ccub:pssie

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

ccub:pssie [2024/09/02 06:37] – - Imported by DokuWiki Advanced Plugin cardynalccub:pssie [Date inconnue] (Version actuelle) – supprimée - modification externe (Date inconnue) 127.0.0.1
Ligne 1: Ligne 1:
-====== Conformité à la PSSIE ====== 
-{{ cir_39217.pdf |L'instruction 901}} s'applique aux entités publiques ou privées soumises à la réglementation relative à la protection du potentiel scientifique et technique de la nation qui mettent en œuvre des systèmes d'information sensibles. 
- 
-S'appliquent donc les règles du titre II et de l'annexe 1. L'annexe 1 est en fait une reprise des items de la {{cir_38641.pdf|circulaire de 2014 du Premier Ministre}} fixant la PSSIE. 
- 
-On n'examine ici que la conformité à la PSSIE dans le périmètre du SMSI. 
- 
-===== Règles du titre II ===== 
-==== Article 5 - Détermination de la sensibilité des informations ==== 
-Ceci est assuré par la classification des informations ([[a5.12]]) et le marquage des supports ([[a5.13]]) 
-==== Article 6 - Gouvernance de la protection des SI ==== 
-La [[politique de sécurité]] est partie intégrante du présent SMSI. 
- 
-L'[[organisation et gouvernance]] y est décrite et approuvée à l'occasion des revues du COPIL SMSI. 
- 
-==== Article 7 - Maîtrise des risques ==== 
-La PSSI est bien élaborée à partir d'une [[analyse des risques]], dont les conclusions sont consignées dans la [[DDA|déclaration d'applicabilité]]. 
- 
-==== Article 8 - Homologation des SI sensibles ==== 
-FIXME - Décision d'homologation à faire prononcer par une autorité d'homologation désignée par l'AQSSI de l'UB sur la foi de cette page. 
- 
-==== Article 9 - Protection des SI ==== 
-La cartographie des SI constituant le périmètre du SMSI est réalisée via l'inventaire des actifs ([[a5.09]]). Les mesures de sécurité concernent aussi bien les atteintes physiques, logiques qu'organisationnelles. 
- 
-==== Article 10 - Gestion des incidents de sécurité des SI ==== 
-La capacité de détection est assurée par les activités de surveillance ([[a8.16]]). La réaction se fait conformément à la procédure de [[gestion des incidents]]. 
- 
-==== Article 11 - Évaluation du niveau de sécurité ==== 
-Les risques résiduels sont évalués selon la procédure d'[[analyse des risques]], récapitulés dans le [[tableau des risques]] et approuvés par leurs propriétaires. 
- 
-Des audits techniques annuels sont planifiés selon la [[procédure d'audits]]. 
- 
-==== Article 12 - Relation avec les autorités de l’État ==== 
-La relation est organisée conformément à la chaîne fonctionnelle SSI telle que décrite dans la procédure [[Organisation et gouvernance]]. 
- 
-====== Circulaire de 2014 ====== 
-===== Politique, organisation, gouvernance ===== 
-==== Organisation SSI ==== 
-=== ORG-SSI: Organisation de la SSI === 
-L'organisation dédiée à la SSI au sein du CCUB est le COPIL SMSI tel que décrit par la procédure [[Organisation et gouvernance]]. 
-==== Acteurs SSI ==== 
-=== ORG-ACT-SSI - Identification des acteurs SSI === 
-Les acteurs SSI sont identifiés dans la procédure [[Organisation et gouvernance]]. Certains d'entre eux sont par ailleurs Correspondants SSI au sein de la chaîne fonctionnelle SSI, assurant la cohérence entre les niveaux opérationnel et fonctionnel. 
-==== Responsabilités internes ==== 
-=== ORG-RSSI - Désignation du responsable SSI === 
-La directrice de la DNUM est RSSI pour l'ensemble de son périmètre. Elle s'appuie opérationnellement sur le responsable du centre de calcul et le responsable d'exécution du SMSI. Tous trois sont membres du COPIL SMSI. 
-=== ORG-RESP - Formalisation des responsabilités === 
-Les responsabilités sont exprimées dans la procédure [[organisation et gouvernance]] pour le fonctionnement global du SMSI et dans chaque procédure pour sa mise en œuvre. 
-==== Responsabilités vis à vis des tiers ==== 
-=== ORG-TIERS - Gestion contractuelle des tiers === 
-Les tiers concernés sont: 
-  * Les usagers du centre de calcul 
-  * Les intervenants, sous-traitants ou autres services de la DNUM ou de l'Université de Bourgogne 
- 
-Les relations contractuelles sont cadrées grâce à: 
-  * Les conventions de service, établies selon le modèle conforme aux exigences du référentiel HDS FIXME à établir et référencer. 
-  * La prise en compte de la sécurité de l'information dans les accords avec les fournisseurs ([[a5.20]]) 
- 
-==== PSSI ==== 
-=== ORG-PIL-PSSI === 
-Le COPIL SMSI est la structure chargée de la mise en place, de l'évolution, du suivi et du contrôle de la PSSI. 
-==== Application des mesures de sécurité au sein de l'entité ==== 
-=== ORG-APP-INSTR === 
-La mise en œuvre et l'efficacité des mesures de sécurité sont rapportées annuellement lors de la revue de direction. 
-=== ORG-APP-DOCS === 
-La documentation pour l'application des mesures de la PSSI se trouve sur le présent site. 
-===== Ressources humaines ===== 
-==== Utilisateurs ==== 
-=== RH-SSI - Charte d'application de la SSI === 
-La charte d'application de la SSI est partie intégrante de la [[charte utilisateur administrateur du système d'information du centre de calcul|charte des utilisateurs et administrateurs du Centre de Calcul]] 
-==== Personnel permanent ==== 
-=== RH-MOTIV - Choix et sensibilisation des personnes tenant les postes clés de la SSI === 
-La sensibilisation est organisée selon les modalités décrites dans la mesure [[a6.03]]. 
