La Politique de Sécurité des Systèmes
This presentation is the property of its rightful owner.
Sponsored Links
1 / 26

La Politique de Sécurité des Systèmes d'Information du CNRS PowerPoint PPT Presentation


  • 92 Views
  • Uploaded on
  • Presentation posted in: General

La Politique de Sécurité des Systèmes d'Information du CNRS. -Enjeux majeurs -Atouts et acquis -Nos vulnérabilités -Impacts des menaces et quelques incidents -Classification des Laboratoires -Structuration des données -Structure d'une PSSI -Organisation et missions au niveau Régional

Download Presentation

La Politique de Sécurité des Systèmes d'Information du CNRS

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


R union directeurs 23

La Politique de Sécurité des Systèmes d'Information du CNRS

-Enjeux majeurs

-Atouts et acquis

-Nos vulnérabilités

-Impacts des menaces et quelques incidents

-Classification des Laboratoires

-Structuration des données

-Structure d'une PSSI

-Organisation et missions au niveau Régional

-Organisation et missions au niveau de l'Unité

-Exemple type d'une PSSI d'Unité

-Ce qu'implique la PSSI pour un utilisateur

-Conclusion

Réunion Directeurs 23/05


Les enjeux majeurs protection du patrimoine scientifique

Niveau

stratégique

Les enjeux majeurs:Protection du patrimoine scientifique

  • Le patrimoine scientifique et technique national est constitué des connaissances, informations et savoir-faire, se rapportant :

  • aux technologies « sensibles » du domaine industriel,

  • aux connaissances et résultats de la recherche scientifique, "dont l ’opportunité de transfert à l ’étranger doit être appréciée au regard des intérêts fondamentaux de la nation".

  • Le patrimoine d’un laboratoire :

  • la réputation du laboratoire auprès de la communautéinternationale des spécialistes concernés (nombre etqualité des publications, qualité des interventions dans les échanges internationaux, prix scientifiques…)

  • la valorisation de la recherche, les brevets déposés,…

  • le portefeuille de contrats de recherche (organismes publics, entreprises privées…)

  • les compétences des chercheurs (savoir, savoir faire)

  • le potentiel technique (infrastructures, installations, matériels…)

Réunion Directeurs 23/05


Les enjeux majeurs passent par la ssi

Niveau

stratégique

Les enjeux majeurspassent par la SSI

Dans ce contexte la SSI :

  • la disponibilité de l’outil de travail

  • l’intégrité des données et des systèmes

  • la protection de données sensibles

    • données du patrimoine scientifique et technique

    • données ayant trait aux intérêts fondamentaux de la Nation

    • données individuelles

    • données de gestion

    • données échangées, stockées ou transportées(sur postes nomades ou clé USB)

  • la protection juridique (risques administratifs, risques pénaux, protection de l’image de marque, …)

est donc un enjeu majeur pour le CNRS

Réunion Directeurs 23/05


Des atouts et acquis importants

Des atouts et acquis importants

  • Potentiel de compétence etprofessionnalisme des acteurs

  • Briques techniques mises en place(recommandations, outils réseaux,…)

  • Des réseaux fonctionnels (coordinateurset correspondants, + UREC et RENATER)

  • Des actions de sensibilisation (guide,charte…) et un dispositif de formation adapté

  • Des sites WEB de soutien, des listes de diffusion, bulletin Sécurité Informatique...

