Politique sur la sécurité de l’information

1. La politique de sécurité de l’information décrit les principes de base sur lesquels se fonde le
PNUD pour protéger la confidentialité, l’intégrité et la disponibilité de ses données, pour
classer et traiter les informations confidentielles et pour faire face aux violations de la présente
politique. 

2. Le système de gestion de la sécurité de l’information (ISMS) stipulé par la norme ISO 27001

exige un document complet de politique de sécurité de l’information couvrant tous les
domaines de la sécurité de l’information et, étant donné la prévalence des techniques de
traitement automatisé de l’information, notamment dans le domaine de la sécurité
informatique.  Le présent document satisfait à cette exigence.

3. La structure de la présente politique de sécurité de l’information suit celle des normes

ISO/CEI 27001 et 27002 afin d’assurer une corrélation facile entre les exigences de la norme et
les déclarations de politique connexes du PNUD.  L’annexe ci-dessous détaille la relation entre
le Plan stratégique du PNUD, la Stratégie de gestion de l’information du PNUD, la Politique de
sécurité de l’information du PNUD et les normes subordonnées qui fournissent des orientations
plus détaillées sur l’application des exigences de la Politique de sécurité de l’information.

 But

4. La gestion de la sécurité de l’information est la sélection raisonnable et la mise en œuvre

efficace de contrôles appropriés pour protéger les actifs informationnels essentiels de
l’Organisation.  Les processus de contrôle et de gestion, associés à la surveillance ultérieure de
leur pertinence et de leur efficacité, constituent les deux principaux éléments du programme
de sécurité de l’information.  Les trois objectifs de la sécurité de l’information sont :

a) Confidentialité
b) Intégrité
c) Disponibilité

5. Le point (i) de l’article 1.2 Statut et Règlement du personnel des Nations Unies stipule que les
fonctionnaires doivent faire preuve de la plus absolue discrétion en ce qui concerne toutes les
questions relevant des fonctions officielles. Ils ne doivent communiquer, à aucun
gouvernement, entité, personne ou autre source, aucune information dont ils ont connaissance
du fait de leur fonction officielle et dont ils savent ou auraient dû savoir qu’elle n’a pas été
rendue publique, sauf dans l’exercice normal de leurs fonctions ou sur autorisation du
Secrétaire général. Cette orientation est appuyée et mise en œuvre par la présente Politique.

 6. La présente Politique définit les fondements de la protection de l’information, facilite la prise
de décisions en matière de gestion de la sécurité et oriente les objectifs qui établissent,
favorisent et assurent les meilleurs contrôles et la meilleure gestion de la sécurité de
l’information dans l’environnement de travail du PNUD. 

Portée

Page 1 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

 7. La présente Politique décrit les grands principes de gestion qui guident le programme de
sécurité de l’information en place au sein du PNUD. Elle s’applique à toutes les régions
physiques sous le contrôle du PNUD.  Dans le cas où d’autres politiques fonctionnelles
spécifiques fixent des exigences plus strictes, elles ont la priorité dans ces domaines
fonctionnels. La présente Politique de sécurité de l’information est examinée à intervalles
réguliers par le Bureau des systèmes d’information et de la technologie informatique
(OIMT)/Bureau des Services de Gestion (BMS) pour s’assurer qu’elle est toujours adaptée,
adéquate et efficace.

8. Les normes de sécurité de l’information et les instructions de travail relatives à la sécurité de

l’information sont subordonnées à la présente Politique et fournissent des détails plus précis
sur sa mise en œuvre.

Objectifs

9. Établir l’orientation et l’engagement en matière de sécurité de l’information et veiller à ce

qu’elle soit communiquée, appliquée et respectée dans l’ensemble de l’Organisation.  En outre,
élaborer et mettre en œuvre une architecture de sécurité de l’information, protéger les actifs
informationnels contre toute perte ou utilisation abusive, et atténuer les risques de perte des
finances, de productivité et de réputation pour le PNUD.

10. La Politique sur la sécurité de l’information consiste en une déclaration principale qui énonce la
position sur la sécurité de l’information et définit trois principes de sécurité à partir desquels la
présente Politique est élaborée, suivie de neuf Déclarations de politique connexes qui
développent ces principes.

 Principes

11. Le PNUD reconnaît que les données et les informations (qu’elles soient les siennes ou celles qui
lui sont confiées) sont essentielles à sa capacité de remplir sa mission.

