Академический Документы
Профессиональный Документы
Культура Документы
12/12/09
Page 1 / 80
gbp-v1-0.odm
9- Les bonnes pratiques dans la gestion de la scurit des systmes d'information .............28
9.1- Grands principes d'organisation de la scurit au sein du laboratoire...........................................28 9.1.1- Dfinition du primtre sur lequel doit porter la scurit du S.I...........................................28 9.1.2- Implication de la direction vis--vis de la scurit de l'information......................................29 9.1.3- Coordination de la scurit de l'information..........................................................................29 9.1.4- Formation et sensibilisation la scurit du S.I....................................................................29 9.2- Analyse des donnes du Systme d'Information de l'unit Analyse des besoins de scurit.......29 9.3- Apprciation des risques...............................................................................................................30 9.3.1- Identification des menaces et vulnrabilits..........................................................................30 9.3.2- Identification des impacts......................................................................................................31 9.4- Traitement des risques...................................................................................................................31 9.5- Bonnes pratiques dans la mise en uvre de la scurit informatique : exemples de mesures de scurit courante...................................................................................................................................32 9.5.1- Scurit physique des locaux................................................................................................32 9.5.2- Scurit du matriel et du cblage.........................................................................................32
12/12/09
Page 2 / 80
gbp-v1-0.odm
9.5.3- Mise au rebut ou recyclage....................................................................................................32 9.5.4- Procdures de scurit informatique lies l'exploitation :...................................................33 9.5.4.a- Protection contre les codes malveillants : virus et autres malwares ..............................33 9.5.4.b- Sauvegarde des informations..............................................................................................33 9.5.4.c- Journaux systmes les logs ........................................................................................33 9.5.4.d- Synchronisation des horloges.............................................................................................34 9.5.4.e- Scurit du rseau Echange des informations Contrle d'accs rseau.........................34 9.5.4.f- Protection des transferts de donnes : chiffrement..............................................................34 9.5.4.g- Exigences relatives au contrle d'accs aux systmes d'exploitation .................................35 9.5.4.h- Gestion de Parc et des moyens nomades - Cybersurveillance............................................35 9.5.4.i- Mesure de l'utilisation des ressources : outils de mtrologie...............................................36
10- Bonnes pratiques lies aux aspects juridiques du mtier d'ASR respect de la rglementation en vigueur...........................................................................................................37
10.1- Informer, contrler, agir .............................................................................................................37 10.1.1- Informer, Conseiller............................................................................................................37 10.1.2- Prouver qu'on a scuris......................................................................................................37 10.1.3- Contrler l'activit des systmes et du rseau......................................................................38 10.1.4- Agir.....................................................................................................................................39 10.2- Notice lgale de site web.............................................................................................................39 10.3- Notion de charte informatique.....................................................................................................40 CONTEXTES PERSONNEL ET RELATIONNEL DES ASR..................................................................41
12/12/09
Page 3 / 80
gbp-v1-0.odm
INTRODUCTION
Dfinitions - Objectifs
Le terme "guide" est dfini comme suit dans plusieurs dictionnaires : "qui donne des conseils et accompagne". En ce qui concerne les bonnes pratiques , la dfinition de Wikipdia semble convenir au guide que nous laborons : "Le terme bonnes pratiques dsigne, dans un milieu professionnel donn, un ensemble de comportements qui font consensus et qui sont considrs comme indispensables, qu'on peut trouver sous forme de guides de bonnes pratiques (GBP). Ces guides sont conus par les filires ou par les autorits. Ils peuvent se limiter aux obligations lgales, ou les dpasser. Comme les chartes, ils ne sont gnralement pas opposables. Ils sont souvent tablis dans le cadre d'une dmarche qualit par les filires." Comme cela t les cas pour les deux prcdentes productions de RESINFO : SiLabo [SiLabo] et EcoInfo.[EcoInfo], ce projet de guide est n de plusieurs rflexions lies aux diffrents contextes de travail de notre mtier dont on peut citer celui, largement partag, de l'augmentation et de l'intensification des tches d'exploitation des systmes informatiques et rseaux ainsi que des responsabilits attenantes, et ce, la plupart du temps, moyens humains constants. Son objectif est donc de proposer aux Administrateurs Systmes et Rseaux (ASR) nouveaux entrants, ou dj en place, de mieux identifier les processus essentiels ncessaires pour fournir le service aux utilisateurs, scuriser nos serveurs et rseaux, documenter nos actions, communiquer, grer notre temps, respecter certaines contraintes juridiques, se former, etc Il permettra sans doute d'aider la structuration du travail dans nos activits, voire amliorer l'organisation des services informatiques des units de recherche et en dfinitive la qualit de service. Bien sur nous intgrons dans les "Bonnes Pratiques" de l'ASR la prise en compte des consquences sur l'environnement de l'utilisation de l'informatique. Mais il n'y aura pas de chapitre consacr ces aspects car le groupe de travail ECOINFO de RESINFO a dj ralis un gros travail sur ce thme et prsente sur son site (http://www.ecoinfo.cnrs.fr) des recommandations concernant entre autres "les problmatiques de la consommation nergtique et de la pollution lies l'utilisation et au dveloppement de l'outil informatique". Ce guide n'est pas un livre de solutions techniques toutes faites, de "recettes" ou de "trucs et astuces". Les FAQ et les HOWTO comblent dj ces besoins techniques depuis longtemps. Il n'est pas non plus un document administratif qui va dicter aux ASR une mthode d'organisation ou leur apprendre travailler. Il s'agit plus modestement de s'initier, d'une manire pragmatique, des mthodologies d'organisation issues la fois du monde industriel et des normes en matire de fourniture de service et de gestion de la scurit, mais aussi de synthses de jurisprudences visant observer un comportement conforme aux rglements, ou encore d'ouvrages sur la gestion du temps, et enfin de pratiques de terrain dj mises en uvre par les ASR de la communaut ducation-recherche. Nous avons recens un ensemble de tches souvent rcurrentes et invariantes dans le mtier d'ASR et les avons encadres par un ensemble de "bonnes pratiques" souvent issues des normes qui permettent d'organiser le travail. Cette organisation contribuant in fine amliorer la qualit du service.
Page 4 / 80
gbp-v1-0.odm
S'adressant l'ensemble de la profession, une des difficults qui a du tre prise en compte est que cette pratique quotidienne est trs varie, la fois cause des contextes forts diffrents d'exercice du mtier, mais aussi par la diversit des tutelles des laboratoires et des missions confies aux collgues (rfrences aux fiches mtiers et emploi types). Chacun ne sera donc pas concern par l'ensemble des sujets abords dans ce guide mais y trouvera des repres "gradus" qu'il pourra adapter sa situation. Cependant, en dpit de ces diffrences de contexte, nous essayerons, quand cela est possible, de dfinir un cadre minimal pour identifier des tches de base incontournables prendre en charge. Les aspects de mise en uvre pratique d'organisation de service et de dmarche qualit, extraits de ITIL et ISO-20000 que nous dcrivons dans ce guide peuvent parfois paratre difficilement reprables ou directement applicables par les ASR. En effet ces notions d'organisation et de qualit de service sont jusqu' prsent peu intgres nos habitudes de travail dans nos units de recherche. Pour ne pas rester trop thorique, nous donnons en fin du guide un ensemble de rfrences techniques vers des logiciels ou de la bibliographie qui peuvent permettre aux ASR de mettre en place tel ou tel processus ncessit dans l'organisation de service. LASR reste de toute faon matre bien sr de ses choix techniques dans son propre contexte.
12/12/09
Page 5 / 80
gbp-v1-0.odm
Nous retiendrons donc comme dfinition d'un processus celle dfinie par la norme ISO9001 de Systme de Management de la Qualit comme un ensemble dactivits corrles ou interactives qui transforme des lments dentre en lment de sortie [ISO-9001]. Il convient donc d'identifier et de grer les diverses activits (et processus) en interaction dans l'exercice quotidien de notre mtier. Cette structuration pourra alors, si besoin, servir de base pour un projet local de dmarche qualit intgr dans la politique du laboratoire.
Les bonnes pratiques lies aux contextes personnel et relationnel des ASR
Un autre point essentiel et rarement abord dans les formations initiales ou continues est la gestion du temps. Fortement soumis aux sollicitations quotidiennes des utilisateurs, l'ASR doit aussi mener en parallle des tches de "fond" qui ncessitent une continuit d'attention et de travail. Ces aspects seront eux aussi spcifiquement abords pour donner quelques pistes de gestion du temps dans ce domaine partir de mthodes releves dans des ouvrages raliss ce sujet et transposes notre mtier. On traitera enfin des aspects du mtier qui requirent de la mthode mais aussi des capacits d'organisation personnelle (gestion du temps, agenda, planning..), des qualits de communication, de comprhension et souvent de diplomatie vis vis de nos utilisateurs. On examinera dans quel contexte d'organisation et d'interface avec les collgues du laboratoire, ces techniques sont mises en uvre. Une partie sera rserve la mise niveau des comptences. Les comptences sont fortement volutives dans notre mtier et ncessitent de s'intresser la veille technologique et la formation professionnelle : comment l'ASR peut (et doit) s'adapter et voluer dans un mtier sujet des avances technologiques importantes. Enfin, paralllement ces avances technologiques, dans le cas de regroupement de laboratoires ou de l'organisation de services l'chelle des campus par exemple, des tendances la mutualisation se font jour ; une bonne organisation du travail et une lisibilit des solutions mises en uvre est un gage de bonnes collaborations diffrents niveaux de la structure. En ce sens ce guide peut fournir une base commune d'identification des processus mtiers. Bonne lecture
12/12/09
Page 6 / 80
gbp-v1-0.odm
Remerciements :
Nous remercions la MRCT ( Missions des Ressources et Comptences Technologiques ) du CNRS [http://www.mrct.cnrs.fr] pour son support logistique, ainsi que F. Berthoud, B. Perrot, E. Drezet, MN Branl, D. Baba, et JM Barbet qui ont bien voulu consacrer un peu de leur temps pour relire ce guide et nous faire part de leurs avis et corrections.
Le Guide des Bonnes Pratiques pour les Administrateurs Systmes et Rseau by gbp@listes.resinfo.cnrs.fr est mis disposition selon les termes de la licence Creative Commons Paternit-Pas d'Utilisation Commerciale-Partage des Conditions Initiales l'Identique 2.0 France.
12/12/09
Page 7 / 80
gbp-v1-0.odm
12/12/09
Page 8 / 80
gbp-v1-0.odm
la gestion des niveaux de service la gestion de la continuit et la disponibilit la gestion de la capacit la budgtisation la gestion de la scurit
Le support de service dcrit les processus ncessaires pour mettre en place et assurer un service efficace et fonctionnel. Il est compos des processus suivants :
la gestion des configurations la gestion des changements la gestion de la mise en production la gestion des incidents la gestion des problmes
A ces processus mtier , sajoutent les processus de la boucle PDCA (voir dfinition paragraphe suivant) destins formaliser lensemble des activits qui concernent lamlioration continue avec en autres :
12/12/09
gbp-v1-0.odm
La mthode PDCA (Plan Do Check Act), encore appele roue de Deming [Deming], comporte 4 tapes qui consistent successivement planifier des actions en rponse des objectifs (Plan), les mettre en uvre (Do), puis contrler l'efficacit des solutions par rapport aux objectifs au moyen d'indicateurs (Check). Avec la quatrime tape (Act), on va chercher corriger et amliorer le systme mis en place ce qui conduit laborer un nouveau projet et initier un nouveau cycle. Entreprendre une dmarche de bonnes pratiques cest en effet mettre du bon sens et dvelopper ses capacits d'initiative au service de lamlioration de la qualit en apprenant identifier, faire, mesurer et analyser de faon progressive afin de travailler plus efficacement et, terme, gagner du temps.
En replaant ce modle d'organisation dans le contexte dune unit de recherche, les auteurs ont pos comme pralable que les processus dcrits doivent tre identifiables et mesurables dans l'ensemble des services informatiques de nos entits CNRS, Universitaires, EPST ou EPIC... sur la base dun plus petit dnominateur commun . Les bases d'organisation ainsi poses ne doivent pas tre restrictives et doivent pouvoir se dcliner en fonction du contexte et du primtre des units de recherches (taille, mono ou multi site, diversit des recherches, collaborations internationales). Ainsi, lapplication de cette dmarche qualit au mtier dASR dans un laboratoire de recherche et sa spcificit nous conduisent proposer un modle d'organisation dcrit plus prcisment au cours des chapitres suivants.
Page 10 / 80
gbp-v1-0.odm
12/12/09
Page 11 / 80
gbp-v1-0.odm
Les processus de pilotage et de support compltent dans cette cartographie les processus mtier reprsents par la fourniture de services, la gestion des dysfonctionnements et le contrle. La norme introduit la notion de client : autorits de tutelle, utilisateurs du service (la direction, les chercheurs) ou partenaires que lon va chercher satisfaire. Cette satisfaction va, par exemple, consister garantir la scurit des rsultats de la recherche, rpondre aux besoins des utilisateurs tout en amliorant lefficacit du service.
