8
Syndicat Intercommunal de Gestion Informatique www.sigi.lu Edition n° 3 Avril 2008 Politque de sécurité des systèmes d’information

SIGIVIEW_03_2008

Embed Size (px)

DESCRIPTION

Syndicat Intercommunal de Gestion Informatique www.sigi.lu Edition n° 3 Avril 2008 02 SIGIapproved Construisons l’avenir ensemble Politique de sécurité des systèmes d’information 05 SIGIflash « A César ce qui appartient à César » 06 SIGIsecurity La sécurité, une des pierres angulaires du Datacenter 01 SIGIedito Editorial Ministre de l’Économie et du Commerce extérieur Ministre des Sports

Citation preview

Page 1: SIGIVIEW_03_2008

Syndicat Intercommunal de Gestion Informatique www.sigi.lu

Edition n° 3 Avril 2008

Politque de sécurité des systèmes d’information

Page 2: SIGIVIEW_03_2008

Editorial

Le Ministère de l’Économie et du Commerce extérieur synchronise ses efforts de sensibilisation et de prévention dans le domaine de la sécurité de l’information avec le Sigi pour pouvoir faire profiter pleinement les communes ainsi que les citoyens des potentialités offertes par la société de l’information.

01 SIGIedito Editorial

02 SIGIapproved Construisons l’avenir ensemble

Politique de sécurité des systèmes d’information

05 SIGIflash « A César ce qui appartient à César »

06 SIGIsecurity La sécurité, une des pierres angulaires du Datacenter

01 SIGIedito

SIGIindex

Tout comme le gouvernement, les communes, à travers le SIGI, investissent activement depuis un certain temps dans la modernisation de leurs services ainsi que dans la mise à disposition de ces services sur Internet. De cette modernisa-tion résulte le besoin de gérer des grands volumes de données sensibles, souvent à caractère personnel, ce qui impose un haut niveau de sécurité. Un management consciencieux de la sécurité, fondé sur les standards modernes, s’impose afin de pouvoir garantir le niveau de confidentialité, d’intégrité et de disponibilité dont tant les citoyens que les communes ont besoin.

L’enjeu de la confiance, la responsabilité du mandat, la volonté, mais aussi la nécessité de constamment améliorer la qualité de service et d’augmenter la panoplie des services offerts suggère l’adoption d’une démarche commune dans le domaine de la sécurité de l’information. Même si la qualité des systèmes d’information du SIGI, mais également ceux des commu-nes ne sont pas à remettre en cause, ils demeurent néanmoins exposés et potentiellement vulnérables aux attaques informatiques toujours plus nombreuses et plus sophistiquées.

Ainsi, au niveau mondial, les incidents de sécurité ayant pu conduire à la divulgation, la corruption ou la perte pure et simple de données sensibles, ont connu ces der-nières années une progression exponen-tielle. Les conséquences directes de ces incidents peuvent être évaluées en termes de coûts financiers ou d’heures de travail perdues, mais également en termes de perte d’image et de perte de confiance de la part des clients.

Je me félicite donc de pouvoir annoncer la collaboration entre la structure CASES du Ministère de l’Economie et du Com-merce extérieur et les services du SIGI et bien-sûr ceux des communes. Forts de nos compétences, de notre savoir-faire, nous pourrons rallier nos forces pour élaborer et déployer des bonnes pratiques et mettre en place des systèmes de management de la sécurité, basés sur les standards tels que l’ISO/IEC 27001.

Jeannot KreckéJeannot Krecké

Ministre de l’Économieet du Commerce extérieurMinistre des Sports

Textes on page 1: Le Monde (21 novembre 2007), The Times (November 21, 2007)©. Illustrations on page 3, 4 and 5: Tom Nulens©. Photos credits on page 2: SIP©. Photos credits on page 3 and 4: Claudine Bosseler©. Photos credits on page 7 and 8: René Mansi©. Layout: Niche Guardian 2008.

Page 3: SIGIVIEW_03_2008

Construisons l’avenir ensemble

Les diverses fusions dans le processus de modernisation ont entraîné une redéfinition complète de la sécurité. Face aux pro-blèmes de l’espionnage industriel et des intérêts divergeant des différents états, on se sent rapidement vulnérable, même avec les meilleurs spécialistes à ses côtés.