  • La mise en place de certificats électroniques

Réunion Directeurs 23/05


R union directeurs 23

Nos vulnérabilités

  • Les vulnérabilités d’ordre structurel

    • l ’importance des échanges inhérents à la recherche (coopérations…)

    • le caractère ouvert des campus

    • les structures mixtes de recherche

    • la multiplicité des stages et visites

    • les missions en pays à risques

    • la diversité des situations et des comportements

  • Les vulnérabilités d’ordre culturel

    • la culture de communication des chercheurs

    • l ’angélisme…

    • la diversité des comportements

  • Les vulnérabilités d’ordre juridique

    • une conscience insuffisante des risques juridiques

    • les vides ou ambiguïtés juridiques (cybersurveillancedes salariés,…)

  • Les vulnérabilités d’ordres techniques

  • Les vulnérabilités liées aux facteurshumains et organisationnels

Réunion Directeurs 23/05


R union directeurs 23

Menaces et quelques incidents SSI

-Compromission d'un serveur et attaques à partir de ce serveur

-Vols d'ordinateurs, cambriolages

-Attaques informatiques (mise en place de serveurs Warez)

-Transmission par mail de fichiers vidéo à caractère pornographique

-Détournement d'un courriel à des fins de diffamation

-Mise en cause pénale d'un directeur de laboratoire et de son administrateur

-Projet de système d'information sensible avec un fournisseur non digne de

confiance

-Compromission d'information touchant à la prolifération nucléaire

-Utilisation de l'outil informatique pour stockage de documents pornographiques

-Menaces de mort par courriel

-Utilisation abusive d'Internet à des fins délictueuses

-Projets de contrat de Laboratoires avec des entreprises "douteuses" (liées à des

officines de renseignements étrangères)

-Systèmes et réseaux

Réunion Directeurs 23/05


Classification des laboratoires

Niveau organisationnel

Classification des laboratoires

(Source : instruction interministérielle 486 sur la protection du patrimoine scientifique et technique français dans les échanges internationaux)

La liste des ERR et des EAS est arrêtée par le SGDN, la liste des ERR est classifiée

Établissements à Régime Restrictif (ERR) : établissements dont l ’activité justifie l ’existence d ’un régime d ’accès réglementé et dont l ’application peut concerner tout ou partie de l ’établissement. Il s ’agit d ’établissements effectuant des travaux de recherche, de développement, de fabrication ou de maintenance, et dont la divulgation sans contrôle à des étrangers serait contraire aux intérêts fondamentaux de la Nation

Établissements à Accès Surveillé (EAS) : établissements dont l ’activité générale justifie la prise de précautions particulières dans tout ou partie de l ’établissement mais pas l ’existence d ’un régime d ’accès réglementé. Il s ’agit d ’établissements dont les activités ne justifient pas le classement en ERR, mais nécessitent la prise de précautions - codes CNRS propres (ER*, ERX, ES, ESF…)

Établissements à Régime Ordinaire (ERO) :dans les autres cas

Réunion Directeurs 23/05


Structuration des donn es

Niveau organisationnel

Structuration des données

  • Données de gestion interne

  • Données à caractère nominatif

  • Certaines données comptables ou financières

  • Données à caractère politique ou stratégique

  • Données du patrimoine scientifique et technique

  • Données relatives à des compétences ou des savoir faire internes

  • Données relatives à la valorisation des résultats de la recherche

  • Données relatives aux coopérations nationales et internationales

  • Données scientifiques et techniques (travaux et résultats derecherches ayant un caractère appliqué ou lié à des savoir faire),/défense ou / technologies de pointe

  • Données scientifiques et techniques dont la confidentialitéest imposée dans le cadre de contrats industriels (données “ confidentiel industriel ”)

  • Données diverses de sécurité

  • Données à caractère non scientifique touchant à des incidents internes, à la prévention, aux classements de sensibilité, aux plans de protection etc…)

Réunion Directeurs 23/05


Articulation entre sch ma directeur et pssi la vision du cnrs

Politique nationale, orientations ministérielles, enjeux pour l’organisme

État des lieux

Politique et schémas directeursdes partenaires

Articulation entre schéma directeur et PSSI(la vision du CNRS)