Page 12 / 80
gbp-v1-0.odm
Nous avons prcis que lobjectif des recommandations de bonnes pratiques sur le plan organisationnel tait de tendre vers un plus petit dnominateur commun aux services informatiques des units de recherche. Il en va de mme pour le primtre considrer. Dans le cadre de la mise en place des processus dorganisation, il faut se garder de vouloir envisager tout et tout de suite . Pour tre plus prcis, il est ncessaire de respecter des paliers progressifs de maturit dans llaboration de ces bonnes pratiques et dans la dfinition du primtre et de rester pragmatique en fonction des ressources humaines disponibles et de la taille de l'unit. A cet effet, il faut se poser les questions suivantes : quels sont les mtiers de l'unit que le service informatique soutient ? quels sont les besoins exprims par les utilisateurs de l'entit : les clients ? quels sont les champs dactivits dfinis et valids : quel est par exemple le primtre de ladministration rseau au sein du laboratoire ? Le DNS, le serveur de messagerie, le rseau sans fil sont-ils pris en charge directement par le laboratoire ou par une autre structure de type CRI ? quels sont les lments matriels et logiciels que le service informatique gre dans le primtre prcdemment dfini ? et surtout, quels sont les lments du primtre considrer dans un objectif de disponibilit de lactivit vitale du laboratoire ?
Dans sa dfinition minimale, le primtre d'activit prcdemment dfini doit intgrer les lments ncessaires la continuit de service de lunit. Par exemple, les serveurs (supports des donnes de recherche) font partie de ce primtre ainsi que tous les lments ncessaires la continuit de la recherche. On pourra aussi y inclure le matriel actif, les routeurs et commutateurs (sils sont grs par lASR), les sauvegardes, la messagerie... Ce primtre pourra tre largi dans un deuxime temps, lorsque lorganisation de premier niveau sera fonctionnelle. Il faut bien comprendre que cette phase de dfinition du primtre est essentielle. Elle ncessite sans doute une concertation pralable et une prospection de lexistant avec les instances du laboratoire (direction, commission informatique). La rponse ne sera pas dcline lidentique dans toutes les entits, et chaque laboratoire est un cas particulier avec une taille, des moyens et surtout des objectifs diffrents. Ceci sous-entend une dfinition claire des missions du service (si la structure existe) et de celles de l'ASR au sein de l'entit de recherche.
12/12/09
Page 13 / 80
gbp-v1-0.odm
La gestion des configurations se doit de fournir aux autres processus des informations prcises et pertinentes sur les composants du systme dinformation. Ces informations permettent didentifier rapidement le composant touch par un incident. Elles permettent aussi, par exemple, de calculer les cots de la maintenance et des licences logicielles. Dans sa dfinition minimale, la base de connaissances des configurations doit comprendre tous les lments dinfrastructure compris dans le primtre minimal dfini prcdemment. Dans une rflexion plus largie, les objectifs de la gestion des configurations sont les suivants : rendre compte de tous les biens et configurations de la production informatique de lunit. Page 14 / 80
gbp-v1-0.odm
12/12/09
fournir de linformation pertinente sur les configurations pour supporter les autres processus (gestion des niveaux de service : quest-ce que lon doit maintenir, comment ? gestion des changements : quest-ce qui doit tre chang, quelles incidences sur les autres lments ?...). fournir des bases solides pour la gestion des dysfonctionnements. comparer linformation stocke linfrastructure en place et corriger les diffrences.
catgorie (matriel, logiciel, document) numro de srie (matriel, logiciel) numro de version (logiciel, documentation) numro de licence (logiciel) numro dinventaire du matriel fournisseur emplacement (site, local) date achat, date de mise jour, date de fin de garantie. responsable, utilisateur composant principal ou sous composant de (relations entre les composants) statut ou cycle de vie (oprationnel, en cours de changement,...) historique des interventions, ...
La gestion des configurations peut tre opre de faon simple, partir dun outil tableur par exemple ou de manire plus sophistique et automatique avec des outils de gestion de parc. On trouvera dans la partie Fiches de rfrences techniques de ce guide un certain nombre de pointeurs vers des logiciels ou de la documentation qui peuvent servir et tre utiliss par les ASR pour implmenter et mettre en place les diffrents volets requis dans la qualit de service.
12/12/09
Page 15 / 80
gbp-v1-0.odm
Le but de la Gestion des Niveaux de Service est de dfinir, de maintenir et damliorer progressivement la qualit des services rendus par lASR pour assurer les activits de lunit. Il convient donc, au cours de ce processus, de dfinir les niveaux de service fournis par lASR en relation avec les besoins des utilisateurs. Nous pouvons citer par exemple quelques niveaux de service couramment supports par les ASR dans nos entits : la gestion du parc informatique, la maintenance des serveurs, la surveillance rseau, le dploiement dapplication, les sauvegardes, l'archivage, l'assistance de premier niveau aux utilisateurs. Les niveaux de service ainsi dfinis sont rfrencs dans un catalogue de services. On pourra les hirarchiser par type de service :
service mtier: Disponibilit des moyens de calcul, de visualisation graphique, dveloppement informatiques ddis, support la gestion financire et RH... service infrastructures : gestion des serveurs, des sauvegardes, des impressions... services rseaux : gestion de la disponibilit du rseau... service applicatif : messagerie, web... etc.
LASR qui veut mettre en place une gestion de niveau de service doit sassurer au pralable , auprs de ses utilisateurs, des services quils utilisent et comment. Ainsi, le cycle de la qualit de service passe par un engagement entre le service informatique et les utilisateurs du laboratoire identifis dans des structures mtier (la direction, les services administratifs, les quipes de recherche). Pour estimer le niveau de service minimal, il faut se rapprocher du primtre envisag, des infrastructures gres et du seuil critique pour la continuit de lactivit. Dans un deuxime temps, on peut envisager, de graduer en trois catgories principales les niveaux de service apporter :
vital : un service dont linterruption bloque compltement le travail dans le laboratoire. Exemple : le service d'annuaire LDAP si l'authentification de connexion sur les machines passe par une authentification LDAP, les routeurs/commutateurs et le contrleur de domaine si une grande majorit des PC sont sous Windows et ncessite une authentification. important : un service qui peut tre interrompu brivement. Exemple : messagerie, web, sauvegarde, serveurs calcul, serveur anti-virus. normal : un service qui peut tre interrompu quelques jours .Exemple: un PC, une imprimante, un serveur de licence logicielle. Page 16 / 80
12/12/09
gbp-v1-0.odm
la description du service offert, les fonctions mtiers couvertes, les priodes de fonctionnement du service, la disponibilit du support, le plan de secours, le plan de reprise Deux paramtres sont considrer pour dfinir le degr de service proposer : lexistence de besoins diffrents par groupe dutilisateur : par exemple le niveau de service pour les secrtariats d'administration et de scolarit, ne seront sans doute pas les mme que ceux pour un groupe de chercheurs (grer les sorties d'imprimante pour le service scolarit en priode d'inscription semble plus vital que pour un groupe de chercheurs en priode moins drastique) lexistence de contraintes diffrentes lies aux types dinfrastructures.
Plusieurs questions poses au pralable peuvent aider lASR dterminer les niveaux de service :
A-t-on mesur et valid la qualit de service de l'application avant sa mise en production ? Nos utilisateurs reoivent-ils un service conforme nos engagements ? Peut-on mesurer la qualit de service en temps rel ? Dispose-t-on d'un systme d'alerte efficace pour grer les incidents d'exploitation en temps rel ? Dispose-t-on d'un historique du niveau de service ? Peut-on identifier un problme avant qu'il ne rduise la qualit de service ? A-t-on une visibilit et un contrle suffisants du fonctionnement de nos applications mtier critiques ?
12/12/09
Page 17 / 80
gbp-v1-0.odm
identifier, par une mthode danalyse de risques, les menaces et les vulnrabilits sur les actifs de linfrastructure, appliquer dans un deuxime temps des mesures (prventives et de reprises) qui permettent de conserver un niveau de continuit de service.
La gestion de la continuit de service doit donc saccompagner dun plan de continuit de service (actions durgences, sauvegardes des enregistrements vitaux, valuation des dommages, plan de reprise...) Le contenu de ce plan pourra prendre en compte :
la/les procdures de dclenchement de ce plan, les quipements couverts par le plan, la description des procdures de continuit dfinies, les responsabilits et impacts sur les ressources humaines, les impacts sur la scurit (en mode dgrad), les procdures de retour la normale, les procdures de test du plan de continuit
12/12/09
Page 18 / 80
gbp-v1-0.odm
12/12/09
Page 19 / 80
gbp-v1-0.odm
Cette analyse des interventions pourra constituer, par ailleurs, un paramtre de mesure de lactivit du service. Son valuation rgulire permettra de suivre lamlioration de son fonctionnement dans le cadre du modle PDCA inhrent la norme ISO-20000.
12/12/09
Page 20 / 80
gbp-v1-0.odm
12/12/09
Par la suite, lASR pourra affiner la gestion des dysfonctionnements partir des questions suivantes : comment diffrencier les responsabilits entre la gestion des incidents et la gestion des problmes ? comment communiquer auprs des utilisateurs sur les incidents ? comment grer dans certaines situations le conflit dintrt qui peut exister entre la rsolution dun incident et la rsolution du problme associ (le redmarrage immdiat dun serveur peut conduire leffacement de certains fichiers logs qui auraient tre utiles la rsolution du problme) ? comment formaliser les solutions mises en place ?
L encore, toute latitude est laisse lASR pour dfinir les mthodes et outils quil convient dutiliser pour mettre en place cette gestion des dysfonctionnements.
12/12/09
Page 22 / 80
gbp-v1-0.odm
Avec un niveau de maturit supplmentaire, lASR cherchera apporter une vue complte du processus et sassurer que tous les aspects de ces changements ont bien t pris en compte (tests complets, solution de retour arrire). A ce niveau, il conviendra de se poser les questions suivantes : comment intgrer de faon optimale les processus de gestion des changements et de la mise en production avec la gestion des configurations ? comment communiquer sur les changements apports linfrastructure ? Par ailleurs, un bilan sera mis en place partir des points suivants : limplmentation sest-elle bien passe ? dans le cas dune rponse ngative, la solution de retour arrire a t-elle pu tre ralise ? Page 23 / 80
gbp-v1-0.odm
12/12/09
la planification en termes de ressources tait-elle suffisante ? lutilisateur est-il satisfait ? y a-t'il eu un effet de bord non prvu ?
12/12/09
Page 24 / 80
gbp-v1-0.odm
8- La Documentation
Nous avons soulign prcdemment limportance de la formalisation des mthodes de travail au sein dun S.I pour amliorer la qualit dans la fourniture de service informatique. Dans ce cadre, la documentation occupe une place trs importante dans le suivi et la traabilit de nos diffrentes actions telles que la mise en place de nouveaux services, la gestion des configurations, les changements apports au S.I., la rsolution des incidents et problmes, l'aide aux utilisateurs, etc. La ralisation dune documentation et sa mise disposition auprs du personnel et/ou des collgues ASR chargs d'intervenir sur les installations apparaissent donc comme des activits support importantes au sein de notre cartographie du S.I. Il s'agit d'une bonne pratique permettant de retrouver l'information voulue au moment voulu, d'assurer la traabilit des diffrentes interventions que nous sommes amens faire de manire pouvoir fournir si ncessaire des explications dtailles la Direction, aux autorits comptentes sur la structure des installations et des services. Un dpt documentaire centralis, riche et bien organis fera gagner du temps aux ASR. Ces dpts peuvent tre placs par exemple sur un site Web accessible et aisment modifiable par un systme de gestion de contenu (CMS comme Drupal ou Spip), ou encore un Wiki [wiki]. Dans l'ensemble des tches qui jalonnent le mtier d'ASR, il est donc ncessaire de rserver du temps pour rdiger les diverses documentations ncessaires la maintenance et l'volution du S.I. On distinguera deux grandes classes de documentation qu'on peut organiser dans deux dpts distincts : celui destin aux utilisateurs doit tre accessible dans l'intranet de l'unit, alors que le second devrait tre rserv aux ASR de par les informations confidentielles qu'il peut contenir.
un livret d'accueil, tabli par le service informatique, qui peut tre remis aux nouveaux entrants, et qui peut constituer la base d'une description des services offerts aux utilisateurs. Ce livret peut alors pointer vers des documentations plus compltes dtaillant l'utilisation de chaque service mis en place par le Service Informatique. les documentations d'utilisation de chaque service en production (par exemple comment utiliser le VPN du laboratoire, comment paramtrer le logiciel thunderbird pour accder la messagerie, comment se connecter au serveur ddi ssh , comment paramtrer son PC pour accder au rseau Eduroam ...). les rglements (souvent rassembls dans le rglement intrieur de l'entit de recherche) concernant l'utilisation des services, la charte d'utilisation des moyens informatiques, ou encore le document cadre relatif la politique de scurit de l'organisme considr, les accords sur les modalits et niveaux de service offerts par l'quipe Informatique, les usages tolrs, les rgles de conduite, etc. Page 25 / 80
12/12/09
gbp-v1-0.odm
le plan jour du rseau de l'unit, la configuration des commutateurs et des routeurs l'inventaire des ressources informatiques la documentation des configurations systme indiquant comment un service a t paramtr pour l'installer : comment est configur Samba, comment est assure la redondance du serveur de mail au moyen de heartbeat ou autres systmes de disponibilit. les procdures dlicates que l'on fait rarement : par exemple comment reconstruire le raid de la baie de disques? les procdures d'exploitation rcurrentes que l'on veut pouvoir confier d'autres membres de l'quipe informatique : comment crer un compte?, comment changer les bandes de sauvegardes?
Ces informations seront importantes en cas d'incidents ou de dysfonctionnements pour retrouver l'origine possible dans des interventions passes. A cet effet, notons que pour des raisons de disponibilit il serait ncessaire d'assurer une redondance de cette documentation sensible sur support papier de manire y avoir accs en cas de panne systme.