-=== RH-CONF - Personnels de confiance === 
-Les obligations particulières des administrateurs et les sanctions encourues sont rappelées dans la [[charte utilisateur administrateur du système d'information du centre de calcul|charte des utilisateurs et administrateurs du Centre de Calcul]] 
-=== RH-UTIL - Sensibilisation des utilisateurs des SI === 
-Les utilisateurs sont également informés de leurs obligations via la [[charte utilisateur administrateur du système d'information du centre de calcul|charte des utilisateurs et administrateurs du Centre de Calcul]] 
-==== Mouvement de personnel ==== 
-=== RH-MOUV - Gestion des mutations, des arrivées et des départs === 
-La gestion des arrivées, des mutations et des départs est cadrée par la [[mesures de sécurité dans la gestion du personnel|procédure de sécurité dans la gestion du personnel]]. 
-==== Personnel non permanent ==== 
-=== RH-NPERM - Gestion du personnel non permanent === 
-La [[mesures de sécurité dans la gestion du personnel|procédure de sécurité dans la gestion du personnel]] s'applique également aux personnels non permanenets. 
-===== Gestion des biens ===== 
-==== Cartographie ==== 
-=== GDB-INVENT - Inventaire des ressources informatiques === 
-C'est l'inventaire des actifs tel que décrit dans la mesure [[a5.09]] 
-=== GDB-CARTO - Cartographie === 
-C'est l'inventaire des actifs, complété de la cartographie des réseaux FIXME - A produire 
-==== Qualifier l'information ==== 
-=== GDB-QUALIF-SENSI - Qualification des informations === 
-Elle est établie au chapitre Classification de l'information de la [[déclaration de politique de sécurité]] 
-=== GDB-PROT-IS - Protection des informations==== 
-Les attendus envers les utilisateurs dans la protection des informations sont explicités dans la [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|charte des utilisateurs et administrateurs du Centre de Calcul]] 
-===== Intégration de la SSI dans le cycle de vie des SI ===== 
-==== Gestion des risques et homologation de sécurité ==== 
-=== INT-HOMOLOG-SSI - Homologation de sécurité des SI === 
-FIXME - Décision d'homologation à faire prononcer par une autorité d'homologation désignée par l'AQSSI de l'UB sur la foi de cette page.  
-==== Maintien en condition de sécurité des SI ==== 
-=== INT-SSI - Intégration de la sécurité dans les projets === 
-Elle est cadrée par la procédure [[ccub:securite_dans_les_projets|Sécurité de l'information dans la gestion de projet]] 
-=== INT-QUOT-SSI - Mise en œuvre au quotidien de la SSI === 
-Toutes les règles de maintien en condition de sécurité sont explicitées dans les [[procédures opérationnelles]], et plus spécifiquement dans les procédures de gestion associées à chaque [[ccub:inventaire_des_actifs_sensibles|classe d'actifs sensibles]]. 
-=== INT-TDB - Créer un tableau de bord SSI === 
-Le tableau de bord est constitué des [[indicateurs]] revus lors de chaque réunion du COPIL SMSI. 
-==== Produits de sécurité et services de confiance labellisés ==== 
-=== INT-AQ-PSL - Acquisition de produits de sécurité et de service de confiance === 
-FIXME - A discuter, est-ce qu'on prend en compte les éventuels labels ANSSI dans le choix des produits ? A détailler dans [[ccub:securite_dans_les_projets|Sécurité de l'information dans la gestion de projet]] et référencer cette procédure ici. 
-==== Gestion des prestataires ==== 
-=== INT-PRES-CS - Clauses de sécurité === 
-L'inscription de clauses de sécurité dans les contrats de sous-traitance est prévue par la mesure [[a5.20]] 
-=== INT-PRES-CNTRL - Suivi et contrôle des prestations fournies === 
-Les fournisseurs sensibles sont évalués annuellement conformément à la procédure de [[sécurisation de la relation avec les fournisseurs]]. 
-=== INT-REX-AR - Analyse de risques === 
-Les défaillances liées aux fournisseurs sont intégrées dans l'[[ccub:analyse_des_risques|analyse des risques globale]] . 
-=== INT-REX-HB - Hébergement === 
-L'hébergement s'effectue uniquement sur le territoire national. 
-=== INT-REX-HS - Hébergement et clauses de sécurité === 
-L'hébergement n'est en aucun cas sous-traité à des tiers. 
-===== Sécurité physique ===== 
-=== PHY-ZONES - Découpage des sites en zones de sécurité === 
-Réalisé conformément à la mesure [[a7.01]]. 
-==== Règles s'appliquant aux zones d'accueil au public ==== 
-=== PHY-PUBL - Accès réseau en zone d'accueil du public === 
-Il n'existe pas de zone d'accueil du public. Même le réseau au sein des bureaux est isolé des réseaux de production. 
-=== PHY-SENS - Protection des informations sensibles au sein des zones d'accueil === 
-Il n'existe pas de zone d'accueil du public. 
-==== Règles complémentaires s'appliquant aux locaux techniques ==== 
-=== PHY-TECH - Sécurité physique des locaux techniques === 
-Conformément à la [[procédure de sécurité physique et environnementale]], la zone technique est de niveau 1 et donc sous contrôle d'accès. 
-=== PHY-TELECOM - Protection des câbles électriques et de télécommunications === 
-La protection des câblages est cadrée par la mesure [[a7.12]]. 
-=== PHY-CTRL - Contrôles anti-piégeages === 
-Le SI du CCUB n'est pas considéré comme sensible au point de requérir ce niveau de contrôle. 
-==== Règles générales de sécurité physique ==== 
-=== PHY-CI-LOC - Découpage des locaux en zones de sécurité === 
-Réalisé conformément à la mesure [[a7.01]]. 
