La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

La Politique de Sécurité des Systèmes d'Information du CNRS

Présentations similaires


Présentation au sujet: "La Politique de Sécurité des Systèmes d'Information du CNRS"— Transcription de la présentation:

1 La Politique de Sécurité des Systèmes d'Information du CNRS
-Enjeux majeurs -Atouts et acquis -Nos vulnérabilités -Impacts des menaces et quelques incidents -Classification des Laboratoires -Structuration des données -Structure d'une PSSI -Organisation et missions au niveau Régional -Organisation et missions au niveau de l'Unité -Exemple type d'une PSSI d'Unité -Ce qu'implique la PSSI pour un utilisateur -Conclusion Réunion Directeurs 23/05

2 Les enjeux majeurs: Protection du patrimoine scientifique
Niveau stratégique Les enjeux majeurs: Protection du patrimoine scientifique Le patrimoine scientifique et technique national est constitué des connaissances, informations et savoir-faire, se rapportant : aux technologies « sensibles » du domaine industriel, aux connaissances et résultats de la recherche scientifique, "dont l ’opportunité de transfert à l ’étranger doit être appréciée au regard des intérêts fondamentaux de la nation". Le patrimoine d’un laboratoire : la réputation du laboratoire auprès de la communauté internationale des spécialistes concernés (nombre et qualité des publications, qualité des interventions dans les échanges internationaux, prix scientifiques…) la valorisation de la recherche, les brevets déposés,… le portefeuille de contrats de recherche (organismes publics, entreprises privées…) les compétences des chercheurs (savoir, savoir faire) le potentiel technique (infrastructures, installations, matériels…) Réunion Directeurs 23/05

3 Les enjeux majeurs passent par la SSI
Niveau stratégique Dans ce contexte la SSI : la disponibilité de l’outil de travail l’intégrité des données et des systèmes la protection de données sensibles données du patrimoine scientifique et technique données ayant trait aux intérêts fondamentaux de la Nation données individuelles données de gestion données échangées, stockées ou transportées (sur postes nomades ou clé USB) la protection juridique (risques administratifs, risques pénaux, protection de l’image de marque, …) est donc un enjeu majeur pour le CNRS Réunion Directeurs 23/05

4 Des atouts et acquis importants
Potentiel de compétence et professionnalisme des acteurs Briques techniques mises en place (recommandations, outils réseaux,…) Des réseaux fonctionnels (coordinateurs et correspondants, + UREC et RENATER) Des actions de sensibilisation (guide, charte…) et un dispositif de formation adapté Des sites WEB de soutien, des listes de diffusion, bulletin Sécurité Informatique... La mise en place de certificats électroniques Réunion Directeurs 23/05

5 Nos vulnérabilités Les vulnérabilités d’ordre structurel
l ’importance des échanges inhérents à la recherche (coopérations…) le caractère ouvert des campus les structures mixtes de recherche la multiplicité des stages et visites les missions en pays à risques la diversité des situations et des comportements Les vulnérabilités d’ordre culturel la culture de communication des chercheurs l ’angélisme… la diversité des comportements Les vulnérabilités d’ordre juridique une conscience insuffisante des risques juridiques les vides ou ambiguïtés juridiques (cybersurveillance des salariés,…) Les vulnérabilités d’ordres techniques Les vulnérabilités liées aux facteurs humains et organisationnels Réunion Directeurs 23/05

6 Menaces et quelques incidents SSI
-Compromission d'un serveur et attaques à partir de ce serveur -Vols d'ordinateurs, cambriolages -Attaques informatiques (mise en place de serveurs Warez) -Transmission par mail de fichiers vidéo à caractère pornographique -Détournement d'un courriel à des fins de diffamation -Mise en cause pénale d'un directeur de laboratoire et de son administrateur -Projet de système d'information sensible avec un fournisseur non digne de confiance -Compromission d'information touchant à la prolifération nucléaire -Utilisation de l'outil informatique pour stockage de documents pornographiques -Menaces de mort par courriel -Utilisation abusive d'Internet à des fins délictueuses -Projets de contrat de Laboratoires avec des entreprises "douteuses" (liées à des officines de renseignements étrangères) -Systèmes et réseaux Réunion Directeurs 23/05

