Manuel de la Politique de sécurité IRESA vs finale

Institution de la Recherche et de l'Enseignement Supérieur Agricoles Date : MAI 2012

Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 1/84

Secret Confidentiel Interne X

MANUEL DE LA POLITIQUE

DE SECURITE DE L’INFORMATION

1.0 Mai 2012 Mr. Zied Laagab Mr. Mohsen KRICHI Mr. Mohsen KRICHI

Rev

Date Nom Visa Nom Visa Nom Visa Emetteur Vérificateur Approbateur


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 2/84

SOMMAIRE

1. PRÉSENTATION : ................................................................................................................................................................ 5

1.1 POLITIQUE DE LA SÉCURITÉ DE L'INFORMATION : ............................................ 5

1.2 OBJECTIFS DE LA POLITIQUE DE LA SÉCURITÉ DE L’INFORMATION : ........... 5

1.3 ÉTENDUE DE LA POLITIQUE DE LA SÉCURITÉ DE L'INFORMATION : ............ 6

1.4 ELABORATION, MISE À JOUR ET DIFFUSION : ...................................................... 6

1.5 RESPONSABILITÉ : ........................................................................................................ 6

1.6 CONFORMITE : .............................................................................................................. 6

1.7 CONTACT :...................................................................................................................... 6

1.8. NORMES & STANDARDS A RESPECTER : ................................................................. 7

2. ORGANISATION DE LA SÉCURITÉ DE L'INFORMATION : ......................................................................................... 8

3. GESTION DES ACTIFS : .................................................................................................................................................... 10

4. SÉCURITÉ DES RESSOURCES HUMAINES : .................................................................................................................. 12

5. SÉCURITÉ PHYSIQUE ET DE L'ENVIRONNEMENT : ................................................................................................. 13

6 EXPLOITATION INFORMATIQUE ET GESTION DES RESEAUX :............................................................................ 16

7 CONTROLE D'ACCÈS : ....................................................................................................................................................... 21

8 ACQUISITION, DEVELOPPEMENT, ET MAINTENANCE DES SYSTÈMES D'INFORMATION : ............................ 26

9 GESTION DES INCIDENTS LIES A LA SÉCURITÉ DE L'INFORMATION : ................................................................ 30

10 GESTION DE LA CONTINUITÉ D’ACTIVITE : ............................................................................................................ 31

11. CONFORMITE : ................................................................................................................................................................ 32

12. ANNEXE 1 : BILAN DE L’EXISTANT ............................................................................................................................ 33

13. ANNEXE 2 : RAPPEL DU CADRE JURIDIQUE RELATIF A LA SECURITE INFORMATIQUE EN TUNISIE ... 39

14 ANNEXE 3: GLOSSAIRE ET TERMINOLOGIE ............................................................................................................. 40

A. Charte de bon Usage des Ressources Informatiques, de la messagerie et de l’Internet : .................................... 42

B. Procédure de Contrôle d’accès aux Système d’Information: ................................................................................ 48

C. Charte des Administrateurs IT de l’IRESA: .......................................................................................................... 52

D. Procédure de gestion des correctifs de sécurité (Patch Management): ................................................................. 54

E. Procédure de gestion des incidents liés à la sécurité de l'information: ................................................................. 59

F. Procédures de Sauvegarde et de restauration: ....................................................................................................... 65

G. Procédure de Sécurité Physique et environnementale: .......................................................................................... 68

H. Convention pour l’administration du réseau et l'hébergement des serveurs: ...................................................... 71

I. Convention Pour l'hébergement d’un site Web: ..................................................................................................... 74

J. DEMANDE D’OUVERTURE D’UN COMPTE M@IL INTERNET: .............. ................................................... 78

K. FORMULAIRE DES MISES À JOUR DES SITES WEB :: ................................................................................. 81

L. Règlement de l’utilisation du réseau AGRINET: ................................................................................................... 82

M. Liste des manuels IT de l'IRESA::........................................................................................................................... 84


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 3/84

Diffusion :

Processus Responsable Entités

Processus Gestion de la Direction

Mr. Habib AMAMOU Président Directeur Général

Mr. Mohamed BEN HAMOUDA Directeur Général

Processus Secrétariat Général Mr. Mabrouk HELELLI Secrétaire Général

Processus services communs Mr. Lamine BEN HAMADI Directeur Services communs

Processus contrôle de gestion Mme. Rachida ABROUGUI Sous-directeur de contrôle de

gestion

Processus Affaires pédagogiques Mr. Ridha BERGAOUI Directeur Affaires pédagogiques

Processus Planification du suivi et de

l’évolution des programmes de

recherche

Mr. Anis BEN RAYANA

Directeur Planification du suivi et

de l’évolution des programmes

de recherche

Processus Diffusion des innovations de la

Liaison entre Recherche et la

vulgarisation

Mr. Amor MLAOUHI

Directeur Diffusion des

innovations de la Liaison entre

Recherche et la vulgarisation

Processus Coopération internationale - Sous-Directeur Coopération

internationale

Direction des Technologies du

traitement de l’informatique et de la

communication

- Directeur des Technologies du

traitement de l’informatique et

de la communication

Processus des réseaux et de technologie

de communication Mr. Mohsen KRICHI

Sous-directeur des réseaux et de

technologie de communication


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 4/84

POLITIQUE GENERALE DE LA SECURITE

DE L’INFORMATION DE

L’ Institution de la Recherche et de

l'Enseignement Supérieur Agricoles

(IRESA)


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 5/84

1. PRÉSENTATION :

1.1 POLITIQUE DE LA SÉCURITÉ DE L'INFORMATION : L’information et ses systèmes supports sont des actifs critiques que l’IRESA doit les protéger avec les mesures et les contrôles adéquats. La Politique de Sécurité de l’Information est la concrétisation de l’engagement et de la vision de l’IRESA dans le domaine de la sécurité de l’information. Cette politique spécifie les exigences de la direction générale pour la sécurité de l'information. Elle sera supportée avec des directives détaillées et des procédures. Avec la dépendance continue aux Technologies de l'Information et de la Communication (TICs), il est important de définir des exigences de contrôle pour limiter les risques liés aux (TICs). La Politique de Sécurité de l'information doit assurer la continuité d’activité de l’IRESA, et doit être conduite en tenant compte des perspectives de développement de ses activités.

1.2 OBJECTIFS DE LA POLITIQUE DE LA SÉCURITÉ DE L’INFORMATION : Les objectifs de la politique de la sécurité de l'information d’ l’IRESA sont :

• Protéger la réputation, l’intégrité, l’éthique, et l’image publique de l’IRESA.

• Maintenir la confiance des clients, fournisseurs ainsi que les partenaires de l’IRESA.

• Protéger le caractère confidentiel de l'information sensible.

• Protéger les données opérationnelles sensibles des divulgations inappropriées.

• Prévenir les tiers contre les actes illégaux ou malveillants à l’encontre des systèmes de l'organisation.

• Assurer la non-répudiation : Permet de garantir qu'une transaction ne peut être niée. • Vérifier l'authentification : Consiste à s’assurer de l'identité d'un utilisateur et garantir à chacun

des correspondants que son partenaire est bien celui qu'il croit être. L’authentification est nécessaire pour la non-répudiation.

• Assurer la traçabilité : Consiste à conserver une trace probante : originale, horodatée, explicite et intègre, d’un évènement technique (ex : Traces techniques de sécurité ou logs) ou d’un acte métier (ex: piste d’audit). Pour être probante une trace doit pouvoir être rattachée à un acteur et une référence au temps fiable.

• Optimiser l’utilisation des ressources de l’IRESA en s’assurant qu'elles ne sont pas mal utilisées ou sont gaspillées.

• Prévenir contre les fraudes.

• Prévenir contre les incidents importants et qui peuvent occasionner des ruptures de l’activité.

• Se conformer avec les exigences réglementaires et légales.

• Supporter les objectifs métiers de l’IRESA.

• Réduire le risque de perte de Confidentialité, d’Intégrité et de Disponibilité de l'information, en définissant les principes pour l'usage et le traitement de l’information.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 6/84

1.3 ÉTENDUE DE LA POLITIQUE DE LA SÉCURITÉ DE l'INFORMATION : Les Politiques s’appliquent à:

• L’information dans toutes ses formes, résidente sur des serveurs, des PCs, des équipements réseaux ou autres, les bases de données, les documents personnels, dossiers et documents de travail.

• Toutes les Applications, systèmes d’exploitation, progiciels et logiciels. • Tous le Matériel, Serveurs, postes de travail, Laptops, composants du réseau, équipements

de communication et périphériques possédés. • Tous les sites de l’IRESA hébergent les informations et ses systèmes supports. • Tous les employés permanents, contractuels et temporaires, consultants, fournisseurs et

prestataire tiers ou personnel affectés pour travailler avec de l’IRESA. • Il est OBLIGATOIRE que tous les membres de l’IRESA précités adhèrent à cette politique et à

tous les standards et directives qui lui sont dérivés.

1.4 ELABORATION, MISE À JOUR ET DIFFUSION : Le manuel est élaboré et vérifié par le Responsable Sécurité de Système d’information de l’IRESA, validé et approuvé par la Direction générale. Il est soumis à l’avis du Comité de Sécurité Informatique de l’IRESA. L’opportunité de mise à jour du manuel de la politique globale de sécurité est examinée une fois par an. Les mises à jour du manuel suivent le circuit de validation de la rédaction initiale. Le responsable sécurité assure la diffusion du manuel Sécurité. Toutes les versions sont conservées sous forme électronique. Toutefois, la version française originale sous forme papier constitue la version de référence.

1.5 RESPONSABILITÉ :

• La Direction générale est responsable de fournir les moyens de prévention et de contrôle pour la protection de tous les actifs de l’IRESA.

• Le Comité de sécurité informatique CSI - est responsable pour la mise à jour de cette politique ainsi que les directives associées.

• Le RSSI de l’IRESA, ainsi que le Responsable Ressources Humaines sont responsables de la mise à disposition, l’information et la sensibilisation du personnel à la Politique de la Sécurité de l'Information.

• Tous les utilisateurs de l’IRESA sont responsables de la protection de l'information dont ils sont propriétaires ou sous leur contrôle, conformément avec cette politique de sécurité de l’information.

• Les Propriétaires de l’information sont responsables de définir la classification des données et les autorisations d’accès aux systèmes mis sous leur contrôle.

• L’RSSI, est responsable pour planifier et exécuter des vérifications et audits périodiques pour s’assurer que les différentes unités opérationnelles de l’organisme sont conformes à la politique de la sécurité de l'information, aux directives, standards et procédures.

• Aucune exception à cette politique n’est autorisée sans approbation écrite du Responsable de Sécurité du système d’information (RSSI).

1.6 CONFORMITE : Les employés qui ne respectent pas cette politique de sécurité de l’information, seront considérés en violation du Code de conduite des employés de l’IRESA et seront sujet à des mesures disciplinaires ou sanctions appropriées.

1.7 CONTACT : • Toutes les questions concernant cette politique devraient être adressées au Responsable de

Sécurité du Système d’Information (RSSI). • Cette politique exige que tous les incidents liés à la sécurité ou violation de la politique de

sécurité de l’information doivent être rapportés immédiatement au RSSI directement ou par mail [email protected].


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 7/84

1.8. NORMES & STANDARDS A RESPECTER : Les principes directeurs qui sous-tendent cette Politique sont tirés essentiellement des bonnes pratiques des normes internationales suivantes :

1- Norme internationale ISO 27001 :2005 : Techniques de sécurité – Systèmes de gestion de la sécurité de l’information – Exigences.

2- Norme internationale ISO 27002 :2007 : Techniques de sécurité – Code de bonne pratique pour la gestion de la sécurité de l'information.

3- Norme internationale ISO 27005 : Techniques de sécurité – Gestion du risque en sécurité de l’information.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 8/84

2. ORGANISATION DE LA SÉCURITÉ DE L'INFORMATION :

2.1 BUT : Le but de cette section est de :

• définir l’organisation de la Sécurité de l'Information afin de contrôler sa mise en œuvre au sein de l’IRESA,

• définir les rôles et les responsabilités pour tous les employés, • définir les autorisations pour l’accès à l'information, • mettre une structure pour la révision périodique et modifications de la politique de sécurité de

l'information.

Cette section couvre les responsabilités du Comité de sécurité, du RSSI et des Correspondants Informatique et Sécurité.

2.2 RESPONSABILITÉS DE LA SÉCURITÉ DE L'INFORMATION :

2.2.1 COMITÉ SECURITE :

Le Comité Sécurité a pour objectif de définir et de contrôler la mise en œuvre de la Politique de sécurité de l'information, ainsi que sa révision périodique. Les responsabilités:

• Définir les objectifs stratégiques et les schémas directeurs de sécurité du SI. • Révision et approbation de la Politique de Sécurité de l’Information. • Gestion des changements et modifications en tenant compte de l'exposition des actifs aux

nouvelles menaces et le Reporting à la Direction Générale. • Revue des incidents majeurs de la sécurité de l'information. • Suivi des tableaux de bord sécurité et suivi de la politique de sécurité. • Approuver les initiatives afin d’améliorer la sécurité de l'information.

2.2.2 RESPONSABLE DE SÉCURITÉ DE SYSTEME D'INFORMATION « RSSI » :

Un Responsable de Sécurité de système d’Information (RSSI) a été nommé afin de coordonner la mise en œuvre de toutes les tâches de la sécurité d’information au niveau de l’IRESA. Il est également membre du Comité Sécurité informatique (Coordonnateur). Les responsabilités de l’RSSI incluent:

• Implémenter et coordonner la mise en œuvre de la Politique de Sécurité de l’information. • Mettre en place et suivre le programme de Sensibilisation à la Sécurité de l'Information. • Mettre en place une stratégie et approche pour détecter les risques en collaborant avec le

gestionnaire des risques. • Revue périodique de la Politique de la Sécurité et recommandations pour les améliorations. • Elaborer et diffuser les documents liés aux processus de sécurité, directives, standards, et

stratégies spécifiques en cas de besoin. • Examiner et analyser les incidents de la sécurité de l'information en coopération avec les

autres utilisateurs impliqués, et soumettre les rapports à la Direction générale. • Conseil sur les aspects de la sécurité de l'information, les plans de continuité d’activité et les

plans de secours. • S’assurer que la Politique de la Sécurité est mise en vigueur en exécutant périodiquement des

tests de conformité, et rapporter toutes les violations pour la Direction Générale. • Approuver les procédures de protections, sauvegarde et restauration des données et

s’assurer de leur bonne documentation. • Assurer que les violations de la sécurité sont rapportées au Propriétaire de l'Information et au

Comité Sécurité. • Contribuer à l’élaboration du rapport annuel de l’audit de la sécurité de l'information. • Effectuer les estimations périodiques des risques liés aux TICs. • Travailler en étroite collaboration avec les Correspondants (locaux) de la Sécurité pour

assurer et satisfaire les exigences de la Politique de la sécurité.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 9/84

2.2.3 CORRESPONDANTS SECURITE :

Les Correspondants sécurité doivent travailler en étroite collaboration avec l’RSSI. Les responsabilités des Correspondants incluent:

• Travailler en étroite collaboration avec l’RSSI afin d’implémenter la politique approuvée, directives et recommandations de sécurité.

• Coordonner les activités du programme de sensibilisation de la sécurité de l'information au sein de son service ou direction.

• Revue et évaluation des systèmes de contrôle d’accès au sein de son service ou direction.

• Effectuer/participer à la réalisation des tests de conformité.

• Participer à la déclaration et au reporting des incidents de sécurité (rôle de supervision)

• Travailler sur touts les aspects de sécurité de l'information concernant son service ou direction.

Le Correspondant sécurité, placé sous la responsabilité de son Directeur Métier, respecte et fait respecter les lois et règlements tant par le personnel que par les sous-traitants de son service ou sa direction. Il exerce une surveillance permanente et informe l’RSSI de toute situation anormale ou présomption d’incident en sauvegardant les éléments de preuve.

2.3 SYSTEME D’AUTORISATION CONCERNANT LES MOYENS INFORMATIQUES :

Toute demande pour l’autorisation d’usage d’un moyen informatique au sein de l’IRESA doit être présentée à la Direction Informatique de l’IRESA, munie du formulaire « Fiche Utilisateur ». Ce document doit recevoir l’approbation des différentes parties concernées.

2.4 REVUE INDÉPENDANTE DE LA SÉCURITÉ de l'INFORMATION : La Politique de la Sécurité de l'information, les procédures et l’environnement de la sécurité doivent être revus et examinés. Un processus documenté doit être défini et mis en œuvre pour conduire des audits indépendants, internes et externes de la sécurité des systèmes d’information de l’organisme. Les recommandations résultantes de ces audits doivent être mises en œuvre, si nécessaire, et incorporées dans la Politique de sécurité de l’organisme. La revue doit fournir l'assurance de la conformité notamment à la norme ISO 27002 et aux règles de bonne conduite. La revue doit également inclure des recommandations procédurales et organisationnelles, ainsi que Techniques.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 10/84

3. GESTION DES ACTIFS :

3.1 BUT : Le but de cette politique est d’établir et de maintenir une protection appropriée des actifs informationnels de l’IRESA. Cette section fournit des directives pour les contrôler, les inventorier, les classer, et établit des directives pour assigner un Propriétaire à chaque Actif.

3.2 POLITIQUE :

3.2.1 INVENTAIRE DES ACTIFS :

Un inventaire de tous les actifs importants de l’organisme sera créé et sera maintenu et inclura toutes les informations nécessaires pour la gestion et le suivi des actifs : identification, fournisseur, configuration, etc. 3.2.2 CLASSIFICATION DE L'INFORMATION :

3.2.2.1 L’information sera classée par son Propriétaire dans une des catégories suivantes : 1 - Public - Tout document ou information non sensible ou disponible pour le public, par exemple : rapports habituels, circulaires, et information disponible sur les pages de l'Internet publiques. Recommandation pour le marquage de document : C'est la classe par défaut. Par conséquent, il ne devrait y avoir aucun besoin de marquer les documents publics, et tous les documents non étiquetés seront normalement classés dans cette catégorie.

2 - Interne – L’Information qui est disponible pour tout le personnel de l’IRESA, mais n'est pas destiné au public. La divulgation de ces informations peut occasionner des gênes pour l’organisme, mais en aucun l’organisme ne serait endommagé ou la dignité de ses employés ne serait atteinte. Recommandation pour le marquage de document: ces documents devraient être marqué "Interne."

3 - Confidentiel - Information avec une circulation limitée qui a une valeur considérable pour l’organisme et dont la divulgation causerait une menace potentielle ou une gêne embarrassante par exemple contrat, plans financiers ou marges de ventes. Cela devrait inclure aussi que toute information privée par exemple les dossiers de santé du personnel, les salaires, ou Information critique à circulation limitée. Recommandation pour le marquage de document: ces documents devraient être marqués "Confidentiel."

4 – Secret- Documents et informations d'importance extrême au l’IRESA où la divulgation causerait des dégâts sévères à l’organisme, à son capital, Business ou image de marque. Par exemple réorganisations majeurs de l’organisme ou documents stratégiques. Recommandation pour le marquage de document: ces document devraient être marqués "Secret." 3.2.2.2 Les informations financières sensibles doivent est être toujours classées comme "Confidentiel" et doivent bénéficier des mesures et moyens de protection convenables. Ces moyens doivent combiner les techniques de contrôle d’accès et de sauvegarde et restauration.

3.2.3 MARQUAGE ET MANIPULATION DE L’NFORMATION :

3.2.3.1 Les informations très sensibles, données et documents doivent être clairement marqués afin que tous les utilisateurs soient informés de la propriété et de la classification de l'information.

3.2.3.2 Les informations, données et documents doivent être traitées et stockées en conformité avec leurs niveaux de la classification.

3.2.4 PROPRIETAIRE DE L’INFORMATION :

La personne qui crée, ou qui initialise la création ou le stockage de l'information, est le propriétaire initial. Le Propriétaire final de l'information est la direction ou service avec la personne responsable (il peut être le chef du projet), désigné conjointement le Propriétaire. Le Propriétaire de l'Information est responsable de la :

• Classification et marquage de chaque document ou fichier dans chacun des catégories de la classification. La disponibilité du document ou fichier devrait être déterminée par la classification respective.

• Sécurisation de chaque document ou fichier selon le niveau approprié. Les mécanismes de sécurité nécessaires doivent être disponibles selon les niveaux exigés du caractère confidentiel.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 11/84

• Vérification périodique pour assurer que cette information continue à être convenablement classée et que les sauvegardes restent valides et en vigueur.

3.2.5 PROPRIETAIRE DE L’APPLICATION :

Les Module & Applications Métiers doivent être possédées (sous la responsabilité) par les processus Métiers. Le Responsable du processus Métier est le Propriétaire de l’Application et par conséquent est responsable de l’assurance de la Confidentialité, Intégrité et de la Disponibilité de l’application. Le Propriétaire de l’Application a les responsabilités suivantes :

• Assurer que les contrôles d’accès sont mis en place, • Approuver les droits d’accès à l’Application, • Assurer la revue périodique des droits d’accès, • Approuver les changements et modifications de l’Application, y compris les améliorations,

correctifs et mise à jour. 3.2.6 UTILISATEUR DE L'INFORMATION : Un Utilisateur de l'Information est la personne responsable de la consultation et de la mise à jour du contenu des actifs informationnels. L’utilisateur a les responsabilités suivantes:

• Maintenir le caractère confidentiel des mots de passe affectés au niveau de chaque actif informationnel,

• Respecter les politiques de sécurité de l’information, procédures, et directives.

L’utilisateur est un acteur important de la sécurité des SI, son implication se fait à trois niveaux :

• Respect des règles : Chaque utilisateur doit respecter les règles de sécurité édictées, respecter les dispositifs de sécurité et observer les mesures édictées.

