Projet de PSSI générique pour les établissements d
Contents
1. e une base de connaissances adapt e au contexte pour effectuer une tude de risques dont les livrables seraient conformes la norme ISO27002 et tous les l ments n cessaires l analyse de risque e les outils n cessaires aux entretiens utilis s par les quipes projets supports de formation guides d entretiens questionnaires types fiches d enqu tes e ure liste de besoins de s curit d impacts et de r gles qui n auraient pas t retenus dans la PSSI g n rique avec la justification des choix afin de permettre un tablissement voulant l adapter de juger de la pertinence du retrait de cette r gle vis vis de sa situation e un guide de gestion de projet PSSI accompagn de questionnaires de sensibilisation la s curit e un mode d emploi qui indiquera les diff rentes mani res de d cliner la PSSI g n rique en fonction de cas types identifi s multi tutelles par exemple Afin que le projet ne soit pas sans suite dans les tablissements il nous a paru important d y introduire des l ments des normes ISO2700x Ainsi la PSSI doit tre r dig e en se basant sur la norme ISO27002 qui contient une liste de mesures li es la s curit du SI De plus afin d introduire une dynamique SMSI il nous a paru int ressant que dans la bo te outils figure eune grille de r utilisation des l ments de l tude PSSI dans le cadre de la mise en place d un SMSI ISO 27001 eun plan d action pou2. Suivant les tablissements ces r gles peuvent tre diff rentes mais un d nominateur commun de taille respectable existe Mais pour que ces r gles soient applicables et restent en phase avec les besoins de l tablissement elles doivent tre r guli rement confront es aux faits constat s dans l tablissement avanc es technologiques incidents survenus Dans le cas contraire ce document risque de devenir un classeur prenant la poussi re dans le bureau du RSSI Ce processus de r vision est formalis dans ce que la norme 1S027001 appelle un PDCA Plan planifier Do faire Check v rifier Act agir Il est donc n cessaire de v rifier r guli rement l observation ou non de ces r gles et dans le cas o elles ne seraient pas observ es d en valuer la pertinence trop contraignantes au regard du service rendre ou mal formul es par exemple contrario un incident de s curit peut r v ler l inefficacit d une r gle pourtant respect e la r gle n a pas emp ch la perte de donn es par exemple Ces r visions peuvent tre programm es p riodiquement revue d une partie sp cifique de la PSSI ou ponctuellement l occasion d un ajout de service ou de modification profonde d architecture mutualisation ou au contraire d centralisation 2 8 JRES 2009 1 1 4 Du c t Enseignement sup rieur avant les travaux PSSI En ce qui concerne le monde Enseignement Sup rieur la prise en compte d une r flexio
3. e une bo te outils permettant sa d clinaison dans chaque tablissement Ce projet suivi par le sous groupe GT PSSI passe par une proc dure d appel d offre laquelle participent sept tablissements d enseignement sup rieur dans le cadre d un groupement d achat De l tude qui sera men e dans chacun de ces tablissements doit ressortir un ensemble documentaire constituant une PSSI g n rique en plusieurs volets Mots clefs SMSI EBIOS PSSI IS027002 IS027001 IS027005 appr ciation du risque 1 Pr occupations initiales 1 1 Historique 1 1 1 L organisation de la SSI dans l Enseignement Sup rieur et la Recherche Le d ploiement de RENATER et des r seaux r gionaux entre 1991 et 1993 entrainera une g n ralisation progressive du raccordement des sites enseignement sup rieur et recherche et par cons quent la propagation des protocoles TCP IP vers tous les r seaux de campus exposant ainsi le parc informatique des tablissements aux risques d j pr sents l poque d intrusion de virus Cette pr occupation de protection des sites et de r action en cas d incident conduira les membres du GIP RENATER a cr er en mi 93 le CERT RENATER avec pour mission la diffusion des avis de s curit l aide aux sites en cas d incident et le lien avec ses homologues trangers En accompagnement de cette d cision une charte d utilisation du r seau RENATER sera publi e revue en 1996 et toujours en application l heure a
4. iso fr home htm 3 Alexandre Fernandez Toro Management de la s curit de l Information d Eyrolles Novembre 2007 4 ANSSI Outils m thodologiques de la SSI m thode EBIOS PSSI tableaux de bord SSI http www ssi gouv fr site_rubrique41 html 8 8 JRES 2009
