque traitement, identifier et classer selon leur gravit les
impacts sur la vie prive des personnes en cas datteinte :

- la confidentialit (ex : usurpations didentits conscutives la divulgation


des fiches de paie de lensemble des salaris dune entreprise) ;

G U I D E P R AT I Q U E S C U R I T

Q U E L S
N 1

La Directive europenne Informatique et Liberts de 1995 prcise encore que


la protection des donnes personnelles ncessite de prendre des mesures
techniques et dorganisation appropries (Article 17).

F I C H E

La gestion des risques permet au responsable de traitement didentifier quelles


sont les prcautions utiles prendre au regard de la nature des donnes et
des risques prsents par le traitement, pour prserver la scurit des donnes
et, notamment, empcher quelles soient dformes, endommages, ou que
des tiers non autoriss y aient accs (article 34 de la Loi du 6 janvier 1978
relative linformatique, aux fichiers et aux liberts).

R I S Q U E S

Fiche n 1 - Quels risques ?

Q U E L S

tudier les menaces qui psent sur chaque support et les hirarchiser
selon leur probabilit doccurrence (vraisemblance).

N 1

Exemples de menaces : vol dun PC portable, contagion par un code malveillant,


saturation des canaux de communication, photocopie de documents papier).
Une liste complte de menaces est fournie en annexe 1.

F I C H E

tudier les risques


Combiner chaque impact avec les menaces qui le concerne.
Hirarchiser les risques ainsi obtenus selon leur gravit et leur vraisemblance.
Mettre en uvre des mesures de scurit
Dterminer les mesures de scurit pour rduire, transfrer ou viter les
risques. Les fiches pratiques de ce guide donnent des exemples concrets
de mesures destines couvrir les obligations issues de la loi informatique et
liberts : confidentialit, intgrit, qualit des donnes, conservation, recueil du
consentement.

Ce quil ne faut pas faire


Mener seul une tude de risques. Impliquer les acteurs les plus appropris
chaque tape (mtiers, matrise duvre, responsable du traitement) afin
de les sensibiliser aux risques, de les responsabiliser dans leurs choix et de
les faire adhrer aux mesures de scurit quils auront choisies.
Raliser une tude trop dtaille. Il est ais de se perdre dans un niveau
de dtail inappropri. Celui-ci doit rester cohrent avec la taille du sujet tudi,
lobjectif de ltude et le niveau des risques.
Choisir des mesures inappropries. Il faut dterminer les mesures
ncessaires et suffisantes pour traiter les risques, et que celles-ci soient
adaptes aux contraintes de ltude (budgtaires, techniques).

R I S Q U E S
Q U E L S

- lintgrit (ex : modification des journaux daccs dans le but de faire


accuser une personne tort).

N 1

- la disponibilit (ex : non dtection dune interaction mdicamenteuse du


fait de limpossibilit daccder au dossier lectronique du patient) ;

F I C H E

R I S Q U E S

E
 n fonction des moyens disponibles, il peut galement tre utile de prvoir :

- la formation des personnes charges de raliser les tudes de risques ;

- un audit scurit du systme dinformation.

1 - EBIOS Expression des Besoins et Identification des Objectifs de Scurit est la mthode de gestion des risques
publie par lAgence nationale de la scurit des systmes dinformation (ANSSI) du Secrtariat gnral de la dfense et
de la scurit nationale (SGDSN). EBIOS est une marque dpose du SGDSN.

G U I D E P R AT I Q U E S C U R I T

Q U E L S

R I S Q U E S

Lemploi dune vritable mthode permet de disposer doutils


pratiques et damliorer lexhaustivit et la profondeur de ltude
des risques. La bote outils dEBIOS1 peut tre utilise cet effet
http://www.ssi.gouv.fr/site_article173.html).

Ltude des risques permet de dterminer des mesures de scurit mettre


en place. Il convient donc de prvoir un budget pour leur mise en uvre.

N 1

Pour aller plus loin

F I C H E

- ce que lon sait, par exemple un mot de passe,

- ce que lon a, par exemple une carte puce,

- une caractristique qui nous est propre, par exemple une empreinte digitale
ou encore une signature manuscrite. Pour rappel, la loi Informatique et
Liberts subordonne lutilisation de la biomtrie lautorisation pralable
de la CNIL2 .

Lauthentification dun utilisateur est qualifie de forte lorsquelle a recours une


combinaison dau moins deux de ces mthodes.

Les prcautions lmentaires

- avoir une taille de 8 caractres minimum ;

- utiliser des caractres de types diffrents (majuscules, minuscules,


chiffres, caractres spciaux). Des moyens mnmotechniques permettent
de crer des mots de passe complexe, par exemple

- en ne conservant que les premires lettres des mots dune phrase ;

- en mettant une majuscule si le mot est un nom (ex : Chef) ;

- en gardant des signes de ponctuation (ex : ) ;

- en exprimant les nombres laide des chiffres de 0 9 (ex : Un ->1) ;

Exemple, la phrase un Chef dEntreprise averti en vaut deux correspond au


mot de passe 1CdEaev2 ;

- changer de mot de passe rgulirement (tous les 3 mois par exemple).

Lorsque le renouvellement dun mot de passe est conscutif un oubli, une


fois que le mot de passe a t rinitialis, lutilisateur doit tre dans lobligation
de le changer ds sa premire connexion afin de le personnaliser.

2 - A ce sujet, consulter notamment la fiche 12 la biomtrie sur le lieu de travail du Guide CNIL pour les employeurs et les
salaris.
http://www.cnil.fr/fileadmin/documents/Guides_pratiques/Guide_employeurs_salaries.pdf

F I C H E

Dans le cas dune authentification des utilisateurs base sur des mots de
passe, leur mise en uvre doit respecter les rgles suivantes :

A propos des identifiants (ou logins) des utilisateurs, ceux-ci doivent, dans la
mesure du possible, tre diffrents de ceux des comptes dfinis par dfaut
par les diteurs de logiciels. Les comptes par dfaut doivent tre dsactivs.
Aucun compte ne devrait tre partag entre plusieurs utilisateurs.

D E S

A U T H E N T I F I C A T I O N

F I C H E

N 1

Q U E L S

Les mcanismes permettant de raliser lauthentification des personnes sont


catgoriss en trois familles selon quils font intervenir:

R I S Q U E S

le responsable dun systme informatique doit tre en mesure dassurer que


chaque utilisateur du systme naccde quaux donnes dont il a besoin pour
lexercice de sa mission. Pour cela, chaque utilisateur doit tre dot dun
identifiant qui lui est propre et doit sauthentifier avant toute utilisation des
moyens informatiques.

U T I L I S A T E U R S

Fiche n 2 - Authentification des


utilisateurs

configurer les applications logicielles afin quelles permettent denregistrer les


mots de passe.

Pour aller plus loin


Concernant les mcanismes dauthentification, il est recommand de
se rfrer aux rgles et recommandations concernant les mcanismes
dauthentification prconises dans lannexe B3 du Rfrentiel Gnral de
Scurit3.
En cas dutilisation de mthodes dauthentification reposant sur des
dispositifs tels que des cartes puce ou des schmas dauthentification
mettant en uvre des algorithmes cryptographiques, ceux-ci doivent suivre
les rgles concernant le choix et le dimensionnement des mcanismes
cryptographiques prconises dans lannexe B1 du Rfrentiel Gnral de
Scurit4.
Dans lventualit dune authentification par des dispositifs biomtriques
il est ncessaire deffectuer une demande dautorisation auprs de la CNIL.
Dune manire gnrale, la CNIL recommande lutilisation de biomtrie sans
traces (contour de la main, rseaux veineux) ou lenregistrement des
empreintes digitales dans un support individuel. Concernant des dispositifs
bass sur lempreinte digitale, il convient de se rfrer la Communication
de la CNIL relative la mise en uvre de dispositifs de reconnaissance par
empreinte digitale avec stockage dans une base de donnes situ ladresse
internet
http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNIbiometrie/Communication-biometrie.pdf pour prendre connaissance de la
doctrine de la CNIL en la matire.

3 - http://www.references.modernisation.gouv.fr/sites/default/files/RGS_Mecanismes_Authentification_v1_0.pdf
4 - http://www.references.modernisation.gouv.fr/sites/default/files/RGS_Mecanismes_cryptographiques_v1_20.pdf

G U I D E P R AT I Q U E S C U R I T

10

U T I L I S A T E U R S
D E S

utiliser le mme mot de passe pour des accs diffrents ;

A U T H E N T I F I C A T I O N

utiliser des mots de passe ayant un lien avec soi (nom, date de naissance) ;

stocker ses mots de passe dans un fichier en clair ou dans un lieu facilement
accessible par dautres personnes ;

Communiquer son mot de passe autrui ;

Ce quil ne faut pas faire

F I C H E

Dfinir des profils dhabilitation dans les systmes en sparant les tches
et les domaines de responsabilit, afin de limiter laccs des donnes
caractre personnel aux seuls utilisateurs dment habilits.
Supprimer les permissions daccs des utilisateurs ds quils ne sont
plus habilits accder un local ou une ressource, ainsi qu la fin
de leur priode demploi.
Documenter les procdures dexploitation, les tenir jour et les rendre
disponibles tous les utilisateurs concerns. Concrtement, toute action
sur le systme, quil sagisse doprations dadministration ou de la simple
utilisation dune application, doit tre explique dans des documents auxquels
les utilisateurs peuvent se rfrer.

