Organisation et gouvernance

L'organisation et la gouvernance du SMSI ont pour but de piloter le Système de Management de la Sécurité de l'Information (SMSI). Cette procédure détaille les moyens que s'est donné l'organisation pour s'assurer qu'une politique et des objectifs en matière de sécurité de l'information sont établis, mis en oeuvre, suivis et améliorés et s'assurer que les exigences liées au système de management de la sécurité de l'information sont intégrées aux activités de l'organisation.

Il existe au sein de l'Université une organisation de la sécurité de l’information, synthétisée sur la planche suivante.

Pour le fonctionnement du Système de Management de la Sécurité de l’Information (SMSI) propre au Centre de Calcul, on propose de constituer un Comité de Pilotage du SMSI (CoPil SMSI), chargé d'assurer :

• Le pilotage du projet de déploiement du SMSI
• Les réunions régulières de fonctionnement, telles que définies ci-après.
• Une restitution annuelle en revue de direction des actions, indicateurs, risques résiduels et opportunités d’amélioration.

Le Comité de Pilotage du SMSI (COPIL SMSI) se réunit trimestriellement les premières semaines de mars, juin, septembre et décembre. Cette instance créée dans le cadre du projet de SMSI du Centre de Calcul a pour but de s'assurer que le SMSI est adapté aux objectifs de sécurité. Pour évaluer l'atteinte de ces objectifs, un ordre de jour a été établi. A l'occasion de chacune de ses réunions, les points suivants sont abordés :

• Bilan des incidents de sécurité du trimestre écoulé, et le cas échéant enrichissement de l'analyse des risques
• Bilan des vulnérabilités pertinentes notifiées et des tickets d'incidents créés pour y répondre.
• Bilan des non-conformités détectées et des actions créées pour y répondre
• Bilan des indicateurs de fonctionnement du SMSI
• Bilan sur les actions programmées, clôture des actions dont l'efficacité est avérée
• Mise à jour de l'état des mesures de sécurité, réévaluation des niveaux de risque
• Planification de toutes les nouvelles actions opportunes
• Le compte rendu du COPIL fait l'objet d'un enregistrement de type événement. Les actions y sont liées.

Pour chaque session, des points particuliers sont traités en sus (à restructurer et compléter):

• Mars
  • Bilan des actions de formation et de sensibilisation
  • Révision des droits d'accès physiques
  • Bilan RH

• Juin
  • Bilan de l'audit technique d'intrusion
  • Bilan des fournisseurs en matière de sécurité de l'information
  • Acceptation du choix de l'auditeur pour l'audit de conformité
  • Convocation de la revue de direction

• Septembre
  • Actualisation des objectifs de sécurité
  • Révision de l'analyse des risques si nécessaire

• Décembre
  • Bilan de l'audit de conformité du SMSI

Les supports de COPIL SMSI sont produits par le responsable exécution du SMSI pour préparer les Comités de Pilotage de septembre et font l'objet d'enregistrements à part entière dans le SMSI.

A l’issue de chaque COPIL SMSI, un retour d'expérience synthétique sur les incidents, les améliorations réalisées et programmées est présenté aux personnels dans le périmètre du SMSI.

Les membres du COPIL SMSI sont :

• Marie-Ange RITO - Directrice de la DNUM, RSSI
• Didier REBEIX - Responsable du Centre de Calcul
• Antoine MIGEON - Responsable technique du Centre de Calcul
• Yannis DUFFOURD – Utilisateur de l’hébergement de données de santé, Ingénieur de recherche en bio-informatique au CHU de Dijon
• Rémy Valencia - Responsable exécution du SMSI (chargé de l'application des procédures opérationnelles, de la collecte des enregistrements, de l'exécution des contrôles périodiques, et de la prise en compte des vulnérabilités critiques…)

Le COPIL SMSI rend compte du fonctionnement du SMSI à la revue de direction qui prend des décisions sur l'engagement des ressources et les opportunités d'amélioration.

La revue de direction est convoquée annuellement. La direction de l'université de Bourgogne doit, à cette occasion procéder à la revue complète du système de management de la sécurité de l'information du Centre de Calcul pour s'assurer qu'il soit toujours approprié, adapté et efficace dans la poursuite des objectifs de sécurité de l'information.

Au cours de cette revue de direction, les points suivants sont abordés :

• Évolutions majeures du plan d'action depuis la précédente restitution
• Évolutions du contexte, des enjeux et des risques stratégiques :
• Retours d'informations des parties intéressées
• Indicateurs clés de fonctionnement
• Incidents significatifs sur la période écoulée
• Résultats d'audits
• Évolution des niveaux de risque, plan de traitement des risques principaux
• Évaluation des ressources consommées et requises pour la sécurité de l'information (Investissements compris).
• Opportunités d'amélioration continue.

Les membres de la revue de direction sont :

• Rôle Direction Générale des Services (DGS ou DGSA)
• Direction de la DNum
• Responsable Centre de Calcul
• Responsable exécution du SMSI

Les rapports de fonctionnement sont produits par le responsable d'exécution du SMSI à l'issue du Comités de Pilotage de septembre et font l'objet d'enregistrements à part entière dans le SMSI.

Le Smsi du Centre de Calcul fait l'objet d'audits à intervalle régulier. Le but de ces audits est de s'assurer de sa conformité à la démarche ISO 27001 et de l'efficacité des mesures déployées pour assurer la sécurité du système d'information.

• Le planning de fonctionnement du SMSI détaille les différents audits, leurs fonction, leur récurrence
• Le programme d'audits détaille le périmètre et le contenu des audits de conformité
• La procédure d'audits permet de préparer et de conduire les différents audits

Les résultats des audits peuvent donner lieu à une nouvelle analyse des risques ou à l'évolution des mesures de la PSI.

Ajout d'un point sur la communication et expliquer pourquoi et comment on communique

Comme décrit dans la déclaration de politique de sécurité, le Centre de calcul est un service de la Direction du Numérique. Pour les besoin de son activité, il s'appuie sur les services centraux de l'université de Bourgogne.

Ces fournisseurs sont liées aux actifs sensibles du SMSI. Leur relation avec le Centre de Calcul est encadrée par la procédure de Procédure de sécurisation de la relation avec les fournisseurs

L'université est organisée en Pôles. Chaque pôle abrite des services centraux. Ce sont ces services centraux dont dépend le Centre de Calcul pour exercer son activité. Leur traitement dans le SMSI s'apparente à celui des fournisseurs et prestataires de service. Une catégorie spécifique leur est consacrée, la catégorie “services supports”. A se titre, une fiche dédiée à chaque service support est créée.

Les pôles administratifs sont :

• La Direction du Numérique (DNum