Вы находитесь на странице: 1из 42

Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

LA GESTION DE LA SECURITE
Author : gbpv2

La mission dun organisme de recherche consiste produire et valoriser des connaissances,


aussi, linformation qui est gnre et transmise savre de nos jours un patrimoine essentiel
de nos units quil convient de prserver. Comme le rappelait un Fonctionnaire de Scurit de
Dfense du CNRS : Les entreprises, les laboratoires de recherche, les administrations
regorgent dinformations dont la compromission peut nuire gravement aux intrts de
l'tablissement, quand ce nest pas aux intrts nationaux (technologies innovantes,
recherches duales, contrats industriels, donnes personnelles, donnes mdicales la liste est
longue) [12].

Les enjeux de la scurit des systmes dinformation

La scurit de linformation est dfinie comme la protection de la confidentialit, de


l'intgrit et de la disponibilit de l'information . Elle devient aujourdhui une des
problmatiques majeures de nos units.

Forts de ce constat, nous devons envisager la finalit de protection du patrimoine


scientifique travers des enjeux principaux :

garantir la disponibilit de loutil de travail pour lensemble des personnels de la


structure ;

garantir la confidentialit des informations, qu'elles soient professionnelles ou


personnelles ;

garantir lintgrit des informations et des personnes ;

assurer la protection des donnes sensibles de la structure (donnes scientifiques et


techniques, donnes de gestion administrative, donnes individuelles) ;

assurer la protection juridique (risques administratifs, risques pnaux, perte dimage de


marque).

1 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

La mise en place dun Systme de Management de la Scurit de lInformation (SMSI)


travers la norme ISO 27001 [5] apparat comme une rponse aux besoins de protection des
donnes de nos units de recherche dans un contexte de dmarche qualit (PDCA).

[forum : annoter le chapitre]

La construction du Systme de Management de la Scurit de lInformation


(SMSI)

L'apport des normes ISO 2700x

La norme ISO 27001 a t publie en 2005 et est disponible en franais depuis juillet 2007.
Elle constitue le rfrentiel pour la mise en uvre dun systme de management de la scurit
de linformation. La mise en place dun SMSI est une dmarche transverse qui concerne tous
les mtiers et activits d'une structure de recherche. Elle doit aider la ralisation des objectifs
communs dans un souci de gestion de la confidentialit, de l'intgrit et de la disponibilit du
patrimoine informationnel.

La norme ISO 27001 [5]sappuie sur une srie de documents associs :

ISO 27002 dtaille les 133 mesures de scurit listes dans lannexe de lISO 27001 et
regroupes en 39 objectifs de scurit, eux-mmes classs en 11 domaines (politique
de scurit, scurit du personnel, contrle des accs...). Les objectifs de scurit
prsentent un but atteindre et les mesures de scurit prsentent les activits
permettant dy parvenir et expliquent les actions mettre en uvre pour implmenter
ces mesures ;

2 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

ISO 27004 explique comment mettre en uvre des indicateurs pour mesurer la
pertinence du SMSI ;

ISO 27005 est un socle important de la mise en uvre du SMSI, puisquil dcrit
lapprciation des risques de la scurit de linformation de lISO 27001.

[forum : annoter le chapitre]

Les diffrentes tapes de mise en place du SMSI

On la vu prcdemment, le SMSI s'appuie sur un modle d'amlioration continue (appel


PDCA ou Roue de Deming [8]) qui conduit dans un premier temps fixer les objectifs du
SMSI (Plan), le dployer (Do), puis vrifier les carts ventuels entre ce qui a t dfini et
ce qui est mis en uvre (Check), enfin mettre en place les actions qui permettront de corriger
ces carts et amliorer le SMSI (Act).

3 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

Etape de planification Plan

Dans cette tape on se doit de dfinir le primtre que l'on va grer dans le SMSI : primtre
gographique mais surtout primtre en termes dactivits de la structure de recherche
(primtre d'activit de recherche, d'enseignement, dadministration, primtre par mtier,
etc.). Il faut bien sattacher prendre en compte galement les interfaces avec les
fournisseurs, partenaires externes...

Il faut choisir et mettre en place une mthode danalyse de risques pour dterminer, valuer
et couvrir les principaux risques qui peuvent peser sur le SI de lunit . Cette mthode prendra
en compte les tapes suivantes :

ltude du contexte, la dfinition des seuils d'acceptation des risques ;

la cartographie et la classification des actifs primordiaux et actifs de soutiens ;

lidentification des menaces, lanalyse des vulnrabilits ;

lidentification des situations de risques, la classification des risques ;

4 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

le traitement des risques retenus : la liste des risques couverts et non-couverts et le


choix des solutions pour couvrir les risques ;

la dfinition des cots, bnfices, impacts des solutions retenues ;

lacceptation des risques rsiduels par la direction.

Pour terminer l'analyse on doit dterminer quelles sont les mesures de scurit que lon doit
prendre pour couvrir les risques. On verra que ces mesures sont recenses dans un document
particulier exig par la norme appele dclaration dapplicabilit (DdA).

Pour une structure dj en place cette tape passe ncessairement, par un tat des lieux de
lexistant et surtout par un recensement des mesures qui sont dj en place (on part en effet
rarement de rien) : inventaire des documents existants et des mesures dj appliques. A quel
degr sont-elles dj conformes avec le SMSI ? Existe-t-il dj une apprciation des risques ?

Certains cueils sont viter lors de cette phase importante de lanalyse des risques,
notamment il est ncessaire de prendre en compte les ressources (financires, matrielles,
humaines...) rellement disponibles, les freins psychologiques et surtout les rels enjeux
mtiers de la recherche.

Aprs l'analyse de risques, il est ncessaire de dployer les mesures de scurit dcides
dans le plan de traitement des risques et retenues dans la DdA.
Etape du dploiement Do

Il est galement ncessaire de former et sensibiliser les personnels. En effet rien ne sert de
mettre en place des mesures si les personnels nen sont pas informs et ne sont pas
sensibiliss aux bonnes pratiques de scurit. De mme il ne sert rien dinstaller des outils

5 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

de scurit si ceux qui doivent les utiliser ne sont pas forms.

Enfin, il faut grer le risque au quotidien par la dtection et la raction rapide aux incidents et
la gnration dindicateurs au fil de leau.

tape de vrification Check

C'est une tape fondamentale dans un SMSI puisqu'il s'agit de vrifier :

quil nexiste pas dcarts majeurs entre ce que le SMSI dfinit et ce qui est mis en
uvre en pratique ;

que les mesures de scurit qui couvrent les risques les plus critiques sont adaptes,
efficaces et suffisantes.

Les indicateurs et les outils permettant ces contrles sont multiples. Il peut s'agir par exemple
de la liste des incidents de scurit, des indicateurs de contrle, des tableaux de bord scurit,
des rapports d'audits internes, des enregistrements de non-conformit produits par le
SMSI, des revues de direction, etc.

