Charte de sécurité des Administrateurs Informatiques

Transcription

Direction des Ressources Humaines et des
Relations Sociales
Direction Sécurité des Systèmes
d'Information
Destinataires
DIFFUSION NATIONALE
Tous services
Contact
P. Langrand et F. Gratiolet
Tél : 01 55 44 28 57 et 01 55 44 28 58
Fax : 01 55 44 29 35
E-mail : [email protected]
Date de validité
A partir du
11/07/2008
Charte de sécurité des Administrateurs
Informatiques
OBJET :
Circulaire du 11 juillet 2008.
Politique de sécurité des SI du groupe La Poste : Charte de sécurité des
Administrateurs Informatiques.
Georges LEFEBVRE
Références : CORP-DRHRS-2008-0138 du 26 août 2008
Domaine : PILOTAGE ET MANAGEMENT
Rubrique : Organisation entité
Sous Rubrique : Fonctionnement
Diffusion interne
1/9
Sommaire
Page
1.
L’ADMINISTRATEUR INFORMATIQUE
3
2.
LES DROITS DE L’ADMINISTRATEUR INFORMATIQUE
3
3.
LES DEVOIRS DE L’ADMINISTRATEUR INFORMATIQUE
4
4.
RESPECT DE LA LEGISLATION ET DE LA PRESENTE CHARTE
6
5.
STATUT DE LA CHARTE
6
ANNEXE 1 : ENGAGEMENT PERSONNEL DE L’AGENT
8
ANNEXE 2 : ENGAGEMENT DU RESPONSABLE HIERARCHIQUE
9
Diffusion interne
2/9
1. L’ADMINISTRATEUR INFORMATIQUE
La présente charte s’adresse à tout agent de La Poste, fonctionnaire, contractuel de
droit public ou salarié titulaire ou stagiaire, ainsi que tout intérimaire, consultant ou
prestataire.
Au sens utilisé dans le présent document, le terme « Administrateur Informatique »
désigne tout agent quelle que soit sa Fonction, qui a pour rôle et missions d’assurer
le bon fonctionnement et la sécurité des ressources des Systèmes d’Information
(SI) de La Poste placées sous sa responsabilité (tels que les serveurs, les
équipements réseaux, les équipements de sécurité, les applications, les bases de
données, les postes de travail utilisateurs, etc.), au titre de son activité
professionnelle, dans le cadre de ses droits d’accès privilégiés aux outils
bureautiques ou aux réseaux.
Afin de conduire les actions quotidiennes d’administration et d’exploitation
informatique afférentes à sa mission (configuration, supervision, maintenance,
évolution, support, etc.), l’Administrateur Informatique est doté de droits d’accès
privilégiés sur les ressources des SI sous sa responsabilité.
Les risques associés à ces droits d’accès privilégiés peuvent être :
1 l’accès à des informations dont il n'est pas destinataire, certaines étant
confidentielles (bases de données, documents sur les postes de travail
utilisateurs, etc.) ou à caractère personnel (courriels, fichiers personnels des
utilisateurs, etc.) ou encore relatives aux activités des utilisateurs (telles que par
exemple, les caractéristiques d’utilisation de la messagerie électronique de La
Poste et de l’Internet, les données de connexion aux ressources des Systèmes
d’Information, etc.) ;
2 la réalisation des actions potentiellement dangereuses pour la sécurité des
Systèmes d’Information : modification ou contournement de mécanismes de
protection, création ou modification de comptes utilisateurs, destruction ou
modification de fichiers, etc.
Ainsi, l’Administrateur Informatique a un rôle de confiance, sa démarche doit être
impartiale et son action ne doit pas découler d'une action personnelle. Aussi il
convient de fixer les règles de déontologie qu’il s'engage à respecter.
La présente charte a pour objectif de préciser les droits et devoirs de
l’Administrateur Informatique dans l’exercice de sa fonction ou de son activité
professionnelle.
2. LES DROITS DE L’ADMINISTRATEUR INFORMATIQUE
En application des consignes formelles qui lui ont été transmises et dans le cadre
des procédures préalablement définies, l’Administrateur peut prendre toute
disposition nécessaire afin d’assurer le bon fonctionnement et la sécurité des
composants des Systèmes d’Information dans son périmètre de responsabilité tel
que défini dans sa fiche de poste.
Diffusion interne
3/9
En particulier, il peut :
isoler, arrêter avec l’autorisation préalable de la Maîtrise d’Ouvrage ou
reconfigurer des comptes utilisateurs, équipements ou applications
informatiques pouvant compromettre la sécurité d’ensemble des Systèmes
d’Information.
procéder à des vérifications techniques sur les fichiers et bases de données, la
messagerie, les connexions à Internet, les fichiers de journalisation, etc., afin
de déceler toute anomalie ou incident de sécurité qui pourrait porter atteinte
au bon fonctionnement et à la sécurité des Systèmes d’Information
conformément aux dispositions de la « Charte relative à l’accès et à
l’utilisation des ressources des Systèmes d’Information de La Poste ».
traiter
