Les normes minimales de sécurité
Transcript of Les normes minimales de sécurité
![Page 1: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/1.jpg)
Patrick BOCHART Conseiller en sécurité de l’information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: [email protected] Site web BCSS: www.bcss.fgov.be
Les normes minimales de sécurité
11/7/2014
![Page 2: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/2.jpg)
Agenda
• Introduction & scope • Champ d’application et interprétation • Normes minimales de sécurité, ISMS, structure ISO 27002:2013
– la politique de sécurité de l'information, – l'organisation de la sécurité, – la sécurité liée aux collaborateurs, – la gestion des ressources de l'entreprise, – la protection d’accès logique, – la cryptographie, – la sécurité physique et la protection de l'environnement, – la gestion opérationnelle (logging, protection contre des logiciels malveillants, ...), – La sécurité des communications, – L’acquisition, le développement et la maintenance de systèmes, – La relations avec les fournisseurs, – la gestion des incidents, – L’aspect de la sécurité de l’information dans la gestion de la continuité, – La conformité .
• Révision • Sanction
2
![Page 3: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/3.jpg)
Introduction & scope
• Source: http://www.bcss.fgov.be/ (Page d'accueil Sécurité et vie privée Documentation – Sécurité Information Security Management System)
• Obligatoires
– Institutions de sécurité sociale visées à l’article 2, alinéa 1er, 2°, de la loi organique de la Banque Carrefour
– Art. 18 : l'extension du réseau est possible, en ce compris les droits et les obligations de la loi BCSS,
– sur demande explicite (par exemple par le Comité sectoriel dans le cadre d'une délibération)
3
![Page 4: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/4.jpg)
Introduction & scope
• Champ d’application :
– traitement de données sociales à caractère personnel.
– bon usage : la sécurité de l’information au sens large du terme
• Cas spécifique :
– Utilisation du numéro RN au sien des services RH
4
![Page 5: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/5.jpg)
Introduction & scope
• Contrôle :
– Evaluation périodique par le Comité Sectoriel sur base de questionnaire
– Contrôle possible par un organisme externe
• Sous-traitance :
– le donneur d’ordre reste responsable de la mise en œuvre et du contrôle de l’application des normes minimales de sécurité chez le sous-traitant.
5
![Page 6: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/6.jpg)
Introduction & scope
• Interprétation des normes:
– Mise en œuvre des mesures de sécurité les plus appropriées compte tenu de la situation spécifique et de l’importance des moyens de fonctionnement à protéger.
6
![Page 7: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/7.jpg)
Introduction & scope
• Objectifs poursuivis
– Assurer de manière coordonnée un niveau minimal de sécurité
– Respect aspect légaux et règlementaires
– Obtenir/conserver l’autorisation d’échange
7
![Page 8: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/8.jpg)
Introduction & scope
• Relation à l'ISMS et à l'ISP ("Politique de sécurité de l'information" - conforme à la série ISO 27000)
8
ISMS: MÉTHODOLOGIE
Questionnaire
Directives
Policie
Comité sectoriel de la
sécurité sociale et de la
santé
ISP
(Information Security Policy)
Normes minimales
Loi organique de la Banque
Carrefour
15/01/90 – 12/08/93
![Page 9: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/9.jpg)
9
Structure ISO 27002:2013 Ces normes minimales portent sur les aspects
suivants:
• la politique de sécurité de l'information, • l'organisation de la sécurité, • la sécurité liée aux collaborateurs • la gestion des ressources de l'entreprise, • la protection d’accès logique, • la cryptographie • la sécurité physique et la protection de l'environnement, • la gestion opérationnelle (logging, protection contre des logiciels
malveillants, ...), • La sécurité des communications • L’acquisition, le développement et la maintenance de systèmes, • La relations avec les fournisseurs • la gestion des incidents, • L’aspect de la sécurité de l’information dans la gestion de la continuité, • La conformité (contrôle/audit).
![Page 10: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/10.jpg)
Les normes minimales de sécurité
![Page 11: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/11.jpg)
5. Politique de sécurité de l’information
• Toute organisation doit disposer d’une politique de sécurité de l’information formelle et actualisée, approuvée par le responsable de la gestion journalière, (ou équivalent).