U T I L I S A T E U R S
D E S
-

G E S T I O N

D E S

Rdiger une charte informatique et lannexer au rglement intrieur.

S E N S I B I L I S A T I O N

Les prcautions lmentaires

N 3

&

Il convient de veiller galement ce que les utilisateurs soient conscients des


menaces en termes de scurit, ainsi que des enjeux concernant la protection
des donnes personnelles.

F I C H E

F I C H E

A U T H E N T I F I C A T I O N

D E S

Chaque utilisateur du systme ne doit pouvoir accder quaux donnes dont il a


besoin pour lexercice de sa mission. Concrtement, cela se traduit par la mise
en place dun mcanisme de dfinition des niveaux dhabilitation dun
utilisateur dans le systme, et dun moyen de contrle des permissions
daccs aux donnes.

H A B I L I T A T I O N S

U T I L I S A T E U R S

Fiche n 3 - Gestion des


habilitations & sensibilisation des
utilisateurs

11

- les rgles de scurit auxquelles se conformer, ce qui peut inclure par


exemple de :

- s ignaler au service informatique interne toute violation ou tentative


de violation suspecte de son compte informatique et de manire
gnrale tout dysfonctionnement ;

- ne jamais confier son identifiant/mot de passe un tiers ;

- ne pas modifier les paramtrages du poste de travail ;

- ne pas installer, copier, modifier, dtruire des logiciels sans


autorisation ;

- verrouiller son ordinateur ds que lon quitte son poste de travail ;

- ne pas accder, tenter daccder, ou supprimer des informations


qui ne relvent pas des tches incombant lutilisateur ;

- dfinir les modalits de copie de donnes sur un support


externe, notamment en obtenant laccord pralable du suprieur
hirarchique et en respectant des rgles pralablement dfinies.

3. L
 es modalits dutilisation des moyens informatiques et de tlcommunications mis disposition comme :
- le poste de travail ;

- les quipements nomades ;

- lespace de stockage individuel ;

- le rseau local ;

- internet ;

- la messagerie lectronique ;

- le tlphone.

- systmes automatiques de filtrage ;

- systmes automatiques de traabilit ;

- gestion du poste de travail.

5. L
 es responsabilits et sanctions encourues en cas de non respect de la
charte.

G U I D E P R AT I Q U E S C U R I T

12

N 3

F I C H E

4. L
 es conditions dadministration du systme dinformation, et lexistence, le
cas chant, de:

G E S T I O N

U T I L I S A T E U R S

- les moyens dauthentification ;

D E S

- les modalits dintervention du service de linformatique interne ;

S E N S I B I L I S A T I O N

&

2. Le champ dapplication de la charte, qui inclut notamment :

H A B I L I T A T I O N S

1. Le rappel des rgles de protection des donnes et les sanctions encourues
en cas de non respect de la loi.

D E S

Modle dune charte informatique :

- les procdures denregistrement et de radiation des utilisateurs destines


accorder et retirer laccs au traitement ;

- les mesures incitant les utilisateurs respecter les bonnes pratiques de


scurit lors de la slection et lutilisation de mots de passe ou dautres
moyens dauthentification ;

- les mesures permettant de restreindre et de contrler lattribution et


lutilisation des accs au traitement.

Classifier les informations de manire notamment indiquer si celles-ci


sont des donnes sensibles. Cette classification permet de rendre compte du
niveau de scurit appliquer.
Envoyer rgulirement tous les utilisateurs les mises jour des politiques et
procdures pertinentes pour leurs fonctions.
Organiser des sances de formation et de sensibilisation la scurit de
linformation. Des rappels priodiques peuvent tre faits par le biais de la
messagerie lectronique.
Prvoir la signature dun engagement de confidentialit (cf. modle de
clause ci-dessous), ou prvoir dans les contrats de travail une clause de
confidentialit spcifique concernant les donnes caractre personnel.

U T I L I S A T E U R S
D E S
S E N S I B I L I S A T I O N

La politique de contrle daccs doit inclure :

&

Etablir, documenter et rexaminer une politique de contrle daccs en


rapport avec la finalit du traitement.

H A B I L I T A T I O N S

Pour aller plus loin

D E S

G E S T I O N

Dfinir des comptes administrateur partags par plusieurs personnes.

N 3
F I C H E

F I C H E

N 3

U T I L I S A T E U R S

D E S

S E N S I B I L I S A T I O N

&

H A B I L I T A T I O N S

D E S

Ce quil ne faut pas faire

G E S T I O N

13

- prendre toutes les mesures conformes aux usages et ltat de lart dans le cadre de mes
attributions afin dviter lutilisation dtourne ou frauduleuse de ces donnes ;
- prendre toutes prcautions conformes aux usages et ltat de lart pour prserver la
scurit matrielle de ces donnes ;
- massurer, dans la limite des mes attributions, que seuls des moyens de communication
scuriss seront utiliss pour transfrer ces donnes ;
- assurer, dans la limite de mes attributions, lexercice des droits dinformation, daccs et
de rectification de ces donnes ;
- en cas de cessation des mes fonctions, restituer intgralement les donnes, fichiers
informatiques et tout support dinformation relatif ces donnes.
Cet engagement de confidentialit, en vigueur pendant toute la dure de mes fonctions,
demeurera effectif, sans limitation de dure aprs la cessation de mes fonctions, quelle
quen soit la cause, ds lors que cet engagement concerne lutilisation et la communication
de donnes caractre personnel.
Jai t inform que toute violation du prsent engagement mexpose notamment des
actions et sanctions disciplinaires et pnales conformment aux dispositions lgales en
vigueur.
Fait xxx le xxx en xxx exemplaires
Nom :

Nom :

Signature :

Signature :

G U I D E P R AT I Q U E S C U R I T

14

U T I L I S A T E U R S
D E S
S E N S I B I L I S A T I O N
&

- ne faire aucune copie de ces donnes sauf ce que cela soit ncessaire lexcution de
mes fonctions ;

H A B I L I T A T I O N S

- ne divulguer ces donnes quaux personnes dment autorises, en raison de leurs
fonctions, en recevoir communication, quil sagisse de personnes prives, publiques,
physiques ou morales ;

D E S

- ne pas utiliser les donnes auxquelles je peux accder des fins autres que celles prvues
par mes attributions ;

G E S T I O N

Je mengage en particulier :

Je mengage par consquent, conformment aux articles 34 et 35 de la loi du 6 janvier 1978


modifie relative linformatique, aux fichiers et aux liberts, prendre toutes prcautions
conformes aux usages et ltat de lart dans le cadre de mes attributions afin de protger
la confidentialit des informations auxquelles jai accs, et en particulier dempcher quelles
ne soient modifies, endommages ou communiques des personnes non expressment
autorises recevoir ces informations.

N 3

Je soussign Monsieur/Madame __________, exerant les fonctions de _______ au sein de


la socit ________ (ci-aprs dnomm la Socit), tant ce titre amen accder
des donnes caractre personnel, dclare reconnatre la confidentialit desdites donnes.

F I C H E

Exemple dengagement de confidentialit relatif aux donnes caractre personnel :

- la prise de contrle distance, notamment via internet.

D E S

Les risques dintrusion dans les systmes informatiques sont importants et


peuvent conduire limplantation de virus ou de programmes espions.

Les prcautions lmentaires


Limiter le nombre de tentatives daccs un compte. En fonction du
contexte, ce nombre peut varier entre trois et dix. Lorsque la limite est atteinte,
il est prfrable de bloquer la possibilit dauthentification ce compte
temporairement ou jusqu lintervention dun administrateur du systme ;

prvoir une procdure de verrouillage automatique de session en cas


de non-utilisation du poste pendant un temps donn. Pour les oprations de
maintenance, il convient de mettre fin une session aprs une cinq minutes
dinactivit. Pour dautres oprations moins critiques (accs une application
mtier par exemple), un dlai de quinze minutes doit permettre de garantir la
scurit sans compromettre lergonomie dutilisation ;

F iche

Ce quil ne faut pas faire


Utiliser des systmes dexploitation obsoltes (une liste mise jour
rgulirement est disponible ladresse internet http://www.certa.ssi.gouv.fr/
site/CERTA-2005-INF-003/).

F I C H E

N 3

G E S T I O N

prvoir dafficher, lors de la connexion un compte, les dates et heures


de la dernire connexion.

15

utiliser des antivirus rgulirement mis jour ;

D E S

&

installer un pare-feu (firewall) logiciel, et limiter les ports de communication


strictement ncessaires au bon fonctionnement des applications installes
sur le poste de travail ;

D E

P O S T E S

- lexcution de virus ;

D E S

S C U R I T

- les tentatives daccs frauduleux ;

H A B I L I T A T I O N S

S E N S I B I L I S A T I O N

U T I L I S A T E U R S

La scurit des postes de travail passe par une mise en uvre de mesures
pour prvenir

T R A V A I L

Fiche n 4 - Scurit des postes de


travail

T R A V A I L
n

concernant les virus, se rfrer au document du CERTA disponible ladresse


internet http://www.certa.ssi.gouv.fr/site/CERTA-2000-INF-007/ pour des
recommandations plus compltes.

