politique de sécurité du système d’information (pssi) p r o j e t politique de sécurité du...

PR

OJ

ET

Politique de Sécurité du Systèmed’Information (PSSI)

Document d’orientation de la sécurité des systèmesd’information de l'Université Lille 1

V 2.0

Table des matièresDomaine d'application.................................................................................................................2

Contexte..................................................................................................................................2Périmètre concerné par la PSSI..............................................................................................2

Besoins et techniques de sécurité................................................................................................3Nécessité de protection...........................................................................................................3Conformité à la PSSI de l'Etat (PSSIE)..................................................................................3

Mise en œuvre de la PSSI...........................................................................................................4Adaptation de la PSSIE au contexte.......................................................................................4Responsabilités et Organisation.............................................................................................5Planification des actions de sécurisation................................................................................7Applicabilité de la PSSI.........................................................................................................7Manquement à la politique de la sécurité des systèmes d'information...................................7

Documents annexes.....................................................................................................................9

PR

OJ

ET

Sécurité du Système d’Information - PSSI – V2.0 – Juin 2015

Domaine d'application

ContexteL’Université Lille 1 est un Établissement Public à Caractère Scientifique, Culturel et Professionnel dont les missions sont d’assurer (LRU, Article L123-3) :

• la formation initiale et continue ;• la recherche scientifique et technologique, la diffusion et la valorisation des ses

résultats ;• l’orientation et l’insertion professionnelle ;• la diffusion de la culture et l’information scientifique et technique ;• la participation à la construction de l’Espace européen de l’enseignement supérieur et

de la recherche ;• la coopération internationale.

L’Université Lille 1 est répartie sur plusieurs sites géographiques de la région Nord Pas-de-Calais mais la grande majorité de ses composantes sont rassemblées sur le Campus de Villeneuve d’Ascq – Cité Scientifique : administration, centres de ressources, bâtiments d’enseignement, unités mixtes d’enseignement et de recherche, IUT, écoles universitaire d’ingénieurs.

Le Campus de Villeneuve d’Ascq – Cité Scientifique héberge également des entités autonomes telles l’Ecole Nationale Supérieure de Chimie de Lille, l’Ecole Centrale de Lille ou Telecom Lille ; ces entités autonomes partagent des ressources matérielles avec l’Université (services généraux, réseau de données).

Les chercheurs de l’Université Lille 1 sont principalement sous tutelle du CNRS, de l’INRIA, de l’INSERM et de l’INRA.

Périmètre concerné par la PSSILa PSSI de l'Université Lille 1 s'applique à l'ensemble de ses composantes, y compris aux unités multi-tutelles (sauf si un avis contraire est exprimé dans le cadre des contrats de partenariat passés entre l'Université et les autres tutelles de l'entité).

Les actifs essentiels à protéger sont :

• les systèmes informatiques utilisés pour la gestion de l'établissement ;

• les applications institutionnelles (messagerie, applications et publications Internet, stockage, sauvegarde…) et celles propres aux composantes (applications scientifiques,traitement des données, bureautique…) ou aux laboratoires (contrats, brevets et publications) ;

• les systèmes hors du champ informatique s’appuyant néanmoins sur ses ressources (ToIP/VoIP, visioconférence, vidéosurveillance, contrôle d’accès…) ;

• les interconnexions avec les autres organismes et établissements.

2

PR

OJ

ET


Besoins et techniques de sécurité

Nécessité de protectionLes actifs décrits dans le paragraphe précédant constituent le « système d’information » de l'Université Lille 1. Il est indispensable à la fois pour les activités nécessaires à l'enseignement, à la recherche et à la gestion. Ce système d'information comporte de nombreuses vulnérabilités d'origines diverses : structures organisationnelles insuffisamment robustes, routines de gestion ou procédures défaillantes, pannes d'équipements, environnement physique mal contrôlé, multiplicité des intervenants, dépendance à des tiers défaillants, assemblage de composants dont la compatibilité n'est pas garantie, défaillance humaine, etc.

Ces vulnérabilités, si elles sont « exploitées », peuvent avoir des conséquences dommageablespour l'Université Lille 1 en termes de temps de travail, de perte d'information, de coût financier, d'image de marque, de réputation...