C’est pourquoi l’initiative du ministère de l’économie revêt une telle importance pour notre pays. La sécurité dépend davantage de notre comportement que de la tech-nologie mise en place, car bon nombre d’intrusions sont le fait de personnes astucieuses, qu’on ne peut contrer qu’avec professionnalisme et organisation.

J’attends de notre collaboration avec le ministère de l’économie d’aboutir à une meilleure protection des données de nos concitoyens. L’initiative est d’autant plus importante qu’il y a des organismes publics connectés… On peut en effet parler de symbiose!

Carlo Gambucci

Chaque jour, au sein de toute administra-tion communale, quantité d’informations sont traitées, stockées, échangées et partagées. Parmi celles-ci, une grande majorité sont des données à caractère per-sonnel sur les administrés et le personnel: nom, prénom, adresse, état civil, profes-sion, numéros de carte d’identité et de comptes bancaires, etc. Ces informations, de par leur «nature», sont susceptibles de porter atteinte aux droits et aux libertés des personnes concernées. Nous devons être certains que tout est mis en œuvre pour assurer la protection de ces données.

Depuis les années 80, l’avènement des nouvelles technologies de l’information et de la communication (NTIC) - laptop, Blackberry, Wi-Fi, etc. – ajouté au taux de pénétration de l’internet toujours plus élevé, a profondément changé la donne en matière de sécurité des systèmes

d’information (SSI). Cette évolution tech-nologique frénétique remet en cause les stratégies traditionnelles de défense. À l’heure actuelle, le système d’information (SI) est indispensable à la pérennité de tout organisme.

Les informations, une valeur à protéger

Bien que les informations à caractère personnel soient immatérielles, elles sont précieuses et, à ce titre, doivent être protégées.

Le traitement de ce type de données est régi par la loi modifiée du 2 août 2002 rela-tive à la protection des personnes à l’égard du traitement des données à caractère personnel, dont l’objectif est de protéger la vie privée des personnes physiques.

Le SIGI et la structure CASES du Ministère de l’Economie et du Commerce extérieur s’unissent pour une alliance solide de compétences complémentaires.

02 SIGIapproved

Politique de sécurité des systèmes d’informationUne nécessité pour toute administration communale responsable, qui traite en bon père de famille les données personnelles de ses citoyens.

Carlo Gambucci (gauche)

Attaché de DirectionSIGI

François Thill (droite)

Direction du commerce électroniqueet de la sécurité informatiqueMinistère de l’Économie

Page 4: SIGIVIEW_03_2008

Connaître les risques, c’est s’en prémunir!

Le risque repose sur trois facteurs étroi-tement liés et entraîne une réaction en chaîne. Il s’agit d’un danger plus ou moins probable dû à une menace qui, en exploi-tant une vulnérabilité, a une incidence.

• La menace incarne ce que l’on craint, c’est-à-dire un danger potentiel latent qu’on ne peut véritablement contrer.

• La vulnérabilité représente une lacune des ressources susceptible d’être exploitée par une ou des menaces.

• L’incidence, ce sont les conséquences de l’exploitation d’une vulnérabilité par une menace.

L’information est soumise à diverses menaces susceptibles de l’altérer ou de la détruire, de la révéler à des tiers non autorisés ou d’entraver sa disponibilité. Ces menaces peuvent être volontaires (attaques délibérées) ou involontaires (incendie, négligence, etc.), d’origine hu-maine (le fait du personnel ou de cybercri-minels) ou matérielle (panne intermittente ou totale des outils de travail), externes ou internes.

Or, il est difficile, voire impossible, de contrer ces menaces. La solution consiste donc à atténuer la vulnérabilité des systè-mes.

Prenons l’exemple concret d’un employé qui n’aurait pas mis son antivirus à jour (rendant son ordinateur vulnérable). Un virus présent sur la Toile (menace) profite de cette vulnérabilité pour contaminer l’ordinateur, entraînant la perte totale et irrémédiable des données confidentielles (incidence). Le simple oubli de l’employé entraîne pour l’organisme des pertes financières, porte atteinte à sa réputation et lui fait courir le risque de procès.

La plupart des risques - arrêt momentané de service, données perdues ou altérées, divulgation d’informations confidentiel-les, usurpation d’identité, etc. - peuvent être anticipés. L’objectif d’une politique de sécurité des systèmes d’informa-tion (PSSI) est de mettre en œuvre des solutions de sécurité permettant de les contrer ou, tout au moins, d’en réduire l’incidence.

