You are on page 1of 47

Manuel Opérationnel de la Sécurité du SI

Manuel Opérationnel de la Sécurité du
Système d'Information pour l’hébergement
de donnés de santé à caractère personnel
(Exemple)

Version 1.0

1 / 47

Manuel Opérationnel de la Sécurité du SI

Révisions
Date

Révision

Objet
Rédaction

01/01/2011

1.0

Validation

Approbation

Manuel Opérationnel de la sécurité pour l’Hébergement de donnés de santé à caractère personnel
(Exemple)
Security Risk Analyst

RSSI

DSI

Documents de référence
1
2
3
4

Titre / Révision / Date

Origine

PSSI et politique du SMSI
Norme ISO 27001
Norme ISO 20000
Norme ISO 27799

Hébergeur
ISO
ISO
ISO

Version 1.0

2 / 47

Manuel Opérationnel de la Sécurité du SI

SOMMAIRE
S O M M A I R E ........................................................................................................................ 3
1. POLITIQUE PARTICULIERE DE SECURITE DE L’ HEBERGEMENT DE
D O N N E E S D E S A N T E A C A R A C T E R E P E R S O N N E L ............................................... 6
1.1.
1.2.
1.3.

C O N T E X T E ................................................................................................................ 6
L E S R E F E R E N C E S U T I L I S E E S ................................................................................ 6
D O M A I N E D ’ A P P L I C A T I O N ....................................................................................... 7

2.

T E R M I N O L O G I E ....................................................................................................... 8

3.

O R G A N I S A T I O N D E L A S E C U R I T E ................................................................... 10
3.1.
P I L O T A G E , M I S E E N ΠU V R E E T C O N T R O L E ........................................................10
3.1.1.
R O L E S E T R E S P O N S A B I L I T E S ............................................................................10
3.1.2.
R E V U E S E T A U D I T S .............................................................................................10
3.2.
R E G L E S A P P L I C A B L E S A U X T I E R C E S P A R T I E S ..................................................11
3.2.1.
T I E R C E S P A R T I E S ...............................................................................................11
3.2.2.
O B L I G A T I O N S C O M M U N E S ..................................................................................11
3.2.3.
O B L I G A T I O N S R E L A T I V E S A U X I N T E R V E N A N T S S U R S I T E .............................11

4.

I D E N T I F I C A T I O N E T G E S T I O N D E S I N F O R M A T I O N S E T D E S B I E N S ... 12
4.1.
4.2.
4.3.

5.

S E C U R I T E L I E E A U X C O M P O R T E M E N T S D E S P E R S O N N E S ..................... 14
5.1.
5.2.
5.3.
5.4.
5.5.
5.6.
5.7.
5.7.1.

6.

R E S P O N S A B I L I T E S R E L A T I V E S A U X B I E N S .........................................................12
C L A S S I F I C A T I O N D E S I N F O R M A T I O N S .................................................................12
G E S T I O N D E S B I E N S M A T E R I E L S E T L O G I C I E L S ................................................13
R E S P O N S A B I L I T E S .................................................................................................14
O B L I G A T I O N D E C O N F I D E N T I A L I T E ......................................................................15
F O R M A T I O N E T S E N S I B I L I S A T I O N ........................................................................15
A V A N T L E R E C R U T E M E N T ......................................................................................16
P E N D A N T L A D U R E E D U C O N T R A T .......................................................................16
F I N O U M O D I F I C A T I O N D E C O N T R A T ....................................................................17
T R A I T E M E N T D E S I N C I D E N T S E T N O N C O N F O R M I T E S .......................................17
A C T I O N S C O R R E C T I V E S .....................................................................................18

S E C U R I T E P H Y S I Q U E E T E N V I R O N N E M E N T A L E ........................................ 19
6.1.
Z O N E S S E N S I B L E S ..................................................................................................19
6.1.1.
A C C E S P H Y S I Q U E D U P E R I M E T R E ....................................................................19
6.2.
G E S T I O N D E S B A D G E S D ’ A C C E S ..........................................................................20
6.2.1.
C A T E G O R I E S D E B A D G E S ...................................................................................20
6.2.2.
A T T R I B U T I O N S .....................................................................................................20
6.2.3.
M O D I F I C A T I O N .....................................................................................................20
6.2.4.
R E V O C A T I O N ........................................................................................................20
6.3.
T R A V A I L D A N S L E S L O C A U X S E C U R I S E S ............................................................21
6.4.
P R O T E C T I O N D E S E Q U I P E M E N T S .........................................................................21
6.4.1.
I N S T A L L A T I O N E T P R O T E C T I O N D E S E Q U I P E M E N T S . .....................................21
6.4.1.1.
P R E V E N T I O N D E S R I S Q U E S N A T U R E L S . .......................................................22
6.4.1.2.
S U R V E I L L A N C E P A R D E S M O Y E N S H U M A I N S . ..............................................23
6.4.2.
C O N D I T I O N N E M E N T E L E C T R I Q U E E T C L I M A T I Q U E .........................................23
6.4.2.1.
C L I M A T I S A T I O N ................................................................................................23
6.4.2.2.
É N E R G I E ............................................................................................................23
6.4.3.
S E C U R I S A T I O N D U C A B L A G E .............................................................................24
6.4.4.
M A I N T E N A N C E D E S E Q U I P E M E N T S ...................................................................24
6.4.5.
M E S U R E S I N D I V I D U E L L E S D E P R O T E C T I O N ....................................................24

Version 1.0

3 / 47

Manuel Opérationnel de la Sécurité du SI

7.

G E S T I O N D E S S Y S T E M E S E T R E S E A U X .......................................................... 25
7.1.
A D M I N I S T R A T I O N D E S S Y S T E M E S ........................................................................25
7.1.1.
P R O C E D U R E S D ’ A D M I N I S T R A T I O N E T D ’ E X P L O I T A T I O N . ..............................25
7.1.2.
G E S T I O N D E S C H A N G E M E N T S ...........................................................................25
7.1.3.
S E P A R A T I O N D E S R O L E S ...................................................................................25
7.1.4.
S E P A R A T I O N D E S A C T I V I T E S D E D E V E L O P P E M E N T E T D ’ E X P L O I T A T I O N ...25
7.2.
M A I N T I E N E N C O N D I T I O N O P E R A T I O N N E L ..........................................................26
7.2.1.
M A I N T I E N D E L A D I S P O N I B I L I T E .......................................................................26
7.2.2.
M A I N T I E N D E L ’ I N T E G R I T E ................................................................................26
7.2.2.1.
T R A Ç A B I L I T E D E S G E S T E S D ’ A D M I N I S T R A T I O N ..........................................26
7.2.2.2.
T R A Ç A B I L I T E D E S I N C I D E N T S ........................................................................26
7.3.
L U T T E C O N T R E L E S V I R U S E T C O D E S M A L V E I L L A N T S ......................................26
7.3.1.
T R A I T E M E N T ........................................................................................................27
7.3.2.
R E P O R T I N G ..........................................................................................................27
7.4.
A D M I N I S T R A T I O N D E S R E S E A U X ..........................................................................27
7.4.1.
R E S E A U X L O C A U X ...............................................................................................27
7.4.2.
L E S A C C E S D I S T A N T S .........................................................................................28
7.4.2.1.
G E S T I O N D E S D R O I T S .....................................................................................29
7.4.2.2.
C L I E N T S ............................................................................................................29
7.5.
P R O T E C T I O N E T M A N I P U L A T I O N D E S M E D I A S ....................................................29
7.5.1.
D I S P O S I T I O N S G E N E R A L E S ...............................................................................29
7.5.2.
P R O T E C T I O N ........................................................................................................29
7.5.3.
R E C Y C L A G E E T M I S E A U R E B U T .......................................................................30

8.

C O N T R O L E D ’ A C C E S ............................................................................................ 31
P R O F I L S E T R E G L E S D ’ A C C E S ..............................................................................31
G E S T I O N D E S H A B I L I T A T I O N S ..............................................................................31
C R E A T I O N A L ’ E M B A U C H E ..................................................................................31
G E S T I O N D E S D E M A N D E S ..................................................................................32
G E S T I O N D E S P R I V I L E G E S .................................................................................32
G E S T I O N D E S M O T S D E P A S S E .........................................................................32
V E R I F I C A T I O N ......................................................................................................32
O B L I G A T I O N D E S U T I L I S A T E U R S ..........................................................................33
S E C U R I T E D E S M O T S D E P A S S E .......................................................................33
P O S T E D E T R A V A I L .............................................................................................33
C O N T R O L E D ’ A C C E S A U R E S E A U .........................................................................33
A D M I N I S T R A T I O N D E S E Q U I P E M E N T S R E S E A U X .............................................34
AUTHENTIFICATION RENFORCEE DANS LE CADRE DE L’HEBERGEMENT DE
D O N N E E S D E S A N T E A C A R A C T E R E P E R S O N N E L ............................................................35
8.5.
C O N T R O L E D ’ A C C E S A U S Y S T E M E .......................................................................35
8.5.1.
A D M I N I S T R A T I O N D E S M O T S D E P A S S E ...........................................................35
8.6.
C O N T R O L E D ’ A C C E S A U X A P P L I C A T I O N S ...........................................................35
8.7.
D E T E C T I O N , A N A L Y S E E T T R A I T E M E N T D E S I N C I D E N T S D E S E C U R I T E .........36
8.7.1.
É V E N E M E N T S J O U R N A L I S E S ..............................................................................37
8.7.2.
A L A R M E S E T T A B L E A U X D E B O R D D E S E C U R I T E ............................................37
8.7.3.
A U D I T E T D R O I T D ’ A C C E S ..................................................................................38
8.7.4.
S T O C K A G E E T P R O T E C T I O N D E S E V E N E M E N T S D E S E C U R I T E .....................38
8.8.
P R O T E C T I O N D E S S Y S T E M E S E T D E S R E S E A U X ................................................38
8.8.1.
S E R V E U R S ............................................................................................................38
8.8.1.1.
P R E C A U T I O N D ’ I N S T A L L A T I O N .......................................................................38
8.8.1.2.
P A R A M E T R A G E D U S Y S T E M E ..........................................................................39
8.8.1.3.
P A R T A G E D E S R E S S O U R C E S ..........................................................................39
8.8.2.
P O S T E D E T R A V A I L .............................................................................................39
8.8.2.1.
P R E C A U T I O N A L ’ I N S T A L L A T I O N ....................................................................40
8.8.2.2.
P A R A M E T R A G E D U S Y S T E M E ..........................................................................40
8.8.3.
É Q U I P E M E N T S R E S E A U X ....................................................................................40
8.9.
U T I L I S A T I O N D E M O Y E N S C R Y P T O G R A P H I Q U E S ................................................41
8.1.
8.2.
8.2.1.
8.2.2.
8.2.3.
8.2.4.
8.2.5.
8.3.
8.3.1.
8.3.2.
8.4.
8.4.1.
8.4.2.

Version 1.0

4 / 47

Manuel Opérationnel de la Sécurité du SI
8.9.1.
8.9.2.
8.9.3.
9.

P R I N C I P E S A P P L I C A B L E S ...................................................................................41
C H I F F R E M E N T ......................................................................................................41
G E S T I O N D E S C L E S ............................................................................................41

D E R O G A T I O N .......................................................................................................... 42

1 0 . C O N F O R M I T E .......................................................................................................... 43
10.1.
10.2.
10.3.
10.4.
10.5.
10.6.
10.7.
10.7.1.
10.7.2.
10.7.3.
10.7.4.
10.7.5.

