politique de sécurité des systèmes d'information de l'upmc, pour

Politique de Sécurité des Systèmes d'Information de

l'UPMC Règles organisationnelles et techniques pour la protection des systèmes d'information de

l'Université Pierre et Marie Curie

Edition n°1

Politique de Sécurité des systèmes d’information Edition 1

1

Table des matières

1 INTRODUCTION ...................................................................................................... 3

1.1 Système d'Information et Politique de Sécurité : Quels enjeux ? Quels objectifs ? .............. 3

1.2 Tous acteurs et responsables de la sécurité des systèmes d'information ............................. 3

1.3 Connaître le niveau de confidentialité d'une information ...................................................... 3

1.4 Conserver les données administratives – Protéger le patrimoine scientifique ..................... 3

1.5 Identifier les ressources nécessaires au bon fonctionnement d'un service ou d'une unité 3

1.6 Sensibiliser les personnels aux dangers de l'internet ............................................................... 4

2 PROTECTION DES SYSTEMES D’INFORMATION ..................................................... 5

2.1 Contexte légal et réglementaire ............................................................................................... 5

2.2 La Politique de Sécurité des Systèmes d’Information de l’Etat (PSSIE) ................................... 7

2.3 Organisation de la Sécurité des Systèmes d'Information à l'UPMC ....................................... 7

2.4 Principes de mise en œuvre de la PSSI ..................................................................................... 8

2.5 Attribution des responsabilités ................................................................................................... 8

2.6 Périmètres du système d'information ........................................................................................ 9

2.7 Appréciation des risques ............................................................................................................ 9

2.8 Traitement des incidents ............................................................................................................. 9

2.9 Suivi et amélioration du niveau de sécurité ........................................................................... 10

2.10 Actions de sensibilisation .......................................................................................................... 10

2.11 Mesures techniques et procédures ......................................................................................... 10

2.12 Identifier ce qui doit être protégé ............................................................................................ 11

2.13 Identifier les risques provenant des tiers ................................................................................. 12

2.14 Protéger les données ................................................................................................................ 13

2.15 Protéger les actifs supports : postes de travail, ordiphone etc. ............................................ 17

2.16 Protéger les serveurs ................................................................................................................. 21

2.17 Protéger les réseaux de communication ................................................................................ 22

2.18 Se prémunir contre les menaces d'origine environnementale ............................................ 23

2.19 Traitement des incidents ........................................................................................................... 24


2

2.20 Conformité à la PPST .................................................................................................................. 24

2.21 Conformité à la PSSI .................................................................................................................. 25

3 ANNEXE ................................................................................................................ 26

4 GLOSSAIRE ........................................................................................................... 27


3

1 Introduction

1.1 Système d'Information et Politique de Sécurité : Quels enjeux ? Quels objectifs ?

La Politique de Sécurité des Systèmes d'Information de l’UPMC (PSSI) contient les mesures choisies pour la protection des systèmes d'informations1. Elle s'appuie sur une analyse de risques estimant la gravité des impacts d’un incident de sécurité. Les risques couverts par les mesures de la PSSI concernent les scénarios d’incidents les plus probants, leur couverture étant proportionnée aux enjeux identifiés. Ces enjeux sont estimés selon une échelle permettant de déterminer les besoins de sécurité en termes de disponibilité, intégrité, et confidentialité des données, d’une part, et en termes de traçabilité des accès physiques et logiques à ces données, d’autre part.

La PSSI est réexaminée lors des évolutions du système d'information.

1.2 Tous acteurs et responsables de la sécurité des systèmes d'information

La sécurité des systèmes d'informations (SSI) concerne tous les personnels de l'UPMC2.

1.3 Connaître le niveau de confidentialité d'une information

Afin d’éviter une diffusion fortuite à des tiers non autorisés, il est important de mentionner sur un document son niveau de confidentialité. Le rédacteur du document en a la charge.

1.4 Conserver les données administratives – Protéger le patrimoine scientifique

Pour des raisons de conformité légale, un archivage numérique pérenne de certaines données doit être organisé. Les services centraux bénéficient d'un service de sauvegarde de données opéré par la DSI de l'UPMC.

Quand une unité a recours à un tiers pour héberger ses données, il faut que l’hébergement ait lieu sur le territoire national. Les recommandations du guide « Maîtriser les risques de l’infogérance3 » publié par l’ANSSI doivent être appliquées.

Lorsqu’un contrat passé avec un tiers entraine la perte de propriété intellectuelle des données placées sous la responsabilité du tiers hébergeur, les tutelles de l'unité doivent en être informées et peuvent, éventuellement, s’y opposer.

1.5 Identifier les ressources nécessaires au bon fonctionnement d'un service ou d'une unité

Certains services numériques, dont la messagerie électronique, sont devenus des outils de travail indispensables. Etablir la liste des services essentiels et fixer leurs modalités d'usage en identifiant leurs défauts de sécurité éventuels, permet d'envisager des solutions de protection appropriées. Pour cela, des investissements financiers et/ou humains sont nécessaires. Ils doivent être identifiés et apparaître dans le budget de l’unité ou du service.

1 Le Système d'Information de l'UPMC regroupe l'ensemble des informations traitées par les personnels dans le cadre de leur activité professionnelle et l’ensemble des équipements informatiques (postes de travail fixes ou portables, tablettes, mobiles, serveurs d'application, serveurs de calcul, systèmes de stockage et d'archivage, équipements réseaux etc.)

2 En cas d'incident, les responsabilités seront partagées entre le président de l'UPMC (en tant que Personne Juridiquement Responsable), le directeur du service ou du laboratoire (chargé de la mise en œuvre des mesures de protection), et l'utilisateur du système d'information auteur de l’incident.

3 http://www.ssi.gouv.fr/IMG/pdf/2010-12-03_Guide_externalisation.pdf


4

Pour éviter, par exemple, que le personnel soit tenté d’utiliser sa messagerie personnelle à des fins professionnelles, en prenant le risque d’exposer des données confidentielles ou stratégiques, le taux de disponibilité de ce service doit être acceptable et garanti.

1.6 Sensibiliser les personnels aux dangers de l'internet

Désormais, les attaques internet visent en priorité les utilisateurs par le biais de vulnérabilités présentes dans les plugins4 des navigateurs internet. Le pare-feu et l'antivirus, tout en étant des moyens de protection indispensables, ne suffisent plus à contrer ces attaques.

Abusés par un message semblant émaner d’un correspondant ou d’un service connu, des utilisateurs peuvent cliquer sur un lien fallacieux contenu dans un courriel et provoquer l’installation immédiate d’un programme malveillant sur leur ordinateur. Contrôlé à distance, celui-ci peut rejoindre un botnet5 etparticiper à des attaques contre des serveurs sensibles, ou bien devenir un « cheval de Troie » exfiltrant les données de l’utilisateur. Il arrive également que le programme malveillant chiffre l’intégralité des données de l’utilisateur qui reçoit ensuite la proposition de retrouver ses données originales, en échange d’une rançon.

Certaines attaques visent plus particulièrement les utilisateurs détenant des données confidentielles ou des comptes donnant accès à des sites hautement sécurisés. Ces utilisateurs, « cibles » potentielles, sont repérés grâce aux réseaux sociaux et la rédaction de messages crédibles destinés à les piéger en est d’autant facilitée.

Dans la pratique, la seule protection envisageable contre ces scénarios d'attaque consiste à sensibiliser chacun aux dangers et pièges de l'internet.

Dans les laboratoires et les unités mixtes de l’UPMC, les CSSI (Chargés de Sécurité du Système d’Information) assistent les directeurs d’unités (DU) et prennent en charge les actions de sensibilisation des utilisateurs.

4 Composant logiciel optionnel améliorant les fonctionnalités d’un navigateur et que l’utilisateur peut télécharger sur internet sans avoir la certitude que le programme n’a pas été mis en ligne par un pirate.

5 Réseau de machines contrôlées à distance par un pirate.


5

2 Protection des systèmes d’information

2.1 Contexte légal et réglementaire

2.1.1 La Loi Informatique et Liberté

La Loi dite « Informatique et Libertés » protège les citoyens français contre des traitements abusifs portant sur des données à caractère personnel et non anonymes les concernant.