12. Le PNUD s’engage pleinement à protéger les informations et les environnements dans lesquels
elles sont traitées, transmises et stockées, conformément aux principes de sécurité suivants :

a) Meilleures pratiques en matière de sécurité de l’information

b) La valeur ou le niveau de sensibilité
c) L’ensemble des lois, politiques, statuts, règlements et exigences contractuelles
applicables

13. Il incombe à tous les fonctionnaires du PNUD et aux autres personnes physiques ou morales
autorisées d’exercer un contrôle approprié sur les informations dont ils ont la charge et de
porter toute menace potentielle à la confidentialité, à l’intégrité ou à la disponibilité de ces
informations à l’attention de la direction compétente. Des programmes de formation et de
sensibilisation appropriés seront disponibles pour soutenir et renforcer cette responsabilité.

Page 2 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

 14. Les déclarations de politique suivantes, structurées selon la norme ISO/CEI 27002, appuient la
Déclaration des principes et définissent les exigences de conformité de la gestion de la
politique de sécurité de l’information. Les déclarations portent sur les domaines suivants :

a) Gestion d’actifs
b) Sécurité des ressources humaines1*
c) Sécurité physique et de l’environnement
d) Gestion des communications et des opérations
e) Contrôle d’accès
f) Acquisition, développement et maintenance de systèmes
d’information
g) Gestion des incidents liés à la sécurité de l’information
h) Gestion de la continuité des activités
i) Conformité
16. Le respect de la Politique et des normes de sécurité de l’information connexes est obligatoire
pour tout le personnel et les autres personnes physiques ou morales autorisées, afin qu’elles
soient intégrées aux procédures de travail pertinentes.

17. L’OIMT/BMS assurera un suivi périodique et le Bureau de l’audit et des enquêtes procédera à
des audits périodiques des services du PNUD pour confirmer le respect de la présente Politique
et des normes connexes.

Gestion d’actifs

18. Assurer et maintenir une protection et un contrôle appropriés des actifs informationnels du
PNUD et veiller à ce que la responsabilité et la redevabilité de rendre compte de cette
protection et de ce contrôle soient dûment confiées aux propriétaires ou dépositaires désignés
de l’information. Veiller à ce que des procédures de traitement appropriées soient appliquées
aux actifs informationnels importants.

Responsabilité de la gestion d’actifs

19.  Tous les actifs doivent être clairement identifiés et un inventaire de tous les actifs importants
liés à l’information doit être dressé et tenu à jour à des fins de sécurité de l’information. 

Ces actifs importants liés à l’information à des fins de protection peuvent comprendre, sans
toutefois s’y limiter, les éléments suivants :

a) Informations : les bases de données et fichiers de données, les contrats et accords, la

documentation du système, les manuels d’utilisation, le matériel de formation, les
1
Désigne les mesures administratives prises au cours de la vie professionnelle d’un fonctionnaire ou d’un titulaire
de contrat qui ont une incidence sur la sécurité de l’information de l’Organisation.

Page 3 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

 procédures opérationnelles ou de soutien, les plans de continuité d’activité, la
procédure de secours en cas de défaillance, les pistes de vérification et l’information
archivée
b) Actifs logiciels : les logiciels d’application, logiciels système, les outils de développement
et utilitaires
c) Actifs physiques : le matériel informatique, matériel de communication, les supports
amovibles et autres équipements
d) Services : les services informatiques et de communications, les services publics
généraux, par exemple le chauffage, l’éclairage, l’électricité et la climatisation

20. Toutes les informations et tous les actifs associés aux systèmes d’information appartiennent à
une unité désignée du PNUD. Le propriétaire désigné (personne physique ou morale qui a
approuvé la responsabilité de gestion du contrôle de la garde, de la production, du
développement, de l’entretien, de l’utilisation et de la sécurité des actifs ; les tâches courantes
peuvent être déléguées, par exemple à un dépositaire qui s’occupe quotidiennement de l’actif,
mais la responsabilité incombe au propriétaire) doit :

a) S’assurer que l’information et les actifs associés aux systèmes d’information sous leur
contrôle sont classés de façon appropriée
b) Examiner de temps à autre les restrictions d’accès et les classifications, en tenant
compte des politiques d’accès applicables

21.   Les règles et les normes relatives à l’utilisation acceptable de l’information et des actifs associés
aux systèmes d’information doivent être définies, documentées et mises en œuvre.  Veuillez
vous reporter à la politique sur l’utilisation des ressources TIC du PNUD (Apportez votre
équipement personnel de communication).

Classification de l’information

 22. Les informations doivent être classées ou catégorisées en fonction de leur valeur, des
exigences légales, de leur sensibilité et de leur criticité pour le PNUD.

 23.  Des procédures appropriées d’étiquetage et de manipulation des informations sensibles

doivent être élaborées et mises en œuvre. Ces procédures peuvent comprendre des mentions
de traitement particulier ou d’autres mises en garde relatives à la diffusion, telles qu’« à titre
confidentiel » et/ou que « réservé à un usage interne ».

