La Politique de Sécurité des Systèmes d'Information du CNRS

Slides:



Advertisements
Présentations similaires
Cadre de référence Stratégie nationale pour lAgenda 21 territorial lAgenda 21 territorial.
Advertisements

Le Groupe  ses ACTIVITES :
Le Contrôle général économique et financier. 2 Au service de la performance publique Placé auprès de deux ministres : Economie, Industrie, Emploi et Budget,
MAISON DE SANTE PLURIDISCIPLINAIRE CUSSAC
des Structures de Santé
Maîtrise des Outils de Gouvernance pour lEnvironnement et le Développement Une initiative de lInstitut de lÉnergie et de lEnvironnement de la Francophonie.
22/23 juin 2006 Journées ESUP 1 Intégration des services documentaires dans lENT Prise en compte de lexistant et cas particulier du SID précédant lENT.
Journée d’échange du 17 Novembre
ADMINISTRATION RESEAU
Sommaire Introduction Les politiques de sécurité
PROJET DE SERVICE VIE SCOLAIRE
Pôle 3 - Gestion administrative interne
D2 : Sécurité de l'information et des systèmes d'information
LES BONNES PRATIQUES Présentation du 31 Mars 2005
La politique de Sécurité
Année 1 : Etat des lieux / Analyse contextuelle
Soutenance du rapport de stage
DES BONNES PRATIQUES DE LA RECHERCHE POUR LE DÉVELOPPEMENT
La sécurité des personnes et du patrimoine scientifique
COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.
La RBPP sur l’adaptation à l’emploi Du point de vue de l’Anesm
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
Journée Technique Régionale PSSI
Organigramme des services de l’Ecole
Préqualification OMS des Produits Médicamenteux
Le Travail Collaboratif ...
TANGUY Dominique Expert STI SD TICE Les TICE et les Sciences et Techniques Industrielles Thème traité La SD TICE Introduction STI et SDTICE Infrastructures.
Environnements de travail Schéma directeur des. SDET : un méta projet du S3IT S3IT : Une démarche globale Une démarche structurante Une démarche de projet.
Direction générale de la santé Des objectifs explicites : priorités, programmes, plans Mo VI-2-1 Veille, alerte et gestion des situations durgences sanitaires.
Pôle 3 - Gestion administrative interne
Sécurité des Systèmes d'Information
Missions du conseiller en prévention
Deuxième partie : Management
Rapprochement des référentiels d’économie droit BTS Assistant de Gestion PME-PMI BAC PRO « Gestion-Administration »
Nouveaux ATICE lycées et collèges extraits réunion du 9/12/2010 (Ruffec)
StorageAcademy 21 juin 2007 StorageAcademy ® 1 StorageAcademy ITIFORUMS, 21 juin 2007 La conduite des projets d’archivage numérique Méthodes pour réussir.
1 Le management de projet / II : Un enjeu particulier en amont de la gestion de projet : penser et organiser l’expertise  Enjeux et risques liés à l’articulation.
Direction Régionale de l’Environnement DIRECTION REGIONALE DE L’ENVIRONNEMENT FRANCHE-COMTE Présentation du SINP Projet de plateforme du patrimoine naturel.
Project group 1Thessalonique Initiative eLearning TTnet : 4 ème Conférence annuelle du réseau Pratiques de formation des enseignants et formateurs.
9 novembre 2005 Groupe de Travail Système d’Information - Sécurité – M. Georges Strutynski R.S.S.I. au Conseil Général de la Côte-d’Or.
HOPITAL PUBLIC - INTERMEDICA 2002
NOTE DE CADRAGE PRIORITES DE FINANCEMENT 2012
Organigramme projeté au 1er janvier 2009 :
Formalisation de la politique qualité
d’un référentiel compétences Pour Coordinateur de COREVIH
Projet PSSI DGER Établissements
Droit à l'information et secret des affaires dans le monde de
Ministère de la Fonction Publique et de la Modernisation de l’Administration Rencontre mensuelle avec les responsables informatiques des départements ministériels.
1 Deux exemples de management (et d’organisation) de la recherche : le CNRS et l’INRIA Club EEA, Tours, 13 mai 2009.
Offre de service Sécurité des systèmes d’information
Sites Pilotes Généralisation
CNAM - FORUM FRANCO-RUSSE IRT RAILENIUM – Olivier ADAM Le 31 mars 2015
Problématique des réformes budgétaires Unité 3. Module 3.2. Préparer et gérer un programme de réforme.
P.E.P.S. Projet d’Elaboration du Pilotage des Services
Prévention des risques psycho sociaux Pour personnaliser la date : Affichage / En-tête et pied de page Personnaliser la zone date, Cliquer sur appliquer.
Réseau interaméricain de prévention de la violence et de la criminalité Mars 2015.
L'Accueil du public le moyen de rendre opérationnelles les compétences techniques d'un Espace Informatique grâce à une optimisation relationnelle et communicationnelle.
Société de l’information et régions Politique régionale 1 Les stratégies régionales pour la société de l ’information Jean-Bernard Benhaiem,
PROCESSUS D’AUDIT PLANIFICATION DES AUDITS
Délégation Bretagne – Pays de la Loire (DR17)
SERVICE PREVENTION ET SECURITE JOURNEE D’ACCUEIL EN DELEGATION
Assemblée générale annuelle Conseil d’administration Directeur général Directeur adjoint Intervenants Responsable du développement Coordonnatrice clinique.
POLITIQUE NATIONALE DE LA CULTURE (BURKINA FASO).
Informatique et Libertés individuelles. 2 La CNIL La loi en vigueur Nous sommes surveillés ?
La Charte Informatique
PEE Sécurité-Environnement
Coopération Technique Belge Audit interne à la CTB : présentation.
L’objectif premier => nous rencontrer pour prendre connaissances des activités, des compétences et de l’expérience de chacun et mesurer le potentiel de.
Séminaire de clôture TUNIS,16 juin Séminaire de clôture - Jumelage emploi - 16 juin 2014 Appui au pilotage de la coopération internationale quelques.
Les outils de la lutte contre la corruption dans le secteur public
Transcription de la présentation:

La Politique de Sécurité des Systèmes d'Information du CNRS -Enjeux majeurs -Atouts et acquis -Nos vulnérabilités -Impacts des menaces et quelques incidents -Classification des Laboratoires -Structuration des données -Structure d'une PSSI -Organisation et missions au niveau Régional -Organisation et missions au niveau de l'Unité -Exemple type d'une PSSI d'Unité -Ce qu'implique la PSSI pour un utilisateur -Conclusion Réunion Directeurs 23/05

Les enjeux majeurs: Protection du patrimoine scientifique Niveau stratégique Les enjeux majeurs: Protection du patrimoine scientifique Le patrimoine scientifique et technique national est constitué des connaissances, informations et savoir-faire, se rapportant : aux technologies « sensibles » du domaine industriel, aux connaissances et résultats de la recherche scientifique, "dont l ’opportunité de transfert à l ’étranger doit être appréciée au regard des intérêts fondamentaux de la nation". Le patrimoine d’un laboratoire : la réputation du laboratoire auprès de la communauté internationale des spécialistes concernés (nombre et qualité des publications, qualité des interventions dans les échanges internationaux, prix scientifiques…) la valorisation de la recherche, les brevets déposés,… le portefeuille de contrats de recherche (organismes publics, entreprises privées…) les compétences des chercheurs (savoir, savoir faire) le potentiel technique (infrastructures, installations, matériels…) Réunion Directeurs 23/05