Selon l'article 6 de la loi 78-17 du 6 janvier 1978 : « les traitements ne peuvent porter que sur des données collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes, adéquates, pertinentes et non excessives au regard de leur finalité, exactes, complètes et tenues à jour, et qui ne doivent pas être conservées plus que la durée nécessaire aux finalités pour lesquelles elles ont été collectées ». L’article 34 de cette même loi énonce l’obligation de protection de ces données, les articles 38 à 43 précisant les droits des personnes (accès, rectification etc.) à l’égard de ces traitements.

Le Correspondant Informatique et Libertés (CIL), représente la Commission Nationale Informatique et Libertés (CNIL) à l'intérieur de l'établissement. Il maintient à jour le registre des traitements déclarés par l'UPMC. Il doit être contacté pour toute demande de modification ou toute déclaration d'un nouveau traitement. Dans les unités mixtes de recherche (UMR), le CIL de l'UPMC ou d'une autre tutelle peut indifféremment être contacté. Certains traitements peuvent faire l'objet d'un simple signalement au CIL6.

2.1.2 La Loi sur la Confiance en l'Economie Numérique (LCEN)

Cette loi oblige les fournisseurs d'accès internet et les hébergeurs de sites web à conserver, durant une période légale, les journaux informatiques gardant la trace des accès des utilisateurs. En cas d'incident, les journaux doivent permettre d'identifier un utilisateur à partir d'une adresse Internet Protocol (IP)7 ou à partir d'un identifiant unique, sur requête judiciaire.

Conformément à la LCEN, tout signalement d'un contenu illicite, accessible en ligne sur un serveur dont le numéro IP8 appartient à l'UPMC, doit entraîner le retrait, au plus tôt, de ce contenu.

La « Politique de gestion des journaux informatiques de l'UPMC » figure dans l'intranet de l'UPMC dans la rubrique « Sécurité des Systèmes d'Information ».

2.1.3 Le respect de la Propriété Intellectuelle

La loi protège les auteurs contre le vol de leurs œuvres littéraires, artistiques ou scientifiques. Le téléchargement de données protégées par « copyright », à partir d'équipements connectés au réseau de l'UPMC, est donc interdit.

L'usage de logiciels et de documents protégés par « copyright » doit se faire dans le respect de la légalité.

2.1.4 Le Référentiel Général de Sécurité (RGS)

Le RGS concerne les échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Ses conditions d’élaboration, d’approbation, de

6 [email protected]

7 Numéro d'identification qui est attribué de façon permanente ou provisoire à chaque appareil connecté à un réseau informatique.

8 L’UPMC est propriétaire des réseaux IP de classe B 134.157.0.0 et 132.227.0.0


6

modification et de publication sont fixées par le décret numéro 2010-112 du 2 février 2010. La version 2.0 du RGS a été approuvée par un arrêté du 13 juin 2014. Ce document précise les règles et recommandations applicables en cas d’utilisation de produits de sécurité ou en cas de recours à des prestataires d’audit de la sécurité des systèmes d’information, de certification électronique ou d’horodatage. Il prévoit des mesures transitoires qui s’appliquent aux services de certification ou d’horodatage électroniques.

Le pôle SSI de la DSI peut être consulté par les personnels de l'UPMC devant mettre en œuvre des services soumis au RGS.

2.1.5 La protection du patrimoine scientifique et technique (PPST)

Le dispositif de la Protection du Potentiel Scientifique et Technique (PPST) est institué par le décret n°2011-1425 du 2 novembre 2011. Il organise, à des fins de sécurité économique, de maintien des équilibres stratégiques et de lutte contre la prolifération et le terrorisme, la protection de certains savoirs et technologies français contre la prédation. Ce dispositif repose notamment sur la création de zones à régime restrictif (ZRR).

Ces zones sont des espaces clos dans lesquels l’accès et la circulation sont réglementés afin d’assurer la protection des installations, du matériel ou du secret des recherches, études ou fabrication. Tout accès, même virtuel doit être autorisé par le DU. Cette autorisation doit être conforme à la PSSI et aux procédures de sécurité appliquées dans la ZRR. Le DU doit, de plus, veiller à pourvoir l'unité d'une PSSI qui lui soit propre.

Le Fonctionnaire de Sécurité et de Défense (FSD) de l’UPMC est le relais fonctionnel du Haut Fonctionnaire de Défense et de Sécurité (HFDS) du ministère de l'Education nationale, de l'Enseignement supérieur et de la Recherche (MENESR). Auprès du chef d’établissement, Il coordonne et veille à l’application des dispositions et des orientations de la responsabilité du HFDS.

Il existe une forte synergie entre la PSSI et la PPST, toutes deux placées sous la responsabilité du chef d’établissement. Le renforcement de la SSI à l’échelle de l’établissement est une réponse aux enjeux de la PSST. Elle peut permettre d’en éviter les aspects les plus contraignants, notamment la création ZRR. Aussi est-il envisagé, à l’échéance de la fin de la réhabilitation du campus, un regroupement des serveurs consolidant leur protection et optimisant leur maintenance.

2.1.6 L'obligation de signalement au procureur de la république

L'article 40 du Code de procédure pénale stipule que : « Tout fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou délit doit en aviser sans délai le procureur de la République. Il est important de souligner que l'auteur du signalement n'est pas tenu d'apporter la preuve des faits suspectés, la suspicion suffit à déclencher une procédure de signalement. »

En conséquence, tout personnel témoin de l'hébergement ou de la diffusion de données à caractère pédophile, révisionniste ou raciste est tenu de le signaler au procureur de la république.

2.1.7 Le respect de la charte UPMC

La charte9 de bon usage du système d'information édicte les conditions d'usage des ressources mises à la disposition des utilisateurs du système d'information de l'UPMC. Figurant au règlement intérieur, tout le personnel de l'UPMC est tenu de s'y conformer.

9 Disponible dans l’intranet de l’UPMC, rubrique « Sécurité des Systèmes d’Information/Textes réglementaires »


7

2.2 La Politique de Sécurité des Systèmes d’Information de l’Etat (PSSIE)

La PSSIE édicte un ensemble d’objectifs et de règles destinés à assurer la protection des systèmes d’information.

Le document établit les principes stratégiques et décline les règles de leur mise en œuvre. Un processus d’analyse des risques, permet de s’assurer la pertinence et la soutenabilité financière des solutions à mettre en œuvre face aux risques identifiés.

Parmi les principes retenus, il faut souligner les dispositions suivantes :

- les moyens humains et financiers consacrés à la SSI doivent être planifiés, quantifiés et identifiés au sein des ressources globales des systèmes d’information ;

- les opérations de gestion et d’administration des systèmes d’informations doivent être tracées et contrôlées ;

- chaque agent doit être informé de ses droits et devoirs, mais également être formé et sensibilisé à la cybersécurité ;

- les informations considérées comme sensibles, en raison de leurs besoins en confidentialité, intégrité ou disponibilité, sont hébergées sur le territoire national.

Les règles de sécurité sont regroupées par thèmes, parmi elles on retiendra :

- l’adoption d’une organisation adéquate, garantissant la prise en compte préventive et réactive de la sécurité. Ce volet comprend notamment la désignation au sein de l’établissement par le Président –AQSSI, d’un FSD, d’un RSSI et de CSSI nommés à sa demande par les DU. La formation des agents en charge de la sécurité des systèmes d’information et la sensibilisation des utilisateurs est indispensable.

- la prise en compte de la gestion des habilitations et des accès aux systèmes d’informations dans le cadre de la gestion des arrivées, des mutations et des départs ;

- la mise en œuvre d’une gestion des biens, en maintenant à jour une cartographie des systèmes d’information ;

- l’intégration de la SSI pour l’homologation de systèmes soumis au RGS, dans l’élaboration de projets informatiques ou de marchés publics ;

- la garantie de la sécurité physique, par le contrôle des accès aux centres informatiques, et la sécurité des réseaux, par leur architecture et leur mode d’exploitation (cloisonnement, contrôle des accès logiques aux ressources, maintien en condition de sécurité des systèmes).