Le « système d'information » doit donc être protégé des menaces internes ou externes. Les données doivent être protégées afin de garantir qu'elles ne soient ni accessibles à des tiers,ni altérées. Les services et applications fournis doivent être disponibles, fiables et garantir des résultats corrects. De plus, la mise en œuvre des systèmes d’information s’inscrivant dans un cadre législatif et réglementaire destiné en particulier à protéger les droits de propriété intellectuelle (droits d'auteurs, brevets...) et ceux de la vie privée (fichiers nominatifs, cybersurveillance…), les responsabilités administratives ou pénales des différents acteurs (l'utilisateur, les administrateurs systèmes et réseaux et leurs hiérarchies) peuvent être recherchées.

Concrètement, la protection du système d'information suppose au préalable d'identifier les actifs en réalisant un inventaire qui intègre notamment les biens matériels (équipements, infrastructure...) et les biens immatériels (données, services...). A chacun de ceux-ci doivent être associés un « propriétaire » et une estimation de sa valeur. Outre l'aspect financier, cette valeur inclut l'intérêt stratégique de l'actif pour l'entité et ses tutelles ou pour l'Université Lille1 .

Ensuite, il convient d'évaluer le besoin de sécurité de chaque actif (en termes de disponibilité, intégrité, confidentialité auquel s'ajoutent éventuellement les contraintes juridiques), d'estimerles risques encourus par cet actif (menaces et probabilité d’occurrence), d'en déduire les mesures à mettre en œuvre puis de planifier cette mise en œuvre en fonction de la valeur de l'actif et des contraintes.

Enfin, il est continuellement nécessaire de mesurer l'efficacité des mesures, de les corriger si nécessaire et de les adapter à l'évolution du Système d'Information et des nouveaux risques.

Conformité à la PSSI de l'Etat (PSSIE)En tant qu'établissement public, l'Université Lille 1 se conforme à la « Politique de Sécurité des Systèmes d'Information de l'Etat » (PSSIE). Elle planifie et met en œuvre les mesures de sécurité qui y sont définies.

La PSSIE a été publiée le 17 juillet 2014 (circulaire 38641 du Premier Ministre) ; elle concerne tous les systèmes d'information des administrations de l'État : ministères, établissements publics sous tutelle d'un ministère, services déconcentrés de l'Etat et autorités administratives indépendantes.

3

PR

OJ

ET


La conformité à la PSSIE est obligatoire ; cependant, des délais de mise en œuvre ont été définis et si des adaptations mineures ("appropriation") sont possibles au sein de chaque organisme.

Le texte complet de la PSSIE est présenté en annexe "PSSIE" ; son contenu peut se résumer comme suit :

• énoncé de principes stratégiques (utiliser des prestataires de confiance, analyser les risques, sensibiliser, respecter des règles "d'hygiène informatique", etc.),

• instruction (champ d'application, date d'entrée en vigueur, organisation de l'Etat pour la mise en œuvre, délais de mise en œuvre, …),

• objectifs et règles : classement hiérarchique d'environ 200 règles de sécurité "de base",regroupées en 34 objectifs macroscopiques et concernant une dizaine de métiers (domaines) différents.Exemple :

• Domaine : Politique, organisation , gouvernance• Objectif 1 : organisation de la SSI. Mettre en place une organisation

adéquate, garantissant la prise en compte préventive et réactive de la sécurité.

• Règle 4 : ORG-RESP : formalisation des responsabilités. Une note d'organisation fixe la répartition au sein de chaque entité et au niveau local des responsabilités et rôles en matière de SSI. Cette note sera, le plus souvent, proposée par le RSSI et validée par l'autorité qualifiée.

Mise en œuvre de la PSSI

Adaptation de la PSSIE au contexte

Simpli&ication : dé&inir des niveaux de sécuritéThéoriquement, la protection de chaque élément individuel du SI (« ressource ») devrait être réalisée. Mais cette protection fine serait très difficile à mettre en œuvre, car chaque ressourcedu SI pourrait nécessiter le respect de règles de sécurité très variables en fonction des exigences de sécurité désirés pour cette ressource (exigences de confidentialité, disponibilité, intégrité).

