Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
Politique de Sécurité des
Systèmes d’Information
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
2
Sommaire
1 PREAMBULE ............................................................................................................................................................. 3
2 CONTEXTE ................................................................................................................................................................ 4
3 ORIENTATION STRATEGIQUE ................................................................................................................................... 4
4 PERIMETRE............................................................................................................................................................... 5
5 ENJEUX DE LA PSSI AU CONSEIL DE L’EUROPE ......................................................................................................... 6
6 LES BESOINS DE SECURITE ........................................................................................................................................ 7
7 PRINCIPES ET REGLES DE SECURITE .......................................................................................................................... 8
7.1 ORGANISATION DE LA SECURITE...........................................................................................................................................8 7.2 POLITIQUE DE SECURITE ...................................................................................................................................................12 7.3 GESTION DES BIENS DU CONSEIL DE L’EUROPE ......................................................................................................................13 7.4 SECURITE LIEE AUX RESSOURCES HUMAINES .........................................................................................................................15 7.5 SECURITE PHYSIQUE ET ENVIRONNEMENTALE........................................................................................................................16 7.6 GESTION DE L’EXPLOITATION ET DES TELECOMMUNICATIONS ...................................................................................................18 7.7 CONTROLE D’ACCES......................................................................................................................................................... 23 7.8 ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES SYSTEMES D’INFORMATION .....................................................................25 7.9 GESTION DES INCIDENTS...................................................................................................................................................26 7.10 GESTION DE LA CONTINUITE D’ACTIVITE INFORMATIQUE .........................................................................................................27 7.11 CONFORMITE .................................................................................................................................................................28
8 LEXIQUE ................................................................................................................................................................. 29
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
3
11 PPRREEAAMMBBUULLEE
Ce document constitue le référentiel, aussi appelé « Politique de Sécurité des Systèmes
d’Information » du Conseil de l’Europe (CdE). Il est construit à partir du « guide pour l'élaboration
d'une Politique de Sécurité des Systèmes d’Information » de l’Agence Nationale de la Sécurité des
Systèmes d’Information (ex Direction Centrale de la Sécurité des Systèmes d’Information) et suit la
structure en chapitres de la norme ISO 27002.
Il traduit en termes applicables la volonté et les exigences de l’Organisation pour mettre en œuvre
les moyens permettant de protéger de la manière la plus efficace le patrimoine que représentent
les Systèmes d’Information, avec tous ses biens (informations et leurs différents moyens de
partage, de traitement, d’échange et de stockage), et de préserver son fonctionnement en tant
qu’outil de production pour les utilisateurs.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
4
22 CCOONNTTEEXXTTEE
Le CdE dispose d’un patrimoine d’informations sensibles constituant l’un de ses actifs les plus
importants, sur lequel reposent son image et sa capacité à maintenir et développer ses activités et
ses publications. Il recouvre :
• le patrimoine intellectuel, composé de toutes les informations concourant à son savoir et son
savoir-faire, par exemple, ses travaux de préparation des sessions, ses futures publications,
etc.,
• les informations relatives à ses clients, ses partenaires ou tout autre tiers avec lesquels il est en
relation, dont l’altération ou la divulgation pourrait porter atteinte à son image,
• les informations relatives à son personnel, telles que les dossiers administratifs ou
d’appréciation, dont la divulgation constituerait une violation de la vie privée,
• la protection de ce patrimoine nécessite la prise en considération d’un contexte
organisationnel et technique complexe caractérisé par :
- la répartition fonctionnelle et géographique (internationale) de l’Organisation,
- une utilisation importante de technologies hétérogènes et ouvertes offrant des
moyens de communication puissants, internes comme externes,
- une diversité importante de populations d’utilisateurs induisant des
comportements multiples et des attentes différentes,
- des relations institutionnelles avec les Etats membres.
33 OORRIIEENNTTAATTIIOONN SSTTRRAATTEEGGIIQQUUEE
La stratégie de Sécurité des Systèmes d’Information du CdE est axée sur une notion d’ouverture.
Par ouverture, il est entendu que toute information est par défaut considérée comme publique au sein du
CdE, c'est-à-dire accessible depuis des outils de recherche. Ensuite, la personne propriétaire du bien
(données, documents, matériels, logiciels, processus) est responsable de son niveau de confidentialité.
Elle peut en complément, déterminer et demander des actions, afin de le rendre :
- intègre / probant
- disponible
- tracé
Cette orientation a pour objectif de faciliter la productivité, la communication et d’éviter une
surprotection des informations, tout en offrant la possibilité de sécuriser des informations jugées
sensibles.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
5
44 PPEERRIIMMEETTRREE
La Politique de Sécurité des Systèmes d’Information s’applique à l’ensemble des SI du CdE. Elle
comprend l’ensemble des moyens humains, techniques et organisationnels permettant, en support
à l’activité, de créer, de conserver, d’échanger et de partager des informations entre les acteurs
internes et tiers de l’Organisation, quelle que soit la forme sous laquelle elles sont exploitées
(électroniques, imprimées, manuscrites, vocales, images etc.).
Elle complète l’instruction 47 recensant les droits et devoirs des utilisateurs.
La politique de sécurité concerne l’ensemble des activités et des métiers du CdE, quels que soient
leurs lieux d’implantation.