Version 1.0

D R O I T S D ’ A U T E U R ..............................................................................................43
D E C L A R A T I O N A L A C N I L ..................................................................................43
F R A U D E I N F O R M A T I Q U E .....................................................................................44
M A N Q U E M E N T A L A S E C U R I T E D U S Y S T E M E D ’ I N F O R M A T I O N ......................44
O B L I G A T I O N D E C O N F I D E N T I A L I T E ...................................................................44
C A D R E L E G A L P O U R L ’ U T I L I S A T I O N D E L A C R Y P T O L O G I E ...........................45
C O D E D E C O N D U I T E D E L ’ A U D I T E U R ................................................................46
O B L I G A T I O N D E C O N F I D E N T I A L I T E ...............................................................46
L I M I T E D E L ’ A U D I T ...........................................................................................46
M O D E O P E R A T O I R E .........................................................................................46
C O N S E R V A T I O N D E L ’ I N F O R M A T I O N .............................................................47
C O M M U N I C A T I O N .............................................................................................47

5 / 47

Manuel Opérationnel de la Sécurité du SI

1. Politique particulière de sécurité de
l’hébergement de données de santé à caractère
personnel
1.1.

Contexte

La sécurité et la confidentialité sont une contrainte forte et une condition de succès
de l’hébergement de données de santé à caractère personnel.
Les objectifs de sécurité découlent, d'une part, directement des contraintes,
notamment réglementaires, qui incombent à l’hébergement de données de santé à
caractère personnel et, d'autre part, des risques à couvrir tels qu'ils découlent d'une
analyse de risque menée, suivant la méthodologie EBIOS, sur l'ensemble du
système d’hébergement de données de santé à caractère personnel.
La Politique Particulière de Sécurité de l’hébergement de données de santé à
caractère personnel est structurée autour de trois critères fondamentaux :


La confidentialité : l’aptitude du système à réserver l’accès aux informations
aux seules personnes ayant à les connaître ;
La disponibilité : l’aptitude du système à être accessible et utilisable lorsque
cela est requis par les acteurs autorisés ;
L’intégrité : l’aptitude du système à demeurer intact, non corrompu et sans
altération. Ce critère est aussi étendu à l’aptitude à fournir la preuve de cette
intégrité (traçabilité, authenticité de l’émetteur et du contenu).

Les informations ou ressources du SI à protéger ne concernent pas seulement les
informations attachées à l’hébergement de données de santé à caractère personnel
mais aussi :


Les environnements et données de configuration et de paramétrage des
systèmes et réseaux, ainsi que toutes données relatives à l’habilitation des
utilisateurs ;
Les environnements et données d’exploitation ou d’administration des
systèmes et réseaux ainsi que toutes données relatives à l’habilitation des
exploitants et administrateurs ;
Les composants organisationnels, matériels et logiciels participant à la
sécurité du Système d’Information.

1.2.

L e s r é f é r e nc e s ut i l i s é e s

Les exigences de sécurité développées dans ce document et qui traduisent la
Politique Particulière de Sécurité de l’hébergement de données de santé à caractère
personnel s’appuient en particulier sur :

la norme ISO27001:2005, ISO27002 et ISO 27799
le référentiel sécurité de l’hébergeur,

Version 1.0

6 / 47

Manuel Opérationnel de la Sécurité du SI











Loi 78.17 du 06 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés, et dispositions d'application associées ;
Loi 91.646 du 10 juillet 1991 relative au secret des correspondances émises
par la voie des télécommunications ;
Décret 2007- 960 du 15 mai 2007 relatif à la confidentialité des informations
médicales ;
Décret n°2006-6 du 4 janvier 2006 définissant les conditions d’agrément des
hébergeurs de données de santé à caractère personnel ;
loi du 4 mars 2002 relative aux droits des malades et à la qualité du système
de santé, et notamment l’article L1111-8 du Code de la santé publique relative
à l’hébergement de données de santé ;
Article L1110-4 relatif au droit au respect de la vie privée et au secret des
informations des patients ;
Loi du 13 août 2004 portant création du Dossier Médical Personnel,
notamment au travers de l’article L161-36-1 ;
Loi 85.660 du 3 juillet 1985 sur la protection des logiciels ;
Loi 92.597 du 1er juillet 1992 relative à la partie législative du Code de la
propriété intellectuelle ;
Loi 94.361 du 10 mai 19941985 sur la protection des logiciels ;
Articles 323-1 à 323-7 du nouveau code pénal, relatifs à la fraude
informatique.

1.3.

D o m a i ne d’ a p pl i c a t i on

Ce document prescriptif s’applique à l’organisation, au pilotage, à l’administration, à
l’exploitation, à l’utilisation, à l’évolution, au maintien en condition opérationnelle et
au retrait d’exploitation pour l’ensemble des ressources informatiques de
l’hébergement de données de santé à caractère personnel.
Le Système d’Information, objet de la Politique Particulière de Sécurité de
l’hébergement de données de santé à caractère personnel, comprend les matériels
informatiques, les logiciels, les algorithmes et les spécifications internes, la
documentation, les moyens de transmission, les procédures et les paramètres de
contrôle de la sécurité, les données et les informations qui sont collectées, gardées,
traitées, recherchées ou transmises par ces moyens et l’organisation des
ressources humaines les mettant en œuvre.
Ce document constitue la base de la sécurité de l’ensemble des ressources
informatiques de l’hébergement de données de santé à caractère personnel.

Version 1.0

7 / 47

Manuel Opérationnel de la Sécurité du SI

2.

Terminologie

ADMINISTRATION

Désigne
l’ensemble
des
opérations
quotidiennes à réaliser sur une application (ou
un progiciel) ou un équipement pour qu’elle
rende le service voulu à l’utilisateur (exemple :
installation, paramétrage et optimisation des
systèmes).

COSEC

Désigne le Comité de Pilotage de la Sécurité
composé de la Direction médicale, de la
Direction de l’Hébergement et du RSSI.

DI
Demande d’intervention

Désigne le processus de lancement, à la
demande
d’un
utilisateur,
de
tâches
consécutives à une défaillance ou à un incident,
destinées à recouvrer l’intégrité du service
attendu.

DICA

Disponibilité,
Intégrité,
Confidentialité,
Auditabilité, les quatre piliers de la sécurité.

DEPLOIEMENT

Au sein des activités d’exploitation, le
déploiement désigne plus particulièrement la
validation et la diffusion de tous les logiciels et
applications ainsi que leur mise à jour, sur les
postes de travail et les serveurs.

DH

Direction Hébergement.

DONNEES SENSIBLES

Dans le Système d’Information les données sont
classifiées.

DM

Direction Médicale
hébergeur).

DMP

Dossier Médical Personnel.

EXPLOITATION

Version 1.0

(Médecin

responsable

Désigne
l’ensemble
des
opérations
quotidiennes à réaliser sur les machines
(serveurs, postes de travail) et les systèmes
d’exploitation (OS) afin que les équipements
rendent le service attendu. A ces opérations,
s’ajoutent des actions de diagnostic d’incident
sur les composants objets de l’exploitation.

8 / 47

Manuel Opérationnel de la Sécurité du SI

JOURNAUX D’AUDIT

MAINTENANCE
LOGICIELLE

MAINTENANCE
MATERIELLE

PLAV
RFC
Request for Change

RSSI

SI
SUPERVISION

UTILISATEURS

Version 1.0

Désigne
les
moyens
permettent,
soit
manuellement, soit de façon automatisée, de
recueillir les informations en provenance des
différents composants du système équipés des
outils de traçage ad hoc (journaux, traces
diverses) afin de vérifier que les opérations sont
réalisées conformément aux règles en vigueur
et de détecter les tentatives d’actions illicites.
Désigne les actions permettant de prendre en
compte de petites évolutions logicielles. A titre
d’exemple,
l’application
de
correctifs
« mineurs » entre dans cette catégorie.
Désigne les actions permettant de diagnostiquer
une défaillance du matériel, et de remettre celuici en service : remplacement d’un composant
matériel, action de maintenance préventive,
escalade.
Plan de Lutte Antivirus
Désigne le processus de gestion du
changement, à la demande d’une personne
habilitée, de tâches planifiées destinées à
améliorer un service attendu et/ou ayant un
impact sur les coûts et/ou la sécurité.
Responsable de la Sécurité du Système
d’Information
Système d’Information
Désigne les actions permettant de visualiser les
composants actifs et les flux d’informations, et
de collecter des événements paramétrés
intéressant la disponibilité, la prévention, la
détection et le diagnostic des anomalies ou
encore la sécurité du système.
Il s'agit des différentes catégories de personnes
ayant un rôle vis-à-vis de la plateforme
d’hébergement de données de santé à
caractère personnel.

9 / 47

Manuel Opérationnel de la Sécurité du SI

3.

Organisation de la sécurité

3.1.

P i l ot a g e , m i s e e n œu v r e e t c on t r ôl e
3.1.1.

Rôles et responsabilités

Le RSSI, définit la politique de sécurité et de confidentialité et veille à son
application.
Il a la responsabilité de la sécurité, sur le périmètre de l’hébergement de données de
santé à caractère personnel. A ce titre, le RSSI est garant de l’efficacité des mesures
mises en œuvre y compris du contrôle d’accès aux locaux.
Pour ce faire, il s’appuie sur :




La direction de l’hébergeur pour solliciter les budget des moyens à mettre en
œuvre.
Les Services Généraux pour mettre en œuvre les moyens de sécurité
physique.
Le Responsable des opérations informatiques et ses équipes en charge de la
mise en œuvre pratique des fonctions de sécurité.
Le Responsable de l’exploitation informatique et ses équipes.
Le Directeur Médical pour l’audit des données de santé.

Politique du SMSI
Les rôles et fonctions sont définis dans le document « Nomenclature
métier »

Organigramme

de l’hébergeur de données de santé à caractère

personnel

3.1.2.

Revues et audits

Le RSSI mène une revue régulière de conformité permettant de valider l’application
des mesures, solutions et procédures de sécurité.
Les conclusions de cette revue s’accompagnent de « recommandations » pour
atteindre le niveau de sécurité souhaitable et corriger les dysfonctionnements et
vulnérabilités éventuelles. Lorsque des failles de sécurité graves ont été mises à
jour, le RSSI vérifie que les délais fixés pour engager des actions correctives sont
adaptés à la menace. Il contrôle, si nécessaire la pertinence et la bonne application
des mesures mises en œuvre.
Pour chaque évolution majeure su SI, le RSSI est consulté pour valider par analyse
de risque ou audité le changement.

Version 1.0

10 / 47

Manuel Opérationnel de la Sécurité du SI

3.2.

R è gl e s a ppl i c a b l e s a ux t i e r c e s pa r t i e s
3.2.1.

Tierces parties

Le terme de « tierce partie » à l’hébergement de données de santé à caractère
personnel distingue les catégories suivantes :



Consultant, prestataire, appui,
Fournisseur de biens matériels ou logiciels,
Tiers mainteneur,
Partenaire technique ou commercial.
3.2.2.

Obligations communes

L’hébergeur de données de santé à caractère personnel s’appuie sur une procédure
de gestion des fournisseurs et de la sous-traitance, qui permet d’évaluer, de
sélectionner et de gérer efficacement les fournisseurs en fonction de leur aptitude à
fournir un produit ou un service conforme aux exigences de l’entreprise.
La procédure prévoit une étude des risques avant d’établir un contrat avec un soustraitant afin de garantir la pérennité de l’entreprise sous traitante. Ce contrat stipule la
durée de la mission, le travail et la qualité de ce qui doit être livré en fin de mission
ainsi que les clauses contractuelles, les obligations de confidentialité et de respect
des consignes de sécurité sous peine de sanction.
Ce contrat est paraphé par les deux parties prenantes, à savoir l’hébergeur de
données de santé à caractère personnel et la société prestataire.
La charte d’application et le guide de la sécurité de l’information sont applicables aux
Tiers accédant aux informations, au même titre que le personnel de l’hébergeur de
données de santé à caractère personnel.

Charte de sécurité et guide de sécurité de l’information
Procédure de Gestion de la sous-traitance
3.2.3.

Obligations relatives aux intervenants sur site

L’accès aux locaux, aux bâtiments et aux sites est soumis à l’autorisation du RSSI
du site concerné. Des badges « Prestataire » avec des accès standards sont délivrés
aux prestataires. Ces badges sont limités dans le temps correspondant à la durée
prévue de la mission.
Des badges temporaires sont remis au personnel technique des fournisseurs en
intervention régulière, après avoir été dûment identifié par l’accueil ou par les
opérateurs de la salle d’activité, contre remise d’une pièce d’identité.
Les livreurs n’ont qu’un accès limité au portillon du service de livraison.
L’accès à certains locaux, en particulier les locaux dans lesquels sont manipulées
des données sensibles, est soumis à habilitation / autorisation spécifique.

