Gestion des identités, des accès et des crédits

Cette procédure s'attache à décrire spécifiquement la manière dont sont opérés le contrôle d'accès physique et logique au Centre de Calcul. Les contrôles d'accès physique et logique sont clairement séparés.

La politique du contrôle d'accès physique est définie au niveau de l'université de Bourgogne dans la charte du contrôle d'accès votée en Conseil d'administration.

Les accès aux différentes zones définies dans Procédure de sécurité physique et environnementale et utilisées par le Centre de Calcul sont protégées par un système de contrôle d'accès centralisé par badge.

Les rôles et missions des responsables et des opérateurs du contrôle d'accès physique sont définis dans le Mémento des responsables du contrôle d'accès.

Ces deux rôles sont également identifiés dans l'Annexe 1 Organisation fonctionnelle de la SSI et de la PPST à l'uB de la charte du contrôle d'accès de l'université de Bourgogne .

Le rôle du responsable du contrôle d’accès est d’examiner les demandes d’accès aux locaux qui relèvent de son périmètre, de veiller au respect des procédures, de signaler sans délai et de faire remonter le long de la chaîne fonctionnelle SSI tout incident dont il aurait connaissance.

Plus d'informations dans : Mémento du contrôle d'accès : Voir II. Rôle des différents intervenants - Le Responsable du contrôle d'accès (page 2)

Le responsable du contrôle d’accès peut désigner jusqu’à trois opérateurs qui seront formés aux procédures, à l’utilisation des logiciels et à l’attribution des droits d’accès sur les différentes cartes.

Le rôle de l’opérateur est d’affecter aux cartes les droits validés par le responsable du contrôle d’accès en paramétrant le logiciel d’exploitation. Il ne peut délivrer de droits d’accès.

Plus d'informations dans Mémento du contrôle d'accès : Voir II. Rôle des différents intervenants - Les opérateurs (page 3)

Il remplit et transmet le formulaire de demande de droits d'accès avec le personnel qu'il accueille dans son service ou pour qui les droits d'accès nécessitent d'être revus. Le chef de service transmet au responsable du contrôle d'accès le formulaire de demande d'accès.

Trois types de cartes permettent l’accès aux bâtiments de l’université de Bourgogne. Elles sont réservées à différentes catégories d’usagers. Personne ne doit disposer de plus d’une carte. Leur fonctionnement et leur cadre d'utilisation est défini dans le paragraphe III Cartes d'accès aux bâtiments du Memento du contrôle d'accès

La carte multiservice PASS'UBFC

Sa définition est précisée dans la section III Cartes d'accès aux bâtiments - La carte multiservice PASS UBFC du Memento du contrôle d'accès

La carte d'accès visiteurs nominative

Sa définition est précisée dans la section III Cartes d'accès aux bâtiments - La carte d'accès visiteurs nominative du Memento du contrôle d'accès

La carte d'accès visiteur occasionnel

Sa définition est précisée dans la section III Cartes d'accès aux bâtiments - La carte d'accès visiteurs occcasionnels du Memento du contrôle d'accès

<color #ed1c24>La production des supports physiques de carte Pass UBFC se fait au bureau R42 au Pôle des Affaires Juridiques et Institutionnelles (PAJI)</color>

Les conditions de délivrance des cartes d'accès Carte Multiservice PASS'UBFC, carte d'accès nominative, carte d'accès invités sont spécifiées dans le schéma hiérarchique de demande de carte et de droits d'accès.

Les cartes d'accès doivent être restituées par les personnels, visiteurs occasionnels et prestataires de service à la fin de leur mission et de leur affectation au Centre de Calcul.

Les conditions d'attribution des droits d'accès sont définies dans la section IV Conditions d'attribution des droits d'accès du Memento du contrôle d'accès. Le demandeur peut relever des situations suivantes :

Dans cette situation, deux cas de figure sont possibles :

• Le demandeur travaille à la DNum et au Centre de Calcul. Ses fonctions d’administrateur système ou réseau listés dans sa fiche de poste nécessitent qu'il ait accès aux zones sensibles du bâtiment (salles machines) :

Les droits d'accès aux zones administratives et sensibles du bâtiment lui sont accordées par le responsable du contrôle d'accès à sa prise de fonction et sont retirés à l'issue de son embauche (fin de contrat, mutation, changement de service, mise en disponibilité, départ à la retraite).

• Le demandeur travaille à la DNum et ses fonctions listés dans sa fiche de poste ne nécessitent pas qu'il ait accès aux zones sensibles du bâtiment (salles machines) :

Seuls les droits d'accès aux zones administratives lui sont accordées par le responsable du contrôle d'accès à sa prise de fonction et sont retirés à l'issue de son embauche (fin de contrat, mutation, changement de service, mise en disponibilité, départ à la retraite).

