2 - Services numériques - Université de Strasbourg

LES 10 RÈGLES D’OR
Septembre 2012
Guilhem BORGHESI – Marc HERRMANN
CNRS : LES REGLES ELEMENTAIRES DE SECURITE du POSTE DE TRAVAIL
P. 2
La protection technique du poste de travail
• Sauvegarde systématique et quotidienne des données
• Configuration maîtrisée et mise à jour régulièrement
• Chiffrement des supports de stockage (postes nomades, clés, disques, etc.)
Un comportement avisé de l’utilisateur
• Protection de son poste de travail contre le vol et les accès illégitimes
• Mots de passe robustes et personnels
• Attitude prudente vis-à-vis des supports de données amovibles (clés USB, etc.)
• Utilisation prudente d’Internet (téléchargements, utilisation de services en ligne)
• Attitude prudente vis à vis des messages reçus
• Alerte des responsables techniques et sécurité en cas d’évènement anormal
CERT-OSIRIS
https://aresu.dsi.cnrs.fr/IMG/pdf/CNRS_-_Regles_elementaires_SSI_-_Poste_de_travail.pdf
ANSSI : Les 10 commandements de la sécurité sur l’internet
P. 3
1.
Utiliser des mots de passe de qualité.
2.
Avoir un système d’exploitation et des logiciels à jour : navigateur, antivirus, bureautique, pare-feu personnel, etc.
3.
Effectuer des sauvegardes régulières
4.
Désactiver par défaut les composants ActiveX et JavaScript
5.
Ne pas cliquer trop vite sur des liens
6.
Ne jamais utiliser un compte administrateur pour naviguer
7.
Contrôler la diffusion d’informations personnelles
8.
Ne jamais relayer des canulars
9.
Soyez prudent : l’internet est une rue peuplée d’inconnus !
10. Soyez vigilant avant d’ouvrir des pièces jointes à un courriel : elles colportent souvent des codes malveillants
CERT-OSIRIS
http://www.securite-informatique.gouv.fr/gp_rubrique34.html
I- Dura lex...
...mais lex quand même
II- Antivirus, parefeu et navigateur ...
...mi-anges, mi-démons
III- Messagerie electronique ...
...gestion des déchets
IV- Navigation sauvage...
...des clics et des claques
V- Sauvegarde...
...un jour, elle vous sauvera
VI- Mot de passe...
...+ c’est l o n g , + c’est bon
VII- administrateur vs utilisateur...
...chacun son root, chacun son destin
VIII- Vie privée...
...ne vous en privez pas
IX- Ordinateur infecté...
...les bons réflexes
CERT-OSIRIS
X- Caisse à outils...
...les utilitaires et les indispensables
P. 4
Circulaire Rocard du 17 juillet 1990 :
« Un fonctionnaire auteur ou responsable de reproduction illicite devra seul supporter les
P. 5
condamnations pénales encourues même s'il n'a pas agi dans son intérêt personnel »
1– DURA LEX, MAIS LEX QUAND MÊME
En savoir plus…
Charte CNRS
Charte OSIRIS
THEMES
- propriété intellectuelle
- conservation des données de connexion
- liberté d’expression et responsabilité pénale (injure, diffamation)
- correspondance privée
http://www.cnil.fr/
https://www.internet-signalement.gouv.fr
http://www.signal-spam.fr
Législation
• 2001 : Loi pour la sécurité quotidienne (LSQ), apparition du mot "sécurité" dans les SI
• 2004 : loi pour la confiance dans l'économie numérique (LCEN), apparation du mot
« cybercriminalité »
• 2004 : la CNIL obtient un pouvoir de contrôle, d’enquête et de sanction financière
• 2009 : HADOPI = loi « Création et Internet »
ASR
• droit de tout voir mais PAS TOUCHER avec OBLIGATION de
DENONCER les délits (au procureur de la république)
Vie privée « résiduelle »
• Les fichiers informatisés sont par principe présumés professionnels
SAUF si le caractère « personnel » est clairement identifié
CERT-OSIRIS
Bonnes pratiques
juridiques
P. 6
Triptyque « INFORMATION - CONTROLE – ACTION »
• INFORMER
Emettre des alertes et des mises en garde sur des risques - Diffuser une charte de bonne utilisation des services
informatiques et de l'internet - Informer les utilisateurs de la nature des traces journalisées et archivées
• CONTROLER
activité des systèmes et du réseau (FAI)
Activités des services et leur utilisation : obligation de conservation des preuves
identification des comportements illicites (virus, botnet, P2P…)
• AGIR
L’ASR doit assurer la sécurité système du site = bonnes pratiques SSI
L’ASR peut (en cas de crise ou d'urgence) agir et réagir rapidement pour assurer la continuité du service et dispose du
droit de refuser des demandes qui mettraient le S.I. en danger.