(détection, analyse, éradication, filtrage, etc.) tout flux
informatique présentant des risques de sécurité (par exemple : virus,
intrusion, utilisation d’un logiciel interdit, etc.). Il appartient à
l'Administrateur de faire remonter à son supérieur hiérarchique, des
informations relatives à la sécurité, sous forme de statistiques régulières ou de
signalisation ponctuelle. Sur la base de ces données statistiques,
l'Administrateur peut alerter son supérieur hiérarchique, quant à toute
utilisation des Ressources Informatiques par tout utilisateur, non-conforme à
la Charte Informatique.
Les limites de l'intervention de l’Administrateur Informatique sont fixées de
manière générale par la règlementation en vigueur, par la présente Charte et par la
fiche de poste et/ou le contrat de travail de l’agent qui définit ses missions et fait
apparaître la clause de confidentialité à laquelle il est tenu. Il ne peut être contraint à
enfreindre la loi.
3. LES DEVOIRS DE L’ADMINISTRATEUR INFORMATIQUE
L’Administrateur est soumis à une obligation de confidentialité et de non
divulgation liée à ses activités, et dans ce cadre :
il ne prend connaissance des informations des Systèmes d’Information ou
n’y donne accès que dans le cadre de ses fonctions et/ou sur demande
explicite du (ou des) donneur d’ordre / Maîtrise d’Ouvrage, dans le cadre de
procédures formalisées ou dans les cas particuliers prévus par la loi.
il ne prend pas connaissance de données personnelles d’utilisateurs, sauf,
ponctuellement, sur demande formelle de l’utilisateur lui-même, et n’autorise
quiconque à y accéder, sauf cas particuliers prévus par la loi (par exemple,
enquête judiciaire) ou habilitations formelles et légitimes préalablement
déclarées.
Diffusion interne
4/9
il respecte ses engagements de confidentialité et de non divulgation. Il ne
fait pas état et n’utilise pas les informations qu’il peut être amené à connaître
dans le cadre de ses fonctions.
il ne se connecte pas à une ressource du SI sans autorisation explicite de la
personne à qui elle est attribuée, notamment dans le cas de l’utilisation d’un
logiciel de prise de main à distance sur un poste de travail utilisateur.
Par ailleurs :
il documente ses actions et interventions de telle sorte que La Poste ne soit
pas dans un état de dépendance lors de son départ.
il collabore et coopère avec le Correspondant Informatique et Libertés
(CIL).
De plus, l’Administrateur observe strictement les règles de sécurité et les limites
fixées à ses interventions :
il n’abuse pas de ses privilèges, et limite ses actions aux ressources
informatiques dont il a la charge, dans le respect de la finalité de sa
mission. En particulier, il ne modifie les configurations et les droits d’accès
que dans le respect de procédures d’administration ou d’exploitation définies.
il ne prend pas ses consignes d’une personne non identifiée et fait remonter
auprès de son responsable hiérarchique toute requête lui paraissant
inappropriée.
il ne contourne pas les procédures de sécurité établies, et en particulier ne
désactive pas de sa propre initiative les mécanismes de traçabilité, et ne porte
pas atteinte à l’intégrité des fichiers de journalisation.
dans le cadre de la conduite de sa mission et vis-à-vis des ressources à sa
charge (serveurs, bases de données, postes de travail utilisateurs, etc.), il
n’utilise que des logiciels faisant partie des standards approuvés par La
Poste. Toute installation de logiciel ne faisant pas partie de ces standards doit
faire l’objet d’une autorisation préalable et explicite du responsable
hiérarchique.
Dans le cas où un incident de sécurité se produit :
il informe son responsable hiérarchique - et selon le cas, le Responsable de la
Sécurité des Systèmes d’Information de son entité - de toute faille ou incident
de sécurité qu’il pourrait découvrir ou dont il pourrait avoir connaissance.
il préserve, conserve et sauvegarde les « traces » nécessaires à la résolution
de l’incident et à toute investigation ultérieure, y compris judiciaire, dans des
conditions permettant de garantir la valeur probante des « traces ».
Enfin, l’Administrateur s’assure de la protection des droits d’accès liés à sa
fonction :
il observe les règles de sécurité en vigueur visant à protéger l'utilisation des
comptes et des privilèges qui lui ont été attribués. Il veille notamment à la
protection des postes de travail à partir desquels il exerce ses fonctions et à la
gestion des identifiants et authentifiants des comptes privilégiés. En
particulier, les mots de passe utilisés pour les opérations d’administration

