ANNEXE III
CARACTÉRISTIQUES DES MESURES DE SÉCURITÉ DES SYSTÈMES D'INFORMATION
3.1. Hébergement
[1] L'hébergeur doit posséder la qualification SecNumCloud, garantissant ainsi la conformité aux normes de sécurité établies.
[2] Les services doivent être déployés sur un environnement qui soit dédié et isolé, assurant une séparation clair des ressources.
[3] Une solution antivirus doit être intégrée et active sur les équipements afin de les protéger contre les menaces malveillantes.
[4] L'hébergeur doit mettre en place les mesures et protections adéquates afin de réduire la charge d'attaques DDoS afin de garantir la disponibilité des ressources (services, matériels…).
[5] L'administration des équipements doit s'effectuer via une connexion SSH sécurisée et l'authentification doit se faire par l'intermédiaire d'un certificat et au travers d'un poste d'administration dédié, excluant l'utilisation de mots de passe. De plus, un filtrage par liste blanche des adresses IP autorisées doit être mis en œuvre.
[6] Les composants et technologies doivent être régulièrement mis à jour, et une veille technologique doit être maintenue pour suivre les évolutions du secteur.
[7] Un système de pare-feu doit être déployé pour gérer le trafic réseau et appliquer des règles d'accès, notamment à l'aide de tables IP.
[8] L'ensemble du dispositif doit faire l'objet d'une analyse de risque ainsi que d'audits réguliers, incluant des tests d'intrusion et d'audits spécifiques (configuration, architecture, code…), permettant d'évaluer et d'améliorer la sécurité.
3.2. Disponibilité
[9] Le SI support de l'ensemble du dispositif permettant les inscriptions et la planification des examens ainsi que le SI en centre d'examen doivent disposer d'un haut niveau de disponibilité. Le contrat de service doit a minima permettre une disponibilité de 98 % et un temps de réponse maximum inférieur à 2 secondes. En cas d'incident, le délai de résolution des incidents (RTO) est de 24 heures maximum afin d'assurer la continuité des traitements.
[10] Les procédures de plan de reprise d'activité et de plan de continuité d'activité (PRA/PCA) ainsi que de plan de reprise informatique et plan de continuité informatique (PRI/PCI) doivent être formalisées à la fois pour le SI support permettant les inscriptions et le SI en centre d'examen. Ces procédures doivent également être testées annuellement et après chaque changement significatif, afin d'en assurer le bon fonctionnement et le respect du RTO.
[11] Pour les centres d'examen, en cas de sinistre non lié à l'informatique (par exemple un incendie) qui empêche le bon déroulement de l'examen et nécessite son interruption, des procédures de réponse à l'incident doivent être rédigées afin de déterminer ce qu'il en suit pour l'examen en fonction du type de sinistre et de sa durée. Ces procédures doivent permettre d'arbitrer, selon la durée de l'interruption, dans quel cas il est possible de reprendre l'examen et dans quel cas celui-ci doit être replanifié.
3.3. Inscription
[12] En cas de validation de l'inscription à un examen, une convocation doit être envoyée au ressortissant étranger. Une vérification de cette convocation devra être effectuée au sein du centre d'examen.
3.4. Cloisonnement du réseau du SI support
[13] Existence d'une politique de sécurisation des réseaux de l'organisateur agréé conforme aux meilleures pratiques et régulièrement réactualisé, notamment en matière de :
- sécurisation des flux d'échange avec internet ;
- cloisonnement et de filtrage du LAN utilisateur ;
- cloisonnement et de filtrage des LANs serveurs afin de limiter l'exposition de services à des populations ou serveurs non souhaités ;
- cloisonnement et de filtrage des accès d'administration aux serveurs.
[14] Mise en place d'un dispositif de contrôle/filtrage des flux de communication entre le réseau interne de l'organisme et celui support des services délivrés, basé sur une analyse des risques potentiels.
[15] Existence d'un processus de maintien en condition de sécurité des dispositifs entrant dans l'architecture de contrôle/filtrage des flux de communication faisant l'objet d'une évaluation annuelle et/ou après chaque changement significatif.
[16] Contrôle périodique, via des audits techniques, du niveau de sécurité des dispositifs de contrôle/filtrage des flux de communication de manière annuelle et/ou après chaque changement significatif.
3.5. Contrôle des accès logiques
[17] L'accès aux comptes d'administration du système d'information est obligatoirement protégé par une authentification multifacteur (MFA) conforme aux recommandations de l'ANSSI et de la CNIL.
L'utilisation de mots de passe seuls, même complexes, est strictement interdite. Les dispositifs doivent garantir la confidentialité, l'intégrité et la traçabilité des accès, et être contrôlés régulièrement.
En complément :
- politique de gestion des comptes et accès avec traçabilité conforme aux attendus de l'ANSSI sur le sujet ;
- procédures formelles de création, renouvellement, révocation des identifiants et facteurs d'authentification, notamment pour privilèges élevés ;
- restriction des accès réseau aux uniques administrateurs (filtrage) via un poste dédié aux opérations d'administration.