P O S T E S

D E

mettre jour les applications lorsque des failles critiques ont t identifies
et corriges ;

D E S

installer les mises jour critiques des systmes dexploitation sans dlai
en programmant une vrification automatique priodique hebdomadaire ;

S C U R I T

limiter les services du systme dexploitation sexcutant sur le poste de


travail ceux qui sont strictement ncessaires ;

Limiter les applications ncessitant des droits de niveau administrateur pour


leur excution ;

Pour aller plus loin

F iche

G U I D E P R AT I Q U E S C U R I T

16

- le chiffrement fichier par fichier ;

- la cration de conteneurs5 chiffrs.

Parmi les outils disponibles, des logiciels libres tels que TrueCrypt6 (www.
truecrypt.org) permettent de crer des containeurs chiffrs dont la scurit
repose sur un mot de passe.

F iche

De nombreux constructeurs de PC portables vendent des solutions avec


disque dur chiffr : il convient de privilgier ces quipements et de sassurer
que le chiffrement est bien mis en uvre par les utilisateurs.

Ce quil ne faut pas faire


Conserver des donnes personnelles dans les quipements mobiles lors de
dplacement ltranger. On peut consulter ce sujet les prconisations
formules dans le document Passeport de conseils aux voyageurs publi par
lANSSI disponible ladresse http://www.securite-informatique.gouv.fr/IMG/
pdf/Passeport-de-conseils-aux-voyageurs_janvier-2010.pdf.

Pour aller plus loin


Lorsque des appareils mobiles servent la collecte de donnes en itinrance
(ex : PDA, Smartphones ou PC portables, etc.), il faut scuriser les donnes
qui y sont stockes et prvoir un verrouillage de lappareil au bout de quelques
minutes dinactivit. Prvoir aussi de purger ces quipements des donnes
collectes sitt quelles ont t introduites dans le systme dinformation de
lorganisme.
De plus en plus dordinateurs portables sont quips dun dispositif de
lecture dempreinte digitale. La mise en uvre de tels dispositifs est soumise
lautorisation de la CNIL.

5 - Par conteneur, il faut comprendre un fichier susceptible de contenir plusieurs fichiers.


6 - Il convient dutiliser la version 6.0a qui bnficie dune certification de premier niveau par lANSSI.

17

?
M O B I L E
L I N F O R M A T I Q U E

S C U R I S E R

D E S

- le chiffrement du disque dur dans sa totalit un niveau logique via le


systme dexploitation ;

C O M M E N T

- le chiffrement du disque dur dans sa totalit au niveau matriel ;

S C U R I T

P O S T E S

Prvoir des moyens de chiffrement pour les espaces de stockage des


matriels informatiques mobiles (ordinateur portable, priphrique de
stockage amovible tels que cls USB, CD-ROM, DVD-RW, etc.). Parmi ces
moyens, on peut citer :

Les prcautions lmentaires

F iche

La multiplication des ordinateurs portables, des cls USB et des smartphones


rend indispensable danticiper la possible perte dinformations conscutive au
vol o la perte dun tel quipement.

D E

T R A V A I L

Fiche n 5 - Comment scuriser


linformatique mobile ?

- prvoir de stocker les supports de sauvegarde sur un site extrieur, dans


des coffres ignifugs et tanches ;

- combiner une ou plusieurs des solutions suivantes pour scuriser les


sauvegardes soit en :

- chiffrant les sauvegardes elles-mmes ;

- chiffrant les donnes la source ;

- prvoyant un stockage dans un lieu scuris.


- suivre des rgles en adquation avec la politique de scurit pour le
convoyage ventuel des sauvegardes.

Sagissant de la continuit dactivit :


- mettre en place des dtecteurs de fume ainsi que des extincteurs. Ces
systmes doivent tre inspects annuellement ;

- concernant les inondations, les matriels informatiques ne doivent pas


tre mis mme le sol, mais surlevs ;

-  propos des matriels :

- lutilisation dun onduleur est recommande pour le matriel


servant aux traitements critiques ;

- il convient galement de prvoir une redondance matrielle des


units de stockage par une technologie RAID8.

7 - Une sauvegarde incrmentale consiste nenregistrer que les modifications faites par rapport une prcdente
sauvegarde.
8 - RAID dsigne des techniques de rpartition de donnes sur plusieurs supports de sauvegardes
(par exemple des disques durs) afin de prvenir la perte de donnes conscutives la panne dun des supports.

G U I D E P R AT I Q U E S C U R I T

18

C O N T I N U I T E
L A

- effectuer des sauvegardes frquentes pour viter la perte dinformation.


Selon le volume dinformations sauvegarder, il peut tre opportun
de prvoir des sauvegardes incrmentales7 avec une frquence
quotidienne et des sauvegardes compltes avec une frquence moindre
(hebdomadaires ou bimensuelles) ;

E T

S A U V E G A R D E S

Sagissant de la sauvegarde des donnes :

L E S

Les prcautions lmentaires

Il convient de prvoir la continuit dactivit en anticipant les pannes matrielles.


Des mesures de protection physique contre les dommages causs par les
incendies ou les inondations doivent tre envisages.

Une scurisation renforce est requise pour les sauvegardes de donnes


sensibles.

F iche

Des copies de sauvegarde des donnes caractre personnel doivent tre


faites et testes rgulirement, conformment la politique de sauvegarde
adopte. Il faut galement procder une sauvegarde des logiciels servant au
traitement afin de garantir la prennit de celui-ci.

D A C T I V I T E

Fiche n 6 - Les sauvegardes et la


continuit dactivit

Concernant la continuit du service, prvoir de dimensionner tous les services


gnraux, tels que llectricit ou lalimentation en eau relatifs aux systmes
pris en charge, et les inspecter rgulirement pour carter tout risque de
dysfonctionnement ou de panne.
Pour les traitements revtant des exigences fortes de disponibilit, prvoir de
connecter linfrastructure de tlcommunications par au moins deux voies
diffrentes.

D A C T I V I T E
C O N T I N U I T E

Pour aller plus loin

L A

E T

Conserver les sauvegardes au mme endroit que les machines hbergeant


les donnes. Un sinistre majeur intervenant cet endroit aurait comme
consquence une perte dfinitive des donnes.

L E S
6
n
F iche

F iche

L E S

S A U V E G A R D E S

D A C T I V I T E

C O N T I N U I T E

L A

Ce quil ne faut pas faire

S A U V E G A R D E S

E T

19

- lenregistrement des interventions de maintenance dans une main


courante ;

- lencadrement par un responsable de lorganisme lors dinterventions par


des tiers ;

- la configuration des systmes critiques (serveurs, quipements rseau )


de manire empcher leur tlmaintenance.

Inspecter tout matriel contenant des supports de stockage avant sa mise


au rebut ou sa sortie du primtre de lorganisme, pour sassurer que toute
donne sensible en a bien t supprime de faon scurise.
A titre dexemple, lANSSI accorde des certifications de premier niveau des
logiciels pour raliser cet objectif (http://www.ssi.gouv.fr/archive/fr/confiance/
certif-cspn.html).
Concernant la mise au rebut de matriels, on peut mentionner:

- les broyeurs et dchiqueteurs pour le papier ou les supports numriques


tels que les CD et DVD ;

- les dgausseurs9 pour les units de stockage technologie magntique.

Ces prconisations concernent galement les matriels en location lorsquils


sont retourns lexpiration du dlai contractuel.
En matire dassistance sur les postes clients :

- les outils dadministration distance doivent tre configurs de manire


recueillir laccord de lutilisateur avant toute intervention sur son poste,
par exemple en cliquant sur une icne ou encore en rpondant un
message saffichant lcran ;

- lutilisateur doit galement pouvoir constater si la prise de main


distance est en cours et quand elle se termine, par exemple grce
laffichage dun message lcran.

9 - Un dgausseur est un quipement ralisant une destruction irrmdiable de donnes confidentielles par dmagntisation.

G U I D E P R AT I Q U E S C U R I T

20

L A

Garantir que des donnes ne seront pas compromises lors dune intervention
de maintenance en appliquant une ou plusieurs des mesures numres cidessous :

Les prcautions lmentaires

On recommande galement de supprimer les donnes des matriels destins


tre mis au rebut.

F iche

Lors de la maintenance et des interventions techniques, la scurit des donnes


doit tre garantie.

M A I N T E N A N C E

Fiche n 7 - La maintenance

A titre dexemple, il faut restreindre lusage du protocole SNMP qui permet la


configuration des quipements rseau par connexion sur le port TCP 161.

Il faut restreindre, voire interdire laccs physique et logique, aux ports de
diagnostic et de configuration distance.

M A I N T E N A N C E

Pour aller plus loin

Des prconisations concernant les matriels mis au rebut sont disponibles


dans le document de lANSSI intitul Guide technique pour la confidentialit
des informations enregistres sur les disques durs recycler ou exporter,
disponible ladresse http://www.ssi.gouv.fr/archive/fr/documentation/
Guide_effaceur_V1.12du040517.pdf.

