Title: Synthse du document Politique de gestion des traces dutilisation des moyens informatiques et des ser
1Synthèse du document Politique de gestion des
traces dutilisation des moyens informatiques et
des services réseau au CNRS
Mercredi 18 mai 2005
- Marie-Claude Quidoz (CNRS/UREC)
2Des enregistrements de trace pour
- Contrôler le volume dutilisation de la
ressource, détecter des anomalies afin de mettre
en place de la qualité de service, faire évoluer
les équipements en fonction des besoins - Vérifier que les règles en matière de SSI sont
correctement appliquées et que la sécurité des
systèmes d'information et du réseau telle quelle
a été définie par la politique de sécurité de
lunité est assurée - Détecter toute défaillance ou anomalie de
sécurité, volontaire ou accidentelle, passive ou
active, dorigine matérielle ou humaine - Détecter toute violation de la loi ou tout abus
dutilisation des moyens informatiques pouvant
engager la responsabilité du CNRS - Être à même de fournir des preuves nécessaires
pour mener les enquêtes en cas dincident de
sécurité et de répondre à toute réquisition
officielle présentée dans les formes légales.
3Mais les traces enregistrées
- Contiennent presque toujours des informations
ayant un caractère nominatif - Login
- Adresse IP
- Permettant de remonter à lutilisateur, donc de
lidentifier - Or les applications à caractère personnel doivent
faire lobjet dune déclaration à la CNIL (loi
informatique et liberté du 6 août 2004) pour
respecter le droit de lindividu à la protection
de ses données à caractère personnel - Cest la raison pour laquelle une politique de
gestion de trace a été définie par le CNRS pour
toute ses entités sous tutelle principale CNRS
4Son but
- Aider les responsables du traitement informatique
à s'assurer que - La collecte des informations n'est ni
frauduleuse, ni déloyale, ni illicite et qu'elle
s'accompagne d'une bonne information des
personnes - Les informations ne sont pas conservées au-delà
de la durée prévue - Les informations ne sont pas communiquées à des
personnes non autorisées - Le traitement ne fait pas l'objet d'un
détournement de finalité - Laccès aux résultats des traitements et aux
données collectées fait l'objet d'une sécurité
optimale, afin qu'aucun détournement de la
finalité ne puisse avoir lieu.
5Informations enregistrées déclarées à la CNIL (1)
- Informations journalisées par les serveurs (hors
messagerie et web) et postes de travail - Pour chaque tentative de connexion ou douverture
de session - Identité de lémetteur, date et heure, résultat,
nombre de connexions, commandes passées - Durée de conservation 1 an
- Serveurs de messagerie (SMTP)
- Pour chaque message émis ou reçu
- Adresse de lexpéditeur, adresse du destinataire,
date et heure, relais de messagerie, résultat,
sujet, taille, résultat du traitement antispam ou
antivirus - Durée de conservation 1 an
- Remarque pensez à informer aussi de lexistence
dun plan de crise et de sa mise en service
(régime dexception) - Rejet systématique et sans réponse
automatique des messages identifiés comme
provenant dun ver de messagerie
6Informations enregistrées déclarées à la CNIL (2)
- Serveurs Web (HTTP)
- Pour chaque connexion
- Adresse IP source et destination, identité de
lémetteur, page consultée et informations
fournies, numéros des ports source et destination
ainsi que le protocole, type de requête, date et
heure, volume de données transférées, paramètres
passés au cgi-bin - Durée de conservation 1 an
- Équipements dextrémité de réseau et la
surveillance des services réseau (routeurs,
pare-feux, commutateurs, borne daccès) - Pour chaque paquet qui traverse léquipement
- Adresse IP source et destination, identité de
lémetteur, numéros des ports source et
destination ainsi que le protocole, date et
heure, résultat, nombre de paquets et doctets
transférés - Durée de conservation 1 an
7Informations enregistrées déclarées à la CNIL (3)
- Système de détection dintrusion et de
lenregistrement des paramètres dutilisation des
services réseau - Pour chaque trame qui circule sur le réseau
- Message dalerte des IDS (à base de signature)
- Durée de conservation 1 an
- Si lanalyse en temps réel nest pas possible,