5. Projet de PSSI g n rique pour les tablissements d enseignement sup rieur Dominique Launay Comit R seau des Universit s Centre de Ressources Informatiques Campus de Beaulieu CS 74205 35042 Rennes Cedex Jean Paul Le Guigner Comit R seau des Universit s Centre de Ressources Informatiques Campus de Beaulieu CS 74205 35042 Rennes Cedex R sum Un groupe de travail nomm SDS SUP a t constitu en 2005 la demande de la Conf rence des Pr sidents d Universit CPU la Direction de la Recherche DR la Direction de l Enseignement Sup rieur DES et le Haut Fonctionnaire de D fense et de S curit HFDS du minist re en charge de l enseignement sup rieur et la recherche afin d accompagner les EES dans leur d marche de gestion de la s curit des syst mes d information et plus sp cifiquement de mise en application du SDSSI Sch ma Directeur de la S curit des Syst mes d Information La mission de ce groupe anim par la FSSI Fonctionnaire SSI service du HFDS et le Comit R seau des Universit s CRU est de constituer un r f rentiel documentaire dans le domaine de la s curit des syst mes d information notamment concernant les meilleures pratiques ce titre un programme de travail a t d fini dans lequel a t retenu le projet de fourniture d une Politique de S curit des Syst mes d Information PSSI g n rique pour les tablissements d enseignement sup rieur et recherche associ
6. SSI g n rique sera accompagn e d une bo te outils permettant de l adapter tout autre tablissement Cette fa on de proc der rejoint ainsi la facilit apparente de la d marche bonnes pratiques en prenant en compte la r alit des environnements de l enseignement sup rieur et de la recherche et donc une plateforme r aliste de r gles devant convenir une certaine majorit d tablissements 6 La d marche mise en uvre doit s accompagner d un mat riel de sensibilisation Au final sept tablissements ont d cid de participer au projet Celui ci devrait tre r alis par une soci t d audit en coordination avec des quipes projet au sein de chaque tablissement Outre le fait que la r alisation de ces audits dans les sept tablissements par une soci t ext rieure permet potentiellement de tenir un planning pr cis chaque tablissement participant l op ration aura le b n fice de voir sa PSSI r dig e Une telle tude de risque r alis e l chelle d un tablissement peut tre totalement illisible si on prend en compte toutes ses missions Il parait illusoire de d gager des invariants communs toutes les missions de tous les tablissements audit s La PSSI g n rique pourrait se voir r duire ce qu on ne souhaite pas juste un guide de bonnes pratiques C est pourquoi nous avons d cid de cloisonner cette PSSI en trois sous parties correspondant aux missions que doit r aliser un tablisse
7. aire sp cialis dans le domaine L apport du Minist re correspond la partie commune dont pourront b n ficier tous les tablissements d enseignement sup rieur lorsque la PSSI g n rique et l outillage n cessaire son adaptation seront disponibles 4 tat du projet Le projet a tout d abord fait l objet d un appel d offre en proc dure adapt e Les offres ont t valu es au mois de juin 2009 et la commission a consid r l appel d offre comme tant infructueux les sommes tant sup rieures au plafond d une proc dure adapt e L appel d offre a donc t relanc la fin du mois d ao t 2009 Le calendrier pr visionnel pr voit une notification des prestataires au d but du mois de d cembre 2009 Nous serons donc normalement en mesure d annoncer le nom de la soci t et de produire un calendrier pr visionnel des actions Celles ci devraient n anmoins commencer en janvier et nous les avons valu es sur une dur e de sept mois environ Les sept tablissements ayant pris part l appel d offre doivent normalement tre en possession de leur PSSI la rentr e 2010 2011 Bibliographie 1 Nicole Dausque Anne Facq Gabrielle Feltin Fran oise Gazelle et Olivier Servas article Pourquoi et Comment Adapter une Politique de S curit pour les Entit s du CNRS Dans Actes du congr s JRES2005 http 2005 jres org paper 112 pdf Marseille d cembre 2005 2 ISO Normes ISO 27001 27002 27005 http www iso org
