Procédure de Gestion des Accès Distants

©
 SOMMAIRE

1. OBJET 3

2. DOMAINE D'APPLICATION 3

3. DEFINITIONS & TERMINOLOGIE 3

4. LOGIGRAMME DE LA PROCEDURE DE GESTION DES ACCES DISTANTS 3

5. ANNEXE 1 : LETTRE D’ENGAGEMENT PARTENAIRE 9

6. ANNEXE 2 : FORMULAIRE DE DEMANDE D’ACCÈS PARTENAIRES 11

1. OBJET
Cette procédure a pour objet de préciser les règles d’accès distants des partenaires afin de
mieux protéger le SI de la NOM ENTREPRISE contre les indiscrétions, fuite d’informations,
fraude, sabotage et tout autre événement indésirable.

2. DOMAINE D'APPLICATION
Le périmètre PCI DSS de NOM ENTREPRISE

3. DEFINITIONS & TERMINOLOGIE

Accès distant: Service permettant d’accéder à distance aux ressources informatiques de NOM
ENTREPRISE .
Incident : Tout événement qui ne fait pas partie du fonctionnement normal d’un service et qui
provoque ou peut provoquer une interruption ou une diminution de la qualité de ce service.
Partenaire : Toute entité ne faisant pas partie de NOM ENTREPRISE avec qui il y a lieu de
collaborer sur un projet ou une activité ou une opération ponctuelle à un moment donné
Utilisateur : Personne qui utilise le système d’information de NOM ENTREPRISE . Il s’agit aussi bien
des utilisateurs internes que des utilisateurs externes.

4. LOGIGRAMME DE LA PROCEDURE DE GESTION DES ACCES

DISTANTS
Les partenaires qui demandent des accès au réseau de NOM ENTREPRISE sont connus et ont déjà
eu à travailler avec le NOM ENTREPRISE . Ils le demandent dans le cadre d’un support qu’ils nous
apportent.

©
 Partenaire Responsable Réseaux Responsable Monétique RSSI Référence
Besoin d’accès Demande d’accès Validation
Notification en cas de rejet

Mail de demande Lettre d’engagement Annexe 1

Notification 1 Envoi du formulaire Demande
de renseignement Oui Formulaire de demande d’accès
d’accès partenaire acceptée ?
du formulaire d’accès Annexe 2
Réception du formulaire
dûment rempli
Voir détails à la page 06
Traitement de la demande
Non
Voir détails à la page 06

Non Demande
Mail de refus de acceptée ?
Oui Réception du formulaire
demande d’accès Notification 2 Voir détails à la page 06
du partenaire dûment rempli

Traitement de la demande
Voir détails à la page 07

Mail de demande d’informations complémentaires

Notification 3 Oui Compléme
nt

Non
Mail de refus de demande d’accès du partenaire
Oui
Notification 2 Non Demande Validation
acceptée ?

Réception et contrôle
Mail d’acceptation de demande d’accès du partenaire
Oui
Notification 4 Classement de la demande Demande
acceptée ? Voir détails à la page 07

Voir détails à la page 07

Non
4.1. Demande d'accès partenaire

 Le partenaire demande un accès au Responsable Monétique de NOM ENTREPRISE . La

demande doit notamment inclure :
 Les raisons du besoin d’accès
 La durée de l’accès
 Les coordonnées de la personne qui souhaiterait avoir l’accès
 Le type d’accès souhaité

4.2. Envoi du formulaire d'accès partenaire

 Après validation de la demande par le Responsable Monétique et le RSSI, le Responsable

Monétique envoie le formulaire de demande d’accès en demandant au partenaire de le lui
faire retourner dûment rempli par messagerie électronique.

4.3. Réception du formulaire dûment rempli par le partenaire

 Après avoir rempli le formulaire de demande d’accès aux ressources informatiques de NOM
ENTREPRISE dans le cadre de ses activités professionnelles, le partenaire envoi la
demande par email à destination du Responsable Réseaux.
 Chaque accès, le partenaire doit respecter les exigences et les bonnes pratiques de sécurité
réseaux et SI.

4.4. Traitement de la demande par le Responsable Réseaux

 Dès réception du formulaire de demande d’accès dûment rempli par le partenaire, NOM
ENTREPRISE entame le traitement de la demande conformément à la matrice suivante :

Architecture Opérations Sécurité

Responsable Réseaux et
X
Télécoms

Responsable Monétique X

Responsable Sécurité SI (RSSI) X

 Le traitement consiste à étudier les points suivants :

 La motivation de l’accès
 La durée d’accès
  La sensibilité des ressources pour qui l’accès est demandé
 L’impact de l’accès
 Les différents scénarios d’accès
 Le traitement de la demande sera sanctionné par une acceptation ou un refus qui seront par
la suite communiqués au partenaire et au Responsable Monétique.
 Uniquement les aspects fonctionnels seront analysés dans le cadre du traitement de la
demande par le Responsable Monétique.
 Dans le cas d’un avis favorable, la Responsable Monétique se chargera de transmettre le dit
formulaire au RSSI pour étude.
 Dans le cas d’un avis défavorable, la Responsable Monétique communiquera par messagerie
électronique au partenaire le refus. La procédure prend fin.

