CHARTE DE L’UTILISATEUR POUR L’USAGE

DU SYSTÈME D’INFORMATIONDE LA SNCF

GUIDE

D i rection de la Sûreté 34 rue du Commandant Mouchotte

75699 PARIS CEDEX 14( C RT PARIS SIEGE)

Préface

L e système d’information de la SNCF fait partie de sonp a t rimoine et son importance grandissante en fait une

« colonne vert é b rale » de notre fo n c t i o n n e m e n t . La pro t e c t i o nde cet outil indispensable est plus que jamais essentielle ets ’ a v è re en cela un objectif majeur.

L’ i n t é g rité et le bon fonctionnement de notre système d’info r m a-tion nous sont indispensables pour développer notre capitald ’ i n n ovation et pour que la SNCF devienne l’entre p rise publiquede service public leader du tra n s p o rt en Euro p e.

Comme la qualité, la sécurité ne peut être obtenue dans la durée que par une action à la fois collective et indivi-d u e l l e. Si la mise en œuvre des organisations et des tech n i q u e spermettant d’assurer la sécurité du système d’information estl ’ a f fa i re de quelques expert s, leur application au quotidien estl ’ a f fa i re de tous, dans l’intérêt de ch a c u n . P ro t é ger le systèmed ’ i n formation de la SNCF, c’est aussi se pro t é ger de cert a i n e sd é rives comportementales qui pourraient résulter, e n t re autre s,de la méconnaissance de la législation, de l’ignorance des risques encourus ou d’une mauvaise application des règles p a r fois simples et de bon sens, mais toujours essentielles.

Chacun doit être conscient des exigences qui s’imposent à luipour prévenir les risques et, pour cela, disposer de l’info r m a-tion et de la formation indispensables pour être un acteur dela sécurité conscient de ses droits et de ses dev o i rs commedes responsabilités qui sont les siennes env e rs lui-même ete nv e rs l’entre p ri s e.

Cette ch a rte est là pour nous conseiller lorsque nous avonsune incertitude sur notre comport e m e n t . Chacun d’entre nousdoit percevoir la nécessité des principes qu’elle rappelle et quis’imposent à tous.

A n n e - M a rie IDRAC

3

La Présidente

Cette charte est avant tout un c ode de bonne conduite. Elle décrit des pratiques comportementales e s s e n t i e l l e s d ev a n tê t re connues et appliquées par l’ensemble du personnel afin d ’ a s s u rer les conditions d’un usage correct et sécurisé du

s y s tème d’information de l’ E n t re p r i s e. A cette f i n , elle a pour obj e t de préciser les dro i t s , les devoirs et les re s p o n s a b i l ités de chacun,en accord avec la législation en vigueur, le code de déontologie de la SNCF et le règlement du personnel RH-0006.

Les principes énoncés ne sont pas exclusifs des règles normales de courtoisie et de respect d’autrui.

Pourquoi ?L’ E n t reprise fonctionne en réseau, son systèmed ’ i n formation également.Tous les composants du réseau sont dépendants les uns des autre s.La défaillance de l’un d’entre eux a des conséquences

qui peuve n td é p a s s e rlargement lec o m p o s a n tl u i - m ê m e.Dans tousces réseaux,le maillon leplus fragileet le moinsc o n t r ô l a b l ere s t el ’ h u m a i n .

Pour qui ?La présente charte s’applique à l’ensemble descollaborateurs de la SNCF, permanents ou temporaires,tous statuts confondus, ayant accès aux ressources dusystème d’information de l’Entreprise. Elle seranotamment jointe, à titre d’information, au contrat detravail.

La charte s’adresse à l’ensemble des agents (contractuelsou au cadre permanent) de l’entreprise mais égalementaux personnels sous contrats avec la SNCF(prestataires,stagiaires, intérimaires).

4 5

Qu’est-ce que c’est ?Pourquoi ?

Pour qui ?

Qu’est-ce que c’est ?

6 7

Système d’information : ensemble des moyenshumains, techniques et organisationnels permettant, ensupport à l’activité, de créer, de conserver, d’échangeret de partager des informations entre les acteursinternes et externes de l’entreprise, quelle que soit laforme sous laquelle elles sont exploitées (électronique,imprimée, manuscrite, vocale, image …).

Utilisateur du système d’information : toutepersonne autorisée à accéder, utiliser ou traiter desressources du système d’information de la SNCF dansle cadre de son activité professionnelle.

Ressource du système d’information : le terme« ressource » désigne l’information et ses différentsmoyens de partage, de traitement, d’échange et destockage.