Elle s’applique à :
• l’ensemble des personnels autorisés à accéder, utiliser ou traiter, au niveau fonctionnel ou
technique, des informations ou des biens des Systèmes d’Information du CdE ;
• l’ensemble des entités et des accords partiels du CdE ;
• l’ensemble des tiers, dès lors qu’ils utilisent les Systèmes d’Information du CdE ou que leurs
propres Systèmes d’Information sont reliés au réseau informatique du CdE;
• l’ensemble du patrimoine informationnel du CdE quel qu’en soit le support ou la nature ;
• tous les composants matériel et logiciel des Systèmes d’Information, et en particulier :
• les applications, processus de traitement, bases de données et les serveurs qui les
hébergent,
• les réseaux de communication, et particulièrement les interconnexions avec les tiers du
CdE,
• les systèmes externes utilisés ou connectés aux systèmes du CdE,
• les moyens et environnements techniques de fonctionnement des équipements,
• à l’ensemble des procédures et modes opératoires de production et d’échange
d’informations, quelle qu’en soit la nature (données, voix, images, papier, etc.),
• aux bâtiments et locaux hébergeant les ressources humaines, les archives et les moyens
informatiques du CdE.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
6
55 EENNJJEEUUXX DDEE LLAA PPSSSSII AAUU CCOONNSSEEIILL DDEE LL’’EEUURROOPPEE
La Sécurité des Systèmes d’Information (SSI) s’impose comme une composante essentielle de la
protection du CdE dans ses intérêts propres et dans ceux liés à des enjeux internationaux relatifs à
son activité.
Face aux risques encourus, et dans le contexte fonctionnel et organisationnel propre au CdE, il
convient d’identifier ce qui doit être protégé, de quantifier l’enjeu correspondant, de formuler des
objectifs de sécurité et d’identifier, arbitrer et mettre en œuvre les parades adaptées au juste
niveau de sécurité retenu. Cela passe prioritairement par la définition et la mise en place au sein du
CdE d’une « Politique de Sécurité des Systèmes d’Information » (PSSI) prenant en compte les
principaux risques identifiés lors de la phase d’analyse des activités métiers :
• risque d’indisponibilité des informations et des systèmes les traitant (intrusion, vol,
destruction, panne, déni de service),
• risque de divulgation – perte de la confidentialité accidentelle ou volontaire des
informations sensibles comme les données personnelles, les documents de préparation
des sessions, les informations relevant des activités de monitoring,
• risque d’altération – perte d’intégrité notamment dans le cadre des publications
réalisées par le Conseil de l’Europe.
Elle a pour objectifs de :
• définir la cible en terme de gestion de la Sécurité des Systèmes d’Information,
• organiser la sécurité,
• fédérer les entités autour du thème de la sécurité,
• savoir mesurer la sécurité,
• améliorer la sécurité au quotidien.
Celle-ci se déclinera ensuite au niveau de chaque entité entrant dans le périmètre de la PSSI par un
approfondissement du contexte (enjeux, menaces, besoins) et une explicitation des dispositions de
mise en œuvre, au travers d’un plan d’action SSI et procédures de sécurité opérationnelles
adaptées aux spécificités de chacun.
Schéma de déclinaison de la PSSI :
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
7
66 LLEESS BBEESSOOIINNSS DDEE SSEECCUURRIITTEE
La sécurité des Systèmes d’Information repose sur quatre critères (DICT) :
• Disponibilité : garantir que les éléments considérés (fichiers, messages, applications, services)
sont accessibles au moment voulu par les personnes autorisées.
• Intégrité : garantir que les éléments considérés (données, messages…) sont exacts et complets
et qu’ils n’ont pas été modifiés.
• Confidentialité : garantir que seules les personnes autorisées ont accès aux éléments
considérés (applications, fichiers…).
• traçabilité : garantir que les accès et tentatives d'accès aux informations sont tracés et que ces
traces sont conservées et exploitables en temps voulu.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
8
77 PPRRIINNCCIIPPEESS EETT RREEGGLLEESS DDEE SSEECCUURRIITTEE
7.1 Organisation de la Sécurité
7.1.1 Organisation interne
OBJECTIFS :
• Gérer, suivre et garantir la sécurité de l'information au sein du CdE de manière transversale.
• Définir les responsabilités et les rôles des différents acteurs de la sécurité.
REGLES :
Schéma général de l’organisation :
Le Comité d’Organisation de la Sécurité de l’Information (COSI) :
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
9
7.1.1.1 Le COSI est composé du Responsable Sécurité des Systèmes d’Information,
d’un collaborateur de l’audit interne et de référents présents dans chacune
des entités suivantes entrant dans le périmètre de la PSSI.
7.1.1.2 Le COSI est chargé de la définition, de l’approbation, de la communication et
de l'évolution de la PSSI.
7.1.1.3 Le COSI produit et valide un plan de communication de la PSSI et de ses règles
de sécurité.
7.1.1.4 Le COSI est en charge de gérer les exceptions (événement non pris en
compte dans la PSSI) ayant un impact sur la sécurité des Systèmes
d’Information du CdE.
7.1.1.5 Le COSI a également pour objectif d’effectuer des retours d’expérience et
d’échanger sur les pratiques de chacun dans le domaine de la sécurité des
Systèmes d’ Information.
7.1.1.6 Le COSI planifie et exerce un contrôle annuel des dispositions prises. Ce
contrôle est assuré par des audits de sécurité effectués en interne par le RSSI
à la DIT ou les référents Sécurité ou alors confiés à des organismes tiers
spécialisés devant vérifier l'application des règles définies dans la PSSI.
7.1.1.7 Dans l’objectif de gérer la sécurité de manière transversale au sein du CdE, le
RSSI rencontre régulièrement les différents référents sécurité du COSI (cf.
schéma organisation de la sécurité). Il s’agit de réaliser régulièrement un
point d’avancement sur les projets sécurité relatifs à leur périmètre d’activité
et d’échanger sur les pratiques de sécurité mises en place.
7.1.1.8 Des indicateurs transversaux de suivi d’avancement des projets de la PSSI
sont complétés et approuvés par l’ensemble des membres du COSI.
7.1.1.9 Le COSI dispose d’un espace d’échange interne permettant d’assurer une
communication transversale et un partage d’information optimal entre les
entités (problèmes, incidents, vulnérabilité, etc.).