Il doit soit venir au Data Center accompagné d'un personnel DNum ayant les accès, ou bien solliciter lui-même lune demande d'accès en remplissant le formulaire de demande de droits d'accès

* Le fournisseur ou prestataire de service a contracté avec la Direction du Numérique

• Le fournisseur ou prestataire de service a contracté avec le Pôle Patrimoine

Le Pôle Patrimoine est responsable de l'attribution et de la gestion des accès. Il se charge de tenir à jour le registre de contrôle d'accès et de mettre à disposition des prestataires des cartes d'accès nominatives

Quelle que soit sa situation vis-à-vis du Centre de Calcul, la personne qui sollicite l'accès physique au bâtiment doit renseigner le formulaire de demande d'ouverture de droits d'accès.

A réception du formulaire, le responsable du contrôle d'accès accorde les droits d'accès en fonction des trois niveaux d'attribution des droits d'accès correspondant aux différentes cartes énumérées ci-dessus sont référencés dans les rubriques suivantes du mémento du contrôle d'accès.

Le responsable du contrôle complète le formulaire de demande d'ouverture du droit d'accès en y ajoutant la description des droits d'accès accordés. Il renseigne rigoureusement la période de validité des accès demandés avec une date de début et de fin.

La modification des droits d'accès ne s'applique qu'aux personnels de l'uB ou hébergés détenteurs d'une carte multiservices Pass'UBFC. Le responsable du contrôle d'accès du bâtiment doit modifier les droits d'accès dès qu'il a connaissance d'un changement d'affectation d'un personnel du Centre de Calcul.

Les motifs de suppression des accès physiques sont les suivants :

Changement d'affectation, de service, mutation et départ de l'université de Bourgogne suite à concours, départ en retraite.

Changement d'affectation, fin du contrat de travail, démission.

Fin de la prestation, de la mission dans les locaux du Centre de Calcul.

A la restitution de la carte d'accès, l'opérateur en charge du contrôle d'accès renseigne la rubrique “Procédure de sortie” du formulaire de demande d'accès. Il date et signe la fiche qui est ensuite archivée et conservée dans le registre du contrôle d'accès.

Le registre des demandes d'accès aux salles machine est sous la responsabilité de l'opérateur du contrôle d'accès du Centre de Calcul.

Lorsque des personnes qui ne disposent pas d'un accès permanent en zone sécurisée doivent y accéder, ces personnes doivent être préalablement autorisées par la direction et accompagnées d'un personnel disposant d'un accès.

Un registre des visites au format papier est à disposition à l'entrée du Datacenter. Il doit être rempli pour chaque visite avec les informations suivantes :

• Nom, prénom, signature des visiteurs
• Date de visite
• Signature de l'accompagnateur

• Les administrateurs sont des utilisateurs ayant des fonctions d'administration du système d'information sont soumis à une charte complémentaire et spécifique précisant les obligations particulières.

• Le chef de service : il remplit et transmet le formulaire de demande de droits d'accès avec le personnel qu'il accueille dans son service ou pour qui les droits d'accès nécessitent d'être revus et s'assure que la liste des applications métiers et habilitations nécessaires à l’activé de l'agent est complète. Le chef de service transmet au responsable du contrôle d'accès le formulaire de demande d'accès.

• Responsable de l'abonnement : Responsable du centre de calcul et responsable du service messagerie.

• Les utilisateurs du Centre de calcul : il sont informés au travers de la Charte des utilisateurs et administrateurs du Centre de Calcul que les mots de passe constituent une mesure de sécurité destinée à éviter toute utilisation malveillante ou abusive. Cette mesure ne confère pas un caractère personnel aux outils informatiques protégés.

L'entrée dans le système d'informations de l'uB constitue un prérequis à l'utilisation des ressources et services proposés par le Centre de Calcul. A cet titre, deux catégories d'utilisateurs sont identifiées :

Ils ont déjà accès au Système d'information de l'uB de par leur statut et leur fonction exercée. L'activation de leur compte informatique se fait en même temps que la signature du contrat de travail. Ils disposent d'une adresse de messagerie en prenom.nom@u-bourgogne.fr

N'ayant pas de relation contractuelle directe avec l'université de Bourgogne, Ils font l'objet d'une procédure spécifique de demande d'entrée dans le Système d'informations. A ce titre, ils doivent remplir un formulaire de demande d'entrée dans le système d'informations qui sera visé par le responsable hiérarchique direct. La procédure détaillée ainsi que ledit formulaire sont à retrouver sur le site internet du Centre de Calcul.

Le niveau d'accès d'un utilisateur au système d'information du Centre de Calcul est défini dans le temps (durée de la mission, année universitaire) et par les missions rattachées à la fonction exercée.

Les comptes de calculs permettent aux utilisateurs finaux d'accéder aux ressources et services du Centre de Calcul. Les accès sont créés pour une durée initiale d'un an, les extensions ou restrictions ultérieures à d'autres groupes sont demandées de manière expresse par simple courrier électronique.

