Contexte et objectifs
Périmètre de la SSI
La sécurité des systèmes d’information (SSI) de Potions couvre l’ensemble des systèmes d’information de l’entreprise avec toute la diversité que cela implique dans les usages, les lieux d’utilisation, les méthodes d’accès, les personnes concernées.
Besoins de sécurité
La sécurité du Système d’Information repose sur les critères suivants :
- Confidentialité : « La confidentialité est la propriété qu’une information n’est ni disponible ni divulguée aux personnes, composantes ou processus non autorisés » norme ISO 7498-2 (ISO90).
- Disponibilité : Propriété d’accessibilité au moment voulu des données et des fonctions par les utilisateurs autorisés.
- Intégrité : « L’intégrité est la prévention d’une modification non autorisée de l’information » norme ISO 7498-2 (ISO90). Les besoins de sécurité s’appliquent aussi bien aux ressources du système d’information (postes informatiques, réseaux, applications…) qu’aux données traitées par ces ressources. Il est nécessaire d’inventorier et de classifier ces données (défense, scientifique, gestion, nominative, stratégique…) afin d’en identifier le degré de sensibilité et donc le besoin de protection nécessaire.
Menaces
Afin de mettre en place les moyens de sécurité adéquates, la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité – DCSSI) préconise de connaître les typologies de menaces et leurs impacts. On distingue ainsi :
- les attaques visant directement le système d’information : vol de données (et éventuellement les ressources supportant ces données), modification des données, déni de service…
- les attaques visant les ressources informatiques : vol de ressources, détournement des ressources, altération des données, émission de malware…
- les accidents : sinistres naturels, altération accidentelle des données ou ressources…
Pour chaque menace, il est alors nécessaire d’en évaluer le risque, i.e. considérer la probabilité que celle-ci devienne réalité et détecter les éventuels facteurs aggravants (négligence constatée, insuffisance d’information, de consignes…).
Mise en œuvre de la PSSI
La PSSI de Potions affiche un ensemble de principes d’ordre organisationnel et technique à caractère prioritaire. Ces principes sont explicités, voire complétés, dans le cadre d’instructions ou dispositions techniques dont la responsabilité d’élaboration, de diffusion et d’information relève de la chaîne fonctionnelle SSI.
Organisation
Accès aux ressources informatiques
La mise à disposition d’un utilisateur de moyens informatiques doit être formalisée à l’arrivée, au
changement de fonction et au départ de l’intéressé. L’accès aux ressources doit être contrôlé (identification, authentification) et adapté au droit à en connaître de l’utilisateur (droits et privilèges, profil utilisateur).
Charte informatique
Préalablement à son accès aux outils informatiques, l’utilisateur doit prendre connaissance des droits et devoirs que lui confère la mise à disposition par sa composante de ces outils. Cette information se fait au travers de la « charte du bon usage des moyens informatiques » intégrée dans le règlement intérieur Potions.
Protection des données
Disponibilité, confidentialité et intégrité des données
Le traitement et le stockage des données numériques, l’accès aux applications et services et les échanges de données entre systèmes d’information doivent être réalisés selon des méthodes visant à prévenir la perte, la modification et la mauvaise utilisation des données ou la divulgation des données ayant un caractère sensible.
Une sauvegarde régulière des données avec des processus de restauration régulièrement validés doit être mise en place. On distinguera les sauvegardes de production (par exemple, restauration d’une donnée) des sauvegardes de recours (par exemple, reprise des services sur des moyens externes suite à incident majeur). Une étude fine des données (criticité, volatilité, fluctuation…) permettra de définir la périodicité et le type de sauvegarde ainsi que la durée de rétention dans le respect des législations en vigueur.
Protection des données sensibles
Les données présentant un caractère sensible doivent être identifiées et le cas échéant repérées selon un niveau de sensibilité ; il sera procédé régulièrement à un réexamen de la sensibilité des données. Ces données devront faire l’objet d’une protection au niveau du contrôle d’accès (authentification et contrôle d’autorisation), du traitement, du stockage ou de l’échange (chiffrement) pour en assurer la confidentialité.
Avant toute cession ou mise au rebut d’un matériel ayant contenu des données sensibles, il est nécessaire de s’assurer que toutes les données ont bien été effacées par un procédé efficace et selon les recommandations techniques nationales. Si cela s’avère impossible les supports concernés devront être détruits.