Il faut garder lesprit, lors de cette tape, que les contrles ne sont pas mis en place pour
mesurer lefficacit thorique du SMSI (celle dcrite sur le papier), mais surtout lefficacit
des mesures appliques.

6 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

La phase Check du SMSI doit permettre l'excution des procdures de surveillance et de


rexamen afin de dtecter rapidement les erreurs traiter et identifier rapidement les failles de
scurit et les incidents de scurit.

Cette phase doit permettre de s'adapter aux changements :

rexaminer intervalles planifis l'apprciation du risque ;

s'adapter aux changements d'organisation, de techniques, d'objectifs de l'unit, de


menaces, d'efficacit des mesures de scurit, de rglementation...

Pour cela, il conviendra de mettre en place un suivi des amliorations possibles qui seront
prises en compte lors de la phase Act suivante (entreprendre des actions correctives ou
prventives).

tape d'ajustement Act

Il s'agit de dfinir, lors de cette tape, les actions qui permettront de raliser les corrections et
les amliorations du SMSI, mises en vidence par les indicateurs lors de ltape prcdente,
mais galement de prendre en compte tout changement ventuel intervenu entre temps dans le
systme d'information (mise en place par exemple d'un nouveau matriel stratgique...) :

7 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

un changement de primtre (technique, organisationnel ou fonctionnel) ayant un


impact sur le primtre du SMSI ;

de nouveaux risques (nouvelles menaces apparues, nouvelles vulnrabilits).

Les actions rsultantes seront classes en trois catgories : actions correctives (sur incident
ou cart constat), actions prventives (sur une anomalie potentielle), actions damlioration
(amlioration de la performance du processus existant).

Organiser la mise en place pratique d'un SMSI dans les units de recherche

Etant donn limportance des processus mettre en place, il est notre sens irraliste ce
jour de vouloir mettre en place un vritable SMSI complet de type ISO 27001 dans nos units
de recherche. Nous allons donc, dans ces lignes, nous limiter un SMSI allg propice pour
parvenir la mise en place d'une Politique de Scurit oprationnelle du Systme d'Information
dans l'unit (PSSI). En complment de l'aspect didactique du guide qui prsente globalement le
SMSI, pour conserver un aspect pratique nous mettrons l'accent sur la gestion du risque.

8 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

Engagement de la direction et lancement du SMSI

Tout d'abord, un SMSI est un acte de direction. Celui-ci doit donc maner officiellement de la
direction d'une unit. Il est illusoire de vouloir initier un SMSI sur la seule base du bnvolat ou
des comptences techniques ou organisationnelles d'un agent bien form et volontaire.

Il convient que la direction dfinisse des dispositions gnrales claires en accord avec ses
objectifs et quelle dmontre son soutien et son engagement vis--vis de la scurit de
linformation en mettant en place et en maintenant une organisation propre construire une
politique de scurit de linformation pour tout lorganisme.

Il est donc ncessaire que le Directeur d'Unit (D.U.) lance officiellement le dmarrage d'une
dmarche SMSI et qu'il dsigne un comit de pilotage. Ce groupe peut tre compos de
plusieurs membres reprsentatifs des diffrentes fonctions de l'unit par exemple : un membre
de la direction (directeur adjoint par exemple), un personnel administratif, un personnel
technique, des chercheurs et enseignants. Il va de soi qu'un reprsentant du service
informatique, s'il existe, devrait y tre prsent.

Ce lancement peut passer par un document officiel et formel comme une autorisation de
lancement de la part du directeur d'unit. Ce document rappellera qu'il est ncessaire de
respecter :

les dispositions lgislatives et rglementaires, les directives de niveau suprieur


(ministrielles et interministrielles) ;

9 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

les diffrentes recommandations des politiques SSI des tutelles.

Le document indiquera qu'il convient de lancer une analyse de risques permettant didentifier
ce qui doit tre protg dans le primtre concern, de quantifier lenjeu correspondant, de
formuler des objectifs de scurit afin que l'unit se donne une politique de scurit conforme
ses intrts.

tude du contexte et de l'environnement

Cette tape est importante car cest sur elle que reposera le processus de gestion du risque.
L'tude comprend trois parties successives :

la prsentation de lunit : il faut dabord prsenter lunit afin didentifier ce qui est
important pour son fonctionnement telles que sa structure, ses missions, son
organisation et sa stratgie ;

les contraintes : on s'attachera analyser et rappeler les diffrentes contraintes qui


affectent l'organisation parmi lesquelles, par exemple, des contraintes rglementaires,
budgtaires, calendaires (dates dexamens, de remise de rapports scientifiques),
politiques, fonctionnelles, ou encore culturelles (par exemple envisager le fait que
certaines exprimentations scientifiques doivent pouvoir se faire en dehors des heures
ouvrables...) ;

10 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

le choix du primtre : il doit servir dfinir le primtre gographique scuriser (les


locaux, btiments...), mais galement les actifs de l'unit (matriels, logiciels,
personnels...) qui supportent l'information scuriser. Dans la norme ISO 27000, ces
actifs sont de deux types :

les actifs primordiaux reprsentent les fonctions essentielles de l'unit comme par
exemple acqurir des donnes scientifiques, rdiger des publications, assurer les
commandes de l'unit... , ainsi que les informations ncessaires l'accomplissement
de la mission (rsultats de recherches, contrats de partenariat, informations
nominatives...) ;

les actifs de soutien reprsentent lensemble des matriels (PC, serveurs, rseau...),
logiciels (logiciels mtiers scientifiques et administratifs), mais aussi les locaux ou
encore les personnels (chercheurs, enseignants, administration...) qui supportent et
manipulent les informations scuriser.

Ce primtre peut tre volontairement restreint lors de la mise en place du SMSI, il sera
progressivement tendu lors des rvisions ultrieures dans un processus d'amlioration de la
qualit (dmarche PDCA).

Cette tude prliminaire du contexte dbouche sur une tude de l'apprciation des risques et
plus globalement de gestion des risques que nous allons dtailler.

[forum : annoter le chapitre]

La gestion du risque

Dans la mise en place du SMSI, la gestion des risques est un processus essentiel qui
permet de dfinir des exigences de scurit qui seront traduites en objectifs de scurit qui
leur tour vont impliquer la mise en place de mesures de scurit adaptes. Dans ce cadre,
plusieurs rfrentiels utiles la mise en uvre dun tel systme sont disponibles.

La gestion du risque comporte deux grandes tapes : lapprciation des risques et le


traitement des risques.