Les quatre «pierres angulaires» de la sécurité des systèmes d’information (SSI)

On considère que l’information ne court aucun danger si l’on respecte quatre prin-cipes, souvent nommés les «pierres angulaires» de la SSI:

• Confidentialité: garantie que seules les personnes autorisées aient accès aux informations.

• Disponibilité: garantie qu’une information (ou une ressource) est disponible au moment voulu et en quantité prévue par les personnes autorisées.

• Intégrité: garantie qu’une information (ou ressource) n’a subi ni modification ni destruction volontaire ou accidentelle.

• Traçabilité ou non-répudiation de l’information: garantie de pouvoir retracer toutes les étapes du cycle de vie d’une information. Ainsi, dans le cas d’un courrier électronique, on pourra vérifier l’expéditeur et le destinataire.

03

« L’adoption d’une PSSI pour protéger les données traduit la volonté de reconnaître explicitement l’importance et la valeur des informations détenues et la disposition des acteurs concernés à prendre tout les mesures possibles et réalisables afin de protéger les administrés et leur personnel. Elle traduit également la reconnaissance des enjeux de la sécurité. »

Page 5: SIGIVIEW_03_2008

Des enjeux de taille

La PSSI relève de la vision stratégique de l’administration communale et traduit l’engagement entier du bourgmestre et du collège échevinal.

« Protéger les données, c’est protéger ses administrés et son personnel »L’adoption d’une PSSI pour protéger les données traduit la volonté de reconnaître explicitement l’importance et la valeur des informations détenues et la disposition des acteurs concernés à prendre tout les mesures possibles et réalisables afin de protéger les administrés et leur personnel. Elle traduit également la reconnaissance des enjeux de la sécurité.

Le non-respect de ce que l’on appelle les «pierres angulaires» peut avoir des consé-quences fâcheuses.

• Atteinte à la réputation, à l’image de marque

Il faut des années pour bâtir une solide réputation et un simple scandale peut la détruire. La divulgation de données personnelles et confidentielles portant atteinte à la vie privée d’un administré peut entraîner un recours en justice et gravement entacher l’image de l’administration. En mettant tout en œuvre pour protéger les données à caractère personnel, le bourgmestre et le collège échevinal honorent la confiance que les administrés et le personnel leur accordent.

• Pertes financières

Bien que l’insécurité soit difficile à évaluer, les incidents et les dysfonctionnements qu’elle entraîne ont assurément un coût, qui représente des dépenses supplémentaires qui pourraient être affectées à meilleur escient.

• Conséquences juridiques

Comme nous l’avons vu, la mise en place d’une PSSI s’inscrit dans un cadre législatif et règlementaire destiné notamment à protéger le droit à la vie privée. Dans ce contexte, la responsabilité civile et pénale des dirigeants peut être engagée, et ce même en cas d’erreur ou de transgression d’un employé (utilisation de logiciels copiés, diffamation, détournement d’informations confidentielles, etc.).

« La sécurité, c’est 20% de technique et 80% d’organisation »• Meilleure organisation

Une PSSI n’est pas une charge complexe réservée aux techniciens et aux spécialistes: elle incombe aux dirigeants. En effet, une PSSI, en constante évolution, repose sur le cadre organisationnel de tous les organismes et permet de structurer la méthode de travail et de définir les responsabilités de chacun. Elle améliore sensiblement l’organisation.

04

Glossaire

Politique de sécurité des systèmes d’in-formation (PSSI): plan évolutif et stratégi-que d’actions dont l’objectif est de conser-ver, de rétablir, de garantir et d’améliorer la SSI de l’organisme.

Sécurité des systèmes d’information (SSI): moyens techniques, organisationnels, juridiques et humains sous la forme de directives, de procédures et de règlements nécessaires à l’instauration d’une PSSI.

Système d’information (SI): ensemble des ressources tant humaines (personnel) que matérielles (postes informatiques, réseaux, applications) permettant de collecter, de stocker, de traiter et de diffuser des infor-mations.

Aujourd’hui, on ne peut plus excuser une erreur ou un incident par le fait qu’on n’était pas au courant. En cas d’usurpation d’identité, d’atteinte à la vie privée, de dysfonctionnement des services adminis-tratifs, volontaire ou non, l’administration est responsable, si pas légalement, au moins aux yeux des citoyens.

Le SIGI est CASES sont à votre disposi-tion pour mettre en place une PSSI.