Gestion de crise
7.1.1.10 Le processus et l’organisation de gestion de crise sont identifiés localement
au niveau de chaque entité, mais également au sein du COSI en cas de crise
transverse. Ce document décrit comment les entités informatiques du CdE
doivent réagir face à une crise, et cela de façon rapide et cohérente en
utilisant une communication simple et transparente, dénuée de tout jargon
informatique.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
10
Responsable sécurité des Systèmes d’Information
7.1.1.11 Le Responsable Sécurité des Systèmes d’Information (RSSI) du CdE est
désigné par la définition de sa fiche de poste précisant son périmètre
d'action, ses responsabilités et ses moyens d'action. Il veille à la sécurité des
Systèmes d’Information conformément à des grandes orientations et
priorités et dans un souci de qualité, d’efficience et de précision.
7.1.1.12 Le RSSI a un rôle de coordination pour la mise en œuvre et l'application de la
PSSI du CdE. Il n'intervient pas directement au niveau opérationnel en tant
que maître d'œuvre des projets de sécurité, mais :
• coordonne la gestion quotidienne de la fonction Sécurité,
• participe à l’homogénéisation du niveau de sécurité,
• pilote la sécurité au niveau de la DIT,
• se tient informé de l’état de l’art en matière de TIC.
7.1.1.13 En collaboration avec les autres membres du COSI, le RSSI développe des
contacts avec les spécialistes externes au CdE, afin d’assurer une veille
technologique en matière de protection des informations.
Les référents
7.1.1.14 Les référents sécurité assurent la responsabilité de la sécurité dans leur
périmètre technique ou leur entité. Ils veillent au quotidien à l'application des
procédures de sécurité pour la partie technique de l'exploitation systèmes,
réseaux, postes de travail et applicatifs. Ils sont responsables de la mise en
œuvre de la PSSI et du plan d’action sécurité dans leur périmètre.
7.1.1.15 Ils assurent une veille sécurité (faille de sécurité, vulnérabilité, exploitations
de vulnérabilités, etc.) en fonction de leur périmètre d’intervention afin de
garantir le maintien du niveau de sécurité (poste de travail, système, réseau,
etc.).
7.1.1.16 Le CdE désigne des responsables sécurité des sites chargés de la sécurité
physique ou des personnes. En collaboration avec le RSSI et les autres
référents sécurité, ils assurent la sécurité des locaux techniques et des
environnements de travail.
7.1.2 Gestion des tiers de chacune des entités
OBJECTIF :
• Assurer la sécurité de l'information et des moyens de traitement de l'information appartenant
au CdE et consultés, communiqués ou gérés par des tiers.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
11
REGLES :
7.1.2.1 Les risques doivent être évalués par le RSSI ou le référent sécurité de l’entité
en question préalablement à la collaboration avec un tiers afin de déterminer
les impacts sécurité et les mesures nécessaires lorsque la CdE doit :
• collaborer avec des tiers et leur autoriser l'accès aux informations ou aux moyens de
traitement (accès aux bureaux, salles des machines, dossiers papiers, accès logique
interne ou externe),
• obtenir un produit ou un service d'un tiers, ou lui fournir un produit ou un service.
7.1.2.2 L’accès aux tiers ne doit être autorisé qu’aux systèmes utiles à la réalisation
de leur travail dans la limite des attributions de chacun. La procédure d’accès
est validée par le RSSI à la DIT ou le référent sécurité de l’entité en question.
7.1.2.3 Tous les contrats avec des tiers doivent comporter un volet sécurité qui
précise les règles de la PSSI du CdE. Ce volet devra notamment mentionner
l'obligation de faire signer un engagement de responsabilité et de
confidentialité à leur personnel devant accéder à des données sensibles.
7.1.2.4 Le CdE confie à des tiers la gestion et le contrôle de toute ou partie de son
système d’information, de son infrastructure de traitement de l’information
(réseaux, postes de travail, etc.), il intègre dans le contrat de sous-traitance
ses exigences de sécurité, à savoir :
• le respect des exigences légales, dont la protection des données à caractère
personnel,
• les responsabilités en matière de sécurité pour l’Organisation et pour le sous-traitant,
• la vérification du respect des exigences de confidentialité et d’intégrité des
informations,
• les mesures de contrôle d’accès physique et logique à mettre en place et à respecter,
• les mesures de continuité de service en cas de survenance d’un sinistre,
• le niveau de protection physique des matériels confiés à des tiers,
• le droit d’audit de l’application des procédures et des installations de sécurité.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
12
7.2 Politique de sécurité
7.2.1 Politique de Sécurité des Systèmes d’Information
OBJECTIF :
• Doter l’établissement d’une Politique de Sécurité des Systèmes d’Information publiée, remise
à jour régulièrement et soutenue par le COSI, afin d’apporter à la sécurité de l'information une
orientation conforme aux exigences métier et règlements en vigueur.
REGLES :
7.2.1.1 La PSSI, approuvée par le COSI, est publiée et diffusée auprès de l'ensemble
des salariés et des tiers concernés.
7.2.1.2 La PSSI s'applique à l'ensemble des utilisateurs des Systèmes d’Information.
7.2.1.3 Le document PSSI est revu à intervalle régulier par le COSI.
7.2.1.4 La PSSI est systématiquement réexaminée à chaque changement
organisationnel de l'activité ou de l'environnement technique.
7.2.1.5 Un plan d’action est établit après réexamen afin de combler les écarts.
7.2.1.6 La PSSI a, dans chaque entité, un responsable (RSSI ou référent sécurité) de sa
mise en œuvre, de son suivi et de son évolution. Il assure l’examen
périodique de la mise en œuvre de la politique de sécurité en termes :
• d’amélioration des dispositifs de sécurité des Systèmes d’Information,
• de diminution des incidents et de leurs impacts sur le fonctionnement de
l’établissement (diminution des arrêts, diminution des pertes de données…),
• de prise en compte de l’évolution des activités et de l’Organisation, ainsi que des
nouveaux risques pesant sur les Systèmes d’Information de l’Organisation.