Modle de clauses de confidentialit pouvant tre utilises en cas de


maintenance par une tierce partie

Chaque opration de maintenance devra faire lobjet dun descriptif prcisant


les dates, la nature des oprations et les noms des intervenants, transmis X.
En cas de tlmaintenance permettant laccs distance aux fichiers de X,
Y prendra toutes dispositions afin de permettre X didentifier la provenance
de chaque intervention extrieure. A cette fin, Y sengage obtenir laccord
pralable de X avant chaque opration de tlmaintenance dont elle prendrait
linitiative.
Des registres seront tablis sous les responsabilits respectives de X et Y,
mentionnant les date et nature dtaille des interventions de tlmaintenance
ainsi que les noms de leurs auteurs.

21

L A

Installer des applications pour la tlmaintenance qui sont vulnrables (ex :


certaines versions de xVNC, cf. http://www.certa.ssi.gouv.fr/site/CERTA2009-AVI-035/).

Ce quil ne faut pas faire

F iche

M A I N T E N A N C E

L A

F iche

Dans certains cas, il peut tre ncessaire de conserver galement le dtail


des actions effectues par lutilisateur, telles que les donnes consultes par
exemple.
Se rfrer au document du CERTA disponible ladresse internet
http://www.certa.ssi.gouv.fr/site/CERTA-2008-INF-005, pour un exemple de
mise en uvre.
Informer les utilisateurs de la mise en place dun tel systme.
Protger les quipements de journalisation et les informations journalises
contre le sabotage et les accs non autoriss.
Etablir des procdures dtaillant la surveillance de lutilisation du traitement et
procder priodiquement lexamen des informations journalises.
Le responsable de traitement doit tre inform dans les meilleurs dlais des
failles ventuelles de scurit.
En cas daccs frauduleux des donnes personnelles, le responsable de
traitement devrait le notifier aux personnes concernes.

10 - Coordinated Universal Time

G U I D E P R AT I Q U E S C U R I T

22

D E S
G E S T I O N
E T
T R A C A B I L I T

Prvoir au minimum la journalisation des accs des utilisateurs incluant leur


identifiant, la date et lheure de leur connexion, ainsi que la date et lheure
de leur dconnexion. Le format de lhorodatage doit de prfrence prendre
comme rfrence le temps UTC10.

Prvoir un systme de journalisation (cest--dire un enregistrement dans


des fichiers de logs) des activits des utilisateurs, des anomalies et des
vnements lis la scurit. Ces journaux doivent conserver les vnements
sur une priode glissante ne pouvant excder six mois (sauf obligation lgale,
ou demande de la CNIL, de conserver ces informations pour une dure plus
longue).

Les prcautions lmentaires

F iche

afin dtre en mesure didentifier a posteriori un accs frauduleux des donnes


personnelles, une utilisation abusive de telles donnes, ou de dterminer lorigine
dun incident, il convient denregistrer les actions effectues sur le systme
informatique. Pour ce faire, le responsable dun systme informatique doit
mettre en place un dispositif adapt aux risques associs son systme. Celuici doit enregistrer les vnements pertinents, garantir que ces enregistrements
ne peuvent tre altrs, et dans tous les cas conserver ces lments pendant
une dure non excessive.

I N C I D E N T S

Fiche n 8 - Tracabilit et gestion


des incidents

Lorsque le traitement fait appel des ressources rseau, la synchronisation des


sources de temps peut tre ralise par le recours au protocole NTP11.
L
 e responsable de traitement doit se tenir inform des vulnrabilits
techniques des systmes et entreprendre les actions appropries pour
traiter le risque associ.

G E S T I O N
E T

Les horloges des diffrents systmes de traitement de linformation dun


organisme ou dun domaine de scurit doivent tre synchronises laide
dune source de temps fiable et pralablement dfinie.

T R A C A B I L I T

Pour aller plus loin

8
n
F iche

F iche

G E S T I O N

E T

T R A C A B I L I T

D E S

Utiliser les informations issues des dispositifs de journalisation dautres fins


que celles de garantir le bon usage du systme informatique.

I N C I D E N T S

Ce quil ne faut pas faire

D E S

I N C I D E N T S

11 - Le protocole NTP (Network Time Protocol) permet de caler lhorloge dun ordinateur sur une source dhorodatage fiable
via le rseau.

23

- des moyens afin de mettre fin lintrusion.

Les prcautions lmentaires


Restreindre les accs aux salles ou bureaux susceptibles dhberger du
matriel contenant des donnes au moyen de portes verrouilles, ou de
sas daccs pour les quipements les plus critiques.
Installer des alarmes anti-intrusion et les vrifier priodiquement.

Ce quil ne faut pas faire


Sous-dimensionner ou ngliger lentretien de la climatisation des
salles hbergeant les machines : une panne sur cette installation a souvent
comme consquence larrt des machines ou encore louverture des portes
des salles et donc la neutralisation de facto dlments concourant la
scurit physique des locaux.

Pour aller plus loin


Il faut protger les zones scurises par des contrles pour sassurer que
seul le personnel dment habilit est admis dans ces zones. Pour ce faire, il
convient de suivre les recommandations suivantes :

- concernant les zones dans lesquelles des informations sensibles sont


traites ou stockes, des dispositifs dauthentification doivent tre
prvus. Il peut sagir de cartes daccs accompagnes dun numro
didentification personnel. Un journal des accs intervenus lors des trois
derniers mois au plus doit tre tenu jour de faon scurise ;

-
 lintrieur des zones accs rglement, exiger le port dun moyen
didentification visible (badge) pour toutes les personnes ;

- les visiteurs (personnel en charge de lassistance technique, etc.) doivent


avoir un accs limit. La date et lheure de leur arrive et dpart doivent
tre consignes ;

- Rexaminer et mettre jour rgulirement les permissions daccs aux


zones scurises et les supprimer si ncessaire.

G U I D E P R AT I Q U E S C U R I T

24

D E S

- des mesures afin de ralentir la progression des personnes parvenues


sintroduire ;

S C U R I T

- des alarmes afin de dceler une intrusion au sein dune zone scurise ;

n 9

F iche

Afin de protger efficacement les locaux o sont hbergs les traitements de


donnes personnelles, prvoir :

L O C A U X

Fiche n9 - Scurit des locaux

- http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-001/,
pour les questions de filtrage et pare-feux ;

- http://www.certa.ssi.gouv.fr/site/CERTA-2005-REC-001/,
pour la mise en uvre de SSL.

S
 curiser les accs au systme dinformation au moyen dappareils
informatiques nomades tels que des ordinateurs portables par la mise en
place de connexions VPN reposant sur des algorithmes cryptographiques
rputs forts12 et mettant si possible en uvre un matriel (carte puce,
boitier gnrateur de mots de passe usage unique (OTP One Time
Password), etc.).

I N T E R N E
1 0

Recourir au chiffrement de la communication par lusage du protocole SSL


avec une cl de 128 bits lors de la mise en uvre de services web.

I N F O R M A T I Q U E

R S E A U

F iche

n 9

Se rfrer aux documents suivants du CERTA :

D U

Limiter les flux rseau au strict ncessaire. Par exemple, si laccs


un serveur web passe obligatoirement et uniquement par lutilisation du
protocole SSL, il faut autoriser uniquement les flux rseau IP entrants sur
cette machine sur le port de communication 443 et bloquer tous les autres
ports de communication.

S C U R I T

Les prcautions lmentaires

Ce quil ne faut pas faire

Utiliser le protocole telnet pour la connexion distance aux quipements


actifs du rseau (pare-feu, routeurs, switches). Il convient dutiliser plutt SSH
ou un accs physique direct lquipement.
Installer des rseaux WiFi. Si de tels quipements doivent tre mis en uvre,
il est ncessaire de scuriser les connexions par lusage du protocole WPA,
en choisissant le mode de chiffrement AES/CCMP.
Pour plus de dtails sur laccs aux rseaux sans fil, se rfrer aux mesures
prconises sur le site du CERTA ladresse
http://www.certa.ssi.gouv.fr/site/CERTA-2002-REC-002/.

12 - Cf. Fiche n17 Le chiffrement

25

F iche

L O C A U X

Pour tous les services rseau, il faut identifier les fonctions rseau et les niveaux
de service ncessaires au bon fonctionnement du traitement et nautoriser que
ceux-ci.

S C U R I T

D E S

Fiche n 10 - Scurit du rseau


informatique interne

Un exemple dune telle architecture est reprsent ci-dessous.

poste client
service 1

imprimante

Serveurs
dapplication
Service 1

switch

switch

Informatique
mobile

poste client
service 2

vlan2

Serveurs
dapplication
Service 2

I N T E R N E
D U

vlan3

Unit de
sauvegarde

vlan2

- la mise en place de rseaux physiques distincts : il est alors possible de


cloisonner les diffrents rseaux en contrlant les flux de donnes sur la
base des adresses rseau ;

- le recours des rseaux virtuels, dnomms VLAN : lobjectif de


cette technologie est de regrouper certains matriels connects un
quipement physique (switch) selon des critres logiques (par exemple
lappartenance un dpartement), dans le but de sparer les trafics
rseau entre les diffrents groupes ainsi constitus.

G U I D E P R AT I Q U E S C U R I T

26

Pour mettre en uvre un tel cloisonnement, plusieurs mthodes sont


envisageables :

1 0

Figure 1: Exemple dun rseau informatique cloisonn par VLAN

S C U R I T

vlan1

vlan1

I N F O R M A T I Q U E

Le cloisonnement rseau permet notamment dviter que la compromission


dun poste nentrane celle de lensemble du systme. En pratique, il est
recommand de segmenter le rseau en sous-rseaux logiques selon les
services censs y tre dploys.