Définitions

Patrimoine d’information de la SNCF : ilconstitue l’un de ses actifs les plus importants, surlequel reposent sa performance, sa pérennité, sasécurité et sa capacité à maintenir et développer ses activités et ses résultats ; il recouvre :• les systèmes d’information de commercialisation,

de production et de gestion, nécessaires au pleinexercice de ses métiers ;

• le patrimoine intellectuel, composé de toutes les informations concourant à son savoir et sonsavoir-faire, par exemple, ses recherches, ses brevetsen cours, ses retours d’expérience ;

• les informations relatives à ses clients ou aux tiersavec lesquels elle est en relation, dont l’altération ou la divulgation pourrait porter atteinte à son imagede marque, celle de ses clients ou des tiersconcernés, voire entraîner des poursuites judiciaires ;

• les informations relatives à son personnel, telles que les dossiers administratifs ou médicaux, dont ladivulgation constituerait une violation de la vieprivée.

9

Accès aux ressources

8

L ’utilisation des ressources du systèmed’information de la SNCF n’est possible que dans

le cadre de l’activité professionnelle despersonnels, défini par leur fonction et dans les limitesdes délégations qui leur sont accordées.

Un usage personnel ponctuel et raisonnable de lamessagerie et de l’Internet est néanmoins toléré enaide à la vie pratique ou familiale dès lors qu’il n’estpas susceptible d’affecter la qualité du service associé.Les informations à caractère privé doivent êtreclairement identifiées comme telles (option « Privé »dans les critères OUTLOOK, notamment). Il en estde même des supports recevant ces informations(répertoire « PRIVÉ »).

Cette utilisation est soumise à une autorisationstrictement personnelle qui ne peut, en aucunemanière, être cédée, même temporairement, à untiers sans engager la responsabilité du titulaire.Elle peut être révoquée à tout instant et prend fin en cas de suspension momentanée ou définitive del’activité professionnelle qui l’a justifiée.

1110

Faciliter l’intrusion dans le système d’information enintroduisant des failles de sécurité dans l’architectureréseau, notamment par l’usage de modems connectésdirectement aux réseaux publics ;

Exemple : Je ne tente pas de charger un logiciel personnel,une nouvelle carte graphique…

Contourner les dispositifs de sécurité de sonposte de travail, notamment les antivirus ;

Exemple : Je ne tente pas de suspendre, mêmetemporairement, l'antivirus de mon poste detravail,

Tenter de s’approprier ou déchiffrer le mot depasse d’un autre utilisateur.

Bon usagedes ressources

Chaque collaborateur est responsable de l’usage des ressources du système d’information auxquelles il accède.C o n t r i b u a n t , à son nive a u , à la sécurité générale, i l d o it les utiliser de façon rationnelle et l oya l e afin d’en éviter

la saturation ou le détournement à des fins personnelles.

Protéger ses accès au système d’information enutilisant les moyens de contrôle imposés ;

Exemple : Pendant mes absences temporaires, je mets unmot de passe de veille sur mon poste de travail

Choisir des mots de passe robustes et ne jamais lescommuniquer à des tiers ;

Il doit : Il ne doit pas :

Des astuces pour constituer des mots de passe sont fo u r n i e ssur le site Int ra n e t «Sécurité des systèmes d ’ i n fo r m ation» :( ht t p : / / www. s e c u r i t e s i . s n cf. f r /s e ct i o n s /p u b l i c )

Exploiter ni tenter d’exploiter une éventuelle faillede sécurité du système d’info r m a t i o n , ni en faire lapublicité ;

Usurper une identité ou masquer la sienne ;

Exemple : je n’utilise pas le compte d’un autre utilisateur.Quitter son poste de travail sans s’êtredéconnecté, laissant ainsi des ressources accessibles.

Exemple : Je ne finis pas ma journée sans verrouiller lasession de mon poste de travail, ou sansl'éteindre.

Appliquer les règles de sécurité en vigueur dansl’Entreprise, éventuellement complétées dans l’entité àlaquelle il appartient :(voir http://www.securitesi.sncf.fr/sections/public)

Exemples : Je porte mon badge, je ne communique pas lescodes de la port e , je ne confie pas la clef desl o c a u x.

Être vigilant et signaler tout constat, tentative ousoupçon de violation d’une ressource du systèmed’information à sa hiérarchie ou au responsable de lasécurité des systèmes d’information de son entité, et,de façon générale, toute anomalie qu’il peut constater.