• Prudence : Chaque utilisateur doit agir avec discernement et appliquer un principe de précaution vis à vis de tout comportement potentiellement à risque pour la sécurité du système d’information.

• Vigilance : Tout utilisateur doit informer sa hiérarchie et son correspondant sécurité de tout incident ou anomalie constatée (devoir d’alerte).

3.2.7 ADMINISTRATEURS FONCTIONNELS :

Un Administrateur fonctionnel est la personne responsable de la gestion (Paramétrages et configuration), de la surveillance et de la protection des actifs informationnels (données applicatives). Les responsabilités de l’Administrateur fonctionnel couvrent:

• Assurer la sauvegarde et la restauration, conformément aux procédures définies par le Propriétaire de l'Information (voir la procédure de gestion de sauvegarde et de restauration).

• Gérer et administrer les informations des Applications. • Etablir les contrôles de sécurité des systèmes d’exploitation, Applications et Bases de

données. • La réaction aux incidents de sécurité, • La participation à la mise en œuvre du plan de continuité des activités (PCA),

� Il doit exister un suppléant compétent et disponible en cas d’indisponibilité de l’administrateur fonctionnel.

3.2.8 POPULATIONS IT A DROITS TECHNIQUES ELEVES (Administrateurs IT) :

Les populations disposant de droits techniques élevés (administrateur du domaine, développeurs, DBA, etc.) doivent respecter les règles de sécurité édictées et tout mettre en œuvre pour paramétrer les systèmes afin que le niveau de sécurité soit conforme aux règles de sécurité et en adéquation avec les enjeux métier.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 12/84

4. SÉCURITÉ DES RESSOURCES HUMAINES :

4.1 BUT : Le but de cette politique est d’établir les procédures appropriées pour la sécurité des ressources humaines et d’assurer leurs rôles dans la protection des actifs informationnels de l’IRESA. Cette politique s’applique à tous les utilisateurs des actifs informationnels : nouveaux recrutés, employés titulaires, contractuels ou temporaires.

4.2 POLITIQUE :

4.2.1 AVANT LE RECRUTEMENT :

4.2.1.1 Rôles et Responsabilités : Les rôles et responsabilités en matière de sécurité des employés, devraient être définis et documentés conformément à la politique de Ressources Humaines de l’IRESA. 4.2.1.2 Sélection : La vérification des informations concernant tous les candidats pour emploi, devrait être réalisée conformément aux lois, aux règlements et à l’éthique, et qu’elle soit proportionnelle aux exigences.

4.2.2 TERMES ET CONDITIONS D'EMPLOI :

4.2.2.1 Les Termes et Conditions d'Emploi au sein de l’IRESA doivent tenir compte des exigences de conformité avec sa Politique de Sécurité de l’Information.

4.2.3 PENDANT EMPLOI :

4.2.3.1 Responsabilités : La direction générale devrait exiger aux employés l’application des mesures de sécurité, conformément avec les politiques et les procédures établies de l’IRESA.

4.2.4 SENSIBILISATION, QUALIFICATION ET FORMATION EN MATIERE DE LA SÉCURITÉ DE L'INFORMATION :

4.2.4.1 La formation périodique des Responsables et correspondants Sécurité doit être prioritaire sur les nouvelles menaces et techniques de Sécurité. 4.2.4.2 Des sessions de formations périodiques sur la Sécurité de l'Information sont obligatoires pour tout le personnel afin d’être à jour en matière de sécurité d’information. 4.2.4.3 La formation pour l’équipe informatique dans le domaine des risques, menaces et mécanismes de protection est obligatoire, avec la mise en accent des formations techniques montrant la responsabilité du personnel lors de la configuration, la maintenance, et la protection des informations. 4.2.4.4 Tout nouveau personnel avant d’être impliqué sur le système informationnel de l’IRESA doit recevoir obligatoirement une formation de sensibilisation dans le domaine de la sécurité de l’information.

4.2.5 FIN OU CHANGEMENT D'EMPLOI :

4.2.5.1 Responsabilités de la fin d’emploi (fin du contrat) : Les Responsabilités relatives à la fin du contrat ou changement d'emploi (modification du contrat) devraient être clairement définies et attribuées. Le service Ressources Humaines est responsable de la totalité du processus de fin d’emploi.

4.2.5.2 Restitution des Actifs : Tous les employés devraient restituer la totalité des biens/actifs de l’IRESA qu’ils ont en leur possession à la fin de leur période d’emploi, contrats ou accord.

4.2.5.3 Retrait des droits d'accès : Les droits d’accès des utilisateurs à l’information et aux moyens de traitement de l’information doivent être supprimés à la fin de leur période d’emploi, ou modifiés en cas de changement du contrat ou de l’accord.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 13/84

5. SÉCURITÉ PHYSIQUE ET DE L'ENVIRONNEMENT :

5.1 BUT : Le but de la politique de la sécurité physique et de l'environnement est de prévenir et d’empêcher tout accès physique non autorisé, tout dommage ou intrusion dans les locaux de l’IRESA.

5.2 POLITIQUE :

5.2.1 SÉCURITÉ DES SITES/EMPLACEMENTS/ZONES :

5.2.1.1 Les périmètres de sécurité au niveau des bâtiments doivent être clairement définis selon les exigences relatives à la sécurité des biens situés à l’intérieur et les conclusions de l’appréciation du risque. 5.2.1.2 Les sites et emplacements choisis pour héberger des ordinateurs et stocker/traiter des données doivent être convenablement protégés des intrusions physiques, vols, incendies, inondations et autres menaces. 5.2.1.3 Les locaux internes et zones dans lesquels les données sont stockées doivent être protégés afin de réduire les risques de perte ou endommagent à un niveau acceptable. 5.2.1.4 Les locaux distants et éloignés dans lesquels les données sont stockées doivent être protégés afin de réduire les risques de perte ou endommagent à un niveau acceptable.

5.2.2 CONTROLE D’ACCES PHYSIQUE AUX LOCAUX ET BATIMENTS :

5.2.2.1 L’accès du personnel aux locaux de l’IRESA, ainsi que les visiteurs est organisé selon la procédure (Voir la procédure de sécurité physique et environnementale de l’IRESA). 5.2.2.2 Les zones sécurisées doivent être protégées par des contrôles à l’entrée adéquats pour s’assurer que seul le personnel habilité ou les tiers autorisés sont admis.

5.2.3 VIDEOSURVEILLANCE :

Les enregistrements générés éventuellement pas les systèmes de vidéosurveillance doivent être conforme avec la législation en vigueur.

5.2.4 SECURITE DU CABLAGE ET ALIMENTATION ELECTRIQUE :

5.2.4.1 Tous les services généraux tel que l’électricité, l’alimentation en eau, les lignes de télécommunications, etc., doivent être correctement dimensionnés et protégés d'interception, d’accès non autorisé ou dégât. 5.2.4.2 Les systèmes de climatisation, les onduleurs, et les systèmes de détection et de sécurité Incendie sont exigés pour être installés dans tous les centres de traitement de données. Les alarmes doivent être également installées. 5.2.4.3 Le générateur de secours doit être employé en cas de coupure de courant prolongé. 5.2.4.4 Les câbles électriques et de télécommunications doivent être convenablement protégés contre toute interception ou endommagement.

5.2.5 SÉCURITÉ DU MATERIEL :

5.2.5.1 Le matériel et équipement devraient être protégés des menaces physiques et environnementales. 5.2.5.2 Le matériel et équipement devraient être protégés des pannes de courant et autres anomalies. Un système de protection contre les surtensions (onduleurs) devrait être utilisé, conformément aux spécifications des fournisseurs de matériel (Voir la procédure de sécurité Physique et env.).


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 14/84

5.2.5.3 Tout matériel ou équipement doit être toujours protégé convenablement - surtout quand il est laissé sans surveillance. 5.2.5.4 Les équipements et dispositifs de stockage qui contiennent des informations sensibles et qui sont jugés non exploitables devrait être physiquement détruits.

5.2.6 INSTALLATION DE MATERIEL (HARDWARE) :

5.2.6.1 Toute nouvelle installation de matériel ou application critique doit être formellement planifiée et notifiée à toutes les parties concernées en avant de la date de l’installation proposées. Les exigences de la sécurité doivent être communiquées à toutes les parties concernées, bien en avance de l’installation. 5.2.6.2 Tout le matériel fourni doit être complètement testé et formellement accepté par le service informatique avant d'être transféré en production.

5.2.7 DEPLACEMENT DE MATERIEL :

5.2.7.1 Seul le personnel autorisé est permis de déplacer le matériel qui appartient à l’IRESA en dehors de ces locaux et il est responsable de sa sécurité à tous les temps. Le Matériel sorti par les contractants et les tiers doit être vérifié et autorisé par le service informatique (voir Fiche d’intervention).

5.2.8 STOCKAGE DU MATÉRIEL :

5.2.8.1 Le matériel sensible ou précieux (bandes de sauvegarde) doit être stocké délicatement, conformément à sa situation de la classification de l'information (coffre fort ignifuge).

5.2.9 DOCUMENTATION DU MATERIEL :

5.2.9.1 La documentation du matériel doit être mise à jour et disponible pour le personnel autorisé. 5.2.9.2 Un Inventaire formel de tout le matériel et logiciel sera maintenu et sera régulièrement mis à jour.

5.2.10 MAINTENANCE DU MATÉRIEL :

5.2.10.1 Tout le matériel de l’IRESA, doit être supporté par des opérations de maintenance appropriées effectuées par des personnes qualifiées internes ou externes, géré par des contrats de maintenance. 5.2.11. REPARATION, CESSION ET MISE EN REBUT DES MATERIELS DE STOCKAGE L’IRESA doit empêcher la perte, l’endommagement, le vol ou la compromission des biens de l’organisme. La protection du matériel (incluant le matériel utilisé hors site et la sortie d’un matériel) est nécessaire pour réduire les risques d’accès non autorisé à l’information et se prémunir contre la perte et les dommages. Il convient de prendre également en compte le choix de l’emplacement et la mise au rebut du matériel. 5.2.11.1. Mise au rebut ou recyclage sécurisé(e) du matériel : Il convient de vérifier tout le matériel contenant des supports de stockage soient vérifiées pour s’assurer que toute donnée sensible a bien été supprimée et que tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, avant sa mise au rebut. 5.2.11.2. Il convient de détruire physiquement les appareils contenant des informations sensibles ou de détruire, supprimer ou écraser les informations au moyen de techniques empêchant de retrouver l’information d’origine plutôt que par la fonction standard de suppression ou de formatage.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 15/84

5.2.11.3. Les ordinateurs endommagés contenant des données sensibles peuvent nécessiter une appréciation du risque visant à déterminer s’il convient de les détruire physiquement plutôt que de les envoyer en réparation ou de les mettre au rebut. 5.2.11.4. Mise au rebut des supports : L’IRESA met au rebut de façon sûre les supports qui ne servent plus, en suivant des procédures formelles. Les directives suivantes peuvent être envisagées :

a) Stocker les supports contenant des informations sensibles et de les mettre au rebut de façon sûre et sécurisée, par exemple par incinération ou déchiquetage, ou d’en effacer les données pour qu’ils puissent resservir dans d’autres applications de l’organisme;

b) Mettre en place les procédures pour identifier les éléments qui pourraient nécessiter une mise au rebut sécurisée;

c) Il peut être plus facile de s’organiser pour collecter et mettre au rebut tous les supports de façon sécurisée que d’entreprendre de mettre à part les supports sensibles;

d) de nombreux organismes offrent des services de collecte et d’enlèvement des papiers, matériels et supports; il convient de sélectionner avec soin l’entrepreneur adapté disposant des mesures de sécurité et de l’expérience suffisants;

e) Journaliser la mise au rebut de pièces sensibles afin de tenir à jour la trace d’audit.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 16/84

6 EXPLOITATION INFORMATIQUE ET GESTION DES RESEAUX :

6.1 BUT : Le but de cette politique est d’assurer l’exploitation correcte et sécurisée des moyens de traitement de l’information.

6.2 POLITIQUE :

6.2.1 ÉCHANGE DES INFORMATIONS :

6.2.1.1 Les données / informations sensibles ou confidentielles, ne peuvent être transférées via les réseaux, ou copiées sur un autre support, seulement lorsque le caractère confidentiel et l’intégrité du données sont raisonnablement assurés. 6.2.1.2 Avant d’envoyer l'information à un tiers, il est important de s’assurer que le destinataire est autorisé à recevoir l'information, et de vérifier qu’il dispose des mesures de sécurité adéquates pour préserver la confidentialité et l’intégrité des données qui lui ont été envoyés. 6.2.1.3 Les informations sensibles ou confidentielles ne doivent pas être télécopiées ou envoyées par email, seulement si les méthodes et techniques de sécurité de transmission sont assurées. 6.2.1.4 Les informations sensibles ou confidentielles ne doivent pas être communiquées via les lignes téléphoniques publiques, seulement si les méthodes et techniques de sécurité de transmission sont assurées. 6.2.1.5 Les informations classées comme ‘Confidentiel’ ou ‘Secret’ ne doivent jamais être envoyées à une imprimante réseau sans qu’une personne autorisée soit disponible pour récupérer les documents imprimés et assurer leur caractère confidentiel pendant et après l’impression.

6.2.2 SAUVEGARDE ET RESTAURATION DES INFORMATIONS :

6.2.2.1 La sauvegarde et la restauration de données sont d’une priorité maximale pour l’IRESA. Les Responsables de l’exploitation doivent s’assurer que les procédures de sauvegarde et de restauration sont mises en place, documentées et que la fréquence des opérations soit conforme aux besoins (voir la Procédure de sauvegarde et de restauration). 6.2.2.2 Le stockage quotidien des données doit assurer leur disponibilité aux utilisateurs autorisés, ainsi que les archives doivent être accessibles en cas de besoin afin d’assurer la continuité d’activité de l’IRESA. 6.2.2.3 L'archivage des documents doit tenir compte des exigences légales, réglementaires, et métiers. 6.2.2.4 Tous les utilisateurs de système d'information, qui sont amenés à créer ou à modifier des fichiers de données, doivent enregistrer régulièrement leur travail sur le système. 6.2.2.5 Les médias du stockage utilisés pour l'archivage de l'information doivent être appropriés pour la longévité. Les formats dans lequel les données sont stockées doivent être bien considérés, en particulier lorsque les formats de données sont propriétaires. 6.2.2.6 Des essais sur les supports de sauvegarde et de restauration doivent être régulièrement effectués pour s’assurer de leur fiabilité en cas d’utilisation en urgence.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 17/84

6.2.2.7 Les supports de sauvegarde doivent être placés dans un endroit suffisamment éloigné pour échapper aux dommages d’un sinistre sur le site principal.

6.2.3 CONTROLE DES MODIFICATIONS :

6.2.3.1 Des procédures formelles doivent être établies pour la gestion et le contrôle des modifications des systèmes en production. Tout changement aux programmes doit être préalablement testé dans un environnement de test approprié avant d’être autorisé à être mis en œuvre sur les systèmes en production. 6.2.3.2 Les Opérations effectuées sur les systèmes doivent être formellement documentées, planifiées et autorisées. 6.2.3.3 Les mises à jour des applications/logiciels et systèmes doivent être testés par un personnel qualifié avant leur mise en œuvre dans l’environnement de production. 6.2.3.4 Les correctifs et patchs de sécurité ne peuvent être appliqués qu’après vérification de leur nécessité et autorisation du Responsable. Ils doivent être d'une source confirmée et être testés avant leur mise en œuvre dans l’environnement de production (voir procédure de gestion des correctifs de sécurités). 6.2.3.5 La décision de mise à jour des applications/logiciels et systèmes ne peut être prise qu’après considération des risques associés à la mise à jour et l’étude des bénéfices de la mise à jour et de sa nécessité.

6.2.4 SEPARATION DES EQUIPEMENTS DE DEVELOPPEMENT, DE TEST ET D’EXPLOITATION :

6.2.4.1 Le développement de logiciel est une activité très technique et devrait être entreprise et contrôlée par du personnel autorisé et qualifié. 6.2.4.2 La séparation des équipements de développement de test et d’exploitation doit être assurée afin de réduire les risques d’accès ou de changements non autorisés dans les systèmes en exploitation.

6.2.5 SURVEILLANCE DE L’EXPLOITATION DU SYSTÈME

6.2.5.1 Les rapports d’audit des systèmes et applications (logs) doivent être régulièrement revues par les responsables IT. Des rapports doivent être établis pour les Propriétaires de l’information/(Pilote de processus métier) en cas des incidents graves de sécurité. 6.2.5.2 Tous les logiciels et Applications doivent être fournis avec le niveau approprié du support technique pour assurer une bonne qualité de service pour l’organisme, ainsi que la résolution des problèmes techniques. 6.2.5.3 Les Systèmes d’exploitation doivent être régulièrement surveillés. Leurs horloges doivent être synchronisées. Un réexamen périodique des résultats des activités de surveillance doit être établi par les Responsables concernés. 6.2.5.4 Les messages d’erreurs ou défaillances des logiciels et Applications doivent être enregistrés et reportés au Responsables Support/Maintenance en cas de besoin.

6.2.6 GESTION DU RÉSEAU :

6.2.6.1 Le personnel autorisé (administrateur réseau) doit assurer la gestion du réseau et l’intégrité de ces équipements en collaboration avec les Propriétaires des systèmes.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 18/84

6.2.6.2 Le matériel, les systèmes, logiciels, Applications et réseaux doivent être correctement configurés et protégés contre les attaques physiques, les intrusions et les accès non autorisés. 6.2.6.3 Les systèmes de l’IRESA doivent être gérés par des administrateurs qualifiés, qui sont responsables de l’exploitation quotidienne des équipements et de leur sécurité. 6.2.6.4 Les Administrateurs du système doivent disposer des formations adéquates sur l’ensemble des plateformes de l’IRESA. De plus, ils doivent être bien informés et sensibilisés aux risques liés à l’exploitation des systèmes d’information. 6.2.6.5 La sécurité des réseaux doit être maintenue au plus haut niveau. Le Responsable concerné doit identifier les fonctions réseaux, les niveaux de service et les exigences de gestion, et de les intégrer dans tout accord sur les services réseaux, qu’il soit fourni en interne ou en externe. 6.2.6.6 Les lignes de transport externes de données sensibles devront permettre l’utilisation de canaux cryptés (La technologie VPN). 6.2.6.7 Afin de réduire la fréquence des attaques/intrusions internes ou externe, des contrôles et techniques de sécurité doivent être mis en œuvre : Firewall, IDS, etc.

6.2.7 SÉPARATION DES TACHES ET DOUBLE (DUAL) CONTROLE :

6.2.7.1 La séparation des tâches et le double contrôle doivent être établis au sein de l’IRESA pour réduire les occasions de modifications de mauvais usage non autorisé, ou involontaire des biens de l’organisme. 6.2.7.2 La décision du Contrôle double au niveau de la saisie des données doit être prise par le Propriétaire de l’Application. 6.2.7.3 Une séparation des tâches est obligatoire entre l’administrateur système et l’administrateur des Applications.

6.2.8 STRUCTURE DES ANNUAIRES :

6.2.8.1 Les annuaires (AD) et leurs structures des dossiers doivent être établis par l’IRESA avec l’adhésion des utilisateurs. Des restrictions d’accès aux annuaires doivent être appliquées afin de restreindre l'accès non autorisé.

6.2.9 INFORMATION ET GESTION DU DOCUMENT :

6.2.9.1 Les versions préliminaires des documents/rapports ne doivent être mises à jour qu’avec l’autorisation préalable du Propriétaire du Document ou Rapport. Un système de gestion de version des documents est mis en place au sein de l’IRESA et doit être appliqué. 6.2.9.2 Une procédure de nomination des fichiers techniques doit être établie au sein de l’organisme. Les noms de fichiers et de documents doivent être significatifs et capables d’être reconnus par les utilisateurs. 6.2.9.3 Tous les documents sensibles ou confidentiels doivent être détruits, s’ils ne sont plus exigés et nécessaires. Le propriétaire du document doit autoriser ou initiale cette destruction.

6.2.10 SÉCURITÉ DE L'INTERNET ET DE MESSAGERIE ÉLECTRONIQUE :

6.2.10.1 L’Internet et la messagerie sont utilisés principalement pour les buts professionnels de Business.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 19/84

6.2.10.2 Les responsables concernés doivent assurer pour le personnel autorisé l’accès au réseau Internet après avoir sensibiliser et informer du code de bonne conduite et de l’usage de l'Internet. 6.2.10.3 Les serveurs de messagerie doivent être protégés contre les attaques de type relais de mail. 6.2.10.4 Les serveurs de messagerie doivent être protégés par des solutions logicielles Antivirales et antiSpam. 6.2.10.5 Tous utilisateurs de système de messagerie doivent assurer que l’information communiquée par email est correctement adressée, et envoyée uniquement aux personnes appropriées. 6.2.10.6 L’interconnexion à des réseaux externes ne peut avoir lieu qu’à travers des passerelles Internet Approuvées. 6.2.10.7 Tous les utilisateurs de l’IRESA doivent signer un Accord qui définira ce qui est permis clairement et ce qui n'est pas permis lors de l’utilisation de l’Internet (Voir la charte de bon usage des ressources informatiques et de l’Internet au se in de l’IRESA). 6.2.10.8 Un système de surveillance, de contrôle de contenu et de filtrage des connexions Internet doit être mis en œuvre.

6.2.11 SÉCURITÉ DES OPERATIONS E-COMMERCE :

6.2.11.1 Les sites E-commerce et Web doivent être conçus avec une protection maximale contre les attaques et les éventuelles intrusions. Ils bénéficient d’une haute priorité. 6.2.11.5 Le site Web Internet de l’IRESA doit être attentivement configuré par des spécialistes pour assurer une prévention optimale contre les attaques et les intrusions.