possibilité de sauvegarder les trames mais
seulement le temps de lanalyse offline - Attention les IDS par analyse comportementale ne
rentrent pas dans le cadre de la déclaration
faite - Déclaration à faire à la CNIL
8Informations enregistrées déclarées à la CNIL (4)
- Applications spécifiques
- Quelques exemples SGBD, FTP, SSH,
instrumentation scientifique, applications à
accès restreint - Enregistrement des paramètres de connexion et
dutilisation - Pour des raisons de comptabilité, de gestion, de
sécurité ou de développement - IP source, identité de lémetteur, date et
heure, résultat, volume de données transférées,
nombre de connexions - Durée de conservation 1 an
- Si la mise au point dun programme nécessite
lenregistrement de données échangées,
possibilité de sauvegarder ces éléments mais il
faut prévenir les utilisateurs quand ce mode
dexploitation est activé - Remarque selon les données gérées par ces
applications (ou serveur web), il faut faire une
déclaration à la CNIL - Déclaration à faire à la CNIL
9Des traitements pour
- Pour veiller
- Au respect de la politique de sécurité
- Au bon fonctionnement du matériel et du logiciel
- A léquilibrage de charge des équipements et
logiciels. - Les traitements déclarés à la CNIL
- Des résultats statistiques systématiques
- Des résultats danalyses effectuées manuellement
- Des journaux bruts
- Des résultats ciblés et nominatifs
- Les traitements sont effectués par les
administrateurs systèmes et réseaux - Activité soumise au secret professionnel
10Traitements déclarés à la CNIL (1)
- Des résultats statistiques systématiques
- Pour contrôler de façon automatique lutilisation
des moyens - En volume et en nombre de connexions
- Mesures sur lensemble des traces générées
- Exemple de contrôles systématiques
- Calcul de top ten par service réseau ou par
machine - Si les adresses IP des machines
napparaissent pas - Résultats diffusables sur des sites Internet
accessibles à tous - Sinon les résultats sont à la seule disposition
des administrateurs systèmes et réseaux
11Traitements déclarés à la CNIL (2)
- Des résultats danalyses effectuées manuellement
- En cas dincident ou de suspicion dincident
analyse des traces disponibles pour mettre en
évidence le problème - Si lincident est avéré, ladministrateur système
et réseau doit avertir - Le directeur de lunité
- Le CERT Renater
- Les coordinateurs sécurité régionaux et nationaux
- Le service du Fonctionnaire de Sécurité de
Défense - En vue dun éventuel dépôt de plainte
- Éventuellement le délégué régional
- Mais il doit uniquement leur décrire lincident
et il ne doit pas leur communiquer des
informations à caractère personnel - Si lincident nest pas avéré, les résultats
danalyse doivent être immédiatement détruits - Attention, les informations transmises ne doivent
pas permettre de mettre en cause des personnes
identifiées
12Traitements déclarés à la CNIL (3)
- Des journaux bruts
- Pour fournir des journaux bruts à lautorité
judicaire afin de lui permettre de poursuivre une
enquête - Uniquement sur requête officielle
- Des résultats ciblés et nominatifs
- Chaque agent peut demander à consulter les traces
télématiques ou informatiques qui le concernent - Principes
- Demande à faire par écrit auprès du directeur de
lunité - Recherche faite par ladministrateur système et
réseau - Résultat transmis directement à lutilisateur
sous forme de courrier personnel
13Remarque importante
- Pour tout traitement répondant à dautres
objectifs, il faut faire une déclaration à la
CNIL - Exemples de traitement non conforme à la
déclaration - Information permettant de faire de la
cybersurveillance d'un salarié - A quelle heure M. M commence le matin, à quelle
heure il s'arrête le soir ? - Quelle est la productivité de ma secrétaire
(c.-à-d. combien de caractères elle frappe en
moyenne dans une journée) ? - Combien de temps M. D passe-t-il à faire autre
chose que son travail ? -
- Information à caractère personnel (c.-à-d.
entrant dans la sphère privée d'un individu) sans
son consentement - Quel site M. C visite-t-il ?
- Quel type de fichier télécharge-t-il ?
- Nombre de courriels personnelle qu'il envoie
à partir de son adresse professionnelle ? - Identité des gens avec qui il correspond ?
