Session de sécurité 2ème semestre 2013

Slides:



Advertisements
Présentations similaires
Syntec Recrutement Journée du 4 décembre avec la participation de La rubrique emploi du Point et du Nouvel Observateur.
Advertisements

ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6
Distance inter-locuteur
CONDUIRE une REUNION.
Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.
E-Justice, Droit et Justice en réseaux dans l’ Union Européenne
Manuel Qualité, Structure et Contenus – optionnel
1 ROLE ET PERSPECTIVES DEVOLUTION DE LA MUTUALITE MAROCAINE A LHEURE DE LASSURANCE MALADIE Le 26 mars 2007.
LES BONNES PRATIQUES Présentation du 31 Mars 2005
La politique de Sécurité
Collège Anatole France – Cadillac Mise à jour: Questions sur cette charte à envoyer à: CHARTE INFORMATIQUE SIMPLIFIEE.
LE DOCUMENT UNIQUE DE DELEGATION
1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.
Art. 60 et législation relative au bien-être Groupe de travail activation 7 juillet 2012.
User management pour les entreprises et les organisations Auteur / section: Gestion des accès.
La législation formation, les aides des pouvoirs publics
1 7 Langues niveaux débutant à avancé. 2 Allemand.
23/05/2006 Résultat Final Business Consulting Services Pré-étude portant sur l'implémentation et l'organisation d'un système de gestion des connaissances.
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
Contexte et objectifs L’AFPA souhaite proposer à ses stagiaires des services complémentaires à son offre de formation standard. L’espace emploi permet.
Gestion des risques Contrôle Interne
Le portail personnel pour les professionnels du chiffre
Module 1 : Préparation de l'administration d'un serveur
Rappel au Code de sécurité des travaux 1 Code de sécurité des travaux Rappel du personnel initié Chapitre Lignes de Transport (Aériennes)
0 NOUVEAUTÉS LES PREMIERS SCEAUX FRANÇAIS DÉLIVRÉS PAR WEBTRUST FRANCE.
Sésame Conseils Bon sens et compétences
Association loi 1901 Régime juridique.
Etapes vers la Certification - Préparation de groupe –
Traitements &Suppléments
Nouvelle procédure de désignation du conseiller en sécurité* (1)
Norme de service - Attractions et événements 1 Introduction à la norme de service Attractions et événements Session de formation 3 P
La voyage de Jean Pierre
Configuration de Windows Server 2008 Active Directory
DOCUMENTS DE FORMATION CODEX FAO/OMS SECTION TROIS LES BASES DES ACTIVITES NATIONALES DU CODEX Module 3.3 Considérations sur la constitution des délégations.
Les 10 choses que vous devez savoir sur Windows Authentique Notice légale Les informations de ce document contiennent les explications de Microsoft Corporation.
Projet poker 1/56. Introduction Présentation de léquipe Cadre du projet Enjeux Choix du sujet 2.
LES INSTANCES A L’HOPITAL
Évaluation du comité de vérification
Manuel de formation PNUE Thème 11 Diapo 1 Objectifs de la mise en œuvre et du suivi de lÉIE : F appliquer les conditions dapprobation F garantir leur efficacité
Logiciel gratuit à télécharger à cette adresse :
Admission Post-Bac Comment ?. 1 ère étape - L'inscription par internet 1. Enregistrez-vous sur Internet afin de constituer votre dossier électronique.
Economic Operator's Registration and Identification
MAGIE Réalisé par Mons. RITTER J-P Le 24 octobre 2004.
Évaluer et analyser les coûts de la régie communautaire de leau, comment ? Restitution du 16 nov Cartographie des activités et inducteurs de coût.
Le cycle de vie du document et les exigences pour chacune des étapes
Les fondements constitutionnels
LA VÉRIFICATION DES ANTÉCÉDENTS JUDICIAIRES
MAGIE Réalisé par Mons. RITTER J-P Le 24 octobre 2004.
1/65 微距摄影 美丽的微距摄影 Encore une belle leçon de Macrophotographies venant du Soleil Levant Louis.
MARQUAGE CE.
Rapprochement des référentiels d’économie droit BTS Assistant de Gestion PME-PMI BAC PRO « Gestion-Administration »
Utilisateurs en aval Downstream Users Utilisateurs en aval Downstream Users Daphné Hoyaux Jeudi 21 février 2013.
Van De Sande J.M. SPF Economie – DG Potentiel économique directive «services»
ISO 9001:2000 MESURE, ANALYSE et AMELIORATION Interprétation
IAEA Training Course on Effective and Sustainable Regulatory Control of Radiation Sources Stratégies pour un contrôle réglementaire efficace et durable.
1 Copyright WebTrust France Nouveautés Copyright WebTrust France Les premiers sceaux français délivrés par WebTrust France.
DOCUMENTS DE FORMATION CODEX FAO/OMS SECTION TROIS LES BASES DES ACTIVITES NATIONALES DU CODEX Module 3.2 Comment mettre au point des positions nationales.
Formalisation de la politique qualité
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels Me Isabelle Chvatal 25 septembre 2014 Réseau REPCAR.
MODULE DE FORMATION À LA QUALITÉ
Principes et définitions
Le système de traitement des plaintes de l’IDP. Cadre Légal.
Gouvernance des données. Renseignement Confidentiel Renseignement Personnel Obligations Sécurité Valorisation.
Secrétariat général direction de la Recherche et de l’Animation scientifique et technique Présentation de la directive européenne INSPIRE.
PROCESSUS D’AUDIT PLANIFICATION DES AUDITS
ISO 9001:2000 Interprétation Article 7 Réalisation du produit
Responsabilité en matière de sûreté radiologique
La Charte Informatique
Les aspects juridiques de l'externalisation des données et services ARAMIS 2012 « Virtualisation et Bases de données » Yann Bergheaud – Lyon3.
Coopération Technique Belge Audit interne à la CTB : présentation.
Transcription de la présentation:

