La Politique de Sécurité des Systèmes

d'Information du CNRS

-Enjeux majeurs
-Atouts et acquis
-Nos vulnérabilités
-Impacts des menaces et quelques incidents
-Classification des Laboratoires
-Structuration des données
-Structure d'une PSSI
-Organisation et missions au niveau Régional
-Organisation et missions au niveau de l'Unité
-Exemple type d'une PSSI d'Unité
-Ce qu'implique la PSSI pour un utilisateur
-Conclusion

Réunion Directeurs 23/05

 Niveau

Les enjeux majeurs: Protection du stratégique

patrimoine scientifique
 Le patrimoine scientifique et technique national est constitué des
connaissances, informations et savoir-faire, se rapportant :
• aux technologies « sensibles » du domaine industriel,
• aux connaissances et résultats de la recherche scientifique, "dont
l ’opportunité de transfert à l ’étranger doit être appréciée au
regard des intérêts fondamentaux de la nation".

 Le patrimoine d’un laboratoire :

➨ la réputation du laboratoire auprès de la communauté
internationale des spécialistes concernés (nombre et
qualité des publications, qualité des interventions dans
les échanges internationaux, prix scientifiques…)
➨ la valorisation de la recherche, les brevets déposés,…
➨ le portefeuille de contrats de recherche (organismes publics, entreprises privées…)
➨ les compétences des chercheurs (savoir, savoir faire)
➨ le potentiel technique (infrastructures, installations, matériels…)
Réunion Directeurs 23/05
 Les enjeux majeurs
passent par la SSI Niveau
stratégique

Dans ce contexte la SSI :

– la disponibilité de l’outil de travail
– l’intégrité des données et des systèmes
– la protection de données sensibles
 données du patrimoine scientifique et technique
 données ayant trait aux intérêts fondamentaux de la Nation
 données individuelles
 données de gestion
 données échangées, stockées ou transportées
(sur postes nomades ou clé USB)
– la protection juridique (risques administratifs, risques pénaux, protection de
l’image de marque, …)

est donc un enjeu majeur pour le CNRS

Réunion Directeurs 23/05
 Des atouts et acquis importants
• Potentiel de compétence et
professionnalisme des acteurs
• Briques techniques mises en place
(recommandations, outils réseaux,…)
• Des réseaux fonctionnels (coordinateurs
et correspondants, + UREC et RENATER)
• Des actions de sensibilisation (guide,
charte…) et un dispositif de formation adapté
• Des sites WEB de soutien, des listes de diffusion,
bulletin Sécurité Informatique...
• La mise en place de certificats électroniques
Réunion Directeurs 23/05
 Nos vulnérabilités
➨ Les vulnérabilités d’ordre structurel
• l ’importance des échanges inhérents à la recherche
(coopérations…)
• le caractère ouvert des campus
• les structures mixtes de recherche
• la multiplicité des stages et visites
• les missions en pays à risques
• la diversité des situations et des comportements
➨ Les vulnérabilités d’ordre culturel
• la culture de communication des chercheurs
• l ’angélisme…
• la diversité des comportements
➨ Les vulnérabilités d’ordre juridique
• une conscience insuffisante des risques juridiques
• les vides ou ambiguïtés juridiques (cybersurveillance
des salariés,…)
➨ Les vulnérabilités d’ordres techniques
➨ Les vulnérabilités liées aux facteurs
humains et organisationnels
Réunion Directeurs 23/05
 Menaces et quelques incidents SSI
-Compromission d'un serveur et attaques à partir de ce serveur
-Vols d'ordinateurs, cambriolages
-Attaques informatiques (mise en place de serveurs Warez)
-Transmission par mail de fichiers vidéo à caractère pornographique
-Détournement d'un courriel à des fins de diffamation
-Mise en cause pénale d'un directeur de laboratoire et de son administrateur
-Projet de système d'information sensible avec un fournisseur non digne de
confiance
-Compromission d'information touchant à la prolifération nucléaire
-Utilisation de l'outil informatique pour stockage de documents pornographiques
-Menaces de mort par courriel
-Utilisation abusive d'Internet à des fins délictueuses
-Projets de contrat de Laboratoires avec des entreprises "douteuses" (liées à des
officines de renseignements étrangères)
-Systèmes et réseaux

