Déclaration de politique de sécurité

La déclaration de politique de sécurité est un document que le Centre de Calcul de l'Université de Bourgogne (CCuB) partage avec ses usagers. Elle explicite les objectifs et l'organisation du Système de Management de la Sécurité de l'Information (SMSI) mis en place pour la protection de leurs informations.

Elle est complétée par une politique de sécurité détaillée, interne au CCUB et consultable dans le cadre d'une démarche d'audit.

Voir la lettre d'engagement de la direction.

Au sein de la Direction du Numérique de l'Université de Bourgogne, qui compte une soixantaine de personnes pour la mise à disposition des moyens numériques auprès des personnels et étudiants, le Centre de Calcul (5 personnes) a pour rôle la mise à disposition de moyens numériques pour la recherche, quel qu'en soit le domaine (physique, météorologie, sociologie, santé, etc.). Il s'agit notamment de moyens de calcul sur des données massives.

Dans le domaine de la santé humaine, le centre de calcul opère avec des entités externes assurant la prise en charge de patients. Les calculs effectués ne relèvent pas forcément que de la recherche, mais également de la prise en charge médicale. Typiquement, il s'agit de retrouver dans des données génomiques individuelles des signatures particulières (variants) issues de données de référence.

Occasionnellement, le centre met à la disposition d'usagers des machines virtuelles susceptibles de porter des données de santé à caractère personnel, notamment une machine porteuse du logiciel Calcium de gestion des dossiers patients pour le Centre de Prévention et de Santé Universitaire.

L'activité du Centre de Calcul est un service bien défini, dont on a vu que la certification 27001 pouvait être pertinente même dans des cas d’usage hors données de santé. Les écarts entre la certification 27001 et la certification HDS sont faibles, et ne justifient pas forcément de mettre en place des processus différenciés dans l’activité du centre.

Les informations à protéger sont:

• Les données primaires envoyées pour analyse
• Les résultats de calcul
• Les archives de résultats antérieurs
• Les données de référence (signatures de variants, etc.)
• Les configurations et scripts pour l'exécution des calculs
• Les données portées par les machines virtuelles mises à disposition.

Le CCUB dispose actuellement de deux salles sur le campus, distantes d'environ 500 mètres, le centre de données et la salle SM2. Une seconde tranche du centre de données est lancée et permettra à terme d'ouvrir une nouvelle salle, comportant deux îlots : l'un pour le HPC généraliste, l'autre dédié au traitement des données de santé.

Un bâtiment indépendant de chaufferie comporte les groupes froid et les groupes électrogènes.

Le CCUB héberge les données sur les espaces de stockage suivants :

• L’espace de stockage « HOME »
  Il s’agit d’un espace de stockage sécurisé, sauvegardé et historisé, destiné aux données primaires, données de références, configurations et scripts. Ses principales limitations sont :
  • Un coût par volume de données plus élevé que les autres espaces de stockage,
  • Une durée d’historisation limitée (typiquement 1 an),
  • Un volume maximal de modification de données autorisé par période d’historisation (afin de ne pas saturer le système d’historisation, puisque les changements sont conservés).
• L’espace de stockage « ARCHIVE »
  Il s’agit d’un espace de stockage sécurisé, destiné aux résultats archivés. Il est dupliqué sur bandes magnétiques stockées sur un autre site géographiquement distinct. Il n’y a pas d’historisation, seule la dernière version du fichier est conservée.
• L’espace de travail « WORK »
  Il s’agit d’un espace sécurisé haute performance dédié au calcul. Les données qui s’y trouvent ne sont pas sauvegardées et ne doivent idéalement y séjourner que le temps des opérations de calcul.

Les enjeux externes sont répertoriés ici selon la méthode PESTEL.

Le recours à des moyens de calcul publics est une réponse appropriée à la demande de souveraineté numérique portée par les politiques nationale et européenne.

Les usagers du centre de calcul sont essentiellement des acteurs publics de la recherche et du soin, pour lesquels le coût modéré du service du CCUB est un argument important.

La protection des données personnelles est devenue une attente forte de la population. L'Université bénéficie à ce titre d'une image positive quant à ses objectifs (elle ne va pas chercher à valoriser les données), mais faible quant à ses capacités (elle n'a pas forcément les moyens d'une gestion rigoureuse de la sécurité). La certification permettrait de combattre cette perception.

