Politique de Scurit des Systmes dInformation (PSSI)

Document dorientation de la scurit des systmes dinformation de l'cole normale suprieure

Version V1.00

Rdacteur Groupe de travail PSSI

Autorit dapprobation Conseil d'administration

Date dapprobation 14/04/2010

PSSI ENS 14/04/2010

1 Introduction
1.1 Le contexte de l'cole normale suprieure L'cole normale suprieure est un tablissement d'enseignement et de recherche fond en 1794. Elle comporte quatorze dpartements d'enseignement et de recherche qui couvrent lessentiel des disciplines littraires et scientifiques. Ainsi, la section Lettres regroupe les dpartements de gographie, d'histoire, d'histoire et de thorie des arts, de littratures et langages, de philosophie, de sciences de l'Antiquit et de sciences sociales ainsi que le centre d'enseignement et de recherche sur l'environnement et la socit (CERES), le collectif histoire et philosophie des sciences, l'espace des cultures et langues d'ailleurs. Quant la section Sciences, elle est structure en dpartements de biologie, chimie, informatique, mathmatiques, physique, sciences cognitives et terre-atmosphreocans. Chaque dpartement regroupe des units de recherche gnralement diriges en co-tutelle avec d'autres organismes (tablissements publics scientifiques et techniques, universits et tablissements d'enseignement suprieur et de recherche, etc.). En outre, de nombreux laboratoires sont impliqus dans des collaborations en France ou l'tranger. Les activits d'enseignement font aussi largement appel des partenaires de diffrents tablissements avec lesquels il existe des liens forts. L'cole normale suprieure accueille environ 2500 lves et tudiants dont certains sont recruts par concours ayant des preuves communes avec d'autres coles. Ils peuvent bnficier d'une chambre qui est leur disposition durant les priodes scolaires au sein de l'cole normale suprieure. Enfin, l'tablissement hberge en son sein plusieurs bibliothques, en particulier celle de Lettres, extrmement riches en ouvrages et qui accueillent de nombreux lecteurs externes. Le fonctionnement de l'tablissement est assur par un ensemble de services prenant en charge l'administration, la logistique, la scolarit, la gestion du patrimoine, la restauration, l'hbergement, l'entretien des locaux, les ressources informatiques, la mdecine prventive... Dans ce cadre, certains personnels bnficient d'un logement. L'cole normale suprieure, regroupant au total 5000 personnes environ, occupe des locaux situs dans quatre espaces gographiques distincts. Un premier site comporte plusieurs btiments dans le cinquime arrondissement de Paris (29, 44, 45, 46 et 48 rue d'Ulm, 24 rue Lhomond). Les autres sites sont situs 48 boulevard Jourdan (75014 Paris), 1 rue Maurice Arnoux (92120 Montrouge) et Foljuif (77140 Saint-Pierre-ls-Nemours). Enfin, l'cole normale suprieure est tutelle principale ou secondaire d'units de recherche hberges dans d'autres tablissements comme, par exemple, le Collge de France. 1.2 La scurit des systmes d'information L'usage des systmes d'information est soumis de nombreux textes lgislatifs et rglementaires : la loi relative linformatique et aux liberts (loi Informatique et Liberts ), la loi relative la fraude informatique (loi Godfrain), la loi pour la confiance dans lconomie numrique (LCEN), les instructions et recommandations interministrielles provenant du Secrtariat gnral de la dfense nationale (SGDN). Sy ajoutent des dispositions relevant du Code de la proprit intellectuelle et des dispositions pnales. La dlinquance informatique a connu une progression fulgurante au cours de ces dernires annes. Tout cela conduit la mise en place de mesures permettant de restreindre les risques encourus.