Réunion Directeurs 23/05

 Niveau
organisationnel

Classification des laboratoires

(Source : instruction interministérielle 486 sur la protection du patrimoine scientifique et
technique français dans les échanges internationaux)
La liste des ERR et des EAS
Établissements à Régime Restrictif (ERR) : est arrêtée par le SGDN, la
établissements dont l ’activité justifie l ’existence d ’un régime liste des ERR est classifiée
d ’accès réglementé et dont l ’application peut concerner tout
ou partie de l ’établissement. Il s ’agit d ’établissements
effectuant des travaux de recherche, de développement, de
fabrication ou de maintenance, et dont la divulgation sans
contrôle à des étrangers serait contraire aux intérêts
fondamentaux de la Nation

Établissements à Accès Surveillé (EAS) :

établissements dont l ’activité générale justifie la prise de
précautions particulières dans tout ou partie de
l ’établissement mais pas l ’existence d ’un régime d ’accès
réglementé. Il s ’agit d ’établissements dont les activités ne
justifient pas le classement en ERR, mais nécessitent la prise
de précautions - codes CNRS propres (ER*, ERX, ES, ESF…)

Établissements à Régime Ordinaire (ERO) :

dans les autres cas

Réunion Directeurs 23/05

 Niveau
organisationnel

Structuration des données

 Données de gestion interne

➨ Données à caractère nominatif
➨ Certaines données comptables ou financières
➨ Données à caractère politique ou stratégique

 Données du patrimoine scientifique et technique

➨ Données relatives à des compétences ou des savoir faire internes
➨ Données relatives à la valorisation des résultats de la recherche
➨ Données relatives aux coopérations nationales et internationales
➨ Données scientifiques et techniques (travaux et résultats de
recherches ayant un caractère appliqué ou lié à des savoir faire),
/défense ou / technologies de pointe
➨ Données scientifiques et techniques dont la confidentialité
est imposée dans le cadre de contrats industriels (données “ confidentiel industriel ”)
 Données diverses de sécurité
➨ Données à caractère non scientifique touchant à des incidents internes, à la
prévention, aux classements de sensibilité, aux plans de protection etc…)
Réunion Directeurs 23/05
 Articulation entre schéma directeur et PSSI
(la vision du CNRS)
Politique nationale,
orientations
État des lieux ministérielles, enjeux pour
l’organisme

Politique
Politiqueetet Politique SSI de l'organisme
schémas
schémasdirecteurs
directeurs
des
despartenaires
partenaires Schéma directeur de la SSI,
Plan de mise en œuvre, projets, …

Politique SSI des unités

Plans locaux de mise en œuvre

Évaluation––retour
Évaluation retourd’expérience
d’expérience
Réunion Directeurs 23/05
 Contenu du document de PSSI du CNRS

C’est un document de pilotage et de communication, il doit donc être

simple et concis pour pouvoir être lu par tous les utilisateurs du SI …
et surtout par tous les décideurs ! C’est la vision stratégique de
l’organisme et la preuve de l’engagement de sa direction

Cohérence nécessaire avec les

• Enjeux politiques et directives nationales et
• Périmètre avec les politiques ou orientations des
• Analyse des risques et besoins organismes partenaires (autres
tutelles).
Réalisme (intégration des données du
• Organisation – responsabilités contexte)
• Coordination avec les autres
tutelles
• Mise en œuvre – principales lignes directrices

Réunion Directeurs 23/05

 Structure d’une PSSI globale
(vision CNRS)

La SSI n’est pas qu’un problème

technique !
Reprise et développement des
données du schéma directeur,
explicitation des choix, des
principes organisationnels et Niveau
des lignes directrices
stratégique

Définition des objectifs

stratégiques de la sécurité
Uniformisation des techniques et
méthodes utilisées : référentiel
applicatif, définition des produits, Niveau
outils, méthodes, instructions,
dispositif de formation, moyens
organisationnel
humains. Normes, règles, plans, procédures,
recommandations, structures, …

Niveau technique
Dispositifs techniques de protection et de contrôle, administration
système et réseau, outils d'audits et d'analyse des incidents, …

Responsabilité de la PSSI
globale : le FSSI Réunion Directeurs 23/05
 Niveau

Organisation et responsabilités organisationnel

• Pilotage :
- DG (AQSSI), Comité de pilotage national,
- FSD (dont CMSSI rattaché au FSD),
- expertise technique (UREC + réseau d’experts)

• Distinction chaîne organique / chaîne fonctionnelle

• Organisation et responsabilités au niveau régional

• Organisation et responsabilités au niveau « unités »

Réunion Directeurs 23/05

 Niveau

Cadre organisationnel de la SSI organisationnel

Chaîne fonctionnelle
La responsabilité "hiérarchique" est SGDN (DCSSI, CERTA …)
cohérente avec le futur rôle AQSSI,
des responsabilités du Délégué Haut Fonctionnaire de Défense
Régional et sur le terrain des
directeurs de labos.
Chaîne hiérarchique
Directeur Général Pilotage national CNRS
Comité de pilotage CERT
du CNRS
RENATER
Direction des Systèmes