6.2.12 TÉLÉPHONE ET USAGE DE LA TÉLÉCOPIE :

6.2.12.1 Les appels téléphoniques et les télécopies peuvent être interceptés; Une extrême prudence doit être prise lors des discussions traitant des informations classées ‘’secret’’. 6.2.12.2 Toute télécopie reçue par erreur sera renvoyée à son origine. Ses contenus ne doivent pas être divulgués sans l'autorisation de l'envoyeur. 6.2.12.3 L'usage des téléphones de l’IRESA est surveillé afin d’empêcher l’utilisation abusive du téléphone, une journalisation sera réaliser sur demande de la direction générale en cas de besoin.

6.2.13 USAGE DES PHOTOCOPIEURS ET DES IMPRIMANTES :

6.2.13.1 Les copies dures des documents sensibles ou doivent être protégées et réalisées qu'après la consultation de la liste de diffusion et les niveaux d'autorisation spécifiés. 6.2.13.2 Tous les employés doivent être sensibilisés et conscients du risque de la photocopie des documents confidentiels. L’autorisation du propriétaire du document devrait être obtenue lorsque les documents sont classés comme Confidentiel ou au-dessus.

6.2.14 DOCUMENTATION ET PROCÉDURES OPÉRATIONNELLES :

6.2.14.1 Les systèmes d’information de l’IRESA doivent être administrés en utilisant des procédures documentées afin d’assurer l’efficacité et la sécurité nécessaire. 6.2.14.2 Pour tous les systèmes d’information de l’IRESA, la documentation doit être régulièrement tenue à jour et disponible pour tout le personnel et les utilisateurs concernés. 6.2.14.3 Les erreurs doivent être correctement examinées et revues par le personnel autorisé.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 20/84

6.2.14.4 Tous les nouveaux systèmes doivent être supportés, et leur documentation doit être disponible et à jour. Les nouveaux systèmes ou les systèmes mis à jour ne devraient pas être introduits en production qu’après vérification de la disponibilité de la documentation complète. Les critères d’acceptation des nouveaux systèmes doivent être également préalablement définis.

6.2.15 MESURES CONTRE LES CODES MALVEILLANTS :

6.2.15.1 Les plans de secours et de récupération contre les risques d’attaque de déni de service doivent être maintenus et périodiquement testés pour s’assurer de leur adéquation. 6.2.15.2 Les risques encourus par les systèmes d’information de l’IRESA doivent être minimisés en mettant en place un programme de sensibilisation du personnel, et encourager la vigilance, et en déployant également des systèmes de protection appropriée. 6.2.15.3 Les procédures concernant les préventions et détection des virus et logiciels malicieux doivent être établies et maintenues à jour. 6.2.15.4 Sans aucune exception, les logiciels antivirus doivent être déployés sur tous les PCs, Serveurs, ordinateurs portables avec la mise à jour régulière. 6.2.15.5 Un logiciel de détection d'Intrusion (HIDS/IDS) doit être déployé surtout les Postes et serveurs sensibles.

6.2.16 TESTS DE PÉNÉTRATION :

6.2.16.1 Les tests de pénétration doivent être réalisés par des Experts indépendants contractés pour une telle mission dans le but de détecter des vulnérabilités dans les systèmes et vérifier l’efficacité des contrôles existants. 6.2.16.2 Des précautions doivent être prises lors des tests de pénétration afin de ne pas causer des dénis de service des systèmes en production.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 21/84

7 CONTROLE D'ACCÈS :

7.1 BUT : Le but de cette politique du Contrôle d’Accès est d’établir les exigences pour Contrôler l'accès à l'information au sein de l’IRESA.

7.2 POLITIQUE :

7.2.1 ACCÈS AUX SYSTÈMES D'INFORMATION :

7.2.1.1 L’accès à tout Système d’Information doit être autorisé par le Propriétaire de l’information, périodiquement (voir la procédure de gestion des accès des utilisa teurs).

7.2.2 ACCÈS AUX RESSOURCES RÉSEAU :

7.2.2.1 L’accès aux ressources sur le réseau doit être strictement contrôlé pour prévenir l'accès non autorisé. Les accès à tous systèmes, applications ou bases de données seront restreints.

7.2.3 ACCÈS SYSTEME :

7.2.3.1 L’accès en mode commande (ou graphique) aux systèmes doit être restreint au personnel administrateur des systèmes.

7.2.4 GESTION DES MOTS DE PASSE :

7.2.4.1 La sélection des mots de passe, leur usage et leur gestion est un moyen important pour le contrôle d'accès aux systèmes de l’organisme. Il est exigé d’adhérer aux directives de la gestion des mots de passe et de respecter les règles du choix du mot de passe (voir la procédure de gestion des accès des utilisateurs).

7.2.5 ACCÈS DISTANT :

7.2.5.1 Les procédures de contrôle d’accès distant doivent fournir des protections adéquates à travers l’identification robuste, l’authentification et les techniques de cryptage.

7.2.6 ACCÈS A L'INFORMATION SENSIBLE :

7.2.6.1 Seulement les personnes autorisées peuvent accéder aux données sensibles et confidentielles de l’IRESA. 7.2.6.2 L’information liée au client ne peut être consultée et mise à jour que par le personnel autorisé. Les données du client doivent être protégées. 7.2.6.3 Les systèmes très sensibles de l’IRESA doivent être isolés.

7.2.7 AUTHENTIFICATION :

7.2.7.1 Chaque utilisateur doit avoir une unique identification (Login/Mot de passe) sur le réseau et les systèmes d'information. 7.2.7.2 Un système d’authentification forte doit être mis en œuvre pour les systèmes critiques. 7.2.7.3 Le partage des Login/mots de passe est strictement interdit.

7.2.8 AUTORISATION :

7.2.8.1 L’accès aux ressources de l'information est accordé selon les exigences de travail de l'utilisateur. 7.2.8.2 L’accès sera autorisé par le Propriétaire de la ressource.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 22/84

7.2.8.3 Un réexamen des droits d'accès des utilisateurs sur le système d’information doit être effectué par les propriétaires d’information au moins une fois par an. 7.2.8.4 L’autorisation d’accéder à l'information devrait être supprimée sur la demande du propriétaire de l’information lorsque l’accès utilisateur n’est plus exigé. 7.2.8.5 Toutes les actions, y compris l’administration du système, devraient être exécutées avec les autorisations minimums exigées pour conduire l'activité. 7.2.8.6 L’abus des niveaux de l'autorité, et les accès non autorisés sont considérés comme des fautes professionnelles.

7.2.9 OUVERTURE DE SESSIONS SECURISEES :

7.2.9.1 L’accès aux systèmes doit être soumis à une procédure sécurisée d’ouverture de session. Il est géré et surveillé par les administrateurs système pour identifier les mauvaises utilisations des systèmes d’information. 7.2.9.2 Tous les systèmes doivent produire des journaux, qui doivent être contrôlés par le personnel concerné. 7.2.9.3 Les informations contenues dans les journaux doivent être pertinentes pour supporter des éventuelles enquêtes. 7.2.9.4 Les alertes pour usage non autorisé des systèmes internes critiques doivent être journalisés et remontés à l’RSSI.

7.2.10 DÉPART DE L'UTILISATEUR & FIN DE CONTRAT :

7.2.10.1 Sur la base de la notification de départ du personnel ou fin de contrat, le Responsable des Ressources humaine doit informer immédiatement l’RSSI et le service informatique afin de prendre les dispositions nécessaires pour la désactivation du compte et la suppression des droits d’accès du personnel.

7.2.11 USAGE DE MÉDIA AMOVIBLE :

7.2.11.1 Seulement le personnel qui a la responsabilité des installations et mise à jour est autorisé à utiliser les supports amovibles. Toute autre personne nécessite une autorisation préalable et spécifique du responsable hiérarchique. 7.2.11.2 Tous les périphériques d’origine de l'ordinateur (CD, disquette, Bandes, etc.) et les médias qui contiennent des informations sensibles doivent être marqués clairement, et gardés dans un emplacement sécurisé ou coffre-fort, et clairement identifiables. 7.2.11.3 Tous les médias en transit sont sous la responsabilité de leur Superviseur (porteur). 7.2.11.4 Tous les médias doivent être stockés et utilisés, conformément aux exigences du Fabricant.

7.2.12 USAGE DES ORDINATEURS PORTABLES :

7.2.12.1 Les Responsables doivent autoriser ou non les ordinateurs portables au sein de leur Direction ou service. L'usage est restreint aux objectifs de l'affaire, et les utilisateurs doivent être informés et accepter les termes et conditions d'usage, surtout leur responsabilité pour la sécurité de l'information de l’équipement.. 7.2.12.2 Les personnes qui disposent d’ordinateurs portables et qui projettent d’effectuer des voyages d’affaire, doivent être informées de la sécurité de l'information concernant les ordinateurs portables et doivent effectuer les protections appropriées pour minimiser les risques de perte ou de vol d’informations.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 23/84

7.2.12.3 L’usage de l'ordinateur portable en dehors des locaux de l’IRESA, à domicile ou à autres emplacements, est autorisé uniquement par les responsables de direction ou service. L'usage est restreint aux objectifs de l'affaire, 7.2.12.4 Chaque utilisateur doit se limiter à un usage strictement professionnel de l’équipement mis à sa disposition (ordinateur portable) et respecter les fonctions qui leurs sont assignées, ce qui exclut l'utilisation à des fins personnelles. 7.2.12.5 L’utilisateur est responsable d’assurer la sécurité et la sauvegarde des données sur les ordinateurs portables mis à sa disposition.

7.2.13 CONTROLE D’ACCES A L’INTERNET, INTRANET ET EXTRANET :

7.2.13.1 Le personnel responsable pour l’installation et la configuration des accès à l’Intranet doivent assurer que toutes les restrictions d’accès qui concernent les données sur les systèmes sont aussi appliquées pour accéder à l'Intranet de l’IRESA. 7.2.13.2 Le personnel responsable pour l’installation et la configuration des accès à l’Extranet doivent assurer que toutes les restrictions d’accès qui concernent les données sur les systèmes sont aussi appliquées pour accéder à l'Extranet de l’IRESA. 7.2.13.3 Il est impératif d'installer un Firewall Personnel avant que l’activation des services Internet. 7.2.13.4 Le personnel responsable de l’installation de l’Internet doivent s’assurer que le réseau de l’IRESA est protégé contre les accès et intrusions malicieuses, en déployant la configuration des Firewalls nécessaires. 7.2.13.5 À cause du risque considérable d'intrusion de personnes externes non autorisées, le site web de l’IRESA ne doivent être développés et maintenus que par des personnes non autorisées. 7.2.13.6 l’IRESA est responsable du contrôle et de surveillance des accès utilisateurs à l'Internet ; les utilisateurs doivent être bien sensibilisés aux risques et menaces de l’Internet (Voir la Charte de bon usage des ressources informatiques et de l’Internet ).

7.2.14 PARTAGE D'ACCÈS A L’INFORMATION :

7.2.14.1 Le personnel de l’IRESA se réserve le droit pour avoir accès à toute information crée et stockée sur son système d’information. 7.2.14.2 Toutes les données partagées sur le serveur de fichiers sont classées comme « confidentiel » et sont par conséquence disponibles seulement aux personnes autorisées. 7.2.14.3 Les données de l'employé ne peuvent être communiquées et mises à jour que par un personnel autorisé.

7.2.15 SÉCURITÉ DES ACCES TIERS :

7.2.15.1 L’accès des parties tierces à l'information de l’IRESA n’est seulement autorisé qu’en cas de nécessité pour les exigences d’affaire. 7.2.15.2 Toutes les parties tierces contractantes doivent signer un engagement de confidentialité concernant les droits de propriété intellectuelle au profit de l’IRESA. 7.2.15.3 Toute information partagée avec les employés, les sous-traitants ou les tiers, dont l’accès est restreint ou confidentielle, doivent faire l’objet d’engagement de confidentialité (Voir Formulaire engagement de confidentialité).


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 24/84

7.2.15.4 Tous les Fournisseurs, prestataire de service, consultant doivent obligatoirement suivre la politique de Sécurité de l'Information de l’IRESA.

7.3 TETETRAVAIL :

7.3.1 Les accès distants au réseau de l’IRESA et aux ressources sont autorisées uniquement aux utilisateurs autorisés et authentifiés et disposant de privilèges restreints.

7.4 POLITIQUE DE GESTION DU TRAFIC SUR LES RESEAUX INTERNES

7.4.1 Cloisonnement des zones de confiance : Les différentes zones de confiance doivent être cloisonnées entre elles. L’interconnexion entre différentes zones de confiance doit être réalisée au travers d’un pare-feu effectuant un contrôle avec état (stateful inspection) ou d’un équipement filtrant de fonctionnalité équivalente. 7.4.2 Cloisonnement des services applicatifs au sein des zones de confiance : Au sein d’une même zone de confiance, les services applicatifs sensibles doivent être cloisonnés. 7.4.3 Isolation des flux : Les réseaux hébergeant des actifs sensibles et les réseaux d’interconnexion permettant d’accéder à de tels réseaux doivent isoler les flux utilisateurs des flux d’administration, de supervision, d’alerte et techniques des équipements. 7.4.4 Administration des ressources sensibles : Tout actif sensible doit être administré depuis un réseau d’administration. 7.4.5 Cloisonnement des réseaux d’administration : Les réseaux d’administration doivent être cloisonnés de façon à empêcher les rebonds entre zones de confiance ou de sensibilité différentes. 7.4.6 Filtrage des flux entrants depuis un réseau public : Tout flux entrant sur le réseau interne d’un établissement depuis un réseau public doit être filtré via un équipement de type relais ou un proxy situé dans une DMZ et doit faire l’objet d’une détection d’intrusion. 7.4.7 Relais des flux entre communauté d’établissements : Tout flux entre communautés d’établissements ou entre un établissement n’appartenant pas à une communauté et cette communauté doit transiter via un équipement de type relais. 7.4.8 Interconnexion des réseaux interne et externe : Toute interconnexion du réseau interne d’un établissement à un réseau externe à celui-ci doit se faire au travers des points d’accès (Internet, Groupe, partenaires, etc.) de l’établissement prévus à cet effet. 7.4.9 Interconnexion sur réseau public ou sans fil : Toute interconnexion empruntant un réseau public ou sans fil doit mettre en œuvre un contrôle d’accès de niveau réseau permettant l’identification des deux extrémités. 7.4.10 Chiffrement des flux sur réseau public ou sans fil : Tout flux empruntant un réseau public ou sans fil et contenant des données sensibles doit être chiffré. 7.4.11 Redondance : Tous les éléments composant une chaîne de liaison permettant l’accès à des actifs sensibles en disponibilité doivent être redondés. 7.4.12 Non simultanéité : Aucun équipement, non prévu à cet effet, ne doit être connecté simultanément à des réseaux appartenant à des zones de confiance distinctes et en particulier au réseau interne et à un réseau externe. 7.4.13 Séparation de fonction des pare-feux : L’isolation d’un établissement vis-à-vis des zones externe et publique doit être réalisée au moyen d’un pare-feu physique dédié.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 25/84

7.4.14 Implantation des réseaux d’administration : L’isolation d’un réseau d’administration et l’isolation vis-à-vis d’un réseau public doivent être réalisées sur des pare-feux physiquement distincts. 7.4.15 Modems : Tout modem qui n’est pas référencé comme moyen d’accès distant (ex : Remote Access Server) au réseau interne de l’établissement doit interdire les appels entrants. 7.4.16 Services d’accès distant : Tout service d’accès distant doit être situé dans une DMZ dédiée. 7.4.17 Flux : + Interdiction par défaut : Tout flux, transitant via un équipement filtrant et qui n’est pas explicitement

autorisé doit être interdit.

+ Demandes d’ouverture : Toute ouverture de flux doit faire l’objet d’une demande formalisée, validée par la fonction SSI ou les instances habilitées à cet effet et doit être historisée.

+ Accès entrants aux ressources sensibles : Tout accès à des actifs sensibles d’un établissement depuis un réseau externe à celui-ci doit être filtré.

7.4.18 Protection des services web : Tout accès depuis un réseau public à une application web ou à un service web hébergé sur un réseau l’IRESA doit passer par un équipement de type relais implémentant des fonctions de filtrage applicatif. 7.4.19 Administration des actifs sensibles hébergés chez un prestataire : Tout flux d’administration d’un actif sensible hébergé chez un prestataire doit être soumis à un contrôle d’accès de niveau réseau et doit être chiffré. 7.4.20 Exploitation : - Revue des règles : Les règles de filtrage doivent être revues au moins une fois par an de manière à : - Identifier les règles obsolètes ; - Vérifier le respect de la règle d’interdiction par défaut ; - Vérifier l’existence d’une demande validée en regard de chaque règle. - Désactivation des services inutiles : Les services fonctionnant sur les équipements d’infrastructure réseau doivent être désactivés ou supprimés lorsqu’ils ne sont pas requis. 7.4.21 Bannières d’accueil : Les bannières d’accueil des équipements ou systèmes accessibles depuis un réseau public ne doivent pas contenir d’information technique (nom et version du composant, etc.) susceptible d’être exploitée à des fins malveillantes. 7.4.22 Cartographie du réseau : La cartographie du réseau doit : - couvrir tout le périmètre de l’établissement ; - faire figurer le plan d’adressage ; - être maintenue à jour ; - être disponible à la fonction SSI à tout instant ; - identifier les interconnexions ; - identifier chaque équipement réseau. 7.4.23 Confidentialité de la cartographie réseau : La cartographie du réseau doit être considérée comme une information sensible. 7.4.24 Translation d’adresse : Les adresses internes à l’IRESA doivent être « translatées » (NAT) pour accéder aux réseaux externes de l’IRESA. 7.4.25 Applications des correctifs de sécurité : Tous les équipements réseau des réseaux hébergeant des actifs sensibles doivent être mis à jour dans les 45 jours qui suivent la diffusion de correctifs de sécurité concernant des failles critiques/jugées critiques par l’éditeur ou la fonction SSI.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 26/84

8 ACQUISITION, DEVELOPPEMENT, ET MAINTENANCE DES SYSTÈMES D'INFORMATION :

8.1 BUT : Le but de cette politique est de définir les directives pour l’acquisition, le développement et la maintenance des systèmes d’information de l’IRESA.

8.2 POLITIQUE :

8.2.1 EXIGENCES DE SÉCURITÉ APPLICABLES AUX SYSTÈMES D'INFORMATION :

8.2.1.1 Toutes les exigences de la sécurité doivent être identifiées en même temps que les exigences générales d’un projet de développement d’un système d’information et qu’elles soient reconnues et documentées dans le cadre de la gestion générale d’un système d’information. 8.2.1.2 Dans le cas ou les produits sont acquis, un processus formel d’acquisition et des tests doit être suivi. Le contrat avec le fournisseur doit identifier et contenir les exigences de sécurité.

8.2.2 GESTION DES BIBLIOTHÈQUES & PROGRAMMES :

8.2.2.1 Seulement le personnel désigné peut accéder à des bibliothèques des programmes opérationnels. Les modifications ne peuvent être réalisées que selon des procédures formalisées et documentées.

8.2.3 CONTROLE DE CODE PENDANT LA PHASE DE DÉVELOPPEMENT :

8.2.3.1 Des procédures de contrôle de code doivent être utilisées notamment lors des changements sur les systèmes. Tout changement de programmes doit être autorisé et testé avant de changer tout l’environnement (Voir formulaire autorisation de changement de programme).

8.2.4 CONTROLE DES BIBLIOTHÈQUES DE CODE SOURCE :

8.2.4.1 Des procédures de contrôle des bibliothèques de code source doivent être établies. 8.2.4.2 L'intégrité du code source du logiciel opérationnel de l’organisme doit être protégée en utilisant notamment des techniques de contrôle d’accès.

8.2.5 CONTROLE DES ANCIENNES VERSIONS DES PROGRAMMES :

8.2.5.1 Des procédures du contrôle des anciennes versions des programmes doivent être établies.

8.2.6 DÉVELOPPEMENT DE LOGICIEL :

8.2.6.1 Un logiciel développé par l’IRESA doit suivre un processus formalisé de Développement. 8.2.6.2 Un logiciel développé doit être conforme aux exigences et besoins des utilisateurs et offre un support approprié. 8.2.7 MODIFICATIONS URGENTES DU LOGICIEL :

8.2.7.1 Les modifications urgentes d’un logiciel sont déconseillés par l’organisme, exceptez dans des circonstances exceptionnelles et autorisés par le responsable concerné. Les procédures de modifications doivent être établie et documentées.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 27/84

8.2.8 AMELIORATIONS DES SYSTEMES :

8.2.8.1 Les nouveaux systèmes et toutes les améliorations proposées doivent être inspirés des exigences métiers. Le propriétaire et responsable que toute amélioration doit assurer le bénéfice pour le système concerné.

8.2.9 SEPARATION DU DÉVELOPPEMENT ET DE LA PRODUCTION :

8.2.9.1 La Direction Informatique doit assurer la séparation des responsabilités de développement et d’exploitation des systèmes.

8.2.10 TEST DU SYSTÈME :

8.2.10.1 Tous les systèmes doivent être testés avant la mise en exploitation. 8.2.10.2 L'usage de données réelles pour les tests de systèmes ne peut être autorisé seulement lorsque les contrôles adéquats pour la sécurité des données ont été mises en place.

8.2.11 ACQUISITION ET MAINTENANCE DES LOGICIELS COMMECIAUX :

8.2.11.1 Les demandes de nouvelles acquisitions ou améliorations de nouveaux systèmes ou logiciel doivent être présentés à la Direction Générale en mettant l’accent sur les exigences de l'affaire. Un document de Spécification des Exigences de l'Utilisateur doit être établi. 8.2.11.2 Tous les logiciels de l’IRESA doivent être conformes aux préférences existantes en matière de système d’exploitation et de plateforme. 8.2.11.3 Pour se conformer avec la législation et assurer un support progressif du Fournisseur, les termes et conditions de tous les Accords de la Licence de l'Utilisateur doivent être spécifiés. 8.2.11.4 La mise en œuvre d’un nouveau logiciel ou la mise à jour doit tenir compte des exigences de sécurité de l’IRESA et des mécanismes de contrôles existants.

