La politique de sécurité du système d'information est une évolution de la précédente politique de sécurité informatique, datant de 2001. Elle la complète par la prise en compte de la sécurité de l'information dans le contexte du système d'information de l'institution.. La diffusion d'informations sensibles ou confidentielles devant être considérée non seulement lorsqu'elles sont sous forme électronique mais également lorsqu'elles sont matérialisées ou reproduites, sous forme papier par exemple.

De cette politique découlent des règles qui peuvent être précisées en termes d'instructions.

L'approbation de la politique de sécurité du système d'information incombe au Rectorat alors que la validation des règles et des instructions qui en découlent, revient à la Direction des TIC (Technologies de l'Information et de la Communication) sous réserve des compétences de la Commission LIPAD en matière de protection des données personnelles.

L'utilisation des ressources informatiques mises à disposition par l'Université de Genève entraîne l'acceptation des dispositions de la politique de sécurité du système d'information, des règles et des instructions.

1.1 Objectifs

L'Université de Genève considère que la protection des informations et des ressources informatiques sous sa responsabilité est une nécessité. La mise en place de mesures de sécurité cohérentes et efficaces constitue un souci prioritaire du Rectorat et des services. Ces mesures ont pour but de:

• protéger les systèmes informatiques (matériel et logiciel) et les informations, notamment les données personnelles;
• assurer le respect de la législation relative à l'utilisation des ressources informatiques et au traitement de l'information;
• réduire l'impact financier et opérationnel à un niveau acceptable en cas de sinistre.

Dans ce contexte, elle définit une politique de sécurité du système d'information qui sert de base à la définition de directives (règles) et de mesures techniques et organisationnelles (instructions).

 
1.2 Champ d'application

La présente politique s'applique à:

• tout système informatique traitant des données de l'Université de Genève, indépendamment de sa localisation, ou tout système informatique connecté sur son réseau et/ou utilisé dans ses locaux;
• toute donnée saisie, traitée ou conservée à l'aide des systèmes définis ci-dessus.

Elle doit être respectée par:

• le personnel régulier et occasionnel de l'Université de Genève;
• les étudiants et les utilisateurs de services institutionnels mis à disposition de la collectivité;
• les partenaires externes appelés à utiliser les systèmes informatiques installés à l'Université ou à traiter l'information de l'Université soit, par ex., les consultants, auditeurs, sous-traitants.

 
1.3 Gestion de la politique de sécurité du système d'information

1.3.a Adaptations

La présente politique sera revue périodiquement, au minimum annuellement, et adaptée pour répondre aux besoins nouveaux en fonction des changements de:

• l'environnement ;
• l'organisation interne ;
• la législation en vigueur.

Toute modification à la présente politique doit être approuvée par le Rectorat sur recommandation de la Direction des TIC en concertation avec la Commission LIPAD si la modification peut avoir une influence sur la protection des données personnelles.

1.3.b Exceptions

Les exceptions à cette politique, aux règles et aux instructions de sécurité seront considérées de manière individuelle après analyse de leur incidence sur le système d'information. Chaque exception devra faire l'objet d'une information systématique au RSSI, être validée au niveau adéquat et dûment répertoriée.

1.3.c Distribution

La politique de sécurité de l'information, les règles et les instructions publiques (non sensibles) doivent être accessibles à toute personne concernée, telle que définie sous le point Champ d'application.

 

1.3.d Autorité

L'application de la politique de sécurité du système d'information, des règles et des instructions relève de la Direction des TIC, qui s'appuie dans cette fonction sur le Responsable de la sécurité du système d'information ainsi que sur le Responsable de la sécurité informatique pour les aspects opérationnels.

Toute violation de la présente politique, des règles et des instructions qui en découlent sera dénoncée.

2.1 Critères de sécurité

La sécurité peut s'évaluer suivant plusieurs critères :

• Disponibilité : garantie que les éléments considérés sont accessibles au moment voulu par les personnes autorisées.
• Intégrité : garantie que les éléments considérés sont exacts et complets.
• Confidentialité : garantie que seules les personnes autorisées ont accès aux éléments considérés.
• Traçabilité : garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et que ces traces sont normalement conservées et exploitables.

2.2 Analyse des vulnérabilités

L'identification et l'analyse des vulnérabilités susceptibles d'affecter le niveau de disponibilité, d'intégrité et de confidentialité des éléments considérés, sert à la définition des moyens de sécurité adaptés à la protection des ressources informatiques et des informations sensibles.

2.3 Classification des informations

Les moyens de sécurité seront adaptés en fonction de la sensibilité des informations, qui peuvent être classées dans l'une des catégories suivantes :

• Ultra-confidentielle (secrète)
  Informations dont la diffusion est strictement limitée à un ensemble bien défini de personnes identifiées qui veillent à les conserver et à les protéger de tout accès non-autorisé.