Vie privée résiduelle, principe de base
•« L’employeur ne peut, sans violation du secret des correspondances (liberté fondamentale), prendre connaissance
des messages personnels et ceci même au cas où il aurait interdit l’usage non professionnel de l’ordinateur »
Présomption « professionnel » - Marquer les mails et les dossiers « privé » ou « personnel »
Site web
• Site web : intégrer la notice légale
• Directeur de la publication (direction du labo) : approuve le contenu (et donc en répond)
• Hébergeur (ASR) : pas d'obligation générale de surveillance, mais obligation spéciale de surveillance (point de la
négligence fautive).
ASR tenus au secret professionnel, mais avec obligation de dénoncer des actes délictueux tel les contenus illicites
CERT-OSIRIS
(diffamatoire, pédopornographie, délits, crimes…)
P. 7
2- ANTIVIRUS, PAREFEU, NAVIGATEUR : MI-ANGES-MI-DEMON
En savoir plus… les outils parefeu et antivirus personnels
Comodo : firewall + antivirus (mars 2012)
Antivirus AVAST 7.0 (aout 2012)
Scanners en ligne
Fichier : http://virusscan.jotti.org/fr
Fichier et URL http://www.virustotal.com
Antivirus
• Des milliers de nouvelles menaces / jour
• -> Mise à jour automatique obligatoire
• Protège des virus, vers, trojan, etc. CONNUS
• Certains virus sont indétectables
Pare-feu (ou firewall)
• Pare-feu personnel vs pare-feu périmétrique
• Protège des agressions extérieures non sollicitées
CERT-OSIRIS
P. 8
2- ANTIVIRUS, PAREFEU, NAVIGATEUR : MI-ANGES-MI-DEMON
Mises à jour système et logiciel
• Mettre à jour les systèmes d’exploitation (automatiquement)
• Mettre à jour les logiciels utilisés (antivirus, navigateur, pdf-reader, flash, java,
etc.)
• Patch de sécurité = rustine
• Corrige un défaut identifié
En savoir plus… la mise à jour des logiciels
Secunia Personal Software Inspector : outil de vérification des mises à jour des logiciels
Article à propose de Secunia PSI
CERT-OSIRIS
P. 9
3- Messagerie électronique : gestion des déchets (1/2)
Messagerie électronique
•
•
•
•
•
•
N’ayez pas une confiance aveugle dans le nom de l’expéditeur
Méfiez vous des pièces jointes, n’ouvrez pas de PJ d’expéditeur non reconnu
Ne répondez jamais à une demande d’informations confidentielles
(=PHISHING)
Avant de cliquer, passez la souris sur le lien pour vérifier l’adresse URL
Ne cliquez JAMAIS sur les liens contenus dans des messages d’origine
douteuse
Soyez vigilant lors de la transmission d’une adresse courriel sur Internet, créez
une « adresse poubelle » pour vos activités sur Internet
PRIMA REFLECTUM, SECUNDO CLICKUM
En savoir plus… Mesures de prévention relatives à la messagerie
http://www.certa.ssi.gouv.fr/site/CERTA-2000-INF-002/index.html
CERT-OSIRIS
P. 10
3- Messagerie électronique : gestion des déchets (2/2)
CERT-OSIRIS
P. 11
4 – Navigation sauvage : des clics et des claques
Navigateur
En savoir plus… la navigation privée
Navigation privée Firefox
Navigation privée Chrome
InPrivate : navigation privée Internet Explorer
En savoir plus… les modules complémentaires de Firefox
Contrôler les JavaScript sur Firefox avec NoScript
Evaluation des sites web avec WOT
Crédibilité-Fiabilité commerciale-Confidentialité-Sécurité des mineurs
• PAS DE SESSION ADMINISTRATEUR
• Installer la dernière version disponible
• Désactiver par défaut les composants ActiveX, applet Java et JavaScript
• Un seul clic mal placé peut endommager votre ordinateur
• Télécharger, c’est introduire un élément inconnu sur l’ordinateur, choisissez les
sites de confiance
• Prudence, discernement et bon sens
A propos des ActiveX et des Javascript
CERT-OSIRIS
http://www.securite-informatique.gouv.fr/gp_article74.html
P. 12
5 – Sauvegarde : un jour, elle vous sauvera
En savoir plus… logiciels de sauvegarde
SyncBackSE
Cobian Backup
Sauvegarde intégrée Windows 7
Réplication des données
• Sauvegarder, c’est mettre en lieu sûr des informations pour les
récupérer en cas de besoin
• Mettre en lieu sûr les CD d’installation
• Essayer et apprivoiser un logiciel de sauvegarde
• Sauvegarder régulièrement (et automatiquement)
• Vérifier la lisibilité des supports de sauvegarde
• Choisir un support adéquat (disque externe, NAS, clé USB,
DVDetc.)
