Délégation Bretagne – Pays de la Loire (DR17) La Sécurité de l'Information et son Évolution en cours SSI DR17 – 2012 Intervenants : Michel GALLOU SSI - Délégation Bretagne et Pays de la Loire. 1

2 | Le cadre légal et réglementaire SOMMAIRE P. 2 1 | La sécurité de l'information et la Protection du Potentiel Scientifique et Technique 2 | Le cadre légal et réglementaire 3 | Les enjeux de sécurité de l'information 4 | Vulnérabilités et Incidents constatés 5 | La Politique de Sécurité des Systèmes d'Information 6 | Quoi faire en laboratoire pour une bonne sécurité 7 | Texte de loi et Sigles Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 2

Le cadre légal et réglementaire L'état organise la protection de son patrimoine • L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été créée par le décret n° 2009-834 du 7 juillet 2009 • Des décrets, circulaires, recommandations sont édictés pour définir les règles légales de sécurité de l'information à respecter dans les laboratoires • 25 novembre 2009 : Mise en place des observatoires zonaux de la sécurité des systèmes d’information • 4 février 2010 : Publication du décret RGS (Référentiel Général de sécurité) au Journal Officiel • 2 novembre 2011 : décret PPST : Protection du Potentiel Scientifique et technique Le CNRS diffuse de l'information sur la « sécurité de l'information » • Des avis et alertes sont diffusés pour expliquer: • Comment adapter la mise en oeuvre de la sécurité de l'information aux conditions spécifiques de chaque laboratoire • Comment protéger les données et les personnes P. 3 Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 3

Les objectifs et intérêts de l'état et du CNRS en SSI La sécurité de l'information s'étend sur plusieurs domaines - La sécurité de l'information concerne les méthodes d'échanges d'informations, pour les contrats de recherche, dépôts de brevets en tenant compte des comportements et les supports physiques de l'information - La sécurité informatique concerne la mise en œuvre des services informatiques d'infrastructure et ouverts aux utilisateurs ( réseaux, ouverture de comptes, messagerie, sauvegardes,...) - Le Potentiel Scientifique et Technique concerne l'organisation du laboratoire pour assurer légalement la sécurité des biens (locaux), des savoirs, des personnes. Un compte informatique peut être considéré comme un bien. P. 4 Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 4

Les objectifs et intérêts de l'état et du CNRS en SSI P. 5 La sécurité de l'Information est un objectif stratégique de l'état Elle est pilotée par l'ANSSI Agence Nationale de Sécurité de l'Information Le RGS (Référentiel Général de Sécurité) donne trois années aux Autorités Administratives pour mettre leur système d'information en conformité avec les directives Le système d'information (virtuel) est le dispositif le plus critique d'un laboratoire, au même titre que l'eau, l'électricité, le chauffage, avec un nécessité de compétence locale : - il contient l'essentiel des informations humaines, de gestion et scientifiques du laboratoire, - il est en connexion permanente avec le monde extérieur. Ceci est accru par la convergence avec la mobilité. Le Directeur Général a défini le 16/11/2006 les conditions de mise en oeuvre de la PSSI du CNRS (Politique de Sécurité des Systèmes D'information Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 5

Les enjeux de la sécurité de l'information P. 6 La réputation du laboratoire par la qualité et la confidentialité éventuelle (en fonction de la classification) de ses publications, auprès des partenaires contractuels, auprès de la communauté scientifique internationale. - La protection - des informations dans leurs phases critiques (brevets en cours de dépôt), - des données scientifique en cas de vol ou de perte, - des pratiques scientifiques (savoir, savoir faire), - des dispositifs techniques: réseaux informatiques, salles de calculs (Contrôles d'accès, onduleurs, sauvegardes, mises à jour de sécurité), - Juridique des agents, lorsque le respect des mesures de sécurité est réalisé. Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 6

L'éthique de la sécurité de l'information et la recherche publique La sécurité de l'information fait partie de l'éthique d'une institution de recherche publique envers la société. Nous ne devons pas - relayer les fraudes et les malveillances, mettre en danger des personnes - aller à l'encontre d'intérêts stratégiques ou économiques nationaux Nous devons nous conformer aux lois et aux règlements du CNRS. Les règles de gestion du système d'information doivent respecter le devoir de confidentialité lors de l'accès aux informations correspondant - à la vie privées des personnes - au classement de sécurité des informations Le CNRS a des objectifs de sécurité assez complémentaires à ceux des universités. Leur association est le meilleur compromis pour les laboratoires. Universités -> Sécurité d'infrastructure (réseaux physiques) et de services (ouverture de comptes, messagerie, sauvegardes,...) , CNRS -> Sécurité de la recherche (patrimoine scientifique, personnes, informations) Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 7