-=== PHY-CI-HEBERG - Convention de service en cas d'hébergement tiers === 
-Le CCUB n'a pas recours à un hébergement physique tiers. 
-==== Règles complémentaires s'appliquant aux zones internes et restreintes ==== 
-=== PHY-CI-CTRLACC - Contrôle d'accès physique === 
-Un contrôle d'accès physique est en place sur les zones de niveau 1 et 2 conformément à la [[procédure de sécurité physique et environnementale]]. 
-=== PHY-CI-MOYENS - Délivrance des moyens physiques === 
-La délivrance des moyens d'accès physiques s'effectue selon la procédure de [[gestion des identités, des accès et des crédits]]. 
-=== PHY-CI-TRACE - Traçabilité des accès === 
-Les accès des visiteurs externes sont consignés dans le cahier de visite tel que décrit au [[a7.06]]. 
-==== Règles complémentaires s'appliquant aux salles informatiques et aux locaux techniques ===== 
-=== PHY-CI-ENERGIE - Local énergie === 
-Les systèmes électriques sont gérés et opérés par un prestataire professionnel conformément aux règles de l'art. 
-=== PHY-CI-CLIM - Climatisation === 
-Le dimensionnement de la climatisation est établi conformément à la procédure de [[gestion de la capacité]] (FIXME - Ce n'est pas documenté. 
- 
-Le fonctionnement et sa surveillance sont décrits dans la procédure opérationnelle pour l'actif sensible [[production de froid]]. 
- 
-=== PHY-CI-INC - Lutte contre l'incendie === 
-Le fonctionnement et la surveillance du système de lutte contre l'incendie sont décrits dans la procédure opérationnelle pour l'actif sensible [[securite incendie|dispositif d'alarme incendie]]. 
-=== PHY-CI-EAU - Lutte contre les voies d'eau === 
-La lutte contre les voies d'eau a été intégrée dans la conception du datacenter ({{ :ccub:plans:datacenter_plan_zones.pdf |Plan datacenter}}). 
-=== PHY-SI-SUR - Sécurisation du SI de sûreté === 
-Les risques concernant la sécurité physique sont inclus dans l'analyse des risques. 
-===== Sécurité des réseaux ===== 
-==== Sécurité des réseaux internes ==== 
-=== RES-MAITRISE - Systèmes autorisés sur le réseau === 
-La [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|charte des utilisateurs et administrateurs du Centre de Calcul]] précise que les administrateurs s'engagent à connecter aux réseaux du Centre de Calcul ou au VPN uniquement des équipements professionnels gérés. 
-=== RES-INTERCO - Interconnexion avec des réseaux externes === 
-L'interconnexion avec les réseaux externes à l'UB se fait via l'infrastructure nationale RENATER. Les interconnexions avec les réseaux internes à l'UB sont filtrées par des pare-feux. 
-=== RES-ENTSOR - Mettre en place un filtrage réseau pour les flux sortants et entrants === 
-FIXME - Voir si blocage des flux sortants (matrice réseau) 
-=== RES-PROT - Protection des informations === 
-Tous les flux externes sont chiffrés conformément à [[a8.24]]. 
-==== Sécurité des réseaux locaux ==== 
-=== RES-CLOIS - Cloisonner le SI en sous-réseaux de niveaux de sécurité homogènes === 
-Mis en œuvre conformément à [[a8.22]]. 
-=== RES-INTERCOGEO - Interconnexion des sites géographiques locaux d'une entité === 
-Ceci concerne la liaison entre le DC et la salle SM2, effectuée par une fibre directe ([[ccub:a7.12|Sécurité du câblage]]). 
-=== RES-RESS - Cloisonnement des ressources en cas de partage de locaux === 
-La salle machine du DC est partagée avec des équipements réseaux généraux, mais le CCUB y dispose d'un ilot dédié pour le calcul et le stockage. 
-==== Accès spécifiques ==== 
-=== RES-INTERNET-SPECIFIQUE - Cas particulier des accès spécifiques dans une entité === 
-Aucune dérogation n'est accordée pour des accès spécifiques à Internet. 
-==== Scurité des réseaux sans fil ==== 
-=== RES-SSFIL - Mise en place de réseaux sans fil === 
-Le réseau Wifi est considéré comme un réseau externe ne bénéficiant d'aucun privilège. 
-==== Sécurisation des mécanismes de commutation et de routage ==== 
-La sécurité des mécanismes de commutation et de routage est sous la responsabilité du service réseau de la Direction du Numérique, lui même soumis à la PSSIE. 
-/* === RES-COUCHBAS - Implanter des mécanismes de protection contre les attaques sur les couches basses === 
-FIXME - Que fait-on ? 
-=== RES-ROUTDYN - Surveiller les annonces de routage === 
-FIXME - A priori pas de routage dynamique, à confirmer. 
-=== RES-ROUTDYN-IGP - Configurer le protocole IGP de manière sécurisée === 
-FIXME - A priori pas de routage dynamique, à confirmer. 
-=== RES-ROUTDYN-EGP - Sécuriser les sessions EGP === 
-FIXME - A priori pas d'EGP, le CCUB n'est pas opérateur Internet. 
-=== RES-SECRET - Modifier systématiquement les éléments d'authentification par défaut === 
-FIXME - A préciser au chapitre Mise en service pour toutes les classes d'actifs concernées 
-=== RES-DURCI - Durcir les configurations des équipements de réseaux === 
-FIXME - A préciser au chapitre Mise en service pour toutes les classes d'actifs concernées */ 
-==== Cartographie de réseau ==== 
-=== RES-CARTO - Elaborer les documents d'architecture technique et fonctionnelle === 
-FIXME - Diagramme d'architecture réseau. 