Politique SSI de l'organisme

Schéma directeur de la SSI, Plan de mise en œuvre, projets, …

Politique SSI des unités

Plans locaux de mise en œuvre

Évaluation – retour d’expérience

Réunion Directeurs 23/05


Contenu du document de pssi du cnrs

Contenu du document de PSSI duCNRS

C’est un document de pilotage et de communication, il doit donc être simple et concis pour pouvoir être lu par tous les utilisateurs du SI … et surtout par tous les décideurs ! C’est la vision stratégique de l’organisme et la preuve de l’engagement de sa direction

  • Enjeux

  • Périmètre

  • Analyse des risques et besoins

  • Organisation – responsabilités

  • Coordination avec les autrestutelles

  • Mise en œuvre – principales lignes directrices

Réunion Directeurs 23/05


Structure d une pssi globale vision cnrs

Niveau

stratégique

Définition des objectifs

stratégiques de la sécurité

Niveau organisationnel

Normes, règles, plans, procédures, recommandations, structures, …

Niveau technique

Dispositifs techniques de protection et de contrôle, administration système et réseau, outils d'audits et d'analyse des incidents, …

Structure d’une PSSI globale(vision CNRS)

La SSI n’est pas qu’un problème technique !

Reprise et développement des données du schéma directeur, explicitation des choix, des principes organisationnels et des lignes directrices

Uniformisation des techniques et méthodes utilisées : référentiel applicatif, définition des produits, outils, méthodes, instructions, dispositif de formation, moyens humains.

Responsabilité de la PSSI globale : le FSSI

Réunion Directeurs 23/05


Organisation et responsabilit s

Niveau organisationnel

Organisation et responsabilités

  • Pilotage : - DG (AQSSI), Comité de pilotage national, - FSD (dont CMSSI rattaché au FSD), - expertise technique (UREC + réseau d’experts)

  • Distinction chaîne organique / chaîne fonctionnelle

  • Organisation et responsabilités au niveau régional

  • Organisation et responsabilités au niveau « unités »

Réunion Directeurs 23/05


Cadre organisationnel de la ssi

Niveau organisationnel

Chaîne fonctionnelle

SGDN (DCSSI, CERTA …)

Haut Fonctionnaire de Défense

Chaîne hiérarchique

Pilotage national CNRS

Comité de pilotage

Directeur Général du CNRS

CERT RENATER

Direction des Systèmes d'Information

FSD / FSSI

RSSI

Hors CNRS

CNRS

Opérationnel de la SSI (UREC)

CMSSI

Directeurs d’entités (IN2P3, …)

RSSI

Délégués régionaux

Comité Réseau

des Universités

Coordination Régionale SSI (CRSSI)

Utilisateurs

Directeurs de laboratoires

Réseau régional des Chargé de SSI (CSSI)

Utilisateurs

Cadre organisationnel de la SSI

La responsabilité "hiérarchique" est cohérente avec le futur rôle AQSSI, des responsabilités du Délégué Régional et sur le terrain des directeurs de labos.

L'application de la 901 va renforcer le rôle de véritable RSSI

Réunion Directeurs 23/05


Organisation ssi au niveau r gional

Niveau organisationnel

Organisation SSI au niveau régional

  • Une coordination régionale :

    • placée sous la responsabilité générale du délégué régional du CNRS

    • oeuvrant selon les directives de la voie fonctionnelle

  • comprenant :

    • un responsable appartenant à laDélégation, orienté organisation,pilotage régional, relations /tutelles

    • et quelques « experts » appartenantà des unités de recherche

  • avec pour missions principales :

Réunion Directeurs 23/05


Missions principales de la coordination r gionale

Niveau organisationnel

Missions principales de la coordination régionale

  • le suivi de l’état de sécurité des unités (documents de PSSI, identification du CSSI dans l’unité, bilans de sécurité, état des besoins…) avec priorité sur les unités les plus sensibles

  • le suivi de mise en œuvre des dispositions de SSI, le tableaude bord régional SSI et la rédaction du bilan annuel régional

  • le lien avec les RSSI d’autres tutelles

  • des actions de soutien (formation, information, conseils) à destination des CSSI d’unité + conseils en cas d’incident