12/12/09
gbp-v1-0.odm
Les dpts documentaires de type wiki peuvent cet effet procurer un certain nombre d'avantages :
leur accs est centralis sur un serveur Web, ce qui permet de ne pas avoir chercher la documentation dans de nombreux fichiers et rpertoires, leur simplicit d'utilisation facilite les mises jour rapides de la documentation, ce type de documentation n'a jamais un caractre dfinitif. Il convient bien un systme en volution permanente et on peut l'enrichir facilement tout moment de dernires remarques ou modifications.
Ces dpts de type Wiki ont cependant aussi des inconvnients relatifs la classification des informations et leur structuration. Il est parfois difficile d'avoir une navigation claire dans un wiki , et la structuration peut tre imparfaite ou mise mal au fil des mises jour de la documentation. Quelle que soit la technologie du support de documentation choisie, il est en tout cas ncessaire de faire attention assurer une diffusion restreinte des informations que l'on porte dans ce type de documentation du fait qu'elles touchent souvent la scurit des installations et de l'infrastructure. Enfin, n'oublions pas qu'une dition papier de ces documentations est ncessaire en cas de problme systmes majeur qui empcherait la consultation.
12/12/09
Page 27 / 80
gbp-v1-0.odm
d'tudier le contexte de l'entit, rappeler son activit principale, les missions qu'elle doit assurer, les services qu'elle doit rendre et les moyens qu'elle utilise pour parvenir ses missions... puis, de recenser et dcrire les diffrents actifs qui composent le S.I. de l'organisme : faire donc un inventaire des matriels, logiciels, rseau, personnel, locaux... et enfin, de recenser et identifier les donnes et fonctions de l'organisme et savoir sur quels actifs et moyens physiques elles reposent. Page 28 / 80
12/12/09
gbp-v1-0.odm
9.2- Analyse des donnes du Systme d'Information de l'unit Analyse des besoins de scurit
La protection du patrimoine de nos entits suppose d'identifier et de localiser au pralable les donnes et de dterminer leur niveau de sensibilit. Les besoins en scurit se dfinissent en termes
12/12/09
Page 29 / 80
gbp-v1-0.odm
de confidentialit , de disponibilit , et d' intgrit , ainsi que par l'valuation de leur degr de sensibilit (public, confidentiel, secret dfense...). Seul cet examen des besoins peut permettre de dterminer le type de protection ncessaire et les solutions techniques adquates mettre en uvre pour scuriser le S.I. La protection de l'outil de travail et du S.I des units implique la mise en uvre des moyens techniques pour assurer :
la disponibilit des moyens informatiques : implique des mesures de redondance, des procdures de reprise sur panne, et un plan de reprise d'activit pour minimiser les temps d'indisponibilit. l'intgrit des donnes : ncessite de mettre en uvre des procdures de sauvegarde des donnes, et surtout de restauration de ces sauvegardes. la confidentialit des donnes des utilisateurs : demande d'avoir mis en place des systmes d'authentification des utilisateurs, ainsi que la mise en place de droits d'accs appropris sur les donnes. des solutions de chiffrement [chiffrement] des supports de donnes et des protocoles de transmission sont galement des outils de nature assurer une intgrit et confidentialit fortes des donnes.
12/12/09
Page 30 / 80
gbp-v1-0.odm
labsence de porte coupe feu dans le couloir peut permettre une propagation plus rapide d'un incendie vers la salle serveur, ou, l'accs non contrl aux moyens informatiques de la salle serveur peut permettre a un individu mal intentionn dy pntrer et de faire d'ventuels mfaits (vols, dgts..)
Seul l'examen de ces menaces et vulnrabilits peut permettre de dterminer les moyens mettre en uvre (techniques, procdures, sensibilisation, formation) pour rduire leur probabilit d'occurrence ou attnuer leur impact. Enfin, aprs avoir identifi et formul les menaces, il est ncessaire de s'attacher identifier les vulnrabilits de notre S.I qui pourraient tre exploites par les menaces qui ont t retenues. Par exemple :
si le vol est l'lment menaant qui a t retenu, la salle serveur possde t-elle un systme de fermeture adquat qui permet de rserver l'accs au personnel exploitant ? si la perte d'alimentation lectrique reprsente une menace, les serveurs sur lesquels sont stockes les donnes de l'unit sont-ils correctement secourus lectriquement ? Avec une autonomie suffisante ? etc
9.3.2- Identification des impacts Aprs avoir identifi les menaces et vulnrabilits du S.I, il faut s'attacher identifier les impacts qu'ils peuvent induire sur les besoins prcdemment exprims en termes de pertes de confidentialit, d'intgrit et de disponibilit. Pour chaque menace et vulnrabilit rpertories, il s'agit d'valuer la probabilit raliste d'une dfaillance de scurit ainsi que les impacts associs. Lensemble des informations ainsi recueillies va permettre destimer les niveaux de risque pour chacun des actifs.
L'ensemble de ces risques devra tre valu, la plupart d'entre eux devant tre couvert par des objectifs de scurit. Ces objectifs de scurit constituent le cahier des charges des mesures de scurit mettre en uvre pour l'environnement tudi. On pourra trouver une liste de mesures de scurit prendre dans la norme ISO-27002 [ISO27002] . Ce document normatif est un Code de bonne pratique pour la gestion de la scurit de l'information et propose toute une srie de mesures mettre en oeuvre pour couvrir les risques rvls par l'analyse.
12/12/09
Page 31 / 80
gbp-v1-0.odm
9.5- Bonnes pratiques dans la mise en uvre de la scurit informatique : exemples de mesures de scurit courante
Voici, ci-aprs quelques pratiques gnrales en matire de scurit informatique qui sont frquemment mises en place dans la scurisation du S.I. de nos units de recherches. 9.5.1- Scurit physique des locaux L'objectif est d'empcher tout accs physique non autoris, tout dommage ou intrusion dans les locaux dans lesquels rsident les informations de lunit. Les locaux contenant des informations sensibles et des moyens de traitement de linformation (salles serveurs, secrtariat de direction ou d'enseignement...) doivent donc tre protgs physiquement des accs incontrls ou malveillants (contrle daccs par cartes ou code). Pour se protger des menaces d'ordre environnementale , il convient galement de mettre en uvre des dispositifs tels que dtection de temprature leve, dispositifs anti-incendies, ou inondations, ... 9.5.2- Scurit du matriel et du cblage On protgera les matriels sensibles (routeurs, serveurs...) des pertes d'alimentation lectrique par un systme de secours lectrique suffisant, ainsi que d'ventuelles surchauffes par des moyens de climatisation adquats et bien dimensionns. Afin de garantir une disponibilit permanente et un bon fonctionnement en cas de panne, le matriel sensible qui ncessite un fonctionnement continu doit tre plac sous contrat de maintenance. Les accs aux cbles rseau transportant des donnes doivent tre protgs contre toute possibilit d'interception de linformation, ou de dommage. Les cbles ou concentrateurs rseau doivent tre hors de porte immdiate et donc protgs dans des gaines ou des armoires de rpartition. 9.5.3- Mise au rebut ou recyclage Les matriels, les informations ou les logiciels ne devraient pas pouvoir tre sortis des units sans autorisation pralable et une procdure formelle. En cas de mise au rebut o de revente de PC, il convient de vrifier que les donnes ont t effaces des disques de manire efficace. Un simple formatage n'tant bien entendu pas suffisant pour effacer les donnes de manire prenne. Des mthodes sont prconises [A3IMP] Les supports qui ne servent plus doivent tre mis au rebut de faon sre, en suivant des procdures formelles. Il convient pour des raisons environnementales de mme que pour des raisons de scurit du S.I. de se dbarrasser des PC et des supports amovibles dans des bennes spcialises, aprs avoir au pralable correctement effac les supports magntiques.
12/12/09
Page 32 / 80
gbp-v1-0.odm
9.5.4- Procdures de scurit informatique lies l'exploitation : 9.5.4.a- Protection contre les codes malveillants : virus et autres malwares La plupart des attaques via le rseau tentent dutiliser les failles du systme dexploitation ou des logiciels d'un PC. Les attaques recherchent les ordinateurs dont les logiciels nont pas t mis jour afin dutiliser la faille non corrige et ainsi parvenir sy introduire. Cest pourquoi il est fondamental que les ASR mettent jour les logiciels des serveurs et des postes clients afin de corriger ces failles. Suite aux avis de scurit qui manent des CERT, l'ASR doit veiller au maintien du niveau de scurit au cours du temps par l'application rcurrente des correctifs logiciels ( patchs ) sur les serveurs en exploitation dans l'unit. Il est galement dans ses fonctions, de veiller ce que chaque poste du rseau local soit quip d'un antivirus rgulirement mis jour. L'ASR doit donc mettre en place des mesures de dtection, de prvention et de recouvrement pour se protger des codes malveillants. 9.5.4.b- Sauvegarde des informations La sauvegarde est un processus essentiel dans tout systme informatique permettant de garantir l'intgrit des donnes, la fiabilit et la continuit de lactivit du laboratoire en cas d'incident. Une politique de sauvegarde (frquence, fentre de sauvegarde..) doit tre labore pour protger les donnes de l'unit. Les informations concernant les sauvegardes effectues doivent tre communiques aux utilisateurs. Une sauvegarde rgulire des donnes des utilisateurs avec des processus de restauration, teste au pralable, doit tre mise en place. Il faut porter attention aux droits d'accs ces sauvegardes. Des copies de ces sauvegardes doivent tre ralises sur des supports externes (robot de bandes, disques externes...) et places dans des locaux (ou coffres) scuriss et distants. Ces copies de sauvegardes devraient tre testes rgulirement conformment la politique de sauvegarde convenue. 9.5.4.c- Journaux systmes les logs Les journaux systmes produits par nos serveurs informatiques permettent la surveillance du contrle daccs nos systmes et rseaux. Ils permettent de faciliter les investigations ultrieures, et sont en outre galement exigs dans le cadre de la collecte de preuve par les autorits juridiques comptentes. Les journaux systmes qui enregistrent les activits des utilisateurs, les exceptions et les vnements lis la scurit doivent tre produits et conservs pendant la priode lgale pour surveiller lexploitation du systme. La politique de gestion des traces du CNRS a fait l'objet d'un document disponible dans l'intranet du CNRS [log cnrs]. Il est important de protger les serveurs qui conservent les informations journalises contre les accs non autoriss ou des actes de malveillances qui pourraient s'opposer au maintien de la preuve. En raison du nombre de serveurs prsents dans nos units, il convient de mettre en uvre des moyens pour faciliter l'exploitation transversale de ces journaux provenant de multiples serveurs. Par exemple la centralisation des journaux systmes sur un serveur unique et ddi, permet de concentrer la scurisation des logs sur un seul point d'accs, de mieux rguler la priode
12/12/09
Page 33 / 80
gbp-v1-0.odm
d'archivage lgal, et surtout de permettre la consultation simultane des journaux de plusieurs serveurs [journaux systmes]. 9.5.4.d- Synchronisation des horloges En cas d'analyse des journaux informatiques, pour retracer la chronologie d'un vnement ou d'une anomalie, il est essentiel que les horloges des diffrents systmes de traitement de linformation (serveurs, routeurs, PC utilisateurs..) de nos entits de recherche soient synchronises laide dune source de temps prcise et pralablement dfinie. 9.5.4.e- Scurit du rseau Echange des informations Contrle d'accs rseau Les rseaux de nos units de recherche doivent tre grs et contrls de manire adquate pour garantir leur protection contre des menaces aussi bien externes qu'internes. On veillera surtout contrler l'accs physique au rseau, segmenter le rseau local en diffrents rseaux virtuels et rendre illisibles notamment les informations en transit, par des moyens de chiffrement des protocoles :
contrle d'accs rseau : il est ncessaire d'empcher les accs non autoriss aux services qui sont disponibles sur le rseau (partages de dossiers, imprimantes, accs Intranet Web, etc). L'ASR doit s'assurer de ne donner accs qu'aux services pour lesquels les utilisateurs ont spcifiquement reu une autorisation. Des mthodes dauthentification appropries doivent donc tre utilises pour contrler laccs des utilisateurs distants. Il peut tre ncessaire d'avoir recours au standard 802.1x. pour contrler l'accs aux ports du rseau interne au moyen d'une identification et authentification La mise en place d'annuaires centraliss tels que Active Directory ou LDAP ou encore un serveur Radius reprsente un lment fondamental pour permettre cette authentification. cloisonnement des rseaux : il est particulirement efficace de sparer les flux rseau issus des diffrents services dinformation de nos entits. La segmentation du rseau de l'unit en rseaux logiques virtuels (VLAN) est une bonne mesure prendre pour sparer les flux rseau de diffrentes entits administratives (le rseau des chercheurs, le rseau des tudiants, le rseau de secrtariats, le rseau des serveurs...). Cette diffrentiation des flux permet par la suite de leur appliquer des mesures de scurit diffrentes. Dans le processus de segmentation du rseau. Il est fortement recommand de regrouper et d'isoler les services devant tre visibles de l'extrieur dans une zone rseau semi ouverte . contrle du routage rseau : le rseau hbergeant le S.I. doit tre protg des tentatives d'accs illicites provenant de l'extrieur comme de l'intrieur de nos entits. Des mesures du routage des rseaux doivent tre mises en uvre afin dviter que des connexions rseau non souhaites ne portent atteinte la politique de contrle daccs des applications mtier de nos entits. Les flux d'entre et de sortie du rseau doivent galement tre protgs par un ensemble de filtres ( ACL ) qui permettent d'interdire des accs rseau vers des ressources ou des services non contrls.