Session de sécurité 2ème semestre 2013 Service Public de Programmation Intégration Sociale,

PROGRAMME Présentation du conseiller Aperçu sommaire des règles de déontologie des membres du conseil de l’Action sociale Lignes directrices de la BCSS pour les clouds (non encore officiellement agréées par le groupe de sécurité constitué à cet effet). Windows 365: bref aperçu. Nouvelle méthode de désignation du conseiller en sécurité Service Public de Programmation Intégration Sociale,

Questions ou sujets à aborder A vous!

PRESENTATION DU CONSEILLER EN SECURITE 1 LES CONSEILLERS DE L’ACTION SOCIALE NE SAVENT PAS: ce qu’est la sécurité de l’information; ce qu’est un conseiller en sécurité; ce qu’ils doivent respecter afin d’être en ordre avec les normes minimales. Service Public de Programmation Intégration Sociale,

PRESENTATION DU CONSEILLER EN SECURITE 2 La sécurité de l’information est: - la prévention et la réparation rapide et efficiente des dommages aux données sociales - et des violations illégitimes de la vie privée des intéressés. Service Public de Programmation Intégration Sociale,

PRESENTATION DU CONSEILLER EN SECURITE 3 Le service chargé de la sécurité de l’information veille au respect, dans le CPAS, des règles de sécurité imposées par une disposition légale. AR 12/08/1993 Service Public de Programmation Intégration Sociale,

PRESENTATION DU CONSEILLER EN SECURITE 4 Le service chargé de la sécurité de l’information a une mission: d’avis, de stimulation, de documentation, de contrôle. Service Public de Programmation Intégration Sociale,

PRESENTATION DU CONSEILLER EN SECURITE 5 Le service chargé de la sécurité de l’information conseille le responsable de la gestion journalière (Directeur général – Secrétaire) de son CPAS, à la demande de celui-ci ou de sa propre initiative, au sujet de tous les aspects de la sécurité de l’information. Service Public de Programmation Intégration Sociale,

PRESENTATION DU CONSEILLER EN SECURITE 6 Sauf si les risques ne sont pas suffisamment importants, les avis s’expriment par écrit et sont motivés. Service Public de Programmation Intégration Sociale,

PRESENTATION DU CONSEILLER EN SECURITE 7 Dans le délai …. maximum de trois mois, le responsable de la gestion journalière décide/ de suivre ou non les avis et informe le service chargé de la sécurité de la décision adoptée. Si la décision déroge à un avis exprimé par écrit, elle doit être communiquée de façon écrite et motivée. Service Public de Programmation Intégration Sociale,

PRESENTATION DU CONSEILLER EN SECURITE 8 Le service chargé de la sécurité de l’information promeut le respect des règles de sécurité imposées par une disposition ………ainsi que l’adoption, par les personnes employées dans le CPAS d’un comportement favorisant la sécurité. Service Public de Programmation Intégration Sociale,

PRESENTATION DU CONSEILLER EN SECURITE 9 Le service chargé de la sécurité de l’information rassemble la documentation utile à ce sujet. Service Public de Programmation Intégration Sociale,

