Tech CareTech Care
À propos de ce guide
Qu’est-ce qu’une ligne d’assistance à la sécurité numérique pour la société civile ?
À propos de ce guide
Comment utiliser ce guide
Ressources complémentaires
Découvrir
1.
Concevoir votre cadre de travail
1.1 Définissez votre public1.2 Analysez les besoins de votre public1.3 Définissez votre mission1.4 Définissez votre structure organisationnelle1.5 Définissez vos services de base1.6 Communiquer avec votre public1.7 Définissez vos politiques
2.
Monter un plan réaliste
2.1 Créez un budget2.2 Décidez des moyens de financer votre CASNSC2.3 Sécurité physique des équipes et du bureau2.4 Sécurité des réseaux2.5 Infrastructure et outils2.6. Gestion d’équipe
3.
Processus de traitement des incidents
3.1 Préparation3.2 Détection et analyse3.3 Endiguement, éradication et récupération3.4 Activité post-incident3.5 Documentation des procédures
4.
Au-delà de votre équipe : réseautage et assurance qualité
4.1 Créer et nourrir votre réseau de partenaires4.2 Dérivations4.3 Partage d’informations sur les menaces4.4 Assurance qualité

Modèle de politique de gestion de l'information de [nom de l’organisation]

1. Classification des informations

[Nom de l'organisation] utilise le protocole de feu tricolore en matière de partage des informations.

Description de la classification des données

  • PUBLIQUE – L’information est considérée comme n’étant pas sensible (autrement dit : elle ne contient pas de données ni de détails personnels sur les collaborations avec des tierces parties et procédures internes) et peut être distribuée à n'importe qui, dans n’importe quel contexte. L’information a vocation à être utilisée publiquement. Il est possible qu’elle ait déjà fait l’objet de rapports ou déclarations ou qu’elle soit disponible pour ce faire.
  • CONFIDENTIELLE – L'information signalée comme confidentielle peut être partagée avec les autres équipes de [nom de l'organisation], ainsi qu’avec des tierces parties de confiance, en cas de nécessité absolue (« need-to-know »), c’est-à-dire uniquement si cette information est le seul moyen de résoudre un cas. Par défaut, l'information est partagée uniquement entre membres des personnels de [nom de l'organisation]. Il ne faut jamais présumer du partage de l'information à des tierces parties : ce type d’information doit leur être partagée uniquement en cas de nécessité absolue, et ces tierces parties devront avoir signé un accord de confidentialité fixant des normes minimales en matière de stockage et conservation des données qui s’alignent sur la politique de conservation de **[nom de l'organisation]** (voir ci-dessous).
  • RESTREINTE : [groupe / entité / liste d’individus] – Toute information qualifiée de restreinte doit également inclure un groupe, une entité ou une liste d’individus auxquel·les elle est restreinte. Lorsque l'information est restreinte à des groupes ou entités, tout membre individuel au sein du groupe ou de l’entité a accès à cette information. L'information restreinte peut également être partagée avec des tierces parties, en cas de nécessité absolue (« need-to-know »). Pour « RESTREINTE : équipe technique de **[nom de l'organisation]** », ces autres parties peuvent être le/la bénéficiaire, ainsi qu’une autre tierce partie ayant besoin d’être impliquée pour résoudre le cas. Certaines informations sont si sensibles qu’elles ne doivent être partagées qu’avec des individus en cas de nécessité absolue. Dans ce cas-là, l'information sera étiquetée comme « RESTREINTE : [liste d’individus] ». Cette information ne doit jamais être partagée avec des groupes, le fait d’être membre de ces groupes ne donne jamais accès aux informations de cette classification. Lorsqu’elle est envoyée par email, seul·es les destinataires de l’email sont considéré·es comme les individus ayant une nécessité absolue d’y avoir accès, et l'information ne doit pas être partagée hors des destinataires nommé·es.
Couleur Classification Portée Exemples
ROUGE RESTREINTE [liste d’individus] Individus nommé·es
  • demandes à caractère légal
  • problèmes de confiance
ORANGE RESTREINTE [entité] Membres de [entité] et tierces parties en cas de nécessité absolue
  • demandes par les bénéficiaires
  • données sur l’historique du cas (ce qui peut inclure des données personnelles nécessaires à la fourniture des services)
  • contacts personnels (si nécessaire et justifié par une demande de la part des membres de l’entité ou les tierces parties)
  • documentation sur l'infrastructure interne
  • documentation sur les procédures internes
VERT CONFIDENTIELLE Membres de [Nom de l'organisation]] ; tierces parties en cas de nécessité absolue
  • renseignement sur les cybermenaces à la société civile
  • documentation sur les remontées et les procédures
BLANC PUBLIQUE Tout le monde
  • recommandations générales de sécurité
  • posts de blog
  • contenu site web
  • posts réseaux sociaux