Un risque est la conjonction de trois facteurs :

11 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

une vulnrabilit d'un actif de soutien (matriel, logiciel, personnel humain...) : par
exemple une salle serveur peut ne pas tre climatise ou ne pas possder un contrle
d'accs ;

la probabilit qu'un vnement menaant (incendie, pirate...) exploite cette vulnrabilit :


par exemple en labsence de climatisation de la salle serveurs, l'augmentation de
temprature engendre par les machines hberges peut occasionner une surchauffe,
et le dclenchement dun incendie ;

un impact et des consquences plus ou moins importantes rsultant de la ralisation de


cette menace : perte des donnes scientifiques et administratives de l'unit. En
l'absence de sauvegardes, l'activit de l'unit est paralyse pour plusieurs semaines.

Figure 4 : Illustration des composants dun risque en SSI

Un risque est qualifi en fonction de limpact quil peut avoir et de sa probabilit ou


vraisemblance doccurrence. Pour analyser les risques on va passer par deux tapes :

dtermination / identification des risques : on dtermine quels sont les principaux


risques qui psent sur les lments du SI ;

12 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

valorisation des risques : on calcule une valeur (un poids) pour chacun des risques en
fonction de la probabilit d'occurrence d'une menace, de la facilit d'exploitation d'une
vulnrabilit, et des impacts qui en dcoulent.

On sera donc amen classer et prioriser les risques selon la valeur calcule et d'en
proposer un traitement.

Au final, le traitement des risques consistera dcider quelles mesures prendre ou pas pour
diminuer ou liminer le risque, en sappuyant sur un rfrentiel de bonnes pratiques
(le volet ISO 27002) associant objectifs et mesures de scurit.

Pour chaque risque identifi, le traitement selon la norme sera ramen quatre actions
possibles :

refuser le risque (i.e. supprimer au moins un des trois critres de dfinition d'un risque,
voire supprimer la fonction gnrant le risque) ;

rduire le risque (modifier les critres de vulnrabilit, la probabilit de ralisation des


menaces, l'impact, jusqu' un niveau de risque acceptable appel risque rsiduel) ;

transfrer le risque (transfrer la fonction qui gnre le risque une autre unit) ;

accepter le risque (par exemple si celui-ci est faible ou trop couteux liminer...).

[forum : annoter le chapitre]

13 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

Apprciation du risque

L'apprciation des risques consiste, dune part, les identifier, et dautre part les valuer
cest--dire les exprimer avec une valeur qui caractrise leur importance.

Dfinition des chelles de valeurs

Avant de commencer lanalyse de risques proprement dite, il est important de se doter de


diverses chelles de notation et d'valuation qui seront ncessaires pour quantifier les
risques et leur affecter une priorit (abaque).

Nous allons dtailler successivement ces diffrentes chelles de valeur :

1.

une chelle de valeur des actifs (quels sont les actifs les plus importants ?) ;

2.

une chelle de vraisemblance des menaces (quelles sont les menaces les plus
probables ou les plus vraisemblables ?) ;

3.

une chelle de facilit d'exploitation des vulnrabilits ;

4.

une chelle d'importance des impacts ;

14 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

5.

un tableau de classification des risques.

[forum : annoter le chapitre]

Les niveaux de valorisation des actifs

Le CNRS, par exemple, propose dans le cadre de ses formations sur la mise en place de la
Politique de Scurit des Systmes dInformation (PSSI) [6] au sein des units de recherche,
les cinq valeurs suivantes pour la valorisation des actifs :

valeur ngligeable (coefficient 0) : si cet actif vient manquer, les effets ne sont pas
dcelables ;

valeur faible (coefficient 1) : si cet actif vient manquer, les effets affectent
essentiellement des lments de confort ;

valeur significative (coefficient 2) : si cet actif vient manquer, les effets affaiblissent la
performance ;

valeur leve (coefficient 3) : si cet actif vient manquer toute lunit est impacte ;

valeur critique (coefficient 4) : si cet actif vient manquer les missions essentielles de
lorganisme sont mises en danger.

[forum : annoter le chapitre]

chelle d'estimation des menaces

On value les menaces partir de leur vraisemblance (ou leur probabilit doccurrence)
dans le contexte de l'unit. La vraisemblance d'une menace se mesure partir de scnarios
d'attaques : types de menaces environnementales ou humaines, existence dattaquants,
motivations dattaque

15 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

On trouvera une liste de 42 mthodes d'attaques possibles dans le volet ISO 27005 ou dans
la mthode Ebios [13] (comme par exemple, l'incendie, le vol, les coutes rseau, etc.).

L'estimation des menaces peut ainsi s'valuer sur une chelle trois niveaux selon la
vraisemblance ou probabilit d'occurrence : probabilit faible, moyenne et forte, notes de
1 3.

[forum : annoter le chapitre]

chelle d'estimation des vulnrabilits (facilit d'exploitation)

Il convient dans un premier temps de rpertorier les vulnrabilits prsentes sur les actifs de
soutien, puis pour chacune d'elles, de dterminer leurs facilits d'exploitation en tenant compte
des mesures de protection existantes.

Pour chaque actif de soutien de l'unit on va estimer la facilit d'exploitation de leurs


vulnrabilits :

vulnrabilit trs facile exploiter (coefficient 1) : par exemple une salle serveur peut
avoir comme vulnrabilit d'avoir une climatisation dfectueuse ou de capacit
insuffisante. L'augmentation de temprature qui peut s'ensuivre peut tre un facteur de
dclenchement d'incendie. Le dclenchement d'un incendie qu'il soit d'ordre
environnemental ou intentionnel ne ncessite aucune comptence et est de ce fait facile
exploiter ;

vulnrabilit moyenne (coefficient 2) : par exemple, le systme de messagerie peut


laisser passer certains documents comportant des virus. Les PC de l'unit ne sont pas
tous quips d'antivirus. Cette vulnrabilit est moyennement facile exploiter du fait
que certaines mesures antivirales sont dj prises dans l'unit, et que l'unit a une
architecture rseau scurise (rseau segment en vlan et filtres entre les rseaux) qui
minimise les diffusions virales ;

vulnrabilit difficile exploiter (coefficient 3) : par exemple, le logiciel de gestion du


service de noms (DNS) souffre d'un bogue de scurit permettant de corrompre le
cache des adresses IP de l'internet. Cette vulnrabilit potentiellement trs dangereuse
et spectaculaire ncessite toutefois des comptences trs importantes relevant de
spcialistes pour tre exploite.

[forum : annoter le chapitre]

16 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

tablissement des critres d'impact

Il faut rpondre la question : partir de quel niveau juge-t-on qu'un impact est assez
important pour que le risque soit pris en compte ? Les niveaux d'impact peuvent tre confondus
avec les niveaux de valorisation d'un actif dfinis prcdemment, sa perte ou sa dgradation.