8. aution tant peuvent tre diff rentes les approches des tablissements En d but 2002 au niveau du Minist re d butent les travaux du SDS Sch ma Directeur de la S curit qui aboutiront la publication en 2005 du SDSSI Sch ma Directeur de la S curit des Syst mes d Information L Enseignement Sup rieur y contribuera en s appuyant sur le groupe SDS SUP Les journ es RSSI de mars 2003 voqueront ces r flexions mais il ne sera toujours pas question de PSSI terme qui n tait pas encore int gr dans la prose du futur SDSSI Ce n est que d but 2004 avec les premiers travaux du groupe CAPSEC CNRS que la probl matique PSSI mergera et s installera de fa on durable dans les esprits comme tant un objectif primordial qu il faut atteindre CAPSEC publie ses r sultats courant 2005 Le CNRS publie en fin 2006 un document intitul Politique de S curit des Syst mes d Information qui comprend une partie strat gique sur les grandes orientations en mati re SSI au CNRS ainsi que des pr conisations pour une d marche de cr ation de PSSI d entit s Le CNRS porte aujourd hui ses efforts sur la d clinaison des r f rentiels nationaux en documents servant de PSSI de laboratoires avec pour finalit d y int grer les l ments qui leur sont sp cifiques apr s analyse de risques locale 113 Que comporte une PSSI Un texte strat gique Une Politique de S curit des Syst mes d Information comme son nom l indiqu
9. ctuelle ce qui prouve sa pertinence D but 1994 conscient de la n cessit de prolonger ces actions du GIP RENATER au niveau des tablissements le Minist re s appuyant sur le CRU propose la mise en place du r seau des Correspondants de S curit et contribue au montage de sessions de formations lourdes afin d lever le niveau des comp tences des correspondants d sign s L UREC CNRS contribuera activement ces formations assurant ainsi une coh rence d action MESR CNRS Nous parlions de S curit Informatique de S curit des Syst mes Informatiques et puis de S curit des Syst mes d Information 1 8 JRES 2009 D but 98 le r seau des Correspondants de S curit verra ses mission consolid es et son existence mieux formalis e pour devenir le r seau des RSSI Responsable de la S curit des Syst mes d Information Si cette ossature d organisation n a pas chang depuis cette poque les pr occupations la responsabilit ainsi que le profil des activit s des RSSI ont quant eux volu 1 1 2 De la S curit Informatique au SDSSI la PSSI Les pr rogatives et les actions des Correspondants S curit puis des RSSI jusqu au d but des ann es 2000 concernaient plus particuli rement le domaine technique nous avions faire de la s curit informatique et de la s curit r seau appliqu es aux syst mes logiciels mat riels Ce propos doit cependant tre pris avec pr c
10. e c est un document de politique et comme toute politique il comporte un texte strat gique motivant un ensemble de r gles qui suivent et qui mat rialisent la mise en application concr te des objectifs strat giques Il identifie les objectifs majeurs que se fixe l tablissement en terme de protection de l information de la s curit des SI du respect des aspects l gaux et r glementaire de la protection des personnes etc Ce texte doit prendre en consid ration les enjeux li s aux missions aux m tiers et au contexte de l tablissement ainsi que ses obligations vis vis des tutelles des partenaires des personnels etc Il doit prendre en compte la r alit ne pas la brusquer appr hender leur juste valeur les obligations conomiques et ne pas oublier que nous vivons dans un monde ouvert Un r f rentiel documentaire auquel se conformer Une PSSI doit obligatoirement s inscrire dans un existant textes juridiques ou r glementaires obligations vis vis des tutelles textes contractuels vis vis des partenaires etc noter qu une bonne partie de ces textes sont identiques quelques soient les tablissements Un ensemble de r gles appliquer et respecter La PSSI inclus des listes de r gles qu il s agit de mettre en uvre et de faire respecter Ces r gles r sultent d un travail d analyse des risques prenant en compte les menaces potentielles et les objectifs de protection que l tablissement s est fix s
11. ements concern s l appel d offre tant lanc par l Universit de Rennes 1 la cellule technique du CRU est h berg e dans ses locaux Cette prestation fait l objet d un lot unique mais comporte trois parties distinctes En effet pour que le projet soit un succ s il nous a sembl important que les tudes de risque des sept tablissements soient r alis es simultan ment afin de limiter la dur e du projet Ce parall lisme doit permettre la soci t de service de disposer de toutes les donn es en m me temps afin de les synth tiser 6 8 JRES 2009 Afin de r aliser cette condition sans multiplier le nombre d intervenants du prestataire et donc les co ts ils nous a sembl judicieux que les interviews soient r alis es par une quipe projet dans chaque tablissement Pour avoir une grille commune lisible par le prestataire afin de synth tiser les r ponses il faut que ces quipes soient form es par ce prestataire et que les interlocuteurs au sein de l tablissement soient identifi s par ce m me prestataire La prestation fait donc l objet des phases suivantes eune phase de formation des quipes projet e une phase d entretiens r alis s par les quipes projet de chaque tablissement e une phase de collecte et de validation des r sultats e la r daction de la PSSI g n rique e le d veloppement de la bo te outils ela validation de cette bo te outil par la r daction de la PSSI de chacun des