Procédure d’Accès Prestataires au Datacenter

Version 1.0

11 / 47

Manuel Opérationnel de la Sécurité du SI

4. Identification et gestion des informations et
des biens
4.1.

R e s p o ns a bi l i t é s r e l a t i v e s a u x bi e ns

L’application des règles de protection des ressources et informations est sous
l’autorité des responsables de service. Ils se font assister dans cette mission par le
RSSI.

4.2.

C l a s s i f i c a t i o n d e s i n f or m a t i on s

En termes de confidentialité, l’hébergeur de données de santé à caractère personnel
qualifie la sensibilité de l’information selon trois niveaux :

Public, ce niveau correspond aux informations accessibles au public,

Interne, ce niveau est le niveau par défaut de toutes les informations relatives
à l’hébergement de données de santé à caractère personnel,

Confidentiel, ce niveau s’applique aux données médicales, aux données
d’administration, aux identités des patients, des données personnelles, ...

Guide de sécurité de l'information : § Classification de l'information
Dans le domaine lié à la diffusion de l’information, seules les informations de niveau
« Confidentiel » nécessitent une protection à adapter en fonction de l’environnement
de l’information.
Toute information a un « propriétaire » qui doit en définir la sensibilité.
Toute information publiée doit faire l’objet d’une classification pour réglementer sa
diffusion.
Tout propriétaire doit classifier les documents qu’il est amené à publier, de manière à
déterminer les personnes qui ont le droit d’en connaître. Tout utilisateur
d’informations sensibles doit leur appliquer les règles de sécurité adéquates, de
même qu’il doit respecter ces mêmes règles pour tous les documents auxquels il a
accès dans le cadre de ses fonctions.
Il est de la responsabilité du propriétaire de :
 s'assurer que l'information est classée au bon niveau de sensibilité
(confidentielle, interne, publique); par exemple, en l'inscrivant sur tous les
documents ou supports contenant des données sensibles,
 définir la liste les personnes autorisées à accéder ou à modifier une
information confidentielle et de le mentionner à ces personnes,
 s'assurer que l'information est stockée dans un endroit accessible aux seules
personnes autorisées (en lecture ou en écriture),

Version 1.0

12 / 47

Manuel Opérationnel de la Sécurité du SI


de mentionner la propriété intellectuelle sur l'information et les éventuelles
dispositions spécifiques définies par son propriétaire légal (classification,
utilisation, diffusion...),
de s'assurer que la dé-classification, l'archivage et la destruction de
l'information sont gérés de manière appropriée.

Guide de sécurité de l'information : § Responsabilité du "propriétaire"
de l'information

4.3.

G e s t i o n de s bi e n s m a t é r i e l s e t l o gi c i e l s

Les biens matériels (équipements informatiques et télécoms) de l’Hébergement de
données de santé à caractère personnel, et de leurs clients sont identifiés
(étiquetage individuel) et gérés sous la responsabilité de leur propriétaire.
La sortie d’équipements du site n’est possible que dans le cadre de procédures
appropriées sous l’autorité du Directeur Informatique et du RSSI.

Procédure de sortie de matériel

Version 1.0

13 / 47

Manuel Opérationnel de la Sécurité du SI

5.

Sécurité liée aux comportements des personnes

On distingue 4 catégories de personnes :
 les managers et personnel d’encadrement,
 les agents et tierces parties utilisant l’informatique dans le cadre de leur
métier,
 les administrateurs en charge de la sécurité des systèmes d’information,
nécessitant une formation spécialisée,
 les clients (utilisateur final)
La Politique Particulière de Sécurité de l’Hébergement de données de santé à
caractère personnel, ainsi que les chartes d’utilisation des moyens informatiques de
l’hébergeur s’appliquent à tous les utilisateurs, sur les sites de l’hébergeur.

5.1.

R e s p o ns a bi l i t é s

L’utilisateur a l’obligation de respecter l’ensemble des règles de sécurité de
l’hébergeur.
L’utilisateur est tenu de signaler toute défaillance ou tout manquement vis-à-vis des
règles de sécurité dont il aurait connaissance ou auquel il serait incité.
Chaque utilisateur est responsable vis-à-vis de l’hébergeur de l'usage des
ressources informatiques de l’Hébergement de données de santé à caractère
personnel fait avec ses droits d'accès. Chaque utilisateur doit donc :




observer des mesures individuelles de protection,
gérer ses moyens d’accès (cartes à puces, codes pins, mots de passe),
se déconnecter du réseau, ou passer en écran de veille avec mot de passe,
dès qu'il s'éloigne de son poste,
prévenir dans les meilleurs délais l'administrateur de toute anomalie constatée
quant à leur utilisation ou envoyer un message au RSSI qui escaladera si
nécessaire au niveau supérieur,
respecter les consignes de sécurité qui lui sont communiquées par sa
hiérarchie et le RSSI.

En cas de non-respect de ses obligations en matière de sécurité, la responsabilité
pénale de l’utilisateur peut être engagée.
En cas d’accès aux ressources informatiques au moyen d’un dispositif
d’authentification renforcée, le couple, authentificateur plus code secret, remis à
l'utilisateur est strictement personnel et incessible.
Tout accès réalisé grâce à un dispositif d’authentification renforcé sera réputé l'avoir
été par l'utilisateur. L’utilisateur est tenu de préserver le caractère secret du code.

Version 1.0

14 / 47

Manuel Opérationnel de la Sécurité du SI

5.2.

O bl i ga t i o n de c o nf i de nt i a l i t é

Les données contenues dans l’Hébergement de données de santé à caractère
personnel sont strictement couvertes par le secret professionnel.
En cas de non-respect de ses obligations en matière de confidentialité, la
responsabilité pénale de l’utilisateur peut-être engagé (article 226-13 du code pénal).
Conformément à l’article 29 de la loi du 6 janvier 1978 relative à l’information, aux
fichiers et aux Libertés, l’hébergeur s’engage à prendre toutes les mesures
nécessaires afin de préserver la confidentialité des informations et notamment
d’empêcher qu’elles soient consultées, utilisées ou communiquées à des personnes
non autorisées.
L’hébergeur s’engage donc à respecter et à faire respecter par son personnel le
secret professionnel.
La politique de confidentialité, son application et son contrôle sont confiés au RSSI.
La direction des ressources humaines de l’hébergeur est chargée de :

Définir les missions et pouvoirs des utilisateurs et des éventuels soustraitants;
Faire signer une clause de confidentialité par l’ensemble du personnel et des
éventuels fournisseurs et sous-traitants ;

Le RSSI est chargé de :

Informer et former les utilisateurs aux obligations en matière de confidentialité
et aux mesures de protection du secret professionnel ;
Procéder à des contrôles réguliers pour vérifier le respect des obligations en
matière de confidentialité, et apporter les modifications nécessaires aux
mesures de protection du secret professionnel en cas de défaillance.

L’Hébergement de données de santé à caractère personnel est tenu dans le respect
du secret médical.
Seul le directeur médical de l’hébergeur, tenu au respect du secret médical, a un
droit d’accès aux données médicales.

Charte d’utilisation du SI
Charte déontologique
5.3.

F or m a t i o n e t s e n s i bi l i s a t i o n

La formation et la sensibilisation visent à faire prendre conscience à chaque
utilisateur qu’il détient une part importante de responsabilité dans le maintien des
objectifs de sécurité de l’hébergeur et de ses clients.

Version 1.0

15 / 47

Manuel Opérationnel de la Sécurité du SI

Le RSSI engage des actions régulière de communication et de sensibilisation sur la
sécurité. Lors de la mise en exploitation ou de la refonte d’une application impliquant
l’accès à des informations sensibles, le RSSI sensibilise le personnel aux risques et
prescrit les gestes et comportements de sécurité nécessaires.
De plus, le service de formation de l’hébergeur permet d’assurer la formation des
collaborateurs sur l’utilisation des technologies, des processus, et tout autre dispositif
constituant le système d’information utilisé pour l’Hébergement de données de santé
à caractère personnel

5.4.

Av a n t l e r e c r u t e m e nt

Tout le personnel de l’hébergeur suit le même circuit de recrutement quel que soit le
type de son contrat de travail (CDI, CDD, Intérim, Stage, …). Le personnel
temporaire suit donc le même processus de recrutement que le personnel définitif.
Afin d’apprécier les informations données par le futur salarié, une prise de contact
peut être effectuée auprès de ses anciens employeurs.
Les responsabilités relatives entre autre à la sécurité sont abordées au moment du
recrutement. Une clause de confidentialité est incluse dans les contrats de travail de
l’hébergeur concernant les responsabilités en matière de sécurité dans leurs
fonctions ainsi que des clauses de confidentialité par rapport aux données clientes.
Au niveau prestataires, stagiaires ou filiales, une clause de confidentialité est définie
dans le contrat liant la société externe et l’hébergeur. De plus une même clause lie le
collaborateur extérieur à sa société dans son ordre de mission.
De plus la charte de sécurité de l’information est annexée à tous les contrat de travail
et signée par le collaborateur.

5.5.

P e n d a n t l a dur é e d u c o nt r a t

Il incombe au responsable hiérarchique du collaborateur de rappeler et de s’assurer
du respect des consignes de sécurité.
Une clause de chaque contrat de travail attire l’attention sur l’utilisation
professionnelle des moyens mis à disposition. Il est mentionné dans le règlement
intérieur et dans la charte informatique que l’usage des outils mis à disposition du
salarié doit être limité à un usage professionnel. Seul un usage privé raisonnable,
modéré ou en situations urgentes est autorisé.
Une responsabilisation forte sur les règles de sécurité est faite selon les besoins ou
les structures.
Une charte et un guide de sécurité de l'information sont en vigueur. Ils s’appliquent à
tous les salariés de l’hébergeur utilisant les ressources informatiques. Ils ont été mis
en place pour informer les utilisateurs du cadre définissant l’utilisation des SI
(procédures utilisées pour le signalement des incidents, incitation forte au
signalement d’incidents constatés par ces utilisateurs, sanctions à l’encontre des

Version 1.0

16 / 47

Manuel Opérationnel de la Sécurité du SI

employés coupables d’infraction à la sécurité, …) et pour fixer les droits et devoirs
des administrateurs du système d’information.
Cette « Charte d’utilisation du système informatique et d’accès aux services
Internet » est accessible par tous les utilisateurs salariés du réseau au quotidien sur
l’intranet.

Charte d’utilisation du SI
Règlement intérieur
5.6.

F i n o u m o di f i c a t i o n de c o nt r a t

Lors de la modification de contrat incluant un changement de fonction et de
responsabilité, le salarié aura, à la demande de la hiérarchie, des droits d’accès
différents, en rapport avec les modifications apportées à son contrat de travail, lui
seront attribués, ainsi que la restitution et/ou le prêt de biens servant à la réalisation
de ses nouvelles fonctions.
Lors de la fin de contrat d’un salarié, il lui est demandé de restituer les biens qui lui
ont été confiés pour l’exercice de ses fonctions. Ses droits d’accès physiques et
logiques seront supprimés et son compte sera désactivé à réception du fichier
hebdomadaire des sorties fournit par les ressources humaines ou à la demande de
la hiérarchie.

Guide de la sécurité de l'information : § Inventaire et restitution des
équipements individuels et des informations

5.7.

T r a i t e m e nt d e s i nc i de nt s e t no n c on f or m i t é s

Afin de minimiser les impacts des incidents et des défauts de sécurité, l’hébergeur a
mis en place des procédures favorisant la réactivité. Ainsi, une surveillance des
équipements et des traitements critiques est assurée 24h/24 et 7j/7, permettant une
détection et donc une prise en compte rapide des incidents.
Pendant les heures ouvrées, les utilisateurs ont pour consigne d’alerter le support
informatique pour tout incident. Ce dernier est enregistré avec un degré de criticité
dans un logiciel d’incident afin d’en garder la traçabilité. L’incident est classifié en
« Incident de sécurité ». Celui-ci est pris en compte, analysé et escaladé aux équipes
compétentes si nécessaire jusqu’à résolution complète de l’incident.
La communication est faite à la direction métier ou technique concernée.
En heures non ouvrées, une équipe d’astreinte peut être appelée de jour comme de
nuit en cas d’incident par les opérateurs 24h/24, 7j/7.
En cas d’incident de sécurité concernant les dispositifs physiques, les Services
Généraux sont alertés dès l’incident ou le défaut de sécurité constaté.
Pour tout incident ou défaut constaté, le collaborateur se doit d’alerter un
responsable hiérarchique et l’équipe compétente. En aucun cas il ne doit tenter de
solutionner l’incident seul et sans communiquer.