Les enjeux majeurs passent par la SSI Niveau stratégique Dans ce contexte la SSI : la disponibilité de l’outil de travail l’intégrité des données et des systèmes la protection de données sensibles données du patrimoine scientifique et technique données ayant trait aux intérêts fondamentaux de la Nation données individuelles données de gestion données échangées, stockées ou transportées (sur postes nomades ou clé USB) la protection juridique (risques administratifs, risques pénaux, protection de l’image de marque, …) est donc un enjeu majeur pour le CNRS Réunion Directeurs 23/05

Des atouts et acquis importants Potentiel de compétence et professionnalisme des acteurs Briques techniques mises en place (recommandations, outils réseaux,…) Des réseaux fonctionnels (coordinateurs et correspondants, + UREC et RENATER) Des actions de sensibilisation (guide, charte…) et un dispositif de formation adapté Des sites WEB de soutien, des listes de diffusion, bulletin Sécurité Informatique... La mise en place de certificats électroniques Réunion Directeurs 23/05

Nos vulnérabilités Les vulnérabilités d’ordre structurel l ’importance des échanges inhérents à la recherche (coopérations…) le caractère ouvert des campus les structures mixtes de recherche la multiplicité des stages et visites les missions en pays à risques la diversité des situations et des comportements Les vulnérabilités d’ordre culturel la culture de communication des chercheurs l ’angélisme… la diversité des comportements Les vulnérabilités d’ordre juridique une conscience insuffisante des risques juridiques les vides ou ambiguïtés juridiques (cybersurveillance des salariés,…) Les vulnérabilités d’ordres techniques Les vulnérabilités liées aux facteurs humains et organisationnels Réunion Directeurs 23/05

Menaces et quelques incidents SSI -Compromission d'un serveur et attaques à partir de ce serveur -Vols d'ordinateurs, cambriolages -Attaques informatiques (mise en place de serveurs Warez) -Transmission par mail de fichiers vidéo à caractère pornographique -Détournement d'un courriel à des fins de diffamation -Mise en cause pénale d'un directeur de laboratoire et de son administrateur -Projet de système d'information sensible avec un fournisseur non digne de confiance -Compromission d'information touchant à la prolifération nucléaire -Utilisation de l'outil informatique pour stockage de documents pornographiques -Menaces de mort par courriel -Utilisation abusive d'Internet à des fins délictueuses -Projets de contrat de Laboratoires avec des entreprises "douteuses" (liées à des officines de renseignements étrangères) -Systèmes et réseaux Réunion Directeurs 23/05

Classification des laboratoires Niveau organisationnel Classification des laboratoires (Source : instruction interministérielle 486 sur la protection du patrimoine scientifique et technique français dans les échanges internationaux) La liste des ERR et des EAS est arrêtée par le SGDN, la liste des ERR est classifiée Établissements à Régime Restrictif (ERR) : établissements dont l ’activité justifie l ’existence d ’un régime d ’accès réglementé et dont l ’application peut concerner tout ou partie de l ’établissement. Il s ’agit d ’établissements effectuant des travaux de recherche, de développement, de fabrication ou de maintenance, et dont la divulgation sans contrôle à des étrangers serait contraire aux intérêts fondamentaux de la Nation Établissements à Accès Surveillé (EAS) : établissements dont l ’activité générale justifie la prise de précautions particulières dans tout ou partie de l ’établissement mais pas l ’existence d ’un régime d ’accès réglementé. Il s ’agit d ’établissements dont les activités ne justifient pas le classement en ERR, mais nécessitent la prise de précautions - codes CNRS propres (ER*, ERX, ES, ESF…) Établissements à Régime Ordinaire (ERO) : dans les autres cas Réunion Directeurs 23/05