Par conséquent, en pratique, il est plus raisonnable de définir un petit nombre de niveaux de sécurité, d'associer à chaque niveau un ensemble de règles de sécurité, puis de placer chaque ressource du SI dans un de ces niveaux, ce qui décidera automatiquement des mesures de sécurité le concernant et permettra de mettre en œuvre les mesures de sécurité suffisantes, afind'optimiser les efforts à fournir (temps, coûts, complexité).

Dé&inition de 3 niveaux de sécurité : du plus sensible au moins sensibleL'Université Lille 1 décide de définir trois niveaux de sécurité, correspondant à des exigences de sécurité de moins en moins élevées.

Pour sécuriser une ressource placée dans le niveau le plus exigeant, il faudra respecter la totalité des règles de sécurité de la PSSIE (exceptée celles indiquées comme "non applicable au contexte") ; pour sécuriser une ressource placé dans un autre niveau, il faudra respecter un sous-ensemble des règles de sécurité qui sont applicables au niveau supérieur. En résumé, les niveaux de sécurité sont « imbriqués » en « poupées russes ».

4

PR

OJ

ET


Pour faciliter le classement, il sera possible de placer dans un niveau de sécurité, non pas une ressource individuelle, mais un ensemble de ressources, à condition bien évidemment que cet ensemble soit homogène (ex : tous les postes de travail individuels d'une équipe de chercheurs, tous les postes d'une salle de Travaux Pratiques, etc.).

La sensibilité de l'information décide en grande partie du classement dans un niveau

La décision de placer une ressource du SI dans un niveau de sécurité dépend principalement de la « sensibilité » de l'information qui est traitée par cette ressource,et donc de ses exigencesde sécurité en terme de confidentialité.

L'annexe « définition de la sensibilité de l'information » détaille ce concept de « sensibilité » adapté au contexte Enseignement Supérieur/Recherche, mais on peut résumer en écrivant qu'une information sensible est une information dont la diffusion publique aurait des conséquences négatives pour l’Université ou le laboratoire (conséquences judiciaires, économiques, de compétitivité, notoriété,) ; basé sur cette définition, on définit le rapport suivant entre sensibilité de l'information et niveau de sécurité :

• Information non sensible ⇒ niveau de sécurité : « non sensible »

• Information sensible confidentielle ⇒ niveau de sécurité : « sensible »

• Information sensible secrète ⇒ niveau de sécurité : « très sensible »

Le niveau de sécurité médian est le niveau « par défaut »Les niveaux de sécurité sont définis afin que la majorité des ressources soient classées dans le niveau 2. L'abaissement en niveau 1 concerne les ressources « non sensibles » et doit être justifié ; l'élévation en niveau 3, très exigeant en efforts de sécurisation, ne concerne que les ressources les plus sensibles.

Des exemples de classement sont proposés en annexe « Exemples de classement dans les niveaux de sécurité »

Responsabilités et Organisation

ResponsabilitésAu sein de l'Université Lille 1, la responsabilité formelle de la sécurité des systèmes d’information relève de son Président, en tant que Personne Juridiquement Responsable (PJR)et qu’Autorité Qualifiée pour la Sécurité des Systèmes d’Information (AQSSI).

Pour les unités mixtes de Recherche (UMR), la responsabilité formelle de la sécurité des SI relève des Directeurs d'Unité (DU), PJR pour leur unité.

La mise en œuvre de la PSSI consiste notamment en l'application des dispositions de protection des systèmes d’information. Elle relève de la responsabilité de la chaîne organique (Présidence de l'université, Direction Générale des Services, Directions des écoles, Instituts et UFR, Directions des unités de recherche, Directions des services) avec l’accompagnement des pôles spécialisés (DSI, services informatiques des composantes ou des laboratoires, autresservices informatiques).

5

PR

OJ

ET


Comité de PilotageLa définition des orientations techniques de la politique de sécurité des systèmes d'information de l'établissement est assurée par un comité de pilotage qui a en charge de la transcrire dans un document PSSI .