11
![Page 12: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/12.jpg)
12
6. Organisation de la sécurité de l’information
Deux parties
• 6.1 Organisation de la sécurité de l’information
• 6. 2 Appareils mobiles et télétravail
![Page 13: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/13.jpg)
6.1 Organisation de la sécurité de l’information • 6.1.1 Organisation de la sécurité de l’information
– organiser, en son sein, un service de sécurité de l’information;
– communiquer l’identité de son conseiller en sécurité et de ses adjoints éventuels au Comité sectoriel de la sécurité sociale et de la santé;
– disposer d’un plan de sécurité approuvé par le responsable de la gestion journalière;
– disposer des crédits de fonctionnement nécessaires;
– communiquer à la BCSS le nombre d’heures qu’elle a officiellement attribuées à son conseiller en sécurité et à ses adjoints éventuels pour l’exécution de leurs tâches;
– planifier la communication d’informations au conseiller en sécurité;
13
![Page 14: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/14.jpg)
6.1 Organisation de la sécurité de l’information • 6.1.2 Plateforme de décision
– disposer d’une plateforme de décision pour valider et approuver les mesures de sécurité..
14
![Page 15: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/15.jpg)
6.1 Organisation de la sécurité de l’information • 6.1.3 Réseau secondaire
– Echanger d’information au moins une fois par semestre avec son réseau secondaire, • Avis
• Promotion
• Documentation
• Contrôle en matière de sécurité de l'information
15
![Page 16: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/16.jpg)
6.1 Organisation de la sécurité de l’information • 6.1.4 Sécurité de l’information dans le cadre de
projets
– Disposer de procédures pour le développement de nouveaux systèmes ou d’évolutions importantes dans les systèmes existants, pour que le responsable de projet tienne compte des exigences de sécurité décrites dans le présent document.
16
![Page 17: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/17.jpg)
6.2 Appareils mobiles et télétravail
• 6.2.1 Accès à distance
– Prendre les mesures adéquates, en fonction du moyen d’accès, afin de sécuriser l’accès on-line réalisé en dehors de l’organisation aux données sociales à caractère personnel. • Moyen d’accès : p.ex. Internet, ligne louée, réseau privé, wireless.
17
![Page 18: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/18.jpg)
6.2 Appareils mobiles et télétravail
• 6.2.2 Protection des données sur des médias mobiles
– Prendre les mesures adéquates afin que les données à caractère personnel enregistrées sur des médias mobiles ne soient accessibles qu’aux personnes autorisées
18
![Page 19: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/19.jpg)
• 7.1 Traitement des données:
– Engagement de tous les collaborateurs internes et externes à respecter leurs obligations en ce qui concerne la confidentialité et la sécurité des données.
19
7. Sécurité liée aux collaborateurs
![Page 20: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/20.jpg)
• 7.2 Sensibilisation
– sensibiliser chaque collaborateur à la sécurité de l’information.
20
7. Sécurité liée aux collaborateurs
![Page 21: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/21.jpg)
8. Gestion des ressources de l’entreprise
• 8.1 Inventaire
– Disposer d’un inventaire du matériel informatique et des logiciels
– Mis à jour en permanence.
21
![Page 22: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/22.jpg)
8. Gestion des ressources de l’entreprise
• 8.2 Protection des ressources de l’entreprise
– S’assurer de la protection des supports des données à caractère personnel et les systèmes informatiques les traitant
– Conformément à leur classification, • dans des locaux identifiés et protégés
• dont l’accès est limité aux seules personnes autorisées et aux seules heures justifiées par leur fonction.
22
![Page 23: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/23.jpg)
8. Gestion des ressources de l’entreprise
• 8.3 Internet et e-mail
– Etablir et appliquer un code de bonne conduite pour l’usage de l’Internet et de l’e-mail
23
![Page 24: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/24.jpg)
• 8.4 Support physique en transit
– Prendre les mesures nécessaires pour protéger, contre les accès non autorisés, les supports en transit dont notamment les backups contenant des données sensibles
24
8. Gestion des ressources de l’entreprise
![Page 25: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/25.jpg)
9. Protection de l’accès (logique)
• 9.1 Protection des données
– sécuriser l’accès aux données nécessaires à l’application et à l’exécution de la sécurité sociale par un système d’identification, d’authentification et d’autorisation.
25
![Page 26: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/26.jpg)
9. Protection de l’accès (logique)
• 9.2 Autorisations Comité sectoriel
– S’assurer de l’existence des autorisations nécessaires du comité sectoriel compétent pour l’accès aux données (sociales) à caractère personnel gérées par une autre organisation
26
![Page 27: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/27.jpg)
9. Protection de l’accès (logique)
• 9.3 Accès aux systèmes informatiques par les gestionnaires d’information
– limiter l'accès au(x) système(s) informatique(s) aux gestionnaires d’information identifiés, authentifiés et autorisés
27
![Page 28: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/28.jpg)
• 9.4 Utilisation des services en réseaux
– prendre les mesures adéquates afin que toute personne n’ait uniquement accès qu’aux services pour lesquels elle a spécifiquement reçu une autorisation.
28
9. Protection de l’accès (logique)
![Page 29: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/29.jpg)
9. Protection de l’accès (logique)
• 9.5 Connexion IP externe - réseau primaire
– Utiliser l’Extranet de la sécurité sociale pour toutes les connexions externes à l’institution ou à son réseau secondaire.