Diffusion interne
5/9

doivent être robustes et changés régulièrement, conformément à la Politique
de Sécurité des SI du Groupe. Il est rappelé que les droits confiés à un
administrateur (et par conséquent les couples identifiants/authentifiants
associés) sont personnels et incessibles.
il n’utilise les comptes privilégiés que pour les activités et besoins directement
liés aux tâches d’administration ou d’exploitation dont il a la charge, étant
donné que toute action sur les Systèmes d’Information peut faire l’objet d’une
journalisation permettant leur imputabilité.
4. RESPECT DE LA LEGISLATION ET DE LA PRESENTE CHARTE
L’Administrateur Informatique s’engage à respecter en toutes circonstances la
législation en vigueur et les règles de la présente charte.
En cas de non-respect de la législation en vigueur et des dispositions de la présente
charte, l’Administrateur Informatique sera tenu responsable de ses actes et pourra
encourir les sanctions prévues dans le Règlement Intérieur de La Poste ainsi que
toute autre sanction civile ou pénale prévue par la loi.
5. STATUT DE LA CHARTE
La présente charte constitue une annexe du règlement intérieur de La Poste.
Le Comité Technique Paritaire (CTP) en a examiné les dispositions lors de sa séance
du 10 Juillet 2008.
Elle fait l'objet d'une communication, ainsi que le Règlement Intérieur auquel elle est
annexée, à l'Inspecteur du Travail et, d’un dépôt auprès du Secrétariat Greffe du
Conseil des Prud'hommes.
Sa date d'entrée en vigueur est fixée au 11 Juillet 2008.
Chaque utilisateur sera invité à prendre connaissance de la charte qui sera librement
consultable sur l’intranet de La Poste.
Le non-respect de la charte est susceptible d'engager la responsabilité professionnelle
de l’utilisateur et peut aboutir à des sanctions disciplinaires définies par le règlement
intérieur.
Par ailleurs, l’utilisateur engage pleinement sa responsabilité en cas d’infraction ou
de complicité à la législation ou à la réglementation en vigueur.
Les principales dispositions légales en vigueur prévues par la législation française
dans le domaine de la sécurité des Systèmes d’Information sont notamment les
suivantes :
la loi n° 78-17 du 06/01/78 dite « informatique et liberté », modifiée par la loi
n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à
l'égard des traitements de données à caractère personnel.

la législation relative à la fraude informatique (articles 323-1à 323-7 du Code
pénal).

la législation relative à la propriété intellectuelle.
Diffusion interne
6/9

la loi du 04/08/94 relative à l’emploi de la langue française.

la législation applicable en matière de cryptologie.
la législation en matière de transmission d'informations à caractère violent,
pornographique ou de nature à porter gravement atteinte à la dignité humaine
et la diffusion de contenus illicites à caractère injurieux, diffamatoire, raciste,
xénophobe, révisionniste et sexiste (articles 227-23 et 227-24 du Code pénal et
loi du 29 juillet 1881).
Le cadre légal et réglementaire applicable aux S.I. est disponible sur l’intranet de la
Direction des Systèmes d’Information Groupe.

Diffusion interne
7/9
ANNEXE 1 : ENGAGEMENT PERSONNEL DE L’AGENT (1)
Je soussigné, ..................................................................... , dans ma fonction
d'Administrateur, déclare avoir pris connaissance et compris la « Charte à l’usage
des administrateurs informatiques de La Poste » et m'engage à la respecter.
Fait à .................................................... le ...................................
(1) Pour les salariés, rajouter une clause de confidentialité, de non divulgation et de réversibilité sauf
si ces clauses figurent déjà dans le contrat de travail. Pour les fonctionnaires prévoir un document à
signer.
Diffusion interne
8/9
ANNEXE 2 : ENGAGEMENT DU RESPONSABLE HIERARCHIQUE
Je soussigné, .....................................................................
Agissant en tant que responsable hiérarchique de
....................................................................., déclare avoir pris connaissance et
compris la « Charte à l’usage des administrateurs informatiques de La Poste » et
m’engage à en respecter les limites définies.
Fait à .................................................... le ...................................
Diffusion interne
9/9