Norme de sécurité de protection des données des ordinateurs portables

12 avril 2012

But

Cette norme établit les exigences minimales de sécurité pour les ordinateurs portables et les données stockées, traitées ou transmises via ces derniers.

Aperçu

Les ordinateurs portables offrent une grande mobilité, permettant aux utilisateurs de travailler hors du bureau. Cependant, leur utilisation comporte également des risques. En cas de perte ou de vol, des informations confidentielles peuvent être divulguées. De plus, la connexion à un réseau non sécurisé peut exposer les ordinateurs portables à des logiciels malveillants.

Portée

Cette norme définit les exigences minimales de sécurité et de chiffrement pour les ordinateurs portables contenant des données appartenant à l'État ou connectés à des réseaux internes appartenant à l'État ou gérés par celui-ci. Les ordinateurs portables des contractuels, des partenaires commerciaux de l'État et des particuliers se connectant à des réseaux internes de l'État ou stockant des données de l'État sont concernés par cette norme.

Aux fins de la présente norme, la sécurité est définie comme la capacité de protéger l’intégrité, la confidentialité et la disponibilité des informations traitées, stockées et transmises par un organisme.

Cette norme s'applique à tous les organismes tels que définis par le chapitre 8A, section 101 du Code de l'Iowa. Les organismes non participants sont encouragés à suivre cette norme et les autres politiques, normes, lignes directrices, processus et procédures au niveau de l'entreprise.

Définitions

Certains termes utilisés dans la norme de protection des données des ordinateurs portables d'entreprise sont définis ci-dessous :

• Ordinateur portable : Les ordinateurs portables sont des appareils légers et portables conçus pour fonctionner pendant de longues périodes grâce à leur propre source d’alimentation. Aux fins de la présente norme, un ordinateur portable comprend une tablette, un netbook, un iPad et tout appareil similaire.
• Chiffrement : Procédé visant à rendre une information indéchiffrable afin de la protéger contre toute consultation ou utilisation non autorisée, notamment lors de sa transmission ou de son stockage. Le chiffrement repose sur un algorithme et au moins une clé. Même si l’algorithme est connu, l’information ne peut être déchiffrée sans la ou les clés.

Ordinateur portable d'entreprise standard

Les normes minimales suivantes doivent être respectées pour tous les ordinateurs portables :

1. Inventaire des ordinateurs portables . Les organismes tiendront un inventaire de tous les ordinateurs portables et de leurs utilisateurs respectifs.
2. Chiffrement et authentification des données . Tous les ordinateurs portables doivent être chiffrés. Le logiciel de chiffrement doit répondre aux critères suivants :
   1. Avant le démarrage : L’authentification de l’utilisateur avant le démarrage doit être utilisée par le logiciel de chiffrement.
   2. Disque entier : L’intégralité du disque dur, à l’exception du secteur de démarrage principal, sera cryptée.
   3. Niveau de chiffrement : un chiffrement de type Advanced Encryption Standard (AES) 256 bits ou plus robuste doit être utilisé.
   4. Piste d'audit : Une piste d'audit doit être conservée afin de démontrer qu'un appareil a été chiffré et le type de logiciel de chiffrement utilisé.
   5. Gestion centralisée : Le processus et les procédures de chiffrement doivent être gérés de manière centralisée au niveau de l’agence et/ou de l’entreprise.
   6. Mise en veille prolongée : l’ordinateur portable se chiffre lors de la mise en veille prolongée, ce qui exige que l’utilisateur se réauthentifie.
       
3. Procédure en cas de perte ou de vol . Toute perte ou tout vol d'ordinateur portable doit être signalé au responsable de la sécurité des systèmes d'information dans les 24 heures. La notification doit comprendre :
   1. Nom et coordonnées de l'agence.
   2. Date du vol/de la perte.
   3. Description du vol/de la perte.
   4. Si des informations confidentielles/sensibles étaient stockées sur l'appareil.
   5. Si l'ordinateur portable était crypté.
   6. Que le mot de passe ou le jeton ait été stocké avec l'ordinateur portable.

Des procédures doivent également être mises en place pour modifier les identifiants d'authentification de tous les systèmes auxquels l'appareil/l'utilisateur a pu accéder.