- le développement d’une stratégie de défense des systèmes d’information (mécanismes d’authentification, gestion des postes nomades).

- l’élaboration de plans de continuité d’activité, comprenant les dispositions de protection des sauvegardes, mise en œuvre de procédures opérationnelles.

- le traitement des incidents de sécurité : remontée et traitement des alertes de sécurité.

Conformément à la PSSIE, chaque établissement se dote d’une PSSI au 1er janvier 2015 et s’assure de l’application des mesures de la PSSIE dans un délai de trois ans, à compter de la date de sa publication.

2.3 Organisation de la Sécurité des Systèmes d'Information à l'UPMC

2.3.1 Les responsabilités hiérarchiques

Le président de l'UPMC est l'« Autorité Qualifiée en matière de Sécurité des Systèmes d'Information » (AQSSI) de l'établissement. Il est la personne juridiquement responsable en cas d'incident grave de sécurité.


8

La mise en œuvre de mesures de sécurité dans un service ou dans une unité sous tutelle de l'UPMC s'effectue sous l'autorité de son directeur. Il doit pouvoir s'assurer que les accès au système d'information sont authentifiés. En l'absence d'une politique de sauvegarde, et pour des raisons de continuité de service uniquement, il peut demander à extraire des données du poste de travail d'un agent absent pour une longue durée. Le CSSI ou, à défaut, le RSSI doit être consulté.

2.3.2 Les chaînes fonctionnelles de la Sécurité des Systèmes d'Information

Conformément à la PSSI de l’Etat, une chaîne fonctionnelle de la sécurité des systèmes d'information est mise en place à l’UPMC. Parmi ses missions, figure l'instauration de mesures d'urgence en cas de déclenchement d’un plan gouvernemental comme PIRANET10.

Le FSD de l’UPMC est désigné par le président et nommé par le HFDS. Il est chargé des aspects stratégiques de la sécurité des systèmes d'information et de la mise en œuvre de la PPST.

Le RSSI et son suppléant sont nommés par le Président. Ils prennent en charge l’organisation de la SSI, la mise en œuvre des plans d’actions de mise en conformité avec la PSSIE, le relai des avis et alertes de sécurité émanant des Computer Emergency Response Team (CERT)11 et le traitement des incidents comportant des obligations de confidentialité.

Les CSSI sont nommés par leur DU, à la demande conjointe des responsables des tutelles. A ce jour, par cette demande conjointe, l’UPMC, l’ENS, le CNRS (DR2), et l’INSERM (DR) se sont associés afin d’harmoniser leurs actions SSI dans les unités mixtes.

Les CSSI assistent le DU pour la mise en œuvre de mesures de protection issues des PSSI des tutelles. Ils contribuent à l’analyse des risques et rendent compte des incidents de sécurité aux RSSI des tutelles.

Les RSSI des tutelles UPMC, CNRS-DR2, INSERM-DR et ENS ont formé un Comité de Coordination de la Sécurité des Systèmes d'Information (CoCSSI) dont le rôle est d'animer le réseau des CSSI, d'harmoniser les mesures préconisées par les tutelles, de proposer des plans d’action, des ateliers de formation et de sensibilisation à la sécurité des systèmes d’information. Les CSSI sont réunis en assemblée générale, une fois par an.

2.4 Principes de mise en œuvre de la PSSI

Les paragraphes suivants énoncent les principes de base, sur lesquels, s'édifie la protection des systèmes d'information de l'UPMC. Le chapitre 4 les décline sous la forme de procédures et de mesures techniques issues de la norme ISO 27002.

2.5 Attribution des responsabilités

- Le président de l'université est l’AQSSI.

- Il nomme un FSD, un RSSI et leurs suppléants. Tous doivent être habilités confidentiel défense.

- A la demande de leur tutelle UPMC, les DU nomment un CSSI.

10 Application du plan VIGIPIRATE aux systèmes d'information.

11 Au sein de l’ANSSI, le CERT-FR apporte son soutien en matière de gestion d’incidents aux ministères, institutions, juridictions, autorités indépendantes, collectivités territoriales et OIV (Opérateurs d’Importance Vitale). Le CERT-FR est chargé d’assister les organismes de l’administration à mettre en place des moyens de protection nécessaires et à répondre aux incidents ou aux attaques informatiques dont ils sont victimes.


9

2.6 Périmètres du système d'information

Le périmètre des services centraux représente l'ensemble des données et des ressources utilisées par le personnel des directions et des services centraux de l'UPMC. La protection des ressources numériques de ce périmètre est mise en œuvre par la DSI, conformément aux mesures techniques préconisées par la PSSIE. Le pôle SSI de la DSI fournit des outils méthodologiques pour la mise en œuvre d’un processus d'amélioration continue, dit Planifier – Déployer – Contrôler – Agir (PDCA), sous la responsabilité du Directeur des Systèmes d’Information.

Le périmètre des unités représente le patrimoine informationnel des unités et de l'ensemble des services numériques qui y sont déployés. La protection de ces ressources par des mesures issues des PSSI des tutelles, incombe aux DU. Le CSSI les assiste dans cette mission.

2.7 Appréciation des risques

Le personnel est consulté et il participe à l'amélioration de la protection des données confidentielles ou à caractère personnel. Un inventaire des données sensibles et des services vitaux doit impérativement être réalisé par le CSSI sous l'autorité de son DU.

Des analyses de risques sont menées régulièrement afin de cerner les enjeux de la sécurité de l'information pour le service ou l'unité. Ces analyses sont conduites par le CSSI en concertation avec les personnels responsables des données les plus sensibles. Le pôle SSI peut porter assistance aux CSSI pour l'élaboration d'une PSSI d'unité12.

Au vu des résultats de l'analyse de risques, des mesures de protection des données sensibles doivent être choisies et un plan de reprise d'activité pour les services sensibles être élaboré.

2.8 Traitement des incidents

Le personnel en charge de la sécurité des systèmes d'information, RSSI ou CSSI, apporte son concours aux agents touchés par un incident lié à la sécurité de l'information, et il les informe, le cas échéant, des dispositions concernant la protection des données nominatives. La Direction des Affaires Générales (DAG) et le CIL sont consultés.

En cas d’intrusion sur une machine, des mesures conservatoires peuvent être prises et la machine incriminée peut être privée d'accès au réseau Jussieu. Dans le périmètre des unités, l'administrateur de la machine ou le CSSI prend en charge la collecte13 des traces laissées par l'attaquant et informe les RSSI des tutelles. Un rapport concernant les circonstances de l'incident doit être rédigé au plus tôt et, en cas d'attaque14 informatique, une fiche d'incident doit être envoyée au Computer Emergency Response Team - Réseau National de télécommunications pour la Technologie l'Enseignement et la Recherche (CERT-RENATER)15.

En cas de vol de données confidentielles, ou à l'occasion de tout incident pouvant avoir des conséquences juridiques ou financières pour l'unité ou la tutelle UPMC, une plainte est déposée par l’UPMC auprès de la Brigade d'Enquêtes sur les Fraudes aux Technologies de l'Information (BEFTI) ou de la Direction Générale de la Sécurité Intérieure (DGSI).

12 Un kit-PSSI a été réalisé par le pôle SSI de l’UPMC en coopération avec la délégation Paris B du CNRS.

13 Il est recommandé de débrancher mais de ne pas redémarrer la machine pour effectuer la collecte.

14 Le pôle SSI de la DSI met à la disposition des administrateurs systèmes et réseaux un kit de collecte de traces pour l'analyse des systèmes attaqués.

15 Réseau d’assistance en matière de sécurité informatique, et notamment dans le domaine de la prévention, de la détection et de la résolution d'incidents de sécurité. Sa fonction première est d'être le point de contact sécurisé vers une structure de secours en cas d'incident.