CERT-OSIRIS
« Les mots de passe c’est comme les brosses à dents : il
faut les choisir avec soin, ne pas les partager, les
changer régulièrement et surtout les utiliser »
P. 13
6 – LES MOTS DE PASSE : + c’est long+ c’est bon
En savoir plus…
http://tools.cases.lu/pwdtest/index.php
http://www.securite-informatique.gouv.fr/gp_article45.html
Calculer la force d’un mot de passe
http://www.securite-informatique.gouv.fr/gp_article728.html
Les attaques
Attaque force brute
Les mots de passe
• 10 caractères minimum
• utiliser des caractères de type différent (majuscules, minuscules, chiffres,
caractères spéciaux)
• ne pas utiliser de mot de passe ayant un lien avec soi (noms, dates de
naissance…)
• le même mot de passe ne doit pas être utilisé pour des accès différents
(banque, forum, abonnements, achats, impots, professionnel...)
• changer de mot de passe régulièrement.
• En règle générale, ne pas configurer les logiciels pour qu’ils retiennent les mots
de passe.
• Stocker ses mots de passe dans un fichier chiffré, exemple Keepass
• Utilise tous les mots de passe possibles
Attaque dictionnaire
• Utilise tous les mots de passe d’une liste prédéfinie
Ingénierie sociale
• Utilise les failles humaines (crédulité, naïveté, gentillesse,
CERT-OSIRIS
candeur…)
Exemples
méthode phonétique :
"J’ai acheté 3 CD pour cent euros cet après-midi"
ght3CD%E7am!
méthode des premières lettres :
"Un tiens vaut mieux que deux tu l’auras"
1tvmQ2tl’A.
P. 14
7- Administrateur vs utilisateur : chacun son root, chacun son destin
Compte d’accès et privilèges
• Création d’un compte standard pour chaque utilisateur
• Utilisation par défaut d’un compte avec droits limités pour
naviguer et pour envoyer des messages
• Permet de limiter les risques et les effets d’une infection par un
logiciel malveillant
• Évite les erreurs de manipulation pouvant affecter l’intégrité de
l’ordinateur et les environnements de travail de tous les
utilisateurs
• La plupart des OS permettent d’utiliser le mode ADMIN depuis
une session USER
CERT-OSIRIS
“La vie privée est devenue une sorte de monnaie d’échange. Elle
nous sert à payer les services en ligne. Google ne fait rienP.payer
15
pour Gmail. En lieu et place, il lit vos emails et vous envoie des
publicités en fonction des mots-clés trouvés dans votre
correspondance privée“.
Dan Lyons, éditorialiste à Newsweek
8- Vie privée :Ne vous en privez pas
Année 2010
Chiffre d’affaire en
millions de $
Bénéfices en
millions de $
Employés
Google
22 100
6 400
29 000 ()
Yahoo
6 320
1 240
14 000 ()
Facebook
1 600
500
1 700 ()
CERT-OSIRIS
Quelques données conservées à vie par Facebook :
P. 16
• La liste d’amis (…of course)
• Liste des invitations acceptées ou non
• Courriers privés et tchats
• Statuts, pokes, tags des photos
• Listes des @ IP de connexions avec coordonnées spatiales
8- Vie privée : Ne vous en privez pas
Facebook …
•
•
•
CERT-OSIRIS
collecte des informations sur la navigation de l'usager même
lorsque celui-ci s’est déconnecté de son compte
conserve les données personnelles supprimées par
l'utilisateur
collecte des informations portant sur des personnes non
membres
« Shadow profiles »
8- Vie privée : Ne vous en privez pas
CERT-OSIRIS
P. 17
P. 18
9- Ordinateur infecté : les bons réflexes
Quelques signes cliniques d’une infection :
•
•
•
•
•
•
•
•
•
•
CERT-OSIRIS
Alerte du parefeu (un vrai !)
