Charte de la Sécurité des Systèmes d'Information de l'INSA Rouen Normandie, validée par le CA du 15 octobre 2020

Article 1 : Domaine d’application

La charte s'applique à l'ensemble des utilisateurs qui ont accès aux ressources informatiques de l'INSA Rouen.

Article 2 : Objet

La présente charte a pour objet d’informer les utilisateurs de leurs droits et de leurs responsabilités à l’occasion de l’usage des ressources informatiques et des services internet de l’Institut National des Sciences Appliquées (INSA) Rouen, en application de sa politique générale de sécurité des systèmes d’information et de la legislation.

Elle définit les règles d’usage et de sécurité que l’INSA Rouen et les utilisateurs doivent respecter : elle précise les droits et les devoirs de chacun.

Elle répond à la préoccupation de l’INSA Rouen de protéger les informations qui constituent son patrimoine immatériel contre toute altération, volontaire ou accidentelle, de leur confidentialité, intégrité ou disponibilité. Tout manquement aux règles qui régissent la sécurité des systèmes d’information est en effet susceptible d’avoir des impacts importants (humains, financiers, juridiques, environnementaux, atteinte au fonctionnement de l’organisme ou au potentiel scientifique et technique). En cas de litige, la loi est applicable.

L'utilisateur contribue à son niveau à la sécurité des systèmes d'information. À ce titre, il applique les règles de sécurité en vigueur et signale tout dysfonctionnement ou événement lui apparaissant anormal.

L’INSA Rouen met à la disposition de l’utilisateur les moyens nécessaires à l’application de sa politique de sécurité des systèmes d’information.

À son niveau, le personnel d’encadrement favorise l’instauration d’une « culture sécurité » par son exemplarité dans le respect de cette charte et par un soutien actif des équipes en charge de la mise en œuvre de ces règles.

Article 3 : Définitions

Art 3.1 : Système d’Information

Le terme « Système d’Information » (SI) désigne un ensemble organisé des ressources (matériels, logiciels, personnel, données et procédures) qui permet de collecter, regrouper, classifier, traiter et diffuser de l’information sur un environnement donné.

Art 3.2 : Utilisateur

Le terme « utilisateur » recouvre toute personne, quel que soit son statut, ayant accès aux ressources des systèmes d’information de l’INSA Rouen. Il s’agit notamment de :

• tout agent titulaire ou non titulaire de l’INSA Rouen concourant à l’exécution des missions du service public de l’enseignement supérieur et de la recherche ;
• tout étudiant inscrit à l’INSA Rouen ;
• toute personne agissant dans le cadre d’une convention ou d’un contrat pour l’INSA Rouen.

Art. 3.3 : Les responsables informatiques

Pour gérer ses systèmes d’information, l’INSA Rouen s'appuie sur une Direction des Systèmes d’Information (DSI) et de correspondants informatiques.

La DSI gère l’infrastructure technique (réseau et serveurs, bases de données) sur laquelle sont installés les différents services mis à la disposition des utilisateurs notamment les services d’accès à l’Internet, les applications métiers, les applications numériques pour la pédagogie, la recherche et la documentation. La DSI est également en charge de la sécurité physique et logique de l’infrastructure (sécurité des accès, des données et des échanges).

Les correspondants informatiques travaillent en relation étroite avec la DSI. Ils administrent les comptes, les réseaux et serveurs locaux ainsi que les postes des utilisateurs. Ils assurent un service de proximité aux utilisateurs.

Article 4 : Conditions d’utilisation des Systèmes d’Information

Art. 4.1 : Autorisation d’accès

Toute utilisation d’un SI est soumise à une autorisation d’usage personnelle, temporaire et incessible, accordée par le Directeur de l’INSA Rouen.

Cette autorisation est matérialisée par des identifiants (typiquement un couple formé d’un identifiant et d’un mot de passe).

Les utilisateurs sont responsables de toute utilisation faite à partir de leurs identifiants. Il leur appartient de veiller au choix, à la qualité et à la confidentialité de leur mot de passe.

Art. 4.2 Finalité d’utilisation

L'utilisation des ressources informatiques est limitée aux missions de l'établissement et aux besoins de l'activité qui en découle.

Art. 4.3 : Utilisation résiduelle à titre privé

Toutefois, une utilisation résiduelle à titre privé est tolérée. Elle doit rester non lucrative et raisonnable, tant dans sa fréquence que dans sa durée, afin de ne pas nuire à la qualité du travail ou au bon fonctionnement du service.

Les données privées, et leurs traitements associés ne doivent pas occasionner de surcoût notable pour l’INSA Rouen. A ce titre, leur volume doit rester raisonnable et les sauvegardes restent à la charge de l’utilisateur.

Art. 4.4 : Caractère des données

Toute information stockée ou tout message échangé est réputé professionnel.

L’utilisateur peut stocker des données privées dans un dossier intitulé « Privé » situé dans son espace personnel de stockage.

L’utilisateur peut recevoir et envoyer des messages à titre privé. Pour être considérés comme tels, les messages doivent comporter la mention « [Privé] » dans le sujet du message.

Art. 4.5 : Utilisations prohibées

L’utilisateur respecte les règles d’éthique professionnelle et de déontologie.

Sont strictement prohibées, les utilisations contraires aux lois et règlements en vigueur et notamment celles qui ont pour objet ou pour effet la diffusion d'idéologies politiques ou religieuses, ou qui sont de nature à porter atteinte aux bonnes mœurs, à la dignité, à l'honneur, ou à la vie privée des personnes physiques.

En outre, les utilisateurs doivent veiller à ne pas porter atteinte à la réputation ou à l’image de l’INSA Rouen dans leur utilisation des ressources informatiques.