Gérer en «bon père de famille»

La loi du 2 août 2002 impose la préserva-tion de la sécurité des données à caractè-re personnel et est assortie de sanctions administratives et pénales.

Tout chef d’administration ou entreprise doit faire en sorte que les mesures né-cessaires soient prises pour prévenir les conséquences juridiques liées, par exem-ple, à un acte involontaire ou délictueux commis par le personnel ou une attaque extérieure.

Le chef de l’administration ou de l’entre-prise, en tant que «dirigeant», doit la gérer avec prudence et prévoyance.

Pascal Steichen

Ministère de l’Économie et du Commerce extérieurChargé de mission CASES/LuxTrust

Page 6: SIGIVIEW_03_2008

« A César ce qui appartient à César »La carte d’impôt est un document légal important propre à chaque citoyen. Aujourd’hui, elle constitue un des liens essentiels et incontournables qui respon-sabilisent chaque citoyen à sa contribution personnelle directe à l’économie de son pays.

05 SIGIflash

Grâce à GESCOM 2.2, la gestion des car-tes d’impôt est devenue très conviviale, simple et efficace pour le fonctionnaire communal, ce qui permet au service «population» d’une commune d’offrir des services rapides et dynamiques au citoyen moderne.

En fait, GESCOM 2.2 recueille toutes les signalétiques d’impositions législatives imposées par l’État. Cette application fait parfaitement la conjugaison entre l’«environnement législatif imposable» et «la situation» du citoyen. Grâce à ses deux éléments incontournables, GESCOM 2.2. calcule et attribue au citoyen une classe d’impôt suivant son état civil.

Principe de fonctionnement

Les cartes d’impôt sont émises au mois de janvier par l’administration communale sur la base des données fournies par les citoyens lors du recensement fiscal du 15 octobre.

Pour recevoir une carte d’impôt en début d’année, il faut donc remplir correctement le recensement fiscal du 15 octobre.

Dés le début de l’année l’administration communale se charge de faire parvenir les cartes d’impôt aux citoyens.

Le salarié ou le retraité qui reçoit sa carte d’impôt est prié de vérifier l’exactitude des données qu’elle mentionne et de la remettre, le cas échéant, à son employeur ou à sa caisse de pension.

Pour certaines caisses de pension, la carte d’impôt est envoyée directement à la caisse par la commune.

La plupart du temps, en cas de chan-gement dans la situation du citoyen, c’est le bureau de la population qui se charge d’apporter les modifications à la carte. Toutefois, dans certains cas (p.ex. changement du forfait kilométrique en cas de changement d’employeur ou de résidence), c’est l’Administration des contributions qui est compétente.

En conclusion, le module de gestion des cartes d’impôt est une application dynami-que, ce qui constitue l’atout de GESCOM, et regroupe sur une plateforme unique tous les métiers clés d’une administration communale efficace.

Claude Hastert

Claude Hastert

« La gestion des cartes d’impôt sur GESCOM 2.2. est vraiment très convi-viale pour l’administration communale. Le nouveau système est performant et nous permet de prévisualiser les cartes avant impression, ce qui n’était pas le cas avant. Enfin, j’apprécie tout particulièrement l’organisation pratique au début de l’année en diverses catégo-ries d’impression, qui nous fait gagner du temps précieux et nous permet de garantir un service de qualité à nos concitoyens. »

Yves THILL

Bureau de la PopulationAdministration communale de Strassen

15 octobreFormulaires Recensement fiscal

15 novembre au 15 décembreContrôles et mise à jours dans GESCOM

2 janvierNouvelles Cartes d’Impôts disponible

Nuit du 31 décembre au 1 janvierGESCOM calcul et produit les nouvelles

cartes d’impôts

Page 7: SIGIVIEW_03_2008

La sécurité, une des pierres angulaires du Datacenter

06 SIGIsecurity

Le partenariat entre le SIGI et Conostix porte ses fruits. Le projet de mise en place du nouveau datacenter du SIGI est en passe de se terminer.

Ce projet a été pour Conostix l’occasion de démontrer ses compétences en ma-tière de conception et d’implémentation de la sécurité dans de grandes infrastruc-tures.

Dés les débuts du projet, nos équipes respectives ont fait preuve de l’ouverture d’esprit nécessaire au bon déroulement des opérations. La mise en commun des compétences nous a permis de mettre en place une sécurité innovatrice et «best-in-class».