-===== Architecture des systèmes d'information ===== 
-==== Architecture des centres informatiques ==== 
-=== ARCHI-HEBERG - Principes d'architecture de la zone d'hébergement === 
-L'analyse des risques portant sur les critères DICA est prise en compte dans la construction de l'architecture. 
-=== ARCHI-STOCKCI - Architecture de stockage et de sauvegarde === 
-Le réseau de stockage et de sauvegarde est dédié. 
-=== ARCHI-PASS - Passerelle Internet === 
-L'accès à internet utilisé par le Centre de Calcul est assuré par RENATER qui à la maitrise des interconnexions avec le reste du monde. 
- 
- 
-===== Exploitation des systèmes d'information ===== 
-==== Protection des informations sensibles ==== 
-=== EXP-PROT-INF - Protection des informations sensibles en confidentialité et en intégrité === 
-Les mesures de sécurité sont adoptées suite à une analyse de risques portant notamment sur la confidentialité et l'intégrité. 
-==== Sécurité des ressources informatiques ==== 
-=== EXP-TRAC - Traçabilité des interventions sur le système === 
-Les interventions sur les systèmes de production sont tracés par des tickets de demande de service et de changement, comme explicité dans la procédure de [[gestion des changements]]. 
-=== EXP-CONFIG - Configuration des ressources informatiques === 
-Les configurations sont gérées, automatisées et archivées comme prévu par la mesure [[a8.09]] 
-=== EXP-DOC-CONFIG - Documentation des configurations === 
-Les configurations sont gérées, automatisées et archivées comme prévu par la mesure [[a8.09]] 
-==== Contrôle des accès logiques ==== 
-=== EXP-ID-AUTH - Identification, authentification et contrôle d'accès logique === 
-L'identification et authentification s'effectuent selon la procédure de [[gestion des identités, des accès et des crédits]]. 
-=== EXP-DROITS - Droits d'accès aux ressources === 
-L'attribution et la revue des droits d'accès sont explicités dans la procédure de [[gestion des identités, des accès et des crédits]]. 
-=== EXP-PROFILS - Gestion des profils d'accès aux applications === 
-Les profils d'accès sont attribués sur la base des rôles identifiés dans la procédure de [[gestion des identités, des accès et des crédits]]. 
-==== Processus d'autorisation ==== 
-=== EXP-PROC-AUTH - Autorisation d'accès d'un utilisateur === 
-Le processus d'autorisation est décrit dans  la procédure de [[gestion des identités, des accès et des crédits]]. 
-=== EXP-REVUE-AUTH - Revue des autorisations d'accès === 
-Les autorisations d'accès des usagers sont temporaires et doivent être renouvelées après un an. 
-==== Gestion des authentifiants ==== 
-=== EXP-CONF-AUTH - Confidentialité des informations d'authentification === 
-La nécessité de protéger les informations d'authentification est rappelée dans la [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|charte des utilisateurs et administrateurs du Centre de Calcul]] 
-=== EXP-GEST-PASS - Gestion des mots de passe === 
-La nécessité de protéger les informations d'authentification est rappelée dans la [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|charte des utilisateurs et administrateurs du Centre de Calcul]]. Les protocoles utilisés lors de l'authentification sont chiffrés. 
-=== EXP-INIT-PASS - Initialisation des mots de passe === 
-L'attribution du mot de passe initial est décrit dans la procédure de [[ccub:gestion_des_identites_des_acces_et_des_credits#mot_de_passe_initial|gestion des identités, des accès et des crédits]]. 
-=== EXP-POL-PASS - Politique de mots de passe === 
-Les règles de composition et de complexité des mot de passe sont décrites dans la procédure de [[ccub:gestion_des_identites_des_acces_et_des_credits#regles_sur_la_composition_des_mots_de_passe|gestion des identités, des accès et des crédits]]. 
- 
-=== EXP-CERTIFS - Utilisation de certificats électroniques === 
-Les certificats serveurs sont émis par une autorité de certification titulaire d'un marché national piloté par RENATER. 
-=== EXP-QUAL-PASS - Contrôle systématique de la qualité des mots de passe === 
-Le changement de mot de passe impose le respect des réègle de composition et de complexité définies ([[ccub:gestion_des_identites_des_acces_et_des_credits#changement_de_mot_de_passe|gestion des identités, des accès et des crédits]]). 
-==== Gestion des authentifiants d'administration ==== 
-=== EXP-SEQ-ADMIN - Séquestre des authentifiants "administrateur" === 
-Le séquestre des authentifiants des comptes à privilèges n'est pas utile dans notre contexte car ils sont connus par l'ensemble des administrateurs du Centre de Calcul. 
- 
-=== EXP-POL-ADMIN - Politique de mots de passe "administrateur" === 
-Les authentifiants  des comptes matériels et administrateur sont renouvelés conformément à la procédure [[ccub:gestion_des_identites_des_acces_et_des_credits|Gestion des identités, des accès et des crédits]] et à la [[ccub:mesures_de_securite_dans_la_gestion_du_personnel|procédure de sécurité dans la gestion du personnel]] 
- 
-=== EXP-DEP-ADMIN - Gestion du départ d'un administrateur === 
-Les départs sont encadrés par la [[mesures_de_securite_dans_la_gestion_du_personnel|procédure de sécurité dans la gestion du personnel]] 
-==== Administration des systèmes ==== 
-=== EXP-RESTR-DROITS - Restriction des droits === 
-Les usagers du CCUB n'ont pas de droits d'administrateurs, nu accès à des utilitaires leur permettant d'augmenter leurs privilèges. Ceci est cadré par la [[gestion des identités, des accès et des crédits]] et le [[guide de bonnes pratiques]] à l'intention des administrateurs. 
-=== EXP-PROT-ADMIN - Protection des accès aux outils d'administration === 
-Les outils d'administration ne sont accessibles qu'au travers d'un VPN attribué nominativement aux administrateurs. 