PSSI ENS 14/04/2010

Le prsent document a pour ambition d'tablir une rfrence pour la mise en uvre de la politique de la scurit des systmes d'information (PSSI) au sein de l'tablissement en prenant en compte ses diffrentes spcificits ainsi qu'en considrant les relations privilgies avec les partenaires dj cits. Cette PSSI fera l'objet de mises jour en fonction de l'volution interne ou externe des systmes d'information et de l'usage qui en est fait. Chacune des composantes de l'cole normale suprieure devra la mettre en application en l'adaptant son propre contexte pour constituer une PSSI oprationnelle. Dans le cas d'entits gres en co-tutelle ou ayant une convention d'hbergement, le contrat d'association dfinit les responsabilits en termes de scurit des systmes d'information. La PSSI de l'entit doit alors respecter toutes les rgles de la PSSI de l'cole normale suprieure. Ce document s'appuie sur la norme ISO 27001 et suivantes, portant sur la scurit des systmes d'information. Le terme entit dsignera une composante de l'cole normale suprieure, qu'il s'agisse d'une structure administrative, d'enseignement ou de recherche. 1.3 Le besoin en scurit Les actifs dcrits dans le paragraphe 3 constituent le systme dinformation de l'cole normale suprieure. Il est indispensable la fois pour les activits ncessaires l'enseignement, la recherche et la gestion. Ce systme d'information comporte de nombreuses vulnrabilits d'origines diverses : structures organisationnelles insuffisamment robustes, routines de gestion ou procdures dfaillantes, pannes d'quipements, environnement physique mal contrl, multiplicit des intervenants, dpendance des tiers dfaillants, assemblage de composants dont la compatibilit n'est pas garantie, dfaillance humaine, etc. Ces vulnrabilits, si elles sont exploites , peuvent avoir des consquences dommageables pour l'cole normale suprieure en termes de temps de travail, de perte d'information, de cot financier, d'image de marque, de rputation... Le systme d'information doit donc imprativement tre plac labri de menaces internes ou externes. Les donnes doivent tre protges afin de garantir qu'elles ne soient ni accessibles des tiers, ni altres. Les services et applications fournis doivent tre disponibles, fiables et garantir des rsultats corrects. De plus, la mise en uvre des systmes dinformation sinscrit dans un cadre lgislatif et rglementaire destin en particulier protger les droits de proprit intellectuelle (droits d'auteurs, brevets...) et ceux de la vie prive (fichiers nominatifs, cybersurveillance). Dans ce cadre peuvent tre recherches les responsabilits administratives ou pnales des diffrents acteurs : l'utilisateur, les administrateurs systmes et rseaux et leurs hirarchies. La protection du systme d'information suppose au pralable d'identifier les actifs en ralisant un inventaire qui intgre notamment les biens matriels (quipements, infrastructure...) et les biens immatriels (donnes, services...). A chacun de ceux-ci doivent tre associs un propritaire et une estimation de sa valeur. Outre l'aspect financier, cette valeur inclut l'intrt stratgique de l'actif pour l'entit et ses tutelles ou pour l'cole normale suprieure. Celui-ci se dfinit en termes de besoin en disponibilit, en intgrit, en confidentialit auquel s'ajoutent ventuellement les contraintes juridiques. Il convient ensuite de dterminer les menaces potentielles associes chacun de ces biens et leur probabilit d'occurrence dans le contexte particulier de leur exploitation. On doit distinguer ce qui relve d'une volont dlibre ou d'une situation accidentelle. Ces lments sont la base de l'analyse de risque qui conduit au choix stratgique des mesures appliquer. Celles-ci peuvent consister rduire le risque, le transfrer des tiers ou l'accepter avec ses consquences.

PSSI ENS 14/04/2010

2 L'organisation de la scurit des systmes d'information

2.1 L'organisation gnrale La politique de scurit des systmes dinformation de l'cole normale suprieure sinscrit dans le cadre de la politique et des directives manant de l'Agence nationale de la scurit des systmes dinformation (ANSSI), en charge de la scurit des systmes dinformation au niveau national. Cette politique et ces directives sont relayes, pour ce qui concerne la recherche et l'enseignement, par le Haut fonctionnaire de dfense du ministre de lducation nationale, de lenseignement suprieur et de la recherche et par le fonctionnaire de scurit des systmes dinformation (FSSI) plac auprs de lui. Au sein de l'cole normale suprieure, la responsabilit gnrale de la scurit des systmes dinformation relve de son directeur en tant quautorit qualifie pour la scurit des systmes dinformation (AQSSI) de l'tablissement. Il est assist dans cette fonction par les responsables de la scurit des systmes d'information (RSSI titulaire et supplant). Les orientations stratgiques de la SSI sont dfinies par un comit de pilotage. La politique de scurit des systmes d'information est relaye par le responsable de chacune des entits de l'cole normale suprieure qui doit en assurer la mise en uvre en l'adaptant au contexte local. 2.2 Le comit de pilotage La dfinition des orientations techniques de la politique de scurit des systmes d'information de l'tablissement est assure par un comit de pilotage qui a en charge de la transcrire dans un document PSSI. Il est prsid par le directeur de l'cole normale suprieure. Il est constitu des membres suivants :