• Confidentielle
  Informations que l'Université doit protéger en vertu d'une loi, d'un règlement, d'un contrat, d'une entente de confidentialité ou qui ont une valeur stratégique.

• Sensible
  Informations dont l'accès est limité à la communauté universitaire ou à un sous-ensemble de celle-ci.

• Publique
  Informations du domaine public n'ayant pas de valeur stratégique et ne nécessitant pas de mesures de protection particulières à l'exception du maintien de son intégrité.

2.4 Niveau de sensibilité des systèmes

Chaque système informatique se voit attribuer un niveau de sensibilité. Ce dernier est déterminé en fonction du degré de sensibilité ou de confidentialité des données stockées et traitées :

• Niveau III = Systèmes très sensibles avec stockage et/ou traitement d'informations confidentielles.
• Niveau II = Systèmes sensibles avec stockage et/ou traitement d'informations sensibles.
• Niveau I = Autres systèmes dont les informations ne nécessitent pas de protections particulières.

La création, la modification et la consultation d'informations ultra-confidentielles se fera impérativement sur des postes de travail sûrs, dotés d'applications capables de les protéger par chiffrement avant leur stockage ou envoi sur le système d'information. Seules les informations ultra-confidentielles chiffrées pourront transiter par ou être stockées sur les systèmes.

2.5 Réseau de l'Université

Infrastructure permettant l'interconnexion des machines constituant le système d'information de l'Université, délimité par des équipements directement connectés au réseau de SWITCH ou des partenaires de l'Université.

2.6 Maître du fichier

Personne responsable de la collecte et de l'exploitation d'un ensemble structuré de données (fichiers), qui délivre les autorisations d'accès aux informations, qui les classe dans l'une des catégories définies sous "Classification des informations" et qui veille à leur intégrité.

Dans le cas où le fichier contient des données personnelles, les Directives LIPAD de l'Université s'appliquent.

2.7 Privilège minimum

Notion impliquant l'attribution des ressources minimales nécessaires à l'accomplissement d'une tâche donnée.

3.1 Principes généraux

Les aspects de sécurité informatique doivent être pris en compte à chaque étape du cycle de vie du système d'information, soit lors de :

• sa conception;
• sa gestion;
• son utilisation;
• sa fin d'exploitation.

3.1.a Gestion des informations

Chaque information est sous la responsabilité d'une personne déterminée (le maître du fichier) qui la classe dans l'une des catégories du point "Classification des informations". En vertu de cette classification, un niveau de sensibilité est octroyé aux systèmes utilisés pour traiter et stocker ces informations. Les mécanismes de sécurité à mettre en place découlent du niveau de sensibilité attribué et doivent également couvrir les reproductions des informations sur d'autres types de médias. Les reproductions contenant des informations sensibles ou confidentielles doivent avoir une durée de vie limitée et être détruites lorsque celle-ci est atteinte.

3.1.b Gestion des fichiers

Tout fichier doit être placé sous la responsabilité d'un maître du fichier. Si le fichier contient des données personnelles au sens de la LIPAD, le maître du fichier en fera la déclaration auprès de la commission LIPAD et du RSSI, et veillera à l'application des Directives LIPAD de l'Université.

3.1.c Gestion des systèmes

Tout système ou application doit être placé sous la responsabilité d'un administrateur du système ou de l'application qui veillera à son bon fonctionnement et le documentera dans l'application de cartographie du Système d'Information (SI).

Afin d'être en mesure de reprendre l'activité après un incident majeur, l'administrateur emploiera les ressources appropriées pour effectuer les sauvegardes des systèmes placés sous sa responsabilité, qui devront bénéficier, au minimum, des mêmes mesures de sécurité que les informations originales.

3.2 Rôles et responsabilités

Rectorat

• Approuve la présente politique de sécurité du système d'information et ses modifications;
• Valide les exceptions à la politique de sécurité du système d'information.

Direction des TIC

• Préavise les exceptions à la politique de sécurité du système d'information et les soumet au Rectorat pour validation;
• Soumet les modifications de la politique de sécurité du système d'information au Rectorat en concertation avec la commission LIPAD si nécessaire (1.3a).

Responsable de la sécurité du système d'information

• S'assure de l'application de la présente politique de sécurité du système d'information par des activités de contrôle;
• Propose la mise à jour de la politique de sécurité du système d'information lors de changements organisationnels et/ou juridiques ;
• Emet les règles et les instructions découlant de la politique de sécurité du système d'information et contrôle leur bonne application ;
• Reçoit les déclarations de création de fichiers et s'assure qu'un maître du fichier soit désigné.
• Communique les incidents de sécurité à sa hiérarchie ;
• Coopère avec d'autres responsables et organismes de sécurité du système d'information.