10

2.9 Suivi et amélioration du niveau de sécurité

Au cours des évolutions du système d'information, lorsque des tiers sont amenés à prendre en charge la gestion du patrimoine informationnel de l'unité, les questions concernant la sécurité du système d'information doivent toujours être étudiées et explicitement décrites sous la forme de clauses contractuelles. Le choix d’équipements de sécurité labellisés par l’ANSSI est préconisé pour la protection des systèmes sensibles.

Dans le périmètre des unités, pour tout lancement d'un nouveau projet, la cartographie des ressources mettant en évidence les méthodes d'authentification et les mécanismes de protection des données est préconisée.

En accord avec la direction, des audits internes peuvent être réalisés afin de mesurer la robustesse des mesures de protection du système d'information et déterminer les priorités d'un plan d'action. La possibilité de réaliser l'audit d'un service rendu par un tiers doit être prévue par contrat.

2.10 Actions de sensibilisation

La présente PSSI est diffusée à l'ensemble des personnels de l'UPMC.

La charte de bon usage des systèmes d'information de l'UPMC est communiquée aux utilisateurs ayant accès à des ressources fournies par l'UPMC ou ses unités. Les personnels et les tiers non soumis au règlement intérieur de l'UPMC doivent obligatoirement signer la charte.

Les responsables de service et les directeurs d'unités organisent régulièrement des actions de sensibilisation avec le concours des personnels chargés de la sécurité des systèmes d'information (FSD, RSSI, CSSI).

2.11 Mesures techniques et procédures

Ces mesures concernent les composants sensibles du SI de l’UPMC. Chaque mesure est précédée d’un symbole indiquant son niveau d’applicabilité pour cette version de la PSSI :

� requis (mise en conformité au plus tôt)

� (fortement) recommandé

� conseillé

Protéger un Système d'Information consiste à se prémunir contre des menaces d'origine matérielle, environnementale ou humaine.

Une menace représente un risque opérationnel lorsqu'elle concerne la disponibilité d'un service ou d'un serveur. Elle représente un risque stratégique, juridique ou financier lorsqu'elle concerne une donnée dont la confidentialité et l'intégrité doivent être préservées, souvent dans le cadre d'un engagement contractuel.

Les menaces les plus courantes dans notre environnement sont les suivantes :

- le vol ;

- l'usurpation d'identité (faux messages, phishing) ;

- la perte de données (ex : panne disque) ;

- les attaques par déni de service16 ;

16 L'attaque virale intégrant le poste de travail dans un botnet est la plus fréquente


11

- l'attaque ou la prise de contrôle à distance d'un serveur17.

Les mesures techniques préconisées dans les paragraphes ci-dessous sont issues de la norme ISO 27002. Elles couvrent l'ensemble des risques que l'on peut communément identifier dans les entités de l’UPMC.

Les laboratoires comportant des ZRR, doivent se conformer au dispositif de la PPST:

- inventaire et analyse des risques,

- élaboration et mise en œuvre d'une PSSI pour le laboratoire (reprenant éventuellement des mesures de la PSSI de l’UPMC ou d’une tutelle tierce),

- mise en place de mesures de protection du SI contre l'intelligence économique de pays tiers.

2.12 Identifier ce qui doit être protégé

2.12.1 L'inventaire des actifs critiques : données et serveurs

Afin de déterminer les mesures de protection les plus appropriées, un inventaire des données et des services numériques les plus sensibles doit être constitué.

Sont considérées « sensibles » :

- les données nominatives (dossiers de carrière des personnels du labo, listes d’étudiants etc.),

- les données scientifiques (résultats de recherche, article en préparation, déclaration d'invention, etc.),

- les contrats (partenariats, valorisation, etc.),

- les données d'enseignement (sujet d’examen en préparation, fichiers de notes, etc.),

- les données administratives (données financières, etc.),

- les données privées (courriels privés, informations bancaires, fichiers divers, etc.),

- les codes d’accès (intranet, sites sensibles, applications métiers, etc.),

- les données professionnelles enregistrées dans le navigateur web ou dans l'ordiphone de l'utilisateur (mots de passe, historique de navigation etc.).

Les processus et les services dont la fiabilité doit être garantie concernent :

- les accès sécurisés aux données (réseaux, serveurs etc.),

- la protection des postes de travail contre les malwares18 et les failles de sécurité,

- la sauvegarde régulière des données, des systèmes et des journaux informatiques

- l'archivage pérenne des données qui doivent être conservées sur une longue période,

- le plan de reprise de l'activité après différentes catégories d'incidents allant de la panne disque à l'incendie des locaux.

17 Les serveurs web sont les plus visés car ils sont souvent les plus vulnérables

18 Code malveillant en français : logiciel nuisible généralement introduit sur le poste de travail à l’insu de l’utilisateur (virus, ver, cheval de Troie, porte dérobée, logiciel espion, etc.).


12

2.12.2 Estimation du niveau de sécurité requis

Le choix d'un mécanisme de protection doit être proportionné à la valeur d'une ressource pour le laboratoire ou au bon déroulement d'un processus métier. Quatre critères permettent d'estimer cette valeur :

- la disponibilité, ou la faculté d’accéder, au moment voulu, à l'information requise,

- l'intégrité, c'est-à-dire l'absence de modifications non autorisées, accidentelles ou délibérées,

- la confidentialité qui détermine les conditions de diffusion d’une information,

- la preuve (Auditabilité, Traçabilité) ou propriété d'un système journalisant des événements, en vue d'une imputabilité des actions.

Une échelle numérique propre à chaque critère permet de déterminer la valeur de la ressource du point de vue du critère considéré.

2.12.3 Mesures Préconisées � Un inventaire des données et des serveurs sensibles de l’entité est constitué. Il

identifie les personnels en ayant la responsabilité.

� Cet inventaire est réactualisé en fonction des évolutions du système d’information

de l’unité.

� Chaque nouveau projet entraîne l'inventaire des ressources dédiées au projet.

2.13 Identifier les risques provenant des tiers

Selon la nature du service rendu par un tiers (hébergement de serveur ou de données, maintenance matérielle ou applicative, développement etc.), les risques en matière de sécurité de l'information peuvent varier et des dispositions contractuelles insuffisantes19 peuvent avoir des impacts significatifs.

2.13.1 Le recours aux prestataires externes

Tout service opéré par un tiers étant susceptible d'introduire de nouveaux risques en termes de disponibilité, d’intégrité et de confidentialité de l'information, il est indispensable de faire appel à des prestataires s’engageant, par le biais de clauses contractuelles appropriées, à respecter les besoins de leur client en matière de sécurité.

Les intervenants extérieurs n'étant pas soumis statutairement au devoir de réserve, comme cela est le cas pour les personnels de la fonction publique, la signature d'une clause de confidentialité est requise.

� La réversibilité20 est intégrée aux clauses de fin de contrat, en cas de non

reconduction ou rupture de contrat.

� Tous les contrats de sous-traitance comportent une clause de confidentialité,

dès lors où l’accès aux données du système d’information est rendu possible.

19 « Maîtriser les risques de l’infogérance », ANSSI (décembre 2010).

20 Possibilité de « retour en arrière » en cas d'externalisation d'un composant du système d'information


13

� La description formelle du pilotage et des modalités de contrôle de la

prestation par le client est intégrée au contrat.

� Les marchés sont compatibles avec la PSSI.

� Lorsque le niveau de criticité d'une prestation le nécessite, une clause d’audit

est prévue par contrat.

� L’accès aux données, aux serveurs et aux applications est limité à ce qui est

nécessaire.

� La validation par le CSSI de l'unité ou, à défaut, le RSSI de l'UPMC des modalités

d’accès à distance.

� Les autorisations d'accès sont délivrées nominativement et journellement.

� Les intervenants signent la charte de bon usage du SI de l’UPMC.

� Les autorisations nécessaires pour tous les prestataires intervenant dans une ZRR

sont obtenues préalablement et renouvelées annuellement.

2.13.2 Le renvoi en maintenance et la mise au rebut des équipements

Se séparer d'équipements ayant hébergé des données sensibles ne va pas sans quelques précautions, si l'on veut se prémunir d'une perte de confidentialité.