7 Classification des laboratoires
Niveau organisationnel Classification des laboratoires (Source : instruction interministérielle 486 sur la protection du patrimoine scientifique et technique français dans les échanges internationaux) La liste des ERR et des EAS est arrêtée par le SGDN, la liste des ERR est classifiée Établissements à Régime Restrictif (ERR) : établissements dont l ’activité justifie l ’existence d ’un régime d ’accès réglementé et dont l ’application peut concerner tout ou partie de l ’établissement. Il s ’agit d ’établissements effectuant des travaux de recherche, de développement, de fabrication ou de maintenance, et dont la divulgation sans contrôle à des étrangers serait contraire aux intérêts fondamentaux de la Nation Établissements à Accès Surveillé (EAS) : établissements dont l ’activité générale justifie la prise de précautions particulières dans tout ou partie de l ’établissement mais pas l ’existence d ’un régime d ’accès réglementé. Il s ’agit d ’établissements dont les activités ne justifient pas le classement en ERR, mais nécessitent la prise de précautions - codes CNRS propres (ER*, ERX, ES, ESF…) Établissements à Régime Ordinaire (ERO) : dans les autres cas Réunion Directeurs 23/05

8 Structuration des données
Niveau organisationnel Données de gestion interne Données à caractère nominatif Certaines données comptables ou financières Données à caractère politique ou stratégique Données du patrimoine scientifique et technique Données relatives à des compétences ou des savoir faire internes Données relatives à la valorisation des résultats de la recherche Données relatives aux coopérations nationales et internationales Données scientifiques et techniques (travaux et résultats de recherches ayant un caractère appliqué ou lié à des savoir faire), /défense ou / technologies de pointe Données scientifiques et techniques dont la confidentialité est imposée dans le cadre de contrats industriels (données “ confidentiel industriel ”) Données diverses de sécurité Données à caractère non scientifique touchant à des incidents internes, à la prévention, aux classements de sensibilité, aux plans de protection etc…) Réunion Directeurs 23/05

9 Articulation entre schéma directeur et PSSI (la vision du CNRS)
Politique nationale, orientations ministérielles, enjeux pour l’organisme État des lieux Politique SSI de l'organisme Politique et schémas directeurs des partenaires Schéma directeur de la SSI, Plan de mise en œuvre, projets, … Politique SSI des unités Plans locaux de mise en œuvre Évaluation – retour d’expérience Réunion Directeurs 23/05

10 Contenu du document de PSSI du CNRS
C’est un document de pilotage et de communication, il doit donc être simple et concis pour pouvoir être lu par tous les utilisateurs du SI … et surtout par tous les décideurs ! C’est la vision stratégique de l’organisme et la preuve de l’engagement de sa direction Cohérence nécessaire avec les politiques et directives nationales et avec les politiques ou orientations des organismes partenaires (autres tutelles). Réalisme (intégration des données du contexte) Enjeux Périmètre Analyse des risques et besoins Organisation – responsabilités Coordination avec les autres tutelles Mise en œuvre – principales lignes directrices Réunion Directeurs 23/05

11 Structure d’une PSSI globale (vision CNRS)
La SSI n’est pas qu’un problème technique ! Reprise et développement des données du schéma directeur, explicitation des choix, des principes organisationnels et des lignes directrices Niveau technique Dispositifs techniques de protection et de contrôle, administration système et réseau, outils d'audits et d'analyse des incidents, … Niveau organisationnel Normes, règles, plans, procédures, recommandations, structures, … Définition des objectifs stratégiques de la sécurité Niveau stratégique Uniformisation des techniques et méthodes utilisées : référentiel applicatif, définition des produits, outils, méthodes, instructions, dispositif de formation, moyens humains. Responsabilité de la PSSI globale : le FSSI Réunion Directeurs 23/05

12 Organisation et responsabilités
Niveau organisationnel Pilotage : - DG (AQSSI), Comité de pilotage national, - FSD (dont CMSSI rattaché au FSD), - expertise technique (UREC + réseau d’experts) Distinction chaîne organique / chaîne fonctionnelle Organisation et responsabilités au niveau régional Organisation et responsabilités au niveau « unités » Réunion Directeurs 23/05