Sécurité des informations des ressources humaines

24. Le PNUD veille à ce que le personnel et les autres personnes physiques ou morales autorisées
comprennent leurs responsabilités et réduisent le risque de vol, de fraude ou de mauvaise
utilisation des installations. (Reportez-vous au cadre juridique du PNUD pour le traitement des
cas de non-respect des normes de conduite des Nations Unies, à la page Politiques et
procédures en matière de ressources humaines, et à la Politique antifraude. Les candidats à

Page 4 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

 un emploi et toutes les autres personnes autorisées doivent faire l’objet d’une présélection
adéquate et d’une vérification détaillée des références, en particulier pour les postes sensibles.
Les responsabilités en matière de sécurité de l’information doivent être abordées avant
l’embauche, dans les descriptions de poste et dans les conditions d’emploi.

 Avant l’emploi 

25.  Les rôles et responsabilités en matière de sécurité de l’ensemble du personnel et des autres
personnes physiques ou morales autorisées des actifs informationnels du PNUD doivent être
définis et documentés dans des modalités et les conditions appropriées avant l’embauche ou la
finalisation du contrat, conformément aux dispositions de la présente Politique.

26.  La vérification des renseignements essentiels, y compris les diplômes universitaires, les langues,
la nationalité, l’expérience professionnelle et la vérification détaillée des références de tous les
candidats à l’emploi, des contractants et des utilisateurs tiers, doit être effectuée
conformément aux politiques et procédures pertinentes et proportionnellement aux besoins
de l’organisation, à la classification des renseignements auxquels il faut accéder et aux risques
perçus. La vérification des références tient compte de toutes les politiques et procédures
établies en matière de respect de la vie privée, de protection des données à caractère
personnel et/ou d’emploi et, dans toute la mesure autorisée, comprend :

a) La disponibilité de références satisfaisantes

b) La vérification de l’exhaustivité et de l’exactitude du curriculum vitae/de la Notice
personnelle des candidats (P.11)
c) La confirmation des qualifications universitaires et professionnelles supposées
d) Un contrôle d’identité indépendant
e) Des contrôles plus détaillés, le cas échéant

27. Dans le cadre de leurs obligations contractuelles, les fonctionnaires des Nations Unies se
conforment au point (i) de l’article 1.2. Du statut et règlement du personnel des Nations Unies.  

Pendant l’emploi

 28. Tous les membres du personnel et autres personnes physiques ou morales autorisées qui
utilisent les actifs informationnels du PNUD doivent appliquer les mesures de sécurité
conformément à l’ensemble des règlements, règles, politiques et procédures pertinents du
PNUD.   L’ensemble des données, fichiers et dossiers des RH est considéré comme sensibles et
confidentiels.  Le PNUD doit veiller à ce que tous les membres du personnel et autres
personnes physiques ou morales autorisées :

Soient bien informés de leurs rôles et responsabilités en matière de sécurité de l’information

avant d’avoir accès à de l’information ou à des systèmes d’information de nature sensible.

Disposent des directives suffisantes décrivant les attentes en matière de sécurité de

l’information en ce qui concerne leur fonction au sein du PNUD.

Page 5 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

 29.  Tout le personnel du PNUD et, le cas échéant, les autres personnes physiques ou morales
autorisées doivent bénéficier d’une formation appropriée et recevoir des mises à jour
régulières sur les politiques et procédures relatives à la sécurité de l’information de leur
fonction. 

30. Toute procédure disciplinaire requise à la suite d’une violation grave des actifs ou des
protocoles relatifs à la sécurité de l’information doit être menée conformément aux
dispositions pertinentes du Statut et Règlement du personnel du PNUD.

Cessation de service, réaffectation et licenciement du personnel

31.  Les responsabilités en matière de cessation d’emploi, de réaffectation et de licenciement

doivent être clairement définies et attribuées. Veuillez consulter les Politiques de cessation de
service des POPP.

32. Le personnel et les autres personnes physiques ou morales autorisées doivent restituer tous les
biens du PNUD qu’ils ont en leur possession au moment de leur cessation de service, de leur
contrat ou de leur accord.  Le processus de cessation de service doit officialiser la restitution de
tous les actifs informationnels déjà émis.

33. Les droits d’accès à l’information et aux systèmes d’information de l’ensemble du personnel et
des autres personnes physiques ou morales autorisées doivent être supprimés ou modifiés,
selon le cas, en cas de cessation d’emploi ou de cessation de service, de contrat ou d’accord, ou
ajustés en cas de réaffectation.  Toute dérogation à cette exigence ne peut se faire qu’avec
l’accord du Directeur de l’informatique.