  • des actions d’information et de sensibilisation des unités(vers la hiérarchie et les utilisateurs)

  • la participation aux exercices d’alerte, à la gestion de crise

  • le relais d’information au sein de la chaîne fonctionnelle SSI (FSD/UREC et CSSI d’unités) et autres chaînes fonctionnelles (universités, autres EPST…)

  • la participation éventuelle à des travaux nationaux

Réunion Directeurs 23/05


Coordination avec les autres tutelles cas des umr

Niveau organisationnel

Coordination avec les autres tutelles (cas des UMR)

  • Tenir compte de :

    • l’extrême diversité des situations et des responsabilités d’exploitation des systèmes et réseaux

    • généralement de l’absence actuelle de dispositions contractuelles relatives aux UMR pour définir qui fait quoi en matière de SSI

    • ce qui peut induire des conflits (divergences de consignes, quelle charte utilisateur, quelle politique de gestion de traces,…) ou des réponses mal adaptées en cas d’incident ou de crise (qui porte plainte par exemple ?)

  • clarifier les responsabilités SSI entre tutelles, si possible au travers de dispositions contractuelles du contrat quadriennal (clauses types disponibles)

  • en particulier clarifier les procédures de gestion des incidents (qui fait quoi) et de remonter d’information

  • définir la PSSI d’unité (qui devra intégrer et préciser ces responsabilités)

  • faire remonter auprès de la chaîne fonctionnelle toute difficulté

Réunion Directeurs 23/05


Organisation ssi au niveau de l unit

Niveau organisationnel

Organisation SSI au niveau de l’unité

  • Responsabilité du directeur de l’unité qui nomme un « Chargé de la Sécurité des Systèmes d’Information » (CSSI) pour lui déléguer le pilotage de la SSI :

    • Le CSSI appartient à l’unité ou à une autre unité dans le cas d’une mutualisation de la SSI (par exemple de petites unités)

    • Dans le cas des UMR : principe de l’unicité du CSSI et de la PSSI vis-à-vis de toutes les tutelles

    • Conséquence : définition d’une tutelle de référence SSI ou du « qui fait quoi »

  • Le CSSI a pour missionsprincipales :

Réunion Directeurs 23/05


Missions principales du cssi en unit

Niveau organisationnel

Missions principales du CSSI en unité

  • Promouvoir la mise en place d’une PSSI d’unité

  • Assurer la diffusion de l’information correspondante et notamment les instructions et recommandations – sensibiliser les utilisateurs -

  • Veiller à l’application de ces instructions et recommandations

  • Veiller à la bonne exploitation des avis des CERT Renater et CERTA

  • Prendre les mesures nécessaires en cas d’incident (ou s’assurer qu’elles sont prises), en liaison si nécessaire avec la chaîne fonctionnelle et en veillant à la bonne remontée de l’information

  • Veiller à la prise en compte de la sécurité dans la rédaction des contrats de sous-traitance et les cahiers des charges des applications

  • Veiller à la déclaration à la CNIL des traitements de données à caractère personnel

  • Assurer la veille en matière de SSI et les niveaux relationnels nécessaire en liaison avec la coordination générale et plus généralement la chaîne fonctionnelle SSI

Réunion Directeurs 23/05


Exemple de pssi op rationnelle d une unit

Exemple de PSSI Opérationnelle d'une Unité

1)Organisation et responsabilités des différents acteurs

*Interne : Directeur et CSSI

Missions du CSSI

*Place de la PSSI dans la chaine fonctionnelle SSI

Réunion Directeurs 23/05


R union directeurs 23

2) Périmètre de la SSI dans l'Unité

Le périmètre de la SSI exclut les services réseau de l'Université tels que:

*Réseaux de télécoms y compris la téléphonie

*Connectivité aux principaux réseaux de campus, métropolitains,..

En revanche, font partie:

* Espace de travail (équipements, logiciels,..)