13 Cadre organisationnel de la SSI
Niveau organisationnel Directeurs d’entités (IN2P3, …) Opérationnel de la SSI (UREC) Direction des Systèmes d'Information CERT RENATER Comité Réseau des Universités Chaîne fonctionnelle Haut Fonctionnaire de Défense Coordination Régionale SSI (CRSSI) Pilotage national CNRS Comité de pilotage Réseau régional des Chargé de SSI (CSSI) Directeurs de laboratoires Délégués régionaux Utilisateurs Hors CNRS CNRS Directeur Général du CNRS Chaîne hiérarchique SGDN (DCSSI, CERTA …) RSSI FSD / FSSI CMSSI La responsabilité "hiérarchique" est cohérente avec le futur rôle AQSSI, des responsabilités du Délégué Régional et sur le terrain des directeurs de labos. L'application de la 901 va renforcer le rôle de véritable RSSI Réunion Directeurs 23/05

14 Organisation SSI au niveau régional
Niveau organisationnel Organisation SSI au niveau régional Une coordination régionale : placée sous la responsabilité générale du délégué régional du CNRS oeuvrant selon les directives de la voie fonctionnelle comprenant : un responsable appartenant à la Délégation, orienté organisation, pilotage régional, relations /tutelles et quelques « experts » appartenant à des unités de recherche avec pour missions principales : Réunion Directeurs 23/05

15 Missions principales de la coordination régionale
Niveau organisationnel le suivi de l’état de sécurité des unités (documents de PSSI, identification du CSSI dans l’unité, bilans de sécurité, état des besoins…) avec priorité sur les unités les plus sensibles le suivi de mise en œuvre des dispositions de SSI, le tableau de bord régional SSI et la rédaction du bilan annuel régional le lien avec les RSSI d’autres tutelles des actions de soutien (formation, information, conseils) à destination des CSSI d’unité + conseils en cas d’incident des actions d’information et de sensibilisation des unités (vers la hiérarchie et les utilisateurs) la participation aux exercices d’alerte, à la gestion de crise le relais d’information au sein de la chaîne fonctionnelle SSI (FSD/UREC et CSSI d’unités) et autres chaînes fonctionnelles (universités, autres EPST…) la participation éventuelle à des travaux nationaux Réunion Directeurs 23/05

16 Coordination avec les autres tutelles (cas des UMR)
Niveau organisationnel Coordination avec les autres tutelles (cas des UMR) Tenir compte de : l’extrême diversité des situations et des responsabilités d’exploitation des systèmes et réseaux généralement de l’absence actuelle de dispositions contractuelles relatives aux UMR pour définir qui fait quoi en matière de SSI ce qui peut induire des conflits (divergences de consignes, quelle charte utilisateur, quelle politique de gestion de traces,…) ou des réponses mal adaptées en cas d’incident ou de crise (qui porte plainte par exemple ?) clarifier les responsabilités SSI entre tutelles, si possible au travers de dispositions contractuelles du contrat quadriennal (clauses types disponibles) en particulier clarifier les procédures de gestion des incidents (qui fait quoi) et de remonter d’information définir la PSSI d’unité (qui devra intégrer et préciser ces responsabilités) faire remonter auprès de la chaîne fonctionnelle toute difficulté Réunion Directeurs 23/05

17 Organisation SSI au niveau de l’unité
Niveau organisationnel Organisation SSI au niveau de l’unité Responsabilité du directeur de l’unité qui nomme un « Chargé de la Sécurité des Systèmes d’Information » (CSSI) pour lui déléguer le pilotage de la SSI : Le CSSI appartient à l’unité ou à une autre unité dans le cas d’une mutualisation de la SSI (par exemple de petites unités) Dans le cas des UMR : principe de l’unicité du CSSI et de la PSSI vis-à-vis de toutes les tutelles Conséquence : définition d’une tutelle de référence SSI ou du « qui fait quoi » Le CSSI a pour missions principales : Réunion Directeurs 23/05

18 Missions principales du CSSI en unité
Niveau organisationnel Missions principales du CSSI en unité Promouvoir la mise en place d’une PSSI d’unité Assurer la diffusion de l’information correspondante et notamment les instructions et recommandations – sensibiliser les utilisateurs - Veiller à l’application de ces instructions et recommandations Veiller à la bonne exploitation des avis des CERT Renater et CERTA Prendre les mesures nécessaires en cas d’incident (ou s’assurer qu’elles sont prises), en liaison si nécessaire avec la chaîne fonctionnelle et en veillant à la bonne remontée de l’information Veiller à la prise en compte de la sécurité dans la rédaction des contrats de sous-traitance et les cahiers des charges des applications Veiller à la déclaration à la CNIL des traitements de données à caractère personnel Assurer la veille en matière de SSI et les niveaux relationnels nécessaire en liaison avec la coordination générale et plus généralement la chaîne fonctionnelle SSI Réunion Directeurs 23/05