4.5. Demande d'accès partenaire

 la Responsable Réseaux reçoit la copie du formulaire dûment rempli par le partenaire et

validé par le Responsable Monétique.
 Elle accuse réception du formulaire et commence aussitôt à traiter la demande.

4.6. Demande d'accès partenaire

 La demande sera traitée par le RSSI

 Si le RSSI estime qu’il y a un manque d’informations, il se charge d’envoyer une demande
d’informations complémentaires au Responsable Monétique et au partenaire.
 Uniquement les aspects techniques seront analysés dans le cadre du traitement de la
demande par le Responsable Réseaux
 En cas d’avis défavorable le partenaire est informé de ce refus. Le Responsable Monétique
en concertation avec le RSSI et éventuellement le partenaire cherchera une solution de
contournement pour pouvoir donner un avis favorable à la demande d’accès.
 En cas d’avis favorable, toutes les dispositions techniques seront prises en charge pour
s’assurer de la sécurité de la connexion à distance qui sera allouée au partenaire.

4.7. Demande d'accès partenaire

 Le RSSI reçoit la copie du formulaire du Responsable Monétique. Si le formulaire est

conforme, les droits d'accès sont enregistrés. Ils seront effectifs sous 24 heures.

©
  La Responsable Réseaux envoie un message standard au demandeur, en copie le
Responsable Monétique et le RSSI, pour information et archive de la demande.
 Le partenaire est informé de l'enregistrement de son droit d'accès. La procédure prend fin.
 La durée limite entre l’expression du besoin d’accès par le partenaire et l’autorisation ou refus
de cette demande est de 7 jours.
 Le délai de l’exécution peut être prolongé, en cas de complication, le Responsable Réseaux
doit informer le Responsable Monétique qui se charge d’informer le demandeur du temps
nécessaire à l’exécution de cette demande.

©
 5. Annexe 1 : Lettre d’engagement partenaire

LETTRE D’ENGAGEMENT PARTENAIRE

Engagement à la protection des données et à la sécurité des systèmes informatiques

Société partenaire : Nom et prénom de l’utilisateur :

Adresse IP : Courrier électronique :

Contexte d’utilisation de l’accès à distance

Le service d’accès par VPN rend possible le branchement au Réseau de NOM ENTREPRISE , ce qui permet aux
partenaires d’accéder à distance aux applications et aux systèmes informatiques de NOM ENTREPRISE .

Afin de respecter les procédures de NOM ENTREPRISE , la mise en place de mesures de sécurité aussi bien pour
protéger la confidentialité et l’intégrité des renseignements personnels pendant l’accès que pour limiter l’accès aux données
critiques aux seules personnes autorisées est essentielle.

Objet du formulaire d’engagement

Le formulaire d’engagement vise à informer les partenaires des mesures de sécurité à respecter pour assurer la protection
des données et des systèmes informatiques ainsi que leurs obligations à cet effet.

Domaine d’application

Le présent formulaire d’engagement s’applique aux informations et aux données détenues par le réseau de NOM
ENTREPRISE et transmises dans le cadre du service d’accès à distance.

Principes de gestion de la sécurité des systèmes informatiques

Les mesures de protection, de prévention, de détection, d’assurance et de correction sont mises en place afin d’assurer la
sécurité des actifs informationnels du réseau de NOM ENTREPRISE . Ces mesures visent à assurer :

a) la disponibilité, laquelle est la caractéristique d’une information d’être accessible et utilisable en temps prévu et de
la manière requise par une personne autorisée ;
b) l’intégrité, laquelle est la particularité d’une information ou d’une technologie de l’information de n’être ni modifiée, ni
altérée, ni détruite sans autorisation ;
c) la confidentialité, laquelle est la caractéristique d’une information d’être inaccessible aux personnes non autorisées ;
d) l’authentification, laquelle est un acte permettant d’établir la validité de l’identité d’une personne ou d’un dispositif ;

Les mesures de sécurité énumérées dans le présent formulaire sont obligatoires et minimales.

La personne autorisée qui accède aux services de NOM ENTREPRISE est responsable de la gestion sécuritaire
de ces données. Elle doit prendre les moyens nécessaires à la mise en œuvre et à la gestion de la sécurité des données
qu’elle consulte sur son poste de travail.