8.2.12 LES CONTROLES DE SÉCURITÉ DES SYTEMES ACQUIS OU DEVELOPPES :

8.2.12.1 Tous les systèmes acquis ou développés doivent inclure des contrôles standards (Best practices) afin d’assurer les exigences de sécurité de l’information. 8.2.13 POLITIQUE DE SECURITE DES APPLICATIONS : 8.2.13.1. Traitement des entrées et des sorties : - Positionnement des contrôles : Les contrôles de sécurité sur les entrées et les sorties d'une application doivent être réalisés a minima du côté de la composante serveur de l'application. - Contrôle du format des entrées : Les entrées des utilisateurs doivent être contrôlées et filtrées (longueur, type de donnée attendue, etc.) avant traitement. 8.2.13.2. Contrôle des valeurs des entrées : Seules les données correspondant à des paramètres attendus doivent être prises en compte. 8.2.13.3. Nettoyage des données entrées : Toute donnée reçue par la composante serveur d’une application doit être soit :

• expurgée des éléments pouvant être interprétés ou exécutés ; • rendue non interprétable ;

avant transmission à une ressource utilisatrice (navigateur internet, moteur de base de données, moteur applicatif, etc.).


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 28/84

8.2.13.4. Opérations sur les espaces mémoire : Les fonctions réalisant des opérations sur les espaces mémoire sans contrôle de taille ne doivent pas être utilisées lorsqu’un équivalent sécurisé est disponible. 8.2.13.5. Authentification et gestion des sessions : - Authentification et habilitations : Toute application sensible doit mettre en œuvre ou s’appuyer sur un dispositif de gestion de l’authentification et des habilitations. - Gestion des sessions : La gestion des sessions doit s’appuyer sur les mécanismes validés par la fonction SSI et proposés par les langages ou frameworks de développement. 8.2.13.6. Interactions avec les systèmes, les fichiers et les bases de données : - Contrôle des fichiers transmis : Lorsqu’une application permet le téléchargement montant (upload) ou descendant (download) de fichiers, un contrôle strict doit être effectué sur chaque fichier reçu ou émis. Ce contrôle doit porter a minima sur le type, la taille et la localisation sur le système de fichier. 8.2.13.7. Accès aux fichiers : Les droits d’accès des systèmes de fichiers doivent interdire l’accès à d’autres fichiers que ceux légitimement accessibles par l’application. 8.2.13.8. Accès aux bases de données : L’accès d’une application à une base de données doit se faire avec un compte spécifique bénéficiant des privilèges strictement nécessaires et suffisants. 8.2.13.9. Compte administrateur : Le compte d’administrateur de base de données ne doit jamais être utilisé pour accéder à une base de données depuis un programme (une application) non dédié à son administration. 8.2.13.10. Référencement des objets internes : Les références des objets internes - fichiers, répertoires, enregistrements de bases de données, etc., ne doivent pas être exposés directement à des tiers. 8.2.13.11. Chiffrement des données sensibles en zones temporaires : Lorsque les données sensibles temporaires ne peuvent être protégées par un contrôle d’accès adéquat, elles doivent être chiffrées par un algorithme robuste et fiable, validé par la fonction SSI. 8.2.13.12. Applications sensibles et appels systèmes : Pour les applications sensibles, l’utilisation d’appels système afin d’exécuter des programmes externes est interdite, les fonctions natives du langage de développement ou à défaut de librairies dédiées devant être utilisées. 8.2.13.13. Gestion des erreurs et traçabilité

- Production des traces : Toute application sensible doit produire des traces.

- Trace générée par un contrôle de sécurité : Toute anomalie ou non-conformité identifiée par un contrôle de sécurité doit faire l’objet d’une trace. - Non divulgation d’information technique : Tout message d’erreur technique présenté à l’utilisateur doit être personnalisé de façon à ne pas divulguer d’information sur les composants techniques sous-jacents. - Message d’erreur sur échec d’authentification : Le message d’erreur présenté à l’utilisateur suite à un échec d’authentification ne doit pas fournir d’information sur la raison de cet échec. 8.2.13.14. Revue de code, tests et recette - Revue de code : Tout code source produit ou intégré (composants externes, sources libres, etc.) pour une application sensible exposée à un réseau public doit faire l’objet, avant sa mise en production, d’une revue de code portant a minima sur :

• les interfaces utilisateurs ; • les accès aux données ; • la gestion des habilitations et les sessions ;


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 29/84

• les fonctions de sécurité de l’application. 8.2.13.15. Audit de sécurité des applications Internet et des applications sensibles : Toute application Internet et toute application sensible doit faire l’objet d’un audit de sécurité avant sa mise en production. 8.2.13.16. Nettoyage du code avant mise en production : Le code source doit être nettoyé des éléments de test et de débogage avant toute mise en production. 8.2.13.17. Anonymisation des données de test : Les informations personnelles ou présentant un caractère sensible issues des environnements de production afin de constituer les jeux d’essais doivent être modifiées pour préserver leur confidentialité. 8.2.13.18. Accord du propriétaire :Dans le cas où des données personnelles ou présentant un caractère sensible sont indispensables pour la validation fonctionnelle, le métier propriétaire doit donner formellement son accord pour leur utilisation. 8.2.13.19. Test des mécanismes de sécurité : Les jeux de recette doivent inclure des scénarii, validés par la fonction SSI, destinés à vérifier l’efficacité des contrôles et des fonctions de sécurité. 8.2.13.20. Sécurisation du code source et documentation : - Protection du code source : Le code source et les éléments associés au développement (spécifications, programmes de vérification et de validation, documentation) doivent être considérés comme actifs sensibles et gérés comme tels. - Documentation des fonctions de sécurité : Les fonctions de sécurité de l’application doivent être documentées.

8.2.14 CLAUSES DANS LES MARCHES : 8.2.14.1. Prise en compte des risques SSI : Le prestataire doit reconnaître contractuellement avoir pris connaissance des risques SSI, induits par la prestation sous-traitée ou externalisée en interaction avec le SI et qui doivent être mentionnés dans le contrat ou dans ses annexes. 8.2.14.2. Spécification des règles applicables de la PSSI de l’établissement dans les contrats conclus avec des tiers externes à l’IRESA. 8.2.14.3. Prise en compte des incidents SSI : Le contrat ou ses annexes doivent décrire le dispositif de gestion des incidents SSI relatif à la prestation sous-traitée ou externalisée. 8.2.14.4. Remontée d’incident SSI : Le prestataire s’engage contractuellement à signaler, sans délai, auprès du bénéficiaire, tout incident SSI en rapport avec la prestation sous-traitée ou externalisée conformément au dispositif de gestion des incidents défini au contrat. 8.2.14.5. Formalisation du suivi et du pilotage de la sécurité de la prestation : La description des moyens (organisation, instances, processus, responsabilités) mis en œuvre pour le suivi et le pilotage de la sécurité de toute prestation sous-traitée ou externalisée doit figurer dans le contrat ou ses annexes. A minima les points suivants devront faire l’objet de clauses contractuelles :

• organisation et instances de pilotage et de suivi de la sécurité de la prestation (interlocuteurs, réunions de suivi et de pilotage, fréquences, tableaux de bord, etc.) ;

• indicateurs et contrôle permanent pour le suivi de la sécurité de la prestation ; • traitement des écarts et des non conformités par rapport à la sécurité ; • gestion et revue des incidents de sécurité.

8.2.14.6. Non respect des exigences de sécurité contractuelles : Les clauses du contrat doivent prévoir des pénalités en rapport avec les risques identifiés ou une résiliation du contrat en cas de non respect par les prestataires des exigences SSI de la prestation.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 30/84

9 GESTION DES INCIDENTS LIES A LA SÉCURITÉ DE L'INFORMATION :

9.1 BUT : Le but de cette politique est de garantir que le mode de notification des événements et failles liés à la sécurité de l’information permettra la mise en œuvre d’une action corrective, dans les meilleurs délais.

9.2 POLITIQUE :

9.2.1 SIGNALEMENT DES EVENEMENTS ET DES FAILLES LIES A LA SECURITE DE L'INFORMATION :

9.2.1.1 Les événements liés à la sécurité de l'information doivent être signalés/rapportés, dans les meilleurs délais, à travers les voies hiérarchiques appropriés de l’IRESA. 9.2.1.2 Une procédure formelle permettant de garantir une réponse rapide, efficace et pertinente en cas d’incident lié à la sécurité de l’information et occasionnant des perturbations des activités de l’IRESA doit être établie (Voir la procédure de gestion des incidents liés à la sécurité d’information). 9.2.1.3 Les responsabilités doivent être établies au sein de l’IRESA pour la gestion, le suivi et le reporting des incidents.

9.2.2 REPORTING DES FAILLES DE SECURITE :

9.2.2.1 Tous les tiers qui utilisent les systèmes d'information et les services de l’IRESA, doivent signaler les failles de sécurité rencontrés à leur responsable direct ou à leur prestataire de service, dans les meilleurs délais afin d’éviter tout incident lié à la sécurité de l’information. 9.2.2.2 Tout le personnel de l’IRESA est responsable du signalement et du reporting de tout incident, défaillance des systèmes, refus de service, erreurs, Virus, Vol, mauvais usage des SI, action malveillante, Fraude, Détournement de fonds, ou tout autre acte contraire à l’éthique et aux intérêts de l’IRESA

9.2.3 COLLECTION DES PREUVES :

9.2.3.1 Après un incident de la sécurité de l'information, les preuves doivent être collectées, conservées et présentées en cas de besoin conformément aux dispositions internes, légales et réglementaires de l’IRESA.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 31/84

10 GESTION DE LA CONTINUITÉ D’ACTIVITE :

10.1 BUT : Le but de cette politique est de définir les exigences pour établir une continuité d'activité complète au sein de l’IRESA, en cas de sinistre grave.

10.2 POLITIQUE :

10.2.1 PLAN DE LA CONTINUITÉ D’ACTIVITE :

10.2.1.1 Un Plan de Continuité d’activité (PCA) doit être développé. Il doit couvrir les activités critiques de l’IRESA.

10.2.1.2 Un plan de continuité d’activité informatique doit être établi en tenant compte des exigences de disponibilité des ressources et de la continuité des services et moyens informatiques et réseaux.

10.2.1.3 Le Plan de la Continuité d’Activité doit être périodiquement testé, au moins une fois par an, afin que le personnel concerné comprenne toutes les dispositions du Plan.

10.2.1.4 Tout le personnel concerné doit être sensibilisé du Plan de la Continuité d’activité et doit comprendre son rôle dans ce plan.

10.2.1.5 Le Plan de Continuité d’activité et ces documentations associées doivent être régulièrement mis à jour.

10.2.1.6 Tous les nouveaux Systèmes/Applications doivent être évalués, avant leur mise en production, afin de s’assurer de leur conformité avec le PCA.

10.2.1.7 Les systèmes d’informations critiques de l’IRESA doivent être capables de supporter des catastrophes et sinistres mineurs (coupure d’alimentation, crash d’un disque dur, etc.).

10.2.1.8 Touts les systèmes et applications critiques pour la continuité d’activité doivent être récupérables/restaurables dans un temps raisonnable.

10.2.2 APPRECIATION DU RISQUE :

10.2.2.1 Un processus de gestion des risques IT doit être défini au sein de l’IRESA afin de déterminer les exigences pour les Plans de Continuité d’Activité.

10.2.2.2 Une équipe de Gestion de Risque IT spécialisée doit identifier les événements qui peuvent causer des interruptions aux processus métier, avec la probabilité et impact d'interruptions et leurs conséquences pour la sécurité de l'information. 10.2.3 GESTION DE CRISE : L’IRESA a définit une organisation de crise (acteurs et fonctions) permettant une prise de décision réactive :

- Pilotage et suivi de la gestion et de la mise en œuvre de plans de secours : - Cellule de crise décisionnelle ; - Cellule de communication de crise ; - Cellule de crise opérationnelle. - Dispositif de mobilisation des effectifs (acteurs de la mise en œuvre)

L’IRESA spécifie la procédure d’escalade permettant le déclenchement d’un plan de secours et organise les responsabilités :

- Organisation structurelle ; - Domaines de compétences ; - Tâches à réaliser ; - Rôle et responsabilités.

Toutes les procédures visant à garantir l’organisation de la crise doivent être conservées dans un lieu sécurisé et accessible à tout moment par des personnes identifiées.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 32/84

11. CONFORMITE :

11.1 BUT : Le but de cette politique est d’assurer le respect des exigences légales, statutaires, réglementaires, ou contractuelles et des exigences de sécurité.

11.2 POLITIQUE :

11.2.1 MAITRISE ET PROTECTION DES ENREGISTREMENTS :

11.2.1.1 L’IRESA doit définir et maintenir un archivage convenable des enregistrements, et une procédure de rétention des informations. 11.2.1.2 L'information créée et stockée au sein du système informationnel doit être conservée pour une période minimale qui est conforme aux besoins métiers et réglementaire. 11.2.1.3 Toute loi applicable, statut, contrat, ou exigences réglementaires pour le système informationnel de l’IRESA doit être documenté par les responsables des affaires juridiques & Conformité.

11.2.2 DROITS DE PROPRIETE INTELLECTUELLE :

11.2.2.1 Tout le personnel de l’IRESA doit se conformer avec les lois et réglementations des droits de la propriété intellectuelle. 11.2.2.2 L’RSSI doit sensibiliser le personnel de l’IRESA à la nécessité de respect des droits de la propriété intellectuelle. 11.2.2.3 L’RSSI doit effectuer des revues périodiques des logiciels utilisés au sein de l’IRESA et installés sur les ordinateurs, portables, serveurs ou autre type d’équipement. Il doit s’assurer que tous les logiciels installés disposent de Licence logicielle pour l’exploitation. Tous les logiciels qui ne disposent pas de Licences doivent être immédiatement désinstallés et supprimés.

11.2.3 PROTECTION DES DONNEES ET CONFIDENTIALITE DES INFORMATIONS RELATIVE A LA VIE PRIVEE :

11.2.3.1 l’IRESA s’engage de se conformer complètement aux exigences légales de la Protection des Données à caractère personnel.

11.2.4 USAGE DES MOYENS INFORMATIQUE :

11.2.4.1 Le Responsable des RH doit assurer que tous les employés sont informés de leurs responsabilités légales en ce qui concerne leur usage des moyens informatiques de l’IRESA. Les responsabilités sont systématiquement incluses dans la charte (Voir la charte de bon usage des ressources informatiques et de l’Internet au sein de l’IRESA). 11.2.4.2 Le Responsable des RH doit assurer que tous les employés doivent signer un engagement de confidentialité avant d’être impliqué sur le système informationnel de l’IRESA.

…………………..……….. Fin des Clauses de la Politique de Sécurité ………………………..……


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 33/84

12. ANNEXE 1 : BILAN DE l’EXISTANT

12.1. Présentation générale de l’organisme : L'Institution de la Recherche et de l'Enseignement Supérieur Agricoles (IRESA) est un Etablissement Public à caractère Administratif doté de la personnalité civile et de l'autonomie financière et placé sous la tutelle de l’IRESA de l'agriculture. Créée par la loi 90-72 du 30 Juillet 1990, elle est chargée d'accomplir les missions suivantes :

� Veiller à la promotion de la recherche agricole dans le cadre de la politique générale de l'Etat dans ce domaine, en assurant la liaison entre les Etablissements de Recherche et de l'Enseignement Supérieur Agricoles d'une part et la vulgarisation agricole et les producteurs d'autre part.

� Elaborer les programmes de recherche agricole et les budgets nécessaires pour leur réalisation, suivre l'exécution de ces programmes et en assurer l'évaluation tout en veillant à la coordination et à la complémentarité entre les Etablissements de Recherche et d'Enseignement Supérieur dans les domaines agricoles.

� Veiller à ce que les Etablissements de Recherche et d'Enseignement Supérieur Agricoles soient au service de la production agricole et du développement.

De plus, l’IRESA fait office de de fournisseur de service Internet (FSI), à l’ensemble des organismes sous tutelle de l’IRESA de l’Agriculture et ressources Hydrauliques tels que les bureaux, les offices, les commissariats régionaux, les centres de recherche, les instituts d’enseignement supérieur, etc. Le Réseau National de l'Enseignement et de la Recherche Agricole - AGRINET - regroupe onze établissements d'enseignement supérieur agronomique et six établissements de recherche. Il est physiquement conçu autour du fournisseur des services de l'Internet de l'Agriculture, situé à l'Institution de la Recherche et de l'Enseignement Supérieur Agricoles. Il offre les solutions pour:

� Partager des ressources et faciliter la communication, � Guider les internautes dans le domaine agricole, dans leurs recherches d'informations sur Internet, � Diffuser et valoriser les travaux des chercheurs, � Permettre et élargir l'accès aux bases de données bibliographiques, � Communiquer des informations en Intranet,

� Présenter les établissements d'enseignement et de recherche agronomiques aux partenaires.

Les services en ligne sont:

� Les bases de données documentaires. � L'accès à des sites thématiques, incluant un ensemble de possibilités d'accès à des informations

nationales et internationales concernant l'agriculture ainsi que l'accès aux bases de données agricoles, disponibles gratuitement ou payantes (en cours d'intégration sur Intranet).

� L'accès à l'annuaire des adresses e-mail, par établissement d'enseignement et de recherche accessible sur Intranet.

� Les actualités des manifestations scientifiques, colloques, séminaires, cours spécialisés de courte durée,

� Un service support où l'IRESA reçoit toutes les suggestions, commentaires et autres informations scientifiques et techniques intéressantes à diffuser ou à intégrer dans son site web,

� L'assistance des utilisateurs du réseau Agrinet,

� L'hébergement des sites Web.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 34/84


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 35/84


12.2. Bilan du matériel : Serveurs & Postes de travail :

Serveur Rôle OS

Versus Antivirus Win 2003 server

HP Contrôleur de domaine Win 2003 server

Fujitsu Simens DNS Ubuntu 10 server

Gateway GR380F1

ESXI

Boite à mail Ubuntu 10 server / Vm


MTA Ubuntu 10 server / Vm

Synchronisation entre Outlook et Zimbra Ubuntu 10 server / Vm

Gateway GR380F1

ESXI



MTA Ubuntu 10 server / Vm

Gateway GR380F1

ESXI

Annuaire de messagerie Ubuntu 10 server / Vm

Proxy de messagerie Ubuntu 10 server / Vm

Répartition de charge entre les proxys Ubuntu 10 server / Vm

Monitoring Ubuntu 10 server / Vm

Gateway GR380F1

ESXI

Annuaire de messagerie Ubuntu 10 server / Vm

Proxy de messagerie Ubuntu 10 server / Vm

Répartition de charge entre les proxys Ubuntu 10 server / Vm

DNS Ubuntu 10 server / Vm

Gateway GR380F1

ESXI

Hébergement des sites web Ubuntu 10 server / Vm

Gateway GR380F1

ESXI

Hébergement des sites web Ubuntu 10 server / Vm

HP bibliothèque virtuelle Win 2003 server

SUN V445 bibliothèque virtuelle Solaris 10

HP xw4100 Portail de la bibliothèque virtuelle Win 2000 server

Dell optilex 4100 Console d’administration du Firewall Win xp


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 36/84


12.3. Bilan des Progiciels , Systèmes et application informatique :

12.4. Bilan des réseaux informatiques : L’IRESA est doté : - D’une liaison F.O d’un débit d’un 30Mb/s, reliant le Siège de l’IRESA à Internet, - D’une ligne ADSL d’un débit 2Mb/s entre le siège de l’IRESA et le CNI, - D’une ligne FR d’un débit de 128Kb/s vers la TTN.

Le schéma synoptique du réseau local de l’IRESA est illustré par la figure ci-dessous.

Progiciels Licence Version Fournisseur Microsoft Windows Server Oui 2000/2003 Microsoft Microsoft Windows Oui XP, 7 Microsoft

Red Hat Enterprise server Oui 10 Red Hat

Ubunto server Oui 10 -

Solaris Oui 10 SUN

MYSQL Oui 5.3.41 MySQL

Oracle (SID : orison) Oui 10g Oradist

Microsoft SQL SERVER Oui 2005 Microsoft

Microsoft Office Oui 2003/2007 Microsoft

MS WSUS Oui 3.0 Microsoft

Mail Zimbra Oui 7 Alpha Engineering

Symantec End Point Oui 12 SPG

PHP - 5.3.2.1 -

Apache - 2.2.4 -

TomCat - 6.0.24 -

SolarWinds Non 7.8.55 -

Alphatron Oui 4.5 Alpha Engineering

INSAF Oui - CNI ADEB Oui - CNI RACHED Oui - CNI Birsa Oui - Tunisys Dreamweaver Oui 2004 - XWAMP & XWAMP server - - - EsayPHP - - - Photoshop Non - - IDE Eclipse - - - Start UML - - - Rational Rose - - -


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 37/84


Le schéma synoptique du réseau WAN de l’IRESA est illustré par la figure ci-dessous :


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 38/84


Ci-dessous est présenté un tableau récapitulatif des principaux Routeurs, Switchs et dispositifs de sécurité utilisés au sein de l’IRESA.

Marque Modèle Nombre d’unités Emplacement

Switch (niveau 3)

Juniper EX3200 02 Siège et Kasbah

Cisco Catalyst 6506 01 Siège

Allied Telesis AT-x600-24TS 01 Siège

Switch (niveau 2) Allied Telesis 80000S 06 Siège

HP Procuvre 2626 01 Siège

SMC 6128L2 06 Siège

Routeur Juniper J6350 01 Sousse

Juniper J4350 04 Sfax, Kairouan, Gafsa et Mednine.