Quelques vulnérabilités P. 8 Vulnérabilités institutionnelles Les relations entre les multiples tutelles d'un laboratoire (#réglementations) L'adéquation entre le niveau de sécurité du laboratoire et l'ouverture des campus L'accueil des personnes (projets internationaux, stages, visites) Parfois les ambitions politiques des dirigeants pour leur institution (barrières) Vulnérabilités culturelles ou de circonstances Les visites en pays à risque (Ordinateurs portables dédiés ou chiffrés) Les Conflits/Concurrence entre pays Les échanges d'informations (authentification, chiffrement, agendas, brevets) Les échanges non professionnels sur le poste de travail (ventes/internet,mail) L'angélisme (il n'y a rien de confidentiel, les autres ne comprennent pas,...) Les conflits entre personnes, Vulnérabilités juridiques La loi sur l'économie numérique, s'adapte en fonction de l'évolution des technologies. La jurisprudence est par principe très attentive au respect de la forme de l'action de l'informaticien. Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 8

Quelques incidents constatés P. 9 les vols d'ordinateurs portables Sur le lieu de travail entre 12h et 14h Au domicile de jour comme de nuit (préparation par appels téléphoniques anonymes) Pendant un transport (principalement en région parisienne & TGV) Au cours d'un congrès (présomption d'un ciblage) Préjudices : perte de matériel, perte d'information scientifique, défaut de confidentialité-> perte d'image de marque + risque judiciaire en fonction des contrats Les usurpations d'identités (PHISHING) par un message demandant un accès sur un compte pour en vérifier la validité ou pour le débloquer (messagerie, carte bleue,...) Préjudices : perte financière personnelle, plainte éventuelle en cas d'utilisation frauduleuse, incident diplomatique, saturation de serveurs de messagerie Voir le lien de Rennes 1 : http://www.cri.univ-rennes1.fr/personnels/securite/phishing/ La mise à profit d'un séjour dans une UMR pour récupérer de l'information en outrepassant la législation internationale Préjudices : risque d'augmentation des tarifs d'abonnement de l'éditeur, risque social du fait d'une utilisation inadéquate, infraction aux règles de bonne conduite internationales Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 9

Quelques incidents constatés P. 10 Non maîtrise de l'information lors d'un reportage par un journaliste manipulateur Préjudices : perte d'image de marque, risque d'agression par des groupes militants internationaux Mésentente dans les équipes ou sous-traitance mal définie , => perte de vigilance -> intrusion sur les serveurs Préjudices : vente de viagra sur le web, risque de plainte en cas de diffusion d'information frauduleuse ou répréhensible Atteinte à la réputation -> envoi de messages internet diffamatoires Perte d'image de marque, perte de temps pour réparer, défaut de service pour les utilisateurs Les virus, vers, trojan sur les postes de travail Préjudices : perte de temps pour la victime et pour l'informaticien, perturbation dans toute l'unité, tension humaine, stress, période de crise Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 10

Politique de Sécurité de l'Information des laboratoires Sous la responsabilité du directeur c'est une démarche collective de mise en oeuvre d'un Système de management de la sécurité, basé sur l'évaluation des risques. C'est un processus d'amélioration continue, avec une vérification permanente, C'est un investissement mesurable pour l'unité (norme=>audit), Il est visible par les partenaires du laboratoire (confiance ). La responsabilité de sécurité est collective (partage d'information dans un périmètre). Sécurité -> Qualité -> Confiance La sécurité ne doit pas être une entrave à la recherche L'activité de recherche doit s'exercer en pleine conscience des risques liés à l'utilisation des technologie de l'information sous la responsabilité du directeur de l'unité. L'élaboration d'une PSSI d'unité consiste à trouver le compromis rentable entre les mesures de sécurité et un travail scientifique de qualité. Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 11