Structuration des données Niveau organisationnel Données de gestion interne Données à caractère nominatif Certaines données comptables ou financières Données à caractère politique ou stratégique Données du patrimoine scientifique et technique Données relatives à des compétences ou des savoir faire internes Données relatives à la valorisation des résultats de la recherche Données relatives aux coopérations nationales et internationales Données scientifiques et techniques (travaux et résultats de recherches ayant un caractère appliqué ou lié à des savoir faire), /défense ou / technologies de pointe Données scientifiques et techniques dont la confidentialité est imposée dans le cadre de contrats industriels (données “ confidentiel industriel ”) Données diverses de sécurité Données à caractère non scientifique touchant à des incidents internes, à la prévention, aux classements de sensibilité, aux plans de protection etc…) Réunion Directeurs 23/05

Articulation entre schéma directeur et PSSI (la vision du CNRS) Politique nationale, orientations ministérielles, enjeux pour l’organisme État des lieux Politique SSI de l'organisme Politique et schémas directeurs des partenaires Schéma directeur de la SSI, Plan de mise en œuvre, projets, … Politique SSI des unités Plans locaux de mise en œuvre Évaluation – retour d’expérience Réunion Directeurs 23/05

Contenu du document de PSSI du CNRS C’est un document de pilotage et de communication, il doit donc être simple et concis pour pouvoir être lu par tous les utilisateurs du SI … et surtout par tous les décideurs ! C’est la vision stratégique de l’organisme et la preuve de l’engagement de sa direction Cohérence nécessaire avec les politiques et directives nationales et avec les politiques ou orientations des organismes partenaires (autres tutelles). Réalisme (intégration des données du contexte) Enjeux Périmètre Analyse des risques et besoins Organisation – responsabilités Coordination avec les autres tutelles Mise en œuvre – principales lignes directrices Réunion Directeurs 23/05

Structure d’une PSSI globale (vision CNRS) La SSI n’est pas qu’un problème technique ! Reprise et développement des données du schéma directeur, explicitation des choix, des principes organisationnels et des lignes directrices Niveau technique Dispositifs techniques de protection et de contrôle, administration système et réseau, outils d'audits et d'analyse des incidents, … Niveau organisationnel Normes, règles, plans, procédures, recommandations, structures, … Définition des objectifs stratégiques de la sécurité Niveau stratégique Uniformisation des techniques et méthodes utilisées : référentiel applicatif, définition des produits, outils, méthodes, instructions, dispositif de formation, moyens humains. Responsabilité de la PSSI globale : le FSSI Réunion Directeurs 23/05

Organisation et responsabilités Niveau organisationnel Pilotage : - DG (AQSSI), Comité de pilotage national, - FSD (dont CMSSI rattaché au FSD), - expertise technique (UREC + réseau d’experts) Distinction chaîne organique / chaîne fonctionnelle Organisation et responsabilités au niveau régional Organisation et responsabilités au niveau « unités » Réunion Directeurs 23/05

Cadre organisationnel de la SSI Niveau organisationnel Directeurs d’entités (IN2P3, …) Opérationnel de la SSI (UREC) Direction des Systèmes d'Information CERT RENATER Comité Réseau des Universités Chaîne fonctionnelle Haut Fonctionnaire de Défense Coordination Régionale SSI (CRSSI) Pilotage national CNRS Comité de pilotage Réseau régional des Chargé de SSI (CSSI) Directeurs de laboratoires Délégués régionaux Utilisateurs Hors CNRS CNRS Directeur Général du CNRS Chaîne hiérarchique SGDN (DCSSI, CERTA …) RSSI FSD / FSSI CMSSI La responsabilité "hiérarchique" est cohérente avec le futur rôle AQSSI, des responsabilités du Délégué Régional et sur le terrain des directeurs de labos. L'application de la 901 va renforcer le rôle de véritable RSSI Réunion Directeurs 23/05

Organisation SSI au niveau régional Niveau organisationnel Organisation SSI au niveau régional Une coordination régionale : placée sous la responsabilité générale du délégué régional du CNRS oeuvrant selon les directives de la voie fonctionnelle comprenant : un responsable appartenant à la Délégation, orienté organisation, pilotage régional, relations /tutelles et quelques « experts » appartenant à des unités de recherche avec pour missions principales : Réunion Directeurs 23/05