PRESENTATION DU CONSEILLER EN SECURITE 10 Le conseiller en sécurité veille au respect, dans le CPAS, des règles de sécurité imposées par une disposition légale ….. Toutes les infractions constatées sont communiquées par écrit et exclusivement au responsable de la gestion journalière de l’institution, accompagnées des avis nécessaires en vue d’éviter de telles infractions à l’avenir. Service Public de Programmation Intégration Sociale,

PRESENTATION DU CONSEILLER EN SECURITE 11 Les conseillers en sécurité et leurs adjoints éventuels ne peuvent être relevés de cette fonction en raison des opinions qu’ils émettent ou des actes qu’ils accomplissent dans le cadre de l’exercice correct de leur fonction. Service Public de Programmation Intégration Sociale,

PRESENTATION DU CONSEILLER EN SECURITE 12 Le service chargé de la sécurité de l’information est placé sous l’autorité fonctionnelle directe du responsable de la gestion journalière du CPAS. Service Public de Programmation Intégration Sociale,

PRESENTATION DU CONSEILLER EN SECURITE 13 Il travaille en étroite collaboration avec les services qui requièrent ou peuvent requérir, son intervention, en particulier: avec le service informatique; le SIPP. Service Public de Programmation Intégration Sociale,

PRESENTATION DU CONSEILLER EN SECURITE 14 Le conseiller en sécurité rédige un projet de plan de sécurité pour une durée de 3 ans, à l’attention du responsable de la gestion journalière, en spécifiant sur base annuelle les moyens nécessaires à la réalisation du plan. Ce projet est révisé au moins annuellement et adapté si nécessaire. Le projet de plan de sécurité est considéré comme un avis Service Public de Programmation Intégration Sociale,

PRESENTATION DU CONSEILLER EN SECURITE 15 Le service chargé de la sécurité de l’information rédige un rapport annuel à l’attention du responsable de la gestion journalière de l’institution. Service Public de Programmation Intégration Sociale,

PRESENTATION DU CONSEILLER EN SECURITE 16 Les missions du service chargé de la sécurité de l’information telles que définies se rapportent également aux données sociales à caractère personnel conservées, traitées ou échangées par l’intermédiaire de tiers (maisons de soft, administration communale, etc.) pour le compte du CPAS. Service Public de Programmation Intégration Sociale,

PRESENTATION DU CONSEILLER EN SECURITE 17 Service Public de Programmation Intégration Sociale,

Aperçu sommaire des règles de déontologie des membres du conseil de l’Action sociale Source: http://www.uvcw.be/articles/33,38,38,0,2207.htm Le respect de la vie privée A. Le secret Au sein du CPAS, le respect du secret professionnel est une nécessité sociale impérieuse. L’obligation au secret professionnel est consacrée d’abord par l’article 458 du Code pénal, Toutes les informations reçues ou constatées durant l’exercice de la profession ou du mandat tombent sous le secret professionnel. Service Public de Programmation Intégration Sociale,

Aperçu sommaire des règles de déontologie des membres du conseil de l’Action sociale La loi du 8 juillet 1976 organique des CPAS précise en outre que: les membres du conseil de l’action sociale ainsi que toute autre personne qui, en vertu de la loi, assistent aux réunions du conseil, du bureau permanent et des comités spéciaux, sont tenus au secret (art. 36, al. 2); ces dispositions sont également applicables aux membres du personnel du CPAS (art. 50). Service Public de Programmation Intégration Sociale,

Aperçu sommaire des règles de déontologie des membres du conseil de l’Action sociale Ainsi, au sein du CPAS, ce ne sont pas seulement les travailleurs sociaux mais l’ensemble des membres du personnel (y compris le personnel auxiliaire) ainsi que les mandataires qui sont tenus au secret professionnel. Service Public de Programmation Intégration Sociale,

Aperçu sommaire des règles de déontologie des membres du conseil de l’Action sociale Les membres du conseil et les personnes qui peuvent assister à la réunion ne peuvent donc divulguer la teneur des discussions et délibérations, les points de vue, opinions et prises de position ni la manière dont le vote s'est déroulé, fût-ce aux demandeurs d'aide. Service Public de Programmation Intégration Sociale,

CONSEIL Examiner d’abord avec votre Directeur général et votre Président: l’intérêt de rappeler les règles, le contenu, la manière (très didactique si possible et très simple).