9.5.4.f- Protection des transferts de donnes : chiffrement L'objectif des mesures cryptographiques est de protger la confidentialit, lauthenticit ou lintgrit de linformation par des algorithmes utilisant des cls de chiffrement. Aussi, il faut les utiliser pour protger les flux d'information lis des services sensibles. Par exemple, la messagerie lectronique ou les accs intranet ou tout autre service demandant une identification doivent tre
12/12/09
Page 34 / 80
gbp-v1-0.odm
protgs de manire adquate par des protocoles scuriss reposant sur SSL, comme IMAPS, SSMTP, SASL pour la messagerie ou HTTPS pour le WEB. Une politique dutilisation des mesures cryptographiques en vue de protger linformation devrait tre mise en uvre. Cela revt un caractre obligatoire pour les donnes classifies sensibles . On consultera cet effet le document de recommandations du CNRS en la matire [Chiffrement] . Il est important pour les ASR de connatre le fonctionnement de l'infrastructure de gestion des cls (IGC) et l'utilisation que l'on peut faire des certificats dlivrs (signature et chiffrement des messages lectroniques, ou encore certification de machines serveurs ). Dans le cas du CNRS par exemple, l'ASR se rapprochera des Dlgations Rgionales pour connatre les modalits d'obtention et d'utilisation des certificats lectroniques du CNRS, ainsi que celles pour devenir Autorit d' Enregistrement (AE) afin de fournir des certificats lectroniques aux utilisateurs de son unit. Il est ce propos ncessaire de connatre l' Autorit d' Enregistrement en place sur la Dlgation Rgionale. On trouvera de nombreuses documentations ce sujet sur le site de l'IGC du CNRS, http://igc.services.cnrs.fr . 9.5.4.g- Exigences relatives au contrle d'accs aux systmes d'exploitation Il est du ressort des ASR de matriser par des dispositifs techniques ou procduraux, laccs linformation prsente dans nos units. Il est donc ncessaire de mettre en place une politique de contrle daccs de manire empcher les accs non autoriss aux systmes dexploitation. Une procdure formelle de cration (et de suppression) des comptes informatique des utilisateurs destine accorder et supprimer laccs tous les systmes et services dinformation doit tre dfinie. Aprs cration des comptes, il est ncessaire de grer correctement lattribution et lutilisation des privilges. L'accs aux ressources informatiques ne doit donc tre possible qu'aprs identification et authentification des utilisateurs, et doit tre adapt aux droits et aux profils des utilisateurs (chercheurs, administration, enseignement, etc). L'ASR attribue un identifiant et un mot de passe uniques chaque utilisateur, et met en place le systme dauthentification adquat, pour vrifier lidentit dclare par lutilisateur lors des entres en session. Les utilisateurs doivent pouvoir changer leur mot de passe par un processus formel contrl de manire empcher l'utilisation de mots de passes trop faibles (mots ne figurant pas dans un dictionnaire, et difficiles retrouver laide de programmes). Il est important de faire adhrer les utilisateurs ces mesures qui peuvent paratre contraignantes, mais qui figurent parmi les mesures de base permettant d'assurer la scurit de l'accs au S.I des entits. Dans certains contextes (salles d'enseignements, ou applications sensibles...) les sessions inactives devraient tre dconnectes aprs une priode dinactivit dfinie. 9.5.4.h- Gestion de Parc et des moyens nomades - Cybersurveillance L'administration des postes de travail de nos units est normalement place sous la responsabilit de l'ASR. Selon la rglementation en vigueur actuellement, il a donc toute latitude pour mettre en place des outils de gestion et de surveillance du parc informatique. Ainsi, une Page 35 / 80
12/12/09
gbp-v1-0.odm
vrification du niveau de scurit des postes nomades (prsence d'un antivirus jour par exemple) doit tre mise en place avant l'accs au rseau local. Les postes de travail et moyens nomades doivent par ailleurs tre protgs par des mots de passe robustes. En cas de tlmaintenance sur un PC avec des outils de prise en main distance tel que VNC, les ASR doivent avertir le propritaire du poste et respecter la lgislation. 9.5.4.i- Mesure de l'utilisation des ressources : outils de mtrologie Lutilisation des ressources systmes ou du rseau doit tre surveille et ajuste au plus prs. La scurit du S.I implique une surveillance de l'utilisation du rseau et des serveurs tout en respectant la rglementation en vigueur (cf bonnes pratiques lies aux aspects juridiques 10). Cela consiste notamment respecter le principe de proportionnalit qui est d'adapter les moyens de surveillance aux enjeux de scurit, et d'avoir pour principe d'informer les utilisateurs et les partenaires sur les moyens de surveillance mis en place. Dans le respect de ce cadre l'ASR a toute latitude pour mettre en place divers outils de mtrologie rseau et de journalisation des accs aux serveurs.
12/12/09
Page 36 / 80
gbp-v1-0.odm
10- Bonnes pratiques lies aux aspects juridiques du mtier d'ASR respect de la rglementation en vigueur
Le travail des ASR est dsormais en prise avec de nombreuses obligations et responsabilits de nature juridique. Dans le cadre de la protection du S.I, la responsabilit administrative et pnale de la hirarchie et des ASR peut tre recherche. Il conviendra donc de connatre les principaux rglements en matire de cyber protection (LCEN, informatique et libert) relatifs la protection de la proprit intellectuelle, des donnes relevant de la vie prive (fichier nominatifs), et de suivre attentivement l'volution des jurisprudences. Quelles sont les bonnes pratiques dans le contexte des responsabilits juridiques ? Les jurisprudences appliques ces dernires annes ont permis de dessiner un ensemble de comportements et de bonnes pratiques, permettant l'ASR d'avoir une attitude plus claire dans un contexte de faute potentielle dans le S.I. Une rgle fondamentale qui apparat dans le mtier d'ASR depuis la LCEN, est le triptyque information - contrle action . Dans un contexte de faute, un magistrat jugera si on a : inform les utilisateurs, si on a contrl les ressources mises dfaut, et si on a agi dans des dlais acceptables pour rparer une faute ou un problme.
Page 37 / 80
gbp-v1-0.odm
Par consquent, il convient de tracer et documenter nos actions de diverses manires. On retrouve l la ncessit issue des processus de gestion des interventions et de gestion des changements cits dans la premire partie de ce document. Il faut avoir les moyens de donner des preuves de l'information et de la communication qu'on a fourni. Cela peut prendre diffrentes formes comme par exemple, faire un rapport annuel d'activits, ou tenir la rdaction d' une rubrique informations notamment sur la scurit sur le site Web du laboratoire. Une rubrique scurit sur un site web peut permettre de retranscrire rgulirement les actions d'information et de contrles engages. Les utilisateurs de l'unit doivent bien sr tre informs de l'existence de cette rubrique et de sa mise jour (Cf. Documentation). Il est prfrable de garder des preuves lectroniques et au besoin crites de diffusion de l'information. Ces informations seront donc faites par crit (mail, article web, notes de service..), et pourront comporter certains mots-cls comme CONSEIL , MISE EN GARDE , ALERTE . Ces informations peuvent porter par exemple sur certains bulletins d'alerte du CERT ou CERTA qui concernent l'unit, les migrations prvues ou les interruptions de services critiques, ou encore des coupures du rseau avec l'extrieur. On peut y mettre galement des statistiques de virus/ spams, dbits rseau, infections PC , un bilan d'activit annuel du service, etc. 10.1.3- Contrler l'activit des systmes et du rseau Le contrle vise la mise en place d'outils de surveillance pour vrifier le bon fonctionnement loyal et proportionn des services offerts. Depuis la LCEN, le droit des ASR tracer les activits des services et leur utilisation dans le S.I est total et complet : diagnostic, analyse, contrle, maintenance prventive, identification des comportements illicites. Les bonnes pratiques consisteront par exemple dtecter les fonctionnements anormaux par la mise en place d'outils pour :
centraliser et paramtrer la conservation des journaux systmes sur la dure maximale lgale pour les services demands, obtenir des statistiques sur l'utilisation des services, le dbit, les sites consults, la consultation du site du laboratoire, la place occupe sur les disques, , avoir des remontes d'information en cas de problme avec des sondes d'un systme de monitoring (Nagios, cacti, Zabbix, etc) par exemple, contrler le contenu du site web. Dans la majorit des cas, les laboratoires ditent et hbergent eux-mmes leur site web. L'hbergeur n'a pas d'obligation gnrale de surveillance, mais il a une obligation spciale de surveillance (point de la ngligence fautive). Les ASR sont en effet tenus au secret professionnel, mais ont l'obligation de dnoncer des actes dlictueux comme les contenus illicites et notamment la pdopornographie ou la diffamation. En tant que directeur de la publication, le directeur du laboratoire a une plus grande responsabilit puisqu'il en approuve le contenu.
L'ASR est tenu, comme tout agent de l'tat, de dnoncer les contenus illicites dont il constate la prsence (ceux qui font l'objet de crimes ou de dlits). Il ne faut cependant pas effectuer de destruction de preuve. Il sera conseill de faire une copie d'huissier des fichiers incrimins (sur un support comme une CD-ROM, etc) et de les placer en lieu sr pour le cas o une enqute ultrieure serait mene.
12/12/09
Page 38 / 80
gbp-v1-0.odm
Une attention particulire sera observer pour tout ce qui touche aux informations personnelles (contexte de la vie prive rsiduelle sur le lieu de travail), tant en terme de diffusion du contenu que de diffusion d'information concernant un contenu suspect. Il est rappeler que la remise de documents ou d'informations touchant aux donnes personnelles ne peuvent tre remises qu' un officier de police judiciaire dment habilit (en cas de doute, ne pas hsiter contacter le HFD directement ou via la chane organique). 10.1.4- Agir En cas de crise ou d'urgence, l'ASR a donc le droit d'agir et ragir rapidement pour assurer la continuit du service et dispose du droit de refuser des demandes qui mettraient le S.I. en danger. En contre partie, il est tenu d'assurer la scurit systme du site (passer les correctifs de scurit logiciels). Si un correctif de scurit n'a pas t pass, et qu'il y a eu un incident grave, pour ne pas tre responsable, il faudra prouver par exemple qu'il tait en vacances, et qu'il n'y avait pas de redondance humaine prvue. Pour maintenir la continuit des services communs, pour scuriser (excuter les patchs,...), en cas d'urgence ou de crise,les principes gnraux et fondamentaux du mtier d'ASR retenir sont :
amliorer la politique de l'crit dans nos units, mettre en place le triptyque Information/Contrle/Action, amliorer la traabilit.
nom, prnoms, domicile et numro de tlphone,s'il s'agit de personnes physiques, dnomination, raison sociale et sige social, numro de tlphone,s'il s'agit de personnes morales, nom du directeur ou du codirecteur de la publication et, le cas chant, celui du responsable de la rdaction, nom, la dnomination ou la raison sociale et l'adresse et le numro de tlphone de lhbergeur.
Une notice lgale est donc dsormais indispensable sur les sites Webs de nos units. Celle-ci doit indiquer :
l'exploitant du site : c'est une entit, gnralement le laboratoire lui-mme, l'hbergeur : c'est l'entit qui a le contrle logique sur le serveur : c'est soit le laboratoire s'il a le contrle total sur le serveur, soit l'entit qui gre ce serveur (sur lequel le laboratoire a un point d'accs pour mettre jour son site web), le Directeur de la Publication : c'est une personne physique, gnralement le Directeur du laboratoire (ou le directeur Gnral du CNRS).
12/12/09
Page 39 / 80
gbp-v1-0.odm
Dans ce contexte, il est bon de prciser que l'ASR a pour mission d'assurer l'administration systme des serveurs, mais ne doit pas tre l'diteur ou le responsable ditorial du site Web de l'tablissement. Si l'ASR est inform d'un contenu illicite, il doit en informer son directeur par crit et prendre une dcision rapide pour sauvegarder les preuves puis ensuite retirer ce contenu. La Loi dit de le supprimer immdiatement . Dans les jurisprudences, le dlai est gnralement de 48h.
12/12/09
Page 40 / 80
gbp-v1-0.odm
12/12/09
Page 41 / 80
gbp-v1-0.odm
la mthode Getting Thing Done , de David Allen, plus connue sous l'acronyme GTD [GTD], le livre de Thomas Limoncelli Admin'sys, grer son temps [AdminSys]. le livre de Franois Delivr Question de temps [QuestionTemps]
12/12/09
gbp-v1-0.odm
par rapport celles du type j'ai envie de , cela se traduira par une dmotivation de l'ASR. C'est dans notre j'ai envie de que se situe la plus grande nergie, la plus grande dtermination agir. Enfin, nos difficults pour grer notre temps viennent aussi du fait d'tre victime des ruses de notre mental dont nous n'avons pas ncessairement conscience tels que tre systmatiquement tent de sous-estimer le dlai d'une tche, se disperser, la peur des responsabilits, l'hsitation perptuelle. Franois Delivr les appellent les diablotins dans son livre. Il en recense une dizaine. En prendre conscience, l aussi peut nous aider amliorer la gestion de notre temps [ResumeQuestionTemps].
12/12/09
Page 43 / 80
gbp-v1-0.odm
l'information disque nxx de la baie scsi est tomb en panne le ../../.. Remplac le ../../.. aprs appel au fournisseur, sous garantie ... est stocker dans la fiche d'exploitation du matriel. remplacer le contrleur de domaine Samba est un projet noter dans la liste des projets. se remmorer l'actuelle configuration du serveur samba d'aprs la fiche d'exploitation ou les fiches d'intervention est une PCAF de mme que lire les nouveauts entre les 2 versions et rflchir leur impact par rapport au paramtrage du service effectif dans mon laboratoire .
