• pdf

Charte informatique

  1. OBJET DU DOCUMENT
  2. DOMAINE D’APPLICATION
  3. PRINCIPES FONDAMENTAUX
  4. REGLES A RESPECTER
    1. Gestion d’identité (spécifique aux correspondants annuaire)
    2. Confidentialité
    3. Droit de propriété
  5. REGLES SPECIFIQUES POUR LES ADMINISTRATEURS SYSTEMES
    1. Gestion des traces et des logs
    2. Les virus et le spam
    3. Continuité de service

OBJET DU DOCUMENT

Cette charte a pour objet de formaliser les règles de sécurité et de bon usage spécifiques aux utilisateurs du système d’information de l’université Michel de Montaigne Bordeaux 3 amenés à manipuler des informations sensibles.
Elle complète les règles et les procédures définies dans la charte utilisateur référencée Charte informatique Bordeaux 3 V2.5.
Tout au long de ce document, les utilisateurs concernés par cette charte seront appelés « utilisateurs avec pouvoir ». Parmi ces utilisateurs avec pouvoir, on distinguera les administrateurs systèmes qui disposent de droits accrus et pour lesquels des dispositions supplémentaires doivent être énoncées.

DOMAINE D’APPLICATION

La Charte étendue du bon usage des ressources informatiques de l'université Michel de Montaigne Bordeaux 3 doit être lue et signée par les utilisateurs qui ont accès à des ressources sensibles, en particulier (liste non exhaustive) :

  • tout prestataire externe ayant accès au SI ;
  • correspondants de sécurité ;
  • correspondants annuaire ;
  • gestionnaire de compte invité ;
  • présidence ;
  • membres des services financiers ;
  • membres du service de scolarité et toute personne ayant accès à l’application Apogée ;
  • membres du SCIR.

PRINCIPES FONDAMENTAUX

L’utilisateur avec pouvoir a des droits étendus. Il a de ce fait des devoirs importants, en particulier celui de ne pas abuser de ces pouvoirs.
L’administrateur système, d’après le code pénal, est personnellement responsable de la sécurité de la machine, du réseau ou des ressources dont il a la charge.
En premier lieu, l’utilisateur avec pouvoir est soumis à la charte d’utilisation référencée Charte informatique Bordeaux 3 V2.4. Il s’engage, par la signature de la présente charte, à l’avoir lue dans son intégralité et à la respecter.

De plus, il doit :

  • informer les utilisateurs sur l'étendue des pouvoirs dont lui-même dispose en raison de sa fonction ;
  • respecter les règles générales d'accès au réseau de l’université ;
  • respecter les règles de confidentialité, en limitant l'accès à l'information confidentielle au strict nécessaire et en respectant un « secret professionnel » sur ce point ;
  • respecter, s'il est lui-même utilisateur du système, les règles qu'il est amené à imposer aux autres utilisateurs.

Les utilisateurs responsables de site web s’engagent à ne pas diffuser de créations protégées par les droits d’auteur ou droits privatifs sans avoir obtenu l’autorisation des titulaires de ces droits. Ils s’engagent par ailleurs à ne pas diffuser d’information à caractère injurieux, raciste, discriminatoire, insultant, dénigrant, diffamatoire, dégradant, ou susceptibles de révéler les opinions politiques, religieuses, philosophiques, les mœurs, l’appartenance syndicale ou la santé des personnes, ou encore de porter atteinte à leur vie privée ou à leur dignité ainsi que des messages portant atteinte à l’image, la réputation ou à la considération du service public d'Education.

L’administrateur système doit en plus :

  • informer les utilisateurs et les sensibiliser aux problèmes de sécurité informatique inhérents au système, leur faire connaître les règles de sécurité à respecter, aidé par le correspondant sécurité du réseau ;
  • modifier le système dans le sens d'une meilleure sécurité, dans l'intérêt des utilisateurs, informer immédiatement son responsable fonctionnel et le correspondant sécurité de l'établissement de toute tentative (fructueuse ou non) d'intrusion sur son système, ou de tout comportement dangereux d'un utilisateur ;
  • coopérer avec les correspondants sécurité du réseau en cas d'attaque impliquant une machine qu'il administre.

Par ailleurs, il peut :

  • accéder aux informations privées des utilisateurs à des fins de diagnostic et d'administration du système, en évitant scrupuleusement la divulgation de ces informations ;
  • établir des procédures de surveillance de toutes les tâches exécutées sur la machine, afin de déceler les violations ou les tentatives de violation de la présente charte, après autorisation de son responsable fonctionnel et en relation avec le correspondant sécurité du réseau.

L'administrateur doit également prendre connaissance et appliquer :

  • les règles et principes décrits dans la PSSI et les documents annexes ;
  • les procédures informatiques fournies par l'université.

REGLES A RESPECTER

Gestion d’identité (spécifique aux correspondants annuaire)

La gestion d’identité est déléguée aux correspondants annuaires des différentes composantes de l’université.
Les correspondants annuaire s’engagent :

  • à délivrer des moyens d’authentification aux utilisateurs (remise en main propre des informations relatives au compte utilisateur) ;
  • à gérer le cycle de vie des comptes utilisateurs (en particulier à supprimer de l’annuaire toute entrée relative à une personne qui a quitté la composante) ;
  • à demander au RSSI de désactiver ou supprimer le compte de l’utilisateur en cas de non respect de la charte de sécurité par l’utilisateur.

Confidentialité

L’utilisateur avec pouvoir est une personne ayant des droits étendus quant à l’utilisation des systèmes d’information. Cela implique notamment de :

  • ne transmettre aucune information confidentielle sans concertation préalable avec sa hiérarchie et accord de cette dernière ;
  • veiller à ce que les tiers non-autorisés n’aient pas connaissance de telles informations.

Droit de propriété

D’une manière générale, l’utilisateur avec pouvoir doit respecter les règles d’éthique professionnelle, de déontologie, l’obligation de réserve ainsi que le devoir de discrétion.
L’utilisation des systèmes d’informations implique le respect des droits de propriété de nos partenaires et plus généralement des tiers.

REGLES SPECIFIQUES POUR LES ADMINISTRATEURS SYSTEMES

Gestion des traces et des logs

L’administrateur système assure :

  • la gestion des traces et des logs des systèmes d’informations ;
  • la sauvegarde et la conservation des traces et des logs selon les contraintes imposées par la CNIL.

Les informations nécessaires sont utilisées pour un usage technique. Toutefois, dans le cadre d'une procédure judiciaire et après accord de la Direction de l’université ces fichiers peuvent être mis à la disposition ou transmis à la justice.

Les virus et le spam

L’administrateur système doit :

  • utiliser les moyens mis à sa disposition pour empêcher l’activation de virus, de cheval de Troie ou de vers provenant notamment de l’ouverture des messages électroniques ou lors de l’accès aux ressources du web ;
  • veiller à ce que la mise à jour automatique des logiciels et les définitions de virus soit opérationnelle ;
  • mettre à jour les règles antivirus et antispam selon l’évolution des attaques ;
  • mettre à jour les systèmes d’exploitation et les applicatifs des postes utilisateurs pour les protéger des nouvelles failles.

Continuité de service

En toutes circonstances, la continuité du service et de la mission de l’administrateur doit être assurée. Il doit donc formaliser les procédures d’administration des systèmes qu’il gère pour que soit assurée cette continuité de service.