Les capacités technologiques des GAFAM sont sans commune mesure avec celles du CCUB. Celles-ci doivent rester à un niveau suffisant pour que les autres enjeux soient déterminants dans le choix de ses usagers.

La plupart des marchés publics intègrent désormais des exigences de sobriété numérique. Celles-ci sont peu compatibles du recours au calcul massif que les usagers viennent rechercher auprès du CCUB. Toutefois le recours à un centre de calcul fédéré reste bien plus efficace énergétiquement que l'usage de moyens locaux.

L'activité d'hébergement de données de santé est encadrée par le Code de la Santé Publique (article L1111-8), la certification visée est destinée à répondre à cet enjeu légal.

L'Université de Bourgogne est soumise au décret 2022-513 relatif à la sécurité numérique du système d'information et de communication de l’État et de ses établissements publics. Dans ce cadre elle doit appliquer l'instruction interministérielle n°901 relative à la protection des SI sensibles.

L'obtention de certifications 27001 et HDS serait un atout pour le centre de calcul dans la démonstration de sa capacité à protéger tant les données primaires confiées par ses usagers que les processus de calcul et les résultats obtenus, en appui à la démarche de protection du potentiel scientifique et technique de l'Université.

La mise en œuvre d'un système de management formalisé renforce par ailleurs la structuration du fonctionnement quotidien du CCUB, bénéfique pour sa résilience, le confort de fonctionnement pour ses personnels, l'évaluation et l'amélioration de sa performance.

Les personnels susceptibles d'être attirés par la technicité des solutions déployées par le CCUB sont a priori peu favorables à la formalisation des processus, perçue comme bureaucratique et chronophage. Il est important dans la mise en œuvre du SMSI de renforcer sa valeur perçue (amélioration continue des performances) et de minimiser les impacts opérationnels (automatisation, inscription dans les processus opérationnels habituels).

Les responsables de traitement portant sur des données de santé à caractère personnel ne peuvent recourir qu'à des hébergeurs certifiés HDS.

Dans le cas de calcul relevant de la prise en charge médicale, les enjeux de confidentialité et d'intégrité sont évidemment essentiels, mais également ceux de disponibilité, sachant que :

• Les données primaires issues des séquenceurs à haut débit sont trop volumineuses pour être stockées sur leur site de production et le centre de calcul en détient donc l'unique exemplaire.
• L'indisponibilité des outils de calcul ou des résultats en temps voulu peut entraîner un retard de prise en charge, une augmentation du nombre des examens complémentaires ou avoir des conséquences graves pour le patient, par exemple l’impossibilité de réaliser ou de prendre la décision de réaliser une IMG avant terme et les risques juridiques associés.

Enfin, les données médicales portées par des machines virtuelles bénéficieront du niveau de protection certifié.

Les personnels attendent :

• une expression claire de leurs obligations et responsabilités afin d'éviter des fautes envers les objectifs de sécurité de l'information de l'organisation.
• des moyens techniques et organisationnels leur permettant de remplir ces responsabilités avec un minimum de charge administrative.
• des retours d'information sur les résultats de leur activité au service de la sécurité de l'information.

Les intervenants, qu'il s'agisse de sous-traitants ou de personnels des services généraux de l'Université, attendent également une expression claire de leurs obligations et responsabilités. Celle-ci peut prendre la forme de contrats (pour les sous-traitants) ou de procédures d'intervention explicites et communiquées.

L'Université déploie une organisation globale de sécurité de l'information, dans laquelle doit s'inscrire le SMSI du CCUB.

On attend du système de management qu'il contribue aux enjeux et attentes suivants:

1. Souveraineté numérique (enjeu politique)
2. Protection des données personnelles (enjeux sociologique et légal, attente des usagers)
3. Obtention de la certification HDS et de l'homologation de sécurité (enjeu légal)
4. Réputation de maîtrise du CCUB (enjeu de réputation). L’objectif stratégique du centre de calcul est d’afficher un niveau de protection de l’information compatible de tous les usages potentiels, qu’ils soient dans le domaine de la santé ou dans d’autres domaines sensibles.
5. Confort de fonctionnement pour les personnels et les intervenants via des responsabilités et des instructions claires (enjeu de résilience, attente des personnels et des intervenants)
6. Évaluation et amélioration de la performance (enjeu de résilience, attente des personnels)
7. Cohérence avec la politique de sécurité publique (attente de l'Université)

Cette contribution est assurée comme suit:

1. L'existence même du CCUB contribue à la souveraineté numérique, dans la mesure où les usagers choisiront de recourir à ses services plutôt qu'à des offres commerciales extra-européennes. C'est donc la réputation et la performance améliorées par le fonctionnement du SMSI qui y contribueront.
2. Le CCUB n'a pas connaissance a priori de l'inclusion de données personnelles dans les jeux de données qu'il traite. Dans la démarche d'analyse des risques, on traitera toutes les données primaires ou celles résultant des calculs comme potentiellement personnelles.
3. L'objet même du SMSI est d'obtenir la certification HDS pour le traitement des données de santé. Le soutien à l'homologation de sécurité en sera un bénéfice collatéral. Toutefois, la certification HDS se fera sur le nouveau référentiel, permettant de s'appuyer sur l'ISO 27001:2022, dès lors que celui-ci sera applicable. Ceci crée une fenêtre entre la certification 27001 et la certification HDS durant laquelle la conformité légale ne sera pas encore atteinte.
4. Le CCUB est aujourd'hui pionnier parmi les centres de calcul publics pour cette démarche de certification. L'expérience acquise pourra être alors partagée avec les autres mésocentres. Par ailleurs, le partage avec les usagers d'indicateurs de fonctionnement clairs avec des engagements contractualisés est également un facteur de confiance.
5. L'expression des responsabilités et de leurs limites inhérente à la formalisation des processus sécurise les personnels et les intervenants.
6. Le suivi régulier des indicateurs opérationnels et la planification des actions en cas de dégradation, par exemple sur la capacité résiduelle de traitement, contribuent à l'amélioration de la performance.
7. Une étude spécifique devra être effectuée pour s'assurer de la conformité du SMSI et des pratiques du CCUB avec la PSSI de l'Etat, matérialisée par l'instruction interministérielle n°901.

• Minimiser les impacts opérationnels (enjeu d'attractivité, attente des personnels)
• Maintenir un niveau technologique approprié pour les usagers (enjeu technologique)
• Minimiser les surcoûts (enjeu économique)

Les effets indésirables, risques de lourdeur et de surcoût, sont couverts par un pilotage serré par les acteurs opérationnels et les usagers, regroupés dans un Comité de Pilotage du SMSI.

Le pilotage du SMSI est guidé par l'analyse des risques. Notamment, lors de chaque réunion du COPIL SMSI, elle est réexaminée au regard des incidents, dérives d'indicateurs, non-conformités au cours du trimestre écoulé. Les niveaux de risque et/ou la mise en œuvre des mesures de sécurité peuvent alors être révisés, avec la création d'actions planifiées de déploiement ou de renforcement des mesures.

Des actions spontanées d'amélioration peuvent être également programmées par le COPIL SMSI et rentrent dans le suivi des actions.

Un Comité de Pilotage du SMSI (CoPil SMSI) est mis en place, qui réunit les rôles suivants:

• La directrice de la Direction du Numérique
• Le responsable du CCUB
• Le directeur technique du CCUB
• Le responsable de l'exécution du SMSI
• Un représentant des usagers

Le CoPil SMSI pilote le fonctionnement du SMSI et en rend compte auprès du Comité de Pilotage de la Sécurité de l'Information de l'Université.

Il se réunit au moins selon une périodicité trimestrielle, les premières semaines de mars, juin, septembre et décembre. En dehors de ces réunions planifiées, le CoPil SMSI peut se réunir pour traiter des événements exceptionnels: intégration d'un nouveau projet présentant des spécificités de sécurité, modification des exigences réglementaires, survenue d'incidents graves, etc.

Les personnels du CCUB gèrent au quotidien la sécurité des services hébergés dans le respect des procédures d'exploitation. Le responsable de l'exécution du SMSI valide les écarts à ces procédures sur la base d'une analyse des risques spécifiques, les documente et en rend compte au CoPil SMSI. Il propose les mesures et développements complémentaires éventuellement nécessaires pour l'amélioration de la politique de sécurité.

Le CoPil SMSI est globalement responsable du SMSI. Il valide la politique de sécurité et le plan de traitement des risques, et pilote leur déclinaison en actions. Il gère la communication auprès des usagers sur la mise en place et l'entretien du SMSI.