– Dérogation possible !
29
![Page 30: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/30.jpg)
9. Protection de l’accès (logique)
• 9.6 Connexion IP externe - réseau secondaire
– Possibilité d’utiliser l’Extranet
– Si pas d’utilisation de l’Extranet • Prise de mesures de sécurité qui garantiront un niveau de sécurité
équivalent à celui de l’Extranet
30
![Page 31: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/31.jpg)
31
10. Cryptographie
• 10.1 Cryptographie
– “NIHIL.”
![Page 32: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/32.jpg)
11. Protection physique et protection de l’environnement • 11.1 Protection physique de l’accès
– limiter l’accès aux bâtiments et locaux aux personnes autorisées et effectuer un contrôle à ce sujet
32
![Page 33: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/33.jpg)
• 11.2 Incendie, intrusion, dégâts causés par l’eau
– Prendre des mesures pour la prévention, la protection, la détection, l’extinction et l’intervention en cas d’incendie, d’intrusion et de dégâts causés par l’eau.
33
11. Protection physique et protection de l’environnement
![Page 34: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/34.jpg)
11. Protection physique et protection de l’environnement • 11.3 Alimentation en électricité
– Disposer d’un moyen alternatif en électricité afin de garantir la prestation de services attendue
34
![Page 35: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/35.jpg)
• 11.4 Mise au rebut ou recyclage sécurisé du matériel
– prendre des mesures pour que toute donnée soit supprimée ou rendue inaccessible sur tout support de stockage avant sa mise au rebut ou recyclage
35
11. Protection physique et protection de l’environnement
![Page 36: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/36.jpg)
• 12.1 Séparation des environnements
– Ségrégation des environnements;
– S’assurer que tout développement, ou test soit exclu au sein de l’environnement de production;
– Possibilité de dérogation.
36
12. Gestion opérationnelle
![Page 37: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/37.jpg)
12. Gestion opérationnelle
• 12.2 Gestion de la mise en production
– Disposer de procédures pour la mise en production de nouvelles applications et la réalisation d’adaptations aux applications existantes.
– Eviter qu’une seule et même personne n'assure le contrôle de l’ensemble de ce processus.
37
![Page 38: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/38.jpg)
12. Gestion opérationnelle
• 12.3 Protection contre des codes nocifs
– Doit disposer de systèmes actualisés pour se protéger (prévention, détection et rétablissement) contre des codes nocifs
38
![Page 39: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/39.jpg)
12. Gestion opérationnelle
• 12.4 Politique de sauvegarde
– définir la politique et la stratégie organisant la mise en œuvre d’un système de sauvegarde en phase avec la gestion de la continuité
– contrôler régulièrement les sauvegardes réalisées dans ce cadre.
39
![Page 40: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/40.jpg)
12. Gestion opérationnelle
• 12.5 Logging de l’accès
– Implémentation d’un système de logging pour les données à caractère personnel nécessaires à l’application et à l’exécution de la sécurité sociale.
40
![Page 41: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/41.jpg)
12. Gestion opérationnelle
• 12.6 Traçabilité des identités.
– Assurer à son niveau la traçabilité des identifiants utilisés
– Permettre l’identification de bout en bout des identifiants utilisés.
41
![Page 42: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/42.jpg)
12. Gestion opérationnelle
• 12.7 Détection d’infractions à la sécurité
– Installer un système et des procédures formelles et actualisées permettant la détection, le suivi et la réparation d’infractions
42
![Page 43: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/43.jpg)
13. Sécurité des communications
• 13.1 Sécurité au niveau du réseau
– 13.1.1 Gestion de la sécurité des réseaux • vérifier que les réseaux sont gérés et contrôlés de façon adéquate
afin de les protéger contre les menaces et de garantir de façon efficace la protection des systèmes et des applications qui utilisent le réseau
43
![Page 44: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/44.jpg)
• 13.1 Sécurité au niveau du réseau
– 13.1.2 Disponibilité des réseaux • mettre en place les mesures techniques nécessaires, suffisantes,
efficientes et adéquates en vue de garantir la plus haute disponibilité de connexion avec le réseau de la Banque Carrefour
44
13. Gestion opérationnelle
![Page 45: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/45.jpg)
13. Sécurité des communications
• 13.2 Echange d’information
– 13.2.1 Cartographie des flux de l’Extranet • tenir à jour une cartographie technique des flux implémentés au
travers de l’Extranet de la sécurité sociale
45
![Page 46: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/46.jpg)
13. Sécurité des communications
• 13.2 Echange d’information
– 13.2.2 Qualité de service des échanges d’informations à caractère social • Traitement dans les meilleurs délais par l'ensemble des
intervenants
• Traitement en temps utile des messages de suivi qu'elles doivent recevoir des destinataires ou intermédiaires.
