Entité | Entité existante au sein de l’université, de ses composantes, services communs et services centraux pour l’accomplissement de ses missions. Exemples : laboratoires, départements ou filières d’enseignement, services administratifs ou techniques, etc. |
Utilisateur |
Toute personne / individu ayant accès ou utilisant les ressources du système d’information de l’université d’Orléans, quel que soit son statut, en particulier :
|
Ressources du Système d’information |
Ensemble des ressources techniques, applicatives, organisationnelles, humaines et documentaires permettant de collecter, stocker, traiter, rechercher et/ou transmettre des données, en particulier :
|
Journaux informatiques | Informations qu'une ressource du système d’information enregistre sur l'activité ou l'identité de ses utilisateurs. |
Le fonctionnement de l'établissement passe par l'utilisation de systèmes d'information et de moyens de communications qui s'appuient sur des réseaux connectés à l'échelle mondiale. Ces réseaux, qui apportent une souplesse inégalée, ont également une vulnérabilité intrinsèque, et leur utilisation engage la responsabilité personnelle des utilisateurs, ainsi que dans certaines situations celle de l'établissement qui met ces moyens à leur disposition en tant qu'outils de travail.
L'utilisation des nouvelles technologies de communication pose le problème de la protection d’une part de l'information sensible 1 gérée par les utilisateurs et d’autre part des systèmes d’information sous la responsabilité de l’établissement. Les mesures mises en œuvre doivent permettre à l'établissement de remplir ses missions tout en satisfaisant aux exigences qui sont imposées par ses engagements vis-à-vis de ses partenaires, des réglementations sur la protection des données sensibles et la protection du patrimoine scientifique, des lois et règlements applicables (voir charte informatique) et en particulier de la loi sur la protection des données à caractère personnel (respect des droits de l’individu) et la sécurité des systèmes d’information.
Une déontologie et un contrôle de l'utilisation sont donc nécessaires, de même qu’une information et une sensibilisation des utilisateurs. L'établissement a mis en place des dispositions et moyens pour assurer la sécurité et le contrôle de l'utilisation des moyens informatiques, et d'autre part a fixé les conditions d'utilisation de ces moyens, afin de garantir les droits individuels de chaque utilisateur.
1 Informations sensibles au sens où la confidentialité (contrat, données de recherche, information nominatives, ..), l’intégrité (informations de gestion,...) et la disponibilité nécessitent une protection particulière.
Une maîtrise de la fiabilité et de la sécurité du fonctionnement des systèmes d’information et une garantie de la légalité des transactions opérées nécessitent un contrôle s’appuyant nécessairement sur l’enregistrement systématique et temporaire d’un certain nombre d’informations caractérisant chaque transaction, appelées journaux informatiques (ou logues).
Les traitements de ces journaux informatiques ont pour finalités :
Les finalités précitées imposent d’aller au-delà d’un enregistrement et d’une exploitation de données statistiques. Ils impliquent nécessairement l’enregistrement, la conservation temporaire et l’éventuelle exploitation de données à caractère personnel, dans la mesure où des éléments contenus dans les traces permettraient de remonter à l’ utilisateur.
Ces journaux et leur traitement doivent respecter les droits de chacun et notamment être conformes à la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004 dite loi “Informatique et libertés”. Ils doivent avoir satisfait au principe d’information préalable et de transparence ainsi qu'au régime déclaratif en vigueur auprès de la CNIL. 2
La durée de conservation des journaux informatiques est de 1 an maximum. L'établissement s'interdit de les exploiter au-delà de 3 mois sauf sur réquisition officielle ou sous une forme rendue anonyme.
Les informations journalisées doivent être factuelles et contextuelles, c’est à dire qu’elles doivent permettre de connaître l’environnement de la collecte, le système hôte, les logiciels mis en œuvre etc. L’heure relevée est une information importante parce qu’elle est souvent le premier élément utilisé pour rapprocher des journaux de différents serveurs. Il est donc indispensable que les machines produisant des logues soient synchronisées sur un serveur de temps.
D’éventuelles interruptions de la journalisation doivent être repérables par les destinataires de ces données.
Les journaux contenant des données à caractère personnel doivent être identifiés dans le but de garantir leur suppression au-delà d'une année.
Dans le cas d’une exploitation des journaux informatiques anonymisés, une copie anonymisée des logs est effectuée. L’anonymisation est réalisée dans le respect des règles de l’art, elle est irréversible. On se réfèrera en particulier à l’expertise 3 publiée par la Commission Nationale Informatiques et Libertés (CNIL) dans ce domaine.
2 Voir la fiche pratique relative au contrôle de l'utilisation des moyens informatiques dans le Guide pratique Informatique et Libertés” pour l'enseignement supérieur et la recherche (ce guide est disponible sur le site de la CNIL et celui de l'AMUE)
3 http://www.cnil.fr/fileadmin/documents/Guides_pratiques/Livrets/securite...
Tous les utilisateurs, tel qu’ils sont définis en introduction de ce document, sont tenus de respecter la charte informatique en vigueur dans l’établissement.