le directeur de l'cole normale suprieure ou son reprsentant le secrtaire gnral de l'cole normale suprieure ou son reprsentant le directeur des tudes littraires ou scientifiques ou son reprsentant les responsables de la scurit des systmes d'information titulaire et supplant de l'cole normale suprieure le directeur du centre de ressources informatiques le correspondant informatique et liberts de l'cole normale suprieure un reprsentant des dpartements littraires un reprsentant des dpartements scientifiques un reprsentant des lves et tudiants nomm par les lus de cette catgorie au Conseil d'administration un reprsentant des personnels enseignants-chercheurs nomm par les lus de cette catgorie au Conseil dadministration et au Comit technique paritaire de ltablissement un reprsentant des personnels BIATOS/ITA nomm par les lus de cette catgorie au Conseil dadministration et au Comit technique paritaire de ltablissement

Le comit de pilotage peut, sa discrtion, inviter des personnalits extrieures pour l'assister dans ses tches. Par dlgation du directeur de l'cole normale suprieure, le pilotage courant relve de la responsabilit des RSSI en concertation avec le secrtaire gnral.

PSSI ENS 14/04/2010

Pour la dfinition et la mise en uvre de la politique de scurit des systmes dinformation, une concertation troite est mene avec l'ANSSI et le service du Haut fonctionnaire de dfense (HFD), ainsi quavec les autres partenaires que sont les universits, les autres organismes de recherche et le rseau RENATER. 2.3 La mise en uvre de la scurit des systmes d'information La mise en uvre de la PSSI consiste notamment en l'application des dispositions de protection des systmes dinformation. Elle relve de la responsabilit de la chane organique (direction de l'cole normale suprieure, directions des dpartements et instituts, directions des units de recherche, directions des services) avec laccompagnement des ples spcialiss (centre de ressources informatiques (CRI), services informatiques des dpartements ou des laboratoires, autres services informatiques). Les responsables hirarchiques dentits (directeurs des dpartements, directeurs des laboratoires de recherche, directeurs des tudes, responsables des services administratifs) sont responsables de la scurit des systmes dinformation au sein de leur entit. Pour assurer cette fonction, ils disposent de lappui de la chane fonctionnelle SSI de l'ducation nationale (et le cas chant de celle des autres tutelles) et des moyens internes spcialiss. Ils ont la charge de dsigner au sein de leur entit un correspondant de la scurit des systmes d'information (CSSI). 2.4 Chane fonctionnelle spcialise de la scurit des systmes d'information Pour conduire la politique de scurit des systmes dinformation et faciliter sa mise en uvre, l'cole normale suprieure, sous lautorit du directeur en tant quAQSSI, sappuie sur une chane fonctionnelle interne spcialise en SSI qui sinscrit elle-mme dans la chane fonctionnelle nationale anime par l'Agence nationale de la scurit des systmes dinformation (SGDN/ANSSI). La chane fonctionnelle SSI de l'cole normale suprieure est compose comme suit :

du secrtaire gnral, correspondant local du Haut fonctionnaire de dfense (HFDS). Il est charg de :

la protection du patrimoine scientifique et technique la prparation des mesures de dfense, de vigilance et de prvention de crise la gestion des situations d'urgence (plan Vigipirate, pandmies,...) l'excution des plans de dfense et de scurit

de deux responsables de la scurit des systmes dinformation (RSSI), nomms par le directeur de l'cole normale suprieure. Correspondants auprs des structures nationales de la SSI, ils contribuent activement llaboration dune politique de scurit cohrente et sa mise en uvre. Ils en assurent au sein de l'tablissement le suivi de l'tat. Ils ont pour mission :

le suivi de la mise en uvre des dispositions de SSI dfinies au niveau national le relais des informations relatives la scurit en provenance des Computer Emergency Response Team (CERT) notamment le CERT-Renater, le CERTA, et de l'unit rseaux du CNRS (UREC) la validation des projets d'tablissements en ce qui concerne les aspects SSI les remontes des dysfonctionnements vers les CERT et notamment le CERT-Renater la participation en tant que de besoin et selon le degr dexpertise individuelle des travaux mens au niveau national (groupes de travail, runions de coordination, actions de formation)