Responsable sécurité informatique

• Définit l'architecture de sécurité et les mécanismes à mettre en œuvre pour les systèmes en fonction du niveau de sensibilité, des menaces et des vulnérabilités;
• Traite les aspects opérationnels de la sécurité informatique, notamment le contrôle du bon fonctionnement des mécanismes de sécurité physique et logique mis en place;
• Supervise les enquêtes techniques sur demande de l'autorité compétente;
• Communique les incidents de sécurité à sa hiérarchie;
• Coopère avec d'autres responsables et organismes de sécurité informatique.

Développeur / concepteur

• Est responsable de la conception et de la mise en œuvre des mesures de sécurité au niveau applicatif;
• Effectue un support à l'analyse des vulnérabilités;
• Applique les mesures de sécurité découlant de la présente politique, des règles et des instructions;
• Applique les mesures correctives.

Administrateur de systèmes et de bases de données, ingénieur système

• Est responsable de la conception et de la mise en œuvre des mesures de sécurité au niveau système;
• Administre les mesures de sécurité;
• Surveille les systèmes et communique les incidents de sécurité au Responsable sécurité informatique;
• Applique les mesures correctives;
• Conduit les enquêtes sous la supervision du Responsable sécurité informatique.

Maître du fichier

• Effectue la classification des informations;
• Valide la conception de la sécurité des systèmes et des applications traitant les données sous sa responsabilité;
• Autorise l'accès des utilisateurs aux systèmes et aux données;
• Veille à appliquer et faire appliquer les Directives LIPAD pour les fichiers qui sont sous sa responsabilité et contenant des données personnelles, et de manière plus générale, toutes lois et directives en vigueur auxquelles les données sont soumises.
• Informe le RSSI lors de la création de fichier et la Commission LIPAD si nécessaire

Utilisateur

• Est responsable de l'utilisation du système, des informations qu'il accède et, le cas échéant, qu'il reproduit.

Contrôleur / Auditeur

• Effectue des travaux de contrôle indépendants sur mandat de l'autorité compétente;

• Emet une opinion indépendante sur l'efficacité des mesures de sécurité mises en place et de leur respect.

3.3 Conception et installation de systèmes et applications

3.3.a Fichiers contenant des données personnelles

Selon la Loi sur l’information du public, l’accès aux documents et la protection des données personnelles A 2 08, toute création ou exploitation et toute transmission ou consultation de fichier contenant des données personnelles non-éphémères, doit être enregistrée auprès de la commission LIPAD et auprès du Préposé cantonal (voir  Directives LIPAD).

3.3.b Moyens de sécurité

Les moyens de sécurité mis en œuvre doivent être adaptés au niveau de sensibilité / confidentialité des informations et aux exigences légales en fonction des:

• menaces internes;
• menaces externes: attaques externes, utilisation des ressources de l'Université à des fins de piratage informatique et de dénis de services.
• vulnérabilités identifiées lors de l'analyse de vulnérabilité.

3.3.c Nouveaux systèmes et applications

Les nouveaux systèmes intégrés dans le système d'information de l'Université doivent être fiables et ne pas comporter de faille de sécurité connue. Des mécanismes de contrôles informatisés tels l'autorisation, la saisie, l'exception, l'intégralité, l'exactitude, la répudiation, la journalisation, doivent être mis en œuvre au niveau des applications et des systèmes de manière à assurer l'intégrité et la confidentialité des données.

Les systèmes connectés au réseau de l'Université doivent au moins satisfaire aux contraintes techniques définies pour les systèmes de niveau de sensibilité I.

3.3.d Modification des systèmes

Toute modification d'un système ou d'une application doit être réalisée sans compromettre les critères et mesures de sécurité.

3.4 Gestion des systèmes et applications

3.4.a Mesures de sécurité physique

Les systèmes sensibles de niveau II et III, doivent être physiquement protégés contre des dégâts naturels par des systèmes de prévention et de détection, et leur accès doit être limité aux seules personnes habilitées.

Des équipements physiques appropriés filtrent les accès aux systèmes sensibles de niveau II et III connectés au réseau de l'Université.

3.4.b Octroi des accès logiques
Les accès aux ressources et données informatiques de l'Université doivent être formellement autorisés par le maître du fichier. L'infrastructure informatique doit offrir des mécanismes d'authentification, de filtrage et de chiffrement afin que seules les personnes autorisées puissent accéder aux informations et aux systèmes qui leurs sont destinés.
Les accès aux ressources par des organisations externes telles que les HUG, l'Etat de Genève, la Ville de Genève, ou tout autre institution partenaire doivent être autorisés par l'autorité compétente et répondre au règlement SWITCH, (voir le point 4.2) ainsi qu'aux règles de sécurité de l'Université.