Politique de Sécurité de l'information des laboratoires Méthode normative type ISO27001 / Analyse des risques -Prendre des précautions raisonnables face au risque -Ne pas se garantir contre un risque non encouru Les étapes de mise en oeuvre Sous l'autorité du directeur « juridiquement responsable » Désignation du chargé de sécurité de l'information/unité Réunion de direction Mise en place d'un comité de sécurité de l'information de laboratoire Rédiger la Déclaration d'applicabilité qui décrit et justifie les mesures de sécurité retenues Assurer la gestion de la documentation ... Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 12

L'organisation Régionale de Sécurité de l'Information P. 13 Missions de la Commission régionale (CRSSI) - Mise en oeuvre des PSSI d'unités - création d'un réseau de correspondants de sécurité de l'information d'unité - suivi de mise en place dans les unités prioritaires du fait de leur classification - soutien aux CSSI d'unité - Actions de formation et sensibilisation auprès des laboratoires - Relai d'information des chaînes fonctionnelles (CNRS,Universités) - Lien avec les RSSI des autres tutelles - Participation aux exercices d'alerte et de gestion de crise - Vérification du suivi des procédures de sécurité correspondant au classement des unités. - Gestion des déclarations obligatoires d'incidents Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 13

Sécurité de l'information L'organisation régionale P. 14 La Commission Régionale d'experts (CRSSI) est sous la responsabilité du délégué régional. 6 experts en sécurité de l'information Jacquelin Charbonnel LAREMA Angers Denis Creusot IRCCYN Nantes Michel Gallou DR17 Rennes (coordinateur) Didier Guillot IMN Nantes Pierre Lafon IETR Rennes Bernard Perrot Math Brest Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 14

Que faire pour protéger un laboratoire ? Quelques exemples Organiser les sauvegardes systématiques des postes de travail, centralisées au laboratoire - Avec chiffrement pour les données sensibles Contrainte : gestion des clés de recouvrements lors de perte d'accès Mise en sécurité des supports de sauvegarde (Coffre fort) protection contre la perte ou le vol respect de la confidentialité lors de la mise au coffre Utilisation à l'étranger d'ordinateurs portables banalisés ou avec disques chiffrés - Chiffrement des échanges par logiciels (messagerie) et une utilisation hors laboratoire Par exemple: Truecrypt avec des données sur une clé USB, disque amovible, ordinateur personnel Utiliser la biométrie pour accéder aux données sensibles (clé USB ou ordinateur avec empreintes digitales) Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 15

Que faire pour protéger un laboratoire ? Quelques exemples Contrôle des accès à l'entrée du laboratoire ( La loi va évoluer vers la protection de zone) Cela permet d'être plus libre dans le laboratoire qui devient un espace protégé. - Définir dans chaque laboratoire les procédures d'alerte de la chaîne fonctionnelle en cas d'incident - Ne pas utiliser des logiciels ou des services gracieusement offerts par une société externe ou étrangère. (DOODLE, Google APPS, gmail, ....) - Etudier la possibilité de tracer géographiquement un ordinateur (POMBO,...) Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 16

Les contraintes réglementaires et légales P. 17 - La Déclaration des incidents de sécurité est obligatoire (https://aresu.dsi.cnrs.fr/spip.php?article109) - Les visiteurs étrangers doivent être déclarés, la meilleure méthode étant la déclaration en ligne (asset) - Les missions dans les pays à risque doivent être déclarées (SIMBAD) - La charte informatique doit être annéxée au règlement intérieur -Les systèmes d'information devront être en conformité avec le RGS 'Référentiel Général de Sécurité » (décret n° 2010-112 du 2 février 2010) - La loi en cours de mise en oeuvre des ZRR induira la responsabilité par rapport au code pénal pour les auteurs des infractions. Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 17

Liste de sigles P. 18 ANSSI Agence Nationale de Sécurité des Systèmes d'Information CRSSI Coordination Régionale de Sécurité des Systèmes d'Information CSSI Chargé de Sécurité des Systèmes d'Information FSD Fonctionnaire de Sécurité et de Défense PDCA Plan Do Check Act : roue de Deming PSSI Politique de Sécurité des Systèmes d'information du CNRS PSSI d'unité Déclinaison de la PSSI pour l'unité (--- équivalence normée SMSI ) PPST Protection du Potentiel Scientifique et Technique RGS Référentiel Général de Sécurité RSSI Responsable de Sécurité des Systèmes d'Information ZRR Zone à Régime Restrictif Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 18