Données à caractère personnel
Les traitements de données contenant des informations à caractère personnel doivent se conformer au RGPD. Toute formalité requise de déclaration ou d'autorisation doit être effectuée auprès de la CNIL, via le délégué à la protection des données (DPD) de l'établissement. Les données personnelles, considérées comme sensibles, doivent être protégées conformément aux exigences du RGPD.
Chiffrement
Le chiffrement, en tant que moyen de protection, est obligatoire pour le stockage et l’échange de données sensibles.
Sécurisation du Système d’information
Administration des serveurs
L’administration des serveurs de l’établissement est placée sous la responsabilité des DevOps de l’entreprise.
Administration des postes de travail
L’administration des postes de travail individuels est placée sous la responsabilité des
DevOps de l’entreprise. L’administration des postes par les utilisateurs eux-mêmes doit demeurer l’exception et être justifiée en termes de besoins et de compétences.
Les DevOps de l’entreprise peuvent intervenir à distance pour des opérations de maintenance sur le poste de travail d’un utilisateur après l’en avoir averti et en respectant les principes de la loi Informatique et Libertés.
Sécurisation des postes de travail et des moyens nomades
La sécurisation des postes de travail et des moyens nomades est placée sous la responsabilité des DevOps de l’entreprise. L’accès aux postes de travail et moyens nomades doit être protégé par mots de passe suffisamment robustes ; chaque mot de passe est personnel et confidentiel et, à ce titre, il ne doit pas être divulgué à un tiers, quel qu’il soit, ni laissé sans protection.
Les utilisateurs veillent au bon déroulement des applicatifs de sécurisation installés sur les moyens informatiques mis à leur disposition : mises à jour effectives de l’anti-virus, du système d’exploitation et des applications présentes, remontée des dysfonctionnements et incidents auprès du correspondant sécurité de leur composante… En particulier, les utilisateurs prendront des mesures spécifiques adaptées en cas d’utilisation des moyens nomades en dehors de leur zone de sécurité (protection contre le vol, chiffrement…).
Contrôle d’accès
Tout accès au système d’information est soumis à l’identification/authentification du demandeur et au contrôle de ses autorisations/habilitations. L’authentification doit se faire, dans la mesure du possible, au travers de l’annuaire Potions. Il importe de bien définir les autorisations et de n’attribuer que les privilèges nécessaires. Les accès doivent être journalisés. L’utilisation de comptes partagés ou anonymes doit demeurer l’exception et être justifiée en termes de besoins.
L’attribution et la modification des accès et privilèges d’un service doivent être validées par le propriétaire du service. Pour les services sensibles, un inventaire régulièrement mis à jour en sera dressé.
Sécurité des applications
La sécurité doit être prise en compte à toutes les étapes d’un projet, interne ou externe, lié au système d’information Potions.
Les applications informatiques de gestion et les applications internet, doivent être sécurisées, en cohérence avec la sensibilité des informations traitées et échangées.
Réseau
Les systèmes d’information doivent être protégés vis-à-vis de l'extérieur à l'aide de filtres d'accès appliqués sur les équipements en tête de son réseau. Les serveurs doivent être protégés spécifiquement vis-à-vis des postes de travail et des autres serveurs. On distinguera les serveurs accessibles uniquement à partir du réseau Potions et ceux accessibles aussi de l’extérieur. Pour chaque réseau de serveurs, les filtres d’accès, sont systématiquement du type « tout ce qui n’est pas explicitement autorisé est interdit ». Les serveurs potentiellement accessibles de l’extérieur feront l’objet d’une surveillance accrue (outils d’analyse des trace, de métrologie…). L’accès externe aux serveurs par les moyens nomades s’effectue au travers de connexions dédiées et chiffrées (tunnel SSH).
Maintien du niveau de sécurité
Le maintien du niveau de sécurité doit faire l’objet de dispositions techniques. Ces dispositions doivent intégrer le maintien au cours du temps de l’état de sécurité des différents matériels : application des correctifs, mises à jour des antivirus, pare-feu… Elles doivent préciser les conditions de surveillance du fonctionnement du système d’information de manière à s’assurer de son état de sécurité : analyse des journaux, vérification des vulnérabilités, suivi des avis de sécurité…
Mesure du niveau effectif de sécurité
Gestion d’incidents
Chaque acteur du système d’information, utilisateur ou administrateur, doit être sensibilisé à l’importance de signaler tout incident réel ou suspecté ; ceci inclut le vol de moyens informatiques ou de supports de données. Le signalement des incidents à la chaîne fonctionnelle SSI et aux autorités hiérarchiques est systématique.