Lignes directrices de sécurité concernant les clouds: risques 1 La perte de gouvernance sur le traitement. La perte d’auditabilité du prestataire due à une défaillance de gestion des sous-traitants. La dépendance technologique du CPAS vis-à-vis du fournisseur de Cloud Computing = impossibilité ou difficulté de changer de solution (pour un autre fournisseur ou une solution interne) sans perte de données. Service Public de Programmation Intégration Sociale,

Lignes directrices de sécurité concernant les clouds: risques 2 Une faille dans l’isolation des données = c’est-à-dire le risque que les données hébergées sur un système (virtualisé) ne soient plus isolées et puissent être modifiées ou rendues accessibles à des tiers non autorisés, suite à une défaillance du prestataire ou à une mauvaise gestion du rôle d’hyperviseur ; Service Public de Programmation Intégration Sociale, 27

Lignes directrices de sécurité concernant les clouds: risques 3 L’exécution de réquisitions judiciaires sur base de droit étranger sans concertation avec les autorités nationales (exemple: USA). http://www.levif.be/info/actualite/international/google-veut-pouvoir-publier-le-nombre-de-requetes-de-la-nsa/article-4000331420445.htm Service Public de Programmation Intégration Sociale, 28

Lignes directrices de sécurité concernant les clouds: risques 4 Google veut pouvoir publier le nombre de requêtes de la NSA Le Vif mercredi 19 juin 2013 à 06h36 Google a demandé mardi à la cour spéciale gérant les enquêtes liées à la sécurité nationale la permission de publier le nombre de requêtes des services de renseignement lui réclamant des données. Service Public de Programmation Intégration Sociale, 29

Lignes directrices de sécurité concernant les clouds: risques 5 Une faille dans la chaîne de sous-traitance e.a., dans le cas où le prestataire a lui-même fait appel à des tiers pour fournir le service. Le non-respect des règles de conservation et de destruction de l’institution, e.a. par une destruction ineffective ou non sécurisée des données, ou durée de conservation trop longue. Service Public de Programmation Intégration Sociale, 30

Lignes directrices de sécurité concernant les clouds: risques 6 Problèmes de gestion des droits d’accès. Indisponibilité du prestataire = indisponibilité du service en lui-même mais aussi indisponibilité des moyens d’accès au service (notamment les problèmes réseaux). La fermeture du service du prestataire ou le changement non volontaire de prestataire par un tiers. Non-conformité réglementaire, notamment sur les transferts internationaux. Service Public de Programmation Intégration Sociale, 31

Lignes directrices de sécurité concernant les clouds: risques 7 Observations (1) Avant d’envisager l’utilisation d’un Cloud Computing, le CPAS doit clairement identifier les données, traitements ou services qui pourraient être hébergés dans le Cloud et déterminer le retour sur investissement en tenant compte, notamment de l’application des contraintes de sécurité. Au cas où un type de donnée est soumis à une réglementation spécifique, le CPAS doit identifier les conditions minimales ou restrictions à leur transfert. Les surcoûts de l’application des évolutions, vraisemblables et probables, des contraintes de sécurité notamment, devront être évalués et chiffrés. Service Public de Programmation Intégration Sociale, 32

Lignes directrices de sécurité concernant les clouds: risques 8 Observations (2) Les modèles de services sont les suivants : SaaS : « Software as a Service », c’est-à-dire la fourniture de logiciel en ligne; PaaS : « Platform as a Service », c’est-à-dire la fourniture d’une plateforme de développement d’applications en ligne; IaaS : « Infrastructure as a Service », c’est-à-dire la fourniture d’infrastructures de calcul et de stockage en ligne. Service Public de Programmation Intégration Sociale, 33

Lignes directrices de sécurité concernant les clouds: risques 9 Observations (3) Les modèles de déploiement sont les suivants : « Public » quand un service est partagé et mutualisé entre de nombreux clients; « Privé » quand le Cloud est dédié à un client; « Communautaire » quand le Cloud est partagé par des clients ayant les mêmes contraintes (légales, …); « Hybride » quand un service est partiellement dans un Cloud public et partiellement dans un Cloud privé. Service Public de Programmation Intégration Sociale, 34

Lignes directrices de sécurité concernant les clouds: risques 10 Observations (4) Ni le cloud public ni le cloud hybride ne rencontrent actuellement les contraintes de sécurité requises. Il faut définir ses propres exigences de sécurité technique et juridique. Si le but du Cloud est de décharger le CPAS de certaines tâches opérationnelles, il doit s’assurer a priori que le prestataire suit un niveau d’exigence au moins égal à celui demandé par le CPAS (exemple: cloud Adehis). Service Public de Programmation Intégration Sociale, 35

Lignes directrices de sécurité concernant les clouds: risques 9 Plus le cloud est loin, plus le risque est élevé. Le CPAS doit s’assurer que les données sont réellement conservées dans le cloud et non ailleurs (il y a des outils permettant de vérifier le lieu de stockage). Conduire une analyse de risques adéquate est essentiel pour être en mesure de définir les mesures de sécurité appropriées et notamment à exiger du prestataire. Service Public de Programmation Intégration Sociale, 36