Missions principales de la coordination régionale Niveau organisationnel le suivi de l’état de sécurité des unités (documents de PSSI, identification du CSSI dans l’unité, bilans de sécurité, état des besoins…) avec priorité sur les unités les plus sensibles le suivi de mise en œuvre des dispositions de SSI, le tableau de bord régional SSI et la rédaction du bilan annuel régional le lien avec les RSSI d’autres tutelles des actions de soutien (formation, information, conseils) à destination des CSSI d’unité + conseils en cas d’incident des actions d’information et de sensibilisation des unités (vers la hiérarchie et les utilisateurs) la participation aux exercices d’alerte, à la gestion de crise le relais d’information au sein de la chaîne fonctionnelle SSI (FSD/UREC et CSSI d’unités) et autres chaînes fonctionnelles (universités, autres EPST…) la participation éventuelle à des travaux nationaux Réunion Directeurs 23/05

Coordination avec les autres tutelles (cas des UMR) Niveau organisationnel Coordination avec les autres tutelles (cas des UMR) Tenir compte de : l’extrême diversité des situations et des responsabilités d’exploitation des systèmes et réseaux généralement de l’absence actuelle de dispositions contractuelles relatives aux UMR pour définir qui fait quoi en matière de SSI ce qui peut induire des conflits (divergences de consignes, quelle charte utilisateur, quelle politique de gestion de traces,…) ou des réponses mal adaptées en cas d’incident ou de crise (qui porte plainte par exemple ?) clarifier les responsabilités SSI entre tutelles, si possible au travers de dispositions contractuelles du contrat quadriennal (clauses types disponibles) en particulier clarifier les procédures de gestion des incidents (qui fait quoi) et de remonter d’information définir la PSSI d’unité (qui devra intégrer et préciser ces responsabilités) faire remonter auprès de la chaîne fonctionnelle toute difficulté Réunion Directeurs 23/05

Organisation SSI au niveau de l’unité Niveau organisationnel Organisation SSI au niveau de l’unité Responsabilité du directeur de l’unité qui nomme un « Chargé de la Sécurité des Systèmes d’Information » (CSSI) pour lui déléguer le pilotage de la SSI : Le CSSI appartient à l’unité ou à une autre unité dans le cas d’une mutualisation de la SSI (par exemple de petites unités) Dans le cas des UMR : principe de l’unicité du CSSI et de la PSSI vis-à-vis de toutes les tutelles Conséquence : définition d’une tutelle de référence SSI ou du « qui fait quoi » Le CSSI a pour missions principales : Réunion Directeurs 23/05

Missions principales du CSSI en unité Niveau organisationnel Missions principales du CSSI en unité Promouvoir la mise en place d’une PSSI d’unité Assurer la diffusion de l’information correspondante et notamment les instructions et recommandations – sensibiliser les utilisateurs - Veiller à l’application de ces instructions et recommandations Veiller à la bonne exploitation des avis des CERT Renater et CERTA Prendre les mesures nécessaires en cas d’incident (ou s’assurer qu’elles sont prises), en liaison si nécessaire avec la chaîne fonctionnelle et en veillant à la bonne remontée de l’information Veiller à la prise en compte de la sécurité dans la rédaction des contrats de sous-traitance et les cahiers des charges des applications Veiller à la déclaration à la CNIL des traitements de données à caractère personnel Assurer la veille en matière de SSI et les niveaux relationnels nécessaire en liaison avec la coordination générale et plus généralement la chaîne fonctionnelle SSI Réunion Directeurs 23/05

Exemple de PSSI Opérationnelle d'une Unité 1)Organisation et responsabilités des différents acteurs *Interne : Directeur et CSSI Missions du CSSI *Place de la PSSI dans la chaine fonctionnelle SSI Réunion Directeurs 23/05

