Synthse du document Politique de gestion des traces dutilisation des moyens informatiques et des ser

1
Synthèse du document Politique de gestion des
traces dutilisation des moyens informatiques et
des services réseau au CNRS 
Mercredi 18 mai 2005

• Marie-Claude Quidoz (CNRS/UREC)

2
Des enregistrements de trace pour

• Contrôler le volume dutilisation de la
  ressource, détecter des anomalies afin de mettre
  en place de la qualité de service, faire évoluer
  les équipements en fonction des besoins
• Vérifier que les règles en matière de SSI sont
  correctement appliquées et que la sécurité des
  systèmes d'information et du réseau telle quelle
  a été définie par la politique de sécurité de
  lunité est assurée
• Détecter toute défaillance ou anomalie de
  sécurité, volontaire ou accidentelle, passive ou
  active, dorigine matérielle ou humaine
• Détecter toute violation de la loi ou tout abus
  dutilisation des moyens informatiques pouvant
  engager la responsabilité du CNRS
• Être à même de fournir des preuves nécessaires
  pour mener les enquêtes en cas dincident de
  sécurité et de répondre à toute réquisition
  officielle présentée dans les formes légales.

3
Mais les traces enregistrées

• Contiennent presque toujours des informations
  ayant un caractère nominatif
• Login
• Adresse IP
• Permettant de remonter à lutilisateur, donc de
  lidentifier
• Or les applications à caractère personnel doivent
  faire lobjet dune déclaration à la CNIL (loi
  informatique et liberté du 6 août 2004) pour
  respecter le droit de lindividu à la protection
  de ses données à caractère personnel
• Cest la raison pour laquelle une politique de
  gestion de trace a été définie par le CNRS pour
  toute ses entités sous tutelle principale CNRS

4
Son but

• Aider les responsables du traitement informatique
  à s'assurer que
• La collecte des informations n'est ni
  frauduleuse, ni déloyale, ni illicite et qu'elle
  s'accompagne d'une bonne information des
  personnes
• Les informations ne sont pas conservées au-delà
  de la durée prévue
• Les informations ne sont pas communiquées à des
  personnes non autorisées
• Le traitement ne fait pas l'objet d'un
  détournement de finalité
• Laccès aux résultats des traitements et aux
  données collectées fait l'objet d'une sécurité
  optimale, afin qu'aucun détournement de la
  finalité ne puisse avoir lieu.

5
Informations enregistrées déclarées à la CNIL (1)

• Informations journalisées par les serveurs (hors
  messagerie et web) et postes de travail
• Pour chaque tentative de connexion ou douverture
  de session
• Identité de lémetteur, date et heure, résultat,
  nombre de connexions, commandes passées
• Durée de conservation 1 an
• Serveurs de messagerie (SMTP)
• Pour chaque message émis ou reçu
• Adresse de lexpéditeur, adresse du destinataire,
  date et heure, relais de messagerie, résultat,
  sujet, taille, résultat du traitement antispam ou
  antivirus
• Durée de conservation 1 an
• Remarque pensez à informer aussi de lexistence
  dun plan de crise et de sa mise en service
  (régime dexception)
• Rejet systématique et sans  réponse
  automatique  des messages identifiés comme
  provenant dun ver de messagerie

6
Informations enregistrées déclarées à la CNIL (2)

• Serveurs Web (HTTP)
• Pour chaque connexion
• Adresse IP source et destination, identité de
  lémetteur, page consultée et informations
  fournies, numéros des ports source et destination
  ainsi que le protocole, type de requête, date et
  heure, volume de données transférées, paramètres
  passés au  cgi-bin 
• Durée de conservation 1 an
• Équipements dextrémité de réseau et la
  surveillance des services réseau (routeurs,
  pare-feux, commutateurs, borne daccès)
• Pour chaque paquet qui traverse léquipement
• Adresse IP source et destination, identité de
  lémetteur, numéros des ports source et
  destination ainsi que le protocole, date et
  heure, résultat, nombre de paquets et doctets
  transférés
• Durée de conservation 1 an

7
Informations enregistrées déclarées à la CNIL (3)

• Système de détection dintrusion et de
  lenregistrement des paramètres dutilisation des
  services réseau
• Pour chaque trame qui circule sur le réseau
• Message dalerte des IDS (à base de signature)
• Durée de conservation 1 an
• Si lanalyse en temps réel nest pas possible,
  possibilité de sauvegarder les trames mais
  seulement le temps de lanalyse  offline 
• Attention les IDS par analyse comportementale ne
  rentrent pas dans le cadre de la déclaration
  faite
• Déclaration à faire à la CNIL