PSSI ENS 14/04/2010

les contacts avec les responsables de la scurit des systmes dinformation des autres tutelles le rappel des rgles respecter concernant les chartes en vigueur : charte dontologique RENATER, charte dutilisation des moyens informatiques et du rseau dtablissement la rdaction des documents de la SSI, notamment la PSSI d'tablissement et la charte de bon usage des systmes d'information au sein de l'tablissement l'analyse des bilans de scurit et l'apprciation des besoins la mise en place d'oprations de prvention l'identification des CSSI dans les entits la conduite dactions de formation et de conseil destination des CSSI dans les entits (animation du rseau) le relais dinformations entre les instances nationales et les CSSI des entits, au titre de la chane fonctionnelle SSI la conduite dactions dinformation et de sensibilisation des entits le conseil et soutien aux correspondants de SSI des entits, en cas dincident

Pour mener ces missions, les deux RSSI travaillent conjointement et disposent des mmes prrogatives. L'un est dsign comme titulaire, l'autre comme supplant. En cas de dsaccord, la voix du titulaire est prpondrante sur celle du supplant. En cas de besoin, ils peuvent faire appel une quipe de quelques personnes spcialises dans le domaine, par exemple des experts SSI dentits locales.

des correspondants de la scurit des systmes dinformation (CSSI), spcialistes des systmes dinformation, dont la mission est dassister les directeurs dentit dans lexercice de leur responsabilit en matire de SSI. Chaque directeur d'entit doit dsigner un CSSI. Dans le cas de structures de taille importante, il est souhaitable que soient dsigns deux CSSI (un titulaire et un supplant). Dans le cas de petites entits partageant les mmes infrastructures, la fonction de CSSI peut tre mutualise. A dfaut de dsignation dun CSSI spcifique, le rle est directement assur par le directeur de lentit. La dsignation dun CSSI dans les entits classes (par exemple : tablissements rgime restrictif (ERR) au CNRS) est prioritaire. Le CSSI agit sous lautorit du directeur dentit dans le primtre qui lui est assign. Il a en particulier pour missions :

de promouvoir la mise en place dune PSSI dentit conforme la PSSI dtablissement de veiller la mise en place des mesures de scurit ncessaires de veiller lapplication des instructions et recommandations de veiller la bonne exploitation des avis des CERT-Renater et CERTA de sensibiliser les utilisateurs de mettre en place des oprations de prvention de prendre les mesures appropries en cas dincident (ou sassurer quelles soient prises) dappliquer les mesures demandes par la chane fonctionnelle SSI et notamment les RSSI de l'cole normale suprieure dtablir les rapports d'incidents demands par la chane fonctionnelle SSI de veiller la prise en compte de la scurit dans la rdaction des contrats de soustraitance et les cahiers des charges des applications

PSSI ENS 14/04/2010

de veiller au respect des formalits requises par la loi Informatique et Liberts pour les traitements informatiques de donnes caractre personnel dassurer la veille en matire de SSI et les niveaux relationnels ncessaires en liaison avec la coordination gnrale et plus gnralement la chane fonctionnelle SSI.

La fonction de CSSI doit tre officialise et reconnue tant en interne qu lextrieur de lentit.

du correspondant informatique et liberts (CIL) dsign par le directeur de l'cole normale suprieure qui veille la bonne application de la loi Informatique et Liberts dans ltablissement. Il doit tablir et maintenir un registre des traitements mis en uvre. 2.5 Clauses relatives aux acteurs de la SSI