R S E A U

Pour aller plus loin

F iche

Serveurs
dapplication

Figure 2: Exemple de mise en uvre dune DMZ

La mise en uvre dune DMZ ncessite linstallation de passerelles scurises


(pare-feux) entre les rseaux cloisonner afin de contrler les flux dinformation
entrants et sortants.
Des systmes de dtection dintrusion (Intrusion Detection Systems
ou IDS) peuvent tre mis en place en vue danalyser le trafic rseau en
temps rel, afin dy dtecter toute activit suspecte voquant un scnario
dattaque informatique. Le but de ces systmes est de djouer les attaques
informatiques au plus tt. Il convient de rappeler que les utilisateurs dun
rseau informatique doivent tre avertis lorsquil est prvu une analyse des
contenus transitant sur le rseau.
Il peut tre envisag de mettre en place lidentification automatique de
matriels comme moyen dauthentification des connexions partir de lieux
et matriels spcifiques. Cette technique utilise par exemple les identifiants
uniques des cartes rseau (ladresse MAC) afin de dtecter la connexion dun
dispositif non rpertori et de router son trafic rseau de manire spare.

27

I N T E R N E
I N F O R M A T I Q U E

Portail
Web

R S E A U

Serveurs
Serveurs
techniques de messagerie
(DHCP, DNS)

D U

Routeur

Modem

S C U R I T

Pare feu
(Firewall)

Pare feu
(Firewall)

<- Internet

1 0

Poste client

<- Zone accessible ->


depuis Internet (DMZ)

Rseau interne ->

F iche

I N T E R N E

I N F O R M A T I Q U E

R S E A U

D U

S C U R I T

1 0

F iche

Il est galement possible de restreindre les connexions autorises en


diffrenciant par exemple un rseau interne pour lequel aucune connexion
venant dInternet nest autorise, et un rseau dit DMZ (DeMilitarized Zone ou
zone dmilitarise en franais) accessible depuis Internet.

- avoir une taille de 10 caractres minimum ;

- utiliser des caractres de types diffrents (majuscules, minuscules,


chiffres et caractres spciaux) ;

- changer de mot de passe notamment lors du dpart dun des


administrateurs.

Installer les mises jour critiques des systmes dexploitation sans dlai en
programmant une vrification automatique hebdomadaire.
En matire dadministration de bases de donnes:
- ne pas utiliser les serveurs hbergeant les bases de donnes dautres
fins (notamment pour naviguer sur des sites internet, accder la
messagerie lectronique ) ;

- utiliser des comptes nominatifs pour laccs aux bases de donnes, sauf
si une contrainte technique lempche ;

- mettre en uvre des mesures et/ou installer des dispositifs pour se


prmunir des attaques par injection de code SQL, scripts ;

- prvoir des mesures particulires pour les bases de donnes sensibles


(chiffrement en base, chiffrement des sauvegardes).

Mettre jour les applications lorsque des failles critiques ont t identifies
et corriges.

Ce quil ne faut pas faire


Utiliser des services non scuriss (authentification en clair, flux en clair, etc).
Placer les bases de donnes dans une zone directement accessible depuis
Internet.

G U I D E P R AT I Q U E S C U R I T

28

n
F iche

Assurer une continuit de disponibilit des donnes, ce qui ncessite


notamment de prendre des prcautions en cas dinstallation ou de mises
jour de logiciels sur les systmes en exploitation.

1 1

D E S

E T

Changer les mots de passe par dfaut par des mots de passe complexes
devant respecter au minimum les rgles suivantes :

S E R V E U R S

Les prcautions lmentaires

D E S

S E C U R I T E

Les serveurs sont les quipements les plus critiques et ce titre, ils mritent des
mesures de scurit renforces.

A P P L I C A T I O N S

Fiche n 11 - scurite des serveurs


et des applications

Selon la nature de lapplication, il peut tre ncessaire dassurer lintgrit des


traitements par le recours des signatures du code excutable garantissant
quil na subi aucune altration. A cet gard, une vrification de signature tout
au long de lexcution (et pas seulement avant lexcution) rend plus difficile
la compromission dun programme.

A P P L I C A T I O N S
D E S
E T
S E R V E U R S
D E S

Sagissant des logiciels sexcutant sur des serveurs, il est conseill


dutiliser des outils de dtection des vulnrabilits (logiciels scanners de
vulnrabilit tels que nmap (http://nmap.org/), nessus (http://www.nessus.
org), nikto (http://www.cirt.net/nikto2) etc.) pour les traitements les plus
critiques afin de dtecter dventuelles failles de scurit. Des systmes de
dtection et prvention des attaques sur des systmes/serveurs critiques
dnomms Host Intrusion Prevention peuvent aussi tre utiliss.

S E C U R I T E

Les systmes sensibles, cest--dire tout systme traitant de donnes


sensibles ou juges confidentielles pour lentreprise, doivent disposer dun
environnement informatique ddi (isol).

1 1
n
F iche

F iche

1 1

A P P L I C A T I O N S

D E S

E T

S E R V E U R S

D E S

S E C U R I T E

Pour aller plus loin

29

Prendre des dispositions (audits de scurit, visite des installations, etc)


afin de sassurer de leffectivit des garanties offertes par le sous-traitant en
matire de protection des donnes. Cela inclut notamment :

- le chiffrement des donnes selon leur sensibilit ou dfaut lexistence de


procdures garantissant que la socit de prestation na pas accs aux
donnes qui lui sont confies ;

- le chiffrement de la liaison de donnes (connexion de type https par


exemple) ;

- des garanties en matire de protection du rseau, traabilit (journaux,


audits), gestion des habilitations, authentification, etc.

Prvoir les conditions de restitution des donnes et de leur destruction en cas


de rupture ou la fin du contrat.

Ce quil ne faut pas faire


Avoir recours des services offrant des fonctionnalits dinformatique
rpartie13 sans garantie quant la localisation gographique effective des
donnes.

Pour aller plus loin


Concernant les donnes de sant, il est rappel quun hbergeur se doit
davoir un agrment dlivr par le ministre de la Sant. Le rfrentiel de
constitution dun dossier est disponible sur le site http://esante.gouv.fr/.

13 - cloud computing.

G U I D E P R AT I Q U E S C U R I T

30

Prvoir dans les contrats liant lorganisme et les sous-traitants une clause
spcifique couvrant la confidentialit des donnes personnelles confies
ces derniers. Un modle de clause est fourni ci-aprs.

1 2

Les prcautions lmentaires

F iche

Les donnes caractre personnel communiques ou gres par des soustraitants doivent bnficier de garanties de scurit.

S O U S - T R A I T A N C E

Fiche n 12 - Sous-traitance

Y sengage donc respecter les obligations suivantes et les faire respecter par son
personnel :

- ne prendre aucune copie des documents et supports dinformations qui lui sont
confis, lexception de celles ncessaires lexcution de la prsente prestation
prvue au contrat, laccord pralable du matre du fichier est ncessaire ;

- ne pas utiliser les documents et informations traits des fins autres que celles
spcifies au prsent contrat ;

- ne pas divulguer ces documents ou informations dautres personnes, quil


sagisse de personnes prives ou publiques, physiques ou morales ;

- prendre toutes mesures permettant dviter toute utilisation dtourne ou


frauduleuse des fichiers informatiques en cours dexcution du contrat ;

- prendre toutes mesures de scurit, notamment matrielles, pour assurer la


conservation et lintgrit des documents et informations traits pendant la dure
du prsent contrat ;

- et en fin de contrat, procder la destruction de tous fichiers manuels ou


informatiss stockant les informations saisies.

A ce titre, Y ne pourra sous-traiter lexcution des prestations une autre socit, ni


procder une cession de march sans laccord pralable de X.
X se rserve le droit de procder toute vrification qui lui paratrait utile pour constater
le respect des obligations prcites par Y.
En cas de non-respect des dispositions prcites, la responsabilit du titulaire peut
galement tre engage sur la base des dispositions des articles 226-5 et 226-17 du
nouveau code pnal.
X pourra prononcer la rsiliation immdiate du contrat, sans indemnit en faveur du
titulaire, en cas de violation du secret professionnel ou de non-respect des dispositions
prcites.

31

S O U S - T R A I T A N C E
-

Conformment larticle 34 de la loi informatique et liberts modifie, Y sengage


prendre toutes prcautions utiles afin de prserver la scurit des informations
et notamment dempcher quelles ne soient dformes, endommages ou
communiques des personnes non autorises.

1 2

Les donnes contenues dans ces supports et documents sont strictement couvertes
par le secret professionnel (article 226-13 du code pnal), il en va de mme pour toutes
les donnes dont Y prend connaissance loccasion de lexcution du prsent contrat.

Les supports informatiques et documents fournis par la socit X la socit Y restent


la proprit de la socit X.

F iche

S O U S - T R A I T A N C E

1 2

F iche

Modle de clauses de confidentialit pouvant tre utilises en cas de soustraitance

- Les archives intermdiaires : il sagit des donnes qui ne sont plus utilises
mais qui prsentent encore un intrt administratif pour lorganisme. Les
donnes sont conserves sur support distinct et sont consultes de
manire ponctuelle et motive ;

- Les archives dfinitives : il sagit des donnes prsentant un intrt


historique, scientifique ou statistique justifiant quelles ne fassent lobjet
daucune destruction. Elles sont alors rgies par le livre II du Code du
patrimoine et non par la loi informatique et liberts.

