GBP «Guide de Bonnes Pratiques» organisationnelles pour les ASR dans les unités de recherche Groupe de travail RESINFO O. Brand-Foissac, L. Chardon, M. David, M. Libes, G. Requilé, A. Rivet 1
Plan Présentation RESINFO, origine du guide Les objectifs du groupe «GBP» Le contenu du guide Focus sur la SSI Focus sur les aspects juridiques Les évolutions à venir du GBP 2
Présentation de RESINFO (1) Fédération de réseaux métier d' «Administrateurs Systèmes et Réseaux» (ASR) créé en 2005. Les ASR des départements scientifiques sont organisés en réseaux de compétence régionaux, avec des objectifs communs : Faciliter la communication entre les membres Échanger les compétences, mutualiser les expériences But : pallier à l'isolement des ASR, mettre en commun des «savoir faire», améliorer le service rendu aux utilisateurs de l'enseignement supérieur et de la recherche Soutenu par la Mission Ressources et Compétences Technologiques (MRCT) du CNRS. 3
Animation réseaux Listes de diffusion Serveurs Web Réunions thématiques Formations locales (JoSy), nationales (ANGD) Groupes de travail... Présentation de RESINFO (2) 4
Objectifs du groupe GBP (1) Projet initié en 2008... Olivier BRAND FOISSAC (UMR8627, Orsay) Laurette CHARDON (UMR6072, Caen) Marie DAVID (DR Alpes, Grenoble) Maurice LIBES (UMS2196, Marseille) Gilles REQUILE (UMR5508, Montpellier) Alain RIVET (UPR5301, Grenoble) Première version décembre 2009 (JRES) http://www.resinfo.org/spip.php?article41 Seconde version augmentée (décembre 2011) 5
Objectifs du groupe GBP (2) Démarche qualité A l'image des cahiers de laboratoire des chercheurs Référentiels ITIL, ISO 20000, ISO 27000 Mieux structurer et organiser son travail Processus d'amélioration continue Proche de la pratique quotidienne Formaliser des comportements qui font consensus Annexe de fiches techniques Rendre plus lisible notre travail vis à vis des DU et des tutelles 6
Contenu du Guide (1) Fourniture de services (gestion des configurations, des niveaux de service, des dysfonctionnement, de la continuité de service, catalogue de service, documentations, SLA) Gestion de la sécurité Aspects juridiques Contextes personnel et relationnel (la gestion du temps, communication avec les partenaires, compétences et formations) Aspect environnemental (réduire les impacts, optimiser le fonctionnement, sensibiliser, déchets) Fiches de références 7
Contenu du Guide (2) Focus SSI : mise en place d'un Système de Management de la Sécurité de l'information (SMSI) Trois points : Disponibilité Confidentialité Intégrité Les apports de la norme ISO 2700x (référentiel) 11 domaines d'application (objectifs et mesures de sécurité) Amélioration continue (PDCA Roue de Deming) 8
Contenu du Guide (3) Plan (planifier) Définir un périmètre (actifs primordiaux, métier et les actifs de soutien, matériels,...) Analyse de risques Do (faire) Déploiement des mesures de traitement du risque Check (contrôler) Mesurer les écarts Vérifier la couverture des risques Act (Agir) Corrections, redéfinition périmétrique Nouvelles menaces, nouveaux risques 9
Contenu du Guide (4) Risque : Impact * Menace * Vulnérabilité Valeurs des actifs (0 à 4) Importance des impacts Vraissemblance des menaces (42 méthodes d'attaque ISO 27005) Probabilité d'occurrence (1 à 3) Estimation des vulnérabilités Facilité d'exploitation des menaces (1 à 3) Estimation du risque 10
Contenu du Guide (5) Valeur d'estimation du risque : (imenace + ivulnérabilité + iimpact ) 2 Abaque d'appréciation du risque : 5 zones Risques nuls : acceptables Risques négligeables : acceptables Risques significatifs : à traiter au cas par cas (jusqu'à acceptation d'un risque résiduel) Risques graves : à traiter systématiquement Risques vitaux : refusés ISO 27002 : mesures de sécurité à chaque risque identifié 11
Contenu du Guide (6) Traitement du risque : Accepté Refusé Transféré Réduit Déclaration d'applicabilité (DdA, SoA statement of applicability ISO 27001) synthèse des mesures de sécurité 12
Contenu du Guide (7) Aspects juridiques en trois points : Informer Alertes, mises en garde, conseils Par mail ou affichage, chartes, etc. Contrôler Agir Mise en place d'outils Remontées d'informations, consultation de logs Confidentialité Correctifs, Continuité de service Réagir 13
Contenu du Guide (8) Tracer ses actions : de façon à prouver qu'on a informé, contrôlé et agit Risques juridiques (pour les ASR) : Diffuser des informations personnelles Abuser des privilèges (téléchargement,...) Ignorer le droit Négligeance fautive (art. 1383 Code civil)... 14
Evolutions du Guide Elaboration d'un catalogue de services Système de Management de la Sécurité de l'information (SMSI) Mise à jour des aspects juridiques, gestion au niveau personnel et relationnel Les aspects écologiques de l'outil informatique Publication de l'ouvrage aux éditions MRCT http://www.mrct.cnrs.fr/ 15