Les acteurs intervenant en matire de scurit des systmes dinformation, au titre dautorit hirarchique ou au titre de la chane fonctionnelle doivent tre informs de leurs responsabilits en matire de SSI. Dans lexercice de leur activit, ils sont lis par leur devoir de rserve, voire par des obligations de secret professionnel. Ils peuvent, si ncessaire, faire lobjet dune habilitation au secret dfense. Ils doivent prserver la confidentialit sur les aspects personnels et nominatifs et ne doivent pas communiquer sur les incidents en-dehors du cadre de la PSSI. 2.6 Documents associs la SSI Les orientations stratgiques de la scurit des systmes d'information de l'cole normale suprieure sont dcrites dans ce document appel Politique de scurit des systmes d'information . Il dfinit le contexte de l'tablissement en termes de SSI, l'organisation de la SSI et les besoins en scurit. Rdig par le comit de pilotage de la SSI, il est soumis l'approbation du Conseil d'administration de l'cole normale suprieure. Il en est de mme pour les procdures de mises jour. Il est complt par : un document prcisant les objectifs de scurit et les mesures devant tre mises en place pour les atteindre, les procdures de gestion d'incidents et les plans de gestion de crise. Rdig par le comit de pilotage, il devra mentionner les rfrences aux paragraphes de l'annexe A de la norme ISO 27001. Il est soumis l'approbation du directeur de l'cole normale suprieure et fait l'objet d'une rvision annuelle. une charte de bon usage des SI au sein de l'tablissement. Rdige par le comit de pilotage, elle est soumise l'approbation du directeur de l'cole normale suprieure et fait l'objet d'une rvision annuelle. des documents prcisant les aspects rglementaires et techniques. Les entits doivent dfinir leur propre document de PSSI par rfrence la PSSI d'tablissement. Cette PSSI doit tre approuve par le directeur de l'entit, valide par les RSSI et diffuse aux personnels de l'entit et aux tiers concerns. 2.7 Suivi et bilan de la SSI Des runions permettant d'assurer une communaut d'actions entre les diffrents acteurs de la SSI au sein de l'cole normale suprieure doivent tre organises rgulirement. Au cours de ces runions, il est tabli un bilan des incidents relevs ainsi que des procdures mises en uvre. Si ncessaire, il est soumis au comit de pilotage des amendements la politique de scurit des PSSI ENS 14/04/2010 7

systmes d'information. Chaque anne, les RSSI tablissent un rapport dcrivant l'tat de la scurit des systmes d'information au sein de l'cole normale suprieure.

3 Primtre de la SSI au sein de l'cole normale suprieure

Le besoin en scurit des systmes dinformation (SSI) de l'cole normale suprieure couvre l'ensemble des systmes d'information localiss sur les sites de l'tablissement. Cela implique une forte diversit la fois dans les lieux d'utilisation, les personnes concernes et les usages rencontrs. Le niveau de scurit appliquer doit tre considr en fonction du type de fonctionnalits, du type de donnes concernes (vitales pour le fonctionnement de l'tablissement, caractre nominatif, de l'espace priv...) et des interactions existant entre les systmes ou les rseaux. En termes d'actifs, le primtre de la SSI inclut notamment :

les actifs matriels :

les serveurs hbergeant les systmes d'information ddis l'administration centrale de l'tablissement (comptabilit, ressources humaines, scolarit, restauration...) grs par le centre de ressources informatiques (CRI) les serveurs hbergeant les systmes d'information ddis l'enseignement, la recherche ou l'administration des dpartements, instituts, laboratoires ou services (serveurs de calcul, quipements scientifiques ddis au pilotage d'expriences, banques de donnes, stockage...) les serveurs hbergeant les systmes d'information ddis la communication (messageries, web, changes de donnes...) les quipements ddis la gestion de service (tlphonie, contrle d'accs...) les systmes d'information des services et des entits usage personnel (ordinateur fixe ou portable, assistant personnel, logiciels bureautiques, de traitements de donnes, de modlisation...) les postes de travail mis la disposition des lves, tudiants et visiteurs (postes de consultation des bibliothques) les systmes de support de l'information (disques, CD, DVD, cl USB) et d'impression (imprimantes, photocopieurs...) les rseaux de communication internes l'tablissement, filaires ou non, vocation d'change de donnes informatiques mais aussi de tlphonie, de vidoconfrence, de tlsurveillance les prestations externes dans leur incidence sur la scurit interne des systmes d'information (tlmaintenance d'quipements, personnels sous-traitants...) l'usage dun moyen informatique priv ou extrieur connect au rseau de l'tablissement L'usage des systmes d'information au sein des chambres (hbergement des lves) ou des appartements (hbergement des personnels) est hors du primtre de cette PSSI, sauf en ce qui concerne les changes d'information raliss travers les rseaux filaires ou non de l'cole normale suprieure et de ses prestataires de services. Rappelons que le fournisseur d'accs internet actuel