12. ice des vuln rabilit s et m thodes d attaques sur ces l ments va tre complexe et plus l analyse devient lourde mener son terme surtout l chelle d un tablissement complexe tel qu une universit De plus se retrouver dans la jungle des r f rentiels normes m thodes et leur articulation n est pas chose vidente au premier abord Cette premi re r union a alors t l occasion de se demander si on ne pouvait simplifier le travail au maximum pour les tablissements Les questions suivantes taient pos es en pr ambule de cette r union e Peut on faciliter la t che des tablissements en leur fournissant un questionnaire EBIOS all g ou doivent ils d rouler compl tement la m thode e Une PSSI type pour les tablissements d enseignement sup rieur peut elle tre envisag e Si oui quelle m thode pour l laborer e Doit on faire l conomie de m thodes certes longues d rouler mais qui permettent d impliquer entre autre les directions des tablissements e quel degr peut on r utiliser les travaux du groupe de travail CAPSEC CNRS dans le cadre de nos tablissement Nous avions consid r comme pr alable implicite pour une PSSI l utilisation de la m thode PSSI de la DCSSI utilis e conjointement avec la m thode EBIOS D s la deuxi me r union le groupe de travail s est toff avec des membres du CNRS et du groupe CAPSEC Le CNRS ayant d j sa PSSI et le groupe CAPSEC ayant norm
13. ilit s d couvertes r gles inadapt es aux usages et ce entre autre gr ce des tableaux de bord Outre la prise en compte de la vie du SI cette m thode conforme aux normes ISO2700x permet de d buter avec peu d l ments dans un premier passage d appr ciation du risque et d affiner au fur et mesure des r visions En cela elle est beaucoup plus souple N anmoins pour des effets rapides elle est plus lourde mettre en place dans le sens o l adh sion de la direction n est pas suffisante C est un v ritable syst me de gestion d di la s curit des informations qu il faut mettre en place avec edes indicateurs eun comit de pilotage eun chef de projet Il s agit 1 d tablir des objectifs de s curit relatifs la politique de s curit l organisation de la s curit la gestion des actifs la s curit du personnel la s curit physique la gestion de l exploitation le contr le d acc s le contr le du changement la gestion des incidents la continuit de l activit la conformit 2 d valuer la situation de la s curit de l information dans l tablissement 3 d tablir une politique contenant des mesures techniques et organisationnelles afin d atteindre les objectifs de s curit 4 de v rifier p riodiquement si on atteint bien les objectifs et de corriger le cas ch ant les r gles afin de au choix atteindre ces objectifs s y maintenir les d passer La direction d un
14. ment d enseignement sup rieur et aux fonctions transverses permettant de r aliser ces missions Ces trois p rim tres sont e Ja formation e Ja recherche ela gestion La PSSI sera ainsi constitu e d une partie incontournable commune tous les tablissements et de trois volets applicables s par ment L effort de chaque tablissement pour adapter cette PSSI son propre contexte sera ainsi fractionn De plus pour le cas de la recherche par exemple dans le cadre des UMR l articulation avec les PSSI des grands organismes de recherche CNRS INRIA INSERM en sera facilit e n tant pas noy e dans l ensemble des r gles constituant la PSSI de l tablissement 3 Le projet Retenu 3 1 Mode op ratoire Apr s s tre prononc sur les points pr c dents le groupe de travail s est attel la r daction d un cahier des charges correspondant la prestation souhait e La r daction de ce CCTP n a d ailleurs pas t une mince affaire car afin de s assurer que les prestataires soumettant une offre aient bien compris le sujet il fallait nous m me retranscrire toutes nos pr occupations et bien faire saisir l volution de nos r flexions De plus le souci de ne pas se limiter une tude de risque qui verrait la r daction d une PSSI sans suite a pris de plus en plus d importance et n cessitait d tre pr cis dans ce cahier des charges Ce projet a pris l aspect d un groupement de commande entre les sept tabliss