-=== EXP-HABILIT-ADMIN - Habilitation des administrateurs === 
-L'habilitation des administrateurs est encadrée par la [[mesures_de_securite_dans_la_gestion_du_personnel|Procédure de sécurité dans la gestion du personnel]] 
-=== EXP-GEST-ADMIN - Gestion des actions d'administration === 
-La traçabilité des actions d'administration est assurée par la journalisation selon [[a8.15]] 
-=== EXP-SEC-FLUXADMIN - Sécurisation des flux d'administration === 
-Les outils d'administration ne sont accessibles qu'au travers d'un VPN attribué nominativement aux administrateurs. Toutefois les postes administrateurs ne sont pas isolés. 
-=== EXP-CENTRAL - Centraliser la gestion du SI === 
-Les déploiements sont automatisés au moyen de XCAT (pour les serveurs de calcul) et d'Ansible.  
-=== EXP-SECX-DIST - Sécurisation des outils de prise de main à distance === 
-Le CCUB n'utilise pas de tels outils. 
-==== Administration des domaines ==== 
-=== EXP-DOM-POL - Définir une politique de gestion des comptes du domaine === 
-FIXME - De mémoire, le CCUB a un serveur de domaine dédié ? A détailler pour tous ces points. 
-=== EXP-DOM-PASS - Configurer la stratégie de mots de passe des domaines === 
-==== Gestion des comptes ==== 
-=== EXP-DOM=NOMENCLAT - Définir et appliquer une nomenclature des comptes du domaine === 
-=== EXP-DOM-RESTADMIN - Restreindre l'appartenance aux groupes d'administration du domaine === 
-=== EXP-DOM-SERV - Maîtriser l'utilisation des comptes de service === 
-FIXME - Ce sont les comptes automatiques utilisés dans des scripts, avec les mots de passe en dur. Le cas existe-t-il ? 
-=== EXP-DOM-LIMITSERV - Limiter les droits des comptes de service === 
-FIXME - Voir ci-dessus 
-=== EXP-DOM-OBSOLET - Désactiver les comptes du domaine obsolètes === 
-Les départs sont encadrés par la [[mesures_de_securite_dans_la_gestion_du_personnel|Procédure de sécurité dans la gestion du personnel]] 
-=== EXP-DOM-ADMINLOC - Améliorer la gestion des comptes d'administrateur locaux === 
-FIXME - Le cas existe-t-il ? 
-==== Envoi en maintenance et mise au rebut ==== 
-=== EXP-MAINT-EXT - Maintenance externe === 
-L'effacement ou la mise et rebut des supports sont cadrés par la mesure [[a7.14]] 
-=== EXP-MIS-REB - Mise au rebut === 
-L'effacement ou la mise et rebut des supports sont cadrés par la mesure [[a7.14]] 
-==== Lutte contre les codes malveillants ==== 
-=== EXP-PROT-MALV - Protection contre les codes malveillants === 
-Les mesures antivirus relèvent de la politique générale de l'UB. FIXME - A documenter selon action [[enregistrements:act231024-23]] 
-=== EXP-GEST-ANTIVIR - Gestion des événements de sécurité de l'antivirus === 
-Les mesures antivirus relèvent de la politique générale de l'UB. FIXME - A documenter selon action [[enregistrements:act231024-23]] 
-=== EXP-MAJ-ANTIVIR - Mise à jour de la base de signatures === 
-Les mesures antivirus relèvent de la politique générale de l'UB. FIXME - A documenter selon action [[enregistrements:act231024-23]] 
-=== EXP-NAVIG - Configuration du navigateur Internet === 
-Les navigateurs ne sont pas déployés de façon centralisée, chaque utilisateur est responsable de la sécurité de son poste conformément à la [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|charte des utilisateurs et administrateurs du Centre de Calcul]] 
-==== Mise à jour des systèmes et des logiciels ==== 
-=== EXP-POL-COR - Politique de suivi et d'application des correctifs de sécurité === 
-Cette politique est décrite par la [[procédure de gestion des vulnérabilités]] FIXME - A rédiger 
-=== EXP-COR-SEC - Déploiement des correctifs de sécurité === 
-Mise en oeuvre par actions à décrire dans la [[procédure de gestion des vulnérabilités]] FIXME - A rédiger 
-=== EXP-OBSOLET - Assurer la migration des systèmes obsolètes === 
-Les processus de surveillance et de mise à jour des systèmes sont détaillés dans le chapitre "Procédure d'exploitation" de chaque classe d'actifs sensibles. 
-=== EXP-ISOL - Isoler les systèmes obsolètes restants === 
-Le fonctionnement du centre de calcul ne requiert pas le maintien de systèmes obsolètes. 
-==== Journalisation ==== 
-=== EXP-JOUR-SUR - Journalisation des alertes === 
-La journalisation est mise en oeuvre conformément à la mesure [[ccub:a8.15]]. 
-=== EXP-POL-JOUR - Politique de gestion et d'analyse des journaux === 
-Comme décrit dans la [[ccub:politique_de_journalisation|Politique de journalisation]], les journaux ne sont analysés que pour des investigations ponctuelles. 
-=== EXP-CONS-JOUR - Conservation des journaux === 
-Comme décrit dans la [[ccub:politique_de_journalisation|Politique de journalisation]], les journaux sont bien conservés durant 12 mois. 
-==== Défense des SI ==== 
-=== EXP-GES-DYN - Gestion dynamique de la sécurité === 
-Les comportements anormaux sont surveillés et détectés au travers des supervisions techniques, comme décrit par la mesure [[a8.16]]. 
-==== Gestion des matériels fournis à l'utilisateur ==== 
-=== EXP-MAIT-MAT - Maîtrise des matériels === 
-FIXME - La [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|Charte des utilisateurs et administrateurs du Centre de Calcul]] interdit tout usage d'un matériel personnel pour accéder aux ressources du CCUB. 