Art. 4.6 : Continuité de service

L’utilisateur informe sa hiérarchie des modalités permettant l’accès aux ressources auxquelles il avait accès dans le cadre de ses missions.

Article 5 : Obligations des utilisateurs

Les utilisateurs doivent notamment :

• respecter les lois et règlements en vigueur ;
• respecter la présente charte ainsi que les différentes chartes dont l’INSA Rouen est signataire (par ex. charte RENATER) ;
• respecter les règles de courtoisie et de politesse lors de l'utilisation des ressources informatiques de l'INSA Rouen ;
• respecter les matériels, logiciels et locaux mis à leur disposition ;
• faire une utilisation non-abusive des moyens informatiques auxquels ils ont accès ;
• respecter les mesures de sécurité mises en place par les responsables informatiques ;
• se conformer aux décisions des responsables informatiques ;
• ne pas utiliser ou tenter d'utiliser le compte d'un tiers ;
• veiller à la confidentialité des codes, mots de passe ou tout autre dispositif de contrôle d’accès qui leur sont confiés à titre strictement personnel ;
• signaler sans délai tout fonctionnement suspect ou incident de sécurité ;
• veiller à ce que des données confidentielles ne soient pas accessibles à des tiers;
• respecter l’obligation de réserve et de confidentialité à l’égard des informations et des documents auxquels ils accèdent ;
• respecter le droit d'auteur et les licences d’utilisation.

Article 6 : Obligations des responsables informatiques

Les responsables informatiques doivent :

• assurer le fonctionnement et la disponibilité des ressources informatiques ;
• maintenir la qualité du service fourni aux utilisateurs dans la limite des moyens alloués ;
• informer les utilisateurs des règles et des bons usages tels qu'ils sont définis dans la présente charte et dans les politiques annexes ;
• veiller à respecter la confidentialité des correspondances électroniques et des fichiers auxquels ils ont accès dans le cadre de leur activité ;
• veiller à la bonne utilisation des SI ;
• assurer la sécurité des ressources qu’ils exploitent ;
• garder les traces (“logs”) en respect de la législation : toute activité sur le réseau et les systèmes fait objet d'une surveillance automatisée.

Les responsables informatiques peuvent, en cas d'urgence, prendre toutes mesures nécessaires pour assurer ou préserver le bon fonctionnement et la disponibilité normale des ressources informatiques dont ils ont la charge.

Article 7 : Respect de la législation concernant les données nominatives

Toute constitution de données nominatives, à l'aide des moyens informatiques, doit faire l'objet, préalablement à leur mise en œuvre, d'une évaluation par le délégué à la protection des données (DPO) afin d’être inscrite au registre des traitements de l’établissement. Les données à caractère personnel ne sont conservées que dans la limite des délais prévus par les textes applicables.

L’INSA Rouen Normandie est garant du respect de la loi "Informatique et Liberté" et du règlement général sur la protection des données (RGPD) et à ce titre maintient un registre de tous les traitements automatisés d'informations nominatives mis en œuvre dans le cadre de ses missions.

Si dans l'accomplissement de son travail, l'utilisateur est amené à constituer des fichiers tombant sous le coup du règlement général sur la protection des données, il doit auparavant prendre contact avec le délégué à la protection des données (DPO).

Par ailleurs, conformément aux dispositions de cette loi, chaque utilisateur dispose d’un droit d’accès et de rectification relatif à l’ensemble des données le concernant, y compris les données portant sur l’utilisation du SI.

Ce droit s’exerce auprès du Directeur de l’INSA par l’intermédiaire du délégué à la protection des données (DPO).

Article 8 : Fin du statut d’utilisateur

En référence à l’article 4.1, les autorisations d’accès aux systèmes d’information de l’INSA de Rouen seront révoquées dès la notification de départ de l’institut.

Lors de son départ, l’utilisateur sera notifié des changements sur le fonctionnement de sa boîte de courriers électroniques. La nature du changement pourra conduire jusqu’à la fermeture complète du compte de messagerie.

Article 9 : Sanctions

En cas de non respect de leurs obligations, les utilisateurs peuvent se voir appliquer les sanctions suivantes :

Art. 9.1 : Mesures d'urgence

Les responsables informatiques peuvent, en cas d'urgence :

• déconnecter un utilisateur, avec ou sans préavis selon la gravité de la situation ;
• isoler ou neutraliser provisoirement toute donnée ou fichier manifestement en contradiction avec la charte ou qui mettrait en péril la sécurité des moyens informatiques ;
• prévenir le responsable hiérarchique ou pédagogique ;
• informer le directeur, AQSSI (Autorité Qualifiée de la Sécurité des Systèmes d’Information) par l'intermédiaire du RSSI (Responsable de la Sécurité des Systèmes d’Information).

Art 9.2 : Mesures donnant lieu à information

Sous réserve que soit informé le directeur ou le responsable hiérarchique ou pédagogique, les responsables informatiques peuvent :

• avertir un utilisateur ;
• à titre provisoire, limiter ou retirer les codes d'accès ou autres dispositifs de contrôle d'accès et fermer les comptes ;
• effacer, comprimer ou isoler toute donnée ou fichier manifestement en contradiction avec la charte ou qui mettrait en péril la sécurité des Systèmes d’Information.

Art. 9.3 : Mesures disciplinaires

L’utilisateur qui enfreint une des règles énoncées dans la présente charte encourt d’éventuelles sanctions disciplinaires.

Art. 9.4 : Mesures pénales

Par ailleurs, il est rappelé que l’utilisateur reste redevable envers la loi et qu’à ce titre, il peut faire l’objet de poursuites pénales.