P OLICY :
U TILISATEUR
Auteur André Staquet Autres auteurs
Version 1.0
Mise à jour 10/03/2006 Nom Fonction Date
Révisé par
Approuvé par Direction Générale Gestion des Services 23/06/2005
Version 1.0
Auteur André Staquet © SPF FEDICT 2006 Page 2 sur 10
1 C ONTRIBUTEURS
Nom Fonction
Delphine Duprez Expert Gestion des services
Ces directives sont exclusivement maintenues par Fedict et sont destinées à l'autorité publique belge et aux institutions publiques et privées de droit belge à qui des tâches d'intérêt général ont été confiées par ou en vertu d'une loi, d'un décret ou d'une ordonnance.
Sauf autorisation explicite de Fedict, les services publics ne sont pas autorisés, de quelque manière que ce soit, à adapter les directives, les communiquer au public ni à créer des directives dérivées. Le service public doit prendre les mesures organisationnelles, techniques et administratives nécessaires pour assurer l'intégrité, la protection et la confidentialité des directives.
Les directives sont protégées par les droits de propriété intellectuelle dont le gouvernement fédéral est le détenteur.
2 H ISTORIQUE
Date Auteur Version Commentaires et remarques 09/05/05 A.Staquet 0.0.a Version initiale
12/05/05 A.Staquet 0.0.c Corrections faites suivant les commentaires de Delphine Duprez
13/05/05 A.Staquet 0.0.d Corrections faites suivant les commentaires d’Alain Huet
25/05/05 A.Staquet 0.0.e Condition pour être utilisateur d’un Token fonctionnaire
13/05/05 A.Staquet 0.0.f Corrections faites suivant les commentaires d’Alain Huet
01/06/05 A.Staquet 0.0.g Corrections sur base des définitions Définition de la condition d’octroi 10/06/05 A.Staquet 0.0.f Dualité des Tokens suite remarque de
Delphine Duprez
23/01/06 A.Staquet 0.2.a Version intégrant les différents commentaires formulés
Version 1.0
Auteur André Staquet © SPF FEDICT 2006 Page 4 sur 10
3 T ABLE DES CHAPITRES
1 CONTRIBUTEURS 2
2 HISTORIQUE 3
3 TABLE DES CHAPITRES 4
4 AUDIENCE 5
5 OBJECTIF 6
6 POLICY 7
7 TABLE DES MATIÈRES 10
4 A UDIENCE
Le présent document s’adresse à toutes les personnes qui utilisent un
Token fonctionnaire dans le cadre de leur mission.
Version 1.0
Auteur André Staquet © SPF FEDICT 2006 Page 6 sur 10
5 O BJECTIF
L’objectif du présent document est de définir les règles d’attribution et
d’utilisation du Token fonctionnaire.
6 P OLICY
[1] Qu’est-ce qu’une institution ?
Organisme de droit belge à qui des tâches d'intérêt général ont été confiées en vertu d'une loi, d’un décret ou d’une ordonnance.
[2] Quelles sont les institutions concernées ?
Toutes institutions visées par la définition de l’institution (voir [1]) pour lesquelles au moins un membre de son personnel doit être en possession d’un Token fonctionnaire pour pouvoir remplir sa mission.
[3] Qu’est-ce qu’un Token fonctionnaire ?
Un Token est une liste de 24 codes personnels écrite sur une carte (format carte de crédit). Il est utilisé pour renforcer l’authentification sur le portail et permettre l’accès à des services en ligne sécurisés propres à l’Administration.
[4] Condition d’octroi du statut « Utilisateur d’un Token fonctionnaire »
L’utilisateur exécute au moins une tâche ou fonction pour le compte de l’autorité publique nécessitant l’accès à des applications dont le niveau d’authentification requiert un Token fonctionnaire..
[5] Quel est l’utilisateur visé par la présente policy ?
Tous les utilisateurs, y compris les gestionnaires et contacts de sécurité, ayant à utiliser un Token fonctionnaire dans l’exercice de leur mission.
Pour pouvoir être déclaré « utilisateur de Token fonctionnaire », il faut être connu au Registre National ou au Registre bis.
[6] Dualité des Tokens Il y a deux types de Token : Le Token citoyen
Le Token citoyen est strictement réservé à l’authentification sur le portail fédéral et pour permettre l’accès à des services en ligne sécurisés spécifiques aux citoyens, comme par exemple Tax-On-Web.