Les archives doivent tre scurises et chiffres si les donnes archives sont
des donnes sensibles ou juges confidentielles par lentreprise.

Les prcautions lmentaires


Mettre en uvre des modalits daccs spcifiques aux donnes archives
du fait que lutilisation dune archive doit intervenir de manire ponctuelle et
exceptionnelle.
Suivre les prconisations donnes dans la fiche n17 - Le chiffrement,
sagissant du chiffrement des archives.
Sagissant de la destruction des archives, choisir un mode opratoire
garantissant que lintgralit dune archive a t dtruite.
A titre dexemple, lANSSI accorde des certifications de premier niveau des
logiciels pour raliser cet objectif (http://www.ssi.gouv.fr/site_rubrique54.html).
Selon la nature des supports, on peut mentionner :

- Les broyeurs et dchiqueteurs pour le papier ainsi que les supports


numriques tels que les CD et DVD ;

- Les dgausseurs pour les units de stockage technologie magntique.

Se rfrer au document Guide technique pour la confidentialit des informations


enregistres sur les disques durs recycler ou exporter.
(http://www.ssi.gouv.fr/archive/fr/documentation/Guide_effaceur_
V1.12du040517.pdf).

G U I D E P R AT I Q U E S C U R I T

32

- Les bases actives ou archives courantes : il sagit des donnes dutilisation


courante par les services en charge de la mise en uvre du traitement ;

n 1 3

F iche

On distingue habituellement trois catgories darchives :

L A R C H I V A G E

Fiche n13 - Larchivage

Utiliser des supports ne prsentant pas une garantie de longvit suffisante. A


titre dexemple, on peut mentionner les CD et DVD dont la longvit dpasse
rarement 4/5 annes.

Pour aller plus loin


Plus dinformations sur les problmatiques darchivage sont disponibles sur
le site des archives de France : http://www.archivesdefrance.culture.gouv.fr/
gerer/archives-electroniques/.

33

n 1 3

L A R C H I V A G E

Ce quil ne faut pas faire

F iche

L A R C H I V A G E

n 1 3

F iche

Concernant la confidentialit de la communication :


- Chiffrer les donnes avant leur enregistrement sur le support lorsque la


transmission de donnes seffectue par lenvoi dun support physique (
technologie optique ou magntique).

- Lors dun envoi via un rseau :

- si cette transmission utilise la messagerie lectronique, chiffrer les pices


transmettre. A ce sujet, il convient de se rfrer aux prconisations de la
fiche n17 Le chiffrement ;

- sil sagit dun transfert de fichiers, utiliser un protocole garantissant la


confidentialit, tel que SFTP ;

- si cette transmission utilise le protocole HTTP, utiliser le protocole SSL


(HTTPS) pour assurer lauthentification des serveurs la confidentialit des
communications.

Dans tous les cas, la transmission du secret (cl de dchiffrement, mot de


passe, etc.) garantissant la confidentialit du transfert doit seffectuer dans
une transmission distincte, si possible via un canal de nature diffrente de
celui ayant servi la transmission des donnes (par exemple, envoi du fichier
chiffr par mail et communication du mot de passe par tlphone ou SMS).

G U I D E P R AT I Q U E S C U R I T

34

O R G A N I S M E S
D A U T R E S
A V E C
D I N F O R M A T I O N S

Les prcautions lmentaires

L E C H A N G E

En outre la transmission via Internet de donnes nominatives comporte, compte


tenu de labsence gnrale de confidentialit du rseau Internet, des risques
importants de divulgation de ces donnes et dintrusion dans les systmes
informatiques internes.

1 4

La messagerie lectronique et le fax, mme sils apportent un gain de temps,


ne constituent pas a priori un moyen de communication sr pour transmettre
des donnes personnelles. Une simple erreur de manipulation (e-mail erron,
erreur de numrotation du fax destinataire) peut conduire divulguer des
destinataires non habilits des informations personnelles et porter ainsi
atteinte au droit la vie prive des personnes.

la communication de donnes caractre personnel doit tre scurise, cest-dire que la confidentialit, lintgrit et lauthenticit des informations doivent
tre assures.

F iche

Fiche n 14 - Lchange
dinformations avec dautres
organismes

- prenregistrer dans le carnet dadresse des fax (si cette fonctionnalit


existe) les destinataires potentiels.

Ce quil ne faut pas faire


Transmettre des fichiers contenant des donnes personnelles en clair via des
messageries web du type Gmail ou Hotmail.

Pour aller plus loin


Concernant lintgrit des donnes :
il est recommand de calculer une empreinte sur les donnes en clair et de
transmettre cette empreinte afin que lintgrit des donnes soit vrifie au
moment de leur rception. Les calculs dempreintes peuvent tre raliss
laide dalgorithmes de hachage tels que SHA-1 ou SHA-2. Lutilisation de
SHA-2 est recommande.
Concernant lauthenticit des donnes :
lmetteur peut signer les donnes avant leur envoi afin de garantir quil est
lorigine de la transmission. Une signature lectronique requiert la mise en
place dune infrastructure de gestion de cls publiques14 (en anglais Public Key
Infrastructure, PKI) ;
lutilisation dalgorithmes cls publiques, lorsque les diffrents acteurs ont
mis en place une infrastructure de gestion de cls publiques, apparat
particulirement adapte pour garantir la confidentialit et lintgrit des
communications, ainsi que lauthenticit de lmetteur par lutilisation de la
signature llectronique.

14 - Sur la notion de cl publique, voir la fiche n17 Le chiffrement

35

O R G A N I S M E S

-d
 oubler lenvoi par fax dun envoi des documents originaux au destinataire ;

D A U T R E S

A V E C

- lors de lmission des messages, le fax doit afficher lidentit du fax


destinataire afin dtre assur de lidentit du destinataire ;

D I N F O R M A T I O N S

L E C H A N G E

- limpression des messages doit tre subordonne lintroduction dun


code daccs personnel ;

1 4

- le fax doit tre situ dans un local physiquement contrl et accessible
uniquement au personnel habilit ;

F iche

F iche

1 4

L E C H A N G E

D I N F O R M A T I O N S

A V E C

D A U T R E S

O R G A N I S M E S

Si vous tes amen utiliser le fax, il est recommand de mettre en place les
mesures suivantes :

- La taille minimale dune cl RSA soit de 2048 bits, pour une utilisation ne
devant pas dpasser lanne 2020 ;

- Pour une utilisation au-del de 2020, la taille minimale de la cl RSA est


de 4096 bits.

Ces valeurs sont donnes titre indicatif, et sont dpendantes du contexte


propre chaque traitement.

O R G A N I S M E S
F iche

1 4

L E C H A N G E

D
 s lors que les donnes ont t reues, que leur intgrit a t vrifie par le
destinataire et quelles ont t intgres dans le systme dinformation, il est
conseill de dtruire les supports ou fichiers ayant servi leur transmission.

D A U T R E S

Ce rfrentiel prcise notamment les longueurs de cl considrer. la date de


rdaction de ce document, il est par exemple prconis que :

A V E C

Les algorithmes mis en uvre dans le cadre de cette infrastructure doivent


suivre les prconisations de lannexe B1 du Rfrentiel Gnral de Scurit16.

D I N F O R M A T I O N S

Une telle infrastructure consiste dlivrer une paire de cls prive/publique


lensemble des personnes susceptibles dchanger des informations. Les cls
publiques doivent tre certifies par une autorit de certification pour laquelle
chacun des utilisateurs le certificat15 racine, ceci afin que lauthenticit des
cls publiques soient garanties.

15 - Un certificat est constitu :



1.dune valeur de cl publique

2.dinformations complmentaires permettant didentifier le propritaire de la cl (adresse email, nom)

3. dune signature par une cl publique dune autorit de certification sur lensemble de ces informations.
16 - http://www.references.modernisation.gouv.fr/rgs-securite

G U I D E P R AT I Q U E S C U R I T

36

Prendre en compte les exigences de scurit vis--vis des donnes


caractre personnel ds llaboration du service ou ds la conception
de lapplication.

Ce quil ne faut pas faire

Pour aller plus loin


Le dveloppement doit imposer des formats de saisie et denregistrement
des donnes qui minimisent les donnes collectes. Par exemple,
sil sagit de collecter lanne de naissance dune personne, le champ du
formulaire correspondant ne doit pas permettre la saisie du mois et du jour de
naissance. Cela peut se traduire notamment par la mise en uvre dun menu
droulant limitant les choix pour un champ dun formulaire.
Les formats de donnes doivent tre compatibles avec la mise en uvre
dune dure de conservation.
Le contrle daccs aux donnes par des catgories dutilisateurs doit tre
intgr au moment du dveloppement.
Eviter le recours des zones de texte libre. Si de telles zones sont requises,
il faut faire apparatre soit en filigrane, soit comme texte pr-rempli seffaant
sitt que lutilisateur dcide dcrire dans la zone, les mentions suivantes :
Les personnes disposent dun droit daccs aux informations contenues
dans cette zone de texte. Les informations que vous y inscrivez doivent
tre PERTINENTES au regard du contexte. Elles ne doivent pas comporter
dapprciation subjective, ni faire apparatre, directement ou indirectement
les origines raciales, les opinions politiques, philosophiques ou religieuses, les
appartenances syndicales ou les murs de la personne concerne.