Lignes directrices de sécurité concernant les clouds: risques 10 Service Public de Programmation Intégration Sociale, 37

Lignes directrices de sécurité concernant les clouds: risques 11 Garanties Clause relative à la possibilité pour un prestataire de service « cloud » de sous-traiter une partie de ses activités. Le prestataire de service reste le seul responsable vis-à-vis du CPAS de l’exécution de ses obligations donc aussi dans le cas où il sous-traite certaines de ses activités. Dans la perspective que certaines tâches particulières puissent être attribuées à des sous-traitants, le contrat doit stipuler que le prestataire « cloud » en informe le CPAS et s’engage à reporter formellement toutes les obligations qui lui incombent dans les engagements qu’il contactera avec ses sous-traitants. Le prestataire devra également s'assurer que ces engagements sont respectés par ses sous-traitants en effectuant les contrôles nécessaires. Service Public de Programmation Intégration Sociale, 38

Lignes directrices de sécurité concernant les clouds: risques 12 Garanties Clause relative à l’intégrité, la continuité et la qualité de service Le prestataire doit disposer et mettre en œuvre tous les dispositifs assurant la conservation et l’intégrité des informations traitées durant la durée du contrat tels que des systèmes de sauvegarde. Service Public de Programmation Intégration Sociale, 39

Lignes directrices de sécurité concernant les clouds: risques 13 Garanties Un engagement sur un niveau de service (SLA) doit être formalisé dans un accord annexé au contrat entre le CPAS et le prestataire de service « cloud » ; y seront spécifiés, notamment, pendant et après toute période de garantie, la disponibilité de service et le délai maximum de redémarrage en cas d’interruption après accident et tous autres critères relatifs à la reprise des activités (temps délimité de récupération et perte maximale de données tolérable). De même, le détail des mesures permettant la continuité de service doit être fourni dans l’accord de niveau de service (SLA) annexé au contrat. Service Public de Programmation Intégration Sociale, 40

Lignes directrices de sécurité concernant les clouds: risques 14 Garanties Clause relative à l’assurance de restitution des données. Le prestataire s’engage à ne pas conserver les données du CPAS au-delà de la durée de conservation fixée en concertation avec l’institution au regard des finalités pour lesquelles les données ont été collectées. En cas de rupture anticipée ou en fin de prestation, le prestataire s’engage à la restitution de l’intégralité des données du CPAS dans un mode et un délai convenu, sur base d’un format conventionnel, structuré et couramment utilisé afin que le CPAS puisse assurer la continuité de son service. Une fois la restitution effectuée et avec l’accord du CPAS, le prestataire de service s’engage à détruire toutes les copies des données en sa possession, y compris les backups et archives dans un délai raisonnable et à apporter la preuve de la destruction. Service Public de Programmation Intégration Sociale, 41

Lignes directrices de sécurité concernant les clouds: risques 15 Garanties Clause sur la garantie de portabilité des données et l’interopérabilité des systèmes. En fin de prestation, le prestataire s’engage à fournir, à des conditions convenues dans le contrat, l’aide nécessaire à la migration des traitements opérés de son « cloud » vers une autre solution. Service Public de Programmation Intégration Sociale, 42

Lignes directrices de sécurité concernant les clouds: risques 16 Garanties Clause sur les règles d’audits Le prestataire s’engage à autoriser les audits commandités par le CPAS, à collaborer étroitement et à traiter les déficiences observées le plus rapidement possible. Ces audits peuvent être effectués par le CPAS lui-même ou par un tiers de confiance choisi par le CPAS. Les audits doivent permettre l’analyse du respect du contrat et des règles de sécurité en application dans cette politique ou encore l’analyse de conformité, au regard notamment des bonnes pratiques recommandées par des organismes internationaux (ISO p.ex). L’audit doit aussi permettre de s’assurer que les mesures de sécurité relatives à la confidentialité, la disponibilité, la traçabilité et l’intégrité des données mises en place ne peuvent être contournées sans que cela ne soit détecté et notifié. Lorsqu'il y a sous-traitance, qu'elle soit totale ou partielle, les règles d’audit sont aussi d’application chez tous les sous-traitants. Service Public de Programmation Intégration Sociale, 43

Lignes directrices de sécurité concernant les clouds: risques 17 Microsoft n’autorise pas d’audit dans ses clouds. Service Public de Programmation Intégration Sociale, 44