� La destruction physique des mémoires de stockage (disques internes ou

externes, clés USB, CD/DVD etc.), est réalisée avant la mise au rebut des équipements.

� Les logiciels sous licence sont désinstallés dans la mesure du possible. Un

effacement « sécurisé » des contenus non chiffrés est préconisé pour le renvoi en maintenance d'un équipement ou sa cession à un tiers.

� Privilégier les contrats de maintenance avec l’option « conserver le disque dur »

pour pouvoir l'ôter, avant d'envoyer l'équipement en réparation.

2.14 Protéger les données

2.14.1 Réglementer les accès physiques

Les données sont vulnérables aux menaces d’origine « humaine » telles que les vols, les dégradations, etc. Pour réduire ces risques, il faut sécuriser l'accès aux locaux.

La Direction du Patrimoine Immobilier (DPI) de l'UPMC est habilitée à délivrer les autorisations d'accès aux locaux protégés par un dispositif électronique. Les journaux gardant la trace des accès aux locaux sont conservés conformément aux obligations légales et déclarés au CIL de l'UPMC.

� Les autorisations d'accès aux locaux sécurisés de l'UPMC font l'objet d'une

procédure normalisée identifiant les personnes habilitées, leur statut (personnel en régie, technicien de maintenance, etc.), les numéros des locaux, les plages horaires etc.. La perte ou le vol d'un badge ou d'une clé doivent être signalés à la DPI.


14

� En cas de mise en œuvre d'un dispositif de vidéo-protection pour protéger

l'accès aux locaux sensibles, la gestion et l’usage des vidéos enregistrées se conforment aux obligations légales et sont signalés au CIL de l’UPMC.

� La mise en place d’une ZRR prévoit des mesures destinées à assurer la

protection des locaux (périmètre de sécurité, circuit de notoriété, autorisation préalable, enregistrement et accompagnement des visiteurs etc.).

� Il est recommandé que les prestataires et les visiteurs soient accompagnés

par un personnel de l'entité pour avoir accès aux locaux sensibles.

2.14.2 Contrôler les accès logiques

Pour garantir confidentialité et intégrité, l'accès aux données doit être contrôlé.

� La gestion des comptes et des autorisations d’accès est formalisée. L'accès

au SI de l’UPMC est réglementé par la charte de bon usage21. Les membres du personnel y sont implicitement soumis car elle figure au règlement intérieur de l'UPMC. Les étudiants s'engagent à la respecter par un engagement électronique au moment de leur première inscription, les intervenants extérieurs la signent explicitement.

� Les accès au SI sont authentifiés. Les utilisateurs sont sensibilisés aux bonnes

pratiques diffusées par l’ANSSI concernant la robustesse des mots de passe.

� Une gestion spécifique des comptes privilégiés des administrateurs22 du SI est

nécessaire en raison de leurs droits d'accès étendus.

� Pour réduire les risques d’usage frauduleux d'un compte, il est nécessaire de

verrouiller ou fermer sa session avant de quitter son poste de travail (même pour une courte absence).

� Conformément aux exigences de la LCEN, les connexions sont journalisées

� Les moyens d’accès distants sont sécurisés par virtual private network (VPN)23

ou grâce à des protocoles d’accès sécurisés comme https, ssh, imaps etc. Une passerelle d’accès dédiée peut être nécessaire.

� La suppression des comptes non utilisés depuis plus d'un an ou appartenant à

des personnes ayant quitté l’établissement est réalisée au bout d'un délai fixé à l'avance.

� La gestion des matériels donnant accès au SI de l’entité qui sont mis à

disposition de l’utilisateur (ordinateur portable, ordiphone, badge d’accès etc.) pour leur activité professionnelle, est formalisée.

� Le CSSI effectue régulièrement des actions de sensibilisation au profit des

utilisateurs de l’entité : usage et complexité des mots de passe, risques de

21 Disponible dans l'intranet de l'UPMC dans la rubrique Sécurité des Systèmes d'Information

22 Toute personne, employée ou non par l’UPMC, chargée explicitement du bon fonctionnement et de la sécurité de ressources informatiques placées sous sa responsabilité.(cf. l'annexe « Administrateurs de SI » de la charte de l'UPMC).

23 Système permettant de créer un lien direct entre des ordinateurs distants.


15

phishing et usurpations d’identité, protection du patrimoine informationnel, navigation sur Internet, etc.

2.14.3 Protéger les équipements mobiles, hors des locaux de l’établissement

Les données transportées sur des équipements mobiles deviennent plus vulnérables en raison des diverses possibilités de perte, de vol, ou de destruction de leur support physique. Les ordinateurs portables comme d’autres supports mobiles (disques externes, clés USB, téléphones mobiles etc.) sont concernés.

� Les informations sensibles que l'on transporte sur un équipement mobile sont

chiffrées (matériel ou logiciel)24.

� Les équipements contenant des données sensibles ne sont pas laissés sans

surveillance dans les espaces publics (congrès, trains, halls d’hôtels etc.) ou dans une chambre d'hôtel.

� Les équipements voyagent en bagage à main et contiennent uniquement les

données requises pour la mission25.

� Lors des missions à l’étranger, le personnel utilise un équipement dédié à cette

usage.

� Un signe distinctif est apposé sur les sacoches des ordinateurs portables en

vue de prévenir tout risque de confusion entre deux sacoches identiques.

� Dans les unités relevant du dispositif de PPST, la PSSI de l'unité s'applique et, à

défaut, la PSSI de la tutelle hébergeant l’unité.

2.14.4 Protéger la confidentialité et l'intégrité, garantir la disponibilité des données

La protection des données en termes de confidentialité, d’intégrité et de disponibilité doit être proportionnée aux enjeux : attractivité, risques spécifiques, etc., et adaptée aux besoins des utilisateurs.

Le niveau de protection souhaitable est souvent un compromis entre le niveau de criticité de l’information, déterminé par l’analyse des risques, et le coût (financier et humain) des mesures. Les risques résiduels (non couverts) doivent être acceptés par le responsable de l'unité, en connaissance de cause.

� Les fichiers et bases de données à caractère personnel, ainsi que les

traitements sur ces données sont signalés au CIL de l'UPMC ([email protected]). Pour certains traitements, une autorisation de la CNIL est nécessaire.

� La confidentialité d'un document est indiquée.

� Seul, le chiffrement peut garantir la confidentialité des données numériques.

Cette mesure est recommandée pour les données sensibles transportées sur des supports mobiles (ordinateur portable, disque dur externe, clé USB,

24 Une copie des données doit être conservée en cas de panne matérielle, de même que la clé de chiffrement pour se prémunir d’un oubli. Le recouvrement de données chiffrées peut être exigé par requête judiciaire.

25 Cf. http://www.securite-informatique.gouv.fr/IMG/pdf/Passeport-de-conseils-aux-voyageurs_janvier-2010.pdf.


16

CD/DVD etc.).

� Des sauvegardes sont réalisées régulièrement pour garantir la disponibilité des

données. Lorsque la sauvegarde de données sensibles est réalisée par un tiers, leur chiffrement préalable est préconisé.

� Le stockage de données sensibles sur des sites spécialisés26 (google mail,

dropbox etc.) nécessite obligatoirement leur chiffrement préalable. Cet usage est interdit pour les données soumises au dispositif de la PPST.

� Les réseaux sociaux facilitent l'intelligence économique et la fuite

d’informations confidentielles, leur usage doit respecter des règles de discrétion élémentaires.

2.14.5 Protéger l'acheminement des données

L'acheminement des données concerne la totalité des circuits par lesquels l'information transite depuis le clavier de l'utilisateur jusqu'au support de stockage et du support ou serveur de stockage jusqu'à l'écran de l'utilisateur.

Les mots de passe, codes d'accès et données confidentielles ne doivent pas être transportés sur des canaux de communication non chiffrés lorsqu'ils ne sont pas eux-mêmes chiffrés.

� Le transport des informations entre deux sites d’une entité connectés entre eux

par un lien dédié est intégralement chiffré par un tunnel sécurisé. L’utilisation du protocole IPSec est recommandée.