la présence et la disparition immédiate de boîtes de dialogue au démarrage
Un message d’erreur cyclique et récurrent
présence de fichiers inconnus (film, musique, etc.) sur le poste de travail
Rapport de l’anti-virus
Lenteurs inexpliquées ou consommation de mémoire anormale
une activité matérielle suspecte comme l’ouverture et la fermeture du lecteur
cédérom
un message d’avertissement de la désactivation du pare-feu
Ouverture intempestive de fenêtres
Activité réseau intempestive
P. 19
9- Ordinateur infecté : les bons réflexes
http://www.securite-informatique.gouv.fr/gp_article636.html
Pour faire simple…
Si le profil infecté est Utilisateur Standard :
• Restauration système à une date antérieure (XP)
Ou
• Sauvegarder les données
• Supprimer le profil
• Créer un nouveau profil
• Restaurer les données
CERT-OSIRIS
Si le profil infecté a les droits Administrateur :
…AÏE AïE AÏE…
• Tenter une Restauration système à une date antérieure (XP)
sinon
• Sauvegarder les données
• Tenter une restauration système
• Réinstaller tout l’ordinateur (système, pilotes, programmes)
• Restaurer les données
ET le compte admin
protégé par un BON
mot de passe
SINON
P. 20
9- Ordinateur infecté : les bons réflexes
Pour les geeks : trouver le programme malveillant et l’éradiquer
•
•
•
•
•
•
•
•
CERT-OSIRIS
Débrancher le poste analysé du réseau
Sauvegarder les données importantes en cas d’erreur de manipulation
Vérifier l’intégrité du cœur de Windows à l’aide de l’outil Rootkit Rootkit Revealer
Vérifier les programmes en cours d’exécution à l’aide de l’outil Process Explorer
Vérifier les programmes lancés automatiquement au démarrage de Windows ou d’une
application à l’aide de l’outil Autoruns
Vérifier l’activité réseau à l’aide de l’outil Tcpview
Supprimer les programmes malveillants à l’aide d’outils dédiés ou par un système externe.
Réitérer éventuellement les étapes précédentes.
P. 21
10- Caisse à outils : des utilitaires aux indispensables
Pour tous les utilisateurs, les indispensables :
SyncBack : sauvegarde et restauration de données
Treesize : taille des répertoires et sous-répertoires
CCleaner : optimiser et nettoyer windows
Extensions FIREFOX : WOT Web of Trust évalue la fiabilité des sites
NoScript maitrisez les exécutions des JavaScript
Adblock : blocage des bandeaux publicitaires
Pour les utilisateurs avancés, les utilitaires :
Clonezilla : cloner une machine
KeePass : coffre fort de mots de passe
Truecrypt : chiffrement de disque ou de container
EaseUS : partitionnement de disques
MagicISO : créer des lecteurs CD/DVD virtuels
Secunia PSI : garder les logiciels à jour
CERT-OSIRIS
Règles
Outils de
sécurisation
Entretien
P. 22
Maintenance
Contrôles
LOI - Code pénal
(CNIL, LCEN, HADOPI)
Code de la route
code civil, code pénal
Charte informatique
PSSI
1- ceinture, Airbag,
ABS, tableau de bord,
panneaux
1- Firewall, antivirus
2- formation (permis)
2- information,
sensibilisation
Contrôle niveaux,
pneus,
indicateurs TdB
Contrôles
des mises à jour, des
logs - Veille
Surveillance
Contrôle technique
Contrôles routiers
Mises à jour
Vidange, essuie-glace,
pneus, ampoules,
fluides
CERT-OSIRIS
Sensibilisation
22
INFORMATIQUE
CERT-OSIRIS
SYSTÈME D’INFORMATION
23
P. 23
P. 24
CERT-OSIRIS
E x i g e n c e s
Exigences légales
et règlementaires
Loi - Charte
1
d e
Exigences métiers
SSI
p r o t e c t i o n
P. 25
2
Activités scientifiques
du Laboratoire
Bonnes pratiques
Diagnostic initial du niveau de protection
Liste des actifs
primordiaux
étape
3
Analyse de risques
3
étape
1b
étape
2
Choix des
niveaux de
protection
étape
Implementation guidance Verification checks should take into account all relevant privacy, protection of personal data and/or employment based legislation, and should, where permitted, include the following a) availability of satisfactory character references, e.g. one business and ne personal;b) a check (for completeness and accuracy) of the applicant’s curriculum vitae;c) confirmation of claimed academic and professional qualifications;d) independent identity check (passport or
similar document);e) more detailed checks, such as credit checks or checks of riminal records.Where a job, either on initial appointment or on promotion, involves the person having access toinformation processing facilities, and in particular if these are handling sensitive information, e.g.financial information or highly confidential information, the organization hould also consider further,more detailed checks.Procedures should define criteria and limitations for verification checks,
e.g. who is eligible to screenpeople, and how, when and why verification checks are carried out.A screening process should also be carried out for contractors, nd third party users. Wherecontractors are provided through an agency the contract with the agency should clearly specify theagency’s responsibilities for screening and the notification procedures they need to follow if screeninghas not been completed or if the results give cause or doubt or concern. In the same way,
theagreement with the third party (see also 6.2.3) should clearly specify all responsibilities andnotification procedures for screening.Information on all candidates being considered for positions within the organization should becollected and andled in accordance with any appropriate legislation existing in the relevantjurisdiction. Depending on applicable legislation, the candidates should be informed beforehand aboutthe screening activities.8.1.3 Terms and conditions of