Lignes directrices de sécurité concernant les clouds: risques 18 Garanties Clause sur les obligations du prestataire en matière de confidentialité des données: le prestataire doit s’engager, pour lui, ses sous-traitants et éventuels repreneurs, à ne pas utiliser ou divulguer les données pour son propre compte ou celui d’un tiers. il doit s’engager à protéger et tenir à la disposition du client toutes les traces d’accès (nécessaires à déterminer qui à fait quoi et quand) aux données, outils d’administration et applicatifs, et ce pendant une durée déterminée contractuellement. il doit informer le CPAS de toute anomalie détectée dans les traces de connexion, exemple: tentatives d’accès de personnes non-autorisées. le prestataire doit informer immédiatement le CPAS de toute enquête ou demande d’enquête provenant d’une autorité administrative ou judicaire belge ou étrangère. Service Public de Programmation Intégration Sociale, 45

Lignes directrices de sécurité concernant les clouds: risques 19 Garanties Clause sur la souveraineté Fournir au CPAS l'assurance que le prestataire et ses éventuels sous-traitants ne sont pas assujettis à des requêtes d'autorités étrangères à la Belgique ou à d'autres Etats membres de l'Union européenne. Service Public de Programmation Intégration Sociale, 46

Lignes directrices de sécurité concernant les clouds: risques 20 Garanties Clause sur les obligations du prestataire en matière de sécurité des données. Fournir au client la politique de sécurité des systèmes d’information qu’il a mise en place et l’informer des évolutions de cette politique. Le fournisseur de service « Cloud Computing » est tenu au respect des bonnes pratiques en vigueur et exigées par et pour l’institution ; notamment telles que structurées dans l’ISO 27002 ou telles que mentionnées dans les normes minimales pour la sécurité sociale. Service Public de Programmation Intégration Sociale, 47

Lignes directrices de sécurité concernant les clouds: risques 21 Respect des bonnes pratiques par le prestataire de service Les bonnes pratiques mentionnées ici sont une liste minimum et non-exhaustive de mesures de sécurité que le prestataire de service « cloud computing » est dans l’obligation de respecter tout en sachant que l’analyse de risques exécutée par CPAS peut donner lieu à d’autres mesures de sécurité complémentaires Service Public de Programmation Intégration Sociale, 48

Lignes directrices de sécurité concernant les clouds: risques 22 Respect des bonnes pratiques par le prestataire de service 5 domaines d’attention. Les données sensibles: le prestataire doit mettre en œuvre, de façon cohérente, les processus en matière de sécurité, gestion du personnel, inventaire, qualification et traçabilité des données, les centres de calcul : le prestataire doit disposer d’une gestion de la sécurité des accès physiques aux centres de calcul ainsi des dispositifs techniques assurant la protection contre les menaces extérieures et environnementales (incendie, inondation, panne de courant, etc) . Service Public de Programmation Intégration Sociale, 49

Lignes directrices de sécurité concernant les clouds: risques 23 Respect des bonnes pratiques par le prestataire de service 5 domaines d’attention. la sécurité des accès logiques : le prestataire doit disposer de contrôles d’accès logique assurant la protection adéquate des données sensibles ou non, la sécurité des systèmes : le prestataire doit disposer de systèmes configurés et protégés des failles de sécurité, en particulier pour les hébergements de données, la sécurité du réseau : le prestataire doit disposer d’un réseau sécurisé avec un isolement approprié envers les tiers. Service Public de Programmation Intégration Sociale, 50

Lignes directrices de sécurité concernant les clouds: risques 23 Respect des bonnes pratiques par le prestataire de service Données Le prestataire assure : que la localisation des données sensibles ou non, propriétés de l’institution, est connue et conforme aux exigences du CPAS (centre de calcul, stockage et serveurs) que les systèmes de sauvegardes et plan de secours informatiques associés sont mis en œuvre et testés périodiquement, disposer d’un code d’éthique appliqué par et à son personnel et ses éventuels sous-traitants. Il n’exerce et n’exercera pas d’activités pouvant entrainer un risque de conflit d’intérêts, Service Public de Programmation Intégration Sociale, 51

Lignes directrices de sécurité concernant les clouds: risques 24 Respect des bonnes pratiques par le prestataire de service Données Le prestataire assure : que son personnel suit régulièrement des formations de sensibilisation à la sécurité, disposer de moyens de traçabilité centralisés permettant de détecter des violations de privilèges ou des comportements malveillants, disposer d’une gestion des incident de sécurité incluant la détection, l’alerte, le traitement jusqu’à la résolution, identification des causes et la communication à l’institution. Service Public de Programmation Intégration Sociale, 52