Hors CNRS
d'Information FSD / FSSI
CNRS

RSSI
Opérationnel de
Directeurs d’entités la SSI (UREC)
(IN2P3, …)
CMSSI
RSSI Délégués régionaux Comité Réseau
Coordination Régionale SSI des Universités
Utilisateurs (CRSSI)

Directeurs de laboratoires
Réseau régional des
Chargé de SSI (CSSI)
Utilisateurs

L'application de la 901 va renforcer le rôle

de véritable RSSI Réunion Directeurs 23/05
 Niveau
organisationnel

Organisation SSI au niveau régional

• Une coordination régionale :

– placée sous la responsabilité générale du délégué régional du
CNRS
– oeuvrant selon les directives de la voie fonctionnelle

• comprenant :
– un responsable appartenant à la
Délégation, orienté organisation,
pilotage régional, relations /tutelles
– et quelques « experts » appartenant
à des unités de recherche

• avec pour missions principales :

Réunion Directeurs 23/05

 Missions principales de la Niveau
organisationnel

coordination régionale
• le suivi de l’état de sécurité des unités (documents de PSSI,
identification du CSSI dans l’unité, bilans de sécurité, état des
besoins…) avec priorité sur les unités les plus sensibles
• le suivi de mise en œuvre des dispositions de SSI, le tableau
de bord régional SSI et la rédaction du bilan annuel régional
• le lien avec les RSSI d’autres tutelles
• des actions de soutien (formation, information, conseils) à
destination des CSSI d’unité + conseils en cas d’incident
• des actions d’information et de sensibilisation des unités
(vers la hiérarchie et les utilisateurs)
• la participation aux exercices d’alerte, à la gestion de crise
• le relais d’information au sein de la chaîne fonctionnelle SSI
(FSD/UREC et CSSI d’unités) et autres chaînes fonctionnelles
(universités, autres EPST…)
• la participation éventuelle à des travaux nationaux
Réunion Directeurs 23/05
 Niveau
organisationnel

Coordination avec les autres

tutelles (cas des UMR)
• Tenir compte de :
– l’extrême diversité des situations et des responsabilités d’exploitation des
systèmes et réseaux
– généralement de l’absence actuelle de dispositions contractuelles relatives
aux UMR pour définir qui fait quoi en matière de SSI
– ce qui peut induire des conflits (divergences de consignes, quelle charte
utilisateur, quelle politique de gestion de traces,…) ou des réponses mal
adaptées en cas d’incident ou de crise (qui porte plainte par exemple ?)

• clarifier les responsabilités SSI entre tutelles, si possible au travers de

dispositions contractuelles du contrat quadriennal (clauses types disponibles)
• en particulier clarifier les procédures de gestion des incidents (qui fait quoi) et de
remonter d’information
• définir la PSSI d’unité (qui devra intégrer et préciser ces responsabilités)
• faire remonter auprès de la chaîne fonctionnelle toute difficulté

Réunion Directeurs 23/05

 Niveau
organisationnel

Organisation SSI au niveau de l’unité

• Responsabilité du directeur de l’unité qui nomme un « Chargé de la
Sécurité des Systèmes d’Information » (CSSI) pour lui déléguer le
pilotage de la SSI :

– Le CSSI appartient à l’unité ou à une autre unité dans le cas d’une

mutualisation de la SSI (par exemple de petites unités)
– Dans le cas des UMR : principe de l’unicité du CSSI et de la PSSI
vis-à-vis de toutes les tutelles
– Conséquence : définition d’une tutelle de référence SSI ou du
« qui fait quoi »

• Le CSSI a pour missions

principales :

Réunion Directeurs 23/05

 Niveau
organisationnel

Missions principales du CSSI en unité

• Promouvoir la mise en place d’une PSSI d’unité

• Assurer la diffusion de l’information correspondante et notamment les
instructions et recommandations – sensibiliser les utilisateurs -
• Veiller à l’application de ces instructions et recommandations
• Veiller à la bonne exploitation des avis des CERT Renater et CERTA
• Prendre les mesures nécessaires en cas d’incident (ou s’assurer qu’elles sont
prises), en liaison si nécessaire avec la chaîne fonctionnelle et en veillant à la
bonne remontée de l’information
• Veiller à la prise en compte de la sécurité dans la rédaction des contrats de sous-
traitance et les cahiers des charges des applications
• Veiller à la déclaration à la CNIL des traitements de données à caractère
personnel
• Assurer la veille en matière de SSI et les niveaux relationnels nécessaire en
liaison avec la coordination générale et plus généralement la chaîne fonctionnelle
SSI