2. Protection de l'information

  • L’information publique peut être largement distribuée, sous forme par exemple de newsletters, de contenu web, de posts de réseaux sociaux, plateforme de partage des informations sur les logiciels malveillants, etc. L’infrastructure de [nom de l'organisation] hébergeant des informations publiques est renforcée et protégée contre la compromission de l'intégrité de ce genre d’information. Une copie de sécurité est faite de toutes les données publiques pour éviter la perte de ces informations.
  • L’information confidentielle est conservée sur des plateformes qui sont accessibles uniquement par les personnels de [nom de l'organisation] et peut être partagée avec des tierces parties en cas de nécessité absolue. L’accès à ces plateformes est protégé par mot de passe et l’authentification à deux facteurs est requise, dans la mesure du possible. Ce type d’information est également conservé sur des dispositifs de travail avec chiffrement complet du disque. Ce type d’information est transféré uniquement via des canaux de communication chiffrés de bout en bout.
  • Information restreinte
    • **L’information restreinte à des équipes spécifiques de **[nom de l'organisation]**** est conservée uniquement sur des plateformes protégées par mot de passe et sur des dispositifs de travail avec chiffrement complet du disque dur. Ce type d’information est transféré uniquement via des canaux de communication chiffrés de bout en bout.
    • L’information restreinte à des individus est conservée uniquement sur des plateformes protégées par mot de passe et est transférée uniquement via des canaux de communication chiffrés de bout en bout.

Les clés privées GPG des membres des personnels sont uniquement conservées dans leurs ordinateurs avec chiffrement complet du disque ou sur des dispositifs de stockage externes complètement chiffrés. Ces mesures de sécurité mises en place pour la protection de l'information sont des standards minimum et, comme ils évoluent, ils peuvent être amenés à changer à l’avenir.

3. Diffusion de l’information

Information ne devant pas être partagée :

  • L’information entrante restreinte à des individus spécifiques ne sera pas partagée hors des destinataires nommés.

Limites de cette politique :

  • Les informations seront partagées dans le respect des obligations juridiques nationales et internationales, notamment en réponse à des demandes de la part des forces de l’ordre obligeant [nom de l'organisation] à présenter ses dossiers. [Nom de l'organisation] contestera avec vigueur les ordres juridiques ou autres demandes enfreignant les droits humains et exercera tout pouvoir que nous avons à notre disposition pour défendre nos bénéficiaires, partenaires et personnels.

4. Accès à l'information

Les demandes légales de la part des forces de l’ordre, les communications concernant les problèmes de confiance et les autres informations critiques peuvent être étiquetées comme RESTREINTES à des individus et divulguées uniquement en cas de nécessité absolue, jusqu’à ce qu’il soit possible d’abaisser le niveau de confidentialité de cette information.

Modification de la classification des données

Les informations classées comme CONFIDENTIELLES peuvent devenir publiques uniquement après avoir retiré toute information sensible ou après autorisation expresse des individus et des groupes mentionné·es dans l’information. Si l'information est classée comme confidentielle en vue d’accorder une exclusivité dans le droit de publication, elle deviendra automatiquement publique dès qu’elle aura été publiée.

5. Coopération avec d'autres équipes

Cette politique définit le processus suivi par [nom de l'organisation] pour coopérer avec les autres CERT et les équipes de réponse pour la sécurité numérique de la société civile.

  • [Nom de l'organisation] peut partager les informations classées comme « PUBLIQUES » dans tout forum auquel ont accès les CERT ou les équipes de réponse pour la sécurité numérique de la société civile.
  • Si [nom de l'organisation] détermine que la meilleure mesure à prendre au nom du/de la bénéficiaire est de coopérer avec une autre CERT en particulier ou d’une équipe de réponse de sécurité numérique pour la société civile, ces communications et les données qui y sont associées doivent être considérées comme « CONFIDENTIELLES » OU « RESTREINTES : [liste des entités] » (voir « Classification des informations » ci-dessus).
  • Dans de tels cas, [nom de l'organisation] s’assurera de la permission du/de la bénéficiaire afin de résoudre son cas via des services fournis par une autre CERT ou équipe de réponse de sécurité numérique pour la société civile.
    • Dans certains cas, [nom de l'organisation] n’aura pas besoin de la permission du/de la bénéficiaire car elle sera considérée comme acquise, dans les situations suivantes, par exemple :
      • si le/la bénéficiaire a chargé la CERT ou l’équipe de réponse en sécurité numérique à procéder à retirer un hébergeur de contenu de hameçonnage (notez qu’avant de résoudre ce genre de cas, il faudra suivre d’abord nos processus de coordination du renseignement sur les cybermenaces et mener à bien les actions bénéfiques au plus grand nombre de parties intéressées dans telles circonstances) ;
      • récupération ou désactivation du compte (après avoir vérifié et approuvé le bénéficiaire) avec la CERT de la plateforme impliquée ;
      • une plainte pour fermeture, si la fermeture a affecté le grand public.
  • Circonstances où nous avons absolument besoin de la permission du/de la bénéficiaire :
    • désactivation d’un serveur commande et contrôle C&C ;
    • analyse de logiciel malveillant, en particulier lorsqu’un appareil doit être examiné ;
    • contournement de la censure.