Exemple : Je signale à mon service informatique toutmessage à caractère commercial non sollicité(vente par correspondance, transactionsfinancières…)

Bon usagedes ressources

(suite)

13

Il doit :

12

Il ne doit pas :

1514

Protection de l’information

A s s u re r la protection et la confidentialité des infor-m a t i o n s qui lui sont confiées ou dont il a connaissance, d a n sle respect des règles en vigueur au sein de l’Entreprise ;

Exemples : Lors de mes déplacements je fais preuve ded i s c rétion lorsque j’échange des info r m at i o n s àusage int e r n e.Je co nt a cte le service de la co m m u n i c ation ava nttoute prise de parole ou co m m u n i c ation en ex t e r n e.

Respecter l’intégrité des configurations qui lui sontfo u r n i e s : l’installation de logiciels ou de matériels ou la

modification duparamétrage desre s s o u rc e sauxquelles il accèdesont interdites ;

As s u rer la pérennité des info r m a t i o n s gérées au nive a ude son env i ronnement de travail en utilisant les différe n t sm oyens de sauve g a rde et de duplication mis à sa disposition.

Exemple : Je sauvegarde ré g u l i è re m e nt mes dossiers et j eco n s e rve les sauvegardes dans une pièce distinct e.

Il doit :Utiliser des informations mises à la disposition d’autresutilisateurs, quand bien même celles-ci ne seraient pasexplicitement protégées ;

Exemple : Je ne copie pas ou je n'utilise pas de documentdont je ne suis pas destinataire.

Transmettre d’informations sensibles à l’extérieurde l’Entreprise, par le biais de la messagerie ou de toutautre support, sans protection et sans autorisation ;

Exemple : Je ne diffuse à l'extérieur de l'entreprise que desdocuments explicitement identifiés commediffusables.

Apporter volontairement des perturbations aubon fonctionnement du système d’information, que cesoit par des manipulations anormales des ressourcesmatérielles et/ou logicielles ou par l’introduction deprogrammes malveillants tels que virus, logicielsespion… ;

Exemple : Je ne réponds pas "à tous" les destinataires d'unmail envoyé à plusieurs centaines d'utilisateurs.

Contourner les restrictions d’utilisation desressources mises à sa disposition par les services del’Entreprise.

Il ne doit pas :

La protection du patrimoine d’information de l’Entrep r i s e vise avant tout à assurer sa d i s p o n i b i l i t é, son i n t é g r i t é e tsa c o n f i d e n t i a l i t é ( c o m munication aux seules person nes « habilitées à en connaître »). Même si des dispositions

organisationnelles et techniques sont prises au niveau de l’Entreprise, elles ne constituent qu’un premier niveau dep ro t e c t i o n . Chaque utilisateur a un rôle individuel essentiel à jouer.

Exemple :Je ne connecteaucun accessoirepersonnel sur monposte de travail.

17

Chercher à porter atteinte directement ouindirectement au droit des personnes, à leur honneuret considération ainsi qu’à leur vie privée ;

Exemple : Je ne publie pas de clichés, vidéos… sans avoirobtenu l'accord écrit des personnes représentées,je ne publie pas leurs propos sans leur accord.

Se rendre coupable, directement ou indirectement,notamment par le biais des moyens informatiques, dedélits dits « de presse » (diffamation, injure …) ou àprocéder au stockage de documents proscrits par la loi(détention d’images ou de textes à caractère pédophileet/ou raciste, …) ;

Exemple : Je n'utilise pas mon adresse e-mailprofessionnelle pour participer à des forumsexternes.

Législation

S ’ i n t e rd i re, en dehors de sa pro p re activité pro fe s s i o n n e l l e,tout usage ou toute communication d’info r m a t i o nsur l’Entre p r i s e, ses filiales, ses part e n a i re s , ses clients et sespersonnels ;

P ro t é ger les droits de pro p r i é t é de l’Entreprise pourl’ensemble de ses savoirs et savo i r- f a i re et, n o t a m m e n t ,pour tous les logiciels qu’elle a fait développer ;

Exemple : Je ne copie pas la disquette ou le CD des horairesSNCF pour les donner à des tiers.

Respecter strictement le secret professionnellors du traitement des informations médicales oujuridiques concernant des personnels ;

Il doit : Il ne doit pas :

Nul n’est censé ignorer la loi ».

A i n s i , chaque collaborateur peut être tenu pour re s p o n s a b l e civilement et/ou pénalement dans sa mission au quotidien, encas de manquement à ses obligations légales et/ou régle mentaires. En être conscient permet de mieux assumer sesresponsabilités.

Exemple :Je ne laisse jamais à des tiers la possibilitéd'accéder auxinformations que jedétiens sur les autresagents.