Thomas Limoncelli comme David Allen propose le dcoupage en sous-projets plus simples et courts. La mthode GTD est plus concrte dans le sens ou elle prconise de dfinir une premire action (appele PCAF) concrte et d'une dure assez courte. Pour dfinir un moment donn l'action effectuer, plusieurs modles sont proposs. Le premier modle repose sur quatre critres : le contexte, la disponibilit, le niveau d'nergie et la priorit. Ce dernier critre fait appel son jugement du moment comme par exemple le facteur d'impact de l'action. En effet, connatre les attentes des utilisateurs et faire passer un projet riche en consquences (pour le laboratoire, pour l'image de marque...) avant les projets faciles mais aux consquences et retombes moindres ou inutiles est un critre important. Le classement suivant en 4 catgories, de A D, peut servir attribuer une priorit. On privilgiera videmment la catgorie A : A: une action facile (effort faible) avec un impact important et positif B: une action difficile (gros effort) avec un impact important et positif C: une action facile avec un impact superficiel D: une action difficile et un impact superficiel Un exemple peut tre la demande de mise en place d'un site web pour une confrence organise dans son laboratoire. Mme si cette demande est la dernire dans l'ordre chronologique, elle peut tre classe prioritaire grce un impact positif et immdiat vis vis des utilisateurs et de l'extrieur. Le second modle repose sur la notion d'chelle, une faon de prendre du recul. Il s'agit de passer d'un tat o on est au plus prs des actions en cours celui qui permet d'obtenir une vue d'ensemble correspondant son plan de vie [GTD] . Cela permet d'excuter une action de son plan de vie qui ne fait pas partie des actions quotidiennes. Par exemple, prenons le cas d'un ASR qui souhaite approfondir ses connaissances sur le systme Linux, qu'il connait trs peu tant plutt comptent sur le systme Windows. Ce souhait fait partie de son plan de vie (mutation, ). Si une formation sur Linux se prsente, il choisira d'y participer mme si c'est pendant une priode o de nombreuses tches sur le parc des machines Windows l'attendent.
12/12/09
Page 44 / 80
gbp-v1-0.odm
avoir un environnement rang favorisant la concentration, et diminuant les distractions (ranger l'cran, pas trop de fentres ouvertes et d'actions simultanes en mme temps) connatre son rythme biologique et savoir quelle heure on est plus dispos pour des activits ncessitant de la concentration mettre en place un bouclier anti-interruptions , avec un systme de plages horaires spcifiquement rserves aux demandes des utilisateurs. En dehors de celles-ci, l'ASR peut alors s'isoler, quitter son bureau et avancer sur ses projets plus sereinement. face aux multiples demandes des utilisateurs, revenir au schma du flux de travail cit dans la mthode GTD : dterminer la premire action faire (PCAF), l'excuter, la dlguer ou la consigner puis recommencer.
planifier systmatiquement des rencontres dans son service pour faire le point sur l'tat d'avancement de projets (tous les lundis, le planning hebdomadaire du service informatique, tous les premiers lundis de chaque mois, les runions avec des collgues, etc). On peut largir cette habitude de programmer des runions avec son suprieur, voire les utilisateurs (voir le paragraphe suivant sur la communication) mettre en place des scripts pour automatiser les sauvegardes, les vrifications sur la place disponible des serveurs, des services en arrt, etc. automatiser l'envoi de mails pour se rappeler les tches rcurrentes mais manuelles : compacter une base de donnes, diter le listing mensuel des machines infectes,etc. se dplacer systmatiquement avec son organiseur, son stylo, ses cls, ses cartes d'accs est aussi une bonne habitude.
11.6- Conclusion
L'ide qui nous incite penser qu'appliquer une mthode de gestion de temps apporte un travail supplmentaire sans rel bnfice est trs rpandue. Cela signifie que la phase Page 45 / 80
12/12/09
gbp-v1-0.odm
motivation/intention n'a pas t traite en profondeur. En fait, appliquer une telle mthode (qui revient planifier un projet) ne diminue pas le nombre de tches que nous avons : ce n'est pas une recette miracle ! Au contraire, elle met en relief, parfois de faon douloureuse, les dysfonctionnements qu'ils proviennent de nous ou non, et va inciter dfinir bien clairement les priorits. Pour maintenir le cap, on doit prendre l'habitude de librer son esprit, de dterminer les actions ncessaires et les rsultats voulus aussitt qu'une situation se prsente, revoir et mettre jour l'inventaire complet des affaires en suspens. Ne soyons pas tonns si ces habitudes ne deviennent pas automatiques du jour au lendemain. Soyons patients et apprivoisons-les en douceur !
12/12/09
Page 46 / 80
gbp-v1-0.odm
il a un devoir d'informer, de former et de sensibiliser la Direction et les utilisateurs pour tout ce qui concerne l'utilisation du systme informatique, son volution, ses changements et sa scurit. il a galement une obligation de conseil, de recommandation, d'alerte et de mise en garde pour toutes les pratiques ou vnements qui pourraient mettre en cause la scurit ou le fonctionnement normal du S.I. enfin il a un rle dans la relation au quotidien avec les utilisateurs, travers la prise en compte des multiples demandes d'assistance de leur part.
D'une manire plus gnrale, un des rles de l'ASR, est souvent de reformuler en termes de "solutions techniques" ce qu'expriment les utilisateurs (les clients) en termes de besoins fonctionnels ou scientifiques afin de les concrtiser par des volutions, des investissements ou des modes de fonctionnement. La communication (dont l'coute) est donc un lment fondamental dans nos relations avec les utilisateurs/clients, qui va viser d'une part, comprendre et prendre en compte les besoins et problmes des utilisateurs de l'unit et d'autre part conseiller la Direction dans son rle de responsable de la scurit du S.I. Enfin une bonne communication permet d'assurer la bonne lisibilit des missions du service au sein de l'entit. Il s'agira donc de mettre en uvre les bonnes pratiques , les bonnes structures organisationnelles pour assurer ces missions de communication rcurrentes l'intrieur de l'unit comme vers l'extrieur.
12/12/09
Page 47 / 80
gbp-v1-0.odm
Une commission informatique d'utilisateurs regroupant les principales fonctions de l'entit (chercheurs, enseignants, administratifs..) est une instance qui peut se prter parfaitement l'tablissement et la validation d'une politique gnrale d'un service informatique d'une unit. Ce type d'instance a plusieurs avantages, parmi lesquels :
de prsenter et valider le compte rendu d'activits annuel tabli par le service informatique auprs des reprsentants de l'unit, d'examiner et valider le budget demand par le service informatique, de dfinir les priorits des investissements informatiques que l'ASR propose, de dfinir les besoins en continuit de services (dures acceptables de perte de services ou dures acceptables de service dgrad), de dfinir ce qui est critique dans le fonctionnement du laboratoire afin d'orienter, tablir et justifier aux yeux de chacun les priorits d'intervention des ASR, d'avoir un retour sur la qualit de service du service informatique et sur l'indice de satisfaction des utilisateurs.
Le statut de cette commission est dfinir clairement ds sa constitution. Les actions mises en uvre par l'ASR sont avant tout prises en accord avec sa direction. Les avis de cette commission peuvent tre consults et pris en compte autant que possible dans ce contexte.
12.1.1.b- Livret d'accueil informatique de l'unit
La rdaction d'un livret/guide d'accueil dcrivant les services offerts, et les procdures pour y accder pour les nouveaux entrants concourent une bonne lisibilit des services mis en place par le service informatique. Il permet galement de se reposer sur un document qui assurera de gagner beaucoup de temps en n'ayant pas rpter les mmes choses chaque personne, tout en affichant un grand professionnalisme. Ce livret d'accueil peut bien entendu tre disponible sous sa forme lectronique sur le site web de l'unit. On peut par exemple indiquer dans ce livret d'accueil les principaux services offerts ainsi que les modalits et procdures pour y avoir accs :
l'architecture en place, ses fonctions et ses limites, les demandes d'assistance informatique, l'accs et l'usage de la messagerie, la configuration de son logiciel de messagerie avec les adresses des serveurs en fonction, le changement de son mot de passe, l'change de fichiers volumineux avec un correspondant extrieur,
12/12/09
Page 48 / 80
gbp-v1-0.odm
l'espace de stockage en rseau, comment y accder, les quotas disques disponibles par individu, l'accs au service de rseau sans fil, Eduroam, la politique de sauvegardes des donnes, l'accs aux moyens de calcul disponibles dans l'unit, la salle libre accs, quels sont les logiciels disponibles et les horaires d'ouverture, le service VPN pour accder de manire scurise ses donnes depuis l'extrieur du laboratoire, etc.
Le compte rendu d'activits du service informatique est un document de communication. C'est l'lment qui affiche, archive et tmoigne des grandes tches ralises par le service tout au long de l'anne devant les utilisateurs et la Direction. Il est aussi important que ces activits fassent partie du rapport rdig lors des rapports d'valuation des autorits de tutelle. Pour exemple, on pourra y mettre :
une synthse du nombre et de la diversit des tches d'assistances ralises auprs des utilisateurs, et qui ont t inventories par le processus de gestion des interventions. Cela peut par exemple se traduire effectivement dans nos units par un systme de suivi des demandes (HelpDesk). les extensions ou modifications du rseau, du cblage, du dploiement de wifi, les changements et volutions dans les systmes d'exploitation, les installations de nouveaux services, l'tat des lieux des serveurs et des systmes de stockage : quantitatifs (nombres de machines, PC, portables, augmentation par rapport l'an dernier et nombre de services) et qualitatifs (libell des services implments), les problmes de scurit qui ont eu lieu et comment y remdier, les formations effectues, les tudes et projets en cours et finaliss, etc.
En dfinitive, il permet de rsumer et de prsenter au grand jour l'ensemble des activits et des tches ralises amliorant, de ce fait la communication et la lisibilit du service informatique.
Page 49 / 80
gbp-v1-0.odm
Quelles sont les bonnes pratiques dans ce domaine ? Il s'agit de faire connatre aux utilisateurs les moyens et les procdures mis en place pour satisfaire leurs demandes, comme par exemple : un Systme de Suivi de Demande , un site Web intranet propre au service informatique.
Il est ncessaire de bien expliquer quelles sont les procdures (o, qui et comment) suivre en cas de problme et vrifier rgulirement la qualit de la communication (commission d'utilisateurs), comme par exemple un mode d'emploi clair pour trouver la bonne documentation en ligne sur le site Web. On privilgiera les outils et procdures de communication gnraux qui serviront former le plus grand nombre (1 vers n), plutt que de s'adresser n fois une seule personne (1 vers 1). La communication avec les utilisateurs pourra seffectuer au moyen de formations internes et par la mise disposition dinformations au moyen du systme documentaire mis en place.
Cet archivage des demandes des utilisateurs dans un HelpDesk [HelpDesk] permet l'ASR de se donner la possibilit de planifier et ordonnancer son excution, plutt que d'tre ballott par les interruptions incessantes. Un HelpDesk permet galement de dlguer une requte d'autres ASR. L'utilisateur voit par qui sa demande est prise en compte et peut suivre l'tat d'avancement de sa ralisation.
les projets en cours : un service wifi qui sera install telle date,... les volutions prvues ou en cours sur tel ou tel systme : changement du serveur web , prvu telle date,... les nouveauts qui ont t installes : un agenda collaboratif va tre install,... les changements de configuration de certains services : en raison de nombreux problmes de scurit les connexions ssh se feront dsormais sur le port 2324,l'organisation de formations internes regroupant plusieurs utilisateurs sur, par exemple, l'utilisation de SPIP , ou le paramtrage de thunderbird ,... Page 50 / 80
12/12/09
gbp-v1-0.odm
de mettre en place des runions de service rgulires. Ces runions dont la frquence est dterminer (quotidiennes ?, hebdomadaires ?...) permettent de passer en revue les actions et les problmes en cours, de savoir qui s'occupe de quel projet pour quelle chance, de savoir quelles sont les priorits et les objectifs... Ces runions peuvent aussi permettre d'laborer un planning qui servira de bouclier anti-interruption en assignant telle ou telle personne temps plein sur une action pendant que les autres prennent en charge les demandes et problmes quotidiens des utilisateurs. mettre en place et tenir jour un systme documentaire (cf chapitre 8) permettant d'changer toute la connaissance au sein du service en l'absence des autres membres.
mettre en place une coordination avec les autres tutelles. En cas d'incidents de scurit, notamment il convient d'informer et de se concerter avec les autres tutelles. intgrer des groupes de travail avec les tutelles qui hbergent des units de recherche, notamment pour des projets communs de dploiements et de scurisation du S.I. prendre en compte et respecter les rgles de scurit dun partenaire lors de la connexion son S.I. par des moyens nomades du CNRS.
Les circuits de communication de l'ASR sont galement tourns vers l'extrieur. Il collabore troitement avec diverses instances extrieures et avec les autorits comptentes relevant de sa
12/12/09
Page 51 / 80
gbp-v1-0.odm
tutelle ou de son environnement professionnel. On aura soin d'avoir rgulirement des changes ou des runions avec par exemple : la Direction du S.I (le Directeur de l'unit), le CRI de l'universit ou du site hbergeur, la chane fonctionnelle de scurit mise en place par la PSSI de l'tablissement, le RSSI local l'Universit, s'il existe ou son quivalent le plus "proche", la CNIL ou toute autre autorit judiciaire qui pourrait requrir l'information, les rseaux mtiers locaux.
12/12/09
Page 52 / 80
gbp-v1-0.odm
De quels moyens dispose-t-il pour cela ? Dans quel contexte doit-il voluer pour rester au niveau des exigences requises par sa fonction ?