6. Conservation des dossiers

Toutes les informations partagées au sein de [nom de l'organisation] sont conservées dans les propres serveurs de [nom de l'organisation], auxquels s’applique la politique suivante :

Politique de conservation

Toutes les informations dans l'infrastructure de [nom de l'organisation], y compris celles concernant les menaces, les demandes de la part des bénéficiaires et des partenaires et la documentation interne, sont conservées aussi longtemps que nécessaire dans les serveurs de l'organisation, dans le but de pouvoir les partager et fournir les services et dans le respect des obligations légales nationales et internationales, y compris la prévention des infractions pénales et l’exécution des actions de droit civil.

À l’exception des informations publiques qui ne sont pas sensibles et n’incluent aucune donnée personnelle, toutes les informations dans l'infrastructure de [nom de l'organisation] sont conservées sur des plateformes protégées par mot de passe et sur des dispositifs de travail avec chiffrement complet du disque. Ce type d’information est transféré uniquement via des canaux de communication chiffrés de bout en bout. Il s’agit là des standards minimum en place, et comme ils évoluent, ils peuvent être amenés à changer à l’avenir.

Politique en cas de violation des données

En cas de violation des données personnelles qui mettra probablement en péril les droits et les libertés des personnes concernées, [nom de l'organisation] devra prévenir lesdites personnes dans les plus brefs délais, et prévenir également l’autorité compétente de supervision, dans les plus brefs délais et le cas échéant, au plus tard 72 heures après avoir pris connaissance de la violation des données et conformément au règlement général de l’UE en matière de protection des données. Lorsqu’elle traite des violations de données de sécurité, [nom de l'organisation] prendra des mesures pour atténuer les dégâts, enquêter, mener des actions correctives et respecter les exigences réglementaires en matière de sécurité de l'information.

7. Processus de destruction des données

Documents physiques

Il faut limiter au minimum l'impression de documents. Les documents imprimés doivent être conservés tant que cela est nécessaire et il est recommandé de ne pas traverser des frontières avec des documents imprimés confidentiels ou restreints.

Les documents papier physiques contenant de l'information CONFIDENTIELLE doivent être détruits dans un destructeur de documents à coupe droite ou croisée, tandis que tout autre document physique contenant des informations RESTREINTES doit être détruit avec un destructeur à croupe croisée.

Dispositifs de stockage

Les disques durs, clés USB et autres dispositifs de stockage portables contenant des informations CONFIDENTIELLES ou RESTREINTES doivent être effacés de façon sécurisée dans un processus d’élimination en un seul passage : données aléatoires (/dev/urandom) avant de les jeter. Les CD à écriture unique doivent être cassés en morceaux ou détruits dans le destructeur avant d’être jetés.

Données numériques

Les fichiers numériques contenant des informations CONFIDENTIELLES peuvent être simplement supprimés, tandis que pour les données RESTREINTES un processus d’effacement minimum doit être appliqué au fichier.

8. Utilisation appropriée des dispositifs de travail

Tou·tes les membres de [nom de l'organisation] s’assurent que les dispositifs à partir desquels ils et elles accèdent à des informations de [nom de l'organisation] sont protégées par chiffrement complet du disque et utilisés avec bon sens, avec des mises à jour régulières du système et du logiciel et autres mesures permettant de prévenir les infections ou les accès non autorisés au système et aux comptes.

9. Politique de communication et de PGP de [nom de l'organisation]

L'information RESTREINTE doit être partagée uniquement avec les autres membres des personnels de [nom de l'organisation] via des canaux au chiffrement élevé, tels que les emails chiffrés par PGP, Signal, ou similaires.

[Nom de l'organisation] soutient les communications chiffrées par PGP et communique via un canal chiffré.

Il est obligatoire pour tou·tes les membres des personnels de [nom de l'organisation] d’utiliser PGP/GnuPG pour le chiffrement de toutes les communications par email avec :

  • les autres membres d’équipe
  • les tierces parties, lors de l’échange d’information confidentielle et restreinte

Il est recommandé que les paires de clés PGP utilisées pour la communication entre membres d’équipes de [nom de l'organisation] et les tierces parties soit configurées de la façon suivante :

  • Algorithme : RSA
  • Longueur de clé : 4096
  • Date d’expiration : 5 ans
  • Clé privée protégée par un mot de passe solide, composé d’au moins 20 caractères, comprenant des majuscules, des minuscules, des chiffres et des symboles, ou une phrase secrète créée avec la méthode diceware (lancer de dés) et composée d’au moins 6 mots

Si un dispositif où se trouvait une clé privée PGP est volé, ou si une paire de clés PGP se retrouve compromise d’une quelconque façon que ce soit, la paire de clés doit être révoquée le plus vite possible et la direction de **[nom de l'organisation]** doit en être avertie.