 Sécurité physique et de l’environnement

34. Veiller à ce que les locaux, les zones de travail et les actifs informationnels du PNUD soient
convenablement protégés des risques identifiés contre les actifs informationnels.  Les systèmes
d’informations essentielles ou sensibles doivent être hébergés dans des zones sécurisées,
protégées par des périmètres de sécurité définis, avec des barrières de sécurité et des
contrôles d’accès appropriés.

 Actifs informationnels 

35.  Tout le personnel et les autres personnes physiques ou morales autorisées doivent s’assurer
que les documents contenant des renseignements sensibles sont protégés lorsqu’ils ne sont
pas utilisés.

36.  Les actifs d’information sensibles ne doivent pas être sortis des locaux du PNUD sans
autorisation expresse.

 Zones de travail

Page 6 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

 37.  Les périmètres de sécurité (murs, portes et portails d’accès contrôlés par carte et postes de
réception occupés) doivent être utilisés pour protéger les zones qui contiennent des
informations et des systèmes d’information.   

38. Les périmètres de sécurité doivent être clairement définis et toutes les mesures de sécurité
doivent être mises en œuvre.

 Matériel

 39.  Les systèmes d’information doivent être situés ou protégés de manière à réduire les risques liés
aux menaces et aux dangers environnementaux et les possibilités d’accès non autorisé.   Les
câbles d’alimentation électrique et de télécommunication transportant des données ou des
services d’information connexes doivent être protégés de toute interception ou tout dommage.

40.  Les systèmes d’information doivent être protégés des coupures de courant et autres
perturbations causées par des défaillances dans les services publics de soutien. Cette
protection doit être intégrée à la planification de la continuité des opérations (BCP) et à la
reprise après sinistre (DR).

41.  Les systèmes d’information doivent être correctement entretenus pour assurer leur
disponibilité et leur intégrité en permanence. Seul le personnel d’entretien autorisé ou les
contractants doivent effectuer l’entretien, et des registres adéquats de tous les travaux
d’entretien doivent être tenus.  Le cas échéant, l’information devrait être supprimée du
matériel de stockage avant que l’entretien ne soit effectué.

42.  La sécurité s’applique aux systèmes d’information et au matériel hors site, en tenant compte
des différents risques liés au travail en dehors des locaux du PNUD. Cette sécurité peut
comprendre des mesures de protection contre le vol occasionnel en voyage, l’utilisation
inappropriée ou la perte de la confidentialité des actifs informationnels.

43.  Les systèmes et le matériel d’information contenant des supports de stockage doivent être
vérifiés pour s’assurer que les données sensibles ou les logiciels sous licence ont été retirés ou
détruits en toute sécurité avant leur élimination.

44.  Les systèmes et le matériel d’information ne doivent pas être sortis des locaux du PNUD sans
autorisation expresse.

Gestion des communications et des opérations

45. Veiller au bon fonctionnement et à la sécurité des systèmes d’information, veiller à ce que les
principaux processus opérationnels et d’appui intègrent des contrôles efficaces de la sécurité
de l’information et à ce que des procédures opérationnelles adéquates existent pour la gestion
et le fonctionnement des systèmes informatiques du PNUD.

Procédures et responsabilités opérationnelles

Page 7 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

 46.  Des procédures officielles documentées doivent être établies, maintenues et mises à
disposition pour toutes les activités impliquant des installations de traitement de l’information
et de communication.

47.  Les modifications apportées aux systèmes d’information et aux applications font l’objet d’un
contrôle de gestion des modifications.   Les procédures de gestion des changements doivent
être élaborées à l’aide d’une documentation appropriée pour démontrer la conformité.

48.  Une séparation appropriée des tâches et des responsabilités doit être mise en œuvre autant
que possible afin de réduire au minimum la possibilité qu’une personne puisse compromettre
une application, une politique, une procédure ou une activité, ou d’apporter des modifications
non autorisées ou involontaires aux actifs informationnels ou d’en faire un mauvais usage.

49.  Les installations de développement, d’essai et d’exploitation (de production) doivent être
séparées afin de réduire les risques d’accès non autorisé ou de modifications au système
opérationnel.

 Gestion de la prestation des services par des tiers

50.  Les niveaux de service et d’exécution ainsi que les contrôles de sécurité fournis par les
prestataires tiers participant à l’appui des services de traitement de l’information ou de
télécommunication du PNUD doivent faire l’objet d’un suivi pour s’assurer qu’ils sont exécutés,
exploités et maintenus conformément aux obligations contractuelles.

51.  Les modifications apportées à la prestation de services par des tiers doivent être gérées avec
soin, en tenant compte de la criticité des systèmes d’information et des processus concernés et
de la réévaluation de tous les risques pertinents.

Planification et acceptation du système

 52.  Des critères d’acceptation pour les nouveaux systèmes d’information ou ceux mis à niveau
doivent être établis et des essais appropriés du ou des systèmes doivent être effectués au
cours du développement et avant l’acceptation.