C'est ce que nous proposons de cerner dans ce chapitre en prsentant diffrents aspects de la mise--niveau des comptences. Nous allons proposer quatre voies complmentaires permettant l'ASR de ne pas tre dpass par les volutions technologiques :
12/12/09
gbp-v1-0.odm
13.2- L'auto-formation
Installer un nouveau systme sur une machine de test, valider le paramtrage d'une configuration, ... faire soi-mme exprimentalement sur le tas sont des manires de progresser et d'acqurir des connaissances et un savoir-faire nouveau. Toutefois, une bonne pratique va consister formaliser ces nouvelles connaissances : noter et conserver la trace rutilisable de ses exprimentations (sous forme de notes crites ou de documentations). Trouver des conseils auprs de collgues dont on sait qu'ils ont une exprience vcue dans un domaine, qu'ils ont eu choisir une solution parmi l'offre du march et transmettre en retour ses solutions concrtes permet de capitaliser un savoir-faire collectif. Il s'agit ici non seulement de ne pas perdre de temps en ritrant les cueils que d'autres ont dj prouvs, mais aussi de permettre d'aller plus loin et de partager cette exprience. C'est de la valeur ajoute l'exprience des autres. Avoir disposition un PC de test, voire une machine virtuelle, pour tester valuer un nouveau systme ou un nouveau service est une manire d'apprendre les nouvelles fonctionnalits et d'acqurir un savoir-faire mais cela ncessite souvent de s'appuyer sur des expriences de collgues ou d'homologues pour valider sa dmarche. S'auto-former sur internet, avec des articles ou des ouvrages de librairies est aussi, bien sr, une source d'acquisition et d'approfondissement de comptences importantes.
Nos tutelles, conscientes de la ncessit de maintenir les comptences tant techniques que relationnelles voire organisationnelles, disposent de structures de formation finances annuellement :
chaque dlgation rgionale CNRS dispose d'un Bureau de Formation Permanente anim par un ou plusieurs conseillers qui coordonnent des correspondants formation dans les units, chaque universit a aussi un service de formation avec un correspondant dans chaque dpartement d'enseignement ou de recherche, il en est de mme dans d'autres EPST ou structures de recherche.
L'interlocuteur sera soit le correspondant formation de son unit, s'il existe, soit le correspondant formation de sa dlgation rgionale, de son universit ou de sa tutelle. Pour le CNRS par exemple, plusieurs types de formations sont accessibles :
12/12/09
Page 54 / 80
gbp-v1-0.odm
les formations ralises l'initiative des rgions, dont le catalogue et les annonces sont en gnral accessibles sur la site de la Dlgation, les formations organises l'initiative d'autres units via leur Plan de Formation d'Unit (PFU) et annonces via le Bureau de Formation, les formations nationales dont les Actions Nationales Gestion Dconcentres (ANGD).
Il est absolument ncessaire l'ASR de prvoir et de dfinir des objectifs de formation chaque anne. Il devrait tre aid dans cette tche par son correspondant formation pour la formulation de la demande. Le Plan de Formation de son unit est le cadre adapt ces demandes mises par ses membres. Le personnel CNRS a aussi la possibilit de demander un Plan Individuel de Formation (PIF) afin d'entreprendre sur une priode plus longue une formation qualifiante ; il pourra alors bnficier d'une organisation de son temps de travail en accord avec sa Direction lui permettant de suivre ce cursus. laborer un plan de formation personnel ncessite de connatre ses manques par rapport l'tat de l'art et des avances technologiques dans le domaine des systmes et rseau, autant que par rapport ses besoins propres. Il peut inclure notamment des formations personnelles (apprentissage de langue trangre, apprendre grer son temps, apprendre communiquer en public, etc). On pourra aussi se rfrer aux fiches d'emploi-type dans l'observatoire des mtiers pour apprcier ce qui est demand et complter ce qu'on doit acqurir pour tre plus efficace et faire voluer sa mission en faisant des propositions son unit.
s'abonner des revues techniques spcialises ou gnralistes du domaine, s'abonner des lettres de news techniques, assister des sminaires proposs par les constructeurs ou les fournisseurs, participer des congrs techniques nationaux (par exemple [JRES]) ou des salons techniques, des journes thmatiques, consulter des sites spcialiss sur internet.
12/12/09
Page 55 / 80
gbp-v1-0.odm
Les services rendus par les ASR ont souvent beaucoup de points communs d'une unit l'autre, mme si les utilisateurs ont acquis des mthodes ou des outils parfois trs diffrents. Il est donc utile d'avoir une liste de contacts, de collgues avec leurs comptences/expriences particulires. Plusieurs moyens sont disponibles pour enrichir de telles listes : c'est un des buts des rseaux rgionaux d'ASR que de partager les connaissances, didentifier les comptences autour de soi et plus loin si lon ne trouve pas de rponse proximit. De nombreuses listes thmatiques de messagerie ont t cres au niveau national l'initiative de l'UREC, du CRU, mais aussi dans les Universits, les campus, etc. Il importe de connatre les listes techniques nationales ou rgionales qui permettront d'acqurir de l'information en temps rel. Des serveurs de listes disponibles dans nos communauts peuvent tre un bon point de dpart : serveur de listes du CRU [CRU], serveurs de liste du CNRS [CNRSlist],
Les communications entre collgues ASR permettent le partage des connaissances, la capitalisation globale des savoir-faire. L'un aura expriment une solution et pourra prciser les difficults et les risques pour ceux qui comptent la mettre en place. Trois outils sont disponibles :
les listes de diffusion : envoyer/recevoir des mails une communaut thmatique, les rseaux de mtiers : rencontres, exposs, organisation de formations, les colloques spcialiss : des journes thmatiques organises tout au long de l'anne.
On pourra se rfrer aux rseaux de mtier de la Mission Ressources et Comptences Technologiques (MRCT) du CNRS qui regroupe les rseaux de mtiers.
Ainsi qu'au site de l'UREC [UREC] pour le CNRS et au CRU [CRU] pour les Universits. En rsum il peut tre utile de tenir jour un agenda qui recense les diffrentes ressources disponibles dans son environnement selon le modle ci-dessous : Type de formation auto-formation formation continue Type d'information liste de collgues avec comptences liste de sites internet interlocuteur local interlocuteur dlgation interlocuteur universit veille technologique plan de formation revues lettres de news liste de sites sminaires
12/12/09
Page 56 / 80
gbp-v1-0.odm
relations de mtier
congrs listes de diffusion rseau rgional journes thmatiques sites de fiches techniques
12/12/09
Page 57 / 80
gbp-v1-0.odm
CONCLUSION
L'ambition de ce guide est de fournir aux ASR quelques principes de base dans l'organisation de leur travail quotidien et de formaliser un ensemble de comportements qui font consensus dans la communaut des ASR. Comme M. Jourdain faisait de la prose sans le savoir, chacun de nous n'a, bien sr, pas attendu la sortie des normes ISO, sur lesquelles nous nous sommes appuyes dans ce guide, pour mettre en place certains principes d'organisation de service et des outils afin d'assurer le bon fonctionnement et la scurit de nos infrastructures informatiques. Cependant nous avons utilis les normes ISO-20000 et ISO-27001, dans l'optique gnrale de donner un cadre rfrentiel nos pratiques de terrain, ce qui permet de rendre compte de la meilleure faon, de nos activits et qui contribue, terme, amliorer la qualit du service. Attention : comme il a t dit dans l'introduction et rappel plusieurs endroits dans divers chapitres, ce guide n'a pas la prtention d'apporter des solutions "magiques" nos difficults de travail mais plutt de donner des pistes pour mieux s'organiser. Nous pouvons nanmoins suggrer une approche pragmatique qui consiste, non pas chercher systmatiquement tout remettre plat d'emble dans nos mthodes de travail, mais tenter, par exemple quand un nouveau projet ou service est mettre en place, d'appliquer la mthodologie dcrite pour le concevoir et passer la phase oprationnelle. L'important est de prendre en compte le contexte spcifique de notre environnement avec les moyens dont nous disposons et d'y adapter de manire gradue ces "Bonnes Pratiques". En rappel et en conclusion, vous trouverez ci-aprs une synthse des points importants de ce guide.
Tout ce qui concerne la fourniture de service, dans le domaine de l'informatique et des rseaux et plus largement du S.I est la proccupation principale du mtier d'ASR. Mettre en uvre
12/12/09
Page 58 / 80
gbp-v1-0.odm
une continuit de services et les conditions de la prservation des donnes produites par les utilisateurs ncessitent une bonne organisation du travail. Outre la possibilit de pouvoir amliorer d'une manire continue le service rendu ce guide apporte des cls de base pour mieux structurer le service fourni et, rappelons-le, le faire connatre au mieux par nos Directions, nos tutelles et nos utilisateurs/clients.
La scurit du S.I
Parmi les points importants prendre en compte dans les pratiques des ASR figure la scurit de nos infrastructures informatiques et du S.I. Cette scurisation fait partie de nos proccupations quotidiennes car elle est au cur du fonctionnement des structures de recherche et d'enseignement. Sa mise en uvre, malgr des contraintes rglementaires diffrentes d'une tutelle l'autre, peut tre ralise grce des bonnes pratiques communes que nous avons replaces dans le cadre normatif ISO-27001. Il nous donc a paru indispensable de dgager les principales procdures indispensables la scurisation de nos infrastructures. D'autre part, notre mtier, vu sa place nvralgique dans la gestion des flux d'informations, touche largement de nombreuses donnes caractre confidentiel et nous avons insist sur les pratiques de base pour prendre connaissance et suivre les nombreuses volutions du contexte juridique dans lequel nous voluons et qui touchent le mtier d'ASR.
Un autre point important retenir dans ce guide est la prsentation de pistes de bonnes pratiques et conseils pour grer au mieux les relations humaines avec nos diffrents partenaires. Le mtier d'ASR comporte en effet une forte part de gestion du comportement personnel et de relations publiques et humaines. Nous avons abord ces diffrents aspects qui constituent le quotidien des ASR. D'autre part, l'ASR doit faire face l'accroissement des demandes de service, rpondre aux urgences, tout en assurant la gestion quotidienne et programmer la mise en place de nouveaux services. Il nous faut pour cela de bonnes pratiques de gestion du temps pour organiser les journes et semaines de travail afin de planifier au mieux nos actions. Pour ce faire, nous nous sommes appuys sur les ouvrages et mthodes connus afin de dgager des mthodes d'organisation du temps.
Enfin, nous avons termin en insistant sur le fait qu'il parat indispensable de penser aussi intgrer dans notre travail le temps ncessaire la mise jour de nos propres connaissances en utilisant largement la formation professionnelle, et les journes organises par les rseaux mtiers ou structures locales des tablissements. Notre mtier utilise des matriels et concepts en volution rapide et notre capacit d'adaptation est, bien sr, lie notre capacit suivre au plus prs les volutions technologiques en cours. La ncessit de se former et d'assurer une veille technologique est donc essentielle.
conducteur de l'ensemble des mthodes abordes est formalisation des procdures, la documentation, la gestion de parc, la configuration des quipements, la de consigner par crit (quel que soit le mdia) ces
gbp-v1-0.odm
Page 59 / 80
informations afin qu'elles soient, confidentielles ou non, transmissibles ou consultables et si besoin partages. Par ailleurs, si l'on se rfre au contexte de mutualisation des moyens tant matriels qu'humains qui concerne directement notre mtier (par exemple recomposition de laboratoire ou d'quipe de recherche, regroupement de services communs au sein d'un campus, ...), il devient en effet indispensable de travailler avec des outils qui nous permettent une adaptabilit rapide tant des mthodes de travail que des solutions mettre en uvre. Ce qui a t propos dans ce guide ne peut que faciliter la transposition de solutions d'un contexte un autre et surtout permettre l'ASR de ne pas avoir rinventer la roue s'il doit travailler dans des cadres diffrents. Ce guide est une base qui se veut volutive, nul doute que nous aurons besoin d'y revenir pour le modifier et le faire voluer dans les annes qui viennent. Le questionnaire ci-joint, but de bilan/ valuation interne, en est un prolongement ; utilisez-le priodiquement pour faire le point dans vos activits ou faire des propositions d'amlioration pour la collectivit. La fdration de rseau de mtier RESINFO et les rseaux rgionaux ou thmatiques qui le constituent sont en effet une des possibilits pour partager vos expriences. Cette ncessit d'change de pratique est une "piste" importante retenir pour donner une suite ce guide, le maintenir jour et pouvoir rpondre d'une manire efficace nos missions. Il revient donc chacun de nous de l'enrichir et de le faire voluer par l'apport de nos "bonnes pratiques" quotidiennes mises l'preuve des diffrentes situations d'exercice de notre mtier. Toute participation est cet effet la bienvenue! Donc bientt ! Le contact pour le Guide des Bonnes Pratiques est gbp@listes.resinfo.org
12/12/09
Page 60 / 80
gbp-v1-0.odm
12/12/09
Page 61 / 80
gbp-v1-0.odm
Comment prenez-vous connaissance des besoins des utilisateurs ? Vous arrive-t-il d'avoir les reformuler pour les traduire en service oprationnel ? Le recueil des besoins est-il une dmarche formalise ? Organisez-vous des runions avec les utilisateurs dans ce but ? (frquence, frquentation) Certaines demandes font-elles l'objet d'une ngociation et si oui, comment procdez-vous (arguments, exigences, etc.) ? Qui arbitre en cas de dsaccord, de difficult ou de conflit sur la dfinition des besoins ?
12/12/09
gbp-v1-0.odm
quels sont les lments grs par votre outil ? utilisez-vous un ou des outils d'inventaire automatique ? Si oui, lesquels ?
Quels sont les principaux lments couverts par votre documentation ? Mettez-vous de la documentation disposition des utilisateurs ? Si oui, de quelle manire et avec quels outils ? Avez-vous des mthodes pour grer l'obsolescence et l'volution de cette documentation ? Disposez-vous d'une page Web rserve au service (interne ou externe) ? Comment les utilisateurs sont-ils tenus au courant de la vie du S.I volutions, arrts pour maintenance, incidents, etc.
