1 / 26

La Politique de Sécurité des Systèmes d'Information du CNRS

La Politique de Sécurité des Systèmes d'Information du CNRS. -Enjeux majeurs -Atouts et acquis -Nos vulnérabilités -Impacts des menaces et quelques incidents -Classification des Laboratoires -Structuration des données -Structure d'une PSSI -Organisation et missions au niveau Régional

aspen
Download Presentation

La Politique de Sécurité des Systèmes d'Information du CNRS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. La Politique de Sécurité des Systèmes d'Information du CNRS -Enjeux majeurs -Atouts et acquis -Nos vulnérabilités -Impacts des menaces et quelques incidents -Classification des Laboratoires -Structuration des données -Structure d'une PSSI -Organisation et missions au niveau Régional -Organisation et missions au niveau de l'Unité -Exemple type d'une PSSI d'Unité -Ce qu'implique la PSSI pour un utilisateur -Conclusion Réunion Directeurs 23/05

  2. Niveau stratégique Les enjeux majeurs:Protection du patrimoine scientifique • Le patrimoine scientifique et technique national est constitué des connaissances, informations et savoir-faire, se rapportant : • aux technologies « sensibles » du domaine industriel, • aux connaissances et résultats de la recherche scientifique, "dont l ’opportunité de transfert à l ’étranger doit être appréciée au regard des intérêts fondamentaux de la nation". • Le patrimoine d’un laboratoire : • la réputation du laboratoire auprès de la communautéinternationale des spécialistes concernés (nombre etqualité des publications, qualité des interventions dans les échanges internationaux, prix scientifiques…) • la valorisation de la recherche, les brevets déposés,… • le portefeuille de contrats de recherche (organismes publics, entreprises privées…) • les compétences des chercheurs (savoir, savoir faire) • le potentiel technique (infrastructures, installations, matériels…) Réunion Directeurs 23/05

  3. Niveau stratégique Les enjeux majeurspassent par la SSI Dans ce contexte la SSI : • la disponibilité de l’outil de travail • l’intégrité des données et des systèmes • la protection de données sensibles • données du patrimoine scientifique et technique • données ayant trait aux intérêts fondamentaux de la Nation • données individuelles • données de gestion • données échangées, stockées ou transportées(sur postes nomades ou clé USB) • la protection juridique (risques administratifs, risques pénaux, protection de l’image de marque, …) est donc un enjeu majeur pour le CNRS Réunion Directeurs 23/05

  4. Des atouts et acquis importants • Potentiel de compétence etprofessionnalisme des acteurs • Briques techniques mises en place(recommandations, outils réseaux,…) • Des réseaux fonctionnels (coordinateurset correspondants, + UREC et RENATER) • Des actions de sensibilisation (guide,charte…) et un dispositif de formation adapté • Des sites WEB de soutien, des listes de diffusion, bulletin Sécurité Informatique... • La mise en place de certificats électroniques Réunion Directeurs 23/05

  5. Nos vulnérabilités • Les vulnérabilités d’ordre structurel • l ’importance des échanges inhérents à la recherche (coopérations…) • le caractère ouvert des campus • les structures mixtes de recherche • la multiplicité des stages et visites • les missions en pays à risques • la diversité des situations et des comportements • Les vulnérabilités d’ordre culturel • la culture de communication des chercheurs • l ’angélisme… • la diversité des comportements • Les vulnérabilités d’ordre juridique • une conscience insuffisante des risques juridiques • les vides ou ambiguïtés juridiques (cybersurveillancedes salariés,…) • Les vulnérabilités d’ordres techniques • Les vulnérabilités liées aux facteurshumains et organisationnels Réunion Directeurs 23/05

  6. Menaces et quelques incidents SSI -Compromission d'un serveur et attaques à partir de ce serveur -Vols d'ordinateurs, cambriolages -Attaques informatiques (mise en place de serveurs Warez) -Transmission par mail de fichiers vidéo à caractère pornographique -Détournement d'un courriel à des fins de diffamation -Mise en cause pénale d'un directeur de laboratoire et de son administrateur -Projet de système d'information sensible avec un fournisseur non digne de confiance -Compromission d'information touchant à la prolifération nucléaire -Utilisation de l'outil informatique pour stockage de documents pornographiques -Menaces de mort par courriel -Utilisation abusive d'Internet à des fins délictueuses -Projets de contrat de Laboratoires avec des entreprises "douteuses" (liées à des officines de renseignements étrangères) -Systèmes et réseaux Réunion Directeurs 23/05