Cisco 3800 01 Béja

Cisco 2800 01 Nabeul

Cisco 2500 01 Siège

Cisco 7300 01 Kasbah (ancienne salle ATI)

Equipements Sécurité (Firewall, Sonde IDS/IPS...) StoneSoft FW 1050 01 Siège

StoneSoft FW 1060 01 Siège

StoneSoft IPS 1060 01 Siège


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 39/84


13. ANNEXE 2 : RAPPEL DU CADRE JURIDIQUE RELATIF A LA SECURITE

INFORMATIQUE EN TUNISIE

Rappel du cadre Juridique relatif à la sécurité informatique en Tunisie.

Loi n° 5 - 2004 du 3 février 2004, relative à la sécurité informatique et portant sur l’organisation du domaine de la sécurité informatique et fixant les règles générales de protection des systèmes informatiques et des réseaux.

Décret n° 1248 - 2004 du 25 mai 2004, fixant l'organisation administrative et financière et les modalités de

fonctionnement de l' A.N.S.I.

Décret n° 1250 - 2004 du 25 mai 2004, fixant les systèmes informatiques et les réseaux des organismes soumis à l'audit obligatoire périodique de la sécurité informatique et les critères relatifs à la nature de l'audit et à sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit.

Loi organique n° 63 - 2004 du 27 juillet 2004, portant sur la protection des données à caractère

personnel.

Loi N° 94 - 36 du 24 Février 1994, portant sur la protection du logiciel et des droits de copyright.

Circulaire n° 19 - du 11 avril 2007, relative au renforcement des mesures de sécurité informatique dans les établissements publiques : Création d’une Cellule Technique de Sécurité, nomination d’un Responsable de la Sécurité des Systèmes d'Information RSSI ; et mise en place d’un Comité de pilotage.

Circulaire n° 22 - 2004, portant sur la sûreté des locaux appartenant aux ministères et aux ent. publiques.

Circulaire n° 19 – du 18 juillet 2003, relative aux mesures de sécurité et de prévention des bâtiments des ministères et des collectivités locales et des entreprises publiques.

Loi n° 99-89 du 2 août 1999, modifiant et complétant certaines dispositions du code pénal relatif à la

Cybercriminalité, Articles : 199 bis et 199 ter.

Rappel des Responsabilités Pénales des Dirigeants Sociaux et des Salariés.

- RESPONSABILITES DES DIRIGEANTS SOCIAUX : le dirigeant répond pénalement des infractions qu’il commet personnellement et peut répondre de celles commises par ses préposes dans le cadre de leurs fonctions.

- RESPONSABILITES DES SALARIES : comme le dirigeant, les salaries dont les responsables informatiques, répondent pénalement des infractions qu’ils commettent personnellement, et ce même si ces infractions sont commises dans le cadre de leur fonction, par négligence, ou sur ordre hiérarchique.

- d’une manière générale, la commission d’une infraction pourra être considérée comme faute grave, justifiant une rupture immédiate du contrat de travail, sans indemnité de licenciement,

- Responsabilités des salariés en cas d’abus de fonction.

Principales Infractions Pénales Applicables dans le domaine de la Sécurité Informatique. - L’ACCES ET LE MAINTIEN FRAUDULEUX DANS UN SYSTEME INFORMATIQUE : accès par utilisation,

sans habilitation, d’un mot de passe obtenu frauduleusement ou du fait de la négligence de son titulaire. Dommages involontaires – suppression et modification de données, les atteintes volontaires au fonctionnement des systèmes, quelques soient les moyens utilisés, les atteintes volontaires aux données,

- LA FOURNITURE D’EQUIPEMENTS DESTINES A PORTER ATTEINTE AUX SYSTEMES INFORMATIQUES

(Y COMPRIS LOGICIELS),

- L’ASSOCIATION DE MALFAITEURS INFORMATIQUES,

- LE CONTOURNEMENT DES MESURES DE PROTECTION,

- L’ATTEINTE AU SECRETS DE CORRESPONDANCES TRANSMISES PAR LES VOIES DE TELECOM. –

DELIT DE DETOURNEMENT DE FINALITE, DELIT DE DIVULGATION ILLICITE DE DONNEES A

CARACTERE PERSONNEL.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 40/84


14 ANNEXE 3: GLOSSAIRE ET TERMINOLOGIE Pour les besoins du présent document, les termes et définitions suivants s’appliquent. 14.1 Bien/actif «asset» : tout élément représentant de la valeur pour l’organisme [ISO/CEI 13335-1:2004]. 14.2 Mesure «control» : moyen de gérer un risque, comprenant la politique, les procédures, les lignes directrices, et les pratiques ou structures organisationnelles, et pouvant être de nature administrative, technique, gestionnaire ou juridique. Le terme «mesure» est également utilisé comme synonyme de «conservation» ou de «contre-mesure». 14.3 Ligne directrice : description clarifiant ce qu’il convient de réaliser et par quels moyens, en vue d’atteindre les objectifs fixés par la politique de l’organisme [ISO/CEI 13335-1:2004]. 14.4 Moyens de traitement de l’information : tout(e) système, service ou infrastructure de traitement de l’information, ou locaux les abritant. 14.5 Sécurité de l’information : protection de la confidentialité, de l’intégrité et de la disponibilité de l’information; en outre, d’autres propriétés, telles que l’authenticité, l’imputabilité, la non-répudiation et la fiabilité, peuvent également être concernées. 14.6 Événement lié à la sécurité de l’information : occurrence identifiée d’un état d’un système, d’un service ou d’un réseau, indiquant une brèche possible dans la politique de sécurité de l’information ou un échec des moyens de protection, ou encore une situation inconnue jusqu’alors et pouvant relever de la sécurité [ISO/CEI TR 18044:2004]. 14.7 Incident lié à la sécurité de l’information : un incident lié à la sécurité de l’information est indiqué par un ou plusieurs événement(s) de sécurité de l’information indésirable(s) ou inattendu(s) présentant une probabilité forte de compromettre les opérations liées à l’activité de l’organisme et de menacer la sécurité de l’information [ISO/CEI TR 18044:2004]. 14.8 Politique : intentions et dispositions générales formellement exprimées par la direction. 14.9 Risque : combinaison de la probabilité d’un événement et de ses conséquences [ISO/CEI Guide 73:2002]. 14.10 Analyse du risque : utilisation systématique d’informations pour identifier les sources et pour estimer le risque [ISO/CEI Guide 73:2002]. 14.11 Tiers : personne ou organisme reconnu(e) comme indépendant(e) des parties concernées. 13.12 Menace : cause potentielle d’un incident indésirable, pouvant entraîner des dommages au sein d’un système ou d’un organisme [ISO/CEI 13335-1:2004]. 14.13 Vulnérabilité : faiblesse d’un bien ou d’un groupe de biens pouvant faire l’objet d’une menace [ISO/CEI 13335-1:2004]. 14.14 Disponibilité : état qui caractérise un système ou une ressource lorsque les utilisateurs disposant des autorisations nécessaires peuvent y accéder et l'utiliser à la demande. La disponibilité est l'une des caractéristiques principales d'un système sécurisé. 14.15 Confidentialité : propriété d'une information qui n'est ni rendue disponible, ni divulguée aux personnes, aux entités ou aux processus non autorisés (ISO 7498-2). 14.16 Intégrité : propriété d'une information qui n'a été ni modifiée, ni détruite de façon non autorisée (ISO 7498-2). 14.17 Probabilité : possibilité qu'un événement se produise. 14.18 Impact : pertes commerciales globales à prévoir en cas d'exploitation par un agent menaçant d'une vulnérabilité à l'encontre d'une ressource.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 41/84


POLITIQUES SPECIFIQUES &

PROCEDURES DE SECURITE DE

L’INFORMATION


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 42/84


A. Charte de bon Usage des Ressources Informatiques, de la messagerie et de

l’Internet :

Note Importante :

La charte de bon usage des ressources informatiques, de la messagerie et de l’Internet est une version simplifiée de la Politique de la Sécurité de l’information et plusieurs autres directives,

procédures et support de formation et de sensibilisation en matière de sécurité informatique au sein de l’IRESAt. Ce document et ses directives doivent être suivis et appliqués par tous les utilisateurs

du système d’information de l’IRESA afin d’assurer une meilleure sécurité durant leur travail quotidien.

Pour de plus amples informations ou situations/questions qui n’ont pas été couvertes par ce

document, prière de consulter le document de la Politique générale de la Sécurité de l’information de l’IRESA, qui reste le document de référence de la sécurité au sein de l’IRESA.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 43/84


0. INTRODUCTION 0.1 ÉTENDUE

• L’Information dans toutes ses formes : données stockées, traitées, transmises sur des supports informatiques et documents.

• Toutes les applications informatiques, logiciels et systèmes informatiques. • Tout le matériel, serveurs, postes de travail, Laptops, composants du réseau, appareils de la

communication et périphériques possédés par l’IRESA. • Tous les centres, et locaux qui hébergent les systèmes d’information de l’IRESA, et toutes les

installations et moyens associés. • Cette charte de bon usage des moyens informatiques s’applique à tout le personnel de l’IRESA,

ainsi que tous les contractants et tiers externes liés à l’IRESA. 0.2 CONFORMITE Les employés qui ne se respectent pas cette politique et charte seront considérés en violation du Code de l'Employé de l’IRESA et feront l’objet de sanctions appropriées. Aucune exception à cette politique n’est autorisée sans approbation écrite du Comité de la Sécurité de l’Information. 0.3 CONTACT

• Toutes les questions concernant cette politique devraient être adressées à l’IRESA. • Cette politique exige à chaque employé la déclaration et le signalement immédiat des incidents liés

à la sécurité de l’information. Pour déclarer un incident ou violation de la politique, contacter : zied LAAGAB [[email protected]].

0.4 BUT Le but de ce document est de s’assurer que tous les utilisateurs de l’IRESA sont sensibilisés et conscients de leurs devoirs et responsabilités lors de l’utilisation quotidienne des moyens informatiques de l’IRESA. L’IRESA se réserve le droit pour modifier ses politiques et directives lorsque c’est nécessaire. Dans ce cas, les utilisateurs de la politique seront informés convenablement.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 44/84


1. Sécurité de l’Internet et du courrier électronique 1.1 L’Internet et le courrier électronique doivent être utilisés principalement pour des besoins professionnels. 1.2 Bien que le système Email de l’IRESA soit réservé pour l’usage professionnel, l’usage personnel, raisonnable, et occasionnel est permis si certaines directives sont appliquées, tel que: 1.2.1. L’usage personnel de l’e-mail ne devrait pas perturber le travail de l’employé. 1.2.2. les e-mails personnels doivent respecter les directives de cette politique. 1.2.3. Les envois des lettres déplaisants, plaisanteries et de fichiers exécutables sont strictement interdits. 1.2.4. Les utilisateurs ne sont pas autorisés à envoyer de nombreux e-mails personnels ou des emails volumineux, provoquant des perturbations sur le système de mail professionnel. 1.2.5. Tous les messages distribués par le système email de l’IRESA, même les emails personnels, sont la propriété de l’IRESA. 1.3 Le téléchargement des fichiers n’est autorisé seulement que pour les fichiers dans le cadre de l’activité de de l’IRESA; le téléchargement des utilitaires et des exécutables est interdit par l’utilisateur, et si c’est nécessaire, il doit le demander à l’IRESA, l’opération sera effectuée sur un système dédié afin de se protéger contre les codes malicieux et les malveillances. 1.4 Il est interdit d’envoyer des e-mails désobligeants, pornographiques, impudiques, ou déplaisants. 1.5 Tous les utilisateurs doivent signer la présente charte avant que l'accès à l’Email leur soit accordé. 1.6 S’assurer que l’information envoyée par email est bien adressée et communiquée uniquement à son destinataire.

1.7 Le volume de boîtes email est limité à 02 Gigabit. L'utilisateur doit régulièrement supprimer les emails/ attachements inutiles et non désirés, et archiver les anciens messages en les transférant à ses dossiers personnels.

1.8 Le volume d’un message email destiné à l’extérieur de l’IRESA est limité à 05MB par message. L'utilisateur devra éviter d’envoyer le(s) fichier(s) plus volumineux. 1.9 Le partage de compte email par le personnel n’est permis qu’après autorisation formelle du Responsable de Département.

1.10 Les utilisateurs ne devront pas utiliser l’email de l’IRESA pour s'abonner à des groupes de Forums ou de News sans l'autorisation préalable de leur Directeur.

1.11 Utiliser des dossiers personnels afin d’archiver vos messages email. L’archivage des emails améliore la performance de l'e-mail et réduit le risque de défaillance du système Email. 1.12 Eviter d’envoyer de l'information confidentielle par e-mail. S’il est nécessaire de le faire, vous devez utiliser des mots de passe dans les fichiers attachés Word ou Excel. La communication du Mot de passe au destinataire doit être effectuée par un autre média de communication, par exemple par téléphone.

1.13 Il est strictement interdit, sauf autorisation préalable, d’utiliser les Clés 3G et Flybox pour s’interconnecter au réseau Internet au sein de l’IRESA. 1.14. Consignes à respecter lors de la réception de courrier : 1.14.1 Il est interdit d’ouvrir des courriers suspects car ils présentent des risques notamment d’infection virale. Un courrier suspect est un message qui n’a pas de rapport avec votre activité normale, ou provient d’un émetteur inconnu, et/ou comporte un titre inhabituel. 1.14.2. Il est interdit d’ouvrir, enregistrer ou exécuter les pièces jointes suspectes. Ces dernières doivent être détruire immédiatement. 1.14.3. Il est important d’éviter de faire suivre un courrier créant ou perpétuant une chaîne (les courriers demandant une transmission à un grand nombre de nouveaux destinateurs).


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 45/84


2. Utilisation du téléphone et de la télécopie 2.1 Les appels téléphoniques personnels à partir du système de l’IRESA doivent être d'une durée courte et doivent être limités aux appels importants et nécessaires. 2.2 L’information sensible et confidentielle ne doit pas être enregistrée sur les répondeurs et système vocaux. 2.3 L'usage des téléphones de l’IRESA sera surveillé afin de se prévenir contre les usages inappropriés, les coûts inattendus, et usage personnel excessif.

3. Utilisation des photocopieurs et des imprimantes 3.1 Les copies papiers de documents ou informations sensibles et/ou classés doivent être protégées et gérées d'après les listes de diffusion et les niveaux des autorisations. 3.2 Pour photocopier tout document classé comme confidentiel ou plus haut, l’autorisation du Propriétaire du document doit être au préalable obtenue. 3.3 L’utilisateur ne doit pas faire des copies illégales ou non autorisées des documents.

4. Gestion des mots de passe Le choix des mots de passe, leur usage et leur gestion est essentiel pour le contrôle d’accès aux systèmes de l’IRESA. Il est exigé, afin de mieux se protéger, d’adhérer aux directives de la gestion du mot de passe et procédures publiées par l’IRESA. 4.1 L'usage des mots de passe Admin/ et ou root doit être limité aux administrateurs des systèmes autorisés. Lorsqu’il est possible, un compte Admin équivalent doit être créé pour l’utilisation quotidienne de l'administrateur, au lieu d'utiliser le mot de passe par défaut d’administration. 4.2 Les mots de passe doivent contenir au minimum 7 caractères alphanumériques, et ne doivent pas être semblables aux cinq mots de passe antérieurs. Ils doivent également suivre au moins trois des quatre combinaisons suivantes : petite lettre, lettre capitale, chiffre, et un caractère du contrôle "Non-alphanumérique" (aucuns narres communs ou expressions). 4.3 Les mots de passe de domaine Windows doivent expirer et être renouvelés chaque 90 jours. Un compte devra automatiquement être désactivé et bloqué si un utilisateur entre trois fois de suite des mots de passe de passe invalides. 4.4 Les mots de passe doivent être gardés privés, non partagés, ou codés dans des programmes, ou écrits sur un papier, et ne doivent pas être divulgués à un collègue ou personne de l’équipe Support de l’IRESA. 4.5 Les mots de passe par défaut doivent être changés pendant le premier login.

5. Protection des données 5.1 Toutes les données critiques et sensibles doivent être stockées sur le dossier respectif du serveur de Département, ou sur un dossier/serveur partagé ou sur un dossier personnel. 5.2 Toutes les informations des utilisateurs doivent être stockées sur les serveurs de Département. Les données stockées sur les disques durs locaux doivent être supprimées avant la fin du jour, à moins qu’il soit nécessaire que l'information demeure sur le disque dur local. 6. Installations des utilitaires sur les PCs utilisateurs 6.1. L’IRESA fournit les logiciels et les applications dont l’utilisateur a besoin dans l’exercice de ses

fonctions. 6.2. L’utilisateur ne doit pas effectuer des copies de logiciels afin de respecter les obligations en matière de licence et de propriété intellectuelle. Il doit se conformer aux restrictions d’utilisation des logiciels. 6.3 Les utilisateurs ne sont pas autorisés à installer des utilitaires, programmes et applications sur leurs postes de travail, sans l’autorisation préalable du Correspondant local de sécurité. 6.4 Avant toute installation de logiciel, les utilisateurs doivent prouver la nécessite et la légitimité/autorisation d’installation du Produit (Licence ou autre). Le logiciel autorisé doit être ajouté à la liste de l'inventaire du logiciel. Les Procédures générales de contrôle Antivirus des fichiers du logiciel doivent être exécutées. 7. Sécurité des postes de travail des utilisateurs & Responsabilités 7.1 Les utilisateurs sont autorisés uniquement à utiliser des logiciels légaux, d'une source prouvée et doivent être approuvés par le Correspondant local de Sécurité. 7.2 Les utilisateurs doivent s’assurer que leurs données critiques et sensibles sont protégées par des Login/mot de passe, et sont stockées sur les serveurs de données de l’IRESA,


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 46/84


7.3 Les utilisateurs doivent s’assurer que les sauvegardes périodiques de leurs données locales sont régulièrement effectuées. Les Données créées localement doivent être par défaut enregistrées sur les serveurs de données de Département. 7.4 Les utilisateurs doivent s’assurer que leur PC/Laptop sont fermés lorsqu’ils ne sont pas utilisés, que les mots de passe sont activés dans les différents modes veille. 8. Jeux & Programmes d’écrans de veille 8.1 Les jeux informatiques et les programmes et utilitaires d’écrans de veille sont reconnus comme une source de virus informatiques et leur usage est strictement interdit. 9. Outils de communication Peer-To-Peer 9.1 L’utilisation des outils de communication du peer-to-peer tel que Skype et le Messager MSN est strictement interdite sans autorisation préalable du Responsable sécurité de l’IRESA. 10. Authentification 10.1 Chaque utilisateur aura une identification unique sur le réseau et les SI de l’IRESA. 10.2 Les partage des identifiants utilisateurs avec les autres employés sont strictement interdits. 10.3 Les comptes Utilisateurs et mots de passe partagés entre un ou plusieurs Départements peuvent être permis seulement après justification détaillée et une approbation obtenue par le Responsable Sécurité de l’IRESA. 11. Autorisation 11.1 L’accès aux ressources informatiques et SI de l’IRESA sera accordé sur la base des exigences d’activité de l'utilisateur. 11.2 Une révision des droits d'accès Utilisateurs doit être effectuée avec le Propriétaire du système au moins semestriellement. 11.3 L’autorisation d’accès à l'information devrait être retirée de l’utilisateur quand celle-ci n'est plus exigée. 11.4 Toutes les activités, y compris l’administration du système, doivent être exécutées avec les autorisations minimales exigées pour conduire l'activité. 11.5 Les abus des niveaux d’autorité ou l’accès à des les informations professionnelles, ainsi que l’assistance à des personnes malveillantes, ne sont pas permis et sont considérés comme des attaques et des manquements sérieux aux obligations professionnelles. 11.6 Lorsque les employés quittent leur lieu de travail, ils doivent s’assurer que leurs postes de travail ont été fermés, ou utiliser des mots de passe sur les écrans de veille. 12. Démission et fin de contrat de travail 12.1 En cas de démission ou de fin de contrat, notifié par le Département de Ressources humaines, les Responsables de Département doivent reconsidérer les droits d’accès utilisateurs, et éventuellement les supprimés en conséquence. 12.2 Le personnel partant sera traité sensiblement (avec prudence), en particulier la suppression de leurs privilèges d'accès. 13. Utilisation des média amovibles 13.1 Seulement le personnel autorisé à installer ou à modifier les logiciels, pourra utiliser les médias amovibles afin de transférer les données au réseau de l’IRESA. Toutes les autres personnes doivent avoir des autorisations spécifiques. 13.2 Tous les médias de stockage de l'ordinateur (CD, disquettes, Bandes, etc.) contenant de l'information sensibles seront étiquetés, protégés dans des emplacements sûrs. Les utilisateurs qui ont besoin d'échanger des informations stockées sur des médias amovibles sont responsables pour la sécurité de leurs données.

14. Sécurité des prestataires externes et des tiers 14.1 Tous les prestataires externes et tiers doivent signer un accord de confidentialité et de respect de la propriété intellectuelle durant leur travail et contrat au sein de l’IRESA.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 47/84


14.2 Tous les prestataires externes et tiers doivent veiller à la protection des actifs de l’IRESA, pendant et après leur contrat. 14.3 Tous les Fournisseurs externes de l’IRESA doivent consentir à suivre ses politiques de la Sécurité de l'Information. Les chartes utilisateurs et autres accords de confidentialité doivent être délivrées à tout fournisseur avant la fourniture des services. 15. Signalement des incidents de la sécurité de l’information 15.1 Les incidents de la sécurité de l'information devraient être rapportés, le plutôt que possible, à travers des canaux appropriés avec le Responsable et les Correspondants locaux de la Sécurité. Les événements de violation des directives et politiques de sécurité doivent également être rapportés. Dans le cas où les Directeurs ou les Correspondants de Sécurité ne seraient pas disponibles au temps de l'événement, les utilisateurs doivent rapporter l'événement au Responsable de Sécurité RSSI de l’IRESA. 15.2 Il existe un processus de réponse aux incidents, documenté afin de fournir l’assistance nécessaire et éviter les perturbations des activités de l’IRESA. Pour de plus amples informations, Prière de consulter le document "Processus de gestion des Incidents de la sécurité" sur l'Intranet de l’IRESA. 15.3 Tous les employés, contractants, prestataires externes de service et tiers devraient rapporter les faiblesses de sécurité et failles constatées au sein de l’IRESA. 15.4 Tout le personnel est responsable de rapporter tout incident, virus, vol, action malveillante d’une autre personne, fraude, détournement de fonds, ou tout autre acte malveillant.