Version 1.0

17 / 47

Manuel Opérationnel de la Sécurité du SI

Tous les mois, les incidents sont revus en comité Sécurité sous la responsabilité du
RSSI afin d’en contrôler le type et la nature. Ce qui permet, en cas d’identification
d’incidents récurrents, ou dont l’impact est élevé, de mettre des dispositifs de
contrôles renforcés ou supplémentaires, l’élaboration d’un plan d’action après
analyse du risque.
Des indicateurs relatifs au suivi de la sécurité alimenteront un tableau de bord.
Ces indicateurs concerneront en particulier les infections virales, les nonconformités, les attaques et toute autre tentative d’accès illicite aux ressources
informatiques.
5.7.1.

Actions correctives

Des actions correctives, si possible définitives, sont systématiquement recherchées
et suivies jusqu’à leur terme par le RSSI, à la suite d’incidents de sécurité répétitifs
ou sérieux, de remontées d’alertes, de vulnérabilités détectées lors de la revue de
conformité, ou lorsqu’elles font suite à un retour d’expérience.

Version 1.0

18 / 47

Manuel Opérationnel de la Sécurité du SI

6.

Sécurité physique et environnementale

6.1.

Z o n e s s e ns i bl e s

Les biens et informations sensibles sont protégés. Les mesures de protection
techniques et organisationnelles mises en œuvre garantissent que des intrusions
physiques dans les zones contrôlées sont détectables.
Les zones contrôlées sont identifiées et soumises à des inspections régulières de la
part du RSSI.
Bien que les agressions physiques ne puissent être toutes empêchées, les moyens
de protection physique offrent une résistance effective aux intrusions physiques à
minima pour en ralentir la progression et permettre l’alerte.
Toute intrusion dans un local sensible génère une alarme qui est remontée en salle
de supervision qui en fonction de la gravité et de la nature de la menace peut
entrainer un déplacement de la police.
6.1.1.

Accès physique du périmètre

Chaque zone de bureaux nécessite un accès par badge habilité.
Chaque bâtiment de l’hébergeur se trouve sous vidéo surveillance, et conformément
à la loi informatique et liberté n°78-17, les enregistrements sont conservés un mois,
et sont visibles sur demande auprès du service sécurité.
Chaque bâtiment est protégé par une alarme anti-intrusion le soir (20h) jusqu'au
lendemain matin (7h) pour les jours ouvrés et 24h/24 les week-ends. Les traces
d’alarme sont conservées en historique. L’alarme ne peut être désactivée en cas de
présence dans le bâtiment, elle peut uniquement être retardée par tranche de 45
minutes par les badges habilités.
Tous les bureaux peuvent être fermés à clé la journée en cas d’absence. Le
personnel dispose de rangements sous clé (caisson, armoire) dans son bureau afin
d’y classer les documents et matériels de travail confidentiels.
Les bureaux avec des accès pompiers restent ouverts.
Les locaux techniques (électricité, télécommunication, réseau, …) sont fermés à clé
ou contrôlés par badges.
Les salles serveurs disposent de protections supplémentaires : contrôle d’accès
double (badge et biométrie), sas d’accès, vidéo surveillance. De plus, tous les accès
sont tracés. Ces traces ne sont accessibles qu’à un nombre restreint de personne.
Elles sont supervisées en permanence par les opérateurs.

Descriptif technique du Data Center

Version 1.0

19 / 47

Manuel Opérationnel de la Sécurité du SI

6.2.

G e s t i o n de s ba d g e s d’ a c c è s
6.2.1.

Catégories de badges

Les badges ont un accès modulable (accès au bâtiment par service).
Chaque badge d’accès est nominatif. Il comporte le logo de l’hébergeur (pas le nom
de la société), la photo, le nom et le prénom du salarié.
Un numéro de badge permet de rapprocher le cas échéant le badge de son
propriétaire.
Le badge doit être porté de façon visible lors des déplacements dans les locaux.
Le mode d’attribution des badges dépend de catégories :
 Salarié en CDI : le badge n’a pas de date limite de validité (en début de
contrat le salarié a un badge temporaire pendant 1 à 5 jours le temps que son
badge définitif soit généré),
 Salarié en CDD : le badge est limité dans le temps (à fin de contrat) et ne
comporte pas l’identité du salarié mais la mention TEMPORAIRE,
 Stagiaire : le badge est limité dans le temps (à fin de stage) et ne comporte
pas l’identité du stagiaire mais la mention STAGIAIRE,
 Prestataire : le badge est limité dans le temps (à fin de prestation) et ne
comporte pas l’identité du prestataire mais la mention PRESTATAIRE,
 Visiteurs : Les visiteurs n’ont pas de badge mais sont toujours accompagnés
d’une personne interne à l’hébergeur. Cette personne aura la responsabilité
du ou des visiteurs qu’elle accompagne.
6.2.2.

Attributions

Les demandes de badges sont faites par le service du personnel à l’embauche d’un
collaborateur, ou à l’arrivée d’un stagiaire, intérimaire ou prestataire.
Toutes les demandes de badge sont stockées puis archivées.
Le badge est remis au salarié accompagné d’un document expliquant ses
responsabilités.
6.2.3.

Modification

Par défaut les badges sont créés pour des accès standards. Si le salarié a besoin
d’accès plus large, son responsable hiérarchique doit en faire la demande justifiée
aux services généraux.
6.2.4.

Révocation

Les ressources humaines envoient une liste du personnel sortant quand il y a des
mouvements. Dans le cas d’un salarié qui a déjà quitté la société le badge est
révoqué. Dans le cas d’un salarié dont la date de départ est fixée, la période de
validité du badge est modifiée.
Les badges révoqués, comportant la photo du salarié, sont détruits.

Version 1.0

20 / 47

Manuel Opérationnel de la Sécurité du SI

En cas de vol de badge, celui-ci est immédiatement supprimé. Un badge temporaire
avec date de validité est fournit en attendant que le nouveau badge définitif soit
généré.
En cas d’oubli de badge, la personne doit se rendre aux services généraux afin
d’avoir un badge temporaire valable une journée.

Guide de sécurité de l'information : § Accès aux locaux
Guide de sécurité de l'information : § Travail en zone sécurisé
Guide de sécurité de l'information - Annexe Administrateur : § Travail
en zone sécurisée
6.3.

T r a v a i l d a ns l e s l oc a ux s é c ur i s é s

Des procédures et des contrôles renforcés sont exigibles par le RSSI pour accroître la
sécurité des locaux sensibles.
Des consignes, portées à la connaissance du personnel par sa hiérarchie et par le Data
Center Manager, déterminent les conditions de travail dans les locaux sécurisés :


ne pas laisser seule une personne travaillant dans ces locaux pour des
raisons de sécurité du personnel ou compte tenu de la sensibilité des
informations accessibles, à défaut dans le premier cas, obligation faite que la
personne signale sa présence (à son responsable hiérarchique, au service
sécurité…) de sorte qu’un contrôle fréquent assure que la vie de la personne
isolée n’est pas en danger,
maintenir systématiquement fermés les locaux sécurisés, même
provisoirement vacants,
ne pas laisser seule une tierce partie dans un local sécurisé.

Guide de sécurité de l'information : § Travail en zone sécurisé
Guide de sécurité de l'information - Annexe Administrateur : § Travail
en zone sécurisée
Guide

de sécurité de l'information - Annexe Administrateur : §
Protection des systèmes sensibles

Procédure d'enrôlement
Procédure d’accès des mainteneurs tiers
6.4.

P r ot e c t i o n de s é q ui pe m e n t s
6.4.1.

Installation et protection des équipements.

Le matériel est situé dans des salles d’hébergement dont l’accès est protégé par un
lecteur de badges et un appareil de reconnaissance biométrique.

Version 1.0

21 / 47

Manuel Opérationnel de la Sécurité du SI

Les autorisations d’accès aux Data Center sont faites par formulaire papier signé du
responsable de la ressource et transmise au Data Center Manager qui vérifie la
demande et la signe conjointement avec le RSSI.
Seul le Data Center Manager et le responsable sécurité physique des Services
Généraux sont habilités à « enrôler » de nouveaux membres ou à en supprimer.
Une liste des personnes ayant accès aux salles d’hébergement est tenue à jour par
le Data Center Manager. Cette liste est contrôlée périodiquement par le RSSI.
Des caméras enregistrent sur 7 jours les différents évènements : les passages
(accès au bâtiment, accès à la salle d’hébergement) et présence dans la salle sont
enregistrés et gardés pendant 1 mois.
Aucune personne extérieure, ou n’étant pas habilitée à accéder aux salles
d’hébergement ne pourra entrer sans s’être enregistrée dans le registre des visites et
sans être accompagnée par une personne ayant accès.
En cas de visite de la salle par une personne extérieure (client ou prospect), une
personne habilitée fera s’enregistrée les personnes extérieures sur le registre des
visites tenu par les opérateurs, puis accompagnera ces personnes tout le long de la
visite.
Pour les Tiers mainteneurs, ils doivent s’enregistrer sur un registre, puis se faire
accompagner par un opérateur le temps de leur intervention.

Descriptif technique du Data Center
Procédure d'enrôlement
Procédure d’accès des mainteneurs tiers
6.4.1.1.

Prévention des risques naturels.

Les mesures de protection contre l'incendie et les dégâts des eaux sont prises à
plusieurs niveaux : prévention, détection, confinement, extinction pour l’incendie, et
sauvegarde résiduelle des biens.
Des consignes au personnel de surveillance et des consignes générales diffusées à
tout le personnel indiquent la conduite à tenir.
Au niveau de l’hébergement, le confinement du feu et des fumées est assuré par la
résistance des matériaux au feu, le compartimentage du bâtiment, la configuration
des ouvertures et par les mesures suivantes prises dès la confirmation de détection :
arrêt de la climatisation, fermeture des clapets et des portes coupe-feu, coupure
d'alimentation électrique des machines. Les moyens de surveillance et de détection
sont centralisés vers une salle opérateur qui dispose de consignes claires et
connues en cas d’incident.
Des boucles de détection d’eau sont présentes en faux plancher dans les salles
informatiques, et notamment dans les bacs de rétention d’eau disposées sous les
Unités de Climatisation. La supervision se fait depuis la centrale d’alarme en salle
opérateur.

Version 1.0

22 / 47

Manuel Opérationnel de la Sécurité du SI

6.4.1.2.

Surveillance par des moyens humains.

Les dispositifs de surveillance par des moyens humains ont pour but de détecter et
d’interdire en permanence la présence de personnel non autorisé à l’intérieur du site.
Ces dispositifs supposent la mise en œuvre de moyens différents selon les périodes
de la journée (heures ouvrées ou non), tels que des moyens :
 statiques : filtrage à l’entrée de l’établissement par les personnels d’accueil
aux heures ouvrées, aux heures non ouvrées la surveillance se fait via
supervision des caméras par les opérateurs,
 mobiles : rondes d’un maitre chien, effectuées essentiellement en dehors des
heures de travail et permettant de surveiller l’intégrité du site et des zones
sensibles,
 d’intervention : internes ou externes (police, etc.).
Le personnel assurant la surveillance est en nombre suffisant pour effectuer en
toutes circonstances les surveillances et rondes nécessaires, de jour comme de nuit.
Les surveillants appelés à se déplacer seuls sur un site sont équipés d’un matériel
de communication.
6.4.2.

Conditionnement électrique et climatique

Les mesures décrites au présent chapitre s’appliquent au site d’hébergement.

Descriptif technique du Data Center
6.4.2.1.

Climatisation

La fiabilité du système d’information ne peut se concevoir sans un contrôle rigoureux
des conditions ambiantes dans lesquelles il est placé. La chaleur, l’humidité, la
poussière, les écarts de température nuisent au bon fonctionnement des
équipements.
Les climatiseurs sont équipés d’une régulation de type numérique garantissant
l’adéquation aux besoins de la zone concernée.
Les moyens de surveillance et de détection sont centralisés vers la salle opérateur.
Un automate de contrôle supervise les systèmes de climatisation, et assure le
délestage de la climatisation de confort sur défaillance ou surcharge et la
retransmission des alarmes vers la salle opérateur.
L’alimentation des climatiseurs est du type Normal / Secours assuré par les groupes
électrogènes.
6.4.2.2.