4. Protection physique . Les utilisateurs sont responsables de la protection physique de leurs ordinateurs portables.
   1. Les ordinateurs portables ne doivent pas être laissés sans surveillance dans un lieu public, sauf s'ils sont sécurisés par un câble antivol ou un autre dispositif antivol.
5. Mots de passe : Il est impératif d’utiliser des mots de passe robustes pour les ordinateurs portables. Ces mots de passe doivent être :
   1. Au moins 8 caractères.
   2. Un mélange de chiffres et de lettres.
   3. Comportez au moins un caractère spécial.

Les mots de passe écrits, les cartes à puce ou les jetons ne doivent pas être stockés avec l'ordinateur portable.

6. Stockage principal/Sauvegardes de données . Afin de garantir la disponibilité des données en cas de perte ou de vol d'un appareil, un ordinateur portable ne doit pas servir de support de stockage principal pour les données de l'État de l'Iowa. Des sauvegardes régulières des données stockées sur les ordinateurs portables doivent être effectuées, conformément à la politique de l'agence.
7. Sécurité des clients assurée . Tous les ordinateurs portables doivent être équipés de :
   1. Un pare-feu hôte correctement configuré
   2. Logiciel anti-malware à jour et
   3. Tous les ordinateurs portables devront être équipés des derniers correctifs de sécurité critiques dans les 5 jours ouvrables suivant leur mise en service.
8. Évaluation . L’ISO procédera périodiquement à des évaluations de la conformité des organismes à la présente norme. Les organismes donneront accès aux informations et systèmes d’inventaire nécessaires à la vérification de cette conformité. En cas de non-conformité à la norme relative aux ordinateurs portables, l’organisme concerné recevra une notification écrite conformément à la norme IAC 11-25.11(8A).
9. Formation de sensibilisation : Les utilisateurs d’ordinateurs portables doivent bénéficier d’une formation de sensibilisation à la sécurité des appareils mobiles. À minima, ils doivent recevoir une documentation décrivant les risques liés à l’informatique mobile.
10. Effacement des données et désactivation de l'appareil : Les ordinateurs portables doivent être effacés et/ou désactivés :
    1. Après 10 tentatives de connexion infructueuses.
    2. Lorsqu'il est déclaré perdu ou volé.
    3. Avant la mise au rebut/le retour au bailleur.
11. Inactivité : Les ordinateurs portables doivent être configurés pour se verrouiller après un maximum de 15 minutes d'inactivité.
12. Politique d'utilisation : Les agences doivent :
    1. Ayez une politique encadrant l'utilisation des ordinateurs portables, et
    2. S'assurer que le personnel reçoive et prenne connaissance de la politique.
13. Appareils personnels : Les ordinateurs portables personnels ne doivent pas se connecter aux réseaux internes appartenant à l'État.
14. Applications tierces : Les utilisateurs ne sont pas autorisés à télécharger des applications tierces sur leur ordinateur portable sans l'approbation de la direction de l'agence.
15. Sans fil : Les ordinateurs portables doivent :
    1. Désactiver les fonctionnalités de réseau pair à pair (ad hoc).
    2. Désactivez le Bluetooth sauf s'il est requis pour un besoin professionnel légitime. Si le Bluetooth est requis pour un besoin professionnel légitime, l'ordinateur portable doit :
       1. À utiliser uniquement avec des appareils approuvés par l'agence.
       2. Désactiver le mode détectable.
    3. Utilisez une solution VPN chiffrée lorsque vous vous connectez à distance à un réseau interne de l'agence via un réseau sans fil public. La solution VPN doit :
       1. Utilisez l'authentification à deux facteurs
       2. Interdire deux connexions simultanées à des réseaux différents (c'est-à-dire, pas de tunnelage fractionné ni de connexions multihébergées).

Mises à jour

Ce document sera revu au moins tous les deux ans et mis à jour au besoin.

Date d'entrée en vigueur

Cette norme entrera en vigueur le 1er mai 2012.

Application de la loi

Cette norme sera appliquée conformément au Code administratif de l'Iowa 11—25.11(8A).

Variance

Le Code administratif de l'Iowa, article 11-25.11(2), prévoit des dérogations aux normes de sécurité. Toute demande de dérogation aux exigences de la présente politique doit être soumise par écrit au responsable de la sécurité des systèmes d'information avant sa mise en œuvre.