2) Périmètre de la SSI dans l'Unité Le périmètre de la SSI exclut les services réseau de l'Université tels que: *Réseaux de télécoms y compris la téléphonie *Connectivité aux principaux réseaux de campus, métropolitains,.. En revanche, font partie: * Espace de travail (équipements, logiciels,..) * Espace de stockage et d'archivage * Serveurs de mél, web … Réunion Directeurs 23/05

Les enjeux essentiels: 3)Enjeux et menaces Dans l'Unité, un département travaille avec des partenaires du secteur Défense. Le laboratoire met en ligne une base de données de dimension internationale avec des données sensibles. Nous hébergeons une plate-forme d'essais qui a une vocation nationale et dont la disponibilité permanente doit être assurée. .. Les enjeux essentiels: -Protection des données scientifiques et industrielles sensibles -protection des fonctions et outils informatiques et notamment le réseau -… Réunion Directeurs 23/05

4) Sécurité Physique Le CSSI formalise et organise , en concertation avec l'Ingénieur Prévention Sécurité (où ACMO) les plans de sécurité physique des installations techniques situées dans son champ d'action. Le plan de sécurité prévoit les procédures d'intervention en cas de perturbation grave. Réunion Directeurs 23/05

5) Principes de mise en œuvre de la PSSI *Principes d'organisation: Conditions d'accès, Charte informatique *Politique de sécurité des données: sensibles, à caractère personnel, postes de travail, supports amovibles et matériels nomades, serveurs, applications informatiques, sauvegarde et archivage, réparation.. *Politique de sécurité réseau: gestion du trafic, accès à distance, sans-fil, accès à internet, infrastructure réseau et télécom Réunion Directeurs 23/05

6) Dispositions diverses *Procédure de traitement des incidents et plans de gestion de crise *Maintien du niveau de sécurité: Mise à jour des systèmes, formation et sensibilisation des utilisateurs, postures de sécurité, mises en garde et recommandations de la chaine fonctionnelle. *Mesure du niveau effectif de sécurité : contrôle de gestion de la SSI, audits, journalisation, tableaux de bord *Maintenance et développement: Téléactions internes, externes, développement d'applications, clauses dans les marchés * Référentiel SSI et gestion de la documentation SI Réunion Directeurs 23/05

Ce qu’implique la PSSI pour les utilisateurs Niveau organisationnel Ce qu’implique la PSSI pour les utilisateurs La prise de conscience des enjeux de la SSI, en particulier la « protection des données » - prise de conscience des menaces – prise de conscience des risques juridiques (en particulier cas des fichiers nominatifs) Le rappel ou la précision de leurs responsabilités, droits et devoirs : en particulier se référer à la charte utilisateur ; noter en particulier la question des « données personnelles », les accès au réseau de matériels extérieurs, les obligations de recouvrement… La connaissance de la chaîne fonctionnelle SSI et en particulier l’identification de leur « CSSI » d’unité La nécessaire administration collective (par les responsables informatiques) des postes individuels – sauf dérogations explicites La connaissance du dispositif de cybersurveillance arrêté au niveau de l’unité (gestion des traces) La nécessaire identification de « leurs » données sensibles La définition des mesures de protection / disponibilité (sauvegardes) Le devoir de protection vis-à-vis de la confidentialité : la sécurisation du poste de travail, la sécurisation des outils nomades, la sécurisation des échanges (messagerie), sécurisation des applications informatiques dont ils ont la charge Les précautions à prendre à l’extérieur (postes nomades, wifi, mails...), en particulier en missions en pays « à risques » Réunion Directeurs 23/05

Conclusion La PSSI que vient de promulguer le Directeur du CNRS nous permet de dépasser le stade purement technique de la SSI. C’est un outil De pilotage De sensibilisation des utilisateurs De discussion avec nos partenaires De maîtrise de la SSI PS: Application ASSET :Déclaration en ligne des visiteurs et stagiaires https://asset.cnrs.fr/labo Réunion Directeurs 23/05