� Le chiffrement des messages électroniques est réalisé au moyen d'un certificat

électronique de personne. Des solutions comme Pretty Good Privacy (PGP)27 ou 7-zip, permettent le chiffrement des pièces jointes. Une copie de la clé de chiffrement28 est conservée en lieu sûr.

� L'envoi de messages à partir d'un réseau tiers dont on ignore le niveau de

sécurité s'appuie sur un webmail utilisant le protocole https ou sur des protocoles chiffrant les échanges (pops et imaps pour la consultation des messages, smtps pour leur envoi).

� La messagerie électronique est le vecteur de nombreuses tentatives

d’usurpation d’identité. Il est recommandé de s’assurer de l’identité de l’expéditeur d’un message dont le contenu parait « étrange ». La signature électronique basée sur la possession d’un certificat de personne doit être utilisée si nécessaire.

� Un certificat de personne29 est délivré par l’opérateur de certification sous

contrat avec RENATER, sur demande au pôle SSI de la DSI. Ce service est réservé au personnel dont les missions le justifient.

26 Il est nécessaire de rappeler que les prestataires américains, soumis au Patriot Act (« Loi pour unir et renforcer l'Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme »), doivent répondre aux demandes d'accès qui leur sont adressées par leur gouvernement, y compris sur leurs serveurs européens.

27 Logiciel libre de cryptographie, 7-zip un logiciel permettant de créer des fichiers archives.

28 Il ne faut jamais l’envoyer par courriel.

29 Permet de signer des courriels ou de les chiffrer. Il sert aussi à prouver son identité lors d'une authentification forte (cf.


17

� A moins de disposer d'un logiciel client capable de chiffrer la totalité du trafic

wifi entre le poste de l'utilisateur et une borne sans fil, comme le propose le réseau « eduroam », l'activité sans fil sans avoir recours à des protocoles sécurisés (de type pops, imaps ou VPN SSL), doit se limiter à la consultation de pages web.

� Le déploiement d’infrastructures de téléphonie sur IP est précédé d’une

analyse de risques, même lorsque la connexion vers le monde extérieur n'emprunte pas l’infrastructure réseau de l’UPMC30. En cas de tierce maintenance applicative, la sécurisation de la solution est garantie par contrat.

� L’interdiction d'utiliser le logiciel « Skype », à partir des postes de travail

hébergeant des données sensibles ou pour des conversations confidentielles, est toujours en vigueur, en application de la directive du HFDS de 2005 (cf. intranet de l’UPMC, rubrique Sécurité des Systèmes d’Information).

2.15 Protéger les actifs supports : postes de travail, ordiphone etc.

2.15.1 Mesures de protection pour les ordinateurs de bureau

Un attaquant peut prendre le contrôle d'un ordinateur de bureau suite à une intrusion physique dans les locaux de l'entité, soit à distance par le biais d'un programme malveillant ou par rebond à partir d'une machine du réseau local dont il aura déjà pris le contrôle.

2.15.1.1 Périmètre des unités

� L'ouverture d’une session sur l'ordinateur est obligatoirement protégée par un

mot de passe.

� Tout disque, s’il contient des données sensibles, est chiffré31.

� Les logiciels (systèmes, bases de données, bureautiques, applicatifs…) sont

utilisés dans les conditions des licences souscrites.

� Le système et des applications installées sur l'ordinateur sont mis à jour

régulièrement.

� Les valeurs des paramètres de la connexion réseau sont fournies par le CSSI ou

le correspondant réseau de la DSI.

� Afin de diminuer l'impact d'une intrusion, des comptes utilisateurs non

privilégiés sont utilisés.

� Les mises à jour automatiques (ex. Windows update) pour l'ensemble des

ordinateurs sont activées.

� Des antivirus et un pare-feu local32 sont activés. Dans le cadre d’accords

rubrique « Sécurité des Systèmes d'Information » dans l'intranet de l'UPMC)

30 L'infrastructure réseau de l’UPMC intègre la téléphonie sur IP dans un réseau virtuel étanche offrant des garanties de confidentialité et des garanties de qualité de service.

31 La clé de chiffrement et les données doivent être sauvegardées.


18

logiciels nationaux, l'UPMC fournit, gratuitement, un antivirus à usage professionnel. La demande peut être effectuée par toute unité ayant une tutelle UPMC.

� L’écran et le verrouillage de la session en cas d'absence sont activés, même

de courte durée.

� Le parc des ordinateurs mis à disposition des utilisateurs est géré par l'unité33.

� Lorsque la disponibilité de l'ordinateur doit être garantie, il faut prévoir sa

maintenance matérielle ou bien disposer d'un « clone » en secours.

2.15.1.2 Périmètre des services centraux

Les utilisateurs des services centraux ne disposent pas de comptes privilégiés, sauf exception.

� La gestion du parc des ordinateurs de bureau est réalisée par la DSI.

� La gestion des espaces disques et la disponibilité des données est assurée par

la mise en place de contrôles d'accès et par une politique de sauvegarde. L'octroi de droits d'accès spécifiques est sous la responsabilité du directeur du service.

� Les accès à distance pour le télétravail sont sécurisés par l'application e-

bureau.

� Une intervention pour un dépannage à distance est effectuée sur le poste

d'un l’utilisateur avec son autorisation.

� La hotline de la DSI permet de garder la trace des incidents techniques

(https://hotline.upmc.fr).

2.15.2 Ordinateurs en « libre-service »

Les ordinateurs en libre-service et en salles de TP/TD, les postes de consultation dans les bibliothèques, les ordinateurs partagés dans les bureaux de doctorants, etc. présentent des risques spécifiques : sessions non fermées, historique et données enregistrées dans le navigateur, modifications diverses, etc.

� L’authentification des visiteurs ou utilisateurs « de passage » est réalisée et les

traces d'accès conservées, conformément à la politique de gestion des journaux informatiques de l’UPMC34.

� Après déconnexion, la session d'un utilisateur n’est plus accessible d’identifiants

de session ou cookies35 dans le navigateur internet36. La fermeture

32 L'UPMC est membre du « groupe logiciel » réunissant les établissements supérieurs pour l'acquisition d'antivirus.

33 Il est nécessaire d'identifier l'usager de l'ordinateur, sa localisation, son niveau de maintenance et les logiciels installés. Des logiciels libres comme OCS inventory permettent de réaliser cette gestion plus facilement. 34 Intranet de l'UPMC, rubrique « Sécurité des Systèmes d'Information »

35 Un cookie (ou témoin de connexion) est une suite d'informations envoyée par un serveur HTTP à un client HTTP, que ce dernier retourne lors de chaque interrogation du même serveur HTT. Il est l'équivalent d'un petit fichier texte stocké sur le terminal de l'internaute et permettant aux développeurs de sites internet de conserver des données utilisateur.


19

automatique des sessions après un temps d’inactivité assez court est recommandée.

� L'ordinateur est sécurisé et les correctifs de sécurité sont appliqués au plus tôt. Il

est recommandé d'interdire le branchement de disques externes ou de clés USB.

� L’ouverture de session requiert l’usage d’un serveur mandataire (proxy web).

2.15.3 Ordinateurs portables et tablettes

Les risques liés à l'usage d'équipements portables augmentent en raison de la diversité des incidents possibles : perte, vol, casse, utilisation « familiale », connexion à des réseaux non sécurisés, etc.

� Les disques contenant des données sensibles sont chiffrés37 (matériel ou

logiciel).

� Dans une unité, le branchement d’un ordinateur portable sur une prise réseau

est effectué après accord du correspondant réseau ou du CSSI.

� L’offre d’accès internet authentifié, dans le cadre de réunions, séminaires,

congrès etc., se fait via le réseau sans fil de l’UPMC. Des identifiants temporaires peuvent être obtenus auprès de la DSI38. Les accès aux réseaux eduroam39 et eduspot40 sont possibles pour les personnels des universités partenaires de la fédération d'identités opérée par RENATER.

� L’usage professionnel d’un ordinateur portable personnel est conforme aux

PSSI des tutelles de l'unité.