[18] Traçabilité de l'ensemble des accès/actions d'administration des ressources logicielles et matérielles permettant de délivrer les services.
[19] Rapatriement en temps réel des traces d'administration des ressources logicielles et matérielles permettant de délivrer les services sur un dispositif centralisé administré de manière spécifique.
[20] Procédure formelle d'exploitation des traces d'administration des ressources logicielles et matérielles permettant de délivrer les services.
3.6. Sécurité des serveurs
[21] Existence d'une politique de sécurisation des systèmes d'exploitation conforme aux meilleures pratiques et régulièrement réactualisée, dans une logique de réduction de la surface d'exposition.
[22] Existence de guides de durcissement (ou guides de configuration sécurisée) formels et régulièrement actualisés.
[23] Existence d'un processus de maintien en condition de sécurité des systèmes d'exploitation faisant l'objet d'une évaluation annuelle et/ou après chaque changement significatif.
[24] Chiffrement intégral des disques stockant les fichiers de diapositives, utilisant des algorithmes conformes aux annexes B1, B2, B3 du RGS.
3.7. Sécurité des supports des candidats
[25] Inventaire tenu à jour des équipements ayant stocké des diapositives (serveurs, micro-ordinateurs, tablettes, supports amovibles…).
[26] Contrôle des accès aux locaux contenant des équipements (micro-ordinateurs, tablettes, supports amovibles…) stockant des fichiers de diapositives.
[27] Stockage des équipements (micro-ordinateurs, tablettes, supports amovibles…) dans des armoires fermant à clé.
[28] Procédure formelle de gestion des clés des armoires entreposant des équipements (micro-ordinateurs, tablettes, supports amovibles…) stockant des fichiers de diapositives.
[29] Durcissement des configurations des équipements (micro-ordinateurs, tablettes…) utilisés par les candidats, notamment :
- désactivation des ports et services inutiles ;
- interdiction de la prise de main à distance, sauf dans le cadre éventuel de l'administration du poste (dans ce cas, obligation de tracer les actions réalisées et de les sécuriser conformément aux règles énoncées pour la thématique « contrôle des accès logiques » ci-dessus) ;
- création de comptes utilisateurs avec des droits restreints pour les candidats ;
- mots de passe au démarrage de l'équipement et protection de l'accès au BIOS par mot de passe ;
- chiffrement intégral du disque dur ;
- désactivation des ports USB dans les BIOS via un port blocker physique. A défaut, interdiction des clés USB ;
- mise à jour automatique des socles (OS, logiciels, progiciels et BIOS si applicable) ;
- le « bureau » candidat est réduit au minimum, c'est-à-dire au seul usage de lancement de l'examen par une icône associée, et sans accès internet possible.
3.8. Echanges avec le service de gestion de l'épreuve théorique de l'examen civique
[30] Les échanges doivent être chiffrés à l'aide d'un certificat client SSL, conforme à l'annexe A4 du RGS.
3.9. Protection des données
[31] Les systèmes d'information (SI) support du système d'inscription et de planification d'examen traitent des données à caractère personnel. Ces SI sont donc soumis au RGPD et doivent respecter les exigences de sécurité prévues par la réglementation et les recommandations de la CNIL et de l'ANSSI.
[32] L'organisme est seul responsable des traitements de données à caractère personnel qu'il met en œuvre dans le cadre de ses activités. Le ministère de l'intérieur, en tant que destinataire de certaines données, devient responsable de leur traitement à compter de leur réception, dans le cadre de ses missions légales.
[33] Afin d'être en mesure de retrouver les données d'inscription d'un étranger ainsi que sa réussite ou non de l'examen civique, les données sont sauvegardées dans des bases de données. Ces données au repos doivent être chiffrées à l'aide d'un algorithme de chiffrement robuste (a minima AES256 avec une taille de clef de 256 bits).
[34] Ces données sauvegardées sont conservées pour une durée de rétention de 3 ans.
[35] Une fois le délai de rétention de sauvegarde dépassé, les données seront archivées avec une durée de rétention de 5 ans.
[36] Les sauvegardes doivent être testées et restaurées pour en assurer le bon fonctionnement. Dans le cas d'un hébergement cloud, des snapshots des machines virtuelles doivent être effectués et la restauration des snapshots doit être testée.
[37] Une analyse d'impact sur la protection des données (AIPD) doit être réalisée par l'organisme conformément aux dispositions règlementaires en vigueur, décrivant les mesures de protection des données personnelles mises en place par l'organisme pour garantir la confidentialité, l'intégrité et la sécurité des données à caractère personnel traitées dans le cadre de ses activités.
[38] L'organisme doit fournir aux personnes concernées, conformément à l'article 13 du RGPD, une information claire, transparente et accessible sur le traitement de leurs données à caractère personnel.
Cette information précise notamment :
- les finalités du traitement ;
- la ou les bases légales ;
- les catégories de destinataires ;
- la durée de conservation ou les critères permettant de la déterminer ;
- les droits des personnes concernées et les modalités pour les exercer.