16

«

1918

Utiliser ou détourner à son pro f i t ou à celui d’untiers tout ou partie du système d’information auquel il aa c c è s , que ce soit ou non dans l’exe rcice de ses missions ;

Exemple : Je ne peux utiliser mon poste de t ravail à des finsprivées qu’avec modérat i o n . Au -delà de 30 co u r r i e l spar mois ou 5% de capacité du disque dur, il y a abus.

Po rter atteinte,d i rectement ou indire c t e m e n t , aux systèmesde traitement automatisés des données, aux bases de donnéeset aux logiciels : intrusion ou utilisation sans autorisation… ;

Exemple : Je ne détruis pas de fichier dont je ne suis pasl'auteur ou le responsable.

Intercepter ou écouter des communications ouse livrer à la surveillance des autres postes de travail.

Exemple : Je n'enregistre pas les conversations et je neconsulte pas le courrier de mes collègues.

Législation(suite)

N’utiliser pour la protection des informationsque les seuls moyens de chiffrement mis à sadisposition par l’Entreprise dans le respect descontraintes associées ;

Exemple : Je m'assure qu'au moins une autre personne demon service possède les codes d'accès auxd o c u m e nts pro fessionnels protégés par chiff re m e nt.

S’interdire de porter atteinte au droit d’auteur oude se rendre coupable de contrefaçon, en particulieren faisant une copie d’un logiciel commercial pourquelque usage que ce soit, hormis une copie desauvegarde dans les conditions prévues par le code dela propriété intellectuelle.

Il doit : Il ne doit pas :

Exemple : Je ne télécharge ni musique, ni vidéos, ni logiciels.

Utiliser les services Internet dans le cadre strict des dro i t sa c c o rdés et des accès autorisés dans le respect desprincipes et règles pro p res aux divers sites concernés ;

Exemple : Je ne consulte pas de sites inapropriés (pornogra p hie,jeux, piratage…) même s’ils sont accessibles.

Faire preuve de la plus grande correction à l’égardde ses interlocuteurs dans le cadre des échangesélectroniques (courrier, forums de discussion …) ;

Exemple : Je m'identifie, je respecte mes interlocuteurs, je nesature pas les forums internes, je ne me livre pas àdes attaques personnelles dans ces forums.

O b s e rver un devoir de réserve et se garder d’émettreune opinionp e r s o n n e l l eé t r a n g è re à sona c t i v i t ép ro fe s s i o n n e l l e,susceptible dep o rter atteinte àl ’ E n t reprise ;

Il doit :Consulter ou télécharge r des données (textes,images, sons) ayant un caractère explicitementindécent, contraire à l’ordre public, portant atteinte à ladignité ou à la vie privée, à caractère injurieux, raciste,pornographique, diffamatoire ou en rapport avec unesecte ;

Transgresser les autorisations d’accès à Internet ;de façon dissimulée ou non, porter ou proférer despropos à caractère injurieux, raciste, pornographiqueou diffamatoire.

Usage de l’internet(Web, messagerie,

forum…)

Il ne doit pas :

21

L ’usage des services offe rts par INTERNET dev i e n t un élément prépondérant du système d’information del’ E n t re p r i s e. Ses spécificités génèrent de nouve a u x risques auxquels il faut être particulièrement vigilant,

eu égard à la mondialisation de son étendue. La loi et les règlements évoluent régulièrement et varient en fonctiondes États ; chaque collaborateur a le devoir de se tenir informé des nouvelles clauses ou restrictions d’usage.

20

23

Pour toutrenseignement

complémentaire

Contrôle de l’usagedes ressources

22

Notez ici vos contacts utiles :

Votre service informatique local :

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Le responsable de la sécurité du système d’info r m a t i o nde votre entité :

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Le portail Sécurité du système d’information de la SNCFhttp://www.securitesi.sncf.fr/sections/public

L ’Entreprise doit pouvoir répondre aux requêtesémanant des tribunaux ou des organismes de

police relatives au comportement de sescollaborateurs, notamment lors de l’usage desressources de son système d’information.A ces fins,elle met en œuvre des moyens d’enregistrementet d’analyse. Les informations associées jouissentd’une protection particulière contre tout risque dedivulgation.

Par ailleurs et dans le respect des dispositionslégislatives et réglementaires, notamment par référenceà la Loi « informatique et libertés », l’entreprise meten œuvre des moyens de contrôle et d’investigationutiles à la sauvegarde de ses intérêts. Ces contrôlessont limités aux mesures quantitatives en ce quiconcerne les informations à caractère « privé »explicite.

Lorsque les circonstances l’exigent, l’Entreprise peutêtre amenée à restreindre, voire fermer, sans préavistout accès avec l’extérieur.

Notes :