• de mise au point des outils pour préserver l’intégrité des informations archivées.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
13
7.3 Gestion des biens du Conseil de l’Europe
7.3.1 Inventaire et responsabilités relatives aux biens
OBJECTIFS :
• Inventorier et identifier la durée d’utilité administrative pour ensuite mettre en place et
maintenir une protection appropriée des biens du CdE.
• Identifier et inventorier tous les biens nécessaires à la gestion des informations. Pour chacune
d’entre elles, un responsable doit être identifié. Celui-ci est chargé de faire appliquer la
politique de sécurité pour ses biens.
• L’inventaire des ressources est un élément fondamental de la gestion des risques,
indépendamment de l’utilité qu’il peut avoir pour d’autres activités du Conseil de l’Europe
(publication, gestion des données personnelles…). En effet, les mesures de sécurité adéquates
ne peuvent être mises en œuvre que si les éléments à protéger sont connus.
REGLES :
7.3.1.1 Chaque entité établit un inventaire des biens et le met à jour régulièrement
pour chacun de ses Systèmes d’Information. Chaque bien doit être clairement
identifié et documenté (localisation…) conformément aux recommandations
du COSI.
7.3.1.2 L’ensemble des applications installé sur les postes de travail doit être suivi et
maitrisé.
7.3.1.3 Une cartographie des applications est formalisée et régulièrement mise à jour
en fonction des nouvelles applications et de celles sortant du périmètre.
Cette cartographie applicative est nécessaire dans le cadre de projets
structurants, comme la mise en place du Single-Sign-On, un Plan de
Continuité d’Activité ou tout autre projet en lien avec un ensemble
d’applications.
7.3.1.4 Les responsables des biens inventoriées présents dans le périmètre préconisé
par le COSI, doivent clairement être identifiés, tout comme la personne
chargée de mettre à jour des caractéristiques du bien et de maintenir des
mesures de sécurité appropriées sur le bien concernée.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
14
7.3.2 Classification des biens
OBJECTIF :
• Attribuer le niveau de protection requis pour chaque bien des Systèmes d’Information.
REGLES :
7.3.2.1 Une classification qui attribue les besoins et priorités de protection est
établie. Cette classification repose sur les 4 axes correspondant aux besoins
en termes de Disponibilité, d’Intégrité, de Confidentialité et de Traçabilité
(DICT). La classification des biens s’appuie sur la procédure opérationnelle de
classification des biens.
7.3.2.2 Il convient de classifier les biens sensibles pour indiquer le besoin, les
priorités et le degré souhaité de protection lors de leur usage.
7.3.2.3 A tout bien, et en particulier toute information sensible, doit être associé sa
classification de sécurité (sur les 4 axes DICT).
7.3.2.4 La sensibilité d’un bien évolue dans le temps. Chaque responsable de biens
des Systèmes d’Information doit donc périodiquement revoir la classification
des biens dont il a la responsabilité.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
15
7.4 Sécurité liée aux ressources humaines
OBJECTIFS :
• Garantir que les utilisateurs connaissent les responsabilités en terme de sécurité.
• Réduire les risques d’accident, d’erreur et/ou de malveillance en intégrant les principes de
sécurité dans la gestion des ressources humaines, du recrutement à la fin de collaboration,
• Veiller à ce que les agents, contractants et utilisateurs tiers quittent le CdE ou changent de
poste selon une procédure définie et diffusée.
REGLES :
7.4.1.1 Un rappel sur les obligations en matière de respect du secret professionnel et
sur les clauses de confidentialité est inscrit dans le contrat des agents du CdE.
7.4.1.2 L’« Instruction 47 », présentant les limitations générales à l’utilisation des
Systèmes d’Information du CdE, les droits et obligations des utilisateurs, les
contrôles réalisés par les entités informatiques et les conséquences en cas de
non respect des règles, est transmise à chaque utilisateur lors de son arrivée.
Ce document est porté à la connaissance de tout nouvel agent, qu’il soit
embauché à titre temporaire, à titre définitif ou en tant qu’externe.
7.4.1.3 En cas de non-respect de la présente Politique de Sécurité des Systèmes
d’Information, des mesures disciplinaires seront, le cas échéant, prises
conformément aux règles contenues dans le Statut du Personnel.
7.4.1.4 Lors de son arrivée, chaque utilisateur est sensibilisé à la sécurité par l’entité
lui fournissant l’accès aux SI. Cette sensibilisation présente le CdE et les
grands principes de la PSSI. Elle est effectuée avant que l'accès à l'information
ou au service ne soit donné. L’utilisateur est également averti des
conséquences pénales de toute utilisation de moyens de traitement de
l'information à des fins illégales.
7.4.1.5 Au cours de séances de sensibilisation à la sécurité, les utilisateurs sont
sensibilisés à leurs responsabilités et aux bonnes pratiques sécuritaires
concernant l’utilisation des Systèmes d’Information.
7.4.1.6 Des actions régulières de sensibilisation sont menées au niveau local et
européen par les référents et le RSSI par le biais de lettres de communication,
de news via l’intranet ou d’événements spécifiques (séminaire, petit déjeuner
thématique, etc).
7.4.1.7 La procédure de départ ou de changement de poste mise en place
comprend :
• la suppression des droits d'accès,
• la reprise des matériels,
• la suppression des données stockées sur le réseau.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
16
7.5 Sécurité physique et environnementale
7.5.1 Protection des zones sécurisées
OBJECTIF :
• Veiller que seules les personnes habilitées aient accès aux bâtiments, aux locaux techniques et
locaux d’archives du CdE et que les accès soient tracés.
REGLES :
7.5.1.1 Seules les personnes habilitées, enregistrées ou inscrites dans un registre des
visites peuvent accéder aux sites. Un contrôle d’accès est mis en place à
l’entrée de chaque site. L’ensemble des personnes accédant aux sites du CdE
(visiteurs, résidents, internes) se voient attribuer un badge permettant de les
identifier.