Énergie

Les équipements télécoms et informatiques, notamment les serveurs hébergeant les
données requièrent, pour leur bon fonctionnement, la mise en œuvre de dispositifs
d’alimentation en énergie ayant un taux de disponibilité adapté aux exigences
spécifiques d’exploitation.

Arrivées de distribution électrique redondées.

Version 1.0

23 / 47

Manuel Opérationnel de la Sécurité du SI


Secours électrique par des onduleurs redondés, des batteries et un groupe
électrogène.
Chaque protection est reliée à la console GTB (Supervision électrique)
6.4.3.

Sécurisation du câblage

Les conduits utilisés pour les câbles réseau sont séparés d’au moins 30 cm des
conduits utilisés pour les câbles électriques en respect des normes en vigueur.
Les câbles réseau pénètrent directement en salle informatique depuis un réseau de
conduits souterrains en double parcours indépendants passant sous la voirie.
6.4.4.

Maintenance des équipements

L’ensemble des équipements informatiques et télécoms fait l’objet d’un contrat de
maintenance.
Les mesures suivantes sont prises pour la maintenance des équipements supportant
des données sensibles :
 signature, par les sociétés titulaires des contrats de maintenance,
d’engagements de confidentialité nominatifs,
 avertissement de l’hébergeur par le mainteneur, préalablement à toute
opération de maintenance sur site,
 accompagnement de tout personnel externe par l’hébergeur pour les matériels
placés dans une zone sécurisée,
 enregistrement des interventions de maintenance par l’hébergeur (heure de
début et de fin d’intervention, matériel concerné, motif de l’intervention),
 respect des exigences de sécurité en termes de recyclage, de mise au rebut
et de destruction des médias.
Les exigences de sécurité sont prises en compte dans les clauses contractuelles des
contrats de maintenance sur site ou en atelier et approuvées par l’hébergeur.
6.4.5.

Mesures individuelles de protection

Le contrôle d’accès au poste de travail est nominatif. Le poste de travail est protégé
par un mot de passe personnel (unicité d’identité) soumis à des règles de
construction et de péremption.
Le poste de travail revient automatiquement en mode protégé après 10 minutes
d’inactivité. Le mode protégé (écran de veille) nécessite la saisie d’un mot de passe.
Les répertoires personnels en local et sur les serveurs de fichiers sont protégés.
L’utilisateur est responsable des informations confidentielles qu’il crée ou utilise. Il
est tenu de les protéger. En fonction de leur sensibilité, il pourra les protéger au
moyen d’un produit de chiffrement approuvé par le RSSI.

Version 1.0

24 / 47

Manuel Opérationnel de la Sécurité du SI

7.

Gestion des systèmes et réseaux

7.1.

Ad m i ni s t r a t i o n de s s ys t è m e s
7.1.1.

Procédures d’administration et d’exploitation.

L’utilisation des comptes des systèmes, des équipements réseau actifs et des
comptes d’administration de bases de données ou d’applications est réglementée.
Des procédures sécurisées régissent les gestes d’administration et d’exploitation
sensibles.
La liste des comptes sensibles est revue régulièrement lors d’audit des comptes par
le RSSI, au minimum une fois par an.
7.1.2.

Gestion des changements

Les changements matériels et logiciels sont gérés en configuration.
Les changements ou mises à niveau sont précédés par une analyse d’impact, une
étude de faisabilité du retour arrière et une sauvegarde des configurations
matérielles et logicielles.
Toute modification de l’infrastructure du système d’information, au niveau applicatif,
système ou réseau (avec ou sans interruption de service) doit faire l’objet d’une
demande de changement. (Request For Change) Celle-ci sera soumise à
acceptation lors du CAB (Change Advisory Board).
Les changements sont validés avant leur mise en œuvre dans l’environnement de
pré-production avec un plan de tests.

Procédure de gestion des changements et des mises en production
7.1.3.

Séparation des rôles

L’hébergement est organisé selon le principe de séparation des tâches
d’administration, d’exploitation et de contrôle sécurité.
L’attribution des comptes et des niveaux de droits se limite aux besoins de la fonction
des différents acteurs.
7.1.4.

Séparation des
d’exploitation

activités

de

développement

et

Les activités de développement et d’exploitation sont séparées. Des moyens
techniques et organisationnels garantissent cette séparation.

Organigramme

de l’hébergeur de données de santé à caractère

personnel

Version 1.0

25 / 47

Manuel Opérationnel de la Sécurité du SI

7.2.

M a i nt i e n e n c on di t i on o pé r a t i o n n e l
7.2.1.

Maintien de la disponibilité

Les mesures propres à minimiser l’indisponibilité du SI, concernent en particulier le
suivi des ressources consommées (espace mémoire, médias, robots, charge réseau,
puissance CPU, taux d’erreurs…) et les tests fonctionnels avant mise en production
(fonctions de sécurité…)
Afin de réduire le risque de défaillance des systèmes, les équipements mis en place
sont toujours plus performants que le besoin immédiat de manière à anticiper les
évolutions futures.
Les outils de supervision de l’infrastructure permettent de détecter les pics de charge
et donc d’anticiper les éventuels goulets d’étranglement.
7.2.2.

Maintien de l’intégrité

7.2.2.1.

Traçabilité des gestes d’administration

Toute action sensible exécutée à partir d’un compte d’administration est tracée et est
à tout moment auditable.
7.2.2.2.

Traçabilité des incidents

Tout incident d’administration, de sauvegarde, de restauration ou de sécurité est
tracé et fait l’objet d’une déclaration.
Tout accès non autorisé à une fonction d’administration ou d’exploitation est tracé,
toute violation faisant l’objet d’une remontée d’alarme.
L’hébergeur a en charge :
 l’activation des fonctions d’audit (sur tous les serveurs et équipements
réseaux qui le justifient),
 l’édition des journaux d’audit sur des machines différentes des machines
auditées,
 la mise en place de droits d’accès restrictifs aux journaux d’audit,
 l’analyse des évènements dont la surveillance lui est déléguée,
 la conservation des journaux d’audit pendant une durée supérieure à la
fréquence d’analyse et d’archivage,
 la conservation des archives.

7.3.

L u t t e c on t r e l e s v i r u s e t c o d e s m a l v e i l l a nt s

Les postes de travail et les serveurs sont munis d’une protection permanente et à
jour contre les virus et les codes malveillants.
Un antivirus est installé sur chaque poste de travail et chaque serveur. Cet antivirus
est géré par un serveur qui se met à jour toutes les 4 heures, les serveurs de
traitements données et les postes de travail interrogent ce serveur toutes les 10

Version 1.0

26 / 47

Manuel Opérationnel de la Sécurité du SI

minutes pour télécharger le cas échéant une mise à jour (politiques d’exceptions et
jeu de signatures antivirus ainsi que la liste de malwares référencés).
L’antivirus de fichiers analyse tous les fichiers en temps réel sauf ceux présents dans
une liste d’exception. L’antivirus de messagerie analyse tous les contenus.
Lors de la connexion au réseau via un poste de travail équipé de l’antivirus, une mise
à jour est effectuée si cela est nécessaire.
Un système anti spam permet de filtrer les spyware, virus et autres spam via la
messagerie. La charte informatique donne la ligne de conduite sur l’usage d’internet,
de la messagerie et notamment des téléchargements de fichiers et de logiciels.

Procédure de gestion des antivirus et filtre anti spam
7.3.1.

Traitement

L’Exploitant a l’obligation d’alerter sans délais sa hiérarchie et le RSSI pour tout
problème d’infection qui lui est soumis et de prendre toute mesure d’isolement
nécessaire pour éviter la propagation des infections virales.
7.3.2.

Reporting

Les messages d’alerte sont stockés sur le poste utilisateur, les remontées d’alertes
d’infections sont gérées par une équipe de surveillance grâce à des rapports du
serveur antivirus.
L’Exploitant a l’obligation de remonter mensuellement au RSSI les statistiques
concernant les infections enregistrées et les virus éradiqués sur les serveurs.

7.4.

Ad m i ni s t r a t i o n de s r é s e a ux
7.4.1.

Réseaux locaux

Les procédures sécurisées d’administration, de supervision, d’exploitation et de
surveillance des réseaux locaux concernent notamment :








la connectique (brassage, connexion, cartographie),
la gestion du plan d'adressage,
l’installation et la maintenance des équipements réseau et dispositifs de
sécurité associés,
la supervision et la configuration des équipements sur les réseaux locaux,
la supervision, la sauvegarde et la configuration des dispositifs de sécurité
associés,
la gestion des sauvegardes et des supports,
la surveillance du fonctionnement du réseau local et des dispositifs de sécurité
associés,
la vérification des performances et des paramétrages sécurité du réseau,
selon les fonctionnalités offertes par les outils utilisés,
la gestion des alertes et le déclenchement des actions correctrices,

Version 1.0

27 / 47

Manuel Opérationnel de la Sécurité du SI


la gestion des sécurités : comptes d’administration, accès distants
(authentification renforcée, filtres,..), pare-feux,
la traçabilité des interventions.

Le SI de l’hébergeur est composé de plusieurs zones (délimitées par des éléments
de sécurité) ayant chacune une fonction différente (usage interne, serveurs
connectés à Internet, applications clientes, …). Cela permet de différencier les flux et
ainsi de mieux les canaliser, surveiller, analyser et protéger.
Les infrastructures de réseau local sont distinctes pour les usages internes (serveurs
internes) et externes (serveurs clients). De façon plus générale, à chaque fois que
cela est possible, les ressources utilisées pour les clients sont distinctes des
ressources utilisées en interne. Le principe est de pouvoir intervenir en maintenance
sur les équipements internes sans faire aucune interruption de service pour les
clients et aussi de séparer les ressources afin d'éviter les effets de bord, c'est-à-dire
éviter toute influence des usages internes sur le service rendu au client.
Afin de garantir la protection des informations transitant par le réseau, les
interconnexions et accès aux ressources sont contrôlés par des firewalls et des
« sniffeurs ». Dès qu'une attaque est détectée, l'accès intéressé est
automatiquement clôturé. Ces firewalls assurent le contrôle des flux entrant et
sortant. Une tenue à jour des ports ouverts et des droits d’accès est faite
périodiquement.
Différents « Firewalls » filtrent et tracent les activités entre les différentes zones
réseau. Chaque zone réseau ayant une fonction précise, une analyse des traces
permet de détecter les intrusions (Trojan en interne, accès distants, interconnexions
de réseaux, …).
Quand un problème est détecté, une sonde est placée sur le réseau à l’endroit le
plus approprié pour compléter l’information par une écoute active du réseau
(enregistrement du trafic).
Des mails d’alertes ou des indicateurs dans les consoles de supervision informent
également administrateurs des problèmes survenus.
7.4.2.

Les accès distants

La mise en place d’un antivirus est fortement préconisée dans le cas de l’utilisation
de matériel personnel.
La connexion au réseau de l’hébergeur en mode télétravail reprend les droits
similaires à ceux d’une connexion interne avec quelques privilèges en moins (par
exemple la connexion au domaine interne).
Le mode télétravail n’est utilisé que pour le personnel d’astreinte pour faciliter la
couverture 24h/24.
En cas d’accès à des données sensibles, un antivirus est exigé.

Procédure de gestion des accès distants

Version 1.0

28 / 47

Manuel Opérationnel de la Sécurité du SI

7.4.2.1.

Gestion des droits

Dans le cas d’interconnexions ponctuelles (accès distants) les utilisateurs
s’authentifient sur une base (Serveur d’identité protégé par des équipements de
sécurité filtrant) gérée par les administrateurs de l’hébergeur. Une fois cette étape
d’authentification effectuée, l’utilisateur pénètre sur le réseau sur une zone délimitée
(il reste encore les authentifications sur les applications). Cette phase
d’authentification est totalement transparente pour l’utilisateur dans la mesure où il
utilise une application intégrée qui gère elle-même l’appel au SI, l’authentification sur
le réseau et l’authentification sur le serveur d’application. La création des comptes
d’accès distants est définie dans un processus établi.
7.4.2.2.