L'accès par des organisations extérieures à tout fichier contenant des données personnelles doit être conforme à la législation en vigueur.

Seuls les accès aux systèmes et informations nécessaires pour assumer les responsabilités des utilisateurs, informaticiens et partenaires seront octroyés selon la notion du privilège minimum.

Les accès octroyés doivent être revus de manière périodique. Les droits, leurs modifications et les violations doivent être enregistrés.

3.4.c Authentification des utilisateurs

Des mécanismes de gestion des accès aux systèmes et aux informations doivent permettre d'authentifier les utilisateurs et de les identifier clairement au niveau de chaque session.

3.4.d Disponibilité des données et des traitements

La disponibilité des données et des traitements doit être assurée, en cas d'incident, par un ensemble de mesures relatives aux:

• informations: sauvegardes;

• systèmes: maintenance, redondance;

• activités d'exploitation: documentation;

• compétences humaines: suppléance, fournisseurs.

La durée d'indisponibilité acceptable, ainsi que leurs conséquences, doivent être définies par les maîtres des fichiers et négociées avec la Division Informatique.

L'archivage et la destruction des informations devront être réalisés de manière autorisée, en respectant le niveau de sensibilité des informations et les exigences légales.

Les fichiers contenant des données personnelles seront traités selon les Directives LIPAD qui imposent notamment, l'obtention d'un agrément de la Commission LIPAD avant toute destruction de données personnelles.

3.4.e Traçage

Les accès et tentatives d'accès aux systèmes et applications sensibles, de niveau II et III, doivent être tracés et conservés, de manière à pouvoir identifier les opérations effectuées et leur auteur. La traçabilité devra être proportionnelle au degré de sensibilité des données.

3.5 Utilisation des systèmes et applications

3.5.a Les utilisateurs

Les utilisateurs des ressources et applications du système d'information doivent être sensibilisés aux contraintes légales, aux moyens de sécurité et à la façon adéquate de s'en servir.
De façon générale, toutes les ressources informatiques mises à disposition de l'utilisateur, lui sont confiées afin de mener à bien ses tâches académiques et administratives. Elles doivent être utilisées pour ce seul usage. Par exception à cette règle, et afin de tenir compte des besoins des utilisateurs, un usage personnel non lucratif limité est toléré à condition qu'il:

• n'entraîne que des coûts minimes pour l'Université;
• ne porte pas atteinte aux intérêts et à l'image de l'Université;
• respecte la législation.

Le traitement et la diffusion d'informations qui portent atteinte à la dignité de la personne, présentent un caractère pornographique, incitent à la haine raciale sont particulièrement dommageables. Ils peuvent engager la responsabilité civile, administrative et pénale de l'auteur de l'acte.

3.5.b La surveillance

L'Université met en œuvre des moyens de surveillance pour :

• identifier et traiter les incidents de sécurité et les dysfonctionnements du SI;
• s'assurer du respect de la politique de sécurité, des règles et des instructions en découlant.

L'Université utilise les systèmes de surveillance et de contrôle pour des raisons de sécurité, de prévention et d'analyse de dysfonctionnement uniquement. Ces dispositions sont communiquées aux utilisateurs, voir la règle Surveillance du SI. L'utilisation de ces systèmes à des fins de surveillance générale et systématique du comportement des utilisateurs est prohibée, sauf sur enquête ouverte par l'autorité compétente.

4.1 Contraintes légales

• Code pénal ; art. 143 : Soustraction de données
• Code pénal ; art. 143bis : Accès indu à un système informatique
• Code pénal ; art. 144bis : Détérioration de données
• Code pénal ; art. 147 : Utilisation frauduleuse d’un ordinateur
• Code pénal ; art. 150 : Obtention frauduleuse d’une prestation
• Code pénal ; art. 173 : Délits contre l’honneur
• Code pénal ; art. 197 : 4. Pornographie
• Loi fédérale complétant le Code civil suisse ; art. 958f : Tenue et conservation des livres
• Loi fédérale sur la protection des données
• Loi fédérale sur le droit d’auteur et les droits voisins
• Loi fédérale sur les brevets d’invention ; art. 9 : Exceptions aux effets du brevet
• Code de procédure pénale suisse
• Loi sur l’université (LU)
• Loi sur l'information du public et l'accès aux documents (LIPAD)

Chaque utilisateur interne et externe à l'Université est responsable de ses actes tant sous l'angle de la responsabilité pénale que civile.

L'Université de Genève prend toutes les mesures nécessaires pour se conformer à la législation en vigueur. En cas de besoin, elle participe à des enquêtes judiciaires.
 

 4.2 Contraintes externes

Le règlement SWITCH qui décrit les obligations des participants au réseau académique Suisse est intégralement applicable à l'Université de Genève.