En fonction de sa situation par rapport l'université de de bourgogne,l'utilisateur est invité à remplir un formulaire de demande d'ouverture ou de prolongation de compte de calcul.

La création des comptes de calcul est confiée aux administrateurs système de l'équipe du Centre de Calcul. Chaque entité abonnée aux services de calcul doit nommer un référent qui gère le demande d'ouverture de compte de calcul pour les chercheurs de son laboratoire ou de son entité. Les demandes de création de compte de calcul sont adressées au Centre de Calcul par courriel ou formulaire papier et sont traitées par les administrateurs.

Elles sont ensuite validées par le responsable de l'abonnement. L'accès ainsi créé appartient par défaut au seul groupe principal.

A une même organisation d'usagers peuvent être associés plusieurs sous groupes, correspondant à des droits d'accès différenciés (typiquement, pour des équipes de recherche différentes), dont un groupe principal pour l'ensemble des membres de l'organisation qui a souscrit un abonnement au service de calcul. Un gestionnaire des accès dans l'organisation est associé au groupe principal. Les restrictions des droits d'accès selon les sous-groupes sont à l'initiative et sous le seul contrôle du gestionnaire des accès de l'organisation.

Par défaut l'utilisateur final, ne peut accéder qu'aux fichiers dont il est le propriétaire. Il peut néanmoins ouvrir des droits d'accès à ses fichiers à d'autres utilisateurs manière volontaire.

Le responsable de l'abonnement au Centre de Calcul peut demander la création de répertoires partagés entre plusieurs utilisateurs. La création de ces répertoires et la modification des droits d'accès est ensuite réalisée par les administrateurs du Centre de Calcul.

La Charte des utilisateurs et administrateurs du Centre de Calcul recommande à l'utilisateur et aux administrateurs de changer leur mot de passe annuellement mais ne l'impose pas.

Le mot de passe initial est généré aléatoirement selon les règles de composition définies ci-après. Il est généré au moment de la création de l'accès, le titulaire reçoit son adresse de contact un message contenant un lien web vers un document PDF qui contient le mot de passe. Le lien web est provisoire et protégé par un secret partagé basé sur la date de naissance du titulaire au format AAAAMMJJ (Année, Mois, Jour).

Pour changer son mot de passe, le titulaire se connecte sur les machines du Centre de Calcul et utilise la commande yppasswd. Son mot de passe actuel lui est demandé, si il est vérifié alors un nouveau mot de passe est demandé. Le nouveau mot de passe doit être saisi de manière identique une seconde fois pour éliminer les éventuelles fautes de frappe. Si le nouveau mot de passe vérifie les règles de composition définies ci-dessous, le nouveau mot de passe est appliqué sur l'ensemble des machines auxquelles il a accès.

En cas de perte du mot de passe, le titulaire de l'accès doit envoyer une copie de sa pièce d'identité aux administrateurs du service de calcul via l'adresse ccub@u-bourgogne.fr et demander la ré-initialisation de son mot de passe. Un nouveau mot de passe est généré et le titulaire reçoit par retour de mail un lien web vers un document PDF qui contient le nouveau mot de passe. Le lien web est provisoire et protégé par un secret partagé basé sur la date de naissance du titulaire au format AAAAMMJJ (Année, Mois, Jour).

Certains matériels (exemples : Cartes de management des serveurs, commutateurs, bandothèques, …) sont protégés par un mot de passe interne. Leur mot de passe par défaut est remplacé par un mot de passe partagé par les administrateurs du service de calcul. Chaque classe de matériel dispose d'un mot de passe spécifique à cette classe et partagé par tous les matériels de cette classe.

Ces mots de passe sont renouvelés en cas de départ d'un administrateur du Centre de Calcul comme précisé dans la procédure de sécurité dans la gestion du personnel.

Sur demande du responsable du Centre de Calcul, le mot de passe du compte administrateur est communiqué aux administrateurs. Il est envisagé d'évoluer vers une utilisation de mécanismes du type sudo ou run0 pour éviter le partage du compte administrateur.

Ce mot de passe est renouvelé en cas de départ d'un administrateur du Centre de Calcul comme précisé dans la procédure de sécurité dans la gestion du personnel.

Les mots de passe doivent respecter les règles de composition suivantes :

• au moins 12 caractères
• au moins une majuscule
• au moins une minuscule
• au moins un chiffre
• au moins un caractère spécial ou de ponctuation

Ils peuvent être modifiés suite au départ, au changement d'affectation, à la fin de la mission de l'utilisateur des services du Centre de Calcul.

Les droits d'accès peuvent être modifiés pour les raisons suivantes : besoin d'appartenance à d'autres groupes ou sous groupes.

Les accès sont attribués pour une duré initiale d'un an. La fin de la mission entraine la révocation du droit d'accès au système d'information (compte informatique verrouillé, nom d'utilisateur et mot de passe caducs).

La révision des accès est effectuée annuellement lors du COPIL SMSI du mois de mars.