• Réalisation dans les meilleurs délais les actions adéquates et appropriées consécutives au traitement des messages de suivi.
• Toute anomalie ou lacune dans la transmission électronique des données doit être signalée dans les meilleurs délais aux intervenants concernés
46
![Page 47: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/47.jpg)
14. Acquisition, développement et maintenance de systèmes • 14.1 Documentation
– Disposer de procédures pour la rédaction de documentation lors du développement de nouveaux systèmes et applications et lors de la maintenance des applications et systèmes existants.
47
![Page 48: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/48.jpg)
14. Acquisition, développement et maintenance de systèmes • 14.2 Méthode de développement structurée
– Doit avoir recours à une approche structurée en vue d’un développement sécurisé de systèmes
48
![Page 49: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/49.jpg)
14. Acquisition, Développement et maintenance de systèmes • 14.3 Vérifier les exigences de sécurité avant la mise
en production
– Veiller à ce que le responsable de projet vérifie le respect des exigences de sécurité établies au début de la phase de développement ou de la procédure d’achat avant toute mise en production de nouveaux systèmes ou d’évolutions importantes dans les systèmes existants
49
![Page 50: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/50.jpg)
• 14.4 Sécurité applicative
– prendre les mesures nécessaires pour assurer la sécurité au niveau applicatif dans le but de minimiser les brèches potentielles de sécurité (confidentialité, intégrité, disponibilité).
50
14. Acquisition, développement et maintenance de systèmes
![Page 51: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/51.jpg)
51
15. Relation avec les fournisseurs
• 15.1 Collaboration avec des sous-traitants
– doit s’assurer que les obligations en matière de traitement de données à caractère personnel sont contractuellement établies.
– “Dans le cadre d’une solution de type « Cloud Computing », la politique de sécurité y relative (ISMS.0050) précise que le choix dans une telle situation est limité uniquement à des services cloud « communautaire » (ou « privé »).”
![Page 52: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/52.jpg)
16. Gestion d’incidents relatifs à la sécurité de l’information • 16.1 Incidents majeurs
– Veiller à ce que le service de Sécurité de l’information soit informé, par le service responsable, des incidents majeurs susceptibles de compromettre la sécurité de l’information et des mesures prises pour faire face à ces incidents
– S'assurer que la BCSS soit informé de tout incident de sécurité classifié "Majeur" suivant la politique générale de remontée d'incident sécurité établie au sein de la sécurité sociale.
52
![Page 53: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/53.jpg)
17. Gestion de la continuité
• 17.1 Gestion de la continuité
– élaborer, tester et maintenir un plan de continuité basé sur une analyse des risques, afin d’assurer la mission de l’organisation dans le cadre de la sécurité sociale.
• 17.2 Redondances
– prévoir un centre de migration informatique et/ou une infrastructure redondante informatique en cas de catastrophe totale ou partielle.
53
![Page 54: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/54.jpg)
18. Conformité
• 18.1 Audit externe
– entreprendre périodiquement un audit de conformité relatif à la situation de la sécurité telle que circonscrite par les normes minimales.
54
![Page 55: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/55.jpg)
Révisions
• Les normes minimales de sécurité sont susceptibles d'être revisées. – Tâche du groupe de travail Sécurité de l'information du Comité général
de coordination
• Dernière normes minimales de sécurité entrées en vigueur : 1er janvier 2015 – Adaptées et rendues conformes à la numérotation du standard ISO
27002:2013, aux recommandations du Comité sectoriel du Registre national et aux dernières modifications de la loi organique de la Banque Carrefour
– Approuvées par le Comité de gestion de la BCSS
– Le nouveau questionnaire a été envoyé pour la première fois en janvier 2016.
55
![Page 56: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/56.jpg)
Sanctions
• En cas de non-respect de ces normes minimales, l'institution de sécurité sociale concernée peut se voir interdire, après mise en demeure, l'accès au réseau conformément à l'article 46, alinéa premier, 1°, de la loi organique de la Banque Carrefour.
• Les institutions qui souhaitent s’intégrer au réseau de la Banque Carrefour doivent disposer d’un plan pluriannuel actualisé mentionnant les mesures permettant de satisfaire aux normes minimales.
56
![Page 57: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/57.jpg)
Questions ?
57
+32 741 83 04
![Page 58: Les normes minimales de sécurité](https://reader031.fdocuments.in/reader031/viewer/2022020301/586dfe601a28ab114f8bac8b/html5/thumbnails/58.jpg)
Patrick Bochart conseiller en sécurité de l’Information Banque Carrefour de la Sécurité Sociale [email protected] http://www.bcss.fgov.be
MERCI ! QUESTIONS ?
58