37

L E S

Utiliser des donnes caractre personnel relles pour les phases de


dveloppement et de test. Si des donnes relles sont nanmoins requises,
il convient que celles-ci soient anonymises (cf fiche n16 Lanonymisation)

1 5

I N F O R M A T I Q U E S

Effectuer le dveloppement informatique dans un environnement informatique


distinct de celui de la production (par exemple, sur des ordinateurs diffrents,
dans des salles machines diffrentes).

A V E C

D I N F O R M A T I O N S

L E C H A N G E

1 4

F iche

Les prcautions lmentaires

F iche

D E V E L O P P E M E N T S

la protection des donnes caractre personnel doit tre partie intgrante du


dveloppement informatique afin dempcher toute erreur, perte, modification
non autorise, ou tout mauvais usage de celles-ci dans les applications.

D A U T R E S

O R G A N I S M E S

Fiche n 15 - Les dveloppements


informatiques

Lanonymisation irrversible consiste supprimer tout caractre identifiant un


ensemble de donnes. Concrtement, cela signifie que toutes les informations
directement et indirectement identifiantes sont supprimes et rendre
impossible toute r-identification des personnes.

Etre trs vigilant dans la mesure o une r-identification peut intervenir partir
dinformations partielles17.
Anonymiser une donne personnelle en procdant comme suit :

- gnrer un secret suffisamment long et difficile mmoriser18 ;

- appliquer une fonction dite sens unique sur les donnes : un algorithme
convenant pour une telle opration est un algorithme de hachage cl
secrte, tel que lalgorithme HMAC19 bas sur SHA-1.

S
 i une donne personnelle est anonymise et non purement supprime, il
existe un risque de r-identification20.

- En labsence dun besoin de leve de lanonymat, prvoir de supprimer le


secret afin de rduire ce risque.

- Dans lhypothse o le secret doit tre conserv pour une ventuelle leve
de lanonymisation ou une finalit de corrlation entre diffrentes donnes,
prvoir de mettre en place des mesures organisationnelles21 pour
garantir la confidentialit de ce secret. Les accs celui-ci doivent
tre tracs.

17 - A titre dexemple, la ville et la date de naissance peuvent parfois suffire identifier formellement une personne.
18 - Un exemple de chaine de caractres ayant valeur de secret est : f{rXan?cI$IPCk|Bb-aQWH6ud0;#oQt.
19 - HMAC est spcifi dans le document RFC 2104, http://www.ietf.org/rfc/rfc2104.txt
20 - Il est possible dassocier la donne originale la donne anonymise ds lors que le secret est compromis et que la
complexit de la donne originale nest pas suffisante. Les donnes personnelles possdent souvent une complexit,
autrement dit une entropie insuffisante. Par exemple, les patronymes franais sont en nombre limit (infrieur 1,5
millions), tous rpertoris.
21 - Un exemple de telle mesure consiste partager la cl en trois paires de valeurs confies trois personnes diffrentes,
ncessitant quau moins deux personnes se runissent pour reconstituer la cl.

G U I D E P R AT I Q U E S C U R I T

38

Les prcautions lmentaires

F iche

1 6

Lanonymisation rversible est une technique qui consiste remplacer un


identifiant (ou plus gnralement des donnes caractre personnel) par un
pseudonyme. Cette technique permet la leve de lanonymat ou ltude de
corrlations en cas de besoin.

On distingue les concepts danonymisation irrversible et danonymisation


rversible, cette dernire tant parfois dnomme pseudonymisation.

L A N O N Y M I S A T I O N

Fiche n 16 - Lanonymisation

- tre irrversible ;

- avoir un trs faible taux de collision : deux donnes diffrentes ne doivent


pas mener un mme rsultat ;

- avoir une grande dispersion : deux donnes quasi-semblables doivent


avoir des rsultats trs diffrents ;

- pouvoir mettre en uvre une cl secrte.

Pour aller plus loin


Dans certains cas, il est conseill dappliquer une double anonymisation
rversible : soit lapplication dune seconde anonymisation sur le rsultat
dune premire anonymisation. Ces deux anonymisations doivent utiliser des
secrets diffrents, dtenus par des organismes distincts.
Lalgorithme FOIN (Fonction dOccultation des Informations Nominatives) est
un exemple dalgorithme double anonymisation.

39

1 6
n
F iche

F iche

Utiliser des mcanismes danonymisation non valids par des experts. Un


bon algorithme danonymisation doit notamment :

L A N O N Y M I S A T I O N

Ce quil ne faut pas faire

1 6

L A N O N Y M I S A T I O N

- la cryptographie asymtrique comprend les mcanismes pour lesquels la


cl servant chiffrer, appele cl publique, est diffrente de la cl servant
dchiffrer, appele cl prive. On parle de paire de cls.

- Chaque personne na besoin que dune paire de cls prive/publique.


A contrario, la cryptographie symtrique ncessite davoir autant de
cls diffrentes que de couples de personnes qui veulent communiquer
confidentiellement ;

- Les cls publiques peuvent tre rendues publiques pour quiconque


souhaitant vous envoyer un message confidentiel. Toutefois lauthenticit
des cls publiques nest ainsi pas garantie. Aussi la mise en uvre de
la cryptographie asymtrique dans le cadre dchanges de messages
sinscrit le plus souvent dans la mise en place dune Infrastructure de
Gestion de Cls Publiques22 ;

Lchange dinformations de manire confidentielle entre deux parties A et B


seffectue comme suit :
Chiffrement au moyen de la cryptographie symtrique :
A

Transmission via un canal scuris

Donne en clair

Chiffrement

B
Cl

Donne chiffre

Transmission via un canal non scuris

Donne chiffre

22 - Voir la fiche n14 Lchange dinformations avec dautres organismes

G U I D E P R AT I Q U E S C U R I T

40

Dchiffrement

Donne en Clair

F iche

Lintrt de la cryptographie asymtrique est multiple :

Cl

L e

- la cryptographie symtrique comprend les mcanismes pour lesquels la


mme cl sert chiffrer et dchiffrer ;

On distingue deux familles cryptographiques permettant de chiffrer : la


cryptographie symtrique et la cryptographie asymtrique :

1 7

le chiffrement, parfois improprement appel cryptage, est un procd


cryptographique permettant de garantir la confidentialit dune information.
Les mcanismes cryptographiques permettent galement dassurer lintgrit
dune information, ainsi que lauthenticit dun message en le signant.

C H I F F R E M E N T

Fiche n 17 - Le chiffrement

A
Cl publique
de B (KpubB)
Donne en clair

Chiffrement

Si lchange de la cl publique
a lieu via un canal non scuris,
il faut que leur authenticit soit
garantie22

B
Cl publique
de B (KpubB)

Cl prive
de B (KprivB)

Dchiffrement

Donne en Clair

Donne chiffre

Empreinte

Cl publique
de A (KpubA)
Chiffrement

Si lchange de la cl publique
a lieu via un canal non scuris,
il faut que leur authenticit soit
garantie22

B
Cl publique
de A (KpubA)

Signature

Transmission via un canal non scuris

Donne chiffre

Dchiffrement

Calcul de
lempreinte

Empreinte
Vrification

Donne en clair

Donne en clair

Calcul de
lempreinte

Empreinte

Les prcautions lmentaires


Concernant le chiffrement symtrique :

- utiliser des algorithmes ltat de lart, tels que lAES ou le triple DES ;

- utiliser des cls cryptographiques de longueur au moins gale 128 ou


256 bits et qui ne soient pas des cls faibles23. En outre, la gnration des
cls doit se faire au moyen de logiciels prouvs, par exemple openSSL24.

22 - Voir la fiche n14 Lchange dinformations avec dautres organismes


23 - Un exemple de cl faible est la cl nulle :00000000000000000000000000000000
24 - http://www.openssl.org/

41

1 7

A
Cl prive
de A (KprivA)

F iche

1 7

Du fait que la cl prive nest dtenue que par une personne, la cryptographie
asymtrique permet de garantir limputabilit dun message en le signant
laide sa cl prive. Ce que la cryptographie ne permet pas du fait du partage
de la cl entre deux parties.

F iche

Signature au moyen de la cryptographie asymtrique :

L e

Donne chiffre

L e

Transmission via un canal non scuris

C H I F F R E M E N T

C H I F F R E M E N T

Chiffrement au moyen de la cryptographie asymtrique :

- Concernant la longueur des cls, il convient de suivre les prconisations


donnes en annexe B1 du Rfrentiel Gnral de Scurit25. En outre,
la gnration des cls doit se faire au moyen de logiciels prouvs, par
exemple openSSL24.

Utiliser des logiciels ou des librairies cryptographiques nayant pas fait lobjet
de vrifications par des tierces parties lexpertise avre.