Remarques :

PSSI ENS 14/04/2010

(RAP/RENATER) restreint par contrat l'utilisation de son rseau un usage vocation d'enseignement et de recherche. Les quipements portables appartenant l'tablissement restent partie intgrante de la PSSI mme lorsqu'ils sont utiliss en dehors des sites.

les actifs immatriels :

les donnes lies l'activit de recherche ralise au sein de l'tablissement y compris au titre de collaborations ou de contrats. Cela inclut les donnes destines la publication ou la vulgarisation (livres, photographies, films...) les donnes lies l'activit d'enseignement (supports de cours, cours en ligne...) les prestations scientifiques ou littraires (service de bases de donnes, services web...) proposes des communauts d'usagers internes ou externes l'tablissement les donnes administratives lies la gestion (ressources humaines, donnes comptables, donnes patrimoniales,...), la recherche (contrats de recherche...) et l'enseignement (concours d'entre l'cole normale suprieure, gestion pdagogique des lves...) les donnes mdicales lies aux personnes les donnes associes la gestion des services d'hbergement et de restauration les donnes associes aux services grant les changes d'informations (affranchissement, tlphonie, informatique, rseau...) les donnes associes la gestion de la scurit des personnes et des biens (contrle d'accs, hygine et scurit...) les donnes et prestations ddies la communication de l'cole normale suprieure et d'une manire plus gnrale toutes les donnes et prestations associes l'tablissement

Remarque : les donnes propres l'tablissement se trouvant hors de l'tablissement restent partie intgrante de la PSSI.

les ressources humaines et morales :

les administrateurs des systmes et rseaux (ASR) qui ont pour charge titre principal ou non la maintenance des actifs informatiques les personnes impliques dans le dveloppement des systmes d'information les utilisateurs des systmes d'information, personnels statutaires, contractuels, lves ou tudiants de l'cole normale suprieure les tiers dfinis comme tant toute personne morale ou physique (entreprises, associations...) qui n'est pas place sous l'autorit du directeur de l'cole normale suprieure. Cela inclut notamment :

les partenaires institutionnels (CNRS, EHESS, INRA, INRIA, INSERM, universits et tablissements d'enseignement suprieur et de recherche...) et les personnels rattachs ces institutions quel que soit leur statut (personnels statutaires ou contractuels, tudiants...) les fondations et les personnes agissant en leur nom les associations but non lucratif et les personnes agissant en leur nom les partenaires industriels avec lesquels il est tabli des conventions de recherche et 9

PSSI ENS 14/04/2010

les personnes mandates par ceux-ci dans le cadre du contrat

les entreprises fournisseurs d'quipements ou prestataires de services, y compris leurs sous-traitants et les personnels mandats par ceux-ci dans ce cadre les personnes externes utilisant titre gracieux ou payant les systmes d'information de l'cole normale suprieure

4 Objectifs de scurit et mesures

La politique de scurit des systmes dinformation de l'cole normale suprieure dfinit un ensemble de principes organisationnels et techniques caractre prioritaire. Ils ont vocation tre explicits, voire complts, dans le cadre dinstructions ou dispositions techniques dont la responsabilit dlaboration, de diffusion et dinformation relve de la chane fonctionnelle SSI. Ils constituent les fondamentaux de la mise en uvre de la SSI dans les entits qui doivent prendre les dispositions ncessaires leur application au sein de leur primtre. Ces principes doivent tre complts et adapts aux besoins spcifiques de ces entits. Pour les structures multi-tutelles, ils doivent de plus intgrer le cas chant les orientations de ces autres tutelles, dans le cadre de la PSSI que ces dernires ont dfinie. Les objectifs de scurit et les mesures prconises sont dvelopps dans un document complmentaire.