-=== EXP-PROT-VOL - Rappel des protections contre le vol === 
-FIXME - A documenter dans la [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|Charte des utilisateurs et administrateurs du Centre de Calcul]] 
-=== EXP-DECLAR-VOL - Déclarer les pertes et vols === 
-FIXME - A documenter dans la [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|Charte des utilisateurs et administrateurs du Centre de Calcul]] 
-=== EXP-REAFFECT - Réaffectation de matériels informatiques === 
-La récupération des postes de travail est assurée dans le cadre de la [[ccub:mesures_de_securite_dans_la_gestion_du_personnel|Procédure de sécurité dans la gestion du personnel]]. 
-==== Nomadisme ==== 
-=== EXP-NOMAD-SENS - Déclaration des équipements nomades === 
-Tous les usages en nomadisme sont autorisés, dès lors qu'ils sont conforme à la [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|Charte des utilisateurs et administrateurs du Centre de Calcul]] 
-=== EXP-ACC-DIST - Accès à distance au SI de l'organisme === 
-Les accès distants sont encadrés par la mesure [[a6.07]]. 
-==== Sécurisation des imprimantes et copieurs ==== 
-=== EXP-IMP-SENS - Impression des informations sensibles === 
-En aucun cas les personnels du CCUB ne sont susceptibles d'imprimer des informations sensibles. 
-=== EXP-IMP-2 - Sécurité des imprimantes et des copieurs === 
-En aucun cas les personnels du CCUB ne sont susceptibles d'imprimer des informations sensibles. 
-==== Sécurité des ressources informatiques ==== 
-=== EXP-CI-OS - Systèmes d'exploitation === 
-FIXME - A confirmer et documenter. Les systèmes d'exploitation sont installés à partir d'une image durcie et réduite au minimum nécessaire. 
-=== EXP-CI-LTP - Logiciels en tiers présentation === 
-L'accès par des tiers est la raison d'être du centre de calcul. Il s'effectue toujours via une connexion SSH. 
-=== EXP-CI-LTA - Logiciels en tiers application === 
-La mise en œuvre d'un logiciel tiers (en général une application de calcul) est encadrée par la procédure de [[ccub:securite_dans_les_projets|Sécurité de l'information dans la gestion de projet]] 
-=== EXP-CI-LTD - Logiciels en tiers données === 
-Les applications mises en œuvre au CCUB ne partagent et n'exposent pas de données. Si le cas devait se présenter il serait abordé dans cadre d'un projet soumis à la procédure de [[ccub:securite_dans_les_projets|Sécurité de l'information dans la gestion de projet]] 
-=== EXP-CI-PROTFIC - Passerelle d'échange de fichiers === 
-Les transferts de fichiers en usage normal se font exclusivement via des connexions SSH. Pour des usages exceptionnels, la [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|Charte des utilisateurs et administrateurs du Centre de Calcul]] fait obligation d'utiliser des canaux sécurisés. 
-=== EXP-CI-MESSTECH - Messagerie technique === 
-FIXME - A vérifier. L'architecture n'utilise pas de messagerie technique pour des échanges entre systèmes ou applications. 
-=== EXP-CI-FILT - Filtrage des flux applicatifs === 
-Les filtrages de flux sont mis en œuvre conformément aux mesures [[a8.22]] et [[a8.23]]. 
-=== EXP-CI-ADMIN - Flux d'administration === 
-FIXME - A vérifier avec le diagramme réseau. 
-=== EXP-CI-DNS - Service de noms de domaine - DNS Technique === 
-FIXME - A vérifier, utilisation de DNS en interne. 
-=== EXP-CI-EFFAC - Effacement de support === 
-L'effacement des supports s'effectue selon la [[ccub:procedure_d_effacement_securise|Procédure d'effacement sécurisée]] 
-=== EXP-CI-DESTR - Destruction de support === 
-La mise au rebut des supports est cadrée par la mesure [[a7.14]]. 
-=== EXP-CI-TRAC - Traçabilité et imputabilité === 
-Les horloges de l'ensemble des systèmes sont synchronisées conformément à la mesure [[a8.17]] 
-=== EXP-CI-SUPERVIS - Supervision === 
-FIXME - A vérifier avec le diagramme réseau. 
-=== EXP-CI-AMOV - Accès aux périphériques amovibles === 
-L'usage des périphériques amovibles est interdit par la [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|Charte des utilisateurs et administrateurs du Centre de Calcul]]. La seule exception concerne les bandes de stockage, conservées dans des salles sécurisées au sein du DC. 
-=== EXP-CI-ACCRES - Accès au réseau === 
-FIXME - Pas trouvé les règles de raccordement d'un matériel au réseau. 
-=== EXP-CI-AUDIT - Audit et contrôle === 
-Des audits techniques annuels sont planifiés comme indiqué dans la [[ccub:procedure_d_audits|Procédure d'audit]] 
- 
- 
-===== Sécurité du poste de travail ===== 
-==== Mise à disposition du poste ==== 
-=== PDT-GEST - Fourniture et gestion des postes de travail === 
-Les utilisateurs des postes de travail constituent l'équipe locale chargée des SI. Ce sont tous des administrateurs formés et gestionnaires de leur propre [[postes de travail des administrateurs|poste de travail]]. 
-=== PDT-CONFIG - Formalisation de la configuration des postes de travail === 
-Chaque administrateur configure son poste de travail selon ses besoins, dans le respect de la [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|Charte des utilisateurs et administrateurs du Centre de Calcul]] 
-==== Sécurité physique des postes de travail ==== 
-=== PDT-VEROUIL-FIXE - Verrouillage de l'unité centrale des postes fixes === 
-Tous les postes de travail sont des portables. 