19 Exemple de PSSI Opérationnelle d'une Unité
1)Organisation et responsabilités des différents acteurs *Interne : Directeur et CSSI Missions du CSSI *Place de la PSSI dans la chaine fonctionnelle SSI Réunion Directeurs 23/05

20 2) Périmètre de la SSI dans l'Unité
Le périmètre de la SSI exclut les services réseau de l'Université tels que: *Réseaux de télécoms y compris la téléphonie *Connectivité aux principaux réseaux de campus, métropolitains,.. En revanche, font partie: * Espace de travail (équipements, logiciels,..) * Espace de stockage et d'archivage * Serveurs de mél, web Réunion Directeurs 23/05

21 Les enjeux essentiels:
3)Enjeux et menaces Dans l'Unité, un département travaille avec des partenaires du secteur Défense. Le laboratoire met en ligne une base de données de dimension internationale avec des données sensibles. Nous hébergeons une plate-forme d'essais qui a une vocation nationale et dont la disponibilité permanente doit être assurée. .. Les enjeux essentiels: -Protection des données scientifiques et industrielles sensibles -protection des fonctions et outils informatiques et notamment le réseau -… Réunion Directeurs 23/05

22 4) Sécurité Physique Le CSSI formalise et organise , en concertation avec l'Ingénieur Prévention Sécurité (où ACMO) les plans de sécurité physique des installations techniques situées dans son champ d'action. Le plan de sécurité prévoit les procédures d'intervention en cas de perturbation grave. Réunion Directeurs 23/05

23 5) Principes de mise en œuvre de la PSSI
*Principes d'organisation: Conditions d'accès, Charte informatique *Politique de sécurité des données: sensibles, à caractère personnel, postes de travail, supports amovibles et matériels nomades, serveurs, applications informatiques, sauvegarde et archivage, réparation.. *Politique de sécurité réseau: gestion du trafic, accès à distance, sans-fil, accès à internet, infrastructure réseau et télécom Réunion Directeurs 23/05

24 6) Dispositions diverses
*Procédure de traitement des incidents et plans de gestion de crise *Maintien du niveau de sécurité: Mise à jour des systèmes, formation et sensibilisation des utilisateurs, postures de sécurité, mises en garde et recommandations de la chaine fonctionnelle. *Mesure du niveau effectif de sécurité : contrôle de gestion de la SSI, audits, journalisation, tableaux de bord *Maintenance et développement: Téléactions internes, externes, développement d'applications, clauses dans les marchés * Référentiel SSI et gestion de la documentation SI Réunion Directeurs 23/05

25 Ce qu’implique la PSSI pour les utilisateurs
Niveau organisationnel Ce qu’implique la PSSI pour les utilisateurs La prise de conscience des enjeux de la SSI, en particulier la « protection des données » - prise de conscience des menaces – prise de conscience des risques juridiques (en particulier cas des fichiers nominatifs) Le rappel ou la précision de leurs responsabilités, droits et devoirs : en particulier se référer à la charte utilisateur ; noter en particulier la question des « données personnelles », les accès au réseau de matériels extérieurs, les obligations de recouvrement… La connaissance de la chaîne fonctionnelle SSI et en particulier l’identification de leur « CSSI » d’unité La nécessaire administration collective (par les responsables informatiques) des postes individuels – sauf dérogations explicites La connaissance du dispositif de cybersurveillance arrêté au niveau de l’unité (gestion des traces) La nécessaire identification de « leurs » données sensibles La définition des mesures de protection / disponibilité (sauvegardes) Le devoir de protection vis-à-vis de la confidentialité : la sécurisation du poste de travail, la sécurisation des outils nomades, la sécurisation des échanges (messagerie), sécurisation des applications informatiques dont ils ont la charge Les précautions à prendre à l’extérieur (postes nomades, wifi, mails...), en particulier en missions en pays « à risques » Réunion Directeurs 23/05

26 Conclusion La PSSI que vient de promulguer le Directeur du CNRS nous permet de dépasser le stade purement technique de la SSI. C’est un outil De pilotage De sensibilisation des utilisateurs De discussion avec nos partenaires De maîtrise de la SSI PS: Application ASSET :Déclaration en ligne des visiteurs et stagiaires Réunion Directeurs 23/05


Télécharger ppt "La Politique de Sécurité des Systèmes d'Information du CNRS"

Présentations similaires


Annonces Google