5 Mise en uvre de la PSSI

5.1 Applicabilit de la PSSI Aprs validation des documents, la politique de scurit des systmes d'information est applicable. Le comit de pilotage s'assure de sa mise en uvre. 5.2 Manquement la politique de la scurit des systmes d'information 5.2.1 Mesures applicables par les administrateurs informatiques et rseaux (ASR)

Les responsables informatiques et rseaux peuvent en cas durgence user de mesures conservatoires : dconnecter un utilisateur, avec ou sans pravis selon la gravit de la situation suspendre l'activit d'un processus qui nuirait au bon fonctionnement des systmes d'information isoler un systme informatique du rseau si celui-ci prsente un comportement qui mettrait en pril la scurit des systmes d'information isoler ou neutraliser provisoirement toute donne ou fichier qui mettrait en pril la scurit des systmes d'information Ils doivent en informer le CSSI de l'entit concerne et les RSSI. Ils ont un devoir de confidentialit et ne doivent communiquer sur l'incident que ce qu'ont en connatre les autres personnes. Ils doivent veiller au mieux ne pas modifier un environnement pour le recueil de preuves, si l'incident dtect ncessite ultrieurement un dpt de plainte. 10 PSSI ENS 14/04/2010

5.2.2

Mesures applicables par les CSSI

Le CSSI d'une entit veille au respect de la PSSI par les utilisateurs de l'entit. En cas de manquement observ, il doit rappeler les rgles en vigueur aux utilisateurs concerns et peut appliquer provisoirement les mesures conservatoires suivantes : dconnecter un utilisateur, avec ou sans pravis selon la gravit de la situation restreindre ou interdire un utilisateur les accs ses comptes sur les systmes d'information de l'entit imposer un changement de mot de passe un utilisateur suspendre l'activit d'un processus sur un systme isoler du rseau le ou les systmes d'information concerns bloquer les connexions externes du ou des systmes d'information concerns imposer l'installation de logiciels ou des mises jour de scurit sur le ou les systmes d'information concerns Le CSSI doit cependant informer le plus rapidement possible l'utilisateur de cette situation. Ces mesures doivent tre limites au temps ncessaire un retour des conditions normales. La mise en uvre de ces mesures n'implique pas obligatoirement une responsabilit du propritaire du compte ou du systme informatique concern. Elles ont pour objectif de prserver la scurit des systmes d'information et n'ont pas vocation tre des sanctions. En cas de faits graves ou de rcidives, le CSSI doit, de plus, informer immdiatement les RSSI de l'cole normale suprieure. Il a un devoir de confidentialit et ne doit mentionner aux autres utilisateurs que le strict ncessaire. Le CSSI doit veiller au mieux ne pas modifier un environnement pour le recueil de preuves, si l'incident dtect ncessite le dpt d'une plainte. 5.2.3 Mesures applicables par les RSSI

A la suite dun manquement observ la PSSI, les RSSI peuvent appliquer ou demander d'appliquer les mesures dcrites au paragraphe prcdent tout utilisateur ou tout systme de l'cole normale suprieure. De plus, sur la base des analyses d'activits, de la dtection de comportement atypique, d'avis du CERT ou d'autres autorits reconnues, les RSSI peuvent tre amens alerter les utilisateurs concerns ou requrir des informations auprs deux. Celles-ci peuvent tre assorties du blocage des flux rseaux partiels ou totaux provenant d'un ou plusieurs systmes d'information, ou d'un sous-rseau, ou de la suspension des accs aux systmes d'information. En cas d'incidents graves, comme ceux susceptibles d'entraner le dpt d'une plainte ou entachant l'image de l'cole normale suprieure ou de l'une des tutelles d'une entit, mais aussi une rcidive un manquement la PSSI ou une non rponse une requte d'information, les RSSI peuvent convoquer un utilisateur. Cette convocation se traduit par un entretien entre l'utilisateur concern et les RSSI. Il est rappel les conditions de l'incident et, si ncessaire, les rgles de la PSSI en vigueur et discut des mesures devant tre prises. A l'issue de celui-ci, les RSSI peuvent prendre une ou plusieurs des mesures suivantes : considrer l'incident comme clos et sans suite demander l'application de mesures spcifiques et maintenir, s'il y a lieu, l'application de la suspension du droit d'usage des systmes d'information l'cole normale suprieure jusqu' la ralisation de ces mesures PSSI ENS 14/04/2010 11