15. ment travaill sur les analyses des risques en laboratoires les conditions n cessaires leur r alisation et l tablissement d indicateurs pour tablir des questionnaires et valuer les r ponses 3 8 JRES 2009 Puis la n cessit de deux journ es de travail pleines s est faite sentir Nous avons associ ces r unions des personnalit s ext rieures maitrisant bien le sujet afin de collecter leur expertise pour valider les orientations que nous prenions Il s agissait notamment de personnes du CNRS de la DCSSI et du p le SSI de du minist re de l ducation nationale situ dans l acad mie d Aix Marseille Les acad mies taient en train de r aliser un projet int ressant sur lequel nous allions nous appuyer pour faire voluer le notre il s agissait d une tude de risques appliqu un r f rentiel applicatif born commun aux diff rents rectorats ceci afin de r diger une PSSI g n rique laquelle les acad mies ajouteraient des r gles sp cifiques li es leur applicatifs locaux Ce projet avait alors fait l objet d un appel d offre et suivait son cours La possibilit d un mode op ratoire similaire nous a sembl alors envisageable D s lors le travail du groupe avait trouv sa forme d finitive et ses travaux se sont orient s vers deux axes e Afin de pouvoir vang liser les utilisateurs de leurs tablissements respectifs et ventuellement les correspondants s curit ou RSSI des tablissemen
16. n sur le volet PSSI verra le jour progressivement et prendra de l importance en 2005 avec la cr ation du groupe de travail GT PSSI avec au d but un objectif humble d change de comp tences en vue d aider les tablissements dans leur d marche d laboration de PSSI Les efforts port rent sur les domaines de la sensibilisation et de l information mais ne suffirent pas pour faire d coller les projets de PSSI d tablissements Ce constat fera qu en fin 2007 le S3IT inclura dans son plan d action le projet PSSI g n rique pour l Enseignement sup rieur d cision qui aboutira au financement et au d marrage du projet en d but 2009 sous la responsabilit du groupe GT PSSI La lenteur observ e pour le d ploiement de PSSI n a pas signifi pour autant une absence d action dans le domaine SSI Diverses initiatives et mesures prises par ailleurs ont permis d lever le niveau de s curit des syst mes d information et des infrastructures Parmi celles qui m ritent d tre cit es ela publication du SDSSI en 2005 accompagn e par une s rie de sessions de sensibilisation des d cideurs en acad mies ela fourniture de certificats lectroniques certificats de personnes et certificats serveurs via l IGC pilote du CRU entre 2003 et fin 2008 ayant un succ s raisonnable pour les certificats serveurs bien plus maigre pour les certificats de personnes ela fourniture de certificats serveurs reconnus dans les navigateurs bas e sur le ser
17. r la mise en uvre des mesures de la PSSI prenant en compte la hi rarchie des risques e une version de ce plan d action comme base d une DDA d claration d applicabilit cf ISO27001 eun plan d action type orient gestion de projet li notre environnement GESTION pour la mise en uvre d un SMSI eun outil d audit interne du SMSI pour mesurer nos carts l ISO 27001 Ainsi pour le domaine qui constitue le quotidien des centres de ressources informatiques et de la gouvernance des tablissements les l ments d une vie de la PSSI et de son volution en phase avec la vie de l tablissement seront r unis 3 2 Financement tant dans un cadre de mutualisation des moyens il nous a paru int ressant de mobiliser le Minist re de tutelle sur cette op ration Il tait pr vu initialement qu il participe hauteur de la moiti des d penses engag es sur ce projet Le nombre 7 8 JRES 2009 d tablissements initialement envisag tant pass de cinq sept cette part a t l g rement r duite en proportion de l apport de chaque tablissement L apport de chaque tablissement participant au groupement de commande est fixe et a t fix initialement par le groupe de travail en regard du budget valu pour cette op ration Cet apport correspond au b n fice qu il en retire c est dire ela formation d une partie de son personnel l appr ciation du risque e la r daction de sa PSSI par un prestat