53.  Les ressources existantes du système d’information doivent être surveillées et ajustées si
nécessaire, et les besoins futurs en capacité doivent faire l’objet de projections, afin de garantir
une performance continue aux niveaux requis.

Protection contre les codes malveillants et mobiles

Page 8 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

  54.  Des contrôles de détection, de prévention et de correction, ainsi que des procédures
appropriées de sensibilisation des utilisateurs, doivent être mis en œuvre pour se protéger
contre les codes malveillants.

55.  Lorsque l’utilisation du code mobile est autorisée, la configuration doit garantir que le code
mobile autorisé fonctionne conformément à une politique de sécurité clairement définie.

 Sauvegarde

56.  Des dispositions de sauvegarde appropriées, y compris des essais annuels, doivent être mises
en œuvre et maintenues afin de protéger l’information et les logiciels et de veiller à ce que tous
les actifs et processus d’information essentiels puissent être récupérés au besoin pour quelque
raison que ce soit.

 Gestion de la sécurité réseau

57.  Les réseaux informatiques et de communication doivent être gérés et contrôlés de manière
adéquate afin d’être protégés contre les menaces et de maintenir la sécurité des systèmes et
applications utilisant le réseau, y compris l’information en transit.

58.  Les fonctions de sécurité, les niveaux de service et les exigences en matière de gestion de tous
les services de réseau, tant internes qu’externes, doivent être identifiés et inclus dans tous les
accords de services de réseau.

Gestion des supports de stockage

59.  Des procédures doivent être établies pour la gestion des supports de stockage amovibles, y
compris des procédures pour leur élimination sûre et sécurisée lorsqu’ils ne sont plus
nécessaires.

60.  Des procédures doivent être établies pour le traitement et le stockage des informations afin de
les protéger contre toute divulgation non autorisée ou utilisation abusive.

Suivi

61.  Des procédures de suivi de l’utilisation des systèmes d’information doivent être établies, et les
résultats des activités de suivi régulièrement examinés.  La surveillance doit être utilisée pour
déterminer si l’utilisation réelle est conforme à l’utilisation autorisée.

62.  Des journaux d’audit enregistrant les activités des utilisateurs, les exceptions et les événements
liés à la sécurité de l’information doivent être produits et conservés pendant une période
convenue pour faciliter d’éventuelles enquêtes et/ou une surveillance du contrôle d’accès.   Les
dispositifs de journalisation et les informations de journal doivent être protégés contre toute
falsification et tout accès non autorisé.
Les activités de l’administrateur système et de l’opérateur système doivent être consignées
dans les journaux.  Les défaillances doivent être consignées dans les journaux, analysées, et des
mesures appropriées prises.

Page 9 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

 63.  Les horloges de tous les systèmes de traitement de l’information pertinents du PNUD doivent
être synchronisées avec une source de temps précise convenue.

Procédures d’échange d’informations

 Parties externes

64. Dans le cadre de la présente politique, les parties externes comprennent des partenaires, tels
que d’autres entités et contractants des Nations Unies. Afin d’assurer la sécurité des
informations de l’Organisation et des installations de traitement de l’information qui sont
consultées, traitées, communiquées ou gérées par des parties externes, telles que d’autres
entités et contractants des Nations Unies, les conditions suivantes s’appliquent :

a) Les risques que présentent les processus opérationnels impliquant des parties externes
pour les informations et les installations de traitement de l’information de
l’Organisation doivent être cernés et des contrôles appropriés mis en place avant
d’accorder l’accès ou de communiquer des informations à ces entités.
b) Les accords conclus avec des tiers concernant l’accès, le traitement, la communication
ou la gestion des informations ou des installations de traitement de l’information de
l’Organisation, ou l’ajout de produits ou de services aux installations de traitement de
l’information, doivent répondre à tous les besoins de sécurité pertinents.

(Pour le traitement des parties externes plus larges, telles que les médias et le grand public, veuillez
consulter la Politique de divulgation de l’information (Mettre l’information à la disposition du public),
qui précise la liste du contenu qui n’est pas rendu public)

65.  Aucun échange d’informations sensibles du PNUD ne doit se faire avec un tiers sans
autorisation et sans que des contrôles appropriés soient en place pour protéger ces
informations de toute divulgation non autorisée.  Des accords doivent être conclus pour
l’échange d’informations et de logiciels entre le PNUD et des parties externes.

 Commerce électronique et systèmes d’information d’entreprise 

66.  Les informations associées à l’interconnexion des systèmes d’information des entreprises sont
protégées afin d’éviter toute utilisation abusive ou corruption.  L’information utilisée dans le
commerce électronique transitant par les réseaux publics doit être protégée des activités
frauduleuses, des différends contractuels et de toute divulgation et de toute modification non
autorisées.