* Espace de stockage et d'archivage

* Serveurs de mél, web

Réunion Directeurs 23/05


R union directeurs 23

3)Enjeux et menaces

Dans l'Unité, un département travaille avec des partenaires du secteur Défense.

Le laboratoire met en ligne une base de données de dimension internationale avec des données sensibles.

Nous hébergeons une plate-forme d'essais qui a une vocation nationale et dont la disponibilité permanente doit être assurée.

..

Les enjeux essentiels:

-Protection des données scientifiques et industrielles sensibles

-protection des fonctions et outils informatiques et notamment le réseau

-…

Réunion Directeurs 23/05


R union directeurs 23

4) Sécurité Physique

Le CSSI formalise et organise , en concertation avec l'Ingénieur Prévention Sécurité (où ACMO) les plans de sécurité physique des installations techniques situées dans son champ d'action.

Le plan de sécurité prévoit les procédures d'intervention en cas de perturbation grave.

Réunion Directeurs 23/05


R union directeurs 23

5) Principes de mise en œuvre de la PSSI

*Principes d'organisation: Conditions d'accès, Charte informatique

*Politique de sécurité des données: sensibles, à caractère personnel, postes de travail, supports amovibles et matériels nomades, serveurs, applications informatiques, sauvegarde et archivage, réparation..

*Politique de sécurité réseau: gestion du trafic, accès à distance, sans-fil, accès à internet, infrastructure réseau et télécom

Réunion Directeurs 23/05


R union directeurs 23

6) Dispositions diverses

*Procédure de traitement des incidents et plans de gestion de crise

*Maintien du niveau de sécurité: Mise à jour des systèmes, formation et sensibilisation des utilisateurs, postures de sécurité, mises en garde et recommandations de la chaine fonctionnelle.

*Mesure du niveau effectif de sécurité : contrôle de gestion de la SSI, audits, journalisation, tableaux de bord

*Maintenance et développement: Téléactions internes, externes, développement d'applications, clauses dans les marchés

* Référentiel SSI et gestion de la documentation SI

Réunion Directeurs 23/05


Ce qu implique la pssi pour les utilisateurs

Niveau organisationnel

Ce qu’implique la PSSI pour les utilisateurs

  • La prise de conscience des enjeux de la SSI, en particulier la « protection des données » - prise de conscience des menaces – prise de conscience des risques juridiques (en particulier cas des fichiers nominatifs)

  • Le rappel ou la précision de leurs responsabilités, droits et devoirs : en particulier se référer à la charte utilisateur ; noter en particulier la question des « données personnelles », les accès au réseau de matériels extérieurs, les obligations de recouvrement…

  • La connaissance de la chaîne fonctionnelle SSI et en particulier l’identification de leur « CSSI » d’unité

  • La nécessaire administration collective (par les responsables informatiques) des postes individuels – sauf dérogations explicites

  • La connaissance du dispositif de cybersurveillancearrêté au niveau de l’unité (gestion des traces)

  • La nécessaire identification de « leurs » données sensibles

  • La définition des mesures de protection / disponibilité (sauvegardes)

  • Le devoir de protection vis-à-vis de la confidentialité: la sécurisation du poste de travail, la sécurisation des outils nomades, la sécurisation des échanges (messagerie), sécurisation des applications informatiques dont ils ont la charge

  • Les précautions à prendre à l’extérieur (postes nomades, wifi, mails...), en particulier en missions en pays « à risques »

Réunion Directeurs 23/05


Conclusion

Conclusion

La PSSI que vient de promulguer le Directeur du CNRS nous permet de dépasser le stade purement technique de la SSI.

C’est un outil

  • De pilotage

  • De sensibilisation des utilisateurs

  • De discussion avec nos partenaires

  • De maîtrise de la SSI

    PS: Application ASSET :Déclaration en ligne des visiteurs et stagiaires

    https://asset.cnrs.fr/labo

Réunion Directeurs 23/05


  • Login