La sécurité consiste à garantir :
• la disponibilité, en s’assurant que les éléments du numérique considérés sont accessibles au moment voulu par les personnes autorisées,
• l’intégrité, en s’assurant que les éléments du numérique considérés sont exacts, non corrompus et fiables,
• la confidentialité, en s’assurant que seules les personnes autorisées ont accès aux élé- ments numériques considérés,
• la traçabilité (ou preuve), en s’assurant que les accès et tentatives d’accès aux éléments numériques considérés sont tracés et que ces traces sont conservées et exploitables. Les trois critères ci-dessus doivent également être appliqués aux données de traçabilité. Par ailleurs, l’établissement doit adopter une politique conforme à la règlementation pour la gestion des traces7
.
La mise en œuvre d’une politique sécurité devra commencer par une analyse des risques consistant successivement à :
• Identifier les éléments à protéger : pour se protéger de façon cohérente et efficace, il convient tout d’abord d’identifier quelles sont les différentes informations à protéger et déterminer quelles sont leur niveau respectif de sensibilité. Une attention toute particulière devra être portée aux données à caractère personnel (données administratives : informa- tions de GRH, résultats d’examens…) et aux données de patrimoine scientifique et culturel de l’université.
• Identifier les menaces, vulnérabilités et estimer les risques encourus : il s’agit d’identifier les menaces, d’évaluer leur impact potentiel et leur niveau de vraisemblance et de déterminer les vulnérabilités pour les éléments sensibles identifiés dans la phase ci-dessus. L’origine des principales menaces auxquelles le numérique peut être confronté :
- Un utilisateur du système : la majorité des problèmes liés à la sécurité du numérique est l’utilisateur, parfois inconscient des risques liés à ses comportements (inscription ou prêt de mot de passe, égarement de clés USB ou de disques dur externes, défaut de surveillance des postes portables, communication non autorisée d’information…).. - Une personne malveillante : une personne parvient à s’introduire sur le système et à accéder
La sécurité informatique doit toutefois veiller à ne pas entraver le développement des usages et faire en sorte que les utilisateurs puissent utiliser les services et contenus numériques en toute confiance.
D’un point de vue opérationnel, il est nécessaire de définir une politique de sécurité, c’est-à- dire :
• Entreprendre une analyse de risques comme précisé ci-dessus. Certains établissements, dans le cadre de cette analyse de risque, devront porter une attention particulière à la clas- sification de certains laboratoires à régime restrictif,
• L’analyse de risque doit aboutir à un catalogue de mesures à mettre en œuvre. Elles concer- neront différents domaines, dont entre autres et à titre indicatif :
- l’organisation : déterminer les différents rôles et responsabilités, tout particulièrement en cas d’incident de sécurité, mettre en place un réseau de compétences et une gou- vernance de la sécurité, établir les différents privilèges pour l’accès aux systèmes d’information…,
- l’information et la formation : sensibiliser les utilisateurs aux problèmes de la sécurité des systèmes d’information (notamment dans le kit d’accueil des étudiants), élaborer une charte du numérique, réaliser des sessions de formation à la sécurité…,
- les aspects techniques : assurer la protection des équipements et des réseaux, mettre en place des mesures de contrôle des accès aux équipements et aux fichiers, formaliser et diffuser des règles de développements informatiques, chiffrer les données (stockées et échangées)…,
- l’exploitation : formaliser et diffuser des règles d’installation et d’administration des systèmes et des logiciels/progiciels (exemple : centralisation de l’administration des postes)…,
- la documentation : établir une politique de gestion de la documentation sécurité, le docu- ment stratégique dans le domaine étant la PSSI (Politique de Sécurité des Systèmes d’Information).
La politique de sécurité concerne tous les utilisateurs et doit donc être élaborée au niveau de la direction de l’université et des systèmes d’information. Ainsi, la décision concernant l’octroi des droits d’accès doit venir des responsables métier en accord avec le RSSI (Responsable de la sécurité des systèmes d’information – cf. partie relative à la gouvernance) et la gouvernance et doit être documentée. Le rôle de l’administrateur informatique est donc de faire en sorte que les ressources informatiques et les droits d’accès à celles-ci soient en cohérence avec la politique de sécurité retenue.
La politique de sécurité des systèmes d’information de l’université pourra s’appuyer sur différents référentiels existants :
• le « Schéma directeur de la sécurité des systèmes d’information - Organisation et orien- tation de la sécurité des systèmes d’information pour les communautés éducatives », publié par le Ministère de l’Education Nationale de l’Enseignement Supérieur et de la Recherche,
• les directives élaborées par le service du HFDS (Haut Fonctionnaire de Défense et Sécurité) du ministère de tutelle,
• les différents documents publiés par la Direction Centrale de la Sécurité des Systèmes d’Information (DCSSI),
• les recommandations élaborées par les CERT (Computer Emergency Response Team), organismes de sécurité chargés, entre autres, d’émettre des rapports sur les failles de sécu- rité découvertes dans les protocoles, les services et les logiciels, et notamment le CERT RENATER et le CERTA (Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques),
• le référentiel Général de Sécurité (RGS), projet au sein du programme gouvernemental fran- çais ADELE conduit par la Direction générale de la modernisation de l’État (DGME), • le référentiel documentaire en matière SSI des EPST partenaires et notamment les docu-
ments élaborés par le CNRS (PSSI, charte), • la charte RENATER.