employmentControlAs part of their ontractual obligation, employees, contractors and third party users should agree andsign the terms and conditions of their employment contract, which should state their and theorganization’s responsibilities for information security.Implementation guidanceThe terms and onditions f employment should reflect the organization’s security policy in additionto clarifying and stating:a) that all employees, contractors and third party users who are given
access to sensitiveinformation should sign a confidentiality or non-disclosure agreement prior to being givenaccess to information processing facilities;b) the employee’s, contractor’s and any other user’s legal responsibilities and rights, e.g.regarding copyright laws or data protection legislation (see also 15.1.1 and 15.1.2);c) responsibilities for the classification of information and anagement of organizationalassets associated with information systems and services handled by the
employee,contractor or third party user (see also 7.2.1 and 10.7.3);d) responsibilities of the employee, contractor or third party user for the handling ofnformation received from ther companies or external parties;ISO/IEC 17799:2005€24 © ISO/IEC 2005 – All rights reservede) responsibilities of the organization for the handling of personal information, includingpersonal information created as a result of, or in the course of, employment with theorganization (see also 15.1.4);f)
responsibilities that are extended outside the organization’s premises and outside normalworking hours, e.g. in the case of home-working (see also 9.2.5 and 11.7.1);g) actions to be taken if the employee, contractor or third party user disregards heorganization’s security requirements (see also 8.2.3).The organization should ensure that employees, contractors and third party users agree to terms andconditions concerning information security appropriate to the nature and extent
of access they willhave to the rganization’s ssets associated with information systems and services.Where appropriate, responsibilities contained within the terms and conditions of employment shouldcontinue for a defined period after the end of the employment (see also 8.3).Other InformationA code of conduct may be sed to cover the employee’s, contractor’s or third party user’sresponsibilities regarding confidentiality, data protection, ethics, appropriate use of the
organization’sequipment and facilities, as well as reputable practices expected by the organization. The contractoror third party sers ay be associated with an external organization that may in turn be required toenter in contractual arrangements on behalf of the contracted individual.8.2 During employmentObjective: To ensure that employees, contractors and third party users are aware of informationsecurity hreats and concerns, their responsibilities and liabilities, and are
equipped to supportorganizational security policy in the course of their normal work, and to reduce the risk of humanerror.Management responsibilities should be defined to ensure that security is applied throughout nindividual’s employment within the organization.An adequate level of awareness, education, and training in security procedures and the correct use ofinformation processing facilities should be provided to all employees, contractors and third party usersto minimize
possible ecurity risks. A formal disciplinary process for handling security breachesshould be established.8.2.1 Management responsibilitiesControlManagement should require employees, contractors and third party users to apply security inaccordance with established policies and rocedures of the organization.Implementation guidanceManagement responsibilities should include ensuring that employees, contractors and third partyusers:a) are properly briefed on their
information security roles and responsibilities prior to beinggranted access to sensitive nformation or information systems;b) are provided with guidelines to state security expectations of their role within theorganization;c) are motivated to fulfil the security policies of the organization;ISO/IEC 17799:2005۩ ISO/IEC 2005 РAll rights reserved 25d) achieve a level of wareness on security relevant to their roles and responsibilities withinthe organization (see also 8.2.2);e) conform to
the terms and conditions of employment, which includes the organization’sinformation security policy and appropriate methods of working;f) continue to have the ppropriate skills and qualifications.Other InformationIf employees, contractors and third party users are not made aware of their security responsibilities,they can cause considerable damage to an organization. Motivated personnel are likely to be morereliable and cause less nformation security incidents.Poor