 67.  L’information contenue dans les transactions en ligne doit être protégée afin d’éviter une
transmission incomplète, un mauvais acheminement, une modification non autorisée du
message, une divulgation non autorisée, une duplication ou une rediffusion non autorisée du
message. L’intégrité de l’information fournie sur le système accessible au public doit être
protégée afin d’empêcher toute modification non autorisée.

Page 10 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

Exigences opérationnelles en matière de contrôle d’accès

68. Afin d’assurer des restrictions appropriées à l’accès à l’information, un contrôle d’accès
adéquat est appliqué aux actifs informationnels pour garantir que l’accès n’est réservé qu’aux
membres actuels du personnel (ou aux autres personnes physiques ou morales autorisées) qui
en ont besoin dans l’exercice de leurs fonctions officielles et que les droits d’accès des
utilisateurs tiennent dûment compte du type et du niveau de sensibilité des informations
concernées

 Contrôle d’accès aux systèmes d’information

69.  Les systèmes d’information, les réseaux, les services, les logiciels d’exploitation et les
applications du PNUD doivent être configurés de manière à ce que les mécanismes appropriés
de contrôle d’accès et d’autorisation soient mis en œuvre, fonctionnels et efficaces.

70.  L’utilisation de programmes utilitaires susceptibles de surcharger le système ou d’autres

contrôles d’accès doit être restreinte et soumise à un contrôle rigoureux.

71.  Les sessions interactives doivent s’arrêter après une période d’inactivité définie, et des
restrictions sur les temps de connexion doivent être utilisées pour assurer une sécurité
supplémentaire pour les applications à haut risque.

 Sécurité de l’information sur les réseaux 

72.  L’identification automatique de l’équipement doit être utilisée pour en authentifier les
connexions s’il est important que les communications ne puissent être initiées qu’à partir d’un
emplacement ou d’un équipement spécifique.

73.  L’accès physique et logique aux ports de diagnostic et de configuration doit être contrôlé.

74.  Les groupes de services d’information, d’utilisateurs et de systèmes d’information doivent être
séparés sur des réseaux.  Pour les réseaux partagés, en particulier ceux qui s’étendent au-delà
des limites du PNUD, la capacité des utilisateurs à se connecter au réseau doit être limitée à
des fins professionnelles du PNUD sur la base du besoin de savoir.

75.  Des contrôles d’acheminement doivent être mis en place pour les réseaux afin de s’assurer que
les connexions informatiques et les flux d’informations ne violent pas la politique de contrôle
d’accès des applications.

76.  L’accès aux systèmes d’exploitation doit être contrôlé par une procédure de connexion
sécurisée.  Tous les utilisateurs doivent disposer d’un identifiant utilisateur unique réservé à
leur usage personnel et d’une technique d’authentification appropriée utilisée pour
authentifier les utilisateurs.

77.  Les systèmes sensibles doivent disposer d’un environnement informatique dédié (isolé).

78.  Une politique, des plans opérationnels et des procédures officiels doivent être élaborés et mis
en œuvre pour les activités de télétravail et des mesures de sécurité appropriées adoptées

Page 11 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

 pour se protéger contre les risques liés à l’utilisation des installations informatiques et de
communication mobile.     

Acquisition, développement et maintenance de systèmes d’information

79. Objectifs : s’assurer que les systèmes d’information (p. ex. les applications, les infrastructures,
les services, etc.) sont conçus en tenant compte de la sécurité et mis en exploitation dans le
respect de toutes les exigences de sécurité propres au système entièrement comprises et mises
en œuvre.

Exigences de sécurité pour les systèmes d’information

80. Les nouveaux systèmes d’information et les améliorations importantes des systèmes doivent
être officiellement présentés au Conseil de l’informatique et des communications, et approuvés
par ce dernier avant d’être acquis ou développés. Les nouveaux systèmes d’information et
leurs améliorations doivent faire l’objet d’essais officiels dans un environnement contrôlé et
d’essais d’acceptation par l’utilisateur (UAT) avant leur promotion au statut de production.  Les
essais officiels doivent comprendre des essais appropriés de toutes les exigences en matière de
sécurité afin de s’assurer de leur exactitude et de leur pertinence. Les essais doivent être
documentés et les résultats des essais conservés à titre d’actifs informationnels.

 81. Les exigences de sécurité d’un nouveau système d’information ou d’une amélioration du
système doivent être définies et convenues avant son développement ou acquisition.

82. Les responsabilités liées à la propriété d’un nouveau système d’information doivent être
convenues avant sa mise en œuvre.

