Règlement des administrateurs de ressources informatiques de l'université de Limoges

Transcription

1 Règlement des administrateurs de ressources informatiques de l'université de Limoges Approuvé en Conseil d Administration le 19 mars Préambule Terminologie Complément de définition des «administrateurs» Objet du document Diffusion du document Accès étendu aux ressources informatiques Accès étendu Respect de la vie privée, secret professionnel Protection des données privées Déverrouillage de compte Information des utilisateurs Prise en main à distance Traces Conseil Cadre général de l université, schéma directeur Respect des politiques générales Sécurité du système d information... 5

2 1 Préambule Le présent règlement est à destination des administrateurs des ressources informatiques de l Université de Limoges. Il précise et complète les règles s'appliquant aux administrateurs indiquées dans le règlement d'usage des ressources informatiques, annexe du règlement intérieur. 1.1 Terminologie Cette section reprend la terminologie du règlement d'usage des ressources informatiques. Dans la suite du document, par «université» s entend l Université de Limoges. Par «ressources informatiques», s entend l ensemble des données et des systèmes informatiques (réseaux de télécommunications, ressources logicielles ou matérielles, y compris nomades tels que assistants personnels, ordinateurs portables, téléphones portables, ), pouvant être mis à disposition par l université 1. Par «entité», s entend tout service, laboratoire, institut, faculté, école, etc. faisant partie de l université. Par «utilisateur», s entend toute personne ayant accès, dans le cadre de l exercice de son activité, aux ressources informatiques, quel que soit son statut. Ainsi sont notamment désignés : les usagers du service public d enseignement 2 ; les personnels d enseignement et de recherche, titulaires ou non, permanents ou invités ; tout agent (administratif, technique, ) titulaire ou non titulaire concourant à l exécution des missions de l université ; toute personne faisant partie d un organisme, d une entreprise, association, ou autre hébergé sur les ressources informatiques de l université, par exemple réseaux, serveurs ou services numériques ; tout prestataire ayant contracté avec l université ou avec une collectivité territoriale ayant compétence partagée avec l université. Par «administrateur», s entend toute personne effectuant des opérations d'installation, de maintenance, d'administration ou de contrôle de tout ou partie des ressources informatiques ; ceci inclut les personnels (ingénieurs, techniciens, enseignants, ) disposant de droits étendus permettant l'accès à des informations à caractère personnel d'autres utilisateurs (information nominatives, données personnelles, traces,...). 1.2 Complément de définition des «administrateurs» Les administrateurs sont en charge d'opérations d installation, de maintenance, de contrôle des ressources informatiques (réseau, systèmes, applications, données, ). La qualification d'administrateur intervient lorsque ces ressources sont utilisées, directement ou indirectement, par des utilisateurs, internes à l'université, ou des personnes externes (par exemple pour des sites Internet). Les utilisateurs administrant le poste de travail alloué à leur usage, fixe ou portable, ne sont pas qualifiés d'administrateur. 1 Les moyens nomades personnels, appartenant à des usagers, ne font pas partie du système d information ; seules leurs modalités d accès au système d information et aux réseaux sont couvertes par ce règlement 2 Cf. règlement intérieur de l université : étudiants en formation initiale ou continue, etc. Page 2 sur 5

3 1.3 Objet du document Les administrateurs possèdent des accès étendus aux ressources informatiques de l université. Ces accès doivent être utilisés dans un cadre légal et respectueux des utilisateurs et de la déontologie de l université. Ce document indique les règles spécifiques s appliquant aux administrateurs, notamment pour veiller à la protection de la vie privée des utilisateurs, mais également pour garantir la sécurité générale et le bon fonctionnement des ressources informatiques de l'université. 1.4 Diffusion du document Ce règlement est public. Il sera diffusé au sein de l'intranet de l'université. Il sera également remis à tout personnel affecté officiellement à des activités informatiques. 2 Accès étendu aux ressources informatiques 2.1 Accès étendu Dans le cadre de leur mission, les administrateurs ont un accès étendu aux ressources informatiques dont ils ont la charge, pour assurer leur paramétrage, leur bon fonctionnement et leur sécurité. En cas de dysfonctionnement ou d alerte de sécurité, ils peuvent analyser et agir sur les ressources dont ils ont la responsabilité, y compris le contenu des données des utilisateurs. Les actions menées par les administrateurs doivent être proportionnées par rapport au but recherché. 2.2 Respect de la vie privée, secret professionnel L accès étendu dont dispose un administrateur ne doit pas contrevenir au respect de la vie privée des usagers. Les administrateurs sont ainsi soumis au secret professionnel. Ce secret s applique autant vis-à-vis de personnes extérieures, de membres de l université ou d autres administrateurs. Ils ne peuvent divulguer les informations qu ils sont amenés à connaître dans le cadre de leurs fonctions, même sur ordre de leur hiérarchie, dès lors : que ces informations sont couvertes par le secret des correspondances ou qu identifiées comme telles, elles relèvent de la vie privée de l utilisateur ; qu elles ne tombent pas dans le champ de l article 40 alinéa 2 du code de procédure pénale Protection des données privées Les ressources informatiques de l université, administrées par des administrateurs, peuvent contenir ou traiter des données privées d utilisateurs. Les administrateurs doivent veiller à protéger ces données, et à communiquer aux utilisateurs toute information utile sur les mesures ou événements les concernant. 2.4 Déverrouillage de compte En cas de force majeure, et à la seule fin d assurer la continuité de l'activité, un administrateur peut ouvrir, sous la responsabilité du supérieur hiérarchique, l accès à un compte d un utilisateur, en préservant la confidentialité des données à caractère privé4. Dans ce cas, il doit informer l'utilisateur concerné, par un courriel à l'adresse mél institutionnelle ou 3 Obligation faite à tout fonctionnaire d informer sans délai le procureur de la République de tout crime et délit dont il a connaissance dans l'exercice de ses fonctions 4 Les données à caractère privé doivent être étiquetées comme telles par l utilisateur, cf. le règlement d usage des ressources informatiques Page 3 sur 5

4 à défaut par tout autre moyen, des mesures qui ont été prises. 3 Information des utilisateurs Les administrateurs ont un devoir général d information envers les utilisateurs. Les utilisateurs peuvent être informés par des documents disponibles sur un site web, par des envois de courriel, par des panneaux d'affichage, etc. suivant la forme de communication la plus adaptée. 3.1 Prise en main à distance Les utilisateurs doivent être informés lors des opérations de prise de contrôle à distance du poste de travail. 3.2 Traces Les administrateurs peuvent recueillir des traces sur le fonctionnement des systèmes administrés. Ces traces doivent être recueillies dans les conditions fixées par la politique de gestion des traces de l'université. Les administrateurs veilleront particulièrement à informer les utilisateurs sur les mesures et procédures appliqués pour le contrôle et la gestion des ressources Comme toute donnée personnelle5, les utilisateurs ont un droit d'accès aux traces qui les concernent. Les demandes doivent être déposées par écrit (courriel ou papier), et la réponse accordée identiquement. La demande doit être faite par l'utilisateur concerné et non par une tierce personne, auprès de l administrateur concerné Conseil Les administrateurs doivent apporter conseil et information aux utilisateurs, notamment dans les domaines de la protection de la vie privée et de la sécurité informatique. Les administrateurs peuvent pour cela s'appuyer sur les ressources de l'université, en particulier le Correspondant Informatique et Liberté, le Responsable de la Sécurité des Systèmes d Information, la cellule juridique de l université. 4 Cadre général de l université, schéma directeur 4.1 Respect des politiques générales Les administrateurs participent au déploiement des ressources informatiques, plus généralement du système d'information, de l'université. Ils contribuent ainsi directement, par leurs activités, techniques ou non techniques, à son évolution, à sa sécurité générale et à son bon fonctionnement. Afin d assurer la cohérence du système d information, de garantir des niveaux de sécurité et de fonctionnement adaptés aux besoins, les administrateurs doivent respecter les schémas, les cadres de déploiements et procédures, retenus par l'université. 5 Au sens de la loi «Informatique et Liberté» modifiée 2004, c'est à dire une information qui permet d'identifier directement ou indirectement une personne physique 6 En qualité de responsable du traitement de l information concernée, l administrateur responsable du système collectant les traces Page 4 sur 5

5 4.2 Sécurité du système d information La sécurité générale des ressources informatiques de l'université et la protection des utilisateurs et des données traitées, hébergées ou recueillies, font partie des missions des administrateurs. Ils sont ainsi un maillon de la «chaîne de sécurité» des systèmes d'information. A ce titre, ils doivent veiller : d'une façon générale, à sécuriser les ressources qu'ils administrent ; à suivre les règles de sécurité de l'université, en particulier sa Politique de Sécurité (PSSI) et ses documents d'application ; à informer le Responsable de la Sécurité des Systèmes d Information des incidents de sécurité ; à participer à la communication sur la sécurité et à la sensibilisation des utilisateurs. Page 5 sur 5