7.5.1.2 Les intervenants tiers non habilités par contrat et les visiteurs sont
accompagnés par une personne habilitée, qui assume la responsabilité de
leurs actions.
7.5.1.3 L'accès aux locaux techniques et d’archives est nominatif et n’est autorisé
qu'aux personnes habilitées par le RSSI à la DIT ou le référent sécurité des
autres entités. Les personnes habilitées sont enregistrées et les accès
journalisés.
7.5.1.4 La liste des personnels autorisés est régulièrement vérifiée par le RSSI à la DIT
ou le référent sécurité de chaque entité en collaboration avec les
responsables de la sécurité des sites du CdE.
7.5.1.5 Certaines zones de travail peuvent faire l'objet de conditions d'accès
particulières. Ces règles sont affichées à l'entrée de la zone de l’entité
manipulant des données sensibles.
7.5.1.6 Les textes règlementaires sur l'accès et les règles d’utilisation des archives
physiques sont régulièrement maintenus à jour par les archives centrales du
CdE .
7.5.2 Protection des matériels et supports papier
OBJECTIFS :
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
17
• Assurer la protection et la disponibilité des équipements sensibles.
• Assurer une sécurité environnementale homogène (incendie, climatisation, inondation) des
salles serveurs.
REGLES :
7.5.2.1 Les éléments non dématérialisés, comme les vidéos ou les archives, doivent
être stockés dans des locaux adéquats, afin de les protéger contre le vol, les
incendies, l’humidité et les inondations.
7.5.2.2 Tous les équipements informatiques qui sont répertoriés comme importants
ou vitaux pour le CdE sont installés dans des locaux sûrs, appelés salle
blanche ou locaux techniques.
7.5.2.3 La protection des équipements sensibles est réalisée par des mesures de
prévention et/ou de protection en fonction de leur sensibilité (protection
incendie, climatisation, secours électrique par onduleur).
7.5.2.4 Le matériel sensible (serveurs, équipements réseaux) doit être protégé contre
les perturbations de l'alimentation électrique (surtension par exemple) et
disposer d'une alimentation électrique de secours lui permettant de garantir
la disponibilité du service attendu.
7.5.2.5 Des visites et des tests réguliers des solutions de protection physique des
salles informatiques sont réalisés par le RSSI à la DIT ou le référent sécurité de
chaque entité. Ils travaillent en collaboration avec les experts internes et des
sociétés tierces, afin de garantir l’homogénéité et l’efficacité des solutions.
7.5.2.6 Pour les biens classifiés sensibles, un contrat de maintenance est conclu avec
un délai d'intervention ou de remplacement garanti, compatible avec les
exigences de disponibilité et d'intégrité du bien.
7.5.2.7 S’agissant des matériels nomades propriétés du CdE, personnels ou en libre
service, accédant aux SI ou stockant des informations du CdE, un guide de
bonnes pratiques d’utilisation (suppression des traces, sauvegarde des
données, suppression des données au retour, etc.) est formalisé et
communiqué à l’ensemble des utilisateurs susceptibles d’utiliser ce type
d’accès. Ce référentiel est validé par le COSI.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
18
7.6 Gestion de l’exploitation et des télécommunications
7.6.1 Procédures et responsabilités liées à l’exploitation
OBJECTIF :
• Assurer l’exploitation correcte et sécurisée des moyens de traitement de l’information.
REGLES :
7.6.1.1 Les procédures d’exploitation (système, réseau, poste de travail, application)
sont formalisées, partagées et les responsabilités associées (suivi,
approbation, mise à jour) sont définies.
7.6.1.2 La documentation des Systèmes d’Information (architecture,
fonctionnement, procédures) est sauvegardée et son accès est réservé au
personnel habilité.
7.6.1.3 Pour chaque système sensible, des cahiers d'exploitation doivent être
formalisés et doivent comprendre :
• le suivi des mises à jour de logiciels,
• la modification de paramètres,
• Les erreurs systèmes et actions correctives prises.
7.6.1.4 Les cahiers d'exploitation doivent faire l'objet de contrôles réguliers par
rapport aux procédures d'exploitation.
7.6.1.5 Le processus de modifications majeures des Systèmes d’Information
(ouverture vers l’extérieur, modification de l’architecture, ajout d’une
application critique) doit faire l’objet d’une analyse des risques et d’une
validation du référent sécurité associé.
7.6.2 Sécurité liée à l’exploitation
OBJECTIFS :
• Suivre les événements systèmes.
• Assurer le bon fonctionnement des SI.
• Détecter et analyser un dysfonctionnement.
REGLES :
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
19
7.6.2.1 Les équipements des Systèmes d’Information sont surveillés en temps réel.
Les principales informations concernant la disponibilité des services, la charge
système et les espaces disques sont consolidées. En cas de
dysfonctionnement, une alerte est remontée au référent sécurité adéquat,
puis, en fonction de la criticité, au RSSI à la DIT ou au référent sécurité de
chaque entité.
7.6.2.2 Le traçage des évènements (ou logs) sur les systèmes doit être activé partout
où il est disponible et pertinent.
7.6.2.3 Une norme concernant la mise en place des logs sur l’ensemble des systèmes
est définie, elle permet de garantir leur exploitation dans le temps.
7.6.2.4 La collecte et la conservation des traces doivent être faites de manière à
permettre leur utilisation comme élément de preuve aussi probant que
possible.
7.6.2.5 Le processus de gestion des changements (mise à jour des correctifs et mise à
jour de sécurité) est formalisé et mis en production sur l’ensemble des
équipements systèmes, réseaux, des postes de travail et des logiciels.
7.6.2.6 Les délais d’applications des changements / mises à jour mineurs et majeurs
applicatifs et systèmes sont définis par le référent sécurité associé.
7.6.2.7 Les matériels et systèmes obsolètes doivent être clairement identifiés et
doivent faire l’objet d’une analyse des risques par le référent sécurité associé.