16. La politique du bureau ‘propre’ Il est crucial de protéger l'information sensible de la divulgation. L'espace du bureau est fréquenté par des visiteurs, consultants, Fournisseurs, personnel de nettoyage et d’entretien. Prière de garder votre lieu de travail propre. S'il ya désordre, vous ne pouvez pas remarquer les documents manquants. 16.1 Préserver les documents sensibles et médias dans des coffres et armoires fermées à clé. 16.2 Les Laptops doivent être de préférence attachés physiquement par des câbles sécurisés. 16.3 Sécuriser votre poste de travail en tapant : (Ctrl+Alt+Delete ) 16.4 A la fin de la journée, prenez un moment pour ranger les biens sensibles et onéreux. 17. Le droit de propriété intellectuelle (Copyright) 17.1 Tout le personnel de l’IRESA doit se conformer aux clauses et exigences du copyright (propriété intellectuelle). 17.2 L’information provenant de l’Internet ou autre source électroniques ne peut pas être utilisée sans autorisation du propriétaire du copyright. 17.3 Les textes de rapports, livres ou documents ne peuvent pas être reproduits ou réutilisés sans l’autorisation du propriétaire du copyright. 18. Non-conformité Toute déviation de cette Politique et qui n’est pas formellement autorisé par la direction générale de l’IRESA, est considéré comme une violation et non-conformité qui peuvent engendrer des sanctions disciplinaires.

Fin des clauses de la Politique

Date/ Signature de l’employé,


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 48/84


B. Procédure de Contrôle d’accès aux Système d’Information:

1. OBJET L’objet de la présente note est de réglementer l’utilisation des codes d’accès au système informatique de l’RESA, définir les règles de gestion de ces instruments et délimiter les responsabilités de leurs utilisateurs.

2. PRINCIPES ET REGLES

La procédure de gestion des codes d’accès est basée essentiellement sur les principes suivants :

• L’unicité des codes d’accès pour chaque utilisateur • La sécurité de la conservation de ces codes • La confidentialité permanente dans l’utilisation du mot de passe

Les règles de gestion des codes d’accès doivent répondre aux conditions suivantes :

• Les droits d’accès aux différentes applications du système sont accordés aux utilisateurs compte

tenu des attributions et des taches dont ils ont la charge. • Toute utilisation d’un système sensible est mémorisée par ce dernier. Cette mémorisation permet

l’identification du code d’accès et retrace toutes les opérations qui ont été effectuées (voir Annexe 1). • Le mot de passe doit faire régulièrement l’objet d’une modification par son utilisateur. • L’omission ou la perte d’un mot de passe par son utilisateur ne doit en aucun cas générer une

obstruction à l’accès au dossier concerné. 3. DESCRIPTION DETAILLEE 3.1. Les droits d’accès

Le Responsable de chaque unité accorde l’autorisation et les droits d’accès à ses collaborateurs compte tenu des tâches dont ils sont respectivement chargés. Le formulaire de demande d’accès (voir Annexe 2) doit être rempli et signé.

3.2. Le code utilisateur Le code utilisateur correspond au numéro du matricule de l’employé. Ce code utilisateur à pour fonctions :

• D’identifier l’utilisateur. • De servir de premier élément dans la clé d’accès au système.

3.3. Le mot de passe Le mot de passe est le complément indispensable au code utilisateur pour avoir accès au système. La structure de mot de passe est limitée à dix caractères en chiffres et/ou en lettres. La création du mot de passe est laissée à la discrétion de l’employé détenteur d’un droit d’accès.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 49/84


Une fois le mot de passe crée, l’employé procédera sur son poste de travail, à la saisie dans l’application conçue à cet effet, de son code utilisateur suivi de son mot de passe. L’introduction de cette dernière donnée apparaîtra sur l’écran sous forme cryptée. Etant donné le caractère confidentiel du mot de passe, l’employé est tenu de bien le mémoriser et de ne pas le divulguer. Chaque employé autorisé à accéder au système, doit mettre à jour régulièrement « au moins une fois par semestre » son mot de passe par le menu informatique installé sur son poste de travail. En cas d’omission ou de perte de codes d’accès, l’utilisateur demandera l’intervention du responsable du système informatique qui procédera à la remise en fonctionnement du poste de travail.

3.4. L’exploitation du système d’information

• Entrée dans le système

A chaque ouverture de session de travail, le système demande à l’utilisateur l’introduction de son code et son mot de passe. Le système procède au contrôle de la régularité des données saisies et permet par l’affichage de l’application, l’exploitation du système. En cas d’introduction de mot de passe erroné le système réitère la demande de saisie du code. La demande d’accès au système est automatiquement rejetée au bout du troisième essai.

• Sortie du système

En fin de session de travail l’utilisateur est tenu de quitter l’application en se positionnant sur le menu d’accueil. L’inobservation de cette action peut entraîner l’accès au système de personnes non autorisées et toute opération de saisie par ce dernier est enregistrée sous le code de l’utilisateur initial et engage sa responsabilité.

3.5. Conservation et suivi Toute opération de création et de mise à jour de données sensibles est systématiquement mémorisée dans le système avec le code de son utilisateur. Pour les besoins de vérification et de suivi le code utilisateur (matricule) est édité sur le journal de saisie.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 50/84


ANNEXE 1-

Politique de mots de passe sur les serveurs et systèmes sensibles de l’IRESA

Sujet Statut Nouvelle Politique de

Mot de passe

Historique de mot de passe : 6 Mots de passe 9 mots de passe

Durée de vie maximale du mot de passe 90 jours 180 jours

Durée de vie minimale du mot de passe 0 jour 0 jour

Longueur minimale d’un mot de passe 6 caractères 8 caractères

Exigences de complexité Non Non

Durée de mise en veille (Lockout) du compte

60 minutes 30 minutes

Seuil de Lockout du compte : 3 tentatives 5 tentatives

Initialisation compte : durée de Lockout 05 minute 30 minutes


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 51/84


ANNEXE 2-

Formulaire de Demande de création et de mise à jour de compte utilisateur: Ce formulaire doit être rigoureusement renseigné avec les signatures et les autorisations nécessaires avant l’octroi ou la modification des paramètres ou Profil utilisateurs.

Information Utilisateur

Nom et Prénom: Société/Service : Téléphone:

Département: Fonction:

Signature: Date:

Droit d’accès & Privilège requis

Système / Application :

Nom utilisateur proposé:

Action Requise: Création, Modification ou Suppression

Groupe d’accès :

Autorisations des Responsables

Chef hiérarchique: Signature: Date:

Propriétaire Application: Signature: Date:

Administrateur(s)

App. / Sys Admin Name:

Signature: Date:

Remarques:


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 52/84


C. Charte des Administrateurs IT de l’IRESA:

Note Importante :

La présente charte, associée au règlement intérieur de l’IRESA, est avant tout un code de bonne conduite. Elle a pour objectif de préciser la responsabilité des administrateurs de l’IRESA en accord avec la législation afin d’instaurer un usage correct des ressources informatiques, avec des règles minimales de respect d’autrui. Ce document est une version simplifiée de la Politique de la Sécurité de l’information et plusieurs autres directives, procédures et support de formation et de sensibilisation en matière de sécurité informatique au sein de l’IRESA. Il doit être suivi et appliqué par tous les administrateurs IT du système d’information de l’IRESA afin d’assurer une meilleure sécurité durant leur travail quotidien. Pour de plus amples informations ou situations/questions qui n’ont pas été couvertes par ce document, prière de consulter le document de la Politique de Sécurité cadre de l’information de l’IRESA, qui reste le document de référence de la sécurité au sein de la Société. Ce document, ainsi que la Politique de sécurité de l’information de l’IRESA sont disponibles sur l’Intranet.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 53/84


Je soussigné(e) ……………………………………., agissant en ma qualité d’administrateur IT à l’IRESA, reconnais avoir été informé(e) des règles suivantes et m’engage à les respecter.

- Confidentialité de l’information Dans le cadre de ma mission, entant qu’administrateur IT de l’IRESA, certaines informations

confidentielles pourraient être portées à ma connaissance. Sachant que la perte ou divulgation de ces informations pourrait perturber ou mettre en péril les activités de la société, je m’engage à ne pas les communiquer, que ce soit pendant la durée de ma mission ou au-delà.

De même, je m’engage à ne pas utiliser ces informations dans un but autre que celui de remplir mes

obligations professionnelles en vers « l’IRESA». A l’issue de ma mission à «l’IRESA», je lui restituerai tous les supports d’information et n’en

conserverai aucune copie ou extrait. De surcroît, je m’engage à respecter les instructions et les directives en matière de sécurité de

l’information afin de protéger ces informations contre tout accès non autorisé où contre la destruction. Ces règles sont applicables quel que soit le support de ces informations : papier, orale,

informatique, magnétique, optique ou autre. Sont considérées comme des informations confidentielles, pour autant qu’elles ne soient pas du

domaine public ou qu’elles n’aient pas été divulguées par d’autres voies : • Les informations techniques spécifiques à l’IRESA telles que des méthodes, processus, formules, systèmes, techniques, inventions, plans,… (liste non exhaustive);

• Les informations commerciales spécifiques à l’entreprise telles que des listes de clients, prix, sources d’approvisionnement, mots de passe informatique, données financières et marketing, systèmes ou plans de production ou de distribution (liste non exhaustive).

• Les informations à caractère personnel liées à personnes physiques telles que les employés, clients, fournisseurs ou partenaires.

Responsabilité :

Dans le cas où, de façon intentionnelle ou par négligence, je ne respecterais pas ces engagements et que l’entreprise subisse en conséquence un préjudice matériel non négligeable, je suis conscient que ma responsabilité pourrait être engagée, et que l’IRESA pourrait engager des mesures nécessaires qui pourront aller jusqu'à les poursuites légales à mon égard dans le respect de la législation applicable.

Lu et Approuvé, le ……………….. Signature


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 54/84


D. Procédure de gestion des correctifs de sécurité (Patch Management):

1. INTRODUCTION Toute l’information stockée dans les systèmes informatique de l’IRESA est considérée un atout précieux et doit être protégée afin que son Intégrité, Confidentialité, et Disponibilité ne soient pas compromise. Généralement, les applications et systèmes d’exploitation sont très complexes contiennent des millions de lignes de code. Il est essentiel que le logiciel s’exécute d’une manière fiable et ne compromet pas la sécurité et la stabilité de l'environnement. Pour minimiser tous problèmes potentiels, les programmes sont testés avant d'être mis en place. Cependant, les pirates et attaquants s'efforcent à trouver de nouvelles vulnérabilités dans les logiciels en exploitation pour accéder sans autorisation à l'information. Anticiper tous ces attaques potentielles est une tâche impossible. Pour cette raison, la majorité des éditeurs et fournisseurs de logiciel et matériels publient régulièrement des correctifs pour résoudre les problèmes et failles identifiés. Les correctifs de sécurité présentent un défi, dans le sens où les pirates diffusent rapidement dans les forums de discussions les failles et vulnéraires trouvées mais également les moyens de les exploiter. Les éditeurs de logiciel s'efforcent de publier rapidement les correctifs. Jusqu'à ce que le correctif soit déployé, la sécurité de tout l’organisme peut être diminuée sévèrement. Etant donné ce constat, il est impératif que l’organisme identifient toutes les vulnérabilités potentielles publiées, et disposer des correctifs pour prévenir de ces vulnérabilités qui sont exploitées. 2. BUT Cette Politique vise à assurer que le personnel IT de l’IRESA, les fournisseurs et éditeurs de logiciels et tiers externes soient sensibilisés et conscients de l’importance de la gestion des correctifs de sécurité, et de la mise à jour régulière des applications, logiciels et systèmes d’exploitation. Toutes les parties concernées doivent se conformer aux exigences contenues dans cette politique et comprendre leur responsabilité vis à vis de l’organisme afin d’assurer la mise en œuvre des correctifs de sécurité de tous les actifs de l’organisme, et atteindre un plus haut niveau de sécurité pour l’organisme les informations clients de l’organisme. 3. ÉTENDUE Cette Politique de gestion des correctifs de sécurité, ainsi que toutes les procédures associées s’appliquent pour tous les systèmes d’information de l’IRESA, et le personnel qui sont en charge de l’exploitation des systèmes d’information de l’organisme. Cette politique s’applique également à tout le personnel qui est responsable de la gestion des correctifs – de sécurité ou non- et qui doit communiquer l'information aux Administrateurs des Systèmes pour la mise en œuvre des correctifs après avoir effectué les tests sur des environnements de développements ou de Test.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 55/84


4. POLITIQUE DE GESTION DES CORRECTIFS La politique de gestion des correctifs de l’IRESA:

• Toutes les vulnérabilités connues des systèmes d’exploitation doivent avoir les plus récents correctifs de sécurité installés afin d’assurer l’intégrité, la confidentialité et la disponibilité des systèmes de l’organisme; à moins que ces correctifs disposent sur preuve de bugs ou peuvent causer des perturbations sur les systèmes et applications de l’organisme.

• Tous les correctifs- y compris ceux de la sécurité, doivent être mis en œuvre conformément au politique de changement/modification de l’organisme, de migration, d’autorisation, et de test avant production.

• Comme Processus continu – La Direction Informatique conjointement avec les autres départements techniques doit assurer que les SI de l’organisme sont à jour par rapport à tous les correctifs, y compris ceux de la sécurité.

4.1 Clauses de la politique gestion des correctifs

4.1.1 Catégories des correctifs : Lorsqu’un patch est publié et est pertinent pour l’environnement de l’organisme, les équipes Techniques, de maintenance, et le Responsable de la Sécurité de l'Information doivent déterminer les correctifs potentiels qui peuvent menacer les fonctions et services des systèmes. Les catégories suivantes définissent la criticité et l’urgence de déploiement d’un correctif ainsi que les mesures appropriées qui doivent être au préalable mise en œuvre:

1) Insignifiant – Le correctif est connu pour ne pas causer d’interruption sur les serveurs et système et est jugé pour être sans danger pour la mise en œuvre. Ce correctif peut être déployé, une fois il a complété le processus de Contrôle du Changement et les tests de montée en charge.

2) Modéré - Le correctif est connu pour ne pas menacer les fonctions et services du système, mais une courte période de test sur les serveurs non en production est nécessaire par prudence. Les processus du Contrôle du changement doivent être appliqués.

3) Considérable – Le correctif a la potentialité de menacer les fonctions et services essentiels du système. Le correctif doit être étudié avec soin avant sa mise en production, s’assurer que toutes les fonctionnalités ont été testées, et que l'impact sur l'environnement est bien compris.

4) Inconnu – Les perturbations dues aux correctifs pourraient être considérables, mais il n'y a aucun précédent pour décider si le correctif sera une menace pour les fonctions et services du système. Les équipes techniques, du Support, le Responsable de Sécurité de l'Information, y compris les Fournisseurs et éditeurs (si a eu besoin), seront consultés, et les tests seront établis sur période de 3 à 5 jours de fonctionnement. L’équipe se décidera ensuite sur l’opportunité de déploiement du patch en fonction des résultats obtenus.

4.1.2 Mise en œuvre des correctifs:

1. Les Services Techniques, et Support des Applications (les développeurs sont exclus) et les Administrateurs des systèmes au sein de l’IRESA, ou le personnel approuvé des contractants, Fournisseurs et tiers doivent exécuter la mise en œuvre des correctifs.

2. Les correctifs doivent être acquis ou téléchargés d'une source de confiance.

3. Les correctifs doivent être vérifiés avec le fournisseur ou éditeur de préférence en utilisant des moyens techniques afin de s’assurer qu'aucun code malicieux n'est introduit par un attaquant pirate ou Fournisseur malveillant.

4. Lorsque le correctif dispose de "signature haché", celle-ci doit être vérifiée par le personnel IT avant l'usage du correctif.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 56/84


4.1.3 Documentation du correctif :

1. Tous les correctifs doivent être accompagnés par les fournisseurs et éditeurs approuvés de la documentation qui décrit la version de la parution du correctif, et les systèmes d’exploitation supportés.

2. Les procédures techniques, les standards et code de bonne conduite doivent être disponibles aux Équipes Techniques et Administrateurs des Systèmes pour s’assurer de la mise en œuvre efficace et sécurisé des correctifs.

4.1.4 Gestion des correctifs et des changements:

1. La gestion des correctifs est une composante de la gestion du changement et comme un tel processus doit exister pour la mise en œuvre de touts les correctifs qui sont considérées des "changements" à l'environnement de la production de l’organisme. Toute la gestion des changements doit être conforme au processus formalisé du contrôle du changement.

2. Les changements effectués sur l’environnement de production pour la gestion des correctifs, doivent inclure le Formulaire de la Demande du Changement (FDC). Cela doit inclure des détails pour la mise en œuvre du changement, ainsi qu’un plan de la récupération dans le cas où le déploiement du correctif a échoué.

3. Tous les systèmes de l’organisme doivent avoir des Services Packs approuvés et installés. Tout nouveau système, correctif ou mise à jour qui sont introduits à l'environnement de la production de l’organisme doivent avoir une analyse de l'impact pour assurer que les Applications et logiciels de l‘organisme fonctionneront correctement sous les nouvelles versions.

4. Toute déviation de cette Politique exigera une demande formelle au Responsable et doit être approuvée par le Responsable de la Sécurité de l'Information.

4.1.5 Support des correctifs futurs:

Toutes les solutions futures acquises par l’organisme doivent disposer d’un contrat de maintenance approprié qui doit fournir des mises à jour continues et du support technique. 5. RESPONSABILITÉS

Il est de la responsabilité de différents Départements de l’organisme pour s’assurer de la conformité avec la politique de gestion des correctifs.

Les responsabilités pour la mise en œuvre des différents composants des correctifs nécessitent la coopération entre les différents départements de l’organisme et les Fournisseurs et éditeurs externes de logiciel. Les différents rôles de chaque partie sont détaillés ci-dessous.

5.1 Responsabilités des propriétaires des applications

• Il est de la responsabilité des Propriétaires des Applications de s’assurer que les administrateurs systèmes / et Opérateurs sont sensibilisés et informés de tous les correctifs nécessaires à leurs applications.

• Les Propriétaires des Applications doivent fournir aux Administrateurs systèmes et/ ou Opérateurs les correctifs qui doivent être déployés, ainsi que leur documentation de support.

5.2 Responsabilités des correspondants informatiques & de Sécurité Les Correspondants locaux informatiques et de la Sécurité de l'Information seront responsables de la gestion et surveillance des versions des correctifs des vulnérabilités importantes et à risque. Ils sont responsables de l’évaluation des vulnérabilités des systèmes de l’organisme. Pour ce faire, ils peuvent s’appuyer sur les services techniques de l’organisme ou des cabinets spécialisés d’audit externes. Dans le cas où des vulnérabilités ont été identifiées, les correspondants doivent les rapporter systématiquement au Responsable/ou Groupe de la Sécurité de l’information, vérifier la disponibilité des correctifs correspondants et proposer un plan d’actions. A aucun moment les Correspondants locaux de la Sécurité de l'Information ne


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 57/84


soient responsables de la mise en œuvre des correctifs de sécurité ou de l’un de leurs composants. De plus,

• l’RSSI et les équipes techniques doivent déterminer les impacts potentiels des correctifs de sécurité, et planifier leur mise en œuvre comme le préconise cette politique.

• l’RSSI n’est pas responsable de l’identification des correctifs des systèmes d’exploitation et des Applications.

5.3 Responsabilités des administrateurs système • Les administrateurs système seront chargés de s’assurer de la bonne version des correctifs de

sécurité installés sur les systèmes d’exploitation sous leur responsabilité. Ceci inclut les correctifs de sécurité recommandés par les RSSI/Correspondants de sécurité et les Propriétaires des Applications.

• Les administrateurs système installeront en premier lieu les Services Packs logiciels et correctifs dans un environnement de test, une fois les tests ont été concluants, effectués ensuite les changements sur les plateformes de production.

• Les administrateurs système assureront que le Formulaire de la Demande du Changement appropriée (FDC) a été soumis et que ces derniers fournissent des détails sur "l’avant et l’après changements" ainsi que les versions correctes des correctifs logiciels.

• Les administrateurs système s’assureront de l’existence des plans de récupération afin de pouvoir remettre les systèmes en production dans leur état de service précédent en cas d’échec de la mise en œuvre des correctifs.

• les Administrateurs système gèrent les changements de version des correctifs pour chaque semaine de travail, et assurent que les systèmes ne sont pas affectés et doivent rapporter immédiatement toute défaillance ou erreurs.

5.4 Responsabilités des Fournisseurs et des Prestataires Tiers

• Tous les Fournisseurs, contractants et prestataires tiers de logiciel qui sont engagés ou qui travaillent directement ou qui ont des activités au sein de l’IRESA doivent s’assurer que l’organisme dispose des informations à jour concernant les nouveaux correctifs de sécurité de leur produits logiciels, ainsi que les vulnérabilités correspondantes.

• Les Fournisseurs externes doivent s’assurer que les correspondants locaux de sécurité de l’organisme dispose de l'accès à l’information, des abonnements, des liens Internet et média électronique, ainsi que la documentation pertinente sur les correctifs de sécurité et vulnérabilités associés à leur produit, de manière à ce que les vulnérabilités très importantes doivent être communiquées dans un délai de 24 heures.