Le Token fonctionnaire
Le Token fonctionnaire est strictement réservé à l’authentification sur le portail fédéral et pour permettre l’accès à des services en ligne sécurisés propres à l’Administration.
Ces deux types de Token ne sont pas interchangeables ; il n’est pas possible de s’authentifier sur un service en ligne pour citoyens avec son Token fonctionnaire et il n’est pas possible de s’authentifier sur un service en ligne de l’Administration avec son Token citoyen.
[7] Charte d’utilisation L’utilisation du Token fonctionnaire est soumise au respect de la charte d’utilisation suivante :
1. Le contenu du Token, l’identifiant et le mot de passe sont strictement confidentiels ;
2. Le Token ne peut pas être photocopié ni recopié sur un autre support ;
3. Il est interdit d’écrire quoi que ce soit sur le Token, de le laisser accessible au regard ou à la portée d’un tiers ; 4. Il est interdit d’écrire son identifiant et/ou son mot de passe
sur le Token ;
5. S’il est écrit, le mot de passe doit être conservé en lieu sûr ; 6. L’utilisation du Token est strictement limitée aux missions
confiées à l’utilisateur. Son utilisation pour les services sécurisés offerts aux citoyens est formellement interdite ; 7. Sauf dérogation de l’institution, son utilisation est limitée au
poste de travail fourni par l’institution ;
Version 1.0
Auteur André Staquet © SPF FEDICT 2006 Page 8 sur 10
8. Sauf dérogation de l’institution, son utilisation est limitée aux horaires de travail de l’institution ;
9. En cas de perte, de vol ou de détérioration du Token, le porteur doit avertir dans les plus brefs délais le gestionnaire (ou contact) de sécurité de son institution ou à défaut le gestionnaire de sécurité principal ;
10. Si l’utilisateur suspecte une divulgation du contenu du Token et/ou du mot de passe, il doit avertir dans les plus brefs délais le gestionnaire (ou contact) de sécurité de son institution ou à défaut le gestionnaire de sécurité principal et changer immédiatement son mot de passe ;
11. En cas de départ définitif de l’institution, le porteur doit remettre, contre décharge datée et signée, son Token fonctionnaire au gestionnaire de sécurité principal ou à défaut au gestionnaire (ou contact) de sécurité de son institution ;
12. Lorsqu’un Token fonctionnaire est trouvé, il doit être remis au gestionnaire de sécurité principal ou à défaut au gestionnaire (ou contact) de sécurité de son institution ; 13. Il est formellement interdit d’abandonner la connexion à un
tiers après s’être identifié au moyen de son Token fonctionnaire ;
14. La réception du Token implique l’acceptation par l’utilisateur de l’ensemble des règles de cette politique ;
15. L’enveloppe contenant le Token fonctionnaire doit être remise au destinataire final en main propre et contre décharge datée et signée par le gestionnaire (ou contact) de sécurité de son institution ou à défaut le gestionnaire de sécurité principal. Le destinataire final, seul habilité à ouvrir l’enveloppe, doit préalablement vérifier l’absence de signe apparent d’ouverture ou de détérioration ;
16. Le destinataire d’un Token doit immédiatement et personnellement signaler au gestionnaire de sécurité principal toute anomalie constatée dans la procédure de distribution.
[8] Réglementation Le non-respect de cette charte peut donner lieu à une enquête pouvant entraîner une sanction conformément aux règles en vigueur dans l’institution1.
L’importance de la sanction est proportionnelle au rôle de l’utilisateur par rapport au Token :
Rôle utilisateur par rapport au Token Gradation de la sanction2
Simple utilisateur +
Contact de sécurité3 ++
Gestionnaire de sécurité délégué4 +++
Gestionnaire de sécurité principal ++++
1Si nécessaire, adapter le règlement de travail en ce sens.
2Gradation de la sanction : du simple blâme (« + ») à la sanction lourde (« ++++ »).
3 Le contact de sécurité pourrait avoir les mêmes sanctions qu’un gestionnaire de sécurité délégué.
4 Le gestionnaire de sécurité délégué pourrait avoir les mêmes sanctions que pour le gestionnaire de sécurité principal.
[9] Acceptation de la charte d’utilisation
Le porteur doit pour acceptation signer la charte lors de la réception de son Token.
Remarque : la présente charte est reprise sur un document spécifique qui doit être signé par l’utilisateur recevant son Token et qui est conservé par le gestionnaire (ou contact) de sécurité de l’institution concernée.
Version 1.0
Auteur André Staquet © SPF FEDICT 2006 Page 10 sur 10