Disposez-vous d'un outil de gestion et de suivi des demandes des utilisateurs ? Si oui, comment se fait l'affectation des tickets aux personnes charges de leur prise en charge ? Comment se fait le suivi des tickets ? Page 63 / 80
gbp-v1-0.odm
12/12/09
Disposez-vous d'un outil de recherche dans le corpus des tickets rsolus ? Qui arbitre les priorits et sur quels critres en cas de file d'attente importante ?
Disposez-vous de systmes de dtection de sinistres ou de conditions environnementales dgrades ? (inondation, incendie, lvation de temprature,...) Disposez-vous de systmes d'alerte pour des vnements susceptibles de compromettre la scurit logique des quipements ou des donnes (intrusion, perte/modification de donnes, virus, etc.) ? Disposez-vous de systmes de surveillance et d'alerte permettant de dtecter les problmes pour les services importants ? Quels services, quels outils, quel mcanisme d'alerte ? Disposez-vous d'un systme de centralisation des journaux systmes ? D'un systme d'analyse de ces journaux ?
Avez vous mis en place des systmes haute disponibilit pour assurer une redondance ? Lesquels et sur quel service? La commutation est-elle automatique, semi-automatique, manuelle ? Avez vous mis en place des systmes de rpartition de charge ? Pour quels services ? Lesquels ? Avez vous mis en place un plan de reprise d'activits ? Sur quels services? En quoi consiste t-il? Quel systme de scurisation et de sauvegarde des donnes avez vous mis en place ? Pratiquez-vous un talement des congs du personnel du service informatique ? Qui peut redmarrer (et comment) les services critiques en cas d'absence de votre part ?
8) Gestion financire
Rdigez-vous une demande annuelle de moyens financiers auprs de la direction ou des quipes de recherche ? Comment vous sont attribus les crdits ncessaires cette demande ? Est-ce une discussion avec la direction et/ou les quipes de recherches ? Participez-vous au montage des dossiers CPER, ANR, ... ?
9) Formation
12/12/09
Page 64 / 80
gbp-v1-0.odm
Avez-vous particip des stages de formation pendant l'anne ? Si non pourquoi ? Qu'avez-vous not comme volutions prvisibles de solutions matrielles et/ou logicielles qui ncessiteraient une formation pour une mise en uvre ? Faites-vous partie de rseaux mtiers rgionaux d'ASR ?
gestion des traces informatiques, protection des fichiers nominatifs, notice lgale de site web, protection des donnes,
Quelles sont les principales actions que vous avez mises en place pour prendre en compte les lments de scurit que prconise la PSSI de votre /vos tutelle(s) ? : chiffrement, destruction/effacement des supports magntiques avant mise au rebut,...
11) Divers
Participez-vous la rdaction du rapport d'activit (chapitre spcifique au service ) ? Disposez-vous d'une page Web rserve au service (interne ou externe) ? Etes-vous sensibiliss la rduction de la consommation lectrique de nos quipements informatiques et celle de consommables informatiques? Si oui, qu'avez-vous mis en place (virtualisation, arrt automatique des machines aprs inactivit,...). Quels conseils donnez-vous aux utilisateurs dans ce sens ?
12/12/09
Page 65 / 80
gbp-v1-0.odm
12/12/09
Page 66 / 80
gbp-v1-0.odm
Nous avons rpertori ici un certain nombre d'outils logiciels essentiellement issus du monde openSource , et de rfrences bibliographiques pouvant illustrer et tre utiliss dans les diffrents chapitres de ce guide des bonnes pratiques.
Introduction
[SiLabo] : http://www.resinfo.org/spip.php?article11 : aider le responsable charg du S.I d'un laboratoire identifier et spcifier les services rendus, actuels ou futurs, ainsi que les ressources ncessaires [EcoInfo] : http://www.ecoinfo.cnrs.fr/ : Les activits de ce groupe de travail se concentrent autour des problmatiques de la consommation nergtique et de la pollution lies lutilisation et au dveloppement de loutil informatique. [PSSI CNRS] : http://www.sg.cnrs.fr/FSD/securitesystemes/documentations_pdf/securite_systemes/PSSI-V1.pdf : Politique de scurit du S.I du CNRS [ISO-9001] : http://www.iso.org/iso/fr/
http://fr.wikipedia.org/wiki/Information_Technology_Infrastructure_Library http://www.itilfrance.com/
[Deming] : Roue de Deming http://fr.wikipedia.org/wiki/PDCA [ISO-20000-1] : Technologies de l'information Part1 Gestion des services & Part 2 Code of practice http://www.iso.org/ [ISO-27000] : Technologies de l'information Techniques de scurit Systmes de gestion de la scurit de l'information Exigences - http://www.iso.org/
OCS Inventory : Inventaire automatique de parc informatique et tldistribution Site Web http://www.ocsinventory-ng.org/ Fiche Plume : http://www.projet-plume.org/fr/fiche/ocs-inventory-ng
12/12/09
NetDirector : plateforme Web dadministration Site Web : http://www.netdirector.org/ Puppet : permet d'automatiser un grand nombre de tches d'administration : l'installation de logiciels, de services ou encore de modifier des fichiers. http://reductivelabs.com/trac/puppet bcfg2 : Administration centralise de serveurs http://trac.mcs.anl.gov/projects/bcfg2/ Quattor : http://apps.sourceforge.net/mediawiki/quattor/index.php?title=Main_Page Active Directory http://fr.wikipedia.org/wiki/Active_Directory http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/de fault.mspx http://www.adirectory.net/
Cacti : logiciel de supervision rseau Site Web : http://www.cacti.net/ Ntop : ntop est une sonde rseau qui permet de remonter et analyser le trafic rseau sous forme de graphe site web : http://www.ntop.org/overview.html Nagios : logiciel de supervision de rseaux et de systmes (serveurs et postes de travail.) Page 68 / 80
12/12/09
gbp-v1-0.odm
Centreon fournit une interface graphique pour permettre la consultation des informations issues de Nagios. Site Web : http://www.centreon.com/ Webalizer : logiciel d'analyse des fichiers logs d'un serveur et de calcul des statistiques d'un site Web Site Web : http://www.webalizer.org/
Outre la surveillance rseau et systme, la gestion de la continuit de service doit saccompagner galement dun plan de continuit de service (actions durgence, sauvegardes des enregistrements vitaux, valuation des dommages, plan de reprise...) et de systmes logiciels permettant une reprise d'activit rapide
Heartbeat : fournit une solution de haute disponibilit en mettant en place une redondance de serveurs en temps rel
http://www.linux-ha.org/
virtualisation : Les systmes de virtualisation permettent une souplesse dans l'administration et des rinstallations rapides; diminuant ainsi les dures d'indisponibilit
Vserver
openVZ:
12/12/09
Page 69 / 80
gbp-v1-0.odm
Request Tracker (RT) : gestion de tickets dincidents 1. Site Web : http://bestpractical.com/rt/ Helpdesk de ESUP-Portail : c'est le systme de suivi de demandes qu'on trouve dans ESUP-Portail qui est un Espace numrique de travail 1. http://www.esup-portail.org/display/ESUP/2008/08/22/esup-helpdesk+v3 2. http://www.esup-portail.org/display/PROJHELPDESK/esup-helpdesk++user+support+at+establishment-level
Bugzilla : outil de gestion de bugs o http://www.bugzilla.org/about/ Gnats : outil de gestion de bugs o Site Web : http://www.gnu.org/software/gnats/
Outils de remise en tat initial d'un systme permettant, par exemple de cloner des systmes et de les restaurer pour remettre en service un systme dans son tat de base :
Mondo Rescue : outil de disaster recovery o Site Web : http://www.mondorescue.org/ System Imager o http://wiki.systemimager.org/index.php/Main_Page PartImage o http://www.partimage.org/Page_Principale JeDDlaJ : o http://la.firme.perso.esil.univmed.fr/website/rubrique.php3?id_rubrique=7
elog : site web permettant de dposer de l'information sous forme de messages texte horodats de manire chronologique permet de tenir jour un journal des modifications et interventions sur les diffrents lments du SI (serveurs, config rseau, firewall, etc...).
https://midas.psi.ch/elog/#whatis Page 70 / 80
gbp-v1-0.odm
12/12/09
http://2007.jres.org/planning/paperfeed.html?pid=116
8-
La Documentation
[DocBook] Le format DocBook est un langage de balisage conu l'origine pour la documentation technique informatique (matriel et logiciel). Il permet de produire une documentation de type papier : http://fr.wikipedia.org/wiki/DocBook [Wiki] : Les systmes Wikis peuvent tre de bons candidats pour rdiger et grer une documentation. Les Wikis permettent la cration et l'entretien collectif de sites Internet. On pourra notamment les utiliser pour dposer facilement de la documentation jour au sein d'un service informatique. Une liste de quelques wikis les plus connus
Choisir un outil et un format d'dition efficace est communment accept au sein de l'quipe d'ASR, pour rdiger la documentation technique propre au service.
http://www.framasoft.net/rubrique335.html http://www.wikimatrix.org/compare/DokuWiki+PmWiki+TikiWiki+TWiki
Un comparatif de wikis :
Les gestionnaires de contenu sur le Web (CMS) permettent galement aux individus comme aux communauts d'utilisateurs de publier facilement, de grer et d'organiser un vaste ventail de contenus sur un site web. Les gestionnaires de contenu Web (CMS) :
12/12/09
Page 71 / 80
gbp-v1-0.odm
http://www.ssi.gouv.fr/fr/confiance/ebiospresentation.html http://www.sg.cnrs.fr/FSD/securitesystemes/documentations_pdf/securite_systemes/PSSI-V1.pdf formation de l'UREC http://www.urec.cnrs.fr/article368.html http://www.urec.cnrs.fr/article389.html mise au rebut et recyclage des disques : techniques d'effacement de disques avant mise au rebut http://www.ipnl.in2p3.fr/perso/pugnere/effacement-disque-DP.pdf http://www.ssi.gouv.fr/documentation/Guide_effaceur_V1.12du040517.pdf
[PSSI CNRS] :
[A3IMP] : Aide l'Analyse des Actions Intentes sur une Machine Pirate
[ISO-27002] : Techologie de l'information Techniques de scurit Code de bonnes pratiques pour la gestion de la scurit de l'information http://www.iso.org/ [log cnrs] : http://www.sg.cnrs.fr/FSD/gestrace.htm [journaux systmes] : Journaux Systmes : gestion des traces informatiques problmatique de centralisation des journaux et des traces informatiques :
http://www.jres.org/tuto/tuto7/index http://www.jres.org/_media/tuto/tuto7/syslog-ng-tutojres.pdf http://www.dsi.cnrs.fr/pre_BO/2007/03-07/tpg/charte-informatique.pdf http://www.resinfo.cnrs.fr/spip.php?article4 backuppc : http://backuppc.sourceforge.net/ bacula : http://www.bacula.org/fr/ arkeia : http://www.arkeia.fr/ amanda : http://www.amanda.org/ time navigator : http://fr.atempo.com/products/timeNavigator/default.asp netbackup : http://www.symantec.com/fr/fr/business/netbackup ntp : http://www.ntp.org/ serveurs LDAP :
sauvegardes de donnes:
http://www.cru.fr/documentation/ldap/index http://www.openldap.org/
12/12/09
Page 72 / 80
gbp-v1-0.odm
serveur Radius :
Active Directory
http://www.urec.fr/IMG/pdf/secu.articles.archi.reseau.court.pdf http://www.urec.cnrs.fr/IMG/pdf/articles.03.JRES03.archi.secu.slides.pdf VNC :http://www.realvnc.com/ TighVNC : http://www.tightvnc.com http://www.sg.cnrs.fr/fsd/securite-systemes/documentations_pdf/journee_crssi/9Chiffrement.pdf http://igc.services.cnrs.fr Quelques exemples d'outils de chiffrement des donnes sur les PC :
truecrypt : http://www.truecrypt.org/ Dm-Crypt, chiffrage de supports sous Linux : http://www.saout.de/misc/dm-crypt/ ZoneCentral : http://www.primx.eu/zonecentral.aspx Utilisation
SASL :
http://fr.wikipedia.org/wiki/Simple_Authentication_and_Security_Layer
12/12/09
Page 73 / 80
gbp-v1-0.odm
http://asg.web.cmu.edu/sasl/
http://munin.projects.linpro.no/ ; http://fr.wikipedia.org/wiki/Munin_(Surveillance_systme_et_rseau)
http://netdisco.org/ http://en.wikipedia.org/wiki/Netdisco
10 - Bonnes pratiques lies aux aspects juridiques du mtier d'ASR respect de la rglementation en vigueur
Circulaire du 12 mars 1993 relative la protection de la vie prive en matire de traitements automatiss. Loi n 78-17 du 6 janvier 1978 informatique et liberts. Loi n 83-634 du 13 juillet 1983 sur les droits et obligations des fonctionnaires. Recommandation n 901 du 2 mars 1994 relative la protection des systmes d'information traitant des informations sensibles non classifies de dfense. Dcret n81-550 du 12 mai 1981 relatif la communication de documents et renseignements d'ordre conomique, commercial ou technique des personnes physiques ou morales trangres. Guide n400 SGDN/DISSI/SCSSI du 18 octobre 1991 relatif l'installation des sites et systmes traitant des informations sensibles ne relevant pas du secret de dfense : protection contre les signaux parasites compromettants. Loi n2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative la signature lectronique. Loi n2001-1062 du 15 novembre 2001 relative la scurit quotidienne (Article 30 et 31). Directive 485/SGDN/DCSSI/DR du 1er septembre 2000 sur la protection contre les signaux parasites compromettants. Recommandations n600/SGDN/DISSI/SCSSI de mars 1993 relatives la protection des informations sensibles ne relevant pas du secret de dfense sur les postes de travail.