  7. Niveau organisationnel Classification des laboratoires (Source : instruction interministérielle 486 sur la protection du patrimoine scientifique et technique français dans les échanges internationaux) La liste des ERR et des EAS est arrêtée par le SGDN, la liste des ERR est classifiée Établissements à Régime Restrictif (ERR) : établissements dont l ’activité justifie l ’existence d ’un régime d ’accès réglementé et dont l ’application peut concerner tout ou partie de l ’établissement. Il s ’agit d ’établissements effectuant des travaux de recherche, de développement, de fabrication ou de maintenance, et dont la divulgation sans contrôle à des étrangers serait contraire aux intérêts fondamentaux de la Nation Établissements à Accès Surveillé (EAS) : établissements dont l ’activité générale justifie la prise de précautions particulières dans tout ou partie de l ’établissement mais pas l ’existence d ’un régime d ’accès réglementé. Il s ’agit d ’établissements dont les activités ne justifient pas le classement en ERR, mais nécessitent la prise de précautions - codes CNRS propres (ER*, ERX, ES, ESF…) Établissements à Régime Ordinaire (ERO) :dans les autres cas Réunion Directeurs 23/05

  8. Niveau organisationnel Structuration des données • Données de gestion interne • Données à caractère nominatif • Certaines données comptables ou financières • Données à caractère politique ou stratégique • Données du patrimoine scientifique et technique • Données relatives à des compétences ou des savoir faire internes • Données relatives à la valorisation des résultats de la recherche • Données relatives aux coopérations nationales et internationales • Données scientifiques et techniques (travaux et résultats derecherches ayant un caractère appliqué ou lié à des savoir faire),/défense ou / technologies de pointe • Données scientifiques et techniques dont la confidentialitéest imposée dans le cadre de contrats industriels (données “ confidentiel industriel ”) • Données diverses de sécurité • Données à caractère non scientifique touchant à des incidents internes, à la prévention, aux classements de sensibilité, aux plans de protection etc…) Réunion Directeurs 23/05

  9. Politique nationale, orientations ministérielles, enjeux pour l’organisme État des lieux Politique et schémas directeursdes partenaires Articulation entre schéma directeur et PSSI(la vision du CNRS) Politique SSI de l'organisme Schéma directeur de la SSI, Plan de mise en œuvre, projets, … Politique SSI des unités Plans locaux de mise en œuvre Évaluation – retour d’expérience Réunion Directeurs 23/05

  10. Contenu du document de PSSI duCNRS C’est un document de pilotage et de communication, il doit donc être simple et concis pour pouvoir être lu par tous les utilisateurs du SI … et surtout par tous les décideurs ! C’est la vision stratégique de l’organisme et la preuve de l’engagement de sa direction • Enjeux • Périmètre • Analyse des risques et besoins • Organisation – responsabilités • Coordination avec les autrestutelles • Mise en œuvre – principales lignes directrices Réunion Directeurs 23/05

  11. Niveau stratégique Définition des objectifs stratégiques de la sécurité Niveau organisationnel Normes, règles, plans, procédures, recommandations, structures, … Niveau technique Dispositifs techniques de protection et de contrôle, administration système et réseau, outils d'audits et d'analyse des incidents, … Structure d’une PSSI globale(vision CNRS) La SSI n’est pas qu’un problème technique ! Reprise et développement des données du schéma directeur, explicitation des choix, des principes organisationnels et des lignes directrices Uniformisation des techniques et méthodes utilisées : référentiel applicatif, définition des produits, outils, méthodes, instructions, dispositif de formation, moyens humains. Responsabilité de la PSSI globale : le FSSI Réunion Directeurs 23/05

  12. Niveau organisationnel Organisation et responsabilités • Pilotage : - DG (AQSSI), Comité de pilotage national, - FSD (dont CMSSI rattaché au FSD), - expertise technique (UREC + réseau d’experts) • Distinction chaîne organique / chaîne fonctionnelle • Organisation et responsabilités au niveau régional • Organisation et responsabilités au niveau « unités » Réunion Directeurs 23/05