Lignes directrices de sécurité concernant les clouds: risques 25 Respect des bonnes pratiques par le prestataire de service Sécurité des centres de calcul Le prestataire assure : disposer de systèmes de contrôle d’accès physiques sécurisés, de détection d’intrusion, d’incendie, d’inondations et de vidéo surveillance ; Que les accès aux centres de calcul sont autorisés aux seules personnes habilitées en suivant un circuit d’approbation approprié ; ils sont tracés et revus régulièrement ; que tout sous-traitant de maintenance amené à utiliser ou réparer des équipements contenant des données sensibles est soumis à des clauses contractuelles de confidentialité ; que tout media de stockage de données contenant des données sensibles et destiné à être réaffecté, mis au rebus ou recyclé fait l’objet d’un effacement adéquat préalable. Service Public de Programmation Intégration Sociale, 53

Lignes directrices de sécurité concernant les clouds: risques 26 Respect des bonnes pratiques par le prestataire de service Sécurité des accès logiques Le prestataire assure : appliquer les règles d’autorisation d’accès aux données en fonction des éléments communiqués par le CPAS (consultation, création, modification et suppression); que les accès des utilisateurs et administrateurs aux systèmes contenant des données sensibles s’appuient sur des mécanismes assurant la confidentialité et la traçabilité (pistes d’audit des accès aux données et traitement de la problématique des comptes génériques) ; appliquer une politique d’authentification conforme à celle du CPAS. Service Public de Programmation Intégration Sociale, 54

Lignes directrices de sécurité concernant les clouds: risques 27 Respect des bonnes pratiques par le prestataire de service Sécurité des systèmes Le prestataire assure : que les données sauvegardées, quel que soit le support, sont chiffrées au moyen d’un dispositif adéquat (algorithme, longueur de clef,…) ; gérer les vulnérabilités des systèmes et organise au moins annuellement des tests d’intrusion, les vulnérabilités critiques identifiées sont corrigées immédiatement ; que les serveurs hébergeant les données sensibles sont configurés avec un niveau de sécurité renforcé ; Service Public de Programmation Intégration Sociale, 55

Lignes directrices de sécurité concernant les clouds: risques 28 Respect des bonnes pratiques par le prestataire de service Sécurité des systèmes Le prestataire assure que: les patchs de sécurité sont gérés de façon centralisée, testés préalablement et appliqués dans des délais inférieurs à un mois ; les anti-virus sont installés sur les serveurs, les postes de travail, tenus à jour et supervisés ; l’usage des clés USB et autres medias de stockage mobiles est contrôlé, géré et nativement interdit sur tous les systèmes contenant des données sensibles ; en ce compris tous types de stockages externes non prévus explicitement dans le contrat. Service Public de Programmation Intégration Sociale, 56

Lignes directrices de sécurité concernant les clouds: risques 29 Respect des bonnes pratiques par le prestataire de service Sécurité des accès au réseau Le prestataire assure que: les points d’entrée au réseau sont limités, sécurisés et filtrés ; les tâches d’administration des systèmes sont opérées depuis un réseau d’administration sécurisé ; dédié et isolé en se connectant avec des mécanismes d’authentification forte ; les changements au niveau des équipements réseau sont tracés, documentés et préalablement approuvés ; dans le cas d’un service « Cloud computing » partagé : l’accès au réseau est autorisé uniquement à des terminaux de confiance ; le réseau sur lequel sont connectés les systèmes hébergeant les données sensibles est isolé du réseau des autres clients. Service Public de Programmation Intégration Sociale, 57

Lignes directrices de sécurité concernant les clouds: risques 30 Respect de certains obligations légales dans le cas de traitement de données personnelles Le CPAS doit toujours veiller au respect des règles de protection des données à caractère personnel (loi de la vie privée) lors de traitement de telles données dans un service de type « cloud ». Dans ce cadre, le CPAS propriétaire des données sera toujours tenu responsable du bon respect des règles de protection des données personnelles. Le choix du prestataire de service « cloud computing » par le CPAS se limite à des prestataires de service qui n’offrent uniquement que des services « cloud privé » en cas d’externalisation de données à caractère personnel. Service Public de Programmation Intégration Sociale, 58