En dehors des acteurs de la chaîne fonctionnelle rappelée ci-dessous, personne n’a de droit d’accès aux journaux informatiques comportant des données à caractère personnel, y compris la chaîne hiérarchique. Ils sont tenus au devoir de réserve ou de discrétion professionnelle, voire au secret professionnel.
4.1.1 - Les administrateurs systèmes et réseau
Ils sont chargés de la mise en œuvre et de la surveillance générale des systèmes et du réseau et veillent au respect des règles de sécurité des systèmes d’information. À ce titre, ils gèrent les traces dans le respect des obligations générales de leur fonction.
Ils rapportent au RSSI (rssi@univ-orleans.fr) toute anomalie de fonctionnement ou tout incident pouvant laisser supposer une intrusion ou une tentative d’intrusion sur les systèmes ou le réseau.
Ils acceptent d’exécuter des traitements ou de fournir des informations pouvant inclure des données à caractère personnel uniquement à la demande de la chaîne fonctionnelle de sécurité.
4.1.2 - Les autres acteurs de la chaîne fonctionnelle SSI :
Ils sont également tenus au devoir de discrétion professionnelle, et dans certains cas de secret professionnel en fonction de leur mission.
Pour chaque tentative de connexion, d’ouverture de session de travail ou de demande d'augmentation de ses droits, tout ou partie des informations suivantes peuvent être enregistrées automatiquement par les mécanismes de journalisation du service :
Le choix d’une politique de centralisation des journaux informatiques des serveurs (hors messagerie et web) et des postes de travail pourra être mis en place.
Les serveurs hébergeant ces services mis en œuvre au sein de l’établissement enregistrent pour chaque message émis ou reçu tout ou partie des informations suivantes :
Les éléments de contenu des messages ne sont pas journalisés, néanmoins, les applications peuvent inclure des archives qui ne relèvent pas des journaux informatiques (chrono départ et réception).
On distingue les serveurs web exploités au sein de l’établissement de ceux situés en dehors de l’établissement
5.3.1 - Serveurs Web de l'établissement
Pour chaque connexion les serveurs Web enregistrent tout ou partie des informations suivantes en fonction des exigences de qualité de service et de sécurité de l’application web :
5.3.2 - Serveurs Web hors établissement
Lorsque les utilisateurs sont des membres de l'établissement, pour chaque accès web via le réseau interne vers des serveurs externes peuvent être enregistrées tout ou partie des informations suivantes :
L'article L.34-1 du code des postes et des communications électroniques précise que les opérateurs de communications électroniques sont tenus à une obligation de conservation des données de connexion mais que celles-ci "ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications ". Cette interdiction s'applique donc en particulier à l'URL des pages consultées dans le cas où l'établissement offre des accès internet à des personnes extérieures à l'établissement. En effet, il est alors possible d'assimiler le service réseau de l'établissement à celui d'un opérateur de communications électroniques.
L’usage de la téléphonie sur IP peut engendrer des enjeux spécifiques dans le domaine de la sécurité ou dans celui du contrôle du bon fonctionnement des réseaux, mais bien entendu, les principes relatifs à la loi « Informatique et Libertés » s’appliquent à la téléphonie sur IP comme aux autres systèmes de téléphonie.
Lorsque des relevés justificatifs des numéros de téléphone appelés sont établis, les quatre derniers chiffres de ces numéros sont occultés. Cependant, l’établissement peut éditer des relevés contenant l’intégralité des numéros appelés dans le cas où il demande aux personnels le remboursement du coût des communications personnelles ou dans celui où il a été constaté une utilisation manifestement anormale.
Le régime déclaratif de ces journaux fait l’objet de la norme simplifiée n° 47 relative à l’utilisation de services de téléphonie fixe ou mobile sur les lieux de travail. En outre, la fiche pratique n°11 du guide « informatique et libertés » pour l’enseignement supérieur et la recherche4 intitulée « Utilisation du téléphone sur le lieu de travail » détaille ce cas.
On appelle « équipements réseau » les routeurs, pare-feu, commutateurs, bornes d’accès, équipement de métrologie et d’administration de réseau, etc. Pour chaque paquet qui traverse l’équipement tout ou partie des informations suivantes peuvent être collectées :
On entend par «applications spécifiques», toute application autre que celles mentionnées ci-dessus qui nécessite pour des raisons de comptabilité, de gestion, de sécurité ou de développement, l’enregistrement de certains paramètres de connexion et d’utilisation.
Parmi ces applications nous pouvons citer les exemples suivants :
Comme dans le cas des serveurs web internes, des journaux génériques sont susceptibles d'être constitués et tout ou partie des informations suivantes peuvent être collectées :
Le traitement des journaux décrit ici ne couvre pas l'ensemble des données conservées par ces applications qui de par leur nature peuvent historiser certaines transactions. Il est rappelé que si ces données visant à assurer la traçabilité des opérations ont un caractère personnel, elles sont alors soumises aux obligations de la loi Informatique et Libertés (déclaration auprès du CIL de l’établissement) 5.