  13. Niveau organisationnel Chaîne fonctionnelle SGDN (DCSSI, CERTA …) Haut Fonctionnaire de Défense Chaîne hiérarchique Pilotage national CNRS Comité de pilotage Directeur Général du CNRS CERT RENATER Direction des Systèmes d'Information FSD / FSSI RSSI Hors CNRS CNRS Opérationnel de la SSI (UREC) CMSSI Directeurs d’entités (IN2P3, …) RSSI Délégués régionaux Comité Réseau des Universités Coordination Régionale SSI (CRSSI) Utilisateurs Directeurs de laboratoires Réseau régional des Chargé de SSI (CSSI) Utilisateurs Cadre organisationnel de la SSI La responsabilité "hiérarchique" est cohérente avec le futur rôle AQSSI, des responsabilités du Délégué Régional et sur le terrain des directeurs de labos. L'application de la 901 va renforcer le rôle de véritable RSSI Réunion Directeurs 23/05

  14. Niveau organisationnel Organisation SSI au niveau régional • Une coordination régionale : • placée sous la responsabilité générale du délégué régional du CNRS • oeuvrant selon les directives de la voie fonctionnelle • comprenant : • un responsable appartenant à laDélégation, orienté organisation,pilotage régional, relations /tutelles • et quelques « experts » appartenantà des unités de recherche • avec pour missions principales : Réunion Directeurs 23/05

  15. Niveau organisationnel Missions principales de la coordination régionale • le suivi de l’état de sécurité des unités (documents de PSSI, identification du CSSI dans l’unité, bilans de sécurité, état des besoins…) avec priorité sur les unités les plus sensibles • le suivi de mise en œuvre des dispositions de SSI, le tableaude bord régional SSI et la rédaction du bilan annuel régional • le lien avec les RSSI d’autres tutelles • des actions de soutien (formation, information, conseils) à destination des CSSI d’unité + conseils en cas d’incident • des actions d’information et de sensibilisation des unités(vers la hiérarchie et les utilisateurs) • la participation aux exercices d’alerte, à la gestion de crise • le relais d’information au sein de la chaîne fonctionnelle SSI (FSD/UREC et CSSI d’unités) et autres chaînes fonctionnelles (universités, autres EPST…) • la participation éventuelle à des travaux nationaux Réunion Directeurs 23/05

  16. Niveau organisationnel Coordination avec les autres tutelles (cas des UMR) • Tenir compte de : • l’extrême diversité des situations et des responsabilités d’exploitation des systèmes et réseaux • généralement de l’absence actuelle de dispositions contractuelles relatives aux UMR pour définir qui fait quoi en matière de SSI • ce qui peut induire des conflits (divergences de consignes, quelle charte utilisateur, quelle politique de gestion de traces,…) ou des réponses mal adaptées en cas d’incident ou de crise (qui porte plainte par exemple ?) • clarifier les responsabilités SSI entre tutelles, si possible au travers de dispositions contractuelles du contrat quadriennal (clauses types disponibles) • en particulier clarifier les procédures de gestion des incidents (qui fait quoi) et de remonter d’information • définir la PSSI d’unité (qui devra intégrer et préciser ces responsabilités) • faire remonter auprès de la chaîne fonctionnelle toute difficulté Réunion Directeurs 23/05

  17. Niveau organisationnel Organisation SSI au niveau de l’unité • Responsabilité du directeur de l’unité qui nomme un « Chargé de la Sécurité des Systèmes d’Information » (CSSI) pour lui déléguer le pilotage de la SSI : • Le CSSI appartient à l’unité ou à une autre unité dans le cas d’une mutualisation de la SSI (par exemple de petites unités) • Dans le cas des UMR : principe de l’unicité du CSSI et de la PSSI vis-à-vis de toutes les tutelles • Conséquence : définition d’une tutelle de référence SSI ou du « qui fait quoi » • Le CSSI a pour missionsprincipales : Réunion Directeurs 23/05

  18. Niveau organisationnel Missions principales du CSSI en unité • Promouvoir la mise en place d’une PSSI d’unité • Assurer la diffusion de l’information correspondante et notamment les instructions et recommandations – sensibiliser les utilisateurs - • Veiller à l’application de ces instructions et recommandations • Veiller à la bonne exploitation des avis des CERT Renater et CERTA • Prendre les mesures nécessaires en cas d’incident (ou s’assurer qu’elles sont prises), en liaison si nécessaire avec la chaîne fonctionnelle et en veillant à la bonne remontée de l’information • Veiller à la prise en compte de la sécurité dans la rédaction des contrats de sous-traitance et les cahiers des charges des applications • Veiller à la déclaration à la CNIL des traitements de données à caractère personnel • Assurer la veille en matière de SSI et les niveaux relationnels nécessaire en liaison avec la coordination générale et plus généralement la chaîne fonctionnelle SSI Réunion Directeurs 23/05