14Informations des utilisateurs
- Chaque unité doit informer les utilisateurs de la
gestion qui est faite des traces qui les
concernent - Diffusion systématique de la politique de gestion
des traces suivant le même protocole que pour la
diffusion de la charte informatique - Remarques
- Aucune autre information donnée dans le document
- Complément disponible dans la lettre de Joseph
Illand envoyée aux directeurs des unités sous
couvert des Délégués Régionaux
15Les intervenants (1)
- Les utilisateurs
- Ont des droits
- Leur traces ne doivent pas subir de détournement
de finalité - Ils doivent être informés des moyens mis en uvre
- Ont des devoirs
- Responsables de lutilisation des moyens mis à
leur disposition - Usage professionnel des moyens mis à leur
disposition - Respect de la charte informatique et de la
politique de sécurité - Doivent donner acte, par la signature dune
déclaration dengagement quils ont été informés - Pas de précision donnée dans le document
16Les intervenants (2)
- Les administrateurs systèmes et réseaux
- Chargés de la mise en uvre et de la surveillance
des systèmes et du réseau. A ce titre, ils gèrent
les traces - Chargés de rapporter toute anomalie de
fonctionnement - Acceptent dexécuter des traitements ou de
fournir des informations pouvant inclure des
données nominatives uniquement à la demande de la
structure fonctionnelle de sécurité - Fonctionnaire de Sécurité de Défense,
coordinateurs sécurité régionaux et nationaux - Tenus au secret professionnel et ne répondent,
sauf réquisition de lautorité judiciaire, à
aucune autre demande dinformation ou de
traitement pouvant mettre en cause des personnes
ou porter atteinte à leur vie privée - Doivent donner acte, par la signature dune
déclaration dengagement quils ont été informés - Pas de précision donnée dans le document
17Les intervenants (3)
- Le responsable de lunité
- Sa responsabilité est engagée dans la limite de
ce quil peut connaître et de ce quil peut
exiger, en cas dincident ou daccident
impliquant son unité - Chargé de diffuser la charte dutilisation des
moyens informatiques - Pas daccès aux traces permettant de mettre en
cause une personne - Les coordinateurs sécurité
- Interlocuteurs au quotidien des administrateurs
pour la gestion et le contrôle des systèmes et
des réseaux - Ont accès aux rapports danalyse des traces et en
particulier aux informations nominatives - Soumis au secret professionnel
- Peuvent être impliqués dans les enquêtes
internes ou diligentés par les autorités
compétentes en cas dincident de sécurité (?)
18Les intervenants (4)
- Le Fonctionnaire de Sécurité de Défense
- Responsable, pour le CNRS, de lapplication des
lois et des règlements en matière de sécurité et
de protection de linformation - Responsable de la définition de la politique de
sécurité et de sa mise en uvre - Tenu informé par ladministrateur système et
réseau local des incidents de sécurité si
lincident est susceptible davoir des suites
juridiques - Dépôts de plainte
- Mise en cause de personnels dans le cadre
danalyse de trace - Tenu au secret professionnel
- Peut avoir accès, après avis du directeur, à
lensemble des informations relatives à ces
incidents, y compris aux journaux bruts - Peut faire procéder à une enquête interne
comportant une analyse nominative de traces sur
motif sérieux et après avis du directeur
19Les intervenants (5)
- Le correspondant du CNRS auprès de la CNIL
- Madame Florence CELEN
- UPS837, Direction des systèmes d'information
(DSI) - TOUR GAIA
- RUE PIERRE-GILLES DE GENNES
- BP 193
- 31676 LABEGE CEDEX
- Téléphone 05 62 24 25 19
- Adresse électronique mailtoflorence.celen_at_dsi.c
nrs.fr - Si votre politique de gestion de traces nest pas
conforme à la politique nationale CNRS, vous
devrez vous acquitter dune déclaration
spécifique auprès de la CNIL - Avec laide de Mme Florence Celen
20Remarque
- Dans ce document, nest jamais cité le terme
correspondant sécurité - Si le correspondant sécurité est un
administrateur système et réseau, pas de problème - Même chaîne fonctionnelle
- Même droit même devoir
- Secret professionnel
- Échange de données à caractère personnel
- Si le correspondant sécurité appartient à la
chaîne hiérarchique (directeur, délégué
régional), il ne FAUT pas leur donner
connaissance des données à caractère personnel