management may cause personnel to feel undervalued resulting in a negative security impact tothe organization. For example, poor management may lead to security being neglected or potentialmisuse of the organization’s assets.8.2.2 nformation security awareness, education, and trainingControlAll employees of the organization and, where relevant, Implementation guidance Verification checks should take into account all relevant privacy, protection of personal data
and/or employment based legislation, and should, where permitted, include the following a) availability of satisfactory character references, e.g. one business and ne personal;b) a check (for completeness and accuracy) of the applicant’s curriculum vitae;c) confirmation of claimed academic and professional qualifications;d) independent identity check (passport or similar document);e) more detailed checks, such as credit checks or checks of riminal records.Where a job, either on
initial appointment or on promotion, involves the person having access toinformation processing facilities, and in particular if these are handling sensitive information, e.g.financial information or highly confidential information, the organization hould also consider further,more detailed checks.Procedures should define criteria and limitations for verification checks, e.g. who is eligible to screenpeople, and how, when and why verification checks are carried out.A screening process
should also be carried out for contractors, nd third party users. Wherecontractors are provided through an agency the contract with the agency should clearly specify theagency’s responsibilities for screening and the notification procedures they need to follow if screeninghas not been completed or if the results give cause or doubt or concern. In the same way, theagreement with the third party (see also 6.2.3) should clearly specify all responsibilities andnotification procedures for
screening.Information on all candidates being considered for positions within the organization should becollected and andled in accordance with any appropriate legislation existing in the relevantjurisdiction. Depending on applicable legislation, the candidates should be informed beforehand aboutthe screening activities.8.1.3 Terms and conditions of employmentControlAs part of their ontractual obligation, employees, contractors and third party users should agree andsign the
terms and conditions of their employment contract, which should state their and theorganization’s responsibilities for information security.Implementation guidanceThe terms and onditions f employment should reflect the organization’s security policy in additionto clarifying and stating:a) that all employees, contractors and third party users who are given access to sensitiveinformation should sign a confidentiality or non-disclosure agreement prior to being givenaccess to information
processing facilities;b) the employee’s, contractor’s and any other user’s legal responsibilities and rights, e.g.regarding copyright laws or data protection legislation (see also 15.1.1 and 15.1.2);c) responsibilities for the classification of information and anagement of organizationalassets associated with information systems and services handled by the employee,contractor or third party user (see also 7.2.1 and 10.7.3);d) responsibilities of the employee, contractor or third party user
for the handling ofnformation received from ther companies or external parties;ISO/IEC 17799:2005€24 © ISO/IEC 2005 – All rights reservede) responsibilities of the organization for the handling of personal information, includingpersonal information created as a result of, or in the course of, employment with theorganization (see also 15.1.4);f) responsibilities that are extended outside the organization’s premises and outside normalworking hours, e.g. in the case of homeworking (see also 9.2.5 and 11.7.1);g) actions to be taken if the employee, contractor or third party user disregards heorganization’s security requirements (see also 8.2.3).The organization should ensure that employees, contractors and third party users agree to terms andconditions concerning information security appropriate to the nature and extent of access they willhave to the rganization’s ssets associated with information systems and services.Where appropriate,
responsibilities contained within the terms and conditions of employment shouldcontinue for a defined period after the end of the employment (see also 8.3).Other InformationA code of conduct may be sed to cover the employee’s, contractor’s or third party user’sresponsibilities regarding confidentiality, data protection, ethics, appropriate use of the organization’sequipment and facilities, as well as reputable practices expected by the organization. The contractoror third party sers
ay be associated with an external organization that may in turn be required toenter in contractual arrangements on behalf of the contracted individual.8.2 During employmentObjective: To ensure that employees, contractors and third party users are aware of informationsecurity hreats and concerns, their responsibilities and liabilities, and are equipped to supportorganizational security policy in the course of their normal work, and to reduce the risk of humanerror.Management