Les classes d'informations sont celles identifiés dans le domaine d'application :

• Données primaires
• Données de configuration
• Données de référence
• Données finales (résultats de calcul)
• Données archivées
• Dossiers patients (données des machines virtuelles)

Les critères de sécurité retenus sont :

• La disponibilité des informations au moment où elles seraient nécessaires
• L'intégrité des informations
• La confidentialité des informations
• L'auditabilité, comprise comme l'imputabilité à des personnes physiques des accès aux informations

Les événements redoutés sont les pertes d'un critère sur une classe d'information. Leurs gravités ont été évaluées au regard de la classification proposée par la Haute Autorité de Santé comme suit:

L'appréciation des risques est fondée sur l'évaluation:

• De la gravité en cas de survenue de l'événement redouté
• De la vraisemblance de cette survenue, compte tenu des différents scénarios susceptibles de mener à l'occurrence de l'événement redouté.

Trois niveaux de risque sont identifiés: prioritaire, à surveiller et acceptable, et attribués comme suit:

Les risques de niveau Prioritaire ne sont pas acceptables et doivent faire l'objet d'une décision de traitement, visant à en réduire la vraisemblance.

Les risques de niveau A surveiller peuvent être acceptés sous justification. Cette règle pourra être durcie ultérieurement au titre de l'amélioration continue.

A niveau de risque équivalent, la priorité de traitement va au risque présentant la gravité la plus élevée.

Un plan de traitement des risques est tenu à jour.

Les événements susceptibles d'être des incidents de sécurité sont notifiés par mail à l'adresse incidents.hds@u-bourgogne.fr ou par la création d'un ticket de service. Les événements notifiés par mail feront également l'objet d'un ticket.

Tous les événements portant sur la confidentialité des données sont considérés comme des incidents de sécurité.

Les événements portant sur l'intégrité ou la disponibilité sont considérés comme des incidents de sécurité uniquement s'ils sont imputables au CCUB. Par exemple, une indisponibilité résultant d'une erreur de manipulation d'un utilisateur ou d'une défaillance de son fournisseur d'accès ne sera pas classé comme incident de sécurité.

Le niveau d'urgence des incidents est basé sur la gêne occasionnée pour les utilisateurs :

• Basse - Le problème peut être contourné sans difficulté ou n'entraine aucun risque significatif (exemple - une opération échoue immédiatement et doit être répétée pour aboutir)
• Moyenne : Le problème est gênant pour effectuer les tâches requises ou présente un risque de sécurité potentiel (exemples: déconnexions intempestives, une sauvegarde n'est pas effectuée en temps utile)
• Haute : Le problème empêche d'effectuer certaines tâches ou présente un risque de sécurité avérée. Il touche une part significative des utilisateurs.
• Critique : Le problème interdit le fonctionnement ou présente un risque de sécurité certain (exemples : site inaccessible, accès à un port inapproprié ouvert sur Internet)

Le niveau de priorité d'un incident détermine son mode de traitement, ainsi que le délai au bout duquel l'outil de ticketing escaladera vers l'ensemble des membres du COPIL SMSI :

Les délais indiqués sont en heures et jours ouvrés.

Le CCUB communique avec les usagers impactés sur l'avancement de la résolution:

• Au moins une fois par jour ouvré pour les incidents de niveau haut.
• Toutes les deux heures pour les incidents de niveau critique.

Les incidents survenus enrichissent l'analyse et le plan de traitement des risques.

Les attentes des usagers en matière de sécurité de l’information ne sont pas clairement exprimées, elles sont plutôt consacrées par l’usage. Chaque équipe utilisatrice souhaite un outil fiable et flexible, dans lequel ses données d’entrée et ses résultats sont d’accès facile et ne risquent pas d’être corrompus. Elles n’identifient pas forcément la confidentialité comme un enjeu justifiant d’efforts de leur part (hormis lorsque c’est une contrainte réglementaire), mais la réputation du centre de calcul serait sérieusement entachée par un incident de confidentialité.

Les objectifs sont donc:

• Un objectif de disponibilité des moyens de calcul, évalué via deux indicateurs:
  • le taux de disponibilité des cœurs de calcul existants, qui doit rester au dessus de 80%
  • le temps moyen passé en file d'attente par les travaux avant exécution qui doit être inférieur à 1 semaine.
• Un objectif d'intégrité des données d'entrée et des résultats, soutenu par la politique de sauvegarde. L'indicateur de fonctionnement s'appuie sur le nombre de test de restauration de sauvegarde échoué et doit être nul.
• Un objectif de confidentialité des données, évalué selon le nombre d'incidents de sécurité portant sur la confidentialité, qui doit être nul.