Ce comité est présidé par le Vice-Président délégué à la Politique des Technologies de l’Information et de la Communication. Il est constitué des membres suivants :

• le Vice-Président délégué à la Politique des Technologies de l’Information et de la Communication ;

• le Directeur Général des Services ou son représentant ;• le Directeur du Système d'Information• le Fonctionnaire Sécurité Défense ;• le Correspondant Informatique et Libertés ;• les responsables de la sécurité des systèmes d'information titulaire et suppléant ;• un directeur d'UFR ;• un directeur de laboratoire ;• deux membres élus de la commission TIC ;• le RSSI régional du CNRS

Chaîne fonctionnelle spécialisée de la sécurité des systèmes d'informationPour conduire la politique de sécurité des systèmes d’information et faciliter sa mise en œuvre,l'Université Lille 1 s’appuie sur une chaîne fonctionnelle interne spécialisée en SSI qui s’inscrit elle-même dans la chaîne fonctionnelle nationale animée par l'Agence nationale de lasécurité des systèmes d’information (ANSSI).

La chaîne fonctionnelle SSI de l'Université Lille 1 est composée comme suit :• du fonctionnaire de sécurité de défense (FSD). Il est chargé de :

◦ la protection du patrimoine scientifique et technique ;◦ la préparation des mesures de défense, de vigilance et de prévention de crise ;◦ la gestion des situations d'urgence (plan Vigipirate, pandémies,...) ;◦ l'exécution des plans de défense et de sécurité.

• de deux responsables de la sécurité des systèmes d’information (RSSI), nommés par lePrésident de l'Université Lille 1. Correspondants auprès des structures nationales de la SSI, ils contribuent activement à l’élaboration d’une politique de sécurité cohérente et à sa mise en œuvre. Ils en assurent au sein de l'établissement le suivi de l'Etat. Ils ont pour mission :◦ le suivi de la mise en œuvre des dispositions de SSI définies au niveau national ;◦ le relais des informations relatives à la sécurité en provenance des « Computer

Emergency Response Team » (CERT) et les remontées des dysfonctionnements vers le CERT-Renater ;

◦ la conduite d’actions de formation, de conseil et de relais d'information à destination des CSSI dans les entités (animation du réseau), ainsi que du soutien encas d’incident ;

◦ la conduite d’actions d’information et de sensibilisation des utilisateurs et des opérations de prévention ;

◦ la validation des projets informatiques en ce qui concerne les aspects SSI ;

6

PR

OJ

ET


◦ la participation en tant que de besoin et selon le degré d’expertise individuelle à des travaux menés au niveau national (groupes de travail, réunions de coordination, actions de formation).

En cas de besoin, ils peuvent faire appel à une équipe de quelques personnes spécialisées dans le domaine, par exemple des experts SSI d’entités locales.

• Dans les entités, des correspondants de la sécurité des systèmes d'information (CSSI) dontles missions sont :

• être le destinataire des informations de SSI émises par le RSSI de Lille 1 et relayer si nécessaire ces informations aux personnels de son entité ;

• signaler les incidents de sécurité « informatique » (piratage, virus, hameçonnage, vol, etc…) à sa Direction et à l’Université, et si possible apporter une assistance technique pour traiter ces incidents.

Concernant les Unités Mixtes de Recherche qui disposeraient de « CSSI » nommés pard'autres tutelles, ceux-ci seront automatiquement inclus dans la liste des CSSI d’Université, sans que ça empêche l’entité de désigner des CSSI supplémentaires si l’ensemble de son système d’information n’était pas couvert par les autres CSSI.

Planification des actions de sécurisationLes critères utilisés pour définir l'ordre des actions de sécurisation sont les suivants :

• nombre de ressources concernées par une action de sécurisation (mutualisation) ;

• rapport entre le coût et l'efficacité d'une action de sécurisation ;

• probabilité de réussite de l'action de sécurisation en fonction de sa complexité et de sa réception (les mesures impopulaires courent plus de risque d'échec et il est toujours préférable de rechercher un consensus en privilégiant dialogue, sensibilisation et formation) ;

• niveau actuel de sécurité d'une ressource au regard de ses vulnérabilités et des conséquences de l'exploitation de ces vulnérabilités ;

• obligations légales.