responsibilities should be defined to ensure that security is applied throughout nindividual’s employment within the organization.An adequate level of awareness, education, and training in security procedures and the correct use ofinformation processing facilities should be provided to all employees, contractors and third party usersto minimize possible ecurity risks. A formal disciplinary process for handling security breachesshould be established.8.2.1 Management
responsibilitiesControlManagement should require employees, contractors and third party users to apply security inaccordance with established policies and rocedures of the organization.Implementation guidanceManagement responsibilities should include ensuring that employees, contractors and third partyusers:a) are properly briefed on their information security roles and responsibilities prior to beinggranted access to sensitive nformation or information systems;b) are
provided with guidelines to state security expectations of their role within theorganization;c) are motivated to fulfil the security policies of the organization;ISO/IEC 17799:2005€© ISO/IEC 2005 – All rights reserved 25d) achieve a level of wareness on security relevant to their roles and responsibilities withinthe organization (see also 8.2.2);e) conform to the terms and conditions of employment, which includes the organization’sinformation security policy and appropriate methods of
working;f) continue to have the ppropriate skills and qualifications.Other InformationIf employees, contractors and third party users are not made aware of their security responsibilities,they can cause considerable damage to an organization. Motivated personnel are likely to be morereliaImplementation guidance Verification checks should take into account all relevant privacy, protection of personal data and/or employment based legislation, and should, where permitted, include
the following a) availability of satisfactory character references, e.g. one business and ne personal;b) a check (for completeness and accuracy) of the applicant’s curriculum vitae;c) confirmation of claimed academic and professional qualifications;d) independent identity check (passport or similar document);e) more detailed checks, such as credit checks or checks of riminal records.Where a job, either on initial appointment or on promotion, involves the person having access
toinformation processing facilities, and in particular if these are handling sensitive information, e.g.financial information or highly confidential information, the organization hould also consider further,more detailed checks.Procedures should define criteria and limitations for verification checks, e.g. who is eligible to screenpeople, and how, when and why verification checks are carried out.A screening process should also be carried out for contractors, nd third party users.
Wherecontractors are provided through an agency the contract with the agency should clearly specify theagency’s responsibilities for screening and the notification procedures they need to follow if screeninghas not been completed or if the results give cause or doubt or concern. In the same way, theagreement with the third party (see also 6.2.3) should clearly specify all responsibilities andnotification procedures for screening.Information on all candidates being considered for
positions within the organization should becollected and andled in accordance with any appropriate legislation existing in the relevantjurisdiction. Depending on applicable legislation, the candidates should be informed beforehand aboutthe screening activities.8.1.3 Terms and conditions of employmentControlAs part of their ontractual obligation, employees, contractors and third party users should agree andsign the terms and conditions of their employment contract, which
should state their and theorganization’s responsibilities for information security.Implementation guidanceThe terms and onditions f employment should reflect the organization’s security policy in additionto clarifying and stating:a) that all employees, contractors and third party users who are given access to sensitiveinformation should sign a confidentiality or non-disclosure agreement prior to being givenaccess to information processing facilities;b) the employee’s, contractor’s and
any other user’s legal responsibilities and rights, e.g.regarding copyright laws or data protection legislation (see also 15.1.1 and 15.1.2);c) responsibilities for the classification of information and anagement of organizationalassets associated with information systems and services handled by the employee,contractor or third
4
étape
5
Mise en
conformité
CERT-OSIRIS
Plan d’action
Traitement des
risques
La réalité (ou presque) …
CERT-OSIRIS
P. 26
Sites gouvernementaux
http://www.securite-informatique.gouv.fr
http://www.internet.gouv.fr
http://www.internetsanscrainte.fr/
surfez-intelligent.dgmic.culture.gouv.fr
http://www.cnil.fr/
http://www.cases.public.lu/fr/
https://www.internet-signalement.gouv.fr
CNRS – Université de Strasbourg
MESR – Haut fonctionnaire de défense et de sécurité
http://www.cru.fr/ssi/securite/index
https://www.pleiade.education.fr/portal/pleiade/hfds
CNRS - Fonctionnaire sécurité défense
http://www.dgdr.cnrs.fr/fsd/
CNRS – DSI
https://aresu.dsi.cnrs.fr/
Coopération Unistra & CNRS : le CERT OSIRIS
CERT-OSIRIS
http://cert-osiris.unistra.fr
P. 27