SANCTIONS
La non-application d'une quelconque partie des présentes règles d'usage entraîne, sans possibilité de recours, la suspension ou la coupure des services délivrés par la solution SMOBI pour l'utilisateur concerné.
Dans son emploi de la solution SMOBI mise à sa disposition, l'utilisateur est et demeure responsable civilement et/ou pénalement des incidents de sécurité qu'il provoque intentionnellement ou par un comportement à risque ne respectant pas les principes de l'IM2003.
ENTRÉE EN VIGUEUR
Les présentes règles d'usage sont applicables à compter de l'ouverture des services délivrés par la solution SMOBI. Elles sont validées par l'opérateur DIRISI et par l'Autorité qualifiée de l'Intradef.
SYNTHÈSE DES RÈGLES D'USAGE PRÉCONISÉES PAR L'ANSSI DANS L'UTILISATION DE LA SOLUTION CRYPTOSMART (SMOBI)
Le terminal CryptoSmart permet, par ses fonctions de sécurité, d'accéder en mobilité via un dispositif de type Extranet à des informations de niveau Diffusion Restreinte et de converser à ce même niveau de manière sécurisée avec un autre utilisateur du système. Néanmoins, un certain nombre de précautions sont à observer afin d'éviter la compromission des informations échangées et les accès non autorisés au réseau Intranet auquel le dispositif est raccordé.
Lors de l'usage courant de son terminal, l'utilisateur doit veiller à ce que :
- ses propos, les SMS, les messages mail et les informations qu'il consulte soient appropriées à l'environnement physique dans lequel il se trouve et que ces éléments ne puissent être observés directement ou indirectement par des dispositifs de surveillance ou des tiers n'ayant pas le besoin d'en connaitre ;
- la saisie de son mot de passe se fasse à l'abri de tout regard ou de dispositif de vidéo surveillance ;
- le service de messagerie sécurisée soit utilisé plutôt que celui de SMS sécurisé, notamment pour les messages ayant une sensibilité avérée dans la durée ;
- la quantité d'informations stockée sur le terminal soit réduite au strict minimum nécessaire pour l'accomplissement des tâches en mobilité et que les messages, notes, photos et documents soient effacés au fil de l'eau après leur transfert éventuel vers un Intranet protégé. Dans toute situation, y compris lors de ses déplacements en France ou à l'étranger, l'utilisateur doit s'assurer que le terminal CryptoSmart reste sous son contrôle. Pour cela, il doit :
- conserver sur lui son terminal, ou le garder sous sa surveillance directe en permanence ;
- verrouiller ou éteindre son terminal quand celui-ci n'est pas en utilisation ;
- le remiser et le stocker sous clé dans un environnement de confiance, s'il doit s'en séparer même temporairement ;
- l'éteindre avant de le stocker sous clé lorsqu'il ne l'utilise pas sur une longue période ;
- retirer et conserver sur lui sa carte d'authentification microSD, et si possible mettre le terminal sous scellé, si ce dernier doit être cédé à une autorité (douane, poste de sécurité, …) ou doit être remisé temporairement dans un endroit non maîtrisable (boite à gant ou coffre de voiture, bagage cabine dans un avion).
En cas d'incident de sécurité, l'utilisateur devra réagir promptement :
- s'il soupçonne que son code d'authentification a été observé par un tiers ou un dispositif de surveillance lors de sa saisie, il en change dès que possible ;
- si son terminal a pu être compromis, perdu ou volé, il avertit immédiatement son officier de sécurité ou à défaut son administrateur. S'il retrouve son terminal, il ne devra pas l'utiliser. Enfin, l'utilisateur devra veiller à choisir un code d'authentification qui ne puisse être ni deviné ni retrouvé facilement par un tiers : il évitera donc de dériver son code d'authentification d'informations personnelles (dates de naissance, …) ou d'un autre mot de passe utilisé sur un système différent (SIM, login/mot de passe intranet…).
Extrait de l'agrément au niveau DR de la solution CryptoSmart n° 3716/ANSSI/SDE/PSS/BQA du 25 octobre 2013.
Fait le 24 février 2022.
La ministre des armées,
Florence Parly
Pour la Fédération CFDT des établissements et arsenaux de l'Etat (FEAE-CFDT),
A. Corbel
Pour la Fédération syndicale force ouvrière de la défense, des industries de l'armement et des secteurs assimilés (FEDIASA-FO),
G. Goulm
Pour l'Union nationale des syndicats autonomes défense (UNSA Défense),
L. Dutilleul
Pour la Fédération nationale des travailleurs de l'Etat CGT (FNTE CGT),
V. Parent Y. Velly