ccub:guide_de_bonnes_pratiques

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

ccub:guide_de_bonnes_pratiques [2024/09/02 06:37] – - Imported by DokuWiki Advanced Plugin cardynalccub:guide_de_bonnes_pratiques [Date inconnue] (Version actuelle) – supprimée - modification externe (Date inconnue) 127.0.0.1
Ligne 1: Ligne 1:
-====== Guide de bonnes pratiques ====== 
- 
-===== Pour les utilisateurs ===== 
- 
-Ce guide de bonnes pratiques reprend pour partie les termes de la [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|charte des utilisateurs et administrateurs du Centre de calcul]].  
- 
-==== Sécurité de l'accès logique ==== 
- 
-Les mots de passe constituent une mesure de sécurité destinée à éviter toute utilisation malveillante ou abusive. Les nom d'utilisateur et mot de passe sont strictement confidentiels et incessibles. Il est recommandé de changer son mot de passe au moins une fois tous les ans.  
- 
-La [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|charte des utilisateurs et administrateurs du centre de calcul]] définit des critère de sécurité à respecter concernant le mot de passe du compte informatique.  
- 
-Le mot de passe initial doit être changé à la création du compte informatique.  
- 
-Les mots de passe doivent respecter les règles sécurité suivantes : 
- * Ils ne peuvent pas être rattachés à une information personnelle facile à deviner ou à obtenir, par exemple: noms, numéros de téléphone, dates d’anniversaire, etc. 
-  * Ils sont invulnérables à une attaque par dictionnaire (c’est-à-dire un mot de passe uniquement composé de mots figurant dans des dictionnaires) 
-  * Ils doivent respecter les règles de longueur et de complexité en vigueur. 
-  * Ils doivent être changés à chaque fois que quelque chose indique qu’ils pourraient être compromis. 
-  * L"utilisateur ne doit pas conserver d’enregistrement des informations secrètes d’authentification (par exemple sur support papier, fichier électronique ou équipement portable), sauf si le support de stockage est sûr et si la méthode de stockage a été approuvée (par exemple, un coffre-fort pour mots de passe) 
-==== Usage des services en nuage public ==== 
- 
-  * Les services en nuage public ne doivent jamais êtres utilisés. Il convient d'utiliser le service de Cloud proposé par le Centre de Calcul.  
- 
-==== Transmission de l'information ==== 
- 
-Les utilisateurs s'engagent à transférer les informations sensibles au moyen des services de transfert de donnée suivants mis à disposition par le Centre de Calcul : 
- 
-    SSH/SCP/SFTP 
-    HTTPS 
- 
-Cependant, lors que cela n'est pas possible (exemple : transfert vers des tiers), l'usage d'archives chiffrées et protégées par un mot de passe est obligatoire. Dans ce cas le mot de passe de l'archive devra être communiqué séparément des données elles mêmes. 
- 
- 
-==== Installation de logiciels tiers ====  
-Les utilisateurs n'ont en aucun cas d'autorisations pour utiliser les programmes utilitaires qui permettent de contourner les mesures de sécurité ou pouvant porter atteinte au bon fonctionnent des systèmes.  
- 
-Si un utilisateur a besoin de privilèges supplémentaires, il doit doit faire une demande de service (ticket) et un administrateur réalisera l'opération demandée si elle n'impacte pas le niveau de risque. 
- 
-Les utilisateurs ne doivent en aucun cas installer de logiciels permettant de contourner les mesures de sécurité ou permettant de réaliser des actions illégales. D'une manière générale les utilisateurs ne doivent installer que des logiciels qui sont en lien direct avec leur activité professionnelle.  
- 
-==== Respect des quotas et bon usage des espaces de stockage ====  
-Le cluster contient 3 volumes de stockage : **/user (/user1 et /user2**),** /work** et **/archive**, pour utiliser ces volumes de stockage il faut se connecter sur une machine du cluster.  
- 
-Chacun de ces espaces a des règles de stockage et d'utilisation qui lui sont propres. Il est recommandé aux utilisateurs de prendre connaissance des spécificités techniques et en matière de sauvegarde de données de chaque espace. Une description est disponible sur le site internet du Centre de Calcul : 
-[[https://ccub.u-bourgogne.fr/dnum-ccub/spip.php?article959]] FIXME Rémy : à déplacer dans la charte. 
- 
-==== Codage et développement sécurisé ====  
- 
-Les codes informatiques écrits par les personnels et utilisateurs du Centre de Calcul doivent à minima être protégés contre de les vulnérabilités suivantes : 
-  * Injections (SQL, arguments, codes) 
-  * Les inclusions de fichier incontrolées 
-  * Contournement de la politique de sécurité (authentification) 
-  * Dépassements mémoires 
- 
-Les codes écrits par les personnels du Centre de Calcul doivent systématiquement mettre en œuvre les techniques suivantes : 
-  * Validation des données d'entrée (pour tous les type d'injection, inclusions, dépassements mémoires) 
-  * Validation des données de sortie (pour les XSS notamment) 
-  * Journaliser les opérations (pour pouvoir vérifier le respect de la politique de sécurité) 
-  * Utilisation de langages interprétés autant que possible (dépassements mémoires) 
-  * Le code doit être commenté et documenté 
-  * FIXME : Développer "Relecture par un pair" 
- 
-FIXME Didier voir les guides de l'ANSSI. 
- 
-Les codes écrits par les personnels du Centre de Calcul doivent systématiquement être stockés sous /usr/ccub/bin. 
- 
-==== Déclarer un évènement lié à la sécurité de l'information ====  
- 
-Les utilisateurs du Centre de calcul doivent signaler aux administrateur du Centre de Calcul et aux Chargés de Sécurité de l'information tout incident de sécurité de l'information doit ils sont victime ou ont connaissance. En attendant le déploiement de l'outil de ticketing, le canal à privilégier est l'adresse fonctionnelle incidents.hds@u-bourgogne.fr   
- 
- 
-====== Pour les administrateurs ====== 
- 
-==== Attribution et révision des droits d'accès ==== 
- 
-=== Les droits d'accès physique === 
- 
-Le responsable du contrôle d'accès physique accorde les droits d'accès au bâtiment du Data Center. Comme précisé dans procédure de gestion des identités, des accès et des crédits, une attention particulière doit être portée à la délivrance de cartes d'accès visiteurs nominatives et occasionnels.  
- 
-=== Les droits d'accès logiques === 
- 
-Il convient de réviser périodiquement les accès aux ressources du Centre de Calcul dans les conditions définie la procédure de gestion des identités, des accès et des crédits.  
- 
-==== Formation et sensibilisation à la sécurité ==== 
- 
-=== Formation et sensibilisation === 
-Les personnels du Centre de Calcul reçoivent une formation obligatoire “Sensibilisation à la sécurité de systèmes d'information (SSI)”. Le support de formation est disponible sur l'intranet de l'uB. Il est vivement recommandé d'y assister pour se tenir au courant des dernières menaces de sécurité.  
- 
-Les CSSI participent périodiquement (tous les trimestres) à des réunions d'informations autour de la SSI.  
- 
-=== Politique de verrouillage bureaux vides ===  
-précise que le poste de travail doit impérativement être verrouiller lorsque celui-ci est laissé sans surveillance et doit faire l'objet d'un verrouillage automatique après 20 minutes d'inactivité.  
- 
-==== Développement externalisé ==== 
-Le développement externalisé est formellement interdit.  
- 
  
  • ccub/guide_de_bonnes_pratiques.1725259023.txt.gz
  • Dernière modification : 2024/09/02 06:37
  • de cardynal