Clients

Les clients se raccordant à l’hébergement de données de santé à caractère
personnel depuis l'extérieur des sites de l’hébergeur accèdent au système au travers
de dispositifs d’authentification renforcés :
 carte CPS pour les professionnels de santé,

7.5.

certificat numérique pour les patients.

P r ot e c t i o n e t m a ni p ul a t i o n de s m é di a s
7.5.1.

Dispositions générales

L’utilisation de médias contenant des informations confidentielles fait l’objet de règles
d’accès, de conservation et de destructions sécurisées.
Ces règles s’appliquent notamment aux :
 documents papier et électroniques,
 bandes magnétiques, disques durs, optiques, DVD, CD-ROM,
disquettes, cartouches et cassettes (informatiques, vidéo ou audio),
clés USB.
 documents en sortie d’imprimante et de télécopieur.

Procédure de gestion des supports de données
7.5.2.

Protection

Des mesures de protection garantissent l’intégrité, la disponibilité et la confidentialité
des informations confidentielles.
Les mesures de protection applicables aux informations confidentielles consistent
notamment à :
 limiter l’accès aux informations aux personnes ayant besoin d’en
connaître,
 mentionner la confidentialité des documents sur chaque page
 déchiqueter les brouillons ou les documents périmés
 transmettre les documents et médias confidentiels en main propre,
sous enveloppe fermée par le courrier interne ou sous double
enveloppe pour le courrier externe, la sensibilité des documents ou

Version 1.0

29 / 47

Manuel Opérationnel de la Sécurité du SI


des médias étant rappelée si nécessaire dans la lettre
d’accompagnement
proscrire la transmission totale ou partielle des documents
confidentiels par télécopie
conserver les documents et médias confidentiels dans des locaux
protégés ou dans des coffres.

7.5.3.

Recyclage et mise au rebut

Une procédure de mise au rebut garantie que, les informations détruites ne seront
plus accessibles et que des objets nouvellement créés ne contiennent pas
d’informations qui ne devraient pas être accessibles.
Les médias susceptibles de contenir des informations confidentielles (disques durs,
cartouches…) sont détruits physiquement et font l’objet d’un procès verbal de
destruction.
L’échange standard de médias non soumis à destruction physique est conditionné à
l’exécution d’un formatage haute sécurité à réutilisation ou restitution, selon le cas.
Un certificat de formatage haute sécurité est exigé.
Le RSSI est responsable des modalités et des procédures de destruction et de
stockage transitoire avant destruction des médias qui lui sont confiés du fait de son
métier

Procédure de gestion des supports de données - § Mise au rebut

Version 1.0

30 / 47

Manuel Opérationnel de la Sécurité du SI

8.

Contrôle d’accès

La politique de contrôle d’accès s’applique à l’ensemble des utilisateurs du système
de l’hébergeur, quels que soient leurs profils ou privilèges
8.1.

Profils et règles d’accès

Les mesures de sécurité appliquées pour les profils et règles d’accès consistent
notamment à :
 octroyer et gérer de façon centralisée droits et privilèges en définissant des
groupes d’utilisateurs (administrateurs, rédacteur, lecteur, …),
 dissocier les comptes administrateurs et autres comptes à privilèges des
autres comptes.
La politique générale est que :
 les utilisateurs ne doivent avoir de vue que sur les applications auxquelles ils
ont besoin d’accéder,
 les données ne doivent être accessibles que par les utilisateurs habilités.
Pour cela il faut :
 s'assurer que l'information est classée au bon niveau de sensibilité
(confidentielle, interne, public),
 définir la liste les personnes autorisées à accéder ou à modifier une
information confidentielle et de le mentionner à ces personnes,
 s'assurer que l'information est stockée dans un endroit accessible aux seules
personnes autorisées (en lecture ou en écriture).

Guide

de sécurité de l'information - § Responsabilité du "propriétaire" de
l'information

Guide de sécurité de l'information - Annexe Administrateur : § Accès aux systèmes
sensibles

8.2.

Gestion des habilitations

8.2.1.

Création à l’embauche

Tous les nouveaux arrivants sont déclarés dans le logiciel des Ressources
Humaines (SIRH). Leur déclaration créé automatiquement une entrée dans le
référentiel une fois que l’utilisateur est validé par la RH.
La création de compte d’accès au SI est conditionnée par la présence dans le
référentiel RH.
Les Ressources Humaines sont le point central du processus. En effet, dès qu’une
personne est embauchée, les RH saisissent dans le logiciel SIRH le nom et prénom

Version 1.0

31 / 47

Manuel Opérationnel de la Sécurité du SI

de la personne, son poste et sa fonction, et si nécessaire, une date de fin de contrat
(exemple : CDD, prestataires, stagiaires...). Une fois ces informations saisies, une
création automatique est faite dans l’Active Directory, et un mail est
automatiquement envoyé aux Services Généraux pour la création du badge d’accès
au bâtiment.
8.2.2.

Gestion des demandes

Toute demande de modification/suppression/création est formalisée par une
demande faite dans le SI Support.
Les demandes de création / modification / suppression des comptes utilisateurs
relatives aux applications métier, à la messagerie, aux bases documentaires sont
réglementées par des procédures et sont traitées comme demandes de travaux.
Les demandes de travaux visant à faire évoluer le Système d’information ou les
Télécoms sont obligatoirement validées par la Direction. Toute demande de travaux
qui contrevient aux règles d’exploitation nominales de l’hébergement de données de
santé doit faire l’objet d’une demande de dérogation soumise au RSSI.

Procédure de gestion des demandes d’accès
8.2.3.

Gestion des privilèges

La politique de gestion des comptes privilégiés ou sensibles consiste à :


Réglementer par des procédures et restreindre l’utilisation des
comptes privilégiés (système, réseau, SGBD, applications métiers,
gestion des mots de passe) en dissociant les rôles.
Faire établir et maintenir à jour par les équipes d’exploitation la liste
des comptes sensibles, des droits associés et des détenteurs.
Faire effectuer le contrôle des groupes particulièrement sensibles par
le RSSI.

Rappel : Les droits sur les comptes de service sont configurés au plus juste et revus
périodiquement.
8.2.4.

Gestion des mots de passe

L’hébergeur met en place et maintien une politique de gestion robuste des mots de
passe en imposant des règles de construction complexe et de mise à jour minimales.
8.2.5.

Vérification

Dans le cadre de la revue régulière de conformité, le RSSI vérifie que la politique de
sécurité relative aux règles de construction et de mise à jour des mots de passe et
aux droits et privilèges sur les serveurs et postes de travail des sites est bien
appliquée.

Version 1.0

32 / 47

Manuel Opérationnel de la Sécurité du SI

8.3.

Obligation des utilisateurs

8.3.1.

Sécurité des mots de passe

L’authentification de l’utilisateur s’effectue au moyen d’outils (identification de
l’utilisateur + mot de passe) strictement personnels et incessibles.
L’utilisateur est responsable de la gestion de ses mots de passe.
L’utilisateur à l’obligation de :
 choisir des mots de passe complexes et difficiles à trouver,
 préserver ses mots de passe contre toute diffusion intentionnelle ou
accidentelle,
 modifier immédiatement les mots de passe temporaires présents lors de
l’initialisation d’un système ou d’un produit.
 De ne pas utiliser les 5 derniers mots de passe.
8.3.2.

Poste de travail

Le contrôle d’accès aux postes de travail se fait par le biais d’une authentification sur
le domaine d’authentification (AD). Sans compte dans le domaine il n’est pas
possible d’accéder au réseau et au poste de travail.

Procédure de Contrôle d’accès d’un poste de travail

L’installation et l’utilisation de logiciels dont les droits n’ont pas été acquis sont
interdites.
L’utilisation d’un modem ou d’une connexion Wifi externe sur un poste de travail est
strictement interdite.
L’utilisateur a obligation :
 de protéger ses données résidant sur son poste de travail par des
sauvegardes régulières sur les portails et espaces partagés mis à disposition,
 de ne pas désactiver ou augmenter le délai de basculement en écran de veille
protégé par le mot de passe d’accès au système,
 si nécessaire, d’utiliser les outils de chiffrement qui seront approuvés par le
RSSI pour préserver la confidentialité des données sensibles,
8.4.

Contrôle d’accès au réseau

Le principe de base de l’architecture du réseau de l’hébergeur est qu’aucun flux
externe (en provenance d’Internet) ne peut pénétrer le réseau directement. Cela se
traduit par une architecture composée de plusieurs « zones » délimitées par de
multiples éléments de sécurité (pour filtrer) et de relais (pour couper les flux).
Chaque zone a un rôle bien précis (postes de travail, serveurs connectés à Internet,
serveurs internes, serveurs utilisés par les clients, …).
Les seuls accès depuis Internet autorisés sont :

Version 1.0

les flux de messagerie (SMTP) qui accèdent à des serveurs de messagerie
relais sur une zone délimitée (DMZ),

33 / 47

Manuel Opérationnel de la Sécurité du SI

les flux pour serveurs WEB (HTTP/HTTPS) des applications WEB
hébergées qui accèdent à des relais WEB sur une zone délimitée (SMZ).

Ces flux sont coupés par des relais pour interdire toute connexion directe au réseau.

Procédure architecture réseau
L’hébergeur distingue deux types d’interconnexions :

les interconnexions permanentes internes (VPN et liaison de type
LS/RNIS),

les interconnexions ponctuelles (accès distants) interne pour les
collaborateurs de l’hébergeur.

Dans le cas d’interconnexions permanentes, le site est considéré comme « sûr »
après un audit de mise en place. Les équipements d’interconnexions sont gérés par
les administrateurs de l’hébergeur.
Les équipements de sécurité entre les utilisateurs et les applications filtrent les accès
et ne les autorisent qu’aux seules applications nécessaires.

Procédure architecture réseau
Procédure de gestion des interconnexions
Chaque ressource destinée à un usage interne (serveurs, postes de travail) se
trouve dans la même « zone » réseau. Les équipements de sécurité filtrants
permettent d’interdire tout flux externe à cette zone d’y entrer.
La connexion d’un équipement à cette zone nécessite une procédure particulière. En
effet chaque équipement réseau (commutateur) est verrouillé pour ne pas accepter
de nouveaux équipements sans intervention d’un administrateur. Cette mesure
permet de garantir qu’aucun poste de travail ne sera connecté au réseau sans y être
autorisé.

Guide de sécurité de l’information : § Sécurité des réseaux
Guide de sécurité de l’information : § Paramétrage de la sécurité
Procédure architecture réseau
8.4.1.

Administration des équipements réseaux

La connexion aux équipements réseau à des fins d’administration, de maintenance
ou d’audit nécessite obligatoirement l’usage d’un identifiant et d’un mot de passe.
Les mots de passe installés par défaut sont systématiquement changés, un mot de
passe différent étant affecté pour chaque mode de connexion.
Les mots de passe non triviaux et de longueur minimale (8 caractères) sont changés
à minima :
 suite au départ d’un des administrateurs des équipements réseaux,
 suite à la diffusion exceptionnelle de ceux-ci.

Version 1.0

34 / 47

Manuel Opérationnel de la Sécurité du SI

L’accès à partir de l’extérieur par un tiers mainteneur n’est pas autorisé, sauf
dérogation.
Les équipements actifs du réseau remontent automatiquement des alarmes vers les
outils de supervision du réseau.
8.4.2.

Authentification
renforcée
dans
le
cadre
de
l’hébergement de données de santé à caractère
personnel

La sécurité des comptes pour l’accès au système d’hébergement de données de
santé à caractère personnel opérant à distance est assurée par des solutions
d’authentification renforcée.
8.5.

Contrôle d’accès au système

8.5.1.

Administration des mots de passe

Les mots de passe des comptes administration, non triviaux, régulièrement changés,
peuvent, si nécessaire, être remis au RSSI par les administrateurs dans des
enveloppes cachetées et conservées dans un coffre fort.
Pour renforcer les stratégies des mots de passe, et dans la mesure où le système le
permet, la politique de gestion des mots de passe consiste à :
 conserver l’historique des mots de passe sur les derniers utilisés avec
interdiction de les réutiliser,
 fixer à 1 jour la durée de vie minimale des mots de passe,
 limiter à 42 jours la durée de vie maximale des mots de passe,
 fixer la longueur minimale des mots de passe à 8 caractères alphanumériques
avec caractères spéciaux,
 choisir des mots de passe difficiles à découvrir ou non re-jouables et
journaliser les tentatives de connexion infructueuses.
8.6.