Les droits d’accès aux actifs informationnels détenus par le réseau de NOM ENTREPRISE seront retirés s’il était
prouvé que la personne autorisée ne se conforme pas aux mesures prévues au présent formulaire et rend, ou a rendu,
vulnérable la sécurité des systèmes informatiques.

Mesures de sécurité des systèmes informatiques et des données que doit respecter la personne autorisée

La personne autorisée doit aviser le responsable de la sécurité informatique de toute situation portée à sa
connaissance qui est susceptible de compromettre la sécurité des actifs informationnels auxquels elle a accès.

©
 La personne autorisée applique et respecte les lois et règlements qui s’appliquent à son domaine d’activité ainsi
que toutes politiques, mesures et procédures en matière de sécurité des actifs informationnels auxquelles elle est
assujettie.
Toute information traitant du processus et des mesures de sécurité doit être gérée de façon confidentielle.
L’accès aux données détenues par le NOM ENTREPRISE est accordé pour l’usage exclusif de la personne
autorisée.
La configuration des outils de sécurisation (anti-virus, VPN, Firewall personnel, etc.) fournis avec le lien au
partenaire ne doit pas être modifiée sans l’autorisation du RSSI.
Les documents imprimés qui contiennent des renseignements personnels et de nature sensible doivent faire l’objet
de mesures de protection et de destruction qui assurent leur confidentialité.

Limites des droits d’accès aux systèmes informatiques

Les droits d’accès à distances sont accordés par le RSSI. Ces droits sont mis à jour régulièrement et peuvent être
révoqués ou suspendus en cas de non utilisation ou de mauvaise utilisation.

Résiliation

L’entente peut être résiliée sur avis par l’une ou l’autre des parties. En ce cas, les droits accordés à la personne
autorisée pour lui donner accès aux actifs informationnels seront révoqués.

Cession des accès

Les droits et obligations contenus dans le présent formulaire ne peuvent, sous peine de nullité de l’entente, être
cédés, en tout ou en partie, sans informer au préalable le RSSI.

Mesures administratives et disciplinaires

Toute personne autorisée qui enfreint les dispositions du présent formulaire d’engagement s’expose à des
mesures administratives ou disciplinaires, en fonction de la gravité et des conséquences du geste. Ces mesures peuvent
inclure la révocation de ses droits d’accès aux actifs informationnels, une suspension ou un congédiement, et ce,
conformément aux dispositions prévues par le NOM ENTREPRISE .

Déclaration du requérant

Je m’engage à respecter les conditions d’accès lorsque j’utilise le service d’accès à distance. J’accepte aussi d’être
soumis à une vérification informatique, si nécessaire.

Signature du demandeur Date

Acheminez ce document, accompagné de votre formulaire d’accès à distance au Responsable Monétique de NOM ENTREPRISE

6. Annexe 2 : Formulaire de demande d’accès partenaires

Formulaire de demande des autorisations d’accès distant

pour les partenaires

©
Ce formulaire doit être rempli par le demandeur de l'accès à distance. Chaque formulaire doit être transmis par courriel au
Responsable Monétique. Après validation de ce formulaire, le Responsable Monétique remplit sa section d'approbation puis fait
parvenir le formulaire au RSSI. Le RSSI remplit sa section d'approbation puis fait parvenir le formulaire au Responsable Réseaux.
Ce responsable désigné donne l'autorisation au demandeur, remplit sa section et achemine le formulaire en deux copies, une au
Responsable Monétique et l’autre au RSSI pour assurer le suivi et l’archivage de cette demande.

1-Type de la demande :
Ouverture d’un compte utilisateur Suppression d’un compte utilisateur
Modification d’un compte utilisateur

2-Service demandé :

 VPN  Autres services  Clé Security ID Raison de la demande :

Précisez : (RSA)
 FTP

 CFT Durée :
 N° du port :  ACS
 Déterminée, ………………. Jour(s)

 Indéterminée

3-Identification de l’utilisateur :
Société partenaire : Nom et prénom de l’utilisateur :

Adresse IP: Courrier électronique :

Engagement du partenaire : je prends acte des habilitations pour les services que je m’engage à utiliser
conformément à la lettre d’engagement.

Approbation Nom du responsable Date d’approbation : Confirmation : Signature :

du Responsable des autorisations : OUI NON
Monétique

Approbation Nom du responsable Date d’approbation : Confirmation : Signature :

du RSSI de la ressource à OUI NON
autoriser :

©
 Accès donné le : Par le Responsable Réseaux
Signature : (Nom & Prénom) :

Suivi et archivage de la demande:

Responsable Monétique : RSSI:
Nom du Date : Signature : Nom du Date : Signature :
responsable : responsable :