8
Informations enregistrées déclarées à la CNIL (4)

• Applications spécifiques
• Quelques exemples SGBD, FTP, SSH,
  instrumentation scientifique, applications à
  accès restreint
• Enregistrement des paramètres de connexion et
  dutilisation
• Pour des raisons de comptabilité, de gestion, de
  sécurité ou de développement
• IP source, identité de lémetteur, date et
  heure, résultat, volume de données transférées,
  nombre de connexions
• Durée de conservation 1 an
• Si la mise au point dun programme nécessite
  lenregistrement de données échangées,
  possibilité de sauvegarder ces éléments mais il
  faut prévenir les utilisateurs quand ce mode
  dexploitation est activé
• Remarque selon les données gérées par ces
  applications (ou serveur web), il faut faire une
  déclaration à la CNIL
• Déclaration à faire à la CNIL

9
Des traitements pour

• Pour veiller
• Au respect de la politique de sécurité
• Au bon fonctionnement du matériel et du logiciel
  
• A léquilibrage de charge des équipements et
  logiciels.
• Les traitements déclarés à la CNIL
• Des résultats statistiques systématiques
• Des résultats danalyses effectuées manuellement
• Des journaux bruts
• Des résultats ciblés et nominatifs
• Les traitements sont effectués par les
  administrateurs systèmes et réseaux
• Activité soumise au secret professionnel

10
Traitements déclarés à la CNIL (1)

• Des résultats statistiques systématiques
• Pour contrôler de façon automatique lutilisation
  des moyens
• En volume et en nombre de connexions
• Mesures sur lensemble des traces générées
• Exemple de  contrôles  systématiques
• Calcul de  top ten  par service réseau ou par
  machine
• Si les adresses  IP  des machines
  napparaissent pas
• Résultats diffusables sur des sites Internet
  accessibles à tous
• Sinon les résultats sont à la seule disposition
  des administrateurs systèmes et réseaux

11
Traitements déclarés à la CNIL (2)

• Des résultats danalyses effectuées manuellement
• En cas dincident ou de suspicion dincident
  analyse des traces disponibles pour mettre en
  évidence le problème
• Si lincident est avéré, ladministrateur système
  et réseau doit avertir
• Le directeur de lunité
• Le CERT Renater
• Les coordinateurs sécurité régionaux et nationaux
• Le service du Fonctionnaire de Sécurité de
  Défense
• En vue dun éventuel dépôt de plainte
• Éventuellement le délégué régional
• Mais il doit uniquement leur décrire lincident
  et il ne doit pas leur communiquer des
  informations à caractère personnel
• Si lincident nest pas avéré, les résultats
  danalyse doivent être immédiatement détruits
• Attention, les informations transmises ne doivent
  pas permettre de mettre en cause des personnes
  identifiées

12
Traitements déclarés à la CNIL (3)

• Des journaux bruts
• Pour fournir des journaux bruts à lautorité
  judicaire afin de lui permettre de poursuivre une
  enquête
• Uniquement sur requête officielle
• Des résultats ciblés et nominatifs
• Chaque agent peut demander à consulter les traces
  télématiques ou informatiques qui le concernent
• Principes
• Demande à faire par écrit auprès du directeur de
  lunité
• Recherche faite par ladministrateur système et
  réseau
• Résultat transmis directement à lutilisateur
  sous forme de  courrier personnel 

13
Remarque importante

• Pour tout traitement répondant à dautres
  objectifs, il faut faire une déclaration à la
  CNIL
• Exemples de traitement non conforme à la
  déclaration
• Information permettant de faire de la
  cybersurveillance d'un salarié
• A quelle heure M. M commence le matin, à quelle
  heure il s'arrête le soir ?
• Quelle est la  productivité  de ma secrétaire
  (c.-à-d. combien de caractères elle frappe en
  moyenne dans une journée) ?
• Combien de temps M. D passe-t-il à faire  autre
  chose  que son travail ?
• Information à caractère personnel (c.-à-d.
  entrant dans la sphère privée d'un individu) sans
  son consentement
• Quel site M. C visite-t-il ?
• Quel type de fichier télécharge-t-il ?
• Nombre de courriels  personnelle  qu'il envoie
  à partir de son adresse professionnelle ?
• Identité des gens avec qui il correspond ?

