[PDF] De nombreux vols de matériels informatiques (ordinateurs clés USB

View - Download De nombreux vols de matériels informatiques (ordinateurs clés USB

Previous PDF

Next PDF

LES REGLES ELEMENTAIRES DE SECURITE

PROTECTION CONTRE LES VOLS DE MATERIELS INFORMATIQUES

VADE-MECUM

CNRS - RSSIC - VERSION DU 23 AVRIL 2013

De nombreux vols de matériels informatiques (ordinateurs, clés USB, disques externes, smartphones,

Les matériels volés ne sont pas toujours protégés par chiffrement comme demandé : Note du DGD-R du CNRS (note du 16 janvier 2011 réf. Not11Y159DSI) Notes du Président du CNRS et du DGD-R (notes du 21 décembre 2012 réf. Not15YDSI-RSSIC)

Ces vols sont susceptibles de remettre en cause la confiance que nous portent nos partenaires industriels

et dégrader O·image de marque des unités touchées. Ils peuvent également réduire à néant nos efforts de

tierces, revente de données à des organisations mafieuses, etc. In fine, ces vols pourraient même avoir des

conséquences juridiques importantes pour le CNRS.

Le GLUHŃPHXU G·XQLPp HVP UHVSRQVMNOH GH OM VpŃXULPp GHV V\VPqPHV G·LQIRUPMPLRQ MX QLYHMX GH VRQ XQLPp.

Conformément à la décision DEC111261DAJ du 12/09/2011, sa responsabilité peut, à ce titre, être recherchée

au plan juridique (cf. fiche n°1).

Les principes permettant de réduire le risque de vols de matériels et des données stockées sont détaillés :

La protection technique du poste et de ses périphériques de stockage (cf. fiche n°2) La sensibilisation du personnel (cf. fiche n°3) matériel dont le disque dur est chiffré de façon native (cf. fiche n°4).

Pour les autres cas, notamment les Mac et les PC fixes, disques externes, etc. : le chiffrement peut être

Open Source (TrueCrypt pour les PC sous windows et DM Crypt sous Linux). Ces aspects techniques sont détaillés dans le manuel technique destiné aux ASR

http://www.dsi.cnrs.fr/services/securite/Documents/manuel.pdf, ainsi que dans la FAQ "Foire Aux Questions"

technique : https://aresu.dsi.cnrs.fr/IMG/pdf/FAQ_-_technique.pdf.

Le déploiement du chiffrement est suivi au plan national par la voie fonctionnelle de la SSI, donc via les

RSSI de DR et le RSSI du CNRS, à cet effet il est utile de formaliser dans chaque unité un plan de déploiement

(cf. fiche n°5).

Les questions relatives aux aspects organisationnels sont détaillées dans la FAQ "Foire Aux Questions"

- 2 - Fiche n°1 : Exemple de la mise en jeu de responsabilités pour défaut de chiffrement (DAJ) Les mécanismes de la mise en jeu de responsabilités pour défaut de chiffrement - La responsabilité personnelle du chercheur :

Le partenaire industriel peut former un recours devant le juge civil, pour obtenir réparation du préjudice

ILQMQŃLHU HP GH OM SHUPH G·MYMQPMJH ŃRQŃXUUHQPLHO subis. Il peut mettre en avant la faute du chercheur, qui, en

par le contrat de partenariat passé avec le CNRS. La responsabilité personnelle du chercheur, pourtant

victime du vol peut ainsi être engagée. - La responsabilité personnelle GX GLUHŃPHXU G·XQLPp : conséquences financières associées. - La responsabilité du CNRS, personne morale : contrat de partenariat qui incluait des clauses de confidentialité.

Pour éviter la mise en cause en cascade des responsabilités et protéger les agents du CNRS et le CNRS,

il est donc indispensable de prendre toutes les mesures nécessaires pour chiffrer les ordinateurs

portabOHV HP pYLPHU MLQVL TX·XQ VLPSOH YRO MLP GHV ŃRQVpTXHQŃHV H[PUrPHPHQP ORXUGHV SRXU OHV

chercheurs HP O·HQVPLPXPLRQ. - 3 - Fiche n°2 : Protection du poste de travail et des périphériques de stockage (DSI)

Sauvegardes

o Une erreur de manipulation peut conduire à un effacement malencontreux o Un logiciel malveillant (virus) peut supprimer des données o Le matériel peut être volé ou perdu

par un même évènement (feu, acte malveillant, surtension électrique) doit être considérée comme

attendant une solution interne) elle doit être chiffrée avec une clé sous le contrôle exclusif du laboratoire

informatique

Le laboratoire met en place les moyens et outils de sauvegarde adaptés à son environnement (une