4 http://www.cnil.fr/fileadmin/documents/Guides_pratiques/Guide_AMUE_2011.pdf
5 Le Correspondant Informatique et Libertés a été introduit en 2004 avec la réforme de la loi informatique et libertés. Sa désignation permet d’être exonéré de l’obligation de déclaration préalable des traitements ordinaires et courants. Seuls les traitements identifiés comme sensibles dans la loi demeurent soumis à autorisations et continuent à faire l’objet de formalités. Il a un rôle de conseil et suivi dans la légalité de déploiement des projets informatiques et, plus largement, de la gestion de données à caractère personnel.
Les traitements effectués doivent permettre d’obtenir des journaux qui répondent aux principes de base énoncés précédemment, tout en restant conformes aux obligations légales sur la protection des données à caractère personnel et de la vie privée.
Ceux-ci sont effectués automatiquement et permettent de contrôler les volumes d’utilisation des moyens mis à la disposition des utilisateurs en tant qu’outil de travail. Lors de l’exploitation de ces résultats on s’attachera à distinguer les résultats anonymes de ceux qui peuvent être rapprochés de l’identité d’une personne. Parmi tous ces traitements on trouvera :
Les résultats « anonymes » peuvent être conservés au-delà des délais mentionnés au paragraphe 3.2 et être diffusés sur des sites Internet accessibles à tous. Par contre, les administrateurs systèmes et réseau limitent l'accès aux résultats contenant des données à caractère personnel à eux-mêmes et éventuellement à la chaîne fonctionnelle SSI. La durée de conservation de ces statistiques non anonymisées ne peut excéder celle des journaux utilisés pour produire ces statistiques.
Une analyse systématique des traces peut être mise en place, avec l’autorisation du RSSI, afin de pouvoir détecter, dans les meilleurs délais, les incidents relatifs à la sécurité des systèmes d’information.
En cas d’incident, des analyses peuvent être faites par les administrateurs systèmes et réseau sur les traces disponibles. Les résultats ne peuvent être transmis qu'à la chaîne fonctionnelle SSI et au CERT-Renater ou CERTA pour les incidents de sécurité.
Dans ce cas, l’accès aux journaux est limité aux exploitants des systèmes en charge d’analyser l’incident et au RSSI. L’extraction de l’information et son utilisation sont strictement limitées à l’analyse de l’incident. Si l’incident n’est pas avéré les résultats sont non transmis et immédiatement détruits.
On entend ici par « usages abusifs » les usages du réseau qui sont contraires aux lois ou à la charte informatique.
Sont aussi visés les usages qui compromettent les services du réseau de l’établissement tels que :
Sont aussi visés les usages qui nuisent au bon fonctionnement de l’établissement, même provenant de l’extérieurs tels que :
Les journaux peuvent être exploités pour mettre en évidence ces abus. Par exemple, des classements des machines ayant consommé le plus de réseau en volume transféré et en nombre de connexions permettent souvent de détecter l’utilisation indésirable de protocoles de peer to peer ou la présence de serveurs pirates. Se référer à la fiche pratique « Contrôle de l'utilisation des moyens informatiques » du guide pratique « Informatique et Libertés » pour l'enseignement supérieur et la recherche. (Ce guide est disponible sur le site de la CNIL et celui de l'AMUE).
Quand ils sont mis en œuvre, ces traitements le sont de façon systématique (ils sont appliqués à toutes les machines du réseau de l’établissement ou d’une partie donnée du réseau) et ne ciblent aucune personne ou catégorie de personnes.
Ceux-ci permettent de replacer une action particulière dans son contexte, à des fins d’enquête. Dès l’apparition d’un incident, les journaux bruts pourront être requis par la chaîne fonctionnelle SSI.
Les administrateurs systèmes et réseau sont chargés de l’application de la requête, et ils sont, pour cette activité, soumis au secret professionnel.
Les journaux bruts sont remis, à sa requête à l’autorité judiciaire afin de lui permettre de poursuivre une enquête.
Chaque agent peut demander à consulter les traces qui le concernent. Les demandes doivent être faites par écrit auprès du CIL ou du président de l’université. Conformément à l’article 39 de la loi « informatique et libertés » du 6 janvier 1978 modifiée et à l’article 92 décret du 20 octobre 2005 modifié en 2007, pris pour l’application de la loi précitée, les personnes souhaitant exercer leur droit d’accès doivent justifier de leur identité.
La recherche est faite par l’administrateur, sur demande de sa hiérarchie, et les résultats sont transmis directement à l’utilisateur demandeur, sous la forme d’un «courrier personnel».
L’établissement doit informer ses utilisateurs de la gestion qui est faite des traces qui les concernent.
A cet effet, le présent document sera joint à la charte informatique de l'établissement. Il sera rendu accessible à tout utilisateur par le réseau et notamment :
Le présent document annule et remplace tous les autres documents ou chartes relatifs à la gestion des journaux informatiques.
La présente politique de gestion des journaux informatiques à l’université d’Orléans a été validée par le conseil d’administration de l’université d’Orléans le 29/01/2016 et est applicable à compter de ce jour.