-=== PDT-VERROUIL-PORT - Verrouillage des postes portables === 
-Les administrateurs sont responsables de la sécurité physique de leurs postes de travail conformément à la [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|Charte des utilisateurs et administrateurs du Centre de Calcul]]. Toutefois le verrouillage physique n'est pas requis. La seule détention du poste de travail, sans accès au VPN de management, ne présente pas de risque significatif. 
-==== Réaffectation du poste ==== 
-=== PDT-REAFFECT - Réaffectation du poste de travail === 
-FIXME Didier - Ajouter l'effacement du poste de travail lors de la récupération à la procédure de sortie. 
-==== Gestion des privilèges sur le poste de travail ==== 
-=== PDT-PRIVIL - Privilèges des utilisateurs sur les postes de travail === 
-Tous les personnels du CCUB ont une mission d'administrateur justifiant l'attribution d'un compte à privilège. 
-=== PDT-PRIV - Utilisation des privilèges d'accès administrateur === 
-FIXME Didier - Documenter l'attribution de deux comptes à chaque utilisateur, ordinaire pour le fonctionnement usuel et administrateur en cas de besoin. 
-=== PDT-ADM-LOCAL - Gestion du compte administrateur local === 
-Tous les personnels du CCUB ont une mission d'administrateur justifiant d'être administrateur local de leur poste. 
- 
-==== Protection des informations ==== 
-=== PDT-STOCK - Stockage des informations === 
-La recopie d'informations protégées en dehors du bac à sable est interdite par la [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|Charte des utilisateurs et administrateurs du Centre de Calcul]] 
-=== PDT-SAUV-LOC - Sauvegarde/synchronisation des données locales === 
-Les données protégées ne sont pas stockées sur les postes de travail. 
-=== PDT-PART-FIC - Partage de fichiers === 
-Les données protégées ne sont pas stockées sur les postes de travail? DONC PAS PARTAG2ES. 
-=== PDT-SUPPR-PART - Suppression de données sur les postes partagés === 
-Tous les postes de travail sont attribués nominativement. 
-=== PDT-CHIFF-SENS - Chiffrement des données sensibles === 
-Le chiffrement des postes de travail est imposé par la  [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|Charte des utilisateurs et administrateurs du Centre de Calcul]]. 
- 
-Le chiffrement des baies de stockage n'est pas pertinent compte tenu des besoins de performance du calcul. 
- 
-=== PDT-AMOV - Fourniture de supports de stockage amovibles === 
-La [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|Charte des utilisateurs et administrateurs du Centre de Calcul]] interdit le stockage des informations protégées sur des supports amovibles. 
- 
-Les supports amovibles nécessaires à l'exploitation sont fournis par le CCUB. 
-==== Nomadisme ==== 
-=== PDT-NOMAD-ACCESS - Accès à distance aux SI === 
-L'accès à distance des administrateurs s'effectue exclusivement par VPN. 
-=== PDT-NOMAD-PAREFEU - Pare-feu local === 
-FIXME Didier - A priori systématiquement présent sur les postes. Interdire la désactivation dans le guide de bonnes pratiques ? 
-=== PDT-NOMED-STOCK - Stockage local d'information sur les postes nomades === 
-Le stockage d'informations protégées sur les postes de travail est interdit par la [[ccub:charte_utilisateur_administrateur_du_systeme_d_information_du_centre_de_calcul|Charte des utilisateurs et administrateurs du Centre de Calcul]], qui impose le recours au bac à sable. 
-=== PDT-NOMAD-FILT - Filtre de confidentialité === 
-FIXME Didier - A fournir aux admins. 
-=== PDT-NOMAD-CONNEX - Configuration des connexions sans fil === 
-FIXME Didier - A discuter 
-=== PDT-NOMAD-DESACTIV - Désactivation des connexions sans fil === 
-FIXME Didier - A discuter, a priori irréaliste et superflu. 
-==== Sécurisation des imprimantes et des copieurs ==== 
-=== PDT-MUL-DURCISS - Durcissement des imprimantes et copieurs === 
-En aucun cas les informations protégées ne peuvent être imprimées. 
-=== PDT-MUL-SECNUM - Sécurisation de la fonction de numérisation === 
-En aucun cas les informations protégées ne peuvent être transmises après numérisation. 
- 
-==== Sécurisation de la téléphonie ==== 
-La téléphonie n'est pas dans le périmètre du SMSI. En aucun cas les informations protégées ne peuvent être transmises par téléphone. 
-=== PDT-TEL-MINIM - Configuration des autocommutateurs === 
-Sans objet. 
-=== PDT-TEL-CODES - Codes d'accès téléphoniques === 
-Sans objet. 
-=== PDT-TEL-DECT - Limiter l'utilisation du DECT === 
-Sans objet. 
- 
-==== Contrôles de conformité ==== 
-=== PDT-CONF-VERIF - Vérification automatique de la conformité === 
-FIXME Didier - Pas forcément une mauvaise idée, en contrepartie de la liberté laissée aux admins. 
- 
- 
-===== Sécurité du développement des systèmes ===== 
-==== Développement des systèmes ==== 
-=== DEV-INTEGR-SETLOC - Intégrer la sécurité dans les développements locaux === 
-C'est l'objet de la procédure de [[ccub:securite_dans_les_projets|Sécurité de l'information dans la gestion de projet]] 
-=== DEV-SOUS-TRAIT - Intégrer des clauses SSI dans les sous-traitances de développement === 
-Les développements informatiques ne sont pas sous-traitées (cf. exclusion de [[a8.30]]) 
-==== Développement des logiciels et sécurité ==== 
-=== DEV-FUITES - Limiter les fuites d'information === 
-La procédure de [[ccub:securite_dans_les_projets|Sécurité de l'information dans la gestion de projet]] fait obligation de n'accorder aux nouvelles applications ni droits étendus, ni nouveaux accès réseau. Les éventuels nouveaux flux doivent être identifiés et contrôlés. 