� Dans les ZRR, l'usage d'un ordinateur portable est conforme au règlement

intérieur de la ZRR.

2.15.4 Ordiphones41

Les ordiphones présentent des risques importants d'atteinte à la vie privée. En cas de perte ou de vol, ils deviennent des vecteurs d'attaques du SI s'ils contiennent des codes d'accès privilégiés non protégés.

� À l’achat, les téléphones possèdent des mécanismes de protection renforcée :

mot de passe robuste et chiffrement du contenu.

36 Suppression des identifiants de session ou cookies du navigateur internet.


38 Conformément aux obligations légales, la liste des participants et de leurs identifiants doit être conservée.

39 Réseau sans fil chiffré permettant une authentification à distance lors d’un déplacement dans une université partenaire moyennant l’installation d’un logiciel de connexion.

40 Réseau sans fil non chiffré avec authentification par portail web en https dans les universités numériques en région.

41 Téléphones mobiles intégrant des fonctions de traitement de l’information.


20

� L'activation du verrouillage automatique est protégée par un mot de passe.

� Les interfaces sans fil (Bluetooth, WiFi, NFC…) doivent être désactivées par

défaut.

� Le contenu de l'ordiphone est chiffré et la connexion à distance pour le

transfert ou la consultation de données sensibles se fait par un VPN.

� Afin d'éviter une copie non autorisée de ses données, le rechargement de la

batterie de son ordiphone ne se fait pas sur le port USB d’un équipement qui n'est pas de confiance.

� Le code International Mobile Equipment Identity (IMEI)42 du téléphone est

conservé pour demander son blocage immédiat à l’opérateur, en cas de perte ou vol.

� Les applications installées sont contrôlées lorsque l'ordiphone permet de se

connecter à des systèmes sensibles.

� L’ordiphone fait l’objet de sauvegardes ou de synchronisations de manière

régulière.

2.15.5 Supports amovibles

Les clés USB, disques externes, CD/DVD et autres supports amovibles sont exposés aux risques de perte, de vol ou de défaillance matérielle.

� Les supports amovibles hébergeant des données sensibles sont chiffrés43

(matériel ou logiciel).

� Les supports amovibles ne sont pas connectés à un ordinateur dont l'antivirus

n'est pas à jour ou n'assure pas une protection en temps réel.

2.15.6 Impression de documents confidentiels

Oubliées sur l’imprimante, en évidence sur le bureau, archivées ou mises à la poubelle sans précaution, des données confidentielles risquent d’être lues ou photocopiées par des personnes à qui elles ne sont pas destinées.

� L’impression d'un fichier sur une imprimante réseau entraîne la copie des

données sur son disque interne. Le risque de récupération illicite de ses données est à prévoir en demandant la conservation du disque pour le retour en maintenance ou la mise au rebut de l'équipement.

42 Code à 15 chiffres demandé lors du dépôt de plainte.



21

� Quand l'imprimante est partagée, les documents sensibles sont

immédiatement récupérés.

� L’accès à une imprimante utilisée pour l'impression de documents très

confidentiels est réservé au personnel autorisé.

� Le stockage des documents confidentiels est sécurisé et ils sont détruits en

utilisant un broyeur agréé.

2.16 Protéger les serveurs

Les serveurs hébergent des données sensibles et fournissent des services numériques. Ils représentent des biens essentiels pour le support des activités métiers des agents.

La sécurité des données (disponibilité, intégrité et confidentialité) et des services (disponibilité et intégrité) dépend du niveau de protection des serveurs qui les hébergent.

Les réseaux assurant l'accès aux données et aux services numériques doivent offrir des garanties de disponibilité et d'intégrité.

� Les serveurs sensibles sont situés dans un intranet sécurisé ou sont protégés par

des mesures robustes s’ils doivent rester accessibles depuis internet.

� Les serveurs connectés sur le réseau de l'UPMC sont protégés par des filtres mis

en place par la DSI à la demande du CSSI d'une unité. Les ports et les services non utilisés sont fermés sur les serveurs. Les systèmes et les applications sont maintenus à jour (version, correctifs de sécurité etc.).

� Les contrats de maintenance matérielle et logicielle sont adaptés au niveau

de disponibilité requis par une analyse de risques identifiant les impacts d'un dysfonctionnement pour l'activité du laboratoire.

� Les contrats passés avec des prestataires externes identifient les périmètres

d’intervention, les responsabilités, les délais de dépannage, les garanties de qualité et les procédures de traitement d'un incident.

� Les services dont la continuité d’activité est à garantir font l’objet de

mécanismes de redondance ou de haute disponibilité.

� Les sites offrant des téléservices impliquant des échanges électroniques entre

des usagers et une autorité administrative sont conformes au Référentiel Général de Sécurité (RGS)44 .

� L’administration des serveurs, des services numériques et des équipements

réseaux comprend le suivi des avis de sécurité émis par les CERT, les fabricants de matériels et les éditeurs de logiciels. L’administrateur est chargé d’évaluer le niveau d’urgence des actions à entreprendre selon la criticité de la

44 http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite.


22

menace. Il peut choisir d'avoir recours à des solutions alternatives ou mesures de contournement empêchant d’exploiter la vulnérabilité.

� La surveillance et la protection des serveurs assurant un rôle de passerelle vers

internet sont renforcées.

� Les procédures et les dispositifs mis en œuvre pour la surveillance d’un serveur

ou d'un service sont conformes à la législation en vigueur ; les utilisateurs en sont informés.

� Les environnements de développement, de tests et de production sont

séparés.

� La journalisation des accès aux systèmes et aux applications sensibles est

conforme à la politique de gestion des journaux informatiques de l’UPMC.

� Un certificat de serveur45 est délivré par l’opérateur de certification sous

contrat avec RENATER, sur demande au pôle SSI de la DSI.

� L’élaboration d’un Plan de Reprise d’Activité (PRA) permet la formalisation et

l’anticipation des actions à mener en cas d’incident ou de sinistre majeur.

2.17 Protéger les réseaux de communication

Le réseau de l'UPMC est une infrastructure à haut débit incluant des mécanismes de haute disponibilité. Cette infrastructure se compose de nombreux équipements réseaux et d'un ensemble de serveurs sensibles46. L'administration du réseau de l'UPMC est sous la responsabilité de la DSI.

� Les périmètres d’intervention et de responsabilité des différentes entités

concernées par le maintien en condition opérationnelle du service réseau (RENATER, DSI, correspondants réseaux des entités) sont définis et l'échange d'information est formalisé.

� Une « documentation réseau UPMC » (plan de câblage, inventaire des

équipements réseau, fiches de configuration/paramétrage, filtrage, rapports d’intervention, fiches de traitement des incidents etc.) est maintenue à jour et disponible en diffusion restreinte.

� Les réseaux locaux ou Virtual Local Area Network (VLAN)47 des entités sont

créés et administrés par la DSI. La gestion de l’adressage interne (numérotation IP des équipements) est déléguée au CSSI ou au correspondant réseau de l’entité.

45 Ces certificats de serveurs sont reconnus par les navigateurs (Internet Explorer, Firefox/Mozilla/Netscape, Safari, Chrome…). Ils permettent au serveur de prouver son identité et de chiffrer les échanges avec l'utilisateur.

46Serveur de noms de domaines (DNS), serveur de téléphonie sur IP, serveur d'adresses IP etc.

47 Réseau local virtuel permettant de regrouper des prises réseaux physiquement indépendantes.


23

� Toutes les prises réseaux sont identifiées et reportées sur un plan de câblage.

Elles sont brassées et activées à la demande du CSSI ou du correspondant réseau de l'entité. L’accès aux locaux de brassage est journalisé.

� Les demandes d’ajout, retrait ou modification des prises réseaux doivent faire

l'objet d'une demande dans la hotline de l'UPMC et préciser le numéro de la prise, sa localisation physique, le nom de l’utilisateur, son numéro de téléphone, le numéro de réseau local virtuel (VLAN) demandé.

� La DSI met en œuvre un filtrage spécifique pour chaque VLAN48 en fonction

des besoins exprimés par l’entité. Les demandes formelles de modification de ce filtrage ne peuvent être effectuées que par le CSSI ou le correspondant réseau de l'entité.