7.6.3 Protection contre les malveillances
OBJECTIFS :
• Protéger l’intégrité des logiciels et de l’information.
• Contrôler et filtrer l’accès internet.
REGLES :
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
20
7.6.3.1 Tous les serveurs et postes de travail doivent être protégés et supervisés afin
de garantir l’intégrité des informations (données, configuration, etc.).
7.6.3.2 Chaque entité informatique possède un processus de traitement des
infections. Elle réalise un reporting centralisant les statistiques d’infection,
dont la fréquence est définie par le COSI, à destination du RSSI à la DIT ou du
référent sécurité de chaque entité.
7.6.3.3 Les protocoles réseaux autorisés et non autorisés doivent être identifiés et
mis en production sur les équipements de sécurité périmétrique et de
réseaux internes permettant leur cloisonnement.
7.6.3.4 Toute connexion distante (sites distants, bureaux extérieurs, OWA, tiers, etc.)
doit être réalisée en utilisant une solution permettant le chiffrement des flux.
7.6.3.5 La liste des flux réseaux entrant et sortant autorisés est formalisée. Tous les
flux n’étant pas décrits dans ce référentiel sont interdits.
7.6.3.6 Les connexions internet des utilisateurs sont filtrées et journalisées. Une liste
des sites non autorisés est établie et remise à jour régulièrement par le
référent sécurité en charge de ces aspects.
7.6.4 Sauvegarde
OBJECTIF :
• Maintenir l’intégrité et la disponibilité des informations et garantir leur restauration.
REGLES :
7.6.4.1 Une politique de sauvegarde est formalisée et validée par les référents
sécurité en charge de ces aspects. Elle prend en compte :
• le responsable de la sauvegarde,
• la fréquence,
• Le type (complète, incrémentale, différentielle),
• le support (bande, disque),
• la durée de rétention,
• des tests réguliers de restauration d’une sauvegarde / contrôle de l’intégrité des
données sauvegardées.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
21
7.6.4.2 Les données sauvegardées doivent être délocalisées dans un local sécurisé
(cf. 7.5) distant de l’environnement de production.
7.6.4.3 La politique de sauvegarde est régulièrement revue et mise à jour par le RSSI
à la DIT ou le référent sécurité de chaque entité et les responsables des
sauvegardes.
7.6.4.4 La politique de sauvegarde est communiquée de manière synthétique aux
agents du CdE.
7.6.5 Sécurité de l’information et des supports
OBJECTIFS :
• Garantir la confidentialité des données stockées et échangées au sein du CdE et avec des tiers.
• Empêcher la divulgation, la modification, le retrait ou la destruction non autorisés de biens.
REGLES :
7.6.5.1 Les propriétaires d'information doivent définir les profils d'accès aux
informations. Ces profils doivent distinguer les droits en lecture seule ou en
lecture/écriture.
7.6.5.2 Les utilisateurs doivent être sensibilisés à la mise en œuvre d’un ensemble de
bonnes pratiques concernant les protections des documents physiques
sensibles, par exemple :
• ne doivent être sortis que les documents utiles,
• quand ils ne sont plus utilisés, ils sont enfermés dans des armoires ou des coffres-
forts adaptés au niveau de sécurité requis,
• la destruction est réalisée au moyen de destructeurs de documents / broyeurs,
• les documents sensibles ne sont pas laissés sur les imprimantes réseau sans
surveillance,
• les faxs sont immédiatement récupérés.
7.6.5.3 Le processus de restitution des biens est formalisé, il prévoit la remise de
l’ensemble des biens appartenant au CdE et, sauf en cas de demande de sa
hiérarchie, la suppression des données présentes sur l’ensemble des
supports.
7.6.5.4 Lors du remplacement ou de la mise à la réforme des appareils de type fax,
copieur, etc., les supports de stockage qu’ils contiennent doivent faire l’objet
d’une gestion particulière, notamment pour ce qui concerne l’effacement
sécurisé des données.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
22
7.6.6 Archivage
OBJECTIFS :
• fournir les pièces indispensables au travail quotidien,
• conserver une trace des transactions,
• assurer la continuité en cas de catastrophe,
• répondre aux besoins de conformité en matière réglementaire,
• créer et gérer des archives utilisables, fiables et authentiques pour répondre aux obligations
redditionnelles et assurer la conservation de la mémoire collective de l’Organisation.
REGLES :
7.6.6.1 L’environnement adapté à la gestion correcte des archives est défini par la
politique d’archivage du Conseil de l’Europe. Elle définit les responsabilités du
Secrétariat général en matière d’archivage et établit des règles de base.
7.6.6.2 La politique d’archivage sera révisée au moins tous les cinq ans par les
Archives Centrales du Conseil de l’Europe, en coopération avec les MAEs.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
23
7.7 Contrôle d’accès
OBJECTIFS :
• Garantir un contrôle efficace d’accès aux informations.
• Suivre et maîtriser les accès aux SI.
• Assurer la conformité entre les habilitations et l’existant.
• L’accès aux informations doit être réalisé conformément aux textes règlementaires du Conseil
de l’Europe.
REGLES :
7.7.1.1 L’identification de la personne se connectant au réseau est effectuée de
façon formelle et non ambiguë. L’ensemble des utilisateurs des Systèmes
d’Information (interne, tiers, etc.) possède un compte nominatif.
7.7.1.2 Toute création, modification et clôture de compte (utilisateur,
administrateur, service, etc.) doit pouvoir être suivie, tracée par le RSSI ou le
référent sécurité de l’entité.
7.7.1.3 L’ensemble des accès aux Systèmes d’Information est tracé.
7.7.1.4 La collecte et la conservation des accès doivent être faites de manière à
permettre leur utilisation comme élément de preuve.
7.7.1.5 Les habilitations et les droits « utilisateurs avec pouvoir » sont répertoriés
dans un référentiel (comptes nominatifs et comptes de service).