18. rincipes sont en g n ral les suivants dans le cas des syst mes d informations 1 recenser de tous les biens importants en terme de s curit de l information mat riels b timents logiciels personnels savoir faire donn es 2 identifier les personnes responsables propri taires de ces biens 3 recenser les vuln rabilit s qui p sent sur ces biens fragilit de conception mobilit du bien trop grande visibilit exposition aux conditions risques 4 identifier les menaces incendie ou d g ts des eaux vol abus de droit actions illicites espionnage 5 identifier leurs impacts en terme d int grit de confidentialit de disponibilit 6 valuer la vraisemblance de ces menaces en regard de l environnement actuel des actifs 4 8 JRES 2009 7 estimer les niveaux de risque Il ne reste plus qu savoir comment traiter le risque en sp cifiant un certain nombre de mesures permettant de r duire d viter d accepter ou de transf rer ce risque R duire le risque signifie laborer des mesures concr tes appliquer L ensemble des r gles r sultant des processus ci dessus constitue une PSSI 2 1 3 Mettre en uvre un SMSI La mise en place d un SMSI n est pas la simple it ration d une m thode Elle permet de s assurer que la PSSI va bien tre labor e qu elle vit et qu elle est mise jour au fur et mesure de la vie du syst me d information de l tablissement vuln rab
19. sept tablissements concern s Afin de donner la cr dibilit n cessaire cette PSSI dans l tablissement la gouvernance est associ e pour la validation des r gles choisies pour cette PSSI Un comit de pilotage dans chaque tablissement sera donc associ au projet Afin de pouvoir faire des it rations ult rieures sur les tudes de risques les bases de connaissances ainsi constitu es lors des audits ainsi que la PSSI de chacun des sept tablissements doivent tre r utilisables et donc dans un format lectronique exploitable Les livrables attendus sont les suivants e le r sultat des tudes les documents ayant servi laborer ces tudes EBIOS et bases de connaissances constitu es et impl ment es pendant l analyse de risques par domaine et par tablissement Tous ces l ments seront fournis sous la forme d un document exploitable et de fichiers d tude exploitables par un programme ou un tableur et accompagn s d un outil permettant leur mise jour lors d it rations ult rieures de cette analyse e la PSSI g n rique accompagn e de tous les documents d tape Elle sera fournie au moins au format lectronique accompagn des sources du documents afin de faciliter les it rations dont elle fera l objet lors de son adaptation e la boite outil permettant d adapter cette PSSI e les sept PSSI d tablissement La bo te outil doit contenir les l ments suivants e wun r f rentiel r glementaire
20. stions suivantes e Quelles m thodes recommander pour r aliser les tudes de risque e Comment allier les avantages d un guide de bonne pratique et d une tude de risques syst matique dans chaque tablissement voulant r diger sa PSSI eSi des tudes de risques sont r alis es par tous les tablissements souhaitant r diger une PSSI comment mutualiser les r sultats e Comment accompagner chaque tablissement s engageant dans cette d marche afin qu elle soit positive et durable 5 8 JRES 2009 2 2 B n fices attendus de ce projet Le groupe de travail GT PSSI s est prononc sur un certain nombre d l ments de r ponse 1 Suivant l exemple des tudes PSSI en acad mies il a projet de mutualiser ces co ts en appliquant une tude de risques sur un nombre r duit d tablissements suffisamment vari s pour tre repr sentatifs de notre communaut 2 Les comp tences ont t acquises au niveau du groupe de travail exp rience en tablissement ainsi que formation afin de pouvoir diss miner l expertise au maximum 3 Une m thode d analyse de risques t choisie la m thode EBIOS de l ANSSI avec la contrainte de l utiliser en conformit avec la norme 15027005 4 La mise en commun de ces tudes de risques doit permettre de d gager les points communs tous les tablissements et d en d duire un certain nombre de r gles tablissant ainsi ce que le groupe appelle une PSSI g n rique 5 La P
21. tablissement doit donc non seulement se sentir concern e par une telle organisation mais elle doit aussi y prendre une part active 2 1 4 M thode s lectionn e Nous avons estim que l tude de risque malgr la lourdeur initiale de cette m thode poss dait un certain nombre d avantages ind niables pour peu qu elle soit r alis e par un cabinet d audit En effet l intervention d une soci t ext rieure permet d tablir un planning auquel il faut se tenir de l argent est en jeu Le risque de voir le projet glisser dans le temps se retrouve ainsi limit Tout vouloir r aliser en interne cr e le risque de voir les t ches quotidiennes prendre le dessus sur ce projet qui serait sans cesse retard De plus un tel audit ne se limite pas quelques interviews de personnels strat giques d un tablissement La synth se des ces interviews et leur concr tisation sous forme de r gles doit tre valid e par la gouvernance C est surtout ici qu il est int ressant de faire appel une soci t ext rieure e L expertise reconnue de la soci t la fait passer pour cr dible face aux personnes entretenues e malgr toute l expertise des membres du groupe de travail l tape de synth se et de formalisation des r gles est un exercice pour lequel ces soci t s sont parfaitement rod es Afin de r aliser ce travail et d en tirer un b n fice pour tous les tablissements d enseignement sup rieur il faut r pondre aux que