Pour aller plus loin


Le chiffrement de documents peut tre ralis au moyen de diffrents
logiciels, dont notamment :

- le logiciel TrueCrypt26, permettant la mise en uvre de conteneurs27


chiffrs ;

- le logiciel Gnu Privacy Guard, permettant la mise en uvre de la


cryptographie asymtrique et dont une version est disponible ladresse
http://www.gnupg.org/index.fr.html. Il est suggr de choisir des cls
PGP DSA/ElGamal ayant au minimum une taille de 1536 bits, ou des cls
RSA dune taille minimale de 2048 bits ;

-  dfaut, il peut tre envisag dutiliser un utilitaire de compression tel que


ceux bass sur lalgorithme ZIP, ds lors quils permettent le chiffrement
laide dun mot de passe. Cest le cas notamment du logiciel 7-Zip.

24 - http://www.openssl.org/
25 - Cf http://www.references.modernisation.gouv.fr/rgs-securite
26 - Il convient dutiliser la version 6.0a qui bnficie dune certification de premier niveau par lANSSI.
27 - Par conteneur, il faut comprendre un fichier susceptible de contenir plusieurs fichiers.

G U I D E P R AT I Q U E S C U R I T

42

1 7

Utiliser lalgorithme simple DES, algorithme considr comme obsolte.

Ce quil ne faut pas faire

L e

- Utiliser des algorithmes prouvs, tels que le RSA ou lECC ;

F iche

C H I F F R E M E N T

Concernant le chiffrement asymtrique :

AES : Advanced Encryption Standard, un algorithme cryptographique symtrique


considr comme une rfrence.
DES : Data Encryption Standard, un algorithme cryptographique symtrique considr
comme dpass.
DHCP : D
 ynamic Host Configuration Protocol, un protocole permettant la configuration
dynamique des paramtres rseau dune machine (y compris lattribution de son
adresse IP).
DNS : Domain Name Server, Serveur de nom de domaine, Ces serveurs font notamment la
correspondance entre un nom de machine, par exemple www.cnil.fr, et une adresse
IP, en loccurrence 94.247.233.54.
DSA : Digital Signature Algorithm, un algorithme cryptographique de signature.
EBIOS : Une mthodologie dvaluation des risques relatifs la scurit des Systmes
dInformation.
ECC : Elliptic Curve Cryptography, cryptographie base sur les courbes elliptiques.
HMAC : une fonction de hachage permettant de garantir lauthenticit dun message
HTTP : HyperText Transfer Protocol, le protocole du web.
HTTPS : HTTP scuris par SSL.
MAC : Medium Access Control, ladresse MAC est un identifiant unique de chaque
interface rseau.
RAID : Redundant Array of Independent Disks, dsigne une technologie permettant de
stocker des donnes sur plusieurs disques durs afin damliorer la tolrance aux
pannes.
RSA : Un algorithme de cryptographie asymtrique, du nom de ses trois concepteurs
Rivest, Shamir et Adelman.
SFTP : un protocole de communication fonctionnant au-dessus de SSH pour transfrer et
grer des fichiers distance.
SHA : Secure Hash Algorithm, une famille de fonctions de hachage standardises (SHA-1,
SHA256, etc.).
SI : Systme dInformation.
SQL : S
 tructure Query Language, le protocole servant interroger ou manipuler des bases
de donnes.
SSH : Secure SHell, un protocole scuris de connexion distance en mode console.
SSL : Secure Socket Layer, un protocole qui permet notamment de scuriser le trafic
HTTPS.
VNC : Virtual Network Computer, un protocole permettant la prise de contrle distance
dun poste de travail.
VPN : Virtual Private Network, un canal de communication qui garantit la confidentialit
des changes.

43

acronymes

C H I F F R E M E N T

L e

1 7

F iche

Acronymes

liste des menaces ciblant les systmes informatiques et les fichiers considrer
en priorit :
pour les matriels :

- dtournement de lusage prvu (stockage de fichiers personnels sur
lordinateur de bureau, stockage de documents sensibles sur une cl USB
non prvue cet effet) ;

- espionnage (observation dun cran linsu de son utilisateur, golocalisation
dun tlphone) ;

- dpassement des limites de fonctionnement (panne de courant, temprature
excessive dune salle serveur, unit de stockage pleine) ;

- dtrioration (inondation ou incendie dune salle serveur, dgradation du fait
de lusure naturelle, vandalisme) ;

- modification (ajout de priphrique, webcam, keylogger28) ;

- disparition (vol, perte, cession ou mise au rebut dun ordinateur).
pour les logiciels :

- dtournement de lusage prvu (lvation de privilges, fouille de contenu,
effacement de traces) ;

- analyse (balayage dadresses rseaux, collecte de donnes de configuration) ;

- dpassement des limites de fonctionnement (injection de donnes en dehors
des valeurs prvues, dbordement de tampon) ;

- suppression totale ou partielle (bombe logique, effacement de code) ;

- modification (contagion par un code malveillant, manipulation inopportune
lors dune mise jour) ;

- disparition (cession dun logiciel dvelopp en interne, non renouvellement de
licence).
pour les canaux de communication :

- coute passive (coute sur un cble rseau, interception) ;

- saturation (exploitation distante dun rseau wifi, tlchargement non autoris,
assourdissement de signal) ;

- dgradation (sectionnement de cblage, torsion de fibre optique) ;

- modification (changement dun cble par un autre inappropri, modification
de chemin de cble),

- disparition (vol de cbles en cuivre) ;

- attaque du milieu (man in the middle, rejeu/rmission dun flux).
pour les supports papier :

- dtournement de lusage prvu (falsification, effacement, utilisation du verso
dimpressions papier en tant que brouillons) ;

- espionnage (lecture, photocopie ou photographie de documents) ;

- dtrioration (vieillissement naturel, corrosion chimique, dgradation
volontaire, embrasement lors dun incendie) ;

- disparition (vol de documents, revente, perte, prt, mise au rebut).
28 - Dispositif denregistrement des frappes du clavier.

G U I D E P R AT I Q U E S C U R I T

44

A N N E X E

Annexe 1 - Menaces informatiques

A N N E X E

Une difficult ? Une hsitation ?

Plus dinformations sur le site de la CNIL www.cnil.fr,

Une permanence de renseignements juridiques


par tlphone est assure tous les jours de 10h 12h et de 14h 16h
au 01 53 73 22 22

Vous pouvez en outre adresser toute demande


par tlcopie au 01 53 73 22 00

Evaluez le niveau de scurit des


donnes personnelles dans votre
organisme
Avez-vous pens ?
Fiche
1

Analyser les risques

Authentifier les utilisateurs

Grer les habilitations &


sensibiliser les utilisateurs

Scuriser les postes de


travail

Scuriser linformatique
mobile

Sauvegarder et prvoir la
continuit dactivit

Encadrer la maintenance

Tracer les accs et grer


les incidents

Protger les locaux

10

Protger le rseau informatique interne

11

Scuriser les serveurs et les


applications

12

Grer la sous-traitance

13

Archiver

14

Scuriser les changes avec


dautres organismes

Mesure
Recensez les fichiers et donnes caractre personnel et les traitements
Dterminez les menaces et leurs impacts sur la vie prive des personnes
Mettez en uvre des mesures de scurit adaptes aux menaces
Dfinissez un identifiant (login) unique chaque utilisateur
Adoptez une politique de mot de passe utilisateur rigoureuse
Obligez lutilisateur changer son mot de passe aprs rinitialisation
Dfinissez des profils dhabilitation
Supprimez les permissions daccs obsoltes
Documentez les procdures dexploitation
Rdigez une charte informatique et annexez-la au rglement intrieur
Limitez le nombre de tentatives daccs un compte
Installez un pare-feu (firewall) logiciel
Utilisez des antivirus rgulirement mis jour
Prvoyez une procdure de verrouillage automatique de session
Prvoyez des moyens de chiffrement pour les ordinateurs portables et
les units de stockage amovibles (cls USB, CD, DVD)
Effectuez des sauvegardes rgulires
Stockez les supports de sauvegarde dans un endroit sr
Prvoyez des moyens de scurit pour le convoyage des sauvegardes
Prvoyez et testez rgulirement la continuit dactivit
Enregistrez les interventions de maintenance dans une main courante
Effacez les donnes de tout matriel avant sa mise au rebut
Recueillez laccord de lutilisateur avant toute intervention sur son poste
Prvoyez un systme de journalisation
Informez les utilisateurs de la mise en place du systme de journalisation
Protgez les quipements de journalisation et les informations journalises
Notifiez les personnes concernes des accs frauduleux leurs donnes
Restreignez les accs aux locaux au moyen de portes verrouilles
Installez des alarmes anti-intrusion et vrifiez-les priodiquement
Limitez les flux rseau au strict ncessaire
Scurisez les accs distants des appareils informatiques nomades par VPN
Utilisez le protocole SSL avec une cl de 128 bits pour les services web
Mettez en uvre le protocole WPA - AES/CCMP pour les rseaux WiFi
Adoptez une politique de mot de passe administrateur rigoureuse
Installez sans dlai les mises jour critiques
Assurez une disponibilit des donnes
Prvoyez une clause spcifique dans les contrats des sous-traitants
Assurez-vous de leffectivit des garanties prvues (audits de scurit,
visites...)
Prvoyez les conditions de restitution et de destruction des donnes
Mettez en uvre des modalits daccs spcifiques aux donnes archives
Dtruisez les archives obsoltes de manire scurise
Chiffrez les donnes avant leur envoi
Assurez-vous quil sagit du bon destinataire
Transmettez le secret lors dun envoi distinct et via un canal diffrent

o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o

Оценить