• Les Fournisseurs assureront pour toute application de l’organisme, celle ci ne sera pas migrée à une nouvelle version à moins que les patches/fixes et correctifs de sécurité appropriée peuvent être appliquée à cette nouvelle version.

6. NON-CONFORMITE Toute déviation de cette Politique et qui n’est pas formellement autorisée est considéré comme une violation et non conformité qui peuvent engendrer des sanctions disciplinaires.

7. RESPONSABILITÉS L’RSSI est le Comité de sécurité de l’IRESA sont responsables de la révision et du processus de la révision de ce document.

8. REFERENCES - Plusieurs Benchmarks et documents de bonne conduite. - Précédente politique développée par l’organisme.

9. PROPRIÉTAIRE DU DOCUMENT La version finale et officielle de ce document sera toujours disponible auprès du Responsable de la Sécurité des Systèmes d’information de l’IRESA.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 58/84


Annexe 1 – Formulaire de demande de changement/patc h de sécurité Ce formulaire doit être rigoureusement renseigné avec les signatures et les autorisations nécessaires avant la mise en œuvre du changement. .

Intitulé du Changement /Patch : (Upgrade, Migration, etc.)

Ref. #

Information sur le Demandeur

Nom: Département: Téléphone:

Date requise de changement/Patch: Signature: Date:

Domaine de changement /patch : (Serveurs, Messagerie, etc.)

Information sur le changement/Patch Description du changement/migration/Patch:

Justification et résultats des tests du changement/ migration/Patch:

Autorisation de changement/migration/Patch

Responsable Informatique: Date: Signature:

Responsable métier : Date: Signature:

Administrateur système: Date: Signature:

Implémentation et déploiement du Changement

Changement accompli par : Date: Signature:

Changement testé par : Date: Signature:

Remarque:


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 59/84


E. Procédure de gestion des incidents liés à la sécurité de l'information:

1. Objet :

Cette procédure couvre tous les systèmes, équipements de communications, applications et logiciels, dispositifs réseau et de sécurité. Elle inclue également les équipements de sécurité physique et environnementale. Tous les événements liés à la sécurité de l’information doivent être signalés, dans les meilleurs délais, par les voies hiérarchiques appropriées. Tous les rapports de failles de sécurité ou évènements relatifs aux biens informationnels de l’IRESA sont concernés par la présente procédure. En plus, les faiblesses et les anomalies détectées au niveau des systèmes d’informations doivent être traitées conformément à la présente procédure.

2. Responsabilité :

2.1 Les utilisateurs et les propriétaires des biens informationnels doivent rapporter les failles, les

incidents et les évènements liés à la sécurité de l’information au personne appropriée « Voir liste des personnes à contacter lors d’incident de sécurité » en utilisant le formulaire spécifique : « Voir Fiche de signalisation d’incident informatique ».

2.2 Les utilisateurs ne sont pas autorisés à essayer de résoudre les problèmes tous seuls. 2.3 Les incidents qui impliquent des systèmes critiques de l’IRESA sont immédiatement rapportés par le

RSSI à la direction générale. 2.4 On considère comme incident de sécurité d’information tout problème de type :

• Perte de service, de fonctionnalités, d’équipements ou d’installation. • Mauvais fonctionnement du système, d’un logiciel ou du matériel. • Dégradation de performances du réseau. • Perturbation de service d’Internet. • Détection d’un virus. • Antivirus désactivé ou non à jour. • Message obscène. • Droit d’auteur violé. • Divulgation des informations relatives à la vie privée. • Divulgation des données confidentielles (commerciale ou technique). • Divulgation des enregistrements relatifs aux exigences légales, réglementaires et exigence

métier. • Modification accidentelle ou malveillante d'un fichier bureautique ou technique partagé par un

utilisateur non autorisé. • Effacement massif des données applicatives par un membre du personnel autorisé. • Perte accidentelle ou malveillante des fichiers journaux ou documents ayant valeur de preuve. • Erreur pendant le processus de saisie. • Arrêt d'un logiciel critique dû à un bug. • Vol d'équipement informatique ou de télécommunication à l'intérieur des locaux • Vol ou altération d'un support amovible (CD/DVD, Flash disque, disque dure externe, bande de

sauvegarde…) à l'intérieur des locaux. • Vol de documents dans des bureaux, par un membre du personnel (n'appartenant pas au

service) • Vol de documents dans des bureaux, par un visiteur ou prestataire de service


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 60/84


• Vol de micro-ordinateur portable en dehors des locaux de l'entreprise. • Accident de nature électrique. • Notez bien que l’environnement en sécurité de l’information est constamment en changement et

qu’il ne faut pas se fier uniquement aux événements énumérés dans le tableau précédent. Tous les employés doivent signaler rapidement les événements suspects à la personne appropriée.

3. Classification des incidents de sécurité : Niveau Description

4 L’incident empêche la poursuite d’une ou de plusieurs activités extrêmement critiques pour le fonctionnement de l’organisation.

CRITIQUE

3 L’incident empêche l’utilisation d’une application, d’un système ou d’équipement critique à utilisation commune, ce qui affecte de manière significative les activités de l’organisation.

2 L’incident n’affecte qu’un groupe d’utilisateurs. Les activités interrompues ne sont pas critiques au fonctionnement de l’organisation.

SIMPLE

1 L’incident n’affecte qu’une seule personne. Les activités interrompues ne sont pas critiques au fonctionnement de l’organisation.

4. Organisation :

Le RSSI enregistre tous les incidents critiques (de classement > 2) relatifs à la sécurité de l’information

en les identifiant par un numéro unique afin d’assurer leurs suivis jusqu’à leurs clôtures.

Le RSSI, en collaboration avec les responsables IT, de l’IRESA est responsable de :

• la clôture de l’incident. Ceci inclut le déclenchement d’actions disciplinaires en rapportant

l’incident au service Ressources Humaines si nécessaire.

• Pilotage de la planification et suivi de l’implémentation des actions préventives et/ou

correctives afin d’éviter la répétition de l’incident si nécessaire.

• la collecte et la sécurisation des preuves si nécessaire.

Le RSSI prépare un rapport semestriel au Comité de Sécurité de l’Information dans lequel il établit des

statistiques sur les incidents déclarés. Ceci inclut les pertes générées par ces incidents et les

recommandations qui permettent de limiter la fréquence des incidents, d’améliorer la réponse et de

réduire les coûts.

Tous les rapports d’incidents majeurs rédigés doivent êtres archivés pour être utilisés en cas de

besoin.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 61/84


Annexe I - Liste des personnes à contacter lors d’incident de sécurité :

Situation Rôle Responsabilité Nom Numéro de téléphone

Erreur ou interruption de service

Unité de gestion et de suivi des incidents/DI & RSSI

Première instance à être contacté par l’utilisateur lors d’erreur ou d’arrêt du système, la continuité d’activité doit être assurée dans les brefs délais.

RSSI Tel. interne

Perte ou Divulgation d’information

Unité de gestion et de suivi des incidents/DI

Propriétaire de l’information & RSSI

Évaluation de l’impact des pertes ou des divulgations, vérification de la sécurité des données

à sa charge ainsi que les droits d’accès affectés RSSI Tel. Interne

Perte ou dommage d’équipement à l’extérieur du

site


Responsable DAG & RSSI

Remplacement de l’équipement manquant et avis au propriétaire si des informations sensibles ont été

perdues RSSI Tel. Interne

Virus Unité de gestion et de suivi des

incidents/DI & RSSI Placement en quarantaine des fichiers infectés et

balayage pour éliminer les virus recensés RSSI Tel. Interne

Faiblesse, mal fonctionnement ou menace

Unité de gestion et de suivi des incidents/DI & RSSI

Mise en place de structures de sécurité efficaces pour pallier l’élément déficient

RSSI Tel. Interne

Attaque / Piratage Unité de gestion et de suivi des

incidents/DI & RSSI Protection supplémentaire des informations

sensibles et identification du ou des assaillants RSSI Tel. Interne

Perte de clé, badges d’identification cartes d’accès,

etc.


Responsable DAG & RSSI

Identification du propriétaire et remplacement de l’objet perdu

RSSI Tel. Interne

Activités illégales


RSSI & Responsable RH

déclenchement d’actions disciplinaires en rapportant l’incident au service RH

RSSI Tel. interne


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 62/84


Annexe II Fiche de signalisation d’incident informatique - Utilisateur

IDENTIFICATION DU DECLARANT : Nom : Prénom : Téléphone : E-mail : Département : Date de réclamation :

INFORMATIONS SUR L’INCIDENT : Actif touché par l’incident :

Serveur :…………………………….………… Système d’exploitation :……………………….. Poste de travail :………………………………. Messagerie Zimbra :…………………………….. Ordinateur Portable :…………………………. Logiciel bureautique :…………………………. Imprimante :………………………………….. Logiciel technique :……………………………

Autre :……………………………………...…. Nature de l’incident ou du problème :

Perte de service ou de fonctionnalités Zimbra, Fraude, Mauvais fonctionnement du système, Erreur pendant le processus de saisie, Mauvais fonctionnement d’un logiciel, Accident de nature électrique, Mauvais fonctionnement du matériel. Arrêt d'un logiciel critique dû à un bug, Dégradation de performance Vol d'équipement inf. à l'intérieur des locaux Détection d’un virus. Vol ou altération d'un support amovible, Antivirus désactivé ou non à jour, Vol de documents dans des bureaux, Accès non autorisé, Vol d’un ordinateur portable, Divulgation des données confidentielles, Dégradation du service Internet, Modification accidentelle ou malveillante d'un fichier

partagé par un utilisateur non autorisé, Menace / harcèlement par courriel,

Autre (fournir les renseignements supplémentaires Renseignements supplémentaires : En cas d’activités illégales, de menaces ou d’harcèlement, le service Ressource Humaine a-t-il été contacté ?

Oui Non Ne s’applique pas Des données sensibles ou critiques ont-elles été compromises ?

Oui (fournir les détails) Non On ne sait pas Détails :

À L’USAGE DU SERVICE INFORMATIQUE

Personnes intervenues pour résoudre le problème :

Administrateur de système & réseaux Nom : Signature :


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 63/84


Annexe III

Fiche de signalisation d’incident informatique – Administrateur Informatique IDENTIFICATION DU DECLARANT : Nom : Prénom : Téléphone : E-mail : Département : Date de réclamation :

INFORMATIONS SUR L’INCIDENT : Actif touché par l’incident :

Serveur AD ou autres…………….………… Système d’exploitation :……………………….. Poste de travail :………………………………. Messagerie Zimbra :…………………………….. Ordinateur Portable :…………………………. Sage :……………………………...… Imprimante :………………………………….. Logiciel bureautique :…………………………. Equipement de réseaux :……………………… Logiciel technique :…………………………… Scanner réseau :………………………………. Autre :……………………………………...….

Nature de l’incident ou du problème :

Perte de service ou de fonctionnalités, Fraude Mauvais fonctionnement du système, Perte accidentelle des fichiers journaux Mauvais fonctionnement d’un logiciel Erreur pendant le processus de saisie Mauvais fonctionnement du matériel. Arrêt d'un logiciel critique dû à un bug Dégradation de performances du réseau Vol d'équipement inf. à l'intérieur des locaux Détection d’un virus. Vol ou altération d'un support amovible Antivirus désactivé ou non à jour Vol de documents dans des bureaux Droit d’auteur violé Vol d’un ordinateur portable Divulgation des données confidentielles Accident de nature électrique Divulgation d’info. relatives à la vie privée Message ou courrier obscène Divulgation des enregistrements relatifs aux exigences légales, réglementaires et métier

Effacement massif des données applicatives par un membre du personnel autorisé

Accès non autorisé Fonctionnement défectueux d’un logiciel Virus / ver informatique / cheval de Troie Dégradation du service Internet Menace / harcèlement par courriel Saturation d’un système (disque\mémoire) Modification accidentelle ou malveillante d'un fichier partagé par un utilisateur non autorisé

Autre (fournir les renseignements supplémentaires)

Renseignements supplémentaires : En cas d’activités illégales, de menaces ou d’harcèlement, le service Ressource Humaine a-t-il été contacté ?

Oui Non Ne s’applique pas Des données sensibles ou critiques ont-elles été compromises ?

Oui (fournir les détails) Non On ne sait pas Détails : Quelles mesures ont été appliquées jusqu’à maintenant?


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 64/84


Aucune Redémarrage de l’équipement Déconnexion du réseau Sauvegarde et sécurisation des données Déconnexion du courant électrique Sécurisation physique de l’ordinateur Balayage du disque dur avec l’antivirus Client Autre

Information additionnelle :

À L’USAGE DU SERVICE INFORMATIQUE

Personnes intervenues pour résoudre le problème :

Administrateur de système & réseaux Nom : Signature :

Administrateur Internet Nom : Signature :

Fournisseur Nom : Signature :

RSSI Nom : Signature : Sévérité de l’incident :

Faible Moyenne Haute Urgente

Analyser l’incident :

Oui (si Urgeant ou Haute) Non (si Moyenne ou Faible)

Code Affecté Date de la clôture de l’incident

Coût de l’incident (Facultatif) Duré de la clôture de l’incident

Taches effectuées :


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 65/84


F. Procédures de Sauvegarde et de restauration:

1. OBJET

La présente note de procédure règlemente les sauvegardes courantes des données (BD), fichiers, applications et système d’exploitation de l’IRESA, en définit les règles et délimite les responsabilités.

2. PRINCIPES ET REGLES

2.1 La sauvegarde et la restauration de données sont d’une priorité maximale pour « de l’IRESA ». Les Responsables de l’exploitation (administrateur système) doivent s’assurer que les procédures de sauvegarde et de restauration sont mises en place, documentées et que la fréquence des opérations soit conforme aux besoins (voir Annexes Ci-joints). 2.2 Le stockage quotidien des données doit assurer leur disponibilité aux utilisateurs autorisés, ainsi que les archives doivent être accessibles en cas de besoin afin d’assurer la continuité d’activité de l’RESA. 2.3 Tous les utilisateurs de système d'information, qui sont amenés à créer ou à modifier des fichiers de données, doivent enregistrer régulièrement leur travail sur le système. 2.4 Les médias du stockage utilisés pour l'archivage de l'information doivent être appropriés pour la longévité. Les formats dans lequel les données sont stockées doivent être bien considérés, en particulier lorsque les formats de données sont propriétaires. 2.5 Des essais sur les supports de sauvegarde et de restauration doivent être régulièrement effectués pour s’assurer de leur fiabilité en cas d’utilisation en urgence. 2.6 Les supports de sauvegarde doivent être placés dans un endroit suffisamment éloigné pour échapper aux dommages d’un sinistre sur le site principal. 2.7 Des registres sont tenus régulièrement à jour comportant des informations sur le déroulement des opérations sauvegardes. La durée de conservation des sauvegardes annuelles est illimitée.

3. REGISTRE DES SAUVEGARDES

Les registres sont tenus régulièrement à jour par les personnes chargées des sauvegardes, ces derniers comportent les informations suivantes :

-La date et l’heure de la sauvegarde. -Les observations éventuelles sur le déroulement de la sauvegarde. -Le nom et la signature de la personne qui a assuré la sauvegarde. -Le nom de la bande de sauvegarde.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 66/84


ANNEXE 1 – Tableau récapitulatif des opérations de sauvegarde des systèmes, des Applications et BDs au sein de l’ IRESA.

Code Ressources Rôle @IP Redondance matérielle

Utilitaire de sauvegarde

Fréquence de sauvegarde

Ce qui est sauvegardé

Périphérique de stockage

Responsables sauvegarde

1 Versus antivirus 192.168.199.21

Non Symatec Mensuel Donnée (base des clients et plotiques)

CD Zied laagab

2 HP Contrôleur de domaine 192.168.199.9 Non Windows Mensuel -- -- Zied laagab

3 Fujitsu Simens DNS 192.168.1.5

Non Script Mensuel Fichier de

configuration

CD Zied laagab

4 Gateway GR380F1ESXI

Boite à mail 192.168.3.56

Oui

vSphere

VMs (système)

Disque externe Samir zoghlami

Boite à mail 192.168.3.59 vSphere Disque externe Samir zoghlami

MTA 192.168.3.65 vSphere Disque externe Samir zoghlami

Synchronisation entre Outlook et Zimbra

192.168.3.73 vSphere Disque externe Samir zoghlami

5 Gateway GR380F1ESXI

Boite à mail Boite à mail MTA

192.168.3.57

Oui

vSphere

VMs (système)




6 Gateway GR380F1 ESXI

Annuaire de messagerie Proxy de messagerie Répartition de charge entre les proxys monitoring

192.168.3.56

Oui

vSphere

VMs (système)





7 Gateway GR380F1 ESXI

Annuaire de messagerie ; Proxy de messagerie Répartition de charge entre les proxys ; DNS

192.168.3.63

Oui

vSphere

VMs (système)





8 Gateway GR380F1ESXI Hébergement des sites web 192.168.4.200 Oui Script / agent hebdomadaire Système + Donnée Bonde SAADALLAH Mohamed 9 Gateway GR380F1 ESXI Hébergement des sites web 192.168.4.201 Oui Script / agent hebdomadaire Système + Donnée Bonde SAADALLAH Mohamed


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 67/84


10 HP bibliothèque virtuelle 192.168.4.44 Oui Script / agent hebdomadaire Système + Donnée Bonde SAADALLAH Mohamed 11 SUN V445 bibliothèque virtuelle 192.168.1.12 Oui Script / agent hebdomadaire Système + Donnée Bonde SAADALLAH Mohamed 12 SUN V440 Oui Script / agent hebdomadaire Système + Donnée Bonde SAADALLAH Mohamed 13 HP xw4100 Portail de la bibliothèque

virtuelle 192.168.1.13 Oui Script / agent hebdomadaire Système + Donnée Bonde SAADALLAH

Mohamed

14

Dell optilex 4100 Console d’administration du Firewall

192.168.1.254

Non Agent stonesoft quotidien Donnée

(configuration du firewall)

CD + Disque externe

Zied laagab


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 68/84


G. Procédure de Sécurité Physique et environnementale:

1. Objectif

Cette procédure de sécurité doit empêcher tout accès physique non autorisé, tout dommage ou intrusion dans les locaux ou portant sur les informations de l’IRESA. Cette procédure de sécurité doit être régulièrement revue et est vérifiée au minimum une fois par an.

2. Domaine d'application

Cette procédure de sécurité s'applique à :

• Tous les employés de l’IRESA. • Toute autre société tierce, et prestataires de services qui accéderont aux locaux de l’IRESA.

3. Responsabilités

La Direction des Services Communs de l’IRESA, ainsi que tout le personnel IT et personnel opérationnel de l’IRESA sont responsables de l’application et du respect de ces lignes directrices. Les responsables des zones de sécurité sont responsables de l'application de la présente politique de sécurité.

4. Zone de sécurité

L'objectif principal de cette politique est la prévention des accès non autorisés, des dommages et perturbations des bureaux et altération des informations. Il est important de:

• Définir les limites des zones de sécurité afin de protéger les données sensibles, • Etablir des règles pour une politique du bureau dégagé et de l'écran ‘propre’.

4.1 Frontière des zones de sécurité

Faire une analyse de risque afin de vérifier la robustesse des murs et des portes des locaux sensibles de l’IRESA. L'usage des badges de sécurité est obligatoire pour toutes les employées de l’IRESA, ainsi que les visiteurs. Minimum requis:

• Les limites des zones devraient être clairement définies.

4.2 Contrôle d'accès physique

Les zones de sécurité doivent être protégées par des mesures appropriées afin d'assurer qu'uniquement les personnes autorisées y accèdent. Les procédures et mesures suivantes doivent être appliquées.

• Les visiteurs doivent être surveillés ou contrôlés. La date et l'heure d'entrée et de sortie doivent être enregistrées. L'accès n'est permis qu'aux personnes autorisées. En cas d'urgence, ces personnes externes devraient être munies d'instruction de sécurité qui leur permettrons de quitter les lieux de manière sûre le cas échéant.

• L'accès aux informations ou équipement de traitements sensibles devrait être permis qu'aux personnes autorisées. Des mesures d'identification, tel que des cartes magnétiques et un numéro


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 69/84


d'identité personnel doivent être utilisées afin de vérifier et de confirmer le cas échéant les droits d'accès. Les tentatives d'accès doivent être enregistrées et évaluées.

• Tous les employés doivent porter leur carte d'identification et questionner toute personne étrangère qui ne porte pas de carte d'identification.

• Les droits d'accès doivent être vérifiés et mis à jour de manière systématique.

Contrôle d’accès physique des tiers: • Tous les prestataires externes et tiers doivent signer un accord de confidentialité et de respect de

la propriété intellectuelle durant leur travail et contrat au sein de l’organisme. • Tous les prestataires externes et tiers doivent veiller à la protection des actifs de l’organisme,

pendant et après leur contrat. • Tous les Fournisseurs externes de l’organisme doivent consentir à suivre ses politiques de la

Sécurité physique et de l’environnement de l’organisme. Les chartes utilisateurs et autres accords de confidentialité doivent être délivrées à tout fournisseur avant la fourniture des services d’accès.

4.3 Sécurisation des bureaux et locaux de l'infrastructure IT Les zones de sécurité peuvent être un bureau fermé à clef, tout comme une zone protégée par une barrière ou par exemple un coffre fort. Le choix des locaux de sécurité doit prendre en considération les risques d'inondation, d'incendie, d'explosion, de révolte et de toute autre formes de désastre naturel ou du à l'être humain. Les lignes directrices et normes pour la sécurité au travail doivent être respectées.

Les mesures suivantes doivent être prises en considération.

Exigences minimales: • Les locaux susceptibles de contenir des équipements sensibles et importants doivent être sélectionnés de manière à éviter les vas et viens excessifs.

4.4 Travailler dans des zones de sécurité Des améliorations sont toujours proposées par l'ensemble du personnel de l’IRESA afin de se prévenir contre les nouveaux risques de la sécurité physique et environnementale.