Applicabilité de la PSSI Après validation des documents, la politique de sécurité des systèmes d'information est applicable. Le comité de pilotage s'assure de sa mise en œuvre et de sa révision régulière.

Manquement à la politique de la sécurité des systèmes d'information

Mesures applicables par les responsables informatiques d'entitésLes responsables informatiques et réseaux peuvent en cas d’urgence user de mesures conservatoires :

• déconnecter un utilisateur, avec ou sans préavis selon la gravité de la situation ;

• suspendre l'activité d'un processus qui nuirait au bon fonctionnement des systèmes d'information ;

• isoler un système informatique du réseau si celui-ci présente un comportement qui mettrait en péril la sécurité des systèmes d'information ;

7

PR

OJ

ET


• isoler ou neutraliser provisoirement toute donnée ou fichier qui mettrait en péril la sécurité des systèmes d'information.

Ils doivent en informer le CSSI de l'entité concernée et les RSSI. Ils ont un devoir de confidentialité et ne doivent communiquer sur l'incident que le nécessaire. Ils doivent veiller au mieux à ne pas modifier un environnement pour le recueil de preuves, si l'incident détecté nécessite ultérieurement un dépôt de plainte.

Mesures applicables par les RSSIA la suite d’un manquement observé à la PSSI, les RSSI peuvent appliquer ou demander d'appliquer les mesures décrites au paragraphe précédent à tout utilisateur ou à tout système de l'Université Lille 1.

De plus, sur la base des analyses d'activités, de la détection de comportement atypique, d'avis du CERT ou d'autres autorités reconnues, les RSSI peuvent être amenés à alerter les utilisateurs concernés ou à requérir des informations auprès d’eux.

Celles-ci peuvent être assorties du blocage des flux réseaux partiels ou totaux provenant d'un ou plusieurs systèmes d'information, ou d'un sous-réseau, ou de la suspension des accès aux systèmes d'information.

En cas d'incidents graves, comme ceux susceptibles d'entraîner le dépôt d'une plainte ou entachant l'image de l'Université Lille 1 ou de l'une des tutelles d'une entité, mais aussi une récidive à un manquement à la PSSI ou une non réponse à une requête d'information, les RSSIpeuvent convoquer un utilisateur.

Cette convocation se traduit par un entretien entre l'utilisateur concerné et les RSSI. Il est rappelé les conditions de l'incident et, si nécessaire, les règles de la PSSI en vigueur et discutédes mesures devant être prises. A l'issue de celui-ci, les RSSI peuvent prendre une ou plusieurs des mesures suivantes :

• considérer l'incident comme clos et sans suite ;

• demander l'application de mesures spécifiques et maintenir, s'il y a lieu, l'application de la suspension du droit d'usage des systèmes d'information à l'Université Lille 1 jusqu'à la réalisation de ces mesures ;

• rappeler les obligations en vigueur à l’utilisateur. Une information est alors faite à la chaîne hiérarchique et à la chaîne fonctionnelle ;

• remettre le traitement de l'incident à la chaîne hiérarchique. Une information est alors faite à la chaîne fonctionnelle.

Dans le cas particulier d'utilisateurs externes ayant un compte ouvert sur un système d'information de l'Université Lille 1, les RSSI peuvent procéder ou demander à procéder à la clôture définitive de ce compte.

En cas d'incidents portant préjudice à l'Université Lille 1 ou à l'une des entités du périmètre dela PSSI, les RSSI peuvent proposer le dépôt d'une plainte auprès du procureur de la République.

En cas d’incidents susceptibles d’entraîner des mesures disciplinaires, les règles en vigueur s’appliquent.

8

PR

OJ

ET


Documents annexes• PSSIE• Règles de la PSSIE applicables à chaque niveau de sécurité et acteurs concernés

(Politiques, DSI, utilisateurs, informaticiens gestionnaire de parc, etc...)• Définition de la notion de « sensibilité » de l'information adaptée au contexte ESR• Plan d'action initial 2015-201N• Actions de sécurisation (« mesures ») associées à chaque règle de sécurité, en tenant

compte des priorités• Exemples de classement dans les niveaux de sécurité

9