Sécurité des systèmes d'information des EPLEFPA D. COLISSON DRTIC DRAAF/SRFD Rhône-Alpes Octobre 2010

Contexte De nombreuses attaques (Virus, spam, …), des vols de matériels, … Remplacement des serveurs de sécurités (Février-mars 2010) Les maj des antivirus ne sont pas toujours faites dans les établissements Demande des apprenants d’accès à Internet le soir, demande des personnels d’usage d’équipement personnel

Etat des lieux Changement des serveurs de sécurité terminée permettant : ● la protection de base (contre l'intrusion) est assurée pour tous les sites géographiques ● l'accès des sites distants pour la connexion aux LGA ● l'accès des agences comptables aux compta des EPLEFPA distants ● la maintenance LGA du CNERTA assurée

Etat des lieux La protection des établissements est très inégales vis à vis : ● Des virus et autres logiciels malveillants ● Le filtrage des sites web (architecture à revoir parfois, solution ancienne mais fonctionnelle,...) ● De l'accès des postes nomades ou depuis l'internat ● De local serveurs non protégé

Architecture du réseau de communication des EPLEFPA Les flux d'information en E/S des EPLEFPA Internet AMPLIVIA VPN EA Etablissement d’EA (EPLEFPA) EDUTER/CNERTA : Firewall/VPN PFsense Site central (LEGTA ou LPA) Firewall/VPN PFsense Site distant (Antenne et/ou CFPPA) Serveurs LGA Client VPN Prisme 3 (Checkpoint) pour accès au CERI CERI de Toulouse Serveur Central Checkpoint Lien xDSL Etablissement d’EA (EPLEFPA) Multisites pour une grande majorité d’entre eux Routeur Collecte xDSL Ministère du Budget Passerelle CISCO Client VPN Ministère du Budget

Architecture du réseau de communication des EPLEFPA Flux : connexion Agence Comptable Internet AMPLIVIA VPN EA Etablissement d’EA (EPLEFPA) EDUTER/CNERTA : Firewall/VPN PFsense Site central (Héberge l’Agence comptable) Firewall/VPN Checkpoint Site central Serveurs LGA Lien xDSL Etablissement d’EA N°1 (EPLEFPA) Routeur Collecte xDSL Etablissement d’EA N°2 (EPLEFPA) Serveurs LGA Lien xDSL Ministère du Budget Passerelle CISCO Client VPN Ministère du Budget Client VPN Ministère du Budget

Serveur de sécurité Pfsense Les flux d'information internes à un site géographique d’un EPLEFPA « architecture peu sécurisée » Internet Routeur Commutateur (Switch) Serveurs LGA Réseau VDI Administrative, VS Réseau VDI pédagogique Réseau nomade internat

Serveur de sécurité Pfsense Les flux d'information internes à un site géographique d’un EPLEFPA « architecture sécurisée » Internet Routeur Serveurs de Gestion (LGA) Client VPN Commutateur n°1 (Switch) Réseau VDI administratif Commutateur n°2 (Switch) Réseau VDI pédagogique Commutateur n°3 (Switch) Réseau VDI nomade, internat

Sécuriser les accès physique aux zones sensibles (salle serveurs, bureaux sensibles, …) Mettre en place une politique de sauvegarde des données Mettre en place l’architecture du système d’information adaptée avant d’autoriser les usages Fermer les sessions de travail, utiliser des mots de passe robustes LES MESURES A PRENDRE

Réformer les vieux ordinateurs pour éviter les trous de sécurité Ne pas mettre en place l’informatique domestique dans un lieu de travail professionnel Pouvoir identifier les usagers individuellement sur le réseau Responsabiliser les usagers pour assurer la continuité de service LES MESURES A PRENDRE

Le Rôle des équipes de direction Mise en place d’un tableau de bord Faciliter la mise en place d’une culture de sécurité du système d’information S’interdire de mettre en place de nouveaux services aux usagers si la sécurité adaptée n’est pas assurée

Tableau de bord

Documents de référence Portail DRTIC : drtic.educagri.fr Les textes réglementaires Les réseaux VDI des EPLEFPA PSSI - Nomadisme et mobilité en établissement