83. Des contrôles de validation des données doivent être intégrés lors du développement et de la
maintenance des systèmes d’information afin de détecter et de prévenir toute corruption des
informations par des erreurs d’entrée, de traitement ou de sortie. Les exigences visant à
garantir l’authenticité et à protéger l’intégrité des messages dans les applications doivent être
définies, et des contrôles appropriés doivent être également définis et mis en œuvre.

 Contrôles de chiffrement

84.  La mise en œuvre des contrôles de chiffrement lors de l’acquisition, du développement et de la

maintenance des systèmes d’information doit être gérée et comprendre des procédures
appropriées de gestion clés.

Sécurité des fichiers système

85.  Des procédures doivent être mises en œuvre pour contrôler l’installation des logiciels sur les
systèmes opérationnels. Les responsabilités spécifiques liées à l’installation des logiciels sur les
systèmes opérationnels doivent être définies et attribuées uniquement aux utilisateurs

Page 12 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

 autorisés ayant reçu une formation appropriée. Les logithèques opérationnelles doivent être
maintenues et l’accès au code source des programmes doit être restreint.

 Sécurité dans les processus de développement et de soutien 

86.  Toutes les modifications apportées aux systèmes d’information sur la production (et à leur code
source) doivent être officiellement autorisées et contrôlées afin d’éviter de porter préjudice au
traitement des opérations et aux mesures de sécurité. Toutes les modifications doivent faire
l’objet d’essais adéquats et documentés.

87.  Avant de modifier les systèmes d’exploitation, les applications essentielles à l’Organisation
doivent être visualisées et testées pour s’assurer qu’il n’y a pas d’impact négatif sur ses
opérations ou sa sécurité.

88.  La sous-traitance du développement de logiciels doit être supervisée et contrôlée par l’unité ou
les unités du PNUD compétentes.

 Gestion de la vulnérabilité technique

89.  Des informations rapides sur les vulnérabilités techniques des systèmes d’information utilisés
doivent être obtenues, l’exposition à ces vulnérabilités évaluée et des mesures appropriées
prises pour faire face aux risques associés.

90.  L’OIMT doit surveiller et effectuer des évaluations périodiques des risques pour les processus,
l’information, les systèmes et les installations en fonction de l’évolution des menaces et des
vulnérabilités techniques. 

Gestion des incidents liés à la sécurité de l’information

91. Objectifs : veiller à ce que les incidents touchant à la sécurité de l’information au sein du PNUD
soient signalés et traités de manière rapide et efficace afin que des mesures correctives
puissent être prises.

Signalement des incidents et des faiblesses en matière de sécurité de l’information 

92.  Tous les membres du personnel et autres personnes physiques ou morales autorisées sont
tenus de signaler les faiblesses ou incidents présumés en matière de sécurité de l’information à
l’unité de sécurité informatique du Bureau de la gestion (BoM)/Bureau des systèmes
informatiques et des technologies de l’information (OIST) ([email protected]).

 Gestion des incidents et des améliorations de la sécurité de l’information

93. La Section de la sécurité de l’information/le Bureau des systèmes informatiques et des

technologies de l’information (OIST)/le Bureau de la gestion (BoM) doivent élaborer et tenir à
jour des procédures d’établissement de rapports et de remontée d’informations sur les

Page 13 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

 événements liés à la sécurité de l’information afin de s’assurer que les événements et les
faiblesses associés aux systèmes d’information sont communiqués de manière à ce que des
mesures correctives soient prises en temps opportun.

94.  Dans les cas où un incident lié à la sécurité de l’information peut donner lieu à une action en
justice ou à une enquête interne, le Directeur de l’OIMT consultera le Bureau des affaires
juridiques (LO) et/ou le Bureau de l’audit et des enquêtes (OAI) afin d’autoriser la collecte et la
conservation de preuves connexes et leur communication ultérieure au Bureau des affaires
juridiques (LO) et/ou au Bureau de l’audit et des enquêtes (OAI).

Gestion de la continuité des activités

95. Objectif : veiller à ce que le PNUD soit équipé pour réagir en cas de perturbation des opérations
et pour assurer la reprise en temps opportun des processus opérationnels essentiels, à la suite
de catastrophes ou de défaillances majeures des systèmes d’information.

Aspects de la sécurité de l’information de la gestion de la continuité des opérations

96.  Pour assurer la continuité des opérations, la Politique sur les normes de reprise après sinistre
des TIC est mise en place.