rappeler les obligations en vigueur lutilisateur. Une information est alors faite la chane hirarchique et la chane fonctionnelle remettre le traitement de l'incident la chane hirarchique. Une information est alors faite la chane fonctionnelle Dans le cas particulier d'utilisateurs externes ayant un compte ouvert sur un systme d'information de l'cole normale suprieure, les RSSI peuvent procder ou demander procder la clture dfinitive de ce compte. En cas d'incidents portant prjudice l'cole normale suprieure ou l'une des entits du primtre de la PSSI, les RSSI peuvent proposer le dpt d'une plainte auprs du procureur de la Rpublique. En cas dincidents susceptibles dentraner des mesures disciplinaires, les rgles en vigueur sappliquent. ***

Groupe de travail ayant particip llaboration de ce document : Olivier Abillon, Directeur des tudes scientifiques Jean-Franois Barb, Directeur du CRI Jacques Beigbeder, Responsable de la scurit des systmes d'information Audrey Gillot, Secrtariat gnral Mathias Kende, lve scientifique lu au conseil d'administration Simon Larger, Secrtariat gnral Rmy Portier, CSSI CNRS dpartement de physique Bndicte Sabatier-Labeyrie, CSSI CNRS dpartement de sciences sociales Pierre Vincens, Responsable de la scurit des systmes d'information supplant

12

PSSI ENS 14/04/2010

Glossaire
A propos des SI (Systmes d'Information) ANSSI : Agence Nationale de la Scurit des Systmes d'Information rattache au Secrtaire gnral de la dfense nationale cre par dcret du 7/7/2009 AQSSI : Autorit Qualifie pour la Scurit des Systmes d'Information (Directeur d'tablissement) ASR : Administrateur des Systmes et Rseaux CSSI : Correspondant de la Scurit des Systmes d'Information DCSSI : Direction Centrale de la Scurit des Systmes d'Information rattache au Premier ministre (remplace par l'ANSSI) PSSI : Politique Scurit des Systmes d'Information RSSI : Responsable de la Scurit des Systmes d'Information SMSI : Systme de Management de la Scurit de l'Information. Les termes SGSI (Systme de Gestion de la Scurit de l'Information) et SGSSI (Systme de Gestion de la Scurit des Systmes de l'Information) sont des quasi-synonymes, ISMS (Information Security Management System) tant le terme anglais OzSSI : Observatoire Zonal de la scurit des systmes dinformation Autres termes et sigles BEFTI : Brigade d'Enqutes sur les Fraudes aux Technologies de l'Information CERT : Computer Emergency Response Team. Ces organismes ont pour mission la centralisation des demandes d'assistance suite aux incidents de scurit (attaques) sur les rseaux et les systmes d'information, le traitement des alertes et la raction aux attaques informatiques, l'tablissement et la maintenance d'une base de donnes des vulnrabilits, la diffusion d'informations sur les prcautions prendre pour minimiser les risques d'incident et leurs consquences, et enfin la coordination avec les autres entits charges de la scurit. L'ENS dpend du CERT-Renater CIL : Correspondant Informatique et Liberts CNIL : Commission Nationale de l'Informatique et des Liberts CRU : Comit Rseau des Universits HFD : Haut Fonctionnaire de Dfense P2P ou peer-to-peer : principe de communication via un rseau regroupant un ensemble d'ordinateurs o chacun d'eux joue la fois le rle de client et serveur vis--vis d'une ressource (fichiers, flux audio ou vido, tlphonie, calcul,...) RAP : Rseau Acadmique Parisien fournisseur pour l'ENS de la connexion l'internet via RENATER RENATER : Rseau NAtional de tlcommunications pour la Technologie, l'Enseignement et la Recherche constitu en Groupement d'intrt public. Pour l'utiliser, il impose une charte d'usage Rezo : Partie du rseau informatique de l'ENS couvrant l'ensemble des thurnes et offrant donc aux lves l'accs l'internet. Cet accs est commun avec les autres entits et se fait via RAP/RENATER UREC : Unit Rseaux du CNRS (UPS836). C'est une unit propre de service rattache au Secrtaire gnral du CNRS

PSSI ENS 14/04/2010

13