Chiffrement

Chiffrement du poste de travail

aléatoire de minuscules, majuscules, chiffres et caractères spéciaux et dont la taille minimum

dépendra du mécanisme de chiffrement utilisé 1: o Chiffrement matériel (sur DELL) : 8 caractères minimum o Chiffrement logiciel (Mac, Linux, TrueCrypt sous Windows) : 12 caractères minimum o Chiffrement logiciel (Bitlocker sous Windows 8 sans TPM) : 12 caractères minimum o Chiffrement logiciel (Bitlocker sous Windows 8 avec TPM) : 8 caractères minimum

Il faut impérativement effectuer un séquestre des mots de passe (stockage en lieu sûr) afin de

Le disque (HD ou SSD) des ordinateurs portables doit être chiffré intégralement.

1 Avec ces caractéristiques, compte tenu des moyens à la disposition de tout à chacun au moment de la rédaction de ce

- 4 -

Les VROXPLRQV HIILŃMŃHV PMLV HQ PrPH PHPSV SHX ŃRQPUMLJQMQPHV j O·XVMJH SRXU O·XPLOLVMPHXU

sont rappelées ci-dessous :

Chiffrement des supports amovibles

contiennent la moindre information confidentielle disques, carte SD, etc.).

IHV ORJLŃLHOV GH ŃOLIIUHPHQP IRXUQLV MYHŃ OHV ŃOpV 86% Q·RIIUHQP MXŃXQH JMUMQPLH HP QH GRLYHQP

pas être utilisés,

Windows MacOS Linux

Logiciel TrueCrypt Oui Oui Oui

Bitlocker (Windows 7 et 8) Oui Non Non

Filevault (MacOS X) Non Oui Non

DM crypt (Linux) Non Non Oui

Les clés USB avec chiffrement matériel mais dont le mot de passe doit être saisi au clavier de

O·RUGLQMPHXU VRQP GpŃRQVHLOOpHVB Seules les clés USB chiffrées intégrant un clavier pour entrer le

chiffrement logiciel - quelques modèles : Corsair Flash Padlock 2, iStorage Datashur - mais

Chiffrement

matériel du disque

Chiffrement

logiciel

TRUECRYPT sous

Windows XP,

Windows 7.

Chiffrement

logiciel

BITLOCKER fourni

avec Windows 8.

Chiffrement logiciel

fourni avec MacOS

Chiffrement logiciel

fourni avec Linux

Portable

DELL disque dur et disque SSD

Option disque

chiffrant au marché Dell en fonction des tailles de disque (cf. fiche n°4)

Possible Possible - Possible

PC fixe

HP

Option non

disponible actuellement

Possible Possible - Possible

Mac - - - Possible -

- 5 -

attention, ces matériels ne sont pas certifiés et ne doivent donc pas être utilisés pour protéger

des LQIRUPMPLRQV VHQVLNOHV ÓXVPLILMNOHV G·XQH SURPHŃPLRQ UHQIRUŃpH (cf.infra). Limites du chiffrement et précautions à prendre

Le chiffrement ne protège plus une information qui a été déchiffrée pour y accéder par son détenteur

légitime o Protéger les documents imprimés o 0HPPUH HQ °XYUH OHV NRQQHV SUMPLTXHV GH VpŃXULVMPLRQ GX SRVPH GH PUMYMLO SRXU VH protéger de codes malveillants qui exfiltreraient des données

Le chiffrement ne protège plus une information lorsque la clé de chiffrement a été

compromise (divulguée de façon volontaire ou involontaire à un tiers)

o Ne pas garder sur soi la clé de chiffrement, elle pourrait être volée en même temps que le

0HPPUH HQ °XYUH OHV NRQQHV SUMPLTXHV GH VpŃXULVMPLRQ GX SRVPH GH PUMYMLO Mnti-virus, etc.) pour se

protéger de codes malveillants

Les informations particulièrement sensibles ne devraient jamais être stockées et traitées ailleurs que

dans des endroits sécurisés IHV YR\MJHV j O·pPUMQJHU GHPMQGHQP GHV SUpŃMXPLRQV VXSSOpPHQPMLUHV (cf. infra Passeport de conseils aux voyageurs conseils aux voyageurs Dispositions particulières concernant les informations sensibles justifiables

Le chiffrement de données particulièrement sensibles peut justifier, en plus du chiffrement de

par l'ANSSI (cf. infra FOLIIUHPHQP GH SRUPMNOHV PLVH HQ °XYUH HP XPLOLVMPLRQ). Dans les cas spécifiques

de données très sensibles ou dans des contextes de partenariats externes, le recours à d'autres

produits qualifiés par l'ANSSI, pour chiffrer des postes, des clés USB ou des transmissions par mail

peut être envisagé.