5. Vidéosurveillance Un système de vidéosurveillance existe au sein de l’IRESA. Les enregistrements générés doivent être conforme avec la législation en vigueur. 6. Sécurité du câblage et alimentation électrique - Tous les services généraux tel que l’électricité, l’alimentation en eau, les lignes de télécommunications, etc., doivent être correctement dimensionnés et protégés d'interception, d’accès non autorisé ou dégât. - Les systèmes de climatisation, les onduleurs, et les systèmes de détection et de sécurité Incendie sont exigés pour être installés dans tous les centres de traitement de données (les salles serveurs). Les alarmes doivent être également installées. - Le générateur de secours doit être employé en cas de coupure de courant prolongé. - Les câbles électriques et de télécommunications doivent être convenablement protégés contre toute interception ou endommagement. 7. Sécurité du matériel - Le matériel et équipement devraient être protégés des menaces physiques et environnementales.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 70/84


- Le matériel et équipement devraient être protégés des pannes de courant et autres anomalies. Un système de protection contre les surtensions (onduleurs) devrait être utilisé, conformément aux spécifications des fournisseurs de matériel. - Tout matériel ou équipement doit être toujours protégé convenablement - surtout quand il est laissé sans surveillance. - Les équipements et dispositifs de stockage qui contiennent des informations sensibles et qui sont jugés non exploitables devrait être physiquement détruits (voir la procédure mise en rebut des supports informationnels). - Un Inventaire formel de tout le matériel et logiciel sera maintenu et sera régulièrement mis à jour (voir registre des actifs « IRESA »). - DEPLACEMENT DE MATERIEL : Seul le personnel autorisé est permis de prendre le matériel qui appartient à l’IRESA en dehors de ces locaux et il est responsable de sa sécurité lors de son déplacement. Le Matériel sorti par les contractants et les tiers doit être vérifié et autorisé par la Direction des Systèmes d’Information (DSI) (voir la procédure de sortie des biens). - STOCKAGE DU MATÉRIEL : Le matériel sensible ou précieux (bandes de sauvegarde) doit être stocké délicatement, conformément à sa situation de la classification de l'information (coffre fort ignifuge). - MAINTENANCE DU MATÉRIEL : Tout le matériel à l’IRESA, doit être supporté par des opérations de maintenance appropriées effectuées par des personnes qualifiés internes ou externes gérer par des contrats de maintenance (voir le registres de maintenance des actifs de l’IRESA. 8. Document de référence [ISP]Politique générale de la sécurité de l'information –

9. Non-conformité

Toute déviation de cette Politique et qui n’est pas formellement autorisée par le Groupe de sécurité de l’IRESA, est considérée comme une violation et non conformité qui peuvent engendrer des sanctions disciplinaires.

10. Responsabilités

L’RSSI est le Comité de sécurité de l’IRESA sont responsables de la révision et du processus de la révision de ce document. 11. Propriétaire du document

La version finale et officielle de ce document sera toujours disponible auprès du Responsable de la Sécurité des Systèmes d’information de l’IRESA.


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 71/84


H. Convention pour l’administration du réseau et l'hébergement des

serveurs

CONVENTION

Pour l’administration du réseau et l'hébergement des serveurs

Entre ………………………………………………………………………………………………………, ci-après désignée sous le vocable ……………….., représentée par son Directeur Général, d'une part

Et, l’Institution de la Recherche et de l’Enseignement Supérieur Agricoles ci-après désignée sous le vocable IRESA, représentée par son président, d'autre part

PREAMBULE

Dans le cadre de ................................................................................................................. ; et l’ IRESA collaboreront ensemble pour la mise en place d’un réseau informatique d’échange de données concernant …………………………………..

Cette collaboration permettra à la ……………de bénéficier d’un environnement technique compétent dans le domaine des nouvelles technologies de l’information et de la communication.

A l'effet de définir les règles de conduite de cette collaboration et les responsabilités de chaque partie,

il a été convenu et arrêté ce qui suit :

Article premier : Le cadre d’action ………………………………………………………………………………………………………………

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Article 2: Objet de la convention

La présente convention a pour objet de déterminer les règles que doivent respecter les personnes et/ou structures intervenantes dans l’administration et l’exploitation du ……………………………………………………………………………………………………….

Cette convention définit et précise : • Les engagements de l’IRESA,


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 72/84


• Les engagements de ……………………………………., • La validité de cette convention.

Article 3 : Les engagements de l’IRESA

L’IRESA s’engage à fournir à ……………………… un ensemble de services, dans la limite des moyens qui lui sont fournis, permettant le bon fonctionnement du ……………………………………………………………………………..

Les services couverts par cette convention comprennent :

• une liaison avec un débit convenable des équipements de ……………. au réseau Internet, • l’hébergement des serveurs dans une zone sécurisée contrôlée par un firewall et l'affectation d'une

adresse IP privée, la translation d'adresse sera assurée par l'infrastructure réseau de l'IRESA. • le filtrage du flux de données vers le serveur (filtrage de protocoles) - la liste de protocoles à filtrer sera

fournie par la ……………………………….-. • la sécurité physique, • la mise en réseaux des utilisateurs du système, • la surveillance réseau des serveurs et la mise en place d'une politique de sécurité par le firewall de

l'IRESA. • le support technique de tous les utilisateurs du …………………………………………., • la désignation d'un interlocuteur unique qui sera présent lors de toute intervention dans la salle réseau de

l'IRESA. La responsabilité de l’IRESA ne sera pas engagée dans les cas ci-après :

• défaillance du système en dehors des horaires administratifs, • détérioration de l'application par le fait des utilisateurs et/ou non respect des conseils donnés, • mauvaise utilisation des équipements par les utilisateurs du ………………………….., • destruction partielle ou totale des informations transmises ou stockées à la suite d'erreurs imputables

directement ou indirectement aux utilisateurs du …………………………., • utilisation illicite ou frauduleuse des accès mis à la disposition des utilisateurs du ……………………………….., • défaillance des opérateurs des réseaux de télécommunication.

Article 4 : Les engagements de ……………………………………

…………………….. s'engage à:

• être responsable du contenu de ses équipements, • notifier toute demande d'accès à la salle réseau, • administrer ses serveurs, elle a l'accès « Administrateur » à ses serveurs installés dans la salle réseau de l’IRESA. L'administration à distance doit se faire par des sessions cryptées, la station d'administration doit être dédiée, identifiée et préalablement contrôlée par l'IRESA. …………………. est seul administrateur de ses serveurs, à ce titre, elle est responsable de l'installation, modification ou configuration de toute application installée par ses soins sur les équipements, ainsi que de l'administration software de ces derniers (installation, configuration, exploitation, etc.). Elle peut :

* créer ou supprimer les utilisateurs, * modifier ses mots de passe et déterminer par avance la durée de vie des mots de passe,


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 73/84


• désigner un administrateur des serveurs qui seront hébergés à l'IRESA, • informer l'IRESA pour toute délégation de ses propres droits d'administrateur.

L'application doit permettre d'obtenir la trace d'accès des utilisateurs aux serveurs, un rapport d'activité mensuel sera visé par les deux parties contractantes.

Les mises à jour système, patchs et correctifs du système d'exploitation des serveurs et de l'application sont sous la seule responsabilité de ………………...

Article 5 : Les équipements de ……………………………

Tout équipement de ………………… livré à l'IRESA dans le cadre de ce projet fera l’objet d’un PV de réception qui sera annexé à cette convention.

Article 6: Confidentialité des données

Pendant la durée de la convention et après son expiration chacune des parties devra considérer comme confidentiels, les informations, documents, systèmes, savoir-faire et données en provenance de l'autre partie dont il pourrait avoir eu connaissance à l'occasion de l'exécution de la convention, et ne devra les divulguer à quelques tiers que ce soit, ni les utiliser en dehors des besoins de la convention.

Les données contenues dans les équipements du …………………. sont strictement confidentielles. En cas de la mise en consultation de ces données par différents procédés tel que un site Web, les parties

doivent respecter les textes juridiques en vigueur en la matière et notamment la loi relative à la protection des données à caractère personnel (Loi organique n° 2004-63 du 27 juillet 2004).

Article 7: Propriétés des données et des résultats

Les données sont la propriété de ………………, elles doivent être sauvegardées périodiquement par l'administrateur système de ………………… et stockées sur un site distant. Pour assurer la redondance des sauvegardes, l'IRESA gardera une copie des sauvegardes effectuées. Le planning des sauvegardes (dates et horaires) doit être communiqué à l'IRESA mensuellement et doit respecter les horaires administratifs.

Article 8: Modification

Toute modification des termes de la présente convention est établie par un avenant signé par les deux parties.

Article 9 : Validité de cette convention

Cette convention prend effet après sa signature par les deux parties et ne devient exécutoire qu'après son approbation par le Ministre de l'Agriculture et ……………………………… et prendra fin au jour de l’achèvement de l’expérience pilote qui durera ……………………….

Le Directeur Général de …………………………………………….

Date:

Le Président de l’Institution de la Recherche et de l’Enseignement Supérieur Agricoles

Date:


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 74/84


I. Convention Pour l'hébergement d’un site Web

CONVENTION

Pour l'hébergement d’un site Web

Entre ………………………………………………………………………………., ci-après désignée sous le vocable ......................, représentée par son Directeur Général, d'une part,

Et, l’Institution de la Recherche et de l’Enseignement Supérieur Agricoles ci-après désignée sous le vocable IRESA, représentée par son président, d'autre part.

PREAMBULE

L’ IRESA met à disposition de la ...................... un service d’hébergement de site Web et une (01) adresse de messagerie électronique pour le support et l’administration du site web.

A l'effet de définir les règles de conduite de ces services et les responsabilités de chaque partie, Il a été convenu et arrêté ce qui suit.

Article premier: Objet de la convention :

La présente convention a pour objet de déterminer les règles que doivent respecter les personnes et/ou structures intervenantes dans l’administration et l’exploitation du site web.

Cette convention définit et précise : • Les engagements de l’IRESA • Les engagements de l’...................... • La validité de cette convention

Article 2 : Les engagements de l’IRESA :

L’IRESA s’engage à fournir à l’...................... un ensemble de services, dans la limite des moyens qui lui sont fournis, permettant le bon fonctionnement du site web.

Les services couverts par cette convention comprennent : - La mise à disposition d’une plate-forme informatique matérielle et logicielle permettant

l’hébergement du site Web, - Une liaison avec un débit convenable des équipements hébergeant le site web au réseau Internet,


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 75/84


- La désignation d'un interlocuteur unique, La désignation de cette personne sera précisée dans les Conditions Particulières,

- La sécurité physique. La responsabilité de l’IRESA ne sera pas engagée dans les cas ci-après : - Détérioration du site WEB par le fait des utilisateurs et/ou non respect des conseils données, - Mauvaise utilisation des informations transmises ou stockées à la suite d’erreurs imputables

directement ou indirectement aux utilisateurs du système, - Utilisation illicite ou frauduleuse des accès mis à la disposition des utilisateurs du système, - Défaillance du système hors les horaires administratifs, - Utilisation illicite ou frauduleuse des accès mis à la disposition des utilisateurs, - Défaillance des opérateurs des réseaux de télécommunication.

Article 3 : Les engagements de l’...................... :

L’...................... s'engage à: - Etre responsable du contenu, de la forme, de la programmation et du développement du site Web à

héberger. Les pages Web ne doivent, en aucun cas, contenir des informations contrevenant à la législation tunisienne ou à caractères pornographiques, violents ou obscènes. Les dispositions de la présente convention ne sauraient dispenser l’...................... de toutes autres obligations prévues par la législation et la réglementation en vigueur. - Notifier toute demande d'accès à la salle réseau, - Administrer son serveur, il a l'accès «Administrateur» au répertoire spécifique de son site WEB.

L'administration à distance doit se faire par des sessions cryptées. Il peut :

- Désigner un administrateur du serveur WEB qui sera hébergé à l'IRESA. L’administrateur sera l’interlocuteur qui le représentera auprès de l’IRESA. La désignation de cette personne sera précisée dans les conditions particulières

– Informer l'IRESA pour toute délégation de ses propres droits d'administrateur. L'application doit permettre d'obtenir la trace d'accès des utilisateurs au serveur, un rapport d'activité

mensuel sera visé par les deux parties contractantes.

Article 4 : Les équipements de l’...................... :

Tout équipement livré à l'IRESA dans le cadre de cette convention fera l’objet d’un Procès Verbal de réception qui sera annexé à cette convention.

Article 5: Homologation du contenu du site web :

L’IRESA n’accepte d’héberger que les sites Web accompagnés d’un certificat d’homologation du contenu, délivré par les autorités tunisiennes compétentes en la matière.

Tout changement du contenu des pages du serveur doit obligatoirement être homologué par les mêmes autorités.

Article 6: Confidentialité des données :


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 76/84


Pendant la durée de la convention et après son expiration chacune des parties devra considérer comme confidentiels, les informations, documents, systèmes, savoir-faire et données en provenance de l'autre partie dont il pourrait avoir eu connaissance à l'occasion de l'exécution de la convention, et ne devra les divulguer à quelques tiers que ce soit, ni les utiliser en dehors des besoins de la convention.

Article 7: Propriété des données :

Les données sont la propriété de l’......................, elles doivent être sauvegardées périodiquement par l'administrateur système du site web et stockées sur un site distant.

Article 8: Modification :

Toute modification des termes de la présente convention est établie par un avenant signé par les deux parties.

Article 9 : Validité de cette convention :

Cette convention prend effet après sa signature par les deux parties et sera valable une année renouvelable par tacite reconduction.

Le Président de l’Institution de la Recherche et de l’Enseignement Supérieur Agricoles

Date:

Le Directeur Général de l’.......................

Date:


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 77/84


CONDITIONS PARTICULIERES

Le Représentant de l’...................... : ………………………………………………………………………………………

Le Représentant de l’IRESA : …………………………….….………………………………………………………… ...................... IRESA


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 78/84


J. DEMANDE D’OUVERTURE D’UN COMPTE M@IL INTERNET :


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 79/84



Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 80/84



Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 81/84


K. FORMULAIRE DES MISES À JOUR DES SITES WEB

FORMULAIRE DES MISES À JOUR DES SITES WEB

OBJET : Informer les responsables de l’IRESA des éventuelles mises à jour d’un site web hébergé au niveau de la plateforme d’hébergement de l’IRESA.

INFORMATIONS DE L’INSTITUTION

UNIVERSITE/DIRECTION : URL Site : Tél : Fax :

INFORMATIONS CONCERNONS LE DEVELOPPEUR DU SITE

Non : Prénom : E-mail tél Fax :

INFORMATIONS CONCERNONS LE RESPONSABLE DU CONTENU


INFORMATIONS CONCERNONS RESPONSABLE DE LA MISE A JOUR


INFORMATIONS CONCERNONS LA MACHINE SOURCE DE LA MISE A JOUR

Adresse IP de la machine source de la mise à jour ACCORD

l’IRESA n’est pas responsable du contenu de la mise à jour. L’institution, doit informer l’IRESA avant et après la mise à jour, dans le cas contraire, l’IRESA n’est pas

responsable de la perte de la dernière version valide. La mise à jour doit se faire à partir d’un poste de l’institution pour lequel l’adresse IP est connue. L’adresse e-mail [email protected] est mise à disposition de l’institution pour toute question,

information ou réclamation d’un problème concernent l’hébergement de son site web.

ACCORD DE L’ORGANISME

Université : Signature et Cachet

(Doyen/Directeur de l’institution ou du département)

Date - - / - - / - - - -

Institution : Département : Intitulée : Non du responsable :

CASE RESERVE A L’IRESA

VISA DU PRESIDENT DIRECTEUR GENERAL

Le - - / - - / - - - -

RESPONSABLE TECHNIQUE Non : ………………………………………………………………

Le - - / - - / - - - -


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 82/84


L. Règlement de l’utilisation du réseau AGRINET

Règlement de l’utilisation du réseau

AGRINET 1. La présente Charte déontologique définit les règles d’usage qui s’imposent à tout utilisateur

e Réseau National de l'Enseignement et de la Recherche Agricole - nommé ci-après AGRINET dont la gestion revient à l’Institution de la Recherche et de l'Enseignement Supérieur Agricoles (IRESA) Fournisseur de Services Internet.

2. AGRINET est un réseau qui, par nature, recèle des risques dont le signataire est informé. Il

est utilisé sous la responsabilité du signataire. 3. Le signataire, au nom des utilisateurs de son/ses site(s) ayant accès à AGRINET, s’engage à

veiller à se conformer à la présente charte et plus précisément à :

− une utilisation à des fins strictement professionnelles conforme à la finalité du réseau AGRINET: enseignement, recherche, développements techniques, transfert de technologies, diffusion d’informations scientifiques, techniques et culturelles, expérimentations de nouveaux services présentant un caractère d’innovation technique. Les activités d'administration et de gestion des établissements d'enseignement, de recherche ou de développement sont assimilées à la recherche ou à l'enseignement.

− une utilisation rationnelle des ressources d’AGRINET de manière à éviter toute consommation abusive de ces ressources en limitant l'utilisation d'applications consommatrices de ressources de réseau (chat, diffusion de vidéo/son …).

− une utilisation loyale des ressources du réseau AGRINET en prévenant et s’abstenant de toute utilisation malveillante destinée à perturber ou porter atteinte au réseau AGRINET.

− une utilisation des ressources et services du réseau AGRINET limitée à la communauté de l’enseignement supérieur: enseignants, chercheurs, développeurs, étudiants et administratifs. Ne pas donner accès, à titre commercial ou non, rémunéré ou non, au réseau AGRINET à des tiers non autorisés sans l’accord préalable de l’IRESA.

− Une licité des données véhiculées et mises à disposition sur le réseau AGRINET et ce, au regard des lois qui leur sont applicables notamment le décret n°97/501 du 14


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 83/84


Mars 1997 relatif à l’usage de l’Internet à des fins professionnelles et aux mesures générales émises et actualisées par l’ATI (Agence Tunisienne d’Internet).

− une mise en œuvre des ressources techniques et humaines requises pour assurer la bonne gestion du réseau interne de l’institution et un niveau permanent de sécurité conforme à l’état de l’art, aux règles en vigueur dans ce domaine et aux recommandations de l’IRESA et ce pour prévenir les agressions éventuelles à partir ou par l'intermédiaire de son/ses Sites.

4. Le signataire de la charte est informé et accepte expressément que l’IRESA procède à des contrôles permanents de la bonne utilisation de AGRINET et qu’en cas de manquement de l'utilisateur à ses obligations et ses responsabilités telles qu’énoncées ci-dessus ou, le cas échéant, à la demande des autorités, l’IRESA puisse suspendre l’accès de son/ses site(s) au réseau.

5. Le signataire de la présente charte accepte que l’IRESA prenne des mesures d'urgence, y inclus la décision de limiter ou d’interrompre temporairement pour son/ses site(s) l’accès à AGRINET pour préserver la sécurité en cas d’incident dont l’IRESA aurait connaissance. Ces mesures seront toutefois :

− Accompagnées dans les meilleurs délais d'un dialogue avec le correspondant de la Gestion et de la Sécurité du ou des Site(s) concerné(s) ;

− Et ne pourront être mises en œuvre que dans le cadre d'une procédure approuvée par les responsables sécurité de l’IRESA et sous réserve de leur faisabilité technique et juridique ;

6. Le signataire de la présente charte est informé et accepte que l’IRESA puisse à tout moment modifier la présente Charte notamment pour tenir compte des évolutions législatives qui peuvent intervenir dans ce domaine; les modifications lui seront notifiées périodiquement.

7. Le signataire de la présente charte, représentant du ou des site(s)

Identification du et des site(s) : Adresse :

reconnaît avoir pris connaissance de la présente Charte déontologique de l’IRESA et de ses annexes et s’engage à la respecter et à la faire respecter par tous les utilisateurs relevant de son/ses site(s) et raccordés à AGRINET et désigne comme Correspondant technique de la gestion du réseau local et de la sécurité :

Nom, Prénom : Adresse Electronique : Téléphone : Télécopie : Le Signataire : Nom, Prénom : Titre : Adresse électronique : Date : Téléphone : Télécopie : Lu et approuvé

L’IRESA


Procédure

Réf : 1.0.1 Rev. : 1.0.1 Page : 84/84


M. Lite des manuels IT de l’IRESA

Manuels IT Pour les Principales Plateformes & Serve urs

N° Rôle Manuel

Existant

Système

d’exploitation Manuel à élaborer

Responsables de mise en

œuvre

Date prévue de la

remise du document

1 Plateforme hébergement Oui Ubuntu 10 server - - -

2

Plateforme messagerie

(Zimbra) Oui Ubuntu 10 server - - -

3

Console administration du

Firewall Oui Win XP - - -

4

Application WEB

(formation à distance) Oui Win server 2003 - - -

5 Infrastructure AD Non Win server 2003 M01.doc Zied LAAGAB Mai 2012

6 Infrastructure Antivirus Non Win server 2003 M02.doc Zied LAAGAB Mai 2012

7 Bibliothèque virtuelle (Birsa) Non Win 2000 server M03.doc Mohamed SAADALLAH Mai 2012

Liste des Manuels IT des principaux équipements act ifs et de sécurité

Nom de l’équipement

Manuel

Existant Fonction

Manuel à élaborer Responsables de mise en œuvre

Date prévue de la remise du document

1 Switch Fédérateur et Switch

d’accès

Non Switch Fédérateur et

d’accès

MA04.doc Zied LAAGAB ;

Moez BEN BRAHEM

Mai 2012

2 Routeurs d’accès distant Non Routeurs

d’interconnexion MA05.doc

Zied LAAGAB ;

Moez BEN BRAHEM

Mai 2012

3 Firewalls IDS/IPS) Stonegate Oui - - - -

Manuel de la Politique de sécurité IRESA vs finale

Documents

Transcript of Manuel de la Politique de sécurité IRESA vs finale