Respect des exigences légales 

97. Afin d’assurer le respect des exigences légales, statutaires, réglementaires et contractuelles en
vigueur, des procédures doivent être mises en œuvre pour orienter le PNUD dans le respect de
ses obligations. Ces obligations peuvent découler, sans toutefois s’y limiter, des :

a) Décisions des organes directeurs du PNUD

b) Directives administratives

Respect des politiques et normes de sécurité

98.  Les responsables du PNUD doivent veiller à ce que toutes les procédures de sécurité dans leur
domaine de compétence soient correctement appliquées pour assurer le respect des politiques
et normes de sécurité. Les responsables des centres régionaux et des bureaux de pays doivent
procéder à une auto-attestation chaque année prouvant qu’ils respectent la présente politique
de sécurité de l’information et les normes qui s’y rapportent. Le Directeur de l’OIMT fera une
déclaration similaire au nom du Siège du PNUD. Toute non-conformité doit être documentée
et justifiée

 Considérations relatives à la vérification de la sécurité de l’information

Page 14 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

 99.  Les exigences et les activités d’audit impliquant des vérifications de systèmes opérationnels
doivent être soigneusement planifiées et convenues, afin de réduire au minimum le risque de
perturbation des processus opérationnels.

100. Les outils d’audit pour l’accès aux systèmes d’information doivent être protégés afin d’éviter
tout abus ou compromis éventuel.

Rôles et responsabilités

101. Le Directeur de l’OIMT est chargé de la sécurité de l’information au sein du PNUD.

102. Le responsable de la sécurité informatique (CISO), de l’OIMT fournit un appui technique

consultatif au Directeur de l’OIMT.

Programme de sécurité de l’information

103. Il existe un programme de sécurité de l’information au sein du PNUD afin de s’assurer qu’il
existe des responsabilités et une redevabilité claires, tant au sein des unités administratives
qu’entre elles, en ce qui concerne la gestion de la sécurité de l’information. Le programme de
sécurité de l’information comprend les politiques, les normes, les instructions de travail, les
unités administratives et les personnes ayant des responsabilités en matière de sécurité et sert
de cadre ainsi que de mécanisme efficace de coordination et de gestion de la sécurité de
l’information pour l’Organisation.

104. Pour appuyer le programme de sécurité de l’information, l’OIMT/BMS exerce ses fonctions
dans les domaines suivants :

a) Évaluer les risques potentiels, déterminer les besoins et recommander des contre-
mesures appropriées pour gérer les risques dans les domaines liés au traitement et à la
protection de l’information par le PNUD
b) Organiser et coordonner la formation du personnel dans les domaines des opérations,
de l’information, des communications, des utilisateurs autorisés, des installations, et
des procédures de sécurité informatique à suivre dans le cadre de la collaboration avec
le PNUD

105. En fournissant des services de conseil et d’appui et en procédant à des examens continus,
l’OIMT/BMS aidera chacune des unités administratives à se conformer aux politiques d’appui
au programme de sécurité informatique.

106. La Section de la sécurité des TIC de l’OIMT participera également au processus d’autorisation
des nouveaux systèmes ou applications informatiques afin de veiller à ce que les éléments de
sécurité nécessaires soient pris en compte et traités de manière adéquate avant que
l’utilisation du nouveau système ne soit approuvée par le PNUD.

107. Le Bureau de l’audit et des enquêtes (OAI) doit fournir de temps à autre à la direction du PNUD
une évaluation indépendante du fonctionnement et de l’efficacité du programme de sécurité
de l’information.

Page 15 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

 108. Des réunions régulières sur la gestion de la sécurité de l’information seront organisées à
l’intention du personnel et des contractants du PNUD qui jouent un rôle essentiel dans la mise
en œuvre du programme de sécurité de l’information. 

Conformité

109. Le non-respect de la présente Politique sans l’obtention préalable d’une dérogation sera traité
conformément au Statut et Règlement du personnel du PNUD ou, le cas échéant, aux clauses
contractuelles applicables au personnel.

Dérogations

110. Lorsqu’une unité administrative n’est pas en mesure de respecter une déclaration de politique
générale figurant dans le présent document, le Chef de l’unité doit obtenir une dérogation
auprès du directeur de l’OIMT/BMS.

111. Toutes les demandes de dérogation doivent être considérées comme temporaires et
comporter une date d’expiration précise. Elles sont soumises à l’examen du Directeur de
l’OIMT/BMS.

112. Si une dérogation n’est plus nécessaire avant la date d’expiration ou l’examen annuel, le Chef
de l’unité doit en informer ou en aviser le directeur de l’OIMT/BMS.

Page 16 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

Organigramme

Avertissement: Ce document a été traduit de l'anglais vers le français. En cas de divergence entre cette
traduction et le document anglais original, le document anglais original prévaudra.
 

Page 17 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7

Disclaimer: This document was translated from English into French. In the event of any discrepancy
between this translation and the original English document, the original English document shall prevail.

Page 18 sur 18 Date d’entrée en vigueur : 26/07/2016 Numéro de version : 7