22. tions pour les aider franchir ces obstacles On peut envisager trois m thodes pour atteindre cet objectif ces m thodes conditionnant les outils que l on va utiliser 1 suivre la d marche pr conis e dans un guide de bonnes pratiques et essayer de l adapter l tablissement 2 r aliser une tude compl te des risques encourus par les syst mes d information de l tablissement afin de savoir quoi prot ger contre qui et comment et en d duire la PSSI 3 l aide la mise en place d un SMSI Syst me de Management de la S curit de l Information dans chaque tablissement La premi re m thode a le m rite de prendre moins de temps pour la r daction et d tre plus facile mettre en uvre priori Mais il y a un risque dans le processus de choix des r gles de s curit certaines peuvent tre choisies sans r el fondement On forme ainsi un ensemble de v ux pieux qu on stocke ensuite sur une tag re et qui finissent vite par tre obsol tes car d connect es de la r alit du terrain et des besoins r els 2 1 2 R aliser une tude de risques La deuxi me m thode permet de mieux coller aux besoins r els de s curit elle est syst matique et se doit d tre exhaustive Elle met en uvre des m thodes d analyse de risques d velopp es et exploit es par des organismes reconnus dans le domaine de la s curit Ces m thodes sont souvent sp cialis es dans des domaines particuliers sant industrie Les p
23. ts proches les membres du groupe qui le d siraient ont suivi le stage de formateur EBIOS e Au fur et mesure des connaissances accumul es et de l exp rience acquise aussi bien par nos coll gues universitaires ayant des projets PSSI d j avanc s que des coll gues du scolaire dont le projet avan ait ou encore le CNRS dont la PSSI tait en cours de d clinaison dans un nombre restreint d unit s nous avons pu r diger un cahier des charges pour l appel d offres 2 Les travaux 2 1 M thodes d laboration d une PSSI 2 1 1 Aider les tablissements Lorsqu un tablissement veut g rer la s curit de son information et laborer sa propre PSSI il se retrouve devant un certain nombre d actions accomplir 1 sensibiliser la direction et les responsables de structures internes ces probl matiques Seuls les tablissements ayant souffert mauvaises exp riences ont pris la mesure des enjeux r els 2 assumer le co t humain et financier d une d marche compl te 3 disposer en interne des comp tences appropri es pour mener bien une d marche PSSI 4 choisir de fa on pertinente une m thodologie qui correspond au contexte et aux moyens de l tablissement Cette liste explique pourquoi un certain nombre d tablissements ne s engagent pas plus loin dans cette direction Afin d aider les tablissements s engager dans une telle d marche de gestion de la s curit de l information il faut leur proposer des solu
24. vice SCS de 2006 2009 op ration ayant connu un vrai succ s et poursuivi ela mise en chantier de la F d ration d Identit s pilote du CRU en 2004 qui deviendra en 2009 la F d ration ducation Recherche eles publications de deux documents importants de recommandations le guide Informatique et Libert s partenariat CPU CNIL et la politique de gestion des traces valid s par la CNIL en novembre 2008 e Les l ments de recommandations pour la s curisation des r seaux sans fil et en compl ment le service eduroam ayant d marr en phase pilote en fin 2004 ela mise disposition de l Intranet d information pour les aspects juridiques et d un guichet unique de r ponse aux questions des tablissements 1 2 D marrage du groupe de travail GT PSSI En 2005 se met en place le groupe GT PSSI il est constitu principalement de RSSI d tablissements dont la r flexion sur la n cessit de mettre en place une PSSI est d j avanc e La premi re r union en comit restreint 5 personnes a t l occasion d aborder les orientations vers lesquelles le groupe de travail devait orienter ses r flexions La m thode d analyse de risque la plus connue dans notre environnement est la m thode EBIOS Cette m thode est exhaustive Le param tre sur lequel on peut jouer est la taille du p rim tre du syst me tudi Car il est bien vident que plus les l ments sur lesquels on va baser l analyse sont nombreux plus la matr
Download Pdf Manuals
Related Search