  19. Exemple de PSSI Opérationnelle d'une Unité 1)Organisation et responsabilités des différents acteurs *Interne : Directeur et CSSI Missions du CSSI *Place de la PSSI dans la chaine fonctionnelle SSI Réunion Directeurs 23/05

  20. 2) Périmètre de la SSI dans l'Unité Le périmètre de la SSI exclut les services réseau de l'Université tels que: *Réseaux de télécoms y compris la téléphonie *Connectivité aux principaux réseaux de campus, métropolitains,.. En revanche, font partie: * Espace de travail (équipements, logiciels,..) * Espace de stockage et d'archivage * Serveurs de mél, web … Réunion Directeurs 23/05

  21. 3)Enjeux et menaces Dans l'Unité, un département travaille avec des partenaires du secteur Défense. Le laboratoire met en ligne une base de données de dimension internationale avec des données sensibles. Nous hébergeons une plate-forme d'essais qui a une vocation nationale et dont la disponibilité permanente doit être assurée. .. Les enjeux essentiels: -Protection des données scientifiques et industrielles sensibles -protection des fonctions et outils informatiques et notamment le réseau -… Réunion Directeurs 23/05

  22. 4) Sécurité Physique Le CSSI formalise et organise , en concertation avec l'Ingénieur Prévention Sécurité (où ACMO) les plans de sécurité physique des installations techniques situées dans son champ d'action. Le plan de sécurité prévoit les procédures d'intervention en cas de perturbation grave. Réunion Directeurs 23/05

  23. 5) Principes de mise en œuvre de la PSSI *Principes d'organisation: Conditions d'accès, Charte informatique *Politique de sécurité des données: sensibles, à caractère personnel, postes de travail, supports amovibles et matériels nomades, serveurs, applications informatiques, sauvegarde et archivage, réparation.. *Politique de sécurité réseau: gestion du trafic, accès à distance, sans-fil, accès à internet, infrastructure réseau et télécom Réunion Directeurs 23/05

  24. 6) Dispositions diverses *Procédure de traitement des incidents et plans de gestion de crise *Maintien du niveau de sécurité: Mise à jour des systèmes, formation et sensibilisation des utilisateurs, postures de sécurité, mises en garde et recommandations de la chaine fonctionnelle. *Mesure du niveau effectif de sécurité : contrôle de gestion de la SSI, audits, journalisation, tableaux de bord *Maintenance et développement: Téléactions internes, externes, développement d'applications, clauses dans les marchés * Référentiel SSI et gestion de la documentation SI Réunion Directeurs 23/05

  25. Niveau organisationnel Ce qu’implique la PSSI pour les utilisateurs • La prise de conscience des enjeux de la SSI, en particulier la « protection des données » - prise de conscience des menaces – prise de conscience des risques juridiques (en particulier cas des fichiers nominatifs) • Le rappel ou la précision de leurs responsabilités, droits et devoirs : en particulier se référer à la charte utilisateur ; noter en particulier la question des « données personnelles », les accès au réseau de matériels extérieurs, les obligations de recouvrement… • La connaissance de la chaîne fonctionnelle SSI et en particulier l’identification de leur « CSSI » d’unité • La nécessaire administration collective (par les responsables informatiques) des postes individuels – sauf dérogations explicites • La connaissance du dispositif de cybersurveillancearrêté au niveau de l’unité (gestion des traces) • La nécessaire identification de « leurs » données sensibles • La définition des mesures de protection / disponibilité (sauvegardes) • Le devoir de protection vis-à-vis de la confidentialité: la sécurisation du poste de travail, la sécurisation des outils nomades, la sécurisation des échanges (messagerie), sécurisation des applications informatiques dont ils ont la charge • Les précautions à prendre à l’extérieur (postes nomades, wifi, mails...), en particulier en missions en pays « à risques » Réunion Directeurs 23/05

  26. Conclusion La PSSI que vient de promulguer le Directeur du CNRS nous permet de dépasser le stade purement technique de la SSI. C’est un outil • De pilotage • De sensibilisation des utilisateurs • De discussion avec nos partenaires • De maîtrise de la SSI PS: Application ASSET :Déclaration en ligne des visiteurs et stagiaires https://asset.cnrs.fr/labo Réunion Directeurs 23/05

More Related