Réunion Directeurs 23/05

 Exemple de PSSI Opérationnelle d'une
Unité

1)Organisation et responsabilités des différents acteurs

*Interne : Directeur et CSSI

Missions du CSSI
*Place de la PSSI dans la chaine fonctionnelle SSI

Réunion Directeurs 23/05

2) Périmètre de la SSI dans l'Unité
Le périmètre de la SSI exclut les services réseau de
l'Université tels que:
*Réseaux de télécoms y compris la téléphonie
*Connectivité aux principaux réseaux de campus,
métropolitains,..

En revanche, font partie:

* Espace de travail (équipements, logiciels,..)
* Espace de stockage et d'archivage
* Serveurs de mél, web
…

Réunion Directeurs 23/05

3)Enjeux et menaces
Dans l'Unité, un département travaille avec des partenaires du secteur
Défense.
Le laboratoire met en ligne une base de données de dimension
internationale avec des données sensibles.
Nous hébergeons une plate-forme d'essais qui a une vocation nationale
et dont la disponibilité permanente doit être assurée.
..
Les enjeux essentiels:
-Protection des données scientifiques et industrielles sensibles
-protection des fonctions et outils informatiques et notamment le réseau
-…

Réunion Directeurs 23/05

4) Sécurité Physique
Le CSSI formalise et organise , en concertation avec
l'Ingénieur Prévention Sécurité (où ACMO) les plans de
sécurité physique des installations techniques situées dans
son champ d'action.
Le plan de sécurité prévoit les procédures d'intervention en
cas de perturbation grave.

Réunion Directeurs 23/05

5) Principes de mise en œuvre de la PSSI
*Principes d'organisation: Conditions d'accès, Charte
informatique
*Politique de sécurité des données: sensibles, à caractère
personnel, postes de travail, supports amovibles et
matériels nomades, serveurs, applications informatiques,
sauvegarde et archivage, réparation..
*Politique de sécurité réseau: gestion du trafic, accès à
distance, sans-fil, accès à internet, infrastructure réseau et
télécom

Réunion Directeurs 23/05

6) Dispositions diverses
*Procédure de traitement des incidents et plans de gestion de crise
*Maintien du niveau de sécurité: Mise à jour des systèmes,
formation et sensibilisation des utilisateurs, postures de sécurité,
mises en garde et recommandations de la chaine fonctionnelle.
*Mesure du niveau effectif de sécurité : contrôle de gestion de la
SSI, audits, journalisation, tableaux de bord
*Maintenance et développement: Téléactions internes, externes,
développement d'applications, clauses dans les marchés
* Référentiel SSI et gestion de la documentation SI

Réunion Directeurs 23/05

 Niveau
organisationnel

Ce qu’implique la PSSI pour les

utilisateurs

– La prise de conscience des enjeux de la SSI, en particulier la « protection des données » -

prise de conscience des menaces – prise de conscience des risques juridiques (en particulier
cas des fichiers nominatifs)
– Le rappel ou la précision de leurs responsabilités, droits et devoirs : en particulier se
référer à la charte utilisateur ; noter en particulier la question des « données personnelles », les
accès au réseau de matériels extérieurs, les obligations de recouvrement…
– La connaissance de la chaîne fonctionnelle SSI et en particulier l’identification de leur
« CSSI » d’unité
– La nécessaire administration collective (par les responsables informatiques) des postes
individuels – sauf dérogations explicites
– La connaissance du dispositif de cybersurveillance arrêté au niveau de l’unité (gestion des
traces)
– La nécessaire identification de « leurs » données sensibles
– La définition des mesures de protection / disponibilité (sauvegardes)
– Le devoir de protection vis-à-vis de la confidentialité : la sécurisation du poste de travail, la
sécurisation des outils nomades, la sécurisation des échanges (messagerie), sécurisation des
applications informatiques dont ils ont la charge
– Les précautions à prendre à l’extérieur (postes nomades, wifi, mails...), en particulier en
missions en pays « à risques »

Réunion Directeurs 23/05

 Conclusion
La PSSI que vient de promulguer le Directeur du CNRS nous permet de
dépasser le stade purement technique de la SSI.
C’est un outil
– De pilotage
– De sensibilisation des utilisateurs
– De discussion avec nos partenaires
– De maîtrise de la SSI

PS: Application ASSET :Déclaration en ligne des visiteurs et stagiaires

https://asset.cnrs.fr/labo

Réunion Directeurs 23/05