L’infrastructure mise en place offre de nouvelles possibilités techniques qui permettront de développer les services rendus par le futur portail, orientés vers les nouvelles technologies de l’infor-mation et de la communication liées à l’internet. L’infrastructure en réseau utili-sée dans le cadre de tous ces nouveaux services repose sur les bonnes pratiques permettant d’offrir la meilleure sécurité et les garanties de disponibilité nécessaires.

Pour mener à bien cette tâche, nous nous sommes souvent laisser guider par le bon sens.

Fort de notre expérience en matière de sécurisation des réseaux ainsi que de nos différents rôles de conseils dans le cadre de la sécurité des réseaux bancaires, nous nous engageons d’aider le SIGI à mainte-nir le niveau de sécurité nécessaire à ses services.

William Robinet

SIGIapproved

Construisons l’Avenir Ensemble

Page 8: SIGIVIEW_03_2008

Syndicat Intercommunal de Gestion Informatique 6, rue de l’Etang L-5326 Contern Tél. 350099 - 1 Fax 350098 www.sigi.lu [email protected]

SIGIday 2008

Ne vous cachez pas, notez dès à présent la date du 2 juillet 2008 dans vos agendas!Dans la prochaine édition du SIGIVIEW vous trouverez le calendrier complet des exposés et des démonstrations «live» des nouvelles applications et des nouveaux services aux communes.

Des surprises innovantes et uniques, jamais présentées au Luxembourg vous attendent!

Les invitations seront envoyées dans les prochaines semaines.


aprés la finitude

aprés la finitude

Documents
L’Imparfait & le Plus-que-parfait & L'infinitifs passés

L’Imparfait & le Plus-que-parfait & L'infinitifs passés

Documents
Ecole Historique Et Droit Natural (RevTrimDrCivil)

Ecole Historique Et Droit Natural (RevTrimDrCivil)

Documents
Calendrier 100 ans

Calendrier 100 ans

Documents
Population Totale, Population de 18 ans et plus menages et densites estimes en 2009

Population Totale, Population de 18 ans et plus menages et densites estimes en 2009

Documents
renan prière sur l'Acropole

renan prière sur l'Acropole

Documents
Conv Montego Bay

Conv Montego Bay

Documents
Lou dauphinois sont de Magnauds Terribles

Lou dauphinois sont de Magnauds Terribles

Documents
Revue Technique Automobile_ Plusieurs Marques Et Modeles

Revue Technique Automobile_ Plusieurs Marques Et Modeles

Documents
Dwm catalog

Dwm catalog

Documents
French Final - Study Sheet

French Final - Study Sheet

Documents
LES AVANTAGES DU SYSTÈME GREENSKIN BOX FR NL

LES AVANTAGES DU SYSTÈME GREENSKIN BOX FR NL

Documents
Tutoren Des Akademischen Auslandsamtes-1

Tutoren Des Akademischen Auslandsamtes-1

Documents
Catalogue Heller 2011

Catalogue Heller 2011

Documents
Parisotti-Sebben-crudele

Parisotti-Sebben-crudele

Documents
ATV-5 brochure French

ATV-5 brochure French

Documents
IBM FlowchartingTechniques GC20 8152 1

IBM FlowchartingTechniques GC20 8152 1

Documents
Emploi 3fev12

Emploi 3fev12

Documents
Les Abaque de HOMBERG

Les Abaque de HOMBERG

Documents
IFLA Trend Report (Français)

IFLA Trend Report (Français)

Documents
02 Tintin in Congo

02 Tintin in Congo

Documents
Liste Des Etablissements Hebergement que 2010 Mt (1)

Liste Des Etablissements Hebergement que 2010 Mt (1)

Documents
Tenseurs

Tenseurs

Documents
Les 5 Visages Du Mail Marketing

Les 5 Visages Du Mail Marketing

Documents
CAVALLERIA RUSTICANA (1)

CAVALLERIA RUSTICANA (1)

Documents
Assimil Hebreu Sans Peine Complet Tome 1

Assimil Hebreu Sans Peine Complet Tome 1

Documents
rhximeizonos

rhximeizonos

Documents
élection présidentielle 2012 - les professions de foi des candidats - 1er tour

élection présidentielle 2012 - les professions de foi des candidats - 1er tour

Documents
dict_FRANÇAIS ANGLAIS ALLEMAND ITALIEN

dict_FRANÇAIS ANGLAIS ALLEMAND ITALIEN

Documents
Analyse Num

Analyse Num

Documents