3.10. Attestation
[39] Afin d'assurer l'authenticité et l'intégrité de l'attestation, l'organisme s'engage à obtenir un certificat qualifié conforme au système d'authentification des documents imprimés mis en place par le ministère de l'intérieur.
Dans l'attente de la mise en place, par le ministre de l'intérieur, d'un système d'authentification des documents imprimés, l'organisme agréé met à disposition une plateforme en ligne permettant l'authentification des attestations de réussite ou tout autre dispositif assurant la vérification de leur authenticité par les services du ministère de l'intérieur.
3.11. Protection des horodatages
[40] Mise en œuvre d'une source de temps fiable ainsi que d'un dispositif de génération des horodatages non manipulable.
[41] Traçabilité de l'ensemble des accès au dispositif d'horodatage et des actions réalisées par les acteurs autorisés.
[42] Rapatriement temps réel des traces d'administration du dispositif d'horodatage sur un dispositif centralisé administré de manière spécifique.
[43] Procédure formelle (a minima hebdomadaire) d'exploitation des traces d'administration du dispositif d'horodatage.
[44] Notifier sans délai au ministère tout incident touchant à la fonction d'horodatage.
[45] Garantir le maintien des ressources suffisantes permettant l'assurance d'une pérennité du service d'horodatage.
3.12. Sécurité de l'exploitation
[46] Procédures formelles d'administration des ressources logicielles et matérielles permettant de délivrer les services.
[47] Supervision/surveillance des ressources logicielles et matérielles permettant de délivrer les services.
[48] Procédure formelle de réaction aux alertes générées par la supervision/surveillance des ressources logicielles et matérielles permettant de délivrer les services en cas de panne/dysfonctionnement d'un composant.
3.13. Sécurité des études & développements
[49] Séparation effective des rôles relatifs au développement, à la recette, à la livraison ainsi que des données des différents environnements.
[50] Organisation/Environnement de développement « à l'état de l'art », conformément au guide de l'ANSSI « Les Essentiels de l'ANSSI - DevSecOps », notamment :
- gestion des versions ;
- procédures formelles de développement, dans le respect des meilleures pratiques de qualité - Recours à un outillage de contrôle qualité ;
- procédures formelles de codage sécurisé, dans le respect des meilleures pratiques.
[51] Procédure formelle de recette technique et fonctionnelle des composants logiciels entrant dans le périmètre du SI.
[52] Mise en œuvre d'une revue de code finale en phase de recette, intégrant les problématiques de sécurité informatique.
[53] Procédure formelle de livraison des composants logiciels entrant dans le périmètre du SI incluant un contrôle de conformité/intégrité avant déploiement.
[54] Présence d'un mécanisme de rollback permettant de revenir à une version antérieure lorsqu'une nouvelle version présente un problème technique.
3.14. Algorithmes de sélection de questions pour l'épreuve
[55] Les algorithmes doivent sélectionner le bon nombre de questions dans chaque catégorie conformément à l'annexe VI du présent document.
[56] La sélection des questions doit disposer d'un niveau d'aléa satisfaisant permettant :
- d'éviter la prévisibilité : deux candidats (ou le même candidat à deux sessions différentes) ne doivent pas systématiquement avoir exactement les mêmes questions ;
- d'assurer l'équité : tous les candidats doivent avoir des épreuves de difficulté comparable, mais composées d'ensembles différents de questions.
3.15. Transmission de la banque de questions aux organismes
[57] Afin de transmettre aux organismes l'ensemble de la banque de questions et les réponses associées, des conteneurs chiffrés zed (outil de chiffrement de la société PRIM'X utilisé par le ministère de l'intérieur) avec une sécurisation par mot de passe seront utilisés. Les mots de passe permettant l'ouverture des conteneurs seront transmis par SMS, aux personnes des organismes concernés et ayant besoin d'en avoir connaissance.
[58] Les mots de passe utilisés doivent être suffisamment robustes. Ils doivent par conséquent respecter les recommandations et bonnes pratiques de l'ANSSI.
[59] Une liste exhaustive des personnes qui recevront les conteneurs chiffrés et les mots de passe doit être rédigée pour chaque organisme. Cette liste doit être revue et validée a minima trimestriellement.
3.16. Exigences pour les candidats en situation de handicap
[60] Les candidats justifiant à l'aide d'un certificat médical une situation de handicap sont autorisés à avoir un tiers-temps supplémentaire afin de réaliser l'examen.
[61] En fonction du type de handicap, une version adaptée du test doit être proposée. Cette version adaptée peut inclure la présence d'un assistant humain.
[62] Dans les cas d'une personne mal voyante, une version adaptée du test avec un système audio et non visuel sera proposée.
[63] Il doit être possible d'adapter les couleurs de l'écran du support d'examen ainsi que de faire un zoom sur les images.
3.17. Autres acteurs liés à l'examen civique
[64] Les organismes agréés sont tenus de prendre les mesures nécessaires pour que les centres d'examen et leurs sous-traitants respectent les exigences qui relèvent de leur responsabilité.