7.7.1.6 La procédure des mouvements (arrivée, départ ou mutation interne), est
formalisée et inclut la mise à jour du référentiel et des droits d’accès associés.
Elle prend en compte le profil et la durée de la mission du nouvel utilisateur
(interne ou tiers).
7.7.1.7 Une politique de mots de passe complexes d’accès ciblant l’ensemble des
utilisateurs des SI (internes, tiers) et les comptes de services est établie,
respectant les préconisations relatives à la sécurité :
• processus de remise du mot de passe,
• longueur minimale,
• limite de tentatives d’accès,
• renouvellement.
7.7.1.8 Des dispositifs limitant dans le temps les autorisations d’accès doivent être
mis en œuvre pour assurer la protection de l’accès aux Systèmes
d’Information :
• économiseur d’écran activé et protégé par mot de passe,
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
24
• encourager l’utilisation du verrouillage manuel quand l’utilisateur quitte son poste
de travail,
• arrêt du poste de travail en fin de journée.
7.7.1.9 Les textes règlementaires sur l'accès aux documents du CdE sont régulièrement
maintenus à jour par les Archives Centrales.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
25
7.8 Acquisition, développement et maintenance des Systèmes d’Information
OBJECTIFS :
• Garantir la gestion de la sécurité tout au long du cycle de vie des Systèmes d’Information.
• Réduire les risques liés à l'exploitation des vulnérabilités techniques et applicatives.
REGLES :
7.8.1.1 Les développements et les acquisitions doivent prendre en compte les
besoins des métiers en matière de sécurité. Une analyse des besoins de
sécurité doit être effectuée suivant l'échelle des besoins de sécurité (cf.
chapitre 6 de la présente PSSI)
7.8.1.2 Le RSSI à la DIT, ou le référent de chaque entité, doit être intégré dans les
projets et dans le processus de validation d’un cahier des charges lié aux SI,
particulièrement pour les projets dits "sensibles.
7.8.1.3 Des audits de vulnérabilité des applications, bases de données et systèmes
sensibles sont réalisés :
• dans le cadre de leur mise en place,
• à intervalle régulier,
• en cas d'évolution majeure du système d'exploitation, de l'application ou de la
configuration matérielle,
• en cas d'apparition d'une nouvelle vulnérabilité majeure, dans le but de confirmer
ou rejeter son exploitabilité.
7.8.1.4 Un guide décrivant les bonnes pratiques et les règles de l’art pour les
développements internes est formalisé par le référent en charges de ces
aspects.
7.8.1.5 Le processus de mise en production d’une application ou d’un système est
formalisé. Il décrit l’ensemble des étapes du processus et spécifie que les
différents environnements (développement, pré production, production)
doivent être séparés.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
26
7.9 Gestion des incidents
7.9.1 Gestion des évènements et des failles de sécurité
OBJECTIFS :
• Garantir la mise en place d’une politique cohérente et efficace pour la gestion des incidents
liés à la sécurité de l’information.
• Garantir la remontée des évènements et failles de sécurité.
• Identifier des indicateurs et établir un reporting sur les incidents de sécurité.
• Permettre la mise en œuvre d’actions correctives ou préventives dans les meilleurs délais.
REGLES :
7.9.1.1 En cas d’infection (vers, virus, cheval de Troyes), faille de sécurité ou incident
de sécurité constaté ou soupçonnée sur un poste de travail, une procédure
de réaction connue de tous les utilisateurs est mise en œuvre.
7.9.1.2 Une surveillance permanente des systèmes, des alertes et des vulnérabilités
est mise en œuvre afin de détecter les dysfonctionnements liés à la sécurité
de l’information.
7.9.1.3 Des indicateurs permettent de recenser les incidents, l’origine, la cause,
l’impact sur la disponibilité, l’intégrité, la preuve ou la confidentialité.
7.9.1.4 Une synthèse des incidents de sécurité et des propositions d’actions pour les
corriger ou les éviter est présentée trimestriellement par le RSSI à la DIT et le
référent de chaque entité.
7.9.1.5 La présentation de l’analyse des incidents de sécurité donne lieu pour chaque
entité à un plan d’action (actions préventives ou curatives) permettant
d’améliorer les mesures existantes et, selon le besoin, d’en créer de
nouvelles.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
27
7.10 Gestion de la continuité d’activité informatique
OBJECTIFS :
• Suite à un incident mineur (panne d’un équipement), assurer le secours informatique en
fonction des besoins des métiers.
• Suite à un incident majeur impactant l’ensemble d’une salle machines, assurer une continuité
d’activité informatique des biens sensibles dans les meilleurs délais et en fonction des besoins
des métiers.
REGLES :
7.10.1.1 Chaque entité (CEDH, OBS, DEQM, DLOG et DIT) met en place des Plans de
Secours Informatiques et un Plan de Continuité d’Activité en accord avec les
objectifs des métiers de l’Organisation.
7.10.1.2 Les besoins en termes de secours informatique et de Continuité d’Activité, à
savoir le Délai Maximal d’Interruption Tolérable (DMIT) et les Pertes de
Données Maximales Acceptables (PDMA), doivent être intégrés dans les
nouveaux projets
7.10.1.3 S’agissant des biens sensibles, des plans de secours informatiques après
incidents sont définis par les différentes équipes informatiques.
7.10.1.4 Les procédures et solutions de secours informatiques sont régulièrement
testées par les équipes informatiques.
7.10.1.5 Un Plan de Continuité d’Activité (PCA), en cas de problème majeur impactant
l’ensemble d’une salle machines (coupure électrique, incendie), doit être
défini et prévoir :
• la gestion de la remontée d’alerte en cas d’incident majeur,
• l’organisation décisionnelle ayant pour rôle la validation du passage en mode PCA et
la coordination des actions,
• l’organisation opérationnelle et les procédures décrivant les actions permettant de
basculer en mode PCA,
• les actions de communication aux utilisateurs,
• le plan de retour à la normale.
