Le référentiel "WiFi sécurisé suivant les réflexes CASES"

Le référentiel du label "WiFi sécurisé suivant les réflexes CASES"

1. L’entité doit pouvoir démontrer qu’une analyse basique des risques a été faite avant le déploiement du point d’accès.
1. Analyse des risques concernant l’entité
2. Analyse des risques concernant l’utilisation du point d’accès

Avant de mettre en place une solution WiFi, l'entité doit procéder obligatoirement à une analyse des risques. Par cette mesure, l'entité se rend compte des risques qu'elle peut encourir respectivement à quels risques elle peut exposer ses client. Il est important que l'entité fasse cette analyse car sinon elle ne pourra pas se protéger contre des client malintentionnés respectivement informer ses client des risques et dangers que celle-ci peut encourir en utilisant le point d'accès.

2. L’entité doit protéger ses propres réseaux professionnels des accès frauduleux provenant du point d’accès.

Il est impératif que l'entité protège son propre réseau de production contre toute intrusion venant du point d'accès respectivement d'Internet.

3. L’entité doit gérer le point d’accès en bon père de famille et limiter au mieux les possibilités d’utiliser le point d’accès de façon frauduleuse :
1. Utilisation malintentionnée d’un Internaute envers un client connecté au point d’accès
2. Utilisation malintentionnée d’un client connecté envers un Internaute

L'entité doit protéger au mieux ses clients contre des internautes malintentionnés, mais doit aussi veiller à ce que les clients connectés à sont point d'accès ne puissent pas causer des dégâts à des tiers. L'entité donne accès à Internet à travers son point d'accès, c'est donc son identité et sa responsabilité qui est mise en cause. Pour cette raison elle doit faire de son mieux pour minimiser les risques provenant de son infrastructure.

4. L’entité doit informer la clientèle sur les risques liés directement ou indirectement à l’utilisation du point d’accès ainsi que sur les responsabilités qu’incombent une telle utilisation. Une charte d’utilisation est souhaitable.

Le résultat de l'analyse des risques doit être transmis à la clientèle qui se connecte au point d'accès. Cette information doit avoir lieu avent que le client n'ait accès à Internet. Par ce fait, l'entité informe le client de ses droits et obligations et le prévient des dangers que l'entité ne peut écarter par ses moyens de sécurité mis en place.

5. L’entité doit informer la clientèle sur la manière d’utiliser le point d’accès de façon sécurisée.
1. La procédure de connexion
2. Le nom du point d’accès (SSID)

Avant que le client ne se connecte au point d'accès, l'entité doit l'informer sur le nom du réseau sécurisé mis à sa disposition. Sans cette information, le client risque de se connecter à un réseau non protégé.

6. Le point d’accès doit être sécurisé de manière à ce qu’il ne puisse pas facilement être détourné par une personne malintentionnée (être transformé en point d’accès « rogue »).
1. Mot de passe administrateur « fort »
2. Accès physique « difficile »
3. Les fonctions inutiles pour le service offert doivent être désactivées
4. La puissance d’émission doit être réglée au minimum nécessaire

Ces mesures de sécurité garantissent que le point d'accès ne puisse pas être facilement reconfiguré par une personne malintentionnée.

7. L’entité doit se conformer aux législations luxembourgeoises en vigueur telles que la loi sur la protection des données à caractère personnel.