14
Informations des utilisateurs

• Chaque unité doit informer les utilisateurs de la
  gestion qui est faite des traces qui les
  concernent
• Diffusion systématique de la politique de gestion
  des traces suivant le même protocole que pour la
  diffusion de la charte informatique
• Remarques
• Aucune autre information donnée dans le document
• Complément disponible dans la lettre de Joseph
  Illand envoyée aux directeurs des unités sous
  couvert des Délégués Régionaux

15
Les intervenants (1)

• Les utilisateurs
• Ont des droits
• Leur traces ne doivent pas subir de détournement
  de finalité
• Ils doivent être informés des moyens mis en uvre
• Ont des devoirs
• Responsables de lutilisation des moyens mis à
  leur disposition
• Usage professionnel des moyens mis à leur
  disposition
• Respect de la charte informatique et de la
  politique de sécurité
• Doivent donner acte, par la signature dune
  déclaration dengagement quils ont été informés
• Pas de précision donnée dans le document

16
Les intervenants (2)

• Les administrateurs systèmes et réseaux
• Chargés de la mise en uvre et de la surveillance
  des systèmes et du réseau. A ce titre, ils gèrent
  les traces
• Chargés de rapporter toute anomalie de
  fonctionnement
• Acceptent dexécuter des traitements ou de
  fournir des informations pouvant inclure des
  données nominatives uniquement à la demande de la
  structure fonctionnelle de sécurité
• Fonctionnaire de Sécurité de Défense,
  coordinateurs sécurité régionaux et nationaux
• Tenus au secret professionnel et ne répondent,
  sauf réquisition de lautorité judiciaire, à
  aucune autre demande dinformation ou de
  traitement pouvant mettre en cause des personnes
  ou porter atteinte à leur vie privée
• Doivent donner acte, par la signature dune
  déclaration dengagement quils ont été informés
• Pas de précision donnée dans le document

17
Les intervenants (3)

• Le responsable de lunité
• Sa responsabilité est engagée dans la limite de
  ce quil peut connaître et de ce quil peut
  exiger, en cas dincident ou daccident
  impliquant son unité
• Chargé de diffuser la charte dutilisation des
  moyens informatiques
• Pas daccès aux traces permettant de mettre en
  cause une personne
• Les coordinateurs sécurité
• Interlocuteurs au quotidien des administrateurs
  pour la gestion et le contrôle des systèmes et
  des réseaux
• Ont accès aux rapports danalyse des traces et en
  particulier aux informations nominatives
• Soumis au secret professionnel
• Peuvent être  impliqués  dans les enquêtes
  internes ou diligentés par les autorités
  compétentes en cas dincident de sécurité (?)

18
Les intervenants (4)

• Le Fonctionnaire de Sécurité de Défense
• Responsable, pour le CNRS, de lapplication des
  lois et des règlements en matière de sécurité et
  de protection de linformation
• Responsable de la définition de la politique de
  sécurité et de sa mise en uvre
• Tenu informé par ladministrateur système et
  réseau local des incidents de sécurité si
  lincident est susceptible davoir des suites
  juridiques
• Dépôts de plainte
• Mise en cause de personnels dans le cadre
  danalyse de trace
• Tenu au secret professionnel
• Peut avoir accès, après avis du directeur, à
  lensemble des informations relatives à ces
  incidents, y compris aux journaux bruts
• Peut faire procéder à une enquête interne
  comportant une analyse nominative de traces sur
  motif sérieux et après avis du directeur

19
Les intervenants (5)

• Le correspondant du CNRS auprès de la CNIL
• Madame Florence CELEN
• UPS837, Direction des systèmes d'information
  (DSI)
• TOUR GAIA
• RUE PIERRE-GILLES DE GENNES
• BP 193
• 31676 LABEGE CEDEX
• Téléphone 05 62 24 25 19
• Adresse électronique mailtoflorence.celen_at_dsi.c
  nrs.fr
• Si votre politique de gestion de traces nest pas
  conforme à la politique nationale CNRS, vous
  devrez vous acquitter dune déclaration
  spécifique auprès de la CNIL
• Avec laide de Mme Florence Celen

20
Remarque

• Dans ce document, nest jamais cité le terme
   correspondant sécurité 
• Si le correspondant sécurité est un
  administrateur système et réseau, pas de problème
• Même chaîne fonctionnelle
• Même droit même devoir
• Secret professionnel
• Échange de données  à caractère personnel 
• Si le correspondant sécurité appartient à la
  chaîne hiérarchique (directeur, délégué
  régional), il ne FAUT pas leur donner
  connaissance des données  à caractère personnel