Contrôle d’accès aux applications

Le contrôle d’accès aux applications dépend du type d’application :

application WEB (sur Internet),

application sur le réseau privé (interconnecté),

application en accès distant.

Dans le cas d’applications WEB (sur Internet) l’authentification et l’application en ellemême sont cryptées par SSL car le réseau de transport utilisé n’est pas maîtrisé.
Dans le cas d’une application sur le réseau privé (interconnecté) l’authentification est
cryptée. Le réseau est considéré suffisamment maîtrisé pour ne pas crypter tout le
flux applicatif.
Le contrôle d’accès dans le cas d’accès distant est géré dans l’application ellemême. En effet l’application fonctionne en mode local et se connecte pour les
synchronisations avec les serveurs. L’application est pré paramétrée en fonction de

Version 1.0

35 / 47

Manuel Opérationnel de la Sécurité du SI

l’utilisateur qui ne doit saisir que son mot de passe. Les connexions au réseau puis
au serveur applicatif sont intégrées dans l’application.
Les applications nécessitent un renouvellement de mots de passe périodique et
chaque compte se verrouille après plusieurs tentatives de connexion infructueuses.
Ceci n’est valable que sur les applications pouvant gérer ces fonctionnalités.
Pour les applications historiques ne gérant pas le renouvellement automatique des
mots de passe il est conseillé aux utilisateurs de changer leur mot de passe
régulièrement.

Procédure de gestion des mots de passe

Toute personne accédant aux applications doit pouvoir être identifiée
individuellement. L’attribution de droits d’accès fonctionnels et géographiques
(strictement limités à la durée de la mission) est l’objet d’un contrôle préalable par la
hiérarchie directe de la personne.
8.7.

Détection,
sécurité

analyse

et

traitement

des

incidents

de

Auditer la sécurité implique la reconnaissance, l’enregistrement, le stockage et
l’analyse d’informations associées à des activités touchant à la sécurité. Les
enregistrements d’audit en résultant doivent permettre de déterminer quelles activités
touchant à la sécurité ont eu lieu et quelles personnes (utilisateurs) en sont
responsables.
Des outils d’analyse réseau et de surveillance des applications et des systèmes
supervisent les liens et équipements réseau.
Ces outils sont mis à disposition de l’équipe d’exploitation assure la gestion de
premier niveau des incidents. Cette équipe s’appuie sur des méthodes, procédures
et outils des différentes équipes (systèmes, réseau, communication électronique).
En cas de difficulté l’équipe supervision fait appel à l’équipe concernée pour la
résolution de l’incident.
Les opérateurs reçoivent sur les consoles de pilotage et de surveillance les différents
messages d’anomalies.
En fonction du type d’incident, ils entreprennent les actions prévues dans les
consignes en leur possession. Ces actions peuvent être aussi différentes que la
relance d’un service, le reboot d’un serveur, la mise en œuvre d’une procédure de
restauration, l’appel à la maintenance constructeur, l’appel à la maintenance système
et réseau ou l’appel à l’astreinte applicative.

Guide de sécurité de l'information : § Signalement des incidents
Procédure de gestion des incidents
Les incidents sont reçus par l’équipe de support dédié par application ou domaine
technique. L’incident ou la demande est enregistré et qualifié.
S’il s’agit d’une demande de service, la procédure de demande est enclenchée.
Sinon l’incident est transmis à un support de niveau 2, composé d’experts techniques
ou métier selon le domaine, pour investigation et diagnostic. Au final une résolution

Version 1.0

36 / 47

Manuel Opérationnel de la Sécurité du SI

de l’incident ou une méthode de contournement est communiquée par le support au
demandeur et appliquée.
L’incident ou la demande peut alors être clos.
En permanence le support suit l’incident et sa résolution, il communique avec le
demandeur jusqu’à la clôture.

Guide de sécurité de l'information - Annexe Administrateur : § Gestion
des incidents

8.7.1.

Évènements journalisés

Chaque système est synchronisé sur la même horloge (serveur de temps NTP) de
sorte qu’une recherche dans les fichiers de trace soit rendue plus facile.
Pour les systèmes historiques, l'horloge est synchronisée manuellement et de façon
périodique sur le serveur de temps.

Guide de sécurité de l'information : § Surveillance des réseaux et des
systèmes

Guide de sécurité de l'information - Annexe Administrateur : § Historique
de l’utilisation du système informatique

Guide de sécurité de l'information - Annexe Administrateur : § Gestion et
utilisation des traces

Guide de sécurité de l'information - Annexe Administrateur : § Contrôle et
surveillance des actes d’utilisation d’Internet

Procédure de gestion des logs

Tout équipement sensible est l’objet d’une journalisation centralisée des évènements
de sécurité. Les journaux sécurité sont alimentés en permanence et analysés en
temps réel par un corrélateur des évènements de sécurité qui génère des alarmes.
Les moyens de journalisation permettent la détection (en temps réel ou en différé
selon la gravité de l’atteinte potentielle ou avérée) des événements représentant une
menace significative à l’encontre de l’application de la Politique Particulière de
Sécurité de l’hébergement des données de santé à caractère personnel.
Chaque enregistrement d’audit comporte au minimum les informations suivantes :
 date et heure de l’événement, type d’événement, identité du sujet, identité de
l’hôte, ainsi que le résultat (succès ou échec) de l’événement,
 identité de l’utilisateur qui est à l’origine de l’événement,
Les journaux d’audit sont gérés sans intervention des administrateurs. Les accès et
la destruction de ces journaux sont audités.
8.7.2.

Alarmes et tableaux de bord de sécurité

Des mesures de protection interdisent à toutes autres personnes que celles
habilitées à accéder aux enregistrements d’audit de sécurité.

Version 1.0

37 / 47

Manuel Opérationnel de la Sécurité du SI

Les incidents de sécurité graves journalisés font l’objet d’une alerte immédiate aux
acteurs de la sécurité : administrateurs système ou réseau, au RSSI. Des
procédures décrivent les mesures à prendre.
Le tableau de bord des anomalies et incidents de sécurité permet de :
 rendre compte au management sur le niveau et l’activité sécurité du système
d’’hébergement des données de santé à caractère personnel et de tracer son
évolution,
 D’identifier les domaines dans lesquels les actions devront être renforcées.
8.7.3.

Audit et droit d’accès

Toute anomalie grave est signalée directement au RSSI.
Un audit des comptes non utilisés est effectué régulièrement. Après information, les
comptes non utilisés sont fermés et les répertoires archivés.
8.7.4.

Stockage et protection des évènements de sécurité

Des mesures de sécurité garantissent la confidentialité des enregistrements d’audit
et les préservent contre toute suppression non autorisée tout en permettant de
détecter, et si possible d’empêcher, leur modification.
Des mesures techniques et organisationnelles permettent de conserver la
disponibilité, l’intégrité et la confidentialité des mécanismes et enregistrements
d’audit en cas de dépassement de capacité ou de défaillance des moyens de
stockage des journaux, ou d’attaque.
Au cas où un journal d’audit est proche de la saturation, un message alerte
l’administrateur de sorte qu’il ait le temps suffisant pour assurer sa copie sur un
support de sauvegarde. Si cette opération ne peut s’effectuer suffisamment
rapidement, les enregistrements d’audit les plus anciens sont écrasés et l’événement
est tracé.
8.8.

Protection des systèmes et des réseaux

8.8.1.

Serveurs

L’application récurrente des patchs de sécurité, l’utilisation systématique des moyens
et fonctions de sécurité propres aux systèmes opérés et la journalisation permanente
des évènements et actions sensibles participent à la sécurisation de tout serveur du
système d’hébergement des données de santé à caractère personnel.
8.8.1.1.

Précaution d’installation

La procédure d’installation d’un serveur est sécurisée, elle tient compte des derniers
correctifs de sécurité du constructeur, les services inutiles ne sont pas installés.
La sécurisation de l’installation s’effectue notamment en :
 isolant la machine du réseau logiquement ou physiquement si possible,

Version 1.0

38 / 47

Manuel Opérationnel de la Sécurité du SI


installant les correctifs de sécurité et de préférence la dernière version validée
du système,
sélectionnant uniquement les composants indispensables.

Des tests unitaires sont effectués avant toute installation d’un nouveau système afin
de mesurer les impacts sur la production. Des tests de filtrage des logiciels
malveillants pour les anti-virus et firewall.
Des tests de vulnérabilité réseau et système automatisés sont effectués
régulièrement afin de déceler les failles éventuelles de sécurité. Cela est renforcé par
des contrôles humains réguliers.
Un outil de test de vulnérabilité est utilisé avant chaque mise en production d’un
nouveau serveur ou d’une nouvelle application, afin de déceler et de corriger les
failles de sécurité critiques.
8.8.1.2.

Paramétrage du système

Le paramétrage concourt à la sécurité du système. Une référence maitre (master) du
système est, régulièrement mise à jour, est utilisée. Elle contient les mesures de
sécurité qui consistent notamment à :





utiliser un système de fichiers autorisant un contrôle « fin » des droits sur les
répertoires et les fichiers,
changer systématiquement les noms des comptes et mots de passe «
constructeur »,
interdire les connexions « anonymes » pour accéder au système,
durcir la politique de sécurité des partages de fichiers,
restreindre l’accès distant aux seules machines autorisées,
limiter l’usage des commandes système et réseau sensibles aux seules
personnes habilitées.
8.8.1.3.

Partage des ressources

Seuls les groupes d’utilisateurs authentifiés sont autorisés à accéder aux ressources
partagées.
8.8.2.

Poste de travail

L’application récurrente des patchs de sécurité, l’utilisation systématique des moyens
et fonctions de sécurité propres aux systèmes opérés et la journalisation permanente
des évènements et actions sensibles participent à la sécurisation de tout poste de
travail.
Par poste de travail, il faut entendre les machines fixes ou portables, quelque en soit
le système d’exploitation ainsi que les stations de travail, à l’exclusion des terminaux
passifs et des serveurs.
La sécurisation du poste de travail est nécessaire pour :
 protéger des données personnelles,

Version 1.0

39 / 47

Manuel Opérationnel de la Sécurité du SI


limiter les risques de compromission du réseau par rebond sur un poste de
travail,
intervenir à distance.

L’utilisation d’un poste de travail est conditionnée à minima par le respect des règles
suivantes :
 accès au poste de travail contrôlé de façon nominative,
 protection par un mot de passe personnel (Unicité d’identité),
 configuration du poste non modifiable par l’utilisateur standard,
 basculement automatique en mode protégé, pendant les périodes d’inactivité
supérieures à 10 minutes.
8.8.2.1.

Précaution à l’installation

La procédure d’installation d’un poste de travail est sécurisée, elle tient compte des
derniers correctifs de sécurité du constructeur, les services inutiles ne sont pas
installés.
La sécurisation de l’installation s’effectue notamment en :
 installant les correctifs de sécurité et de préférence la dernière version validée
du système,
 sélectionnant uniquement les composants indispensables,
 masquant à l’utilisateur les fichiers protégés du système d’exploitation,
 interdisant l’accès aux paramètres et commandes sensibles susceptibles
d’introduire des failles de sécurité dans le système ou sur le réseau.
8.8.2.2.

Paramétrage du système

Le paramétrage concourt à la sécurité du système.
Les mesures de sécurité consistent notamment, quand le système le permet, à :
 changer systématiquement les noms des comptes et mots de passe «
constructeur »,
 interdire les connexions « anonymes » pour accéder au système,
 interdire et auditer les bases de comptes.
8.8.3.

Équipements réseaux

L’application récurrente des patchs de sécurité, l’utilisation systématique des moyens
et fonctions de sécurité propres aux équipements opérés et la journalisation
permanente des évènements et actions sensibles participent à la sécurisation de tout
équipement actif du réseau. Ils sont également configurés pour limiter le trafic aux
échanges de données autorisés.
Les capacités de filtrage sont exploitées pour limiter la réponse des équipements
réseaux aux seules consoles habilitées et notamment pour bloquer toute requête
d’administration venant de l’extérieur sans authentification renforcée préalable.

Version 1.0

40 / 47

Manuel Opérationnel de la Sécurité du SI

8.9.

Utilisation de moyens cryptographiques

8.9.1.