Lignes directrices de sécurité concernant les clouds: risques 31 Respect de certains obligations légales dans le cas de traitement de données personnelles Les données à caractère personnel peuvent circuler librement depuis la Belgique et au sein de l’union européenne, tant que les principes généraux de la loi « vie privée belge sont respectées. Dans ce cadre, le choix d’une externalisation de données à caractère personnel ou de services de traitement de données personnelles vers un pays de l’union européenne est autorisé uniquement si la loi «  vie privée belge est d’application.en fonction des pays de l’union (comme indiqué dans la directive européenne 95/46/CE). De plus, toute externalisation de données à caractère personnel nécessite un chiffrement des données durant le transfert et la période de stockage. Les moyens de chiffrement doivent toujours rester sous le contrôle de l’institution en termes de gestion et ne peuvent être sous-traité. Service Public de Programmation Intégration Sociale, 59

Lignes directrices de sécurité concernant les clouds: risques 34 Questions éventuelles??? Service Public de Programmation Intégration Sociale, 60

WINDOWS 365 Quelques principes 61 Service Public de Programmation Intégration Sociale, 61

Nouvelle procédure de désignation du conseiller en sécurité* (1) Voici les différentes étapes. Faire désigner le conseiller en sécurité ou le conseiller en sécurité adjoint par le Conseil de l’Action sociale. Envoyer la désignation signée au conseiller en sécurité du SPP IS par courrier ou scannée par mail à gilles.kempgens@mi-is.be, SPP Intégration sociale, Bd Roi Albert II, 30, 1000 Bruxelles. Service Public de Programmation Intégration Sociale, *Ceci vaut aussi pour le conseiller en sécurité adjoint. 62

Nouvelle procédure de désignation du conseiller en sécurité (2) Aller ensuite sur le site de la BCSS. Cliquer sur Conseillers en sécurité (juste en dessous de "Sécurité et vie privée" ). Service Public de Programmation Intégration Sociale, 63

Nouvelle procédure de désignation du conseiller en sécurité (3) ou sur http://www.bcss.fgov.be/fr/bcss/page/content/websites/belgium/security/security_03.html Aller sur "Questionnaire d'évaluation pour le candidat conseiller en sécurité«  et cliquer dessus. L’adresse du lien est la suivante: http://www.bcss.fgov.be/binaries/documentation/fr/securite/explications_questionnaire_evaluation_conseiller_e.pdf Service Public de Programmation Intégration Sociale, 64

Nouvelle procédure de désignation du conseiller en sécurité (4) Le document "Questionnaire d'évaluation pour le candidat conseiller en sécurité"  s’ouvre. Lisez attentivement tout le document AVANT de le compléter. Cliquez ensuite sur "ici"  pour ouvrir le document à remplir. Lexique: responsable de la gestion journalière à Bruxelles: le Secrétaire en Wallonie: le Directeur général. L’organisme demandeur est le CPAS. Service Public de Programmation Intégration Sociale, 65

Nouvelle procédure de désignation du conseiller en sécurité (5) Complétez tout le formulaire. Lorsque le formulaire est complété, allez à la page 2 et signez le électroniquement. Si le Secrétaire ou Directeur général est le conseiller en sécurité, faites signer le Président à la place du Responsable de la gestion journalière. Le fait de signer électroniquement envoie automatiquement le document vers la Commission de la vie privée. Faites une impression du document complété si vous voulez l’envoyer par la poste et gardez toujours un exemplaire pour vous. Service Public de Programmation Intégration Sociale, 66

Nouvelle procédure de désignation du conseiller en sécurité (6) Lorsque le nouveau conseiller en sécurité a rempli ces formalités, il doit: attendre une quinzaine de jours (temps de traitement de la Commission de la vie privée); Demander au Responsable des Accès Entités d’aller sur https://professional.socialsecurity.be, de cliquer sur Employeur et ensuite de cliquer sur "Se connecter« . Service Public de Programmation Intégration Sociale, 67

Nouvelle procédure de désignation du conseiller en sécurité (7) si le conseiller en sécurité existe déjà et a un rôle, de le supprimer; si le conseiller en sécurité n’existe pas encore, de ne pas le créer, de cliquer sur "Remplacer le Gestionnaire local" d’introduire le numéro de Registre national du nouveau conseiller en sécurité, d’enregistrer et de cliquer sur "confirmer". Service Public de Programmation Intégration Sociale, 68

Nouvelle procédure de désignation du conseiller en sécurité (8) Rappel: le conseiller en sécurité ne peut être le Secrétaire ou le Directeur général dans un grand CPAS. Le conseiller en sécurité ne peut être le Responsable du service informatique ou le Directeur du service informatique. La Commission de la vie privée enregistrera les informations mais ne portera aucun jugement sur vos connaissances et n’empêchera personne d’être désigné Conseiller en sécurité de l’information. Service Public de Programmation Intégration Sociale, 69

QUESTIONS?

FIN

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.