7.10.1.6 Un exercice annuel du PCA doit être planifié et réalisé sous couvert du RSSI à
la DIT et du référent de chaque entité.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
28
7.11 Conformité
OBJECTIF :
• Eviter toute violation de la propriété intellectuelle, des obligations contractuelles et des
exigences de sécurité.
REGLES :
7.11.1.1 L’application de la PSSI fait l’objet d’un suivi et d’un contrôle réguliers. Le
COSI, le RSSI à la DIT et le référent de chaque entité a la capacité d’effectuer
des contrôles inopinés sur tout élément des SI du CdE pour en vérifier la
conformité avec la PSSI.
7.11.1.2 Des audits de sécurité techniques et organisationnels périodiques sont
effectués sous la responsabilité du RSSI à la DIT et du référent de chaque
entité. Ces audits donnent lieu à la complétion du plan d’action sécurité,
hiérarchisant l’ensemble des projets en fonction de leur priorité.
7.11.1.3 En plus de ces audits périodiques, des audits de sécurité inopinés pourront
être envisagés sous la responsabilité du RSSI à la DIT et des référents
sécurité, pour estimer et affiner la sécurité en continu.
7.11.1.4 Des logiciels de contrôle non intrusifs peuvent être activés par le RSSI.
7.11.1.5 Un inventaire et un suivi de l’installation des logiciels demandant l’achat d’un
droit d’usage est réalisé.
7.11.1.6 Des contrôles permettant de s’assurer que le nombre maximal d’utilisateurs
habilités n’est pas supérieur au nombre de licences acquises sont effectués.
7.11.1.7 Les logiciels créés par un employé (à durée indéterminé ou temporaire) dans
le cadre de son contrat de travail ou d’un stagiaire dans le cadre de son stage,
sont la propriété du CdE. Ces éléments sont intégrés dans les contrats et les
conventions de stage.
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
29
88 LLEEXXIIQQUUEE
Sécurité des Systèmes d’Information : la notion de sécurité au sein du Conseil de l’Europe se traduit par la
mise en place, dans chaque entité, d’un ensemble de moyens techniques, organisationnels et humains
permettant d’assurer la traçabilité, la confidentialité, l’intégrité et la disponibilité des informations
physiques et dématérialisées.
Patrimoine informationnel : représente l'ensemble du patrimoine, au sens juridique, constitué par
les informations et connaissances détenues par le CoE.
CEDH : Cour Européenne des Droits de l’Homme
OBS : Observatoire Européen de l'Audiovisuel
EDQM : European Directorate for the Quality of Medicines and Healthcare
DLOG : Direction de la Logistique
DIT : Directorate of Information Technology
MAE : Major Administrative Entities.entities. Comprend :
• la Direction Générale de l’Administration et de la Logistique
• la Direction Générale de l’Education, de la Culture et du Patrimoine, de la Jeunesse et du Sport
• la Direction Générale de la Cohésion Sociale
• la Direction Générale des Droits de l’Homme et des Affaires Juridiques
• la Direction Générale de la Démocratie et des Affaires Politiques
Agent : personnel actif du CdE (agent permanent, temporaire, stagiaire, personnel mis à disposition
(MAD)), personnel hors cadre et retraité).
Tiers : Personne autre qu’agent, groupement ou organisation autre que le CdE (partenaire, prestataire,
journaliste, expert, délégation, représentation permanente, visiteur).
Utilisateurs des SI : agent ou tiers accédant aux Systèmes d’Information du CdE depuis les locaux de
l’entité ou à distance.
Bien : tout élément représentant de la valeur pour le CdE, à savoir :
• les données informatisées : bases de données, fichiers, archives électroniques, etc.
• les données physiques : documents et archives papier,
• la documentation : documentation système, documentation de configuration, manuels
utilisateurs, supports de formation, procédures d’exploitation et de maintenance, plans
d’installation, plans de continuité, etc.
• les logiciels : applications, systèmes d’exploitation, utilitaires, outils de développement, etc.
• les matériels : ordinateurs (serveurs et postes de travail), baies de disques, robots de sauvegarde,
supports de données (cartouches de sauvegarde, disques amovibles, etc.), équipements réseau
Direction Générale de l'Administration et de la Logistique
Direction des Technologies de l'Information
30
(routeurs, switches, etc), équipements de télécommunications (PABX, fax, téléphones…), autres
équipements techniques (onduleurs, générateurs de courant, climatiseurs, etc.), etc.
• les servitudes indispensables : services informatiques et télécommunications, points d’accès
télécom, climatisation, alimentation électrique.
Bien sensible : bien ayant un ou plusieurs critères de sécurité (Disponibilité, Intégrité, Confidentialité,
Traçabilité) d’un niveau égal au supérieur au seuil de tolérance déterminé dans la procédure de
classification des biens.
Environnement de production : aussi appelé salle serveurs, désigne un local sécurisé hébergeant
l’ensemble ou une partie des équipements informatiques (serveurs, baies de stockage, commutateurs,
etc.) et/ou télécoms (Autocom, etc.).
Incident de sécurité : un incident lié à la sécurité de l’information est indiqué par un ou plusieurs
événement(s) de sécurité de l’information indésirable(s) ou inattendu(s). Ces évènements présentent une
probabilité forte de compromettre les opérations liées à l’activité du Conseil de l’Europe et de menacer la
sécurité de l’information.
Matériels nomades : équipements mobiles (PDA, Smartphone, ordinateurs portables) accédant de
manière synchrone ou asynchrone aux Systèmes d’Information.
Plan de Secours Informatique : ensemble de solutions techniques, organisationnelles et de procédures
permettant de rétablir un bien (application, serveur, matériel réseau, etc.) en cas d’incident impactant
l’élément en question.
Plan de Continuité d’Activité : ensemble de solutions techniques, organisationnelles et de procédures
visant à maintenir l’activité d’une organisation en mode dégradé suite à un incident majeur.