-=== DEV-LOG-ADHER - Réduire l'adhérence à des produits spécifiques === 
-L'environnement matériel et logiciel des applications est dicté par la fonction de calculateur haute performance.  
-=== DEV-LOG-CRIT - Instaurer des critères de développement sécurisé === 
-Les règles de [[ccub:guide_de_bonnes_pratiques#codage_et_developpement_securise|codage et développement sécurisé]] sont explicitées dans le [[ccub:guide_de_bonnes_pratiques|guide de bonnes pratiques]] à l'usage des administrateurs. 
-=== DEV-LOG-CYCLE - Intégrer la sécurité dans le cycle de vie === 
-La procédure de [[ccub:securite_dans_les_projets|sécurité de l'information dans la gestion de projet]] fait obligation d'établir la [[scrapbook:securite_dans_la_gestion_des_projets|fiche de sécurité]] dès le démarrage du projet et d'y consigner les exigences et les vérifications faites. 
-=== DEV-LOG-WEB - Sécurité dans les développements Web === 
-Le CCUB n'effectue pas de développement d'applications Web. 
-=== DEV-LOG-PASS - Sécuriser les empreintes des mots de passe === 
-Les mots de passe sont gérés par les systèmes d'exploitation Linux, qui les conservent sous la forme de hash salés. 
-==== Applications à risque ==== 
-=== DEV-FILT-APPL - Filtrage applicatif === 
-Le CCUB n'expose pas d'applications Web, les seuls accès applicatifs se font par SSH et ne peuvent être filtrés par une solution tierce. 
- 
-===== Traitement des incidents ===== 
-==== Chaînes opérationnelles ==== 
-=== TI-OPS-SSI - Chaînes opérationnelles SSI === 
-Le CCUB s(inscrit dans la chaîne SSI de l'Université de Bourgogne, comme indiqué dans la procédure d'[[ccub:organisation_et_gouvernance|organisation et gouvernance]]. 
-==== Traitement des alertes émises par l'ANSSI ==== 
-=== TI-MOB - Mobilisation en cas d'alerte === 
-Les alertes sont traitées conformément à la procédure de [[ccub:procedure_de_gestion_des_vulnerabilites|Gestion des vulnérabilités]] FIXME Rémi - Reste à rédiger. 
-==== Remonté des incidents rencontrés ==== 
-=== TI-QUAL-TRAIT - Qualification et traitement des incidents === 
-Les étapes de qualification et de traitement des incidents sont décrites dans la procédure de [[ccub:gestion_des_incidents|gestion des incidents]] 
-=== TI-INC-REM - Remontée des incidents === 
-La décision de remontée des incidents via la chaîne SSI est prise à l'étape 7 de la  procédure de [[ccub:gestion_des_incidents|gestion des incidents]] 
- 
-===== Continuité d'activité ===== 
-==== Gestion de la continuité d'activité des SI ==== 
-=== PCA-MINIS - Plan ministériel de continuité d'activité === 
-Sans objet, le CCUB n'est pas un ministère. 
-==== Définition du PCA des SI d'une entité ==== 
-=== PCA-LOCAL - Plan local de continuité d'activité === 
-La continuité d'activité en cas de sinistre majeur n'est pas un objectif réaliste pour une infrastructure de calcul massif. Les traitements devraient être transférés vers d'autres centres de calcul. 
- 
-La résilience sur des sinistres moindres est atteinte par la redondance des actifs (cf. les fiches pour chaque [[ccub:inventaire_des_actifs_sensibles|classe d'actifs sensibles]]) et les sauvegardes (cf. [[ccub:procedure_de_sauvegarde|Procédure de sauvegarde]]) 
-==== Mise en œuvre du plan local de continuité d'activité des SI ==== 
-=== PCA-SUIVILOCAL - Suivi de la mise en oeuvre du PCA local === 
-Les capacités de résilience de l'infrastructure sont suivies au travers des [[indicateurs#indicateurs de dimensionnement]]. 
- 
-Les sauvegardes sont contrôlées périodiquement conformément à la [[procédure de sauvegarde]]. 
-=== PCA-PROC - Mise en œuvre des dispositifs techniques et des procédures opérationnelles === 
-Les capacités de résilience sont mises en œuvre conformément à la procédure de gestion propre à chaque classe d'actifs, ainsi que la [[procédure de sauvegarde]]. 
- 
-=== PCA-SAUV - Protection de la disponibilité de sauvegardes === 
-Les répliques sont faites sur une salle distante, les sauvegardes sur bande conservées dans un local distant. 
- 
-=== PCA-PROT - Protection de la confidentialité des sauvegardes === 
-Les sauvegardes sont conservées en zone IT, soumise à un accès de niveau 2 selon la [[procédure de sécurité physique et environnementale]]. 
-==== Maintien en condition opérationnelle du plan local de continuité ==== 
-=== PCA-EXERC - Exercice régulier du PCA === 
-Les sauvegardes sont testées semestriellement conformément à la [[procédure de sauvegarde]]. 
- 
-Le groupe électrogène est testé mensuellement conformément à la fiche de l'actif sensible [[ccub:groupe_electrogene|groupe électrogène.]] 
- 
-=== PCA-MISAJOUR - Mise à jour du PCA === 
-Le PCA est entretenu au même titre que l'ensemble des procédures du SMSI. 
- 
-===== Conformité, audit, inspection, contrôle ===== 
-==== Contrôles ==== 
-=== CONTR-SSI - Contrôles locaux === 
-La conformité à la PSSIE est contrôlée par relecture du présent pointage et le suivi du fonctionnement du SMSI. 
- 
- 
- 
- 
  
  • ccub/pssie.1725259025.txt.gz
  • Dernière modification : 2024/09/02 06:37
  • de cardynal