Le traitement et la protection des données classifiées de défense relève de situations

exceptionnelles régies par des dispositions spécifiques qui ne sont pas traitées dans cette note.

Références

- 6 - FOLIIUHPHQP GH SRUPMNOHV PLVH HQ °XYUH HP XPLOLVMPLRQ :

Passeport de conseils aux voyageurs :

IGI 1300 - Arrêté du 30 novembre 2011 portant approbation de l'instruction générale interministérielle n°

1300 sur la protection du secret de la défense nationale

- 7 -

Fiche n°3 : Sensibilisation aux prévention

(DSI/FSD)

Conséquences

stockés)

o Impacts juridiques pour les informations que la loi, un règlement, un contrat impose de protéger

(données à caractère personnel, données médicales, secret défense, clauses de non divulgation, etc.) rester secrètes) o Perte de compétitivité (divulgation prématurée de résultats de recherches) o Perte de crédibilité, de capacité à négocier de nouveaux contrats

Mesures de prévention

: c

Fermer à clé la porte de son bureau

Ranger dans une armoire fermée à clé

En déplacement : être vigilant

Quelques techniques utilisées par les voleurs

du wagon pour lui subtiliser son ordinateur qui est resté sur la tablette o Usage de la violence ne pas résister Utiliser un filtre de protection pour éviter les regards des curieux

échanges

Ne pas laisser son matériel en vue (dans une voiture par exemple) - 8 -

Limiter

Sauvegarder régulièrement

o Mettre la sauvegarde dans un lieu différent volée en même temps) plus momentanément

Chiffrer le disque de son ordinateur

Se préparer à gérer un vol éventuel

Avoir un inventaire du matériel avec les marques, modèle, numéro de série, adresse MAC de

o Une astuce, faire une photocopie ou numérisation du dessous de la machine pour avoir les différentes références

Avoir les coordonnées des personnes à contacter pour faire bloquer les différents comptes utilisés

Références

Passeport de conseils aux voyageurs :

- 9 -

Fiche n°4 : Achat d (DDAI/DSI)

Marché MATINFO II

Le marché informatique passé par le CNRS est actuellement divisé en quatre lots :

1) Lot numéro 1 : Micro-ordinateurs compatibles PC dont le titulaire est la société HP

2) Lot numéro 2 : Micro-ordinateurs portables compatibles PC dont le titulaire est la société DELL

3) Lot numéro 3 : Micro-ordinateurs de bureau, micro-ordinateurs et serveurs compatibles MAC OS dont le

titulaire est France Système

4) Lot numéro 4 : Serveurs dont le titulaire est la société DELL

besoins CNRS. Il est passé en groupement avec 5 universités et 7 EPST, le CNRS assurant la coordination pour

le compte du groupement.

des configurations personnalisables. Ce marché est passé pour une année et renouvelable 3 fois, il a débuté le

1er juillet 2009.

en année, les prix des matériels diminuent et le niveau de qualité (service après-vente, délais de livraison, facilité

GLVTXHFKLIIUDQWquotesdbs_dbs29.pdfusesText_35

[PDF] Les politiques structurelles - Oeconomianet

[PDF] Guide pratique du Projet pour l 'enfant - ODPE

[PDF] PPRE EIP

[PDF] Guide Élève - Rapport de stage en entreprise - Metiersdelautocom

[PDF] Présentation PowerPoint - Projet d 'organisation administrative et

[PDF] Animation d une émission de radio

[PDF] Modele de Presentation - Schneider Electric

[PDF] Présentation du projet - ppt - GIP-Ecofor

[PDF] Exemple de présentation orale - Europa EU

[PDF] -1- PRESENTATION DE SOUTENANCE REMERCIEMENTS Avant

[PDF] Modèle de présentation Stage Initiation et Perfectionnement Génie

[PDF] concours de technicien territorial

[PDF] problèmes éthiques médicaux d 'actualité - Revues et Congrès

[PDF] Ingénierie de projet en conception - Page perso de Dominique

[PDF] Annexe 11 Procédure Gestion des Déchets - Côtes d 'Armor