Principes applicables

Les données confidentielles ne peuvent être transmises par messagerie que sous
forme de pièces jointes chiffrées.
8.9.2.

Chiffrement

En cas de besoin d’un outil de chiffrement robuste, celui-ci sera mis à la disposition
des utilisateurs de données confidentielles pour le stockage et l’échange de ces
données, après approbation du RSSI.
Ce produit de chiffrement répondra aux contraintes de sécurité dans les termes
suivants :
 chiffrement des fichiers sur le poste utilisateur,
 chiffrement des fichiers partagés par un groupe défini de personnes,
 échange de fichiers chiffrés,
 chiffrement sur internet, Intranet, messagerie ou support magnétique grâce à
une fonction d’auto-décryptage.
L’usage des fonctions de chiffrement « transparent » des données utilisateurs qui
peuvent être proposées par les systèmes d’exploitation est soumis à l’autorisation du
RSSI.
8.9.3.

Gestion des clés

Les clés utilisées devront être d’une taille de 1024 bits et seront mises à niveau au
fur et à mesure de l’évolution de la technique ou de la législation autorisant un niveau
élevé de chiffrement des signatures numériques.
La clé privée protégée par un mot de passe sera alors stockée, avec le certificat
correspondant, sur un support cryptographique externe.

Version 1.0

41 / 47

Manuel Opérationnel de la Sécurité du SI

9. Dérogation
L’hébergeur a mis en place une procédure de dérogation. Toute dérogation est
soumise à acceptation et doit faire l’objet d’un enregistrement dans un document
tenu à jour. Ce document permettra une revue périodique des dérogations et ainsi
permettre soit la fin de la dérogation si elle n’a plus de raison d’être, soit la
reconduite pour une durée déterminée.
Les personnes ayant autorité pour accorder ou refuser une dérogation sont :
 La direction de l’hébergeur,
 Le RSSI,
 Toutes personnes mandatées par les deux premiers.

Procédure de dérogation

Version 1.0

42 / 47

Manuel Opérationnel de la Sécurité du SI

10.

Conformité

10.1. Droits d’auteur

L’installation et l’utilisation de logiciels dont les droits n’ont pas été acquis est
interdite. L’installation et l’utilisation de logiciels dont les droits n’ont pas été acquis
est sanctionnée par la loi 85-660 du 3 juillet 1985.
Des organismes de défense des droits d’auteurs et des producteurs de bases de
données comme l’ADAPI sont autorisés à agir en justice en application de l’article
L.331-1 du code de la propriété intellectuelle. Leurs contrôleurs sont habilités par la
loi à constater toute infraction en matière de violation des droits d’auteurs,
notamment en matière d’utilisation illicite de logiciels informatiques, et à dresser des
procès-verbaux qui font foi.
Les administrateurs du SI en charge de la gestion du parc est tenu de communiquer
au RSSI, la liste des logiciels dont les droits n’ont pas été acquis et dont il aurait
connaissance, notamment à l’occasion d’un inventaire ou d’une intervention de
maintenance.
10.2. Déclaration à la CNIL

Le défaut de déclaration / demande d'autorisation auprès de la CNIL, ainsi que le
défaut de sécurité sont passibles de poursuites pénales. Il est important de traiter de
manière spécifique les données personnelles nominatives, puisque le "traitement
automatisé de données nominatives" fait l'objet, en France, de dispositions légales
spécifiques.
Face aux dangers potentiels que l'informatique peut faire peser sur les libertés, la
CNIL a pour mission essentielle de protéger la vie privée et les libertés individuelles
ou publiques, en application de la loi n°78-17 du 6 janvier 1978.
La CNIL est chargée de veiller au respect de la loi "Informatique et libertés"
notamment en :
 enregistrant les demandes d'avis du secteur public et les déclarations du
secteur privé, procédant à des vérifications sur place,
 établissant des normes simplifiées, afin que les traitements les plus courants
et les moins dangereux pour les libertés fassent l'objet de formalités allégées,
 exerçant le droit d'accès indirect,
 instruisant les plaintes,
 informant et en conseillant les personnes de leurs droits et obligations,
 proposant au gouvernement les mesures législatives ou réglementaires qui lui
paraissent utiles.
Il revient à l’hébergeur de faire les déclarations relatives aux applications internes et
au responsable de traitement celles composant l’hébergement de données de santé
à caractère de santé.

Version 1.0

43 / 47

Manuel Opérationnel de la Sécurité du SI

10.3. Fraude informatique

L’accès frauduleux à tout ou partie du Système d’Information est réprimé par la loi du
5 janvier 1988, dite loi Godfrain. Cette loi s’applique à la suppression ou la
modification de données, l’altération du fonctionnement du système d’information ou
l’entrave à son fonctionnement, ainsi que pour les actes de malveillance commis par
l’introduction, la suppression, la falsification de données ou de leur mode de
traitement ou de transmission.
10.4. Manquement à la sécurité du système d’informa tion

L’article 226-17 du nouveau Code pénal érige en infraction spécifique le fait de
manquer à la sécurité. Les personnes en charge de la sécurité du système
d’information ont, au titre d’une obligation de moyens, l’obligation de s’assurer que
les mesures de sécurité nécessaires sont prises pour protéger le système
d’information et ses données.
Le fait de procéder ou de faire procéder à un traitement automatisé d’informations
nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de
ces informations et notamment empêcher qu’elles ne soient déformées,
endommagées ou communiquées à des tiers non autorisés, est puni de 5 ans
d’emprisonnement et de 304 898 euros d’amende.
Ainsi, les responsables opérationnels s’assurent du respect de la politique de
sécurité de leurs équipes, ils sont force de proposition pour faire évoluer la politique
de sécurité de l’information. Toutes les opérations sont identifiées et affectées à une
équipe technique informatique de l’hébergeur.
Chaque équipe à pour responsabilité de planifier et de s’assurer le la bonne
exécution du travail. En particulier de surveiller les alertes, d’enregistrer les
disfonctionnements et de mettre en œuvre les corrections nécessaires.
Des astreintes 24h/24-7j/7sont mises en place pour garantir un fonctionnement
continue de l’exploitation et des services.
10.5. Obligation de confidentialité

A des fins de contrôle de sécurité, l’ensemble des flux d’informations pourra être
sauvegardé pendant une durée à préciser par la direction.
Sont ainsi susceptibles d’être archivées les informations suivantes :
 L’ensemble des flux entrants ou sortants au niveau des passerelles
inter-réseaux,
 L’ensemble des fichiers journaux qui contiennent notamment les
tentatives de connexion, les comptes et sites accédés, les fichiers
système,
 L’ensemble des fichiers rapports constitués par les machines de
sécurité (pare-feu, sonde de détection d’intrusion, anti-virus,…).
Toute diffusion d’information sur ces moyens, par des personnes non mandatées, est
interdite tant à l’intérieur qu’à l’extérieur.

Version 1.0

44 / 47

Manuel Opérationnel de la Sécurité du SI

Le traitement d'information et les moyens associés peuvent être utilisés à des fins de
contrôle, pour des raisons impérieuses et dans les conditions exposées ci dessus, à
partir des archives, des documents mis en quarantaine, et de l’état instantané du
système d’information.
 Sur demande des autorités (administratives, judiciaires ou de police..),
 En cas d'incidents divers (virus, intrusion, saturation des ressources,
pannes,….),
 En cas d'acte de malveillance ou de détournement des moyens ou des
ressources d’information et de communication,
 Si nécessaire, à la demande du destinataire ou de l'émetteur.
Ces contrôles, qui nécessitent l’enregistrement d’informations à caractère nominatif,
font l’objet de déclarations à la CNIL, conformément à la loi du 6 janvier 1978.

Guide de sécurité de l'information - Annexe Administrateurs : § Respect
de la légalisation, des contrats, de la politique de sécurité et des procédures
d'exploitation

L’hébergeur dispose de chartes et de clause de confidentialité, à faire signer, pour
son personnel interne ainsi que pour les tierces parties.
10.6. Cadre légal pour l’utilisation de la cryptologie

La cryptologie constitue aujourd'hui pour les entreprises la solution technique
incontournable pour protéger leurs échanges sur le réseau contre d'éventuelles
violations de correspondance. La cryptologie est un moyen de préservation de
l'intimité de la vie privée.
Selon l'article 29 de la loi pour la confiance dans l'économie numérique (LCEN) :
"On entend par moyen de cryptologie tout matériel ou logiciel conçu ou
modifié pour transformer des données, qu'il s'agisse d'informations ou de
signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse
avec ou sans convention secrète. Ces moyens de cryptologie ont
principalement pour objet de garantir la sécurité du stockage ou de la
transmission de données, en permettant d'assurer leur confidentialité, leur
authentification ou le contrôle de leur intégrité.
On entend par prestation de cryptologie toute opération visant à la mise en
œuvre, pour le compte d'autrui, de moyens de cryptologie.".
En vertu de l’article 30 de cette loi 2004-575 du 21 juin 2004 pour la confiance dans
l’économie numérique, l’utilisation des moyens de cryptologie est libre en France.
N'étant plus réservé au domaine militaire, la cryptologie est une nécessité pour le
bon fonctionnement de la société de l'information
En revanche, la fourniture, le transfert depuis ou vers un État membre de la
Communauté européenne, l’importation et l’exportation de ces moyens sont
réglementés lorsque ces moyens n’assurent pas exclusivement des fonctions
d’authentification ou de contrôle d’intégrité. Ces opérations sont soumises soit au
régime de la déclaration, soit au régime de l’autorisation.

Version 1.0

45 / 47

Manuel Opérationnel de la Sécurité du SI

Réf.

ANSSI http://www.ssi.gouv.fr ;
Article 12 de la loi sur la réglementation des Télécom du 26 juillet 1996 ;
Article 30 de la loi 2004-575 du 21 juin 2004 ;
Accords de Wassenar
10.7. Code de conduite de l’auditeur
10.7.1.

Obligation de confidentialité

Les procédures et moyens mis en œuvre par l’auditeur assurent un niveau élevé de
confidentialité aux informations recueillies au cours de l’audit et tout particulièrement
en ce qui concerne les vulnérabilités recensées. Ainsi, l’Auditeur s’engage
notamment à ce qu’aucune information obtenue au cours de tests de vulnérabilité
et/ou d’intrusion ne soit exploitée ultérieurement.
10.7.2.

Limite de l’audit

Aucune prestation d’audit et tout particulièrement des tests d’intrusion ne sera
effectuée sans :
 une description du périmètre à couvrir, formalisée dans une
proposition ou convention de service approuvée par le commanditaire
de l’audit,
 une autorisation d’intervention signée entre le commanditaire de l’audit
et l’Auditeur.
10.7.3.

Mode opératoire

Des audits de sécurité pourront être déclenchés à l’initiative de la Direction ou du
RSSI ou à la demande des autorités.
Les utilisateurs sont informés que l’entreprise se réserve la possibilité d’effectuer des
contrôles sur la teneur des informations déposées par eux sur les forums Internet par
consultation de serveurs Internet externes à l’entreprise et spécialisés dans des
recherches de ce type.
Ces contrôles peuvent être opérés de façon inopinée ou systématique en cas
d’incident ou d’acte de malveillance.
Dans le cadre de l’hébergement de données de santé, avant de débuter sa mission,
l’Auditeur :

avertit le Commanditaire de l’audit des risques sous-tendus par l’usage de
certaines techniques d’évaluation (niveau d’agressivité réelle des outils dans
le contexte de l’audit,),
sollicite l’accord du Commanditaire de l’audit sur les différentes méthodes et
techniques de recherche utilisées pour recueillir des informations pertinentes
sur la cible de l’audit.

Version 1.0

46 / 47

Manuel Opérationnel de la Sécurité du SI

10.7.4.

Conservation de l’information

Le rapport d’audit et toutes les pièces rattachées (comptes rendus d’entretien,
vulnérabilité résiduelle, rapports d’intrusions et trophées, etc.) sont classées «
Confidentiel » ou tout au moins « diffusion restreinte » pour toute ou partie, selon
l’appréciation du commanditaire de l’audit.
10.7.5.

Communication

L’Auditeur communique des informations sur sa mission uniquement aux personnes
désignées par le Commanditaire de l’audit pour les consulter.

Version 1.0

47 / 47