� Les VLAN sensibles font l’objet d’une protection complémentaire49.

� La DSI s'appuie sur le service anti-spam de RENATER limitant le volume de

courriels indésirables, auquel s'ajoutent des mécanismes de protection complémentaires, notamment le filtrage des sites de phishing signalés par les utilisateurs de l'UPMC.

� Les utilisateurs du réseau de l'UPMC s'engagent à respecter la charte RENATER.

2.18 Se prémunir contre les menaces d'origine environnementale

Les menaces d’origine environnementale représentent tous les dysfonctionnements liés, principalement, à l'alimentation électrique, la température des locaux, les incendies et les inondations.

� La prévention des pannes matérielles de serveurs sensibles requiert leur

hébergement dans une salle machine électriquement sécurisée et climatisée. La DPI de l'UPMC prend en charge la gestion de ces salles dans les locaux rénovés après les travaux de désamiantage du campus.

� Lorsque la criticité des serveurs le justifie, les onduleurs et la climatisation de la

salle sont eux-mêmes sécurisés par le doublement des onduleurs ou la possibilité de recourir à un groupe électrogène.

� Une salle machine est équipée pour la détection et l’extinction d’incendie et

pour la détection de présence d'eau (inondation, fuite de canalisation…).

� Les serveurs et autres équipements critiques (routeurs, baies de disques, etc.)

sont équipés d’une double d’alimentation électrique.

48 Par défaut, « tous les accès en entrée (de l’extérieur vers le réseau local) sont interdits sauf ceux qui sont explicitement autorisés ».

49 Un pare-feu applicatif est utilisé pour protéger les VLAN du périmètre des services centraux.


24

� Le plan de sauvegarde des données prévoit un équipement de sauvegarde

situé dans un local distant.

� Un plan de crise en cas de sinistre majeur (ex : incendie salle machine) est

rédigé : constitution et rôle d’une cellule de crise, plan de communication, plan d’actions, possibilités de fonctionnement en mode dégradé, etc.).

� Les contrats de maintenance des onduleurs et de la climatisation sont

adaptés aux besoins.

� Les équipements réseau sont hébergés dans des locaux techniques dédiés,

équipés d’une alimentation électrique secourue et d’une climatisation.

2.19 Traitement des incidents

� Le vol d’un ordinateur portable (ou autre matériel informatique) dont l'UPMC

est propriétaire, est déclaré par la victime au commissariat du 5e arrondissement, car le personnel de l'UPMC est habilité à effectuer cette démarche dans le cadre d'un accord. L'UPMC dépose une plainte auprès de la BEFTI, lorsque le préjudice est conséquent50. Si l’équipement volé contient des données sensibles, le CSSI informe la chaîne fonctionnelle SSI pour suite à donner.

� En cas d'incident, le CSSI d'une entité ou, à défaut le RSSI de l'UPMC est

informé au plus tôt. Le CSSI prend en charge le traitement de l'incident selon la procédure décrite dans l'intranet de l'UPMC dans la rubrique « Sécurité des systèmes d'Information ». Les RSSI des tutelles tierces sont informées.

� Lorsque la compromission d’un serveur est détecté par la DSI ou signalée par le

CERT RENATER, le CSSI de l'entité ou, à défaut, son correspondant réseau est alerté. Selon la nature de l'incident et les impacts possibles d'une attaque, la DSI peut prendre l'initiative de filtrer temporairement le serveur incriminé, après avis du RSSI au besoin. Afin de faciliter les investigations, l'équipement ne doit pas être redémarré immédiatement.

� En cas de compromission du système d’information d’une ZRR, le RSSI signale

l’incident au HFDS et à l’ANSSI. Il en informe le FSD.

2.20 Conformité à la PPST

L’arrêté du 3 juillet 2012 relatif à la PPST impose au chef de la ZRR d’assurer les mêmes qualités de protection de l’information à l’intérieur ou la sortie de la ZRR. Tout accès virtuel doit être autorisé par le DU.

� L’accès aux données informatiques sensibles est contrôlé

50 Le responsable de l’équipement volé informe au plus tôt la direction et le CSSI de l’entité. La direction ou le CSSI de l’entité contacte au plus tôt le Service Sûreté de l’UPMC, chargé de l’enquête interne et de l’accompagnement dans la démarche juridique (dépôt de plainte).


25

� Les règles de protection des informations sensibles et des ressources

informatiques s’appliquent lorsque ces informations font l’objet d’un traitement par une société exerçant son activité à l’extérieur de la ZRR

� Une analyse des risques est conduite, préalablement au développement d’un

projet de traitement d’informations sensibles à l’extérieur de la ZRR.

� L’externalisation hors du territoire national des données informatiques nécessite

de bénéficier de conditions contractuelles, techniques, juridiques et de sécurité équivalents à celles d’un contrat conclu avec un prestataire établi et opérant sur le territoire national.

2.21 Conformité à la PSSI

£ Le directeur de l’entité est responsable de l’application des mesures de

sécurité énoncées dans le présent document. Il fixe les priorités en fonction de leur applicabilité dans l'entité.

� Le CSSI de l’entité doit veiller à la mise en œuvre des mesures de sécurité

énoncées et tenir informée sa direction sur le niveau d’application des mesures.


26

3 ANNEXE Les sites suivants contiennent de nombreux documents facilitant le choix et la mise en oeuvre de mesures de protection.

Site de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) :

http://www.ssi.gouv.fr/

Site de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

http://www.cnil.fr

Site du GIP RENATER

http://www.renater.fr

Site du CERT-FR

http://www.cert.ssi.gouv.fr

Site intranet SSI de l'UPMC

http://www.upmc.fr/fr/espace_des_personnels/qui_fait_quoi/securite_systemes_d_information.html


27

4 Glossaire

Sigle Définition ANSSI Agence Nationale de la Sécurité des Systèmes d’Information : autorité nationale

de sécurité et de défense des systèmes d’information (décret n° 2009-834) AQSSI Autorité Qualifiée pour la SSI (président de l'université) BEFTI Brigade d'enquêtes sur les fraudes aux technologies de l'information CERT Computer Emergency Response Team CERT-RETANET

CERT - Réseau National de télécommunications pour la Technologie l'Enseignement et la Recherche

CIL Correspondant informatique et libertés CNIL Commission nationale informatique et liberté CoCSSI Comité de Coordination de la Sécurité des Systèmes d'Information CSSI Chargé de Sécurité du Système d’Information DAG Direction des affaires générales DGSI Direction Générale de la Sécurité Intérieure DPI Direction du patrimoine immobilier DSI Direction des Systèmes d’Information DU Directeur(rice) d’unité FSD Fonctionnaire Sécurité Défense HFDS Haut Fonctionnaire de Défense et de Sécurité IME International Mobile Equipment Identity IP Internet protocol ISO 27001 Norme internationale décrivant les exigences de mise en place d’un SMSI ISO 27002 Norme internationale décrivant les 133 mesures dites de « bonnes pratiques » LCEN La Loi sur la Confiance en l'Economie Numérique MENSER Ministère de l'Education nationale, de l'Enseignement supérieur et de la

Recherche NFC PDAC Planifier – Déployer – Contrôler – Agir PGP Pretty Good Privacy PIRANET PPST Protection du Potentiel Scientifique et Technique de la nation PRA Plan de Reprise d’Activité PSSIE Politique de Sécurité du Système d’Information de l’Etat PSSI Politique de Sécurité du Système d’Information RGS Référentiel Général de Sécurité RSSI Responsable de la Sécurité des Systèmes d’Information SMSI Système de Management du Système d’Information SI Système d’information SSI Sécurité des Systèmes d’information UMR Unité mixte de recherche USB VIGIPIRATE Plan Gouvernemental de Vigilance, de Prévention et de Protection face aux

menaces d’Actions Terroristes VLAN Virtual Local Area Network VPN Virtual Private Network ZRR Zone à Régime Restrictif

politique de sécurité des systèmes d'information de l'upmc, pour

Documents