12/12/09
Page 74 / 80
gbp-v1-0.odm
La gestion des traces d'utilisation des moyens informatiques et des services rseaux au CNRS a t dclar la CNIL sous forme gnrique, pour l'ensemble des laboratoires sous tutelle CNRS et a fait l'objet d'une dcision publie le 11 octobre 2004 au bulletin officiel du CNRS (dcision 04P014dsi.htm) http://www.dsi.cnrs.fr/bo/2004/12-04/4111-bo1204-dec04p014dsi.htm Articles relatifs la rglementation en matire de scurit, de protection du secret et de la confidentialit notamment ceux relatifs la protection du patrimoine, au secret des correspondances crites, aux sanctions pnales de la loi "informatique et liberts", pour les crimes et dlits contre les personnes, les atteintes la personne humaine et aux accs frauduleux un systme informatique et modifications frauduleuses. [Legalis] http://www.legalis.net : compte rendu des jurisprudences de diffrents tribunaux
11 - La gestion du temps
Vous trouverez dans cette partie trois rfrences de livres utilises dans le guide ainsi que quelques rfrences internet lies au sujet :
[AdminSys]: Admin ' sys, Grer son temps de Thomas Limoncelli, traduit par Sbastien Blondeel, aux ditions Eyrolles :
http://www.editions-eyrolles.com/Livre/9782212119572/admin-sys
[GTD] : Getting Thing Done est le titre d'un livre de David Allen publi en 2001, dcrivant une mthode de gestion des priorits quotidiennes.
Divers articles ce sujet sont prsents sur http://avm.free.fr/ notamment la notion de Premire Chose A Faire (PCAF) ( http://avm.free.fr/spip.php?article26) Plus connue sous l'acronyme GTD, sur wikipdia : http://fr.wikipedia.org/wiki/Getting_Things_Done Un rsum de la mthode GTD par chapitre est donn sur http://gagnermavie.com/balade-a-travers-getting-things-done-chapitre-par-chapitre/ http://fr.wikipedia.org/wiki/Comparaison_de_logiciels_GTD http://www.taskfreak.com/
Plugins GTD : certains sont cits dans le document de comparaison ci-dessus. En particulier, le plugin GTD pour le Dokuwiki: http://www.dokuwiki.org/plugin:gtd [rsumGTD] : Un rsum de 7 pages du livre de David Allen : http://www.greyc.unicaen.fr/Members/Laurette %20Chardon/GbpFichePratiqueGestionduTempsDavidAllen.pdf ou https://www.greyc.fr/sites/default/files/GbpFichePratiqueGestionduTempsDavidAllen.pdf [QuestionTemps] : Question de temps de Franois Dlivr, consultant en relations Humaines et Organisation, spcialis dans le coaching des cadres dirigeants. Le rsum du livre de Franois Delivr : http://www.greyc.unicaen.fr/Members/Laurette %20Chardon/ResumeLivreQuestiondeTempsFrancoisDelivre ou https://www.greyc.fr/? q=user/14
12/12/09
Page 75 / 80
gbp-v1-0.odm
[GPLI], [RT], [Esup-Portail],[HelpDesk] : voir les rfrences donnes dans le chapitre 5 Gestion des interventions .
[CRU] : https://listes.cru.fr/sympa/lists/informatique [CNRSlist] : http://listes.services.cnrs.fr/wws [MRCT] : http://www.mrct.cnrs.fr/ [RESINFO] http://www.resinfo.cnrs.fr/ [UREC] : http://www.urec.cnrs.fr/ [CRU] : http://www.cru.fr/
Des liens liens utiles de sites qui diffusent des tutoriaux ou (auto-)formations
[CCM] : http://www.commentcamarche.net/ [Zero] : http://www.siteduzero.com/ [JRES] : http://www.jres.org/ [TutoJRes] : http://www.jres.org/tuto/ [Resinfo/Josy] : http://www.resinfo.org/spip.php?rubrique1 [CUME] : http://cume.univ-angers.fr/index.php [Renater] : http://www.renater.fr/spip.php?rubrique45 www.journaux.fr : liste par thme tous les magazines qui paraissent. [TDLP] : http://www.tdlp.org/ Linux documentation Project [LinuxFrance] : http://www.linux-france.org/ Linux-france [TutEns] : http://www.tuteurs.ens.fr/ Tutoriaux de l'ENS [MIT] : http://ocw.mit.edu/OcwWeb/web/home/home/ anglais) [ClubIc] : http://www.clubic.com/ [ItEspresso] : http://www.itespresso.fr/ [InterActu] : http://www.interactu.net/ [Atelier] : http://www.atelier.fr/ [Informaticien] : http://www.linformaticien.com/ [UseNix] : http://www.usenix.org/ (en anglais) Page 76 / 80
gbp-v1-0.odm
12/12/09
Art. 1er. Lobjet de la formation professionnelle tout au long de la vie des fonctionnaires de
lEtat et des tablissements publics de lEtat est de les habiliter exercer avec la meilleure efficacit les fonctions qui leur sont confies durant lensemble de leur carrire, en vue de la satisfaction des besoins des usagers et du plein accomplissement des missions du service. Elle doit favoriser le dveloppement professionnel de ces fonctionnaires, leur mobilit ainsi que la ralisation de leurs aspirations personnelles. Elle concourt lgalit effective daccs aux diffrents grades et emplois, en particulier entre femmes et hommes, et facilite la progression des moins qualifis. La formation professionnelle tout au long de la vie comprend principalement les actions suivantes : 1o La formation professionnelle statutaire, destine, conformment aux rgles prvues dans les statuts particuliers, confrer aux fonctionnaires accdant un grade les connaissances thoriques et pratiques ncessaires lexercice de leurs fonctions et la connaissance de lenvironnement dans lequel elles sexercent ;
..
2o La formation continue, tendant maintenir ou parfaire, compte tenu du contexte professionnel dans lequel ils exercent leurs fonctions, la comptence des fonctionnaires en vue dassurer : a) Leur adaptation immdiate au poste de travail ; b) Leur adaptation lvolution prvisible des mtiers ; c) Le dveloppement de leurs qualifications ou lacquisition de nouvelles qualifications ; 3o La formation de prparation aux examens, concours administratifs et autres procdures de promotion interne ; 4o La ralisation de bilans de comptences permettant aux agents danalyser leurs comptences, aptitudes et motivations en vue de dfinir un projet professionnel ; 5o La validation des acquis de leur exprience en vue de lacquisition dun diplme, dun titre finalit professionnelle ou dun certificat de qualification inscrit au rpertoire national prvu par larticle L. 335-6 du code de lducation ; 6o Lapprofondissement de leur formation en vue de satisfaire des projets personnels et professionnels grce au cong de formation professionnelle rgi par le 6o de larticle 34 de la loi du 11 janvier 1984 susvise. Le contenu des formations prvues au 1o ci-dessus est fix par arrt conjoint du ministre intress et du ministre charg de la fonction publique. Cet arrt peut prvoir une modulation des obligations de formation en fonction des acquis de lexprience professionnelle des agents.
Le CNRS et les Universits, par exemple, ont intgr ces dispositifs dans leur dossiers de suivi de carrire et en particulier la classification en 3 catgories des formations (paragraphe 2). Il faut aussi attirer l'attention sur les diffrentes possibilits de complter son niveau initial de formation : la possibilit de raliser des bilans de comptences (paragraphe 4)
12/12/09
Page 77 / 80
gbp-v1-0.odm
la procdure de VAE, Validation des Acquis d'Exprience (paragraphe 5) Vous trouverez la dclinaison de la mise en uvre de ce dcret pour le CNRS aux URL suivants : http://www.sg.cnrs.fr/drh/competences/form.htm http://www.sg.cnrs.fr/drh/competences/documents/cadrage.pdf
14 - Outils Windows
Nous avons rpertori dans cette partie un certain nombre d'outils logiciels tournant sous Windows pouvant illustrer et tre utiliss dans les diffrents chapitres de ce guide des bonnes pratiques. Nous remercions cet effet D. Baba (Centre dImmunologie de Marseille-Luminy, Unit Mixte de Recherche du CNRS, de lInserm et de lUniversit de la Mditerrane) pour son aide dans l'inventaire de ce type de produit Microsoft
System Center (http://www.microsoft.com/france/serveur/system-center/default.mspx ) est la gamme Microsoft doutils et logiciels pour ladministration des S.I. Elle se veut aider les entreprises simplifier leur administration informatique : exploitation plus facile, rduction des temps dindisponibilit, automatisation des dploiements, et meilleure matrise du systme dinformation. On y trouve :
SCOM 2007 (System Center Operation Manager), solution de supervision des environnements Windows offrant une collecte des vnements et compteurs de performances, des fonctions de cration de rapports et danalyse de tendance. Cest une solution qui s'appuie sur des connaissances spcifiques par le biais de packs dadministration pour des environnements Microsoft et autres fournisseurs. Il se positionne comme un concurrent direct de IBM (Tivoli) ou de HP (Open View). La version SCOM 2007 R2 permet de superviser les systmes UNIX et LINUX et les applications hberges sur ces derniers. SCCM 2007 (System Center Configuration Manager), solution dadministration de parc informatique, changements et configuration, fournissant des fonctions dinventaire (matriel et logiciels), ainsi que de tldistribution des applications et des mises jour (scurit et services pack), support distance des postes et serveurs. SCDPM 2007 (System Center Data Protection Manager), application de sauvegarde chaud et en continue des donnes avec possibilit de restauration par lutilisateur et bas sur les technologies des clichs instantanes. SCVMM 2008 (System center Virtual machine manager), solution dadministration denvironnement virtualis permettant une meilleure utilisation et optimisation des serveurs physiques. Supporte ladministration des serveurs VMware ESX. Dploiement des postes de travail WAIK (Windows Automated Installation Kit) est un Kit dinstallation Windows automatise qui permet de personnaliser et de dployer la famille des systmes d'exploitation de Microsoft Windows Vista. Windows AIK permet d'effectuer des installations Windows sans assistance, de capturer des images Windows avec ImageX et de crer des images Page 78 / 80
gbp-v1-0.odm
12/12/09
Windows PE qui est un mini-environnement de dmarrage en mode commande bas sur Windows Vista. Tlchargement gratuit sur le site de Microsoft.
WDS (Windows Deployment Services) permet de proposer aux postes de travail en rseau un ensemble dimages dinstallation pour une migration ou mise niveau. Cest un outil fournit avec le service pack 3 de Windows Serveur 2003 et intgr dans le WAIK. Cest une volution de RIS (Remote Installation Services) Windows System Image manager, outil graphique pour crer et modifier les fichiers de rponse (unattended.xml), dajouter des composanst, etcIl est fournit avec le WAIK. USMT 3.0 (User State Migration Tool) qui permet de sauvegarder les fichiers et paramtres de configuration du poste dun utilisateur en vue dune restauration aprs migration. Pour les phases dun dploiement :
Application Compatibility Toolkit 5.0 pour la compatibilit logicielle Windows Vista Hadware Assessment pour les configurations matrielles
MDT 2008 (Microsoft Deployment Toolkit), permet lautomatisation de la gestion de cycle de vie du poste. Facilite lautomatisation des dploiements des postes de travail et des serveurs Windows. Il ncessite le WAIK. Continuit de service Virtualisation
(http://technet.microsoft.com/fr-fr/virtualization/default.aspx)
Hyper-V, technologie de virtualisation matrielle base sur une approche de type hyperviseur. Disponible dans les ditions 64 bits des diffrentes versions de Windows serveur 2008. Egalement disponible en tlchargement. Il existe aussi une version qui peut tre install directement sur une machine vierge avec loffre Microsoft Hyper-V server 2008. Virtual Server 2005 R2, virtualisation matrielle pour environnement Windows serveur 2003, utilis surtout pour la consolidation et lautomatisation des tests (logiciels et dveloppements), hbergement dapplications anciennes sur des matriels et OS rcents et aussi pour la consolidation des serveurs. Produit gratuit Virtual PC 2007, solution de virtualisation de postes de travail permettant dexcuter plusieurs systmes dexploitation en mme temps sur le mme ordinateur physique. Produit gratuit Scurit et mobilit ISA serveur 2006 (Microsoft Internet Security and Acceleration) est une solution de pare-feu applicatif, de VPN (rseau priv virtuel), de proxy et cache web IAG 2007 (Intelligent Application Gateway) est un ensemble de technologies offrant la possibilit daccder de faon simple et scuris aux donnes et aux applications publies partir de nombreux appareils diffrents (PDA compris) et ceci depuis nimporte quel site reli Internet
12/12/09
Page 79 / 80
gbp-v1-0.odm
Gestion des correctifs de scurits et de services pack WSUS 3.0 (Windows server Update Services) est un produit qui permet de grer de faon contrle les diffrentes mises jour publies sur le site de Microsoft Update (Correctifs, services packs, hotfix). Produit tlchargeable sur le site de Microsoft. Et enfin pour tous les utilisateurs avertis
(http://technet.microsoft.com/fr-fr/sysinternals/default.aspx )
La collection dutilitaires SysInternals cre par Mark Russinovich et Bruce Cogswell et rachet depuis par Microsoft constitue une mine doutils totalement indispensable pour des outils systmes sous Windows : Utilitaires disques, Utilitaires rseau, utilitaires de ressources et de processus, Utilitaires de scurit...
12/12/09
Page 80 / 80
gbp-v1-0.odm