Délégation Bretagne – Pays de la Loire (DR17)

Slides:



Advertisements
Présentations similaires
Universités Numériques en Région
Advertisements

Le Groupe  ses ACTIVITES :
La charte d'usage des TIC : une obligation pour les EPLE
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
ESPACE NUMERIQUE DE TRAVAIL ESUP-Portail Campus Numériques et Universités Numériques en Région Montpellier – 1/10/2003.
Groupe de Travail Deux Structure et Culture: créer un environnement pour la transparence Le groupe a échangé sur lenvironnement structurel nécessaire pour.
Projet ORI-OAI Réseau de portails OAI Printemps dUNIT 24 mai 2007.
AJACCIO Mardi 24 mai 2011 Des CHS en CHSCT Quels enjeux pour la CGT? Personnel actif et retraité des communes, départements, régions, sapeurs pompiers,
Sommaire Introduction Les politiques de sécurité
LE CONTRAT CADRE DE SERVICE
Pr. I Pouliquen Université Aix Marseille 3
D2 : Sécurité de l'information et des systèmes d'information
Thierry Sobanski – HEI Lille
LES BONNES PRATIQUES Présentation du 31 Mars 2005
La politique de Sécurité
Soutenance du rapport de stage
C2i Être responsable à l'ère du numérique
La sécurité des personnes et du patrimoine scientifique
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
Journée Technique Régionale PSSI
Réunion des IGEN, le 20 Novembre 2007
Programme NOU-R de lutte contre la corruption. Piliers de lutte contre la gouvernance Pilier 1 - Élaborer une organisation efficace et transparente du.
Validation des compétences C.2.1 – C.2.2 et C.2.3
Organigramme des services de l’Ecole
Préqualification OMS des Produits Médicamenteux
Tous les mercredis du 3 octobre au 19 décembre 2012
Environnements de travail Schéma directeur des. SDET : un méta projet du S3IT S3IT : Une démarche globale Une démarche structurante Une démarche de projet.
Laurent Bloch RSSI de l'INSERM
F I D A F R I Q U E Une présentation en trois parties, des réponses à des questions simples : QUEST – CE QUE FIDAFRIQUE ? Un projet initié par le FIDA.
l'organisation et les profils d'encadrement dans les futures écoles.
ORGANISATION DES ADMINISTRATIONS ET DE L’ÉTAT FRANÇAIS
Rapprochement des référentiels d’économie droit BTS Assistant de Gestion PME-PMI BAC PRO « Gestion-Administration »
Rénovation du Baccalauréat professionnel « Services, accueil, assistance, conseil » Réunion d’information mai 2010.
La.
©Conseil économique et social de Bretagne Déployer les ressources matérielles et humaines nécessaires Les trois fonctions informatiques indispensables.
Rôle des CI dans la démarche qualité
Présentation 32e Congrès annuel de l’AJEFP Justice en français au cœur des générations Juin 25, 2011 Ottawa, Ontario La lutte contre la cybercriminalité.
5 domaines spécifiques au C2I Niveau 1
Séquence 1 : Environnement du commissariat aux comptes
2ème journée régionale des vigilances en Ile-de-France
B2i école : domaines, aptitudes et pistes d’activités
Droit à l'information et secret des affaires dans le monde de
Savoir vivre le numérique en milieu scolaire
1 Deux exemples de management (et d’organisation) de la recherche : le CNRS et l’INRIA Club EEA, Tours, 13 mai 2009.
Système de management de la qualité
Point d’étape sur le projet […] au sein de la DCOM
La Politique de Sécurité des Systèmes d'Information du CNRS
Responsable du Département de l’Expertise et des Contrôles
L'Accueil du public le moyen de rendre opérationnelles les compétences techniques d'un Espace Informatique grâce à une optimisation relationnelle et communicationnelle.
Secrétariat général direction de la Recherche et de l’Animation scientifique et technique Présentation de la directive européenne INSPIRE.
Mise à distance de la formation dans les IUFM. Troyes Janvier 2002 DT/SDTICE Préambule Une double ambition : Donner un regard sur l’activité de mise à.
AUTOÉVALUATION HCERES - ÉTABLISSEMENT
Rappel au Code de sécurité des travaux 1 Code de sécurité des travaux, 5e édition, 2008 Rappel du personnel initié Chapitre Lignes de transport (Aériennes)
SERVICE PREVENTION ET SECURITE JOURNEE D’ACCUEIL EN DELEGATION
Délégation Bretagne – Pays de la Loire (DR17)
«Le gouvernement électronique» Andrey Charov, Directeur du Département de la réglementation d’Etat dans l’économie Ministère du dévéloppement économique.
Projet de Classement de l’Office de Tourisme de Pierre Sud Oise - Conseil d’administration - Lundi 24 juin 2013.
Définition de la qualité dans le secteur médico-social
Quel dispositif institutionnel de mise en œuvre de APA au Burkina Faso
POLITIQUE NATIONALE DE LA CULTURE (BURKINA FASO).
2 Agenda Les tendances à l’international Les tendances au Maroc L’écosystème de la cybercriminalité Les ripostes juridiques Conclusion en images Questions.
La Charte Informatique
Etre responsable à l’ère du numérique Domaine D2.
LES METIERS DE L’EXPERT COMPTABLE 1 B BENMANSOUR & Y BOULAHDOUR CONGRES DES EXPERTS COMPTABLES MARDI 11 DECEMBRE 2012.
Travail Social et Technologies de l ’Information et de la Communication.
La RGPP au CNRS Réunion service informatique. Qu’est ce que la RGPP ? La révision générale des politiques publiques (RGPP) a été lancée en But :
CLUSIF / CLUSIR Rha La Cybercriminalité Page 0 Yannick bouchet.
LE PROJET STRATÉGIQUE UN PROJET STRATÉGIQUE. POUR PERMETTRE A CHACUN DE… Donner du sens à l’action Partager une vision commune Se mobiliser.
La RGPP au CNRS Réunion service administratif. Qu’est ce que la RGPP ? La révision générale des politiques publiques (RGPP) a été lancée en But.
Transcription de la présentation:

Délégation Bretagne – Pays de la Loire (DR17) La Sécurité de l'Information et son Évolution en cours SSI DR17 – 2012 Intervenants : Michel GALLOU SSI - Délégation Bretagne et Pays de la Loire. 1

2 | Le cadre légal et réglementaire SOMMAIRE P. 2 1 | La sécurité de l'information et la Protection du Potentiel Scientifique et Technique 2 | Le cadre légal et réglementaire 3 | Les enjeux de sécurité de l'information 4 | Vulnérabilités et Incidents constatés 5 | La Politique de Sécurité des Systèmes d'Information 6 | Quoi faire en laboratoire pour une bonne sécurité 7 | Texte de loi et Sigles Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 2

Le cadre légal et réglementaire L'état organise la protection de son patrimoine • L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été créée par le décret n° 2009-834 du 7 juillet 2009 • Des décrets, circulaires, recommandations sont édictés pour définir les règles légales de sécurité de l'information à respecter dans les laboratoires • 25 novembre 2009 : Mise en place des observatoires zonaux de la sécurité des systèmes d’information • 4 février 2010 : Publication du décret RGS (Référentiel Général de sécurité) au Journal Officiel • 2 novembre 2011 : décret PPST : Protection du Potentiel Scientifique et technique Le CNRS diffuse de l'information sur la « sécurité de l'information » • Des avis et alertes sont diffusés pour expliquer: • Comment adapter la mise en oeuvre de la sécurité de l'information aux conditions spécifiques de chaque laboratoire • Comment protéger les données et les personnes P. 3 Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 3

Les objectifs et intérêts de l'état et du CNRS en SSI La sécurité de l'information s'étend sur plusieurs domaines - La sécurité de l'information concerne les méthodes d'échanges d'informations, pour les contrats de recherche, dépôts de brevets en tenant compte des comportements et les supports physiques de l'information - La sécurité informatique concerne la mise en œuvre des services informatiques d'infrastructure et ouverts aux utilisateurs ( réseaux, ouverture de comptes, messagerie, sauvegardes,...) - Le Potentiel Scientifique et Technique concerne l'organisation du laboratoire pour assurer légalement la sécurité des biens (locaux), des savoirs, des personnes. Un compte informatique peut être considéré comme un bien. P. 4 Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 4

Les objectifs et intérêts de l'état et du CNRS en SSI P. 5 La sécurité de l'Information est un objectif stratégique de l'état Elle est pilotée par l'ANSSI Agence Nationale de Sécurité de l'Information Le RGS (Référentiel Général de Sécurité) donne trois années aux Autorités Administratives pour mettre leur système d'information en conformité avec les directives Le système d'information (virtuel) est le dispositif le plus critique d'un laboratoire, au même titre que l'eau, l'électricité, le chauffage, avec un nécessité de compétence locale : - il contient l'essentiel des informations humaines, de gestion et scientifiques du laboratoire, - il est en connexion permanente avec le monde extérieur. Ceci est accru par la convergence avec la mobilité. Le Directeur Général a défini le 16/11/2006 les conditions de mise en oeuvre de la PSSI du CNRS (Politique de Sécurité des Systèmes D'information Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 5

Les enjeux de la sécurité de l'information P. 6 La réputation du laboratoire par la qualité et la confidentialité éventuelle (en fonction de la classification) de ses publications, auprès des partenaires contractuels, auprès de la communauté scientifique internationale. - La protection - des informations dans leurs phases critiques (brevets en cours de dépôt), - des données scientifique en cas de vol ou de perte, - des pratiques scientifiques (savoir, savoir faire), - des dispositifs techniques: réseaux informatiques, salles de calculs (Contrôles d'accès, onduleurs, sauvegardes, mises à jour de sécurité), - Juridique des agents, lorsque le respect des mesures de sécurité est réalisé. Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 6

L'éthique de la sécurité de l'information et la recherche publique La sécurité de l'information fait partie de l'éthique d'une institution de recherche publique envers la société. Nous ne devons pas - relayer les fraudes et les malveillances, mettre en danger des personnes - aller à l'encontre d'intérêts stratégiques ou économiques nationaux Nous devons nous conformer aux lois et aux règlements du CNRS. Les règles de gestion du système d'information doivent respecter le devoir de confidentialité lors de l'accès aux informations correspondant - à la vie privées des personnes - au classement de sécurité des informations Le CNRS a des objectifs de sécurité assez complémentaires à ceux des universités. Leur association est le meilleur compromis pour les laboratoires. Universités -> Sécurité d'infrastructure (réseaux physiques) et de services (ouverture de comptes, messagerie, sauvegardes,...) , CNRS -> Sécurité de la recherche (patrimoine scientifique, personnes, informations) Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 7

Quelques vulnérabilités P. 8 Vulnérabilités institutionnelles Les relations entre les multiples tutelles d'un laboratoire (#réglementations) L'adéquation entre le niveau de sécurité du laboratoire et l'ouverture des campus L'accueil des personnes (projets internationaux, stages, visites) Parfois les ambitions politiques des dirigeants pour leur institution (barrières) Vulnérabilités culturelles ou de circonstances Les visites en pays à risque (Ordinateurs portables dédiés ou chiffrés) Les Conflits/Concurrence entre pays Les échanges d'informations (authentification, chiffrement, agendas, brevets) Les échanges non professionnels sur le poste de travail (ventes/internet,mail) L'angélisme (il n'y a rien de confidentiel, les autres ne comprennent pas,...) Les conflits entre personnes, Vulnérabilités juridiques La loi sur l'économie numérique, s'adapte en fonction de l'évolution des technologies. La jurisprudence est par principe très attentive au respect de la forme de l'action de l'informaticien. Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 8

Quelques incidents constatés P. 9 les vols d'ordinateurs portables Sur le lieu de travail entre 12h et 14h Au domicile de jour comme de nuit (préparation par appels téléphoniques anonymes) Pendant un transport (principalement en région parisienne & TGV) Au cours d'un congrès (présomption d'un ciblage) Préjudices : perte de matériel, perte d'information scientifique, défaut de confidentialité-> perte d'image de marque + risque judiciaire en fonction des contrats Les usurpations d'identités (PHISHING) par un message demandant un accès sur un compte pour en vérifier la validité ou pour le débloquer (messagerie, carte bleue,...) Préjudices : perte financière personnelle, plainte éventuelle en cas d'utilisation frauduleuse, incident diplomatique, saturation de serveurs de messagerie Voir le lien de Rennes 1 : http://www.cri.univ-rennes1.fr/personnels/securite/phishing/ La mise à profit d'un séjour dans une UMR pour récupérer de l'information en outrepassant la législation internationale Préjudices : risque d'augmentation des tarifs d'abonnement de l'éditeur, risque social du fait d'une utilisation inadéquate, infraction aux règles de bonne conduite internationales Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 9

Quelques incidents constatés P. 10 Non maîtrise de l'information lors d'un reportage par un journaliste manipulateur Préjudices : perte d'image de marque, risque d'agression par des groupes militants internationaux Mésentente dans les équipes ou sous-traitance mal définie , => perte de vigilance -> intrusion sur les serveurs Préjudices : vente de viagra sur le web, risque de plainte en cas de diffusion d'information frauduleuse ou répréhensible Atteinte à la réputation -> envoi de messages internet diffamatoires Perte d'image de marque, perte de temps pour réparer, défaut de service pour les utilisateurs Les virus, vers, trojan sur les postes de travail Préjudices : perte de temps pour la victime et pour l'informaticien, perturbation dans toute l'unité, tension humaine, stress, période de crise Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 10

Politique de Sécurité de l'Information des laboratoires Sous la responsabilité du directeur c'est une démarche collective de mise en oeuvre d'un Système de management de la sécurité, basé sur l'évaluation des risques. C'est un processus d'amélioration continue, avec une vérification permanente, C'est un investissement mesurable pour l'unité (norme=>audit), Il est visible par les partenaires du laboratoire (confiance ). La responsabilité de sécurité est collective (partage d'information dans un périmètre). Sécurité -> Qualité -> Confiance La sécurité ne doit pas être une entrave à la recherche L'activité de recherche doit s'exercer en pleine conscience des risques liés à l'utilisation des technologie de l'information sous la responsabilité du directeur de l'unité. L'élaboration d'une PSSI d'unité consiste à trouver le compromis rentable entre les mesures de sécurité et un travail scientifique de qualité. Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 11

Politique de Sécurité de l'information des laboratoires Méthode normative type ISO27001 / Analyse des risques -Prendre des précautions raisonnables face au risque -Ne pas se garantir contre un risque non encouru Les étapes de mise en oeuvre Sous l'autorité du directeur « juridiquement responsable » Désignation du chargé de sécurité de l'information/unité Réunion de direction Mise en place d'un comité de sécurité de l'information de laboratoire Rédiger la Déclaration d'applicabilité qui décrit et justifie les mesures de sécurité retenues Assurer la gestion de la documentation ... Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 12

L'organisation Régionale de Sécurité de l'Information P. 13 Missions de la Commission régionale (CRSSI) - Mise en oeuvre des PSSI d'unités - création d'un réseau de correspondants de sécurité de l'information d'unité - suivi de mise en place dans les unités prioritaires du fait de leur classification - soutien aux CSSI d'unité - Actions de formation et sensibilisation auprès des laboratoires - Relai d'information des chaînes fonctionnelles (CNRS,Universités) - Lien avec les RSSI des autres tutelles - Participation aux exercices d'alerte et de gestion de crise - Vérification du suivi des procédures de sécurité correspondant au classement des unités. - Gestion des déclarations obligatoires d'incidents Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 13

Sécurité de l'information L'organisation régionale P. 14 La Commission Régionale d'experts (CRSSI) est sous la responsabilité du délégué régional. 6 experts en sécurité de l'information Jacquelin Charbonnel LAREMA Angers Denis Creusot IRCCYN Nantes Michel Gallou DR17 Rennes (coordinateur) Didier Guillot IMN Nantes Pierre Lafon IETR Rennes Bernard Perrot Math Brest Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 14

Que faire pour protéger un laboratoire ? Quelques exemples Organiser les sauvegardes systématiques des postes de travail, centralisées au laboratoire - Avec chiffrement pour les données sensibles Contrainte : gestion des clés de recouvrements lors de perte d'accès Mise en sécurité des supports de sauvegarde (Coffre fort) protection contre la perte ou le vol respect de la confidentialité lors de la mise au coffre Utilisation à l'étranger d'ordinateurs portables banalisés ou avec disques chiffrés - Chiffrement des échanges par logiciels (messagerie) et une utilisation hors laboratoire Par exemple: Truecrypt avec des données sur une clé USB, disque amovible, ordinateur personnel Utiliser la biométrie pour accéder aux données sensibles (clé USB ou ordinateur avec empreintes digitales) Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 15

Que faire pour protéger un laboratoire ? Quelques exemples Contrôle des accès à l'entrée du laboratoire ( La loi va évoluer vers la protection de zone) Cela permet d'être plus libre dans le laboratoire qui devient un espace protégé. - Définir dans chaque laboratoire les procédures d'alerte de la chaîne fonctionnelle en cas d'incident - Ne pas utiliser des logiciels ou des services gracieusement offerts par une société externe ou étrangère. (DOODLE, Google APPS, gmail, ....) - Etudier la possibilité de tracer géographiquement un ordinateur (POMBO,...) Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 16

Les contraintes réglementaires et légales P. 17 - La Déclaration des incidents de sécurité est obligatoire (https://aresu.dsi.cnrs.fr/spip.php?article109) - Les visiteurs étrangers doivent être déclarés, la meilleure méthode étant la déclaration en ligne (asset) - Les missions dans les pays à risque doivent être déclarées (SIMBAD) - La charte informatique doit être annéxée au règlement intérieur -Les systèmes d'information devront être en conformité avec le RGS 'Référentiel Général de Sécurité » (décret n° 2010-112 du 2 février 2010) - La loi en cours de mise en oeuvre des ZRR induira la responsabilité par rapport au code pénal pour les auteurs des infractions. Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 17

Liste de sigles P. 18 ANSSI Agence Nationale de Sécurité des Systèmes d'Information CRSSI Coordination Régionale de Sécurité des Systèmes d'Information CSSI Chargé de Sécurité des Systèmes d'Information FSD Fonctionnaire de Sécurité et de Défense PDCA Plan Do Check Act : roue de Deming PSSI Politique de Sécurité des Systèmes d'information du CNRS PSSI d'unité Déclinaison de la PSSI pour l'unité (--- équivalence normée SMSI ) PPST Protection du Potentiel Scientifique et Technique RGS Référentiel Général de Sécurité RSSI Responsable de Sécurité des Systèmes d'Information ZRR Zone à Régime Restrictif Michel Gallou l SSI - Délégation Bretagne et Pays de la Loire. 18