Cinq niveaux dans les critres dimpacts / consquences :

ngligeables : les effets ne sont pas dcelables (coefficient 0) ;

faibles : les effets affectent essentiellement des lments de confort (coefficient 1) ;

significatifs : les effets affaiblissent la performance de lunit (coefficient 2) ;

levs : toute lunit est impacte (coefficient 3) ;

critiques : les effets mettent en danger les missions essentielles de lorganisme


(coefficient 4).

Par exemple :

impact important (coefficient 3 4) : l'incendie de la salle serveur en raison de la


dfaillance d'une climatisation peut avoir un impact catastrophique pendant plusieurs
semaines pour la poursuite des activits de l'unit ;

impact moyen (coefficient 2 3) : en l'absence de dispositif de sauvegarde de donnes,


la perte ou le vol d'un PC peut compromettre une exprimentation et les activits d'une
quipe sans toutefois paralyser l'unit entire ;

17 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

impact faible (coefficient 1) : dans des conditions de scurit dj prsentes (prsence


d'antivirus sur la majorit des PC de l'unit, sensibilisation permanente des utilisateurs
et filtrage sur les serveurs de messagerie) la contamination de quelques PC dans l'unit
fera perdre tout au plus quelques heures l'utilisateur et au service informatique.

Attention toutefois aux impacts faibles lorsque les vnements sont multiplis plus
grande l'chelle : par exemple un virus qui impacte quelques PC dans une unit peut devenir un
vrai flau l'chelle nationale lorsque plusieurs centaines d'units sont concernes.

A titre indicatif, le volet ISO 27005 (2008) propose comme critres de mesure de l'impact de
considrer les points suivants :

niveau de classification des informations impactes ;

rduction d'oprations, internes ou avec partenaires externes (empche la ralisation


complte d'une opration) ;

perturbations de plans, dpassement de dead line (notamment si des actions sont en


cours avec des partenaires extrieurs, grand projets, etc.) ;

dommages la rputation (des quipes de recherche, de l'unit, des tutelles).

[forum : annoter le chapitre]

Exemple dvaluation de l'importance des risques

Avec ses 3 facteurs constitutifs (vulnrabilit, menace et impact), le risque peut donc tre
valu travers diffrentes formules (la norme n'impose pas de formule prcise) reliant ces
trois facteurs : Risque = fonction (impact, menace, vulnrabilit).

A partir de ces critres, on peut combiner ces trois facteurs par une formule qui permettra de
donner une valeur diffrents niveaux de risques.

L'abaque ci-aprs, propos par le CNRS, quivaut une formule :

Risque = (Menace + vulnrabilit + Impact) 2

18 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

Dans ce tableau, le risque est ainsi maximal (valeur de 8) dans le cas dun impact
critique (4) avec de fortes probabilits de menaces (haute) et une vulnrabilit leve (facile).

Vraisemblance de Faible (1) Moyenne (2) Forte (3)


la menace

Exploitation de la Basse Moy. Eleve Basse Moy. Eleve Basse Moy. Eleve
vulnrabilit (1) (2) (3) (1) (2) (3) (1) (2) (3)

Impact 0 0 1 2 1 2 3 2 3 4
(Valeur
d'actif)

1 1 2 3 2 3 4 3 4 5

2 2 3 4 3 4 5 4 5 6

3 3 4 5 4 5 6 5 6 7

4 4 5 6 5 6 7 6 7 8

Tableau 3 : Abaque dapprciation du risque

(Source : cours dispenss par la cellule scurit du CNRS lors de formations en 2008 et 2009)

En fonction des coefficients que l'tude a permis d'affecter aux menaces et aux actifs de
soutien, et donc du niveau de risque calcul, le tableau suivant permet de caractriser cinq
zones dvaluation du risque et plusieurs manires de le traiter.

Risques nuls (0) Risques acceptables


0

Risques ngligeables (1-2) Risques acceptables


1 2

19 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

Risques significatifs (3-4) Risques traiter au cas par cas


3 4

Risques graves (5?6) Risques traiter


5 6 systmatiquement

Risques vitaux (7?8) Refus du risque tant qu'il n'a pas


7 8 t trait

Tableau 4 : Zones dvaluation du risque

20 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

Ltape consiste, en fonction des objectifs internes de l'unit, dfinir des seuils
d'acceptation du risque, cela conduit par voie de consquence dfinir les risques qui seront
traits en priorit.

[forum : annoter le chapitre]

Audit de scurit auprs des experts mtiers

Aprs que les abaques et les divers critres dapprciation du risque aient t dfinis, il
convient que le groupe de travail charg de la SSI de lunit mette en place une srie
dentretiens auprs des experts mtiers (chercheurs, administratifs, enseignants) prsents
dans lunit.

Lobjectif de ces entretiens est de faire sexprimer les diffrents experts mtiers de lunit et
de comprendre leur besoins de scurit en termes de disponibilit, confidentialit de leurs
donnes et processus mtiers.

Ces divers entretiens permettront danalyser les besoins et de valoriser les actifs
primordiaux et les actifs de soutien de manire globale et homogne au sein de lunit.

Bien entendu, les cueils comprendre et viter sont souvent que chaque expert mtier, non
spcialiste de la SSI, peut avoir une vision partielle ou errone de sa situation individuelle en
terme de besoins de scurit. La tendance tant alors soit de sous-estimer le risque ( je nai
pas de donnes sensibles , je nai rien cacher ), soit de le surestimer ( je ne peux
supporter un arrt de la messagerie plus dune heure ). Le rle de lexpert SSI au vu de son
exprience peut tre alors de dialoguer, faire comprendre les enjeux et trouver un compromis
acceptable qui resitue les besoins dans le contexte gnral et permette de mieux cerner les
objectifs de scurit.

[forum : annoter le chapitre]

21 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

Traitement des risques

Traiter le risque c'est donc se rfrer aux procdures, codes de conduite, rgles de scurit,
normes, standards et dispositifs techniques, ayant pour objectif la protection du systme
dinformation de lorganisme.

Le traitement du risque va consister dcider si le risque est accept, refus, transfr ou


rduit. La rduction du risque va entraner la slection de mesures de scurit. Dans le cas o
lon veut rduire le risque, le choix de ces mesures passe par lidentification des objectifs de
scurit (que veut-on protger et pourquoi ?) et le choix des mesures de scurit adaptes.

Exemple de risque refus :

Risque de perte de donnes scientifiques issues dexprimentation et de missions


scientifiques. Ces donnes sous-tendent lactivit de publication du laboratoire et sa
renomme scientifique :

vulnrabilit : climatisation trop ancienne et insuffisante dans la salle serveurs et


absence de moyens de sauvegarde, plusieurs interruptions de la climatisation en t ;

menace : lvations frquentes de la temprature en salle serveurs, menace dincendie


ou de dgradation des disques supportant les donnes scientifiques ;

Objectif de scurit : on veut obtenir une disponibilit, une confidentialit et une intgrit
leve des donnes scientifiques acquises en missions ou dexprimentation. On ne

22 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

peut supporter la perte de donnes. Ces donnes doivent tre sauvegardes sur un
mdia externe et restitues en cas de problme.

Exemple de risque transfr :

Rception importante et frquente de virus et de spams par la messagerie lectronique.


Le service informatique du laboratoire en sous-effectif investit trop de temps dans la
maintenance du serveur de messagerie de lunit. Dans la conjoncture actuelle, il ny a
pas de valeur ajoute ce que lunit conserve un serveur de messagerie en interne.
La direction dcide de transfrer le risque et demande ce que le service de
messagerie soit pris en charge par lorganisme hbergeur.

Le traitement du risque dpend en effet des objectifs de scurit que l'unit s'est fixe. Les
objectifs de scurit expriment la volont de couvrir les risques jugs inacceptables sans
prjuger des solutions pour y parvenir. Ils dcoulent logiquement de lapprciation des risques.

Un exemple dexpression dobjectifs de scurit concernant la disponibilit des donnes


pourrait tre : Eviter les dommages dans les locaux comportant les donnes essentielles de
lunit . Nous trouvons lexpression dun tel objectif dans lannexe A.9.1 de lISO 27001 :

[A.9.1] Empcher tout accs physique non autoris, tout dommage ou intrusion dans les
locaux ou portant sur les informations de lorganisme.

Figure 5 : Premier extrait de lannexe de lISO 27001

Lobjectif de disponibilit des donnes de lunit est galement exprim dans le maintien
des moyens de traitement de linformation. Lannexe A.10.5 est un objectif ncessaire pour
mettre en place des mesures de sauvegarde des informations :

[A.10.5] Maintenir lintgrit et la disponibilit des informations et des moyens de


traitement de linformation.

23 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

Figure 6 : Second extrait de lannexe de lISO 27001

Les mesures de scurit qui dcoulent de ces objectifs donns en exemple sont :

les zones scurises seront protges par des contrles adquats lentre pour
sassurer que seul le personnel habilit est admis ;

des mesures de protection physique contre les dommages causs par les incendies
doivent tre conues et appliques ;

des copies de sauvegarde des informations et logiciels doivent tre ralises et


soumises rgulirement essai conformment la politique de sauvegarde convenue.

L'annexe de la norme ISO 27001:2005 reprsente les mesures de scurit gnriques qui
couvrent les risques. Ces mesures sont dtailles dans le document ISO 27002.

Pour dterminer les mesures de scurit appropries chacun des risques identifis, on
pourra utiliser lannexe A de lISO 27001. Ce document qui associe les objectifs de scurit et
les mesures associes comporte 133 mesures structures en 11 chapitres, couvrant lessentiel
des domaines de la scurit.

Ce catalogue de mesures savre trs utile et permet dtre sr de ne pas oublier une
mesure importante mme si toute latitude est autorise pour mettre en place des mesures de
scurit non mentionnes. La norme ISO 27002 [5] est en fait un vritable guide de bonnes
pratiques en matire de SMSI et prsente en dtail les 133 mesures prcdentes
accompagnes de recommandations concrtes dexperts en scurit.

Une fois le traitement du risque mis en uvre, il conviendra de dterminer les risques
rsiduels qui subsistent une fois les mesures de scurit appliques de faon les prendre en

24 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

compte dans la ractualisation de lanalyse des risques.

[forum : annoter le chapitre]

Dclaration d'applicabilit

La dernire tape de la gestion des risques, dans sa phase de traitement consiste


dresser un tableau rcapitulatif reprenant lensemble des 133 mesures de lAnnexe A de
lISO 27001.

Lensemble de ces 133 mesures sera consign dans un document intitul Dclaration
dApplicabilit (DdA ou SoA pour Statement of Applicability en anglais) qui contient pour chaque
objectif de scurit, les mesures de scurit retenues, les raisons de leur slection mais
galement les mesures de scurit non retenues et les raisons de leur mise lcart. Pour la
ralisation de ce document, aucune mesure nest priori obligatoire mme si les exigences de
la norme ISO 27001 et les obligations rglementaires ou statutaires rendent plusieurs mesures
incontournables.

La DdA est le document fondamental demand par la norme auquel il est ncessaire
d'aboutir pour mettre en place un SMSI. Il reprsente la synthse des mesures de scurit
ncessaires pour scuriser l'unit. Il sappuie sur l'ISO 27002 qui est un guide de bonnes
pratiques en matire de mesures de scurit. Pour chacune des 133 mesures de scurit
apportes par la norme ISO 27002, la DdA permet d'indiquer les raisons de la slection des
mesures ou de leur rejet.

Ainsi les mesures de scurit qui peuvent tre slectionnes seront le fait des exigences de
scurit suivantes :

25 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

imposes par la norme ISO 27001 ;

imposes par les contraintes lgales et rglementaires, par exemple, prsentes dans la
PSSI de la tutelle ;

imposes par le contexte ou les bonnes pratiques : certaines mesures sont videntes ;

issues de l'apprciation des risques ;

dj mises en place.

[forum : annoter le chapitre]

Bnfice de la dmarche SMSI

Au vu des lments prcdents, le projet de mise en place dun SMSI permet de mobiliser
l'ensemble des acteurs de la structure de recherche autour d'un projet commun. Chaque acteur,
depuis l'utilisateur final, jusqu' la direction de la structure, en passant par lquipe
informatique, prend sa part de responsabilit dans la scurit de linformation.

Cette implication ne s'obtient concrtement que par l'engagement fort de la direction qui doit
s'affirmer de manire claire et visible. En retour, la mise en place dun SMSI apporte la
direction de lunit des rgles de bonne conduite, laidant grer ses objectifs et rpondre
des questions simples mais fondamentales (o se trouvent les informations sensibles de ma
structure ? Sont-elles bien conserves ? Sont-elles bien protges eu gard aux contextes et
enjeux scientifiques ?).

Le deuxime domaine d'intrt concerne le fait d'impliquer lensemble des mtiers de la


structure dans la gestion des risques qui psent sur le patrimoine informationnel. On laura
compris, la scurit nest pas quune affaire de technique, mais aussi et surtout de politique,
dorganisation et de comportement.

Par cette dmarche et des pratiques qui en dcoulent, lASR trouve sa lgitimit dans la
bonne prise en compte des mesures de scurit dployer et accompagner. Il sera renforc
dans son rle de force de proposition pour conduire ce projet et naura sans doute plus le
sentiment dtre isol dans son unit en mettant en uvre, de par ses dcisions personnelles,

26 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

des mesures de scurit le plus souvent techniques qui ne couvrent quune partie des risques
potentiels.

Enfin, faire connatre auprs des tiers et de ses partenaires sa nouvelle gouvernance
concernant la protection de son patrimoine et le respect des contraintes rglementaires pourra
apporter plus de confiance et de professionnalisme dans les relations rciproques.

[forum : annoter le chapitre]

5. Exemples de mesures de scurit courantes

Voici ci-aprs, quelques pratiques gnrales en matire de scurit informatique qui sont
frquemment mises en place dans la scurisation du SI de nos units de recherche.

Scurit physique des locaux

L'objectif est d'empcher tout accs physique non autoris, tout dommage ou intrusion dans
les locaux dans lesquels rsident les informations de lunit. Les locaux contenant des
informations sensibles et des moyens de traitement de linformation (salles serveurs,
secrtariat de direction ou d'enseignement...) doivent donc tre protgs physiquement des
accs incontrls ou malveillants (contrle daccs par carte ou code).

Pour se protger des menaces d'ordre environnemental, il convient galement de mettre en


uvre des dispositifs de dtection et dalerte de temprature leve, dincendie ou
dinondations ou d'autres formes de sinistres provoqus soit accidentellement soit par
malveillance.

[forum : annoter le chapitre]

27 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

Scurit du matriel et du cblage

On protgera les matriels sensibles (routeurs, serveurs...) des pertes d'alimentation


lectrique par un systme de secours bien dimensionn, ainsi que d'ventuelles surchauffes
par des moyens de climatisation adquats et bien dimensionns.

Afin de garantir une disponibilit permanente et un bon fonctionnement en cas de panne, le


matriel sensible qui ncessite un fonctionnement continu doit tre plac sous contrat de
maintenance.

Les accs aux cbles rseaux transportant des donnes doivent tre protgs contre toute
possibilit d'interception de linformation, ou de dommage. Les cbles ou concentrateurs
rseaux doivent tre hors de porte immdiate et donc protgs dans des gaines ou des
armoires de rpartition.

[forum : annoter le chapitre]

28 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

Mise au rebut ou recyclage

Les matriels, les informations ou les logiciels ne devraient pas pouvoir tre sortis des units
sans autorisation pralable au vu dune procdure formelle. En cas de mise au rebut ou de
revente de PC, il convient de vrifier que les donnes ont t effaces des disques de manire
efficace. Un simple formatage n'tant bien entendu pas suffisant pour effacer les donnes de
manire prenne, des mthodes sont prconises [14].

Les supports qui ne servent plus doivent tre mis au rebut de faon sre. Il n'est pas
conseill pour des raisons environnementales de mme que pour des raisons de scurit du SI
de se dbarrasser des PC et des supports amovibles dans des bennes non spcialises, ni
sans avoir au pralable correctement effac les supports (magntiques, etc.).

[forum : annoter le chapitre]

Procdures de scurit informatique lies l'exploitation

29 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

5.4.1 Protection contre les codes malveillants : virus et autres malwares

La plupart des attaques via le rseau tentent dutiliser les failles du systme dexploitation
ou des logiciels d'un PC. Les attaques recherchent les ordinateurs dont les logiciels nont pas
t mis jour afin dutiliser la faille non corrige et ainsi parvenir sy introduire.
Cest pourquoi il est fondamental que les ASR mettent jour les logiciels des serveurs et
des postes clients afin de corriger ces failles.

Suite aux avis de scurit qui manent des CERT et CERTA [15], l'ASR doit veiller au
maintien du niveau de scurit au cours du temps par l'application rcurrente des correctifs
logiciels (patchs) sur les serveurs en exploitation dans l'unit.

Il est galement dans ses fonctions, de veiller ce que chaque poste du rseau local soit
quip d'un antivirus rgulirement mis jour. L'ASR doit donc mettre en place des mesures de
dtection, de prvention et de recouvrement pour se protger des codes malveillants.

30 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

5.4.2 Sauvegarde des informations

La sauvegarde des informations est un processus essentiel permettant de garantir la


disponibilit des donnes et la continuit de lactivit du laboratoire en cas d'incident. Une
politique de sauvegarde (frquence, fentre de sauvegarde...) doit tre labore pour protger
les donnes de l'unit et ces informations de sauvegarde doivent tre communiques aux
utilisateurs. Une sauvegarde rgulire des donnes des utilisateurs ainsi quun processus de
restauration, tests au pralable, doivent tre mis en place. Les droits daccs ces
sauvegardes doivent faire lobjet dune attention particulire.

Des copies de ces sauvegardes doivent tre ralises sur des supports externes (robot de
bandes, disques externes...) et places dans des locaux (ou coffres) scuriss et distants. Ces
copies de sauvegardes doivent aussi tre testes rgulirement conformment la politique de
sauvegarde convenue.

5.4.3 Journaux systmes les logs

Les journaux systmes produits par nos serveurs informatiques permettent la surveillance du
contrle daccs nos systmes et rseaux. Ils permettent de faciliter les investigations

31 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

ultrieures et sont en outre galement exigs dans le cadre de la collecte de preuve par les
autorits juridiques comptentes.

Les journaux systmes qui enregistrent les activits des utilisateurs, les exceptions et les
vnements lis la scurit doivent tre produits et conservs pendant la priode lgale pour
surveiller lexploitation du systme. La politique de gestion des traces du CNRS a fait l'objet
d'un document disponible sur l'intranet du CNRS [16].

Il est important de protger les serveurs qui conservent les informations journalises contre
des accs non autoriss ou des actes de malveillance qui pourraient s'opposer au maintien de
la preuve.

En raison du nombre de serveurs prsents dans nos units, il convient de mettre en uvre
des moyens pour faciliter l'exploitation transversale de ces journaux provenant de multiples
serveurs. Par exemple la centralisation des journaux systmes sur un serveur unique et ddi,
permet de concentrer la scurisation des logs sur un seul point d'accs, de mieux rguler la
priode d'archivage lgal et surtout, de permettre la consultation simultane des journaux de
plusieurs serveurs [17].

5.4.4 Synchronisation des horloges

En cas d'analyse des journaux informatiques, pour retracer la chronologie d'un vnement
ou d'une anomalie, il est essentiel que les horloges des diffrents systmes de traitement de
linformation (serveurs, routeurs, PC utilisateurs...) de nos units de recherche soient
synchronises laide dune source de temps prcise et pralablement dfinie.

32 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

5.4.5 Scurit du rseau Echange des informations Contrle d'accs rseau

Les rseaux de nos units de recherche doivent tre grs et contrls de manire adquate
pour garantir la protection contre des menaces aussi bien externes qu'internes. On veillera
surtout contrler l'accs physique au rseau, segmenter le rseau local en diffrents rseaux
virtuels et rendre illisibles notamment les informations en transit, par des moyens de
chiffrement des protocoles :

contrle d'accs rseau : il est ncessaire d'empcher les accs non autoriss aux
services qui sont disponibles sur le rseau (partages de dossiers, imprimantes, accs
intranet, web, etc.). L'ASR doit s'assurer de ne donner accs qu'aux services pour
lesquels les utilisateurs ont spcifiquement reu une autorisation. Des mthodes
dauthentification appropries doivent donc tre utilises pour contrler laccs des
utilisateurs distants. Il peut tre ncessaire d'avoir recours au standard 802.1x. pour
contrler l'accs aux ports du rseau interne au moyen d'une identification et
authentification. La mise en place d'annuaires centraliss tels que Active Directory ou
LDAP ou encore un serveur RADIUS reprsente un lment fondamental pour
permettre cette authentification ;

cloisonnement des rseaux : il est particulirement efficace de sparer les flux rseau
issus des diffrents services dinformation de nos units. La segmentation du rseau de
l'unit en rseaux logiques virtuels (VLAN) est donc une bonne mesure prendre pour
sparer des flux rseau de diffrentes entits administratives (le rseau des chercheurs,
le rseau des tudiants, le rseau de secrtariats, le rseau des serveurs...). Cette

33 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

diffrenciation des flux permet, par la suite, de leur appliquer des mesures de scurit
diffrentes. Dans le processus de segmentation du rseau, il est fortement recommand
de regrouper et d'isoler les services devant tre visibles de l'extrieur dans une zone
rseau semi ouverte ;

contrle du routage rseau : le rseau hbergeant le SI doit tre protg des tentatives
d'accs illicites provenant de l'extrieur comme de l'intrieur de nos units. Des
mesures de routage des rseaux doivent tre mises en uvre afin dviter que des
connexions rseau non souhaites ne portent atteinte la politique de contrle daccs
des applications mtier de nos units. Les flux d'entre, et de sortie, du rseau doivent
galement tre protgs par un ensemble de filtres
(ACL dans le jargon) qui permettent d'interdire des accs rseau vers des ressources
ou des services non contrls.

5.4.6 Protection des transferts de donnes : chiffrement

L'objectif des mesures cryptographiques est de protger la confidentialit, lauthenticit ou


lintgrit de linformation par des algorithmes utilisant des cls de chiffrement. Aussi, il faut les
utiliser pour protger les flux d'information lis des services sensibles. Par exemple, la
messagerie lectronique ou les accs intranet ou tout autre service demandant une
identification doivent tre protgs de manire adquate par des protocoles scuriss reposant
sur SSL, comme IMAPS, SSTPS, SASL pour la messagerie ou HTTPS pour le web.

Une politique dutilisation des mesures cryptographiques en vue de protger linformation


devrait tre mise en uvre. Cela revt un caractre obligatoire pour les donnes classifies

34 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

sensibles . On consultera cet effet le document de recommandations du CNRS en la


matire [18].

Il est important pour les ASR de connatre le fonctionnement de l'Infrastructure de Gestion de


Cl (IGC) de leur structure lorsqu'elle existe et l'utilisation que l'on peut faire des certificats
dlivrs (signature et chiffrement des messages lectroniques, certification de machines
serveurs).

Dans le cas du CNRS, par exemple, l'ASR se rapprochera des Dlgations Rgionales (DR)
pour connatre les modalits d'obtention et d'utilisation des certificats lectroniques du CNRS,
ainsi que celles pour devenir Autorit d'Enregistrement (AE) afin de fournir des certificats
lectroniques aux utilisateurs de son unit. Il est, ce propos, ncessaire de connatre l'Autorit
d'Enregistrement en place pour la DR. On trouvera de nombreuses documentations ce sujet
sur les sites des IGC [19].

5.4.7 Exigences relatives au contrle d'accs aux systmes d'exploitation

Il est du ressort des ASR de matriser par des dispositifs techniques ou procduraux, laccs
linformation prsente dans nos units. Il est donc ncessaire de mettre en place une
politique de contrle daccs de manire empcher les accs non autoriss aux systmes
dexploitation.

Une procdure formelle de cration (et de suppression) des comptes informatiques des
utilisateurs destine accorder ou supprimer laccs tous les systmes et services
dinformation doit tre dfinie. Aprs cration des comptes, il est ncessaire de grer
correctement lattribution et lutilisation des privilges.

L'accs aux ressources informatiques ne doit donc tre possible qu'aprs identification et

35 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

authentification des utilisateurs et doit tre adapt aux droits et aux profils des utilisateurs
(chercheurs, administration, enseignement, etc.).

L'ASR attribue un identifiant et un mot de passe unique chaque utilisateur et met en place
le systme dauthentification adquat, pour vrifier lidentit dclare par lutilisateur lors des
entres en session.

Les utilisateurs doivent pouvoir changer leur mot de passe partir dun processus formel
contrl de manire empcher l'utilisation de mots de passes trop faibles (utiliser des mots ne
figurant pas dans un dictionnaire et difficiles retrouver laide de programmes).

Il est important de faire adhrer les utilisateurs ces mesures qui peuvent paratre
contraignantes, mais qui figurent parmi les mesures de base permettant d'assurer la scurit de
l'accs au systme d'information des units.

Dans certains contextes (salles d'enseignements ou applications sensibles...) les sessions


inactives devraient tre dconnectes aprs une priode dinactivit dfinie.

5.4.8 Gestion de parc et des moyens nomades Cybersurveillance

L'administration des postes de travail de nos units est normalement place sous la
responsabilit de l'ASR. Selon la rglementation en vigueur actuellement, il a donc toute
latitude pour mettre en place des outils de gestion et de surveillance du parc informatique.
Ainsi, une vrification du niveau de scurit des postes nomades (prsence d'un antivirus jour
par exemple) doit tre mise en place avant l'accs au rseau local. Les postes de travail et
moyens nomades doivent par ailleurs tre protgs par des mots de passe robustes.

En cas de tlmaintenance sur un PC avec des outils de prise en main distance tel que

36 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

VNC, les ASR doivent avertir le propritaire du poste et respecter la lgislation.

5.4.9 Mesure de l'utilisation des ressources : outils de mtrologie

Lutilisation des ressources systmes ou du rseau doit tre surveille et ajuste au plus
prs. La scurit du systme d'information implique une surveillance de l'utilisation du rseau et
des serveurs tout en respectant la rglementation en vigueur (cf. les aspects juridiques du
mtier dASR dans ce guide). Cela consiste notamment respecter le principe de
proportionnalit qui est d'adapter les moyens de surveillance aux enjeux de scurit et d'avoir
pour principe d'informer les utilisateurs et les partenaires sur les moyens de surveillance mis en
place. Dans le respect de ce cadre, l'ASR a toute latitude pour mettre en place divers outils de
mtrologie rseau et de journalisation des accs aux serveurs.

[forum : annoter le chapitre]

Sauvegarde et archivage

Quelle que soit l'unit de recherche concerne, il y a production et utilisation d'informations


sous forme de donnes numriques. Une des fonctions de l'ASR est de proposer des dispositifs
qui permettent d'assurer une prservation de ces donnes en cas de perte accidentelle ou
autre. La duplication de ces donnes par stockage redondant sur des supports diffrents de
ceux de l'quipement utilis (poste de travail fixe, mobile, serveur, ...) est un des principes de
base. Elle ncessite la mise en place de techniques et de procdures de stockage et de
restauration spcifiques au type de donne concerne.

Ces recommandations sont notamment issues de la norme NF-Z-42-013 (2001) [20] qui
fournit des spcifications relatives la conception et l'exploitation de systmes en vue d'assurer

37 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

la conservation et l'intgrit des documents stocks, dans le domaine de l'archivage


lectronique. Y sont abordes diverses recommandations d'organisation et de bonnes pratiques
concernant la gestion des supports WORM (Write Once Read Many) mais qui peuvent
aisment tre transposes d'autres types de sauvegarde et d'archivage.

Il convient donc de distinguer clairement les deux finalits :

la sauvegarde, quelle que soit sa forme et son usage, est destine mmoriser des
donnes volutives de manire en conserver la persistance et pouvoir les restituer en
cas d'accident. On peut couramment considrer que les donnes stockes sont
rgulirement modifies (crites, effaces) ;

l'archivage, en revanche, consiste rendre accessible en lecture des donnes


immuables (archives de documents administratifs, donnes de mesures exprimentales,
rsultats de simulations coteuses produire, etc.), bien que leur classification puisse
voluer dans le temps (mtadonnes associes).

La dure de rtention, les modes d'accs et souvent les volumes, sont fondamentalement
diffrents, ce qui suppose que des supports, des nommages, des lieux d'hbergement adapts
et une gestion des risques devraient leur tre appliqus (notamment en cas de risque de perte
accidentelle et en cas de sinistre). Le critre le plus important qui distingue ces deux aspects
sera la dure du cycle de vie.

La quantit d'informations traites dans nos units a une nette tendance augmenter. Tant
pour les sauvegardes que pour l'archivage, certaines techniques comme la dduplication,
pourront, fonctionnalit constante, rduire le volume des donnes et les cots d'infrastructure.

La norme propose par exemple des mthodes d'identification des supports ainsi que des
processus d'enregistrement de leur chanage. A intervalle rgulier, des copies de scurit
doivent tre effectues (frquence et nombre dpendant de la criticit des donnes, de la dure
de vie des supports dans l'environnement de conservation...) et stockes loin des originaux.
Dune manire gnrale, les sauvegardes et archivages doivent tre systmatiquement vrifis
et rgulirement tests. Il peut arriver que des supports deviennent illisibles, dans ce cas les
systmes d'criture/lecture doivent tre vrifis et une copie de scurit rgnre et identifie.

Cependant, l'archivage pose des problmes particuliers propres la longue dure de


rtention des donnes. Typiquement, on peut trouver actuellement des supports garantis au
moins 30 ans (magnto-optiques notamment). En revanche, les matriels et logiciels permettant
d'exploiter ces supports survivent rarement au-del de 10 ans. Il en va de mme de la
possibilit d'exploiter les formats des informations stockes sur ces supports. C'est un paradoxe
de l'archivage lectronique : conserver des donnes pendant de longues dures en s'appuyant

38 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

sur des technologies rapidement obsoltes. Quelques rgles simples de bonnes pratiques nous
permettront de minimiser les risques lis ce paradoxe tout en respectant disponibilit, intgrit
et confidentialit des donnes.

[forum : annoter le chapitre]

Imposer des standards indpendants des applications et des environnements

informatiques

Ne pas perdre de vue que la lecture, le dcodage ou la transcription doivent rester prennes
durant toute la dure de conservation. Privilgier les formats ouverts (soit libres, soit dont les
caractristiques sont publies) est un gage de prennit (XML, HTML, PDF/A sont les plus cits
en ce qui concerne les documents texte). L'interoprabilit consistant pouvoir transfrer les
donnes d'un systme un autre devrait s'imposer tout systme d'archivage.

L'obsolescence rapide de la plupart des supports impose (en particulier pour les donnes
conserves plus de 5 ans) d'envisager ds l'origine la migration en tenant compte des formats
logiques mais aussi du temps ncessaire et de l'indisponibilit ventuelle occasionne.

[forum : annoter le chapitre]

39 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

Respecter la lgislation

Les donnes peuvent faire l'objet de restrictions d'accs, voire de dclarations (donnes
personnelles, etc.). L'archivage est autant concern que le stockage, d'une manire gnrale,
par ces aspects juridiques. Certains documents notamment administratifs doivent tre probants.
Il conviendra d'assurer l'intgrit de ces documents tout au long de leur dure de conservation
(Code Civil Art.1316-1 [21]).

[forum : annoter le chapitre]

Prenniser les donnes descriptives

L'augmentation du nombre et du volume de donnes va de pair avec les donnes

40 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

descriptives (mtadonnes) permettant de les situer (origine, dates, etc.), de les retrouver
(classification, indexation, etc.), ventuellement d'en mmoriser les accs (donnes protges
ou sensibles) et de s'assurer de leur intgrit (signature, empreinte, chiffrement...).

La sauvegarde des systmes de gestion des donnes descriptives fait partie intgrante de
l'archivage des donnes elles-mmes. Ainsi, une base de donnes d'index ou de mots-cls
permettant la recherche de documents dans un thsaurus d'archive est sauvegarder,
simplement pour maintenir oprationnel l'accs aux documents, voire parce que la
reconstitution d'un tel index peut s'avrer un processus long et complexe.

[forum : annoter le chapitre]

Analyse de risques et politique d'archivage

Conserver les donnes sur le long terme, les retrouver et les restituer avec fidlit dans un
format intelligible tout en scurisant leur accs constituent les objectifs de l'archivage
lectronique. Une analyse de risques portant sur les donnes d'archivage ainsi que sur les
moyens d'y accder permettra de dfinir une politique de sauvegarde propre l'unit.

La politique d'archivage doit conduire :

dfinir les objectifs du systme (services rendus) ;

prciser l'ensemble des intervenants et leurs responsabilits ;

41 / 42
Guide de Bonnes Pratiques pour les Administrateurs Systmes et Rseaux

http://gbp.resinfo.org

dfinir les fonctionnalits (versement, stockage, administration) ;

prserver l'environnement scuritaire associ en lien avec la politique de scurit du


systme d'information.

Elle permet de transformer les exigences en diffrents niveaux de service eux-mmes


traduits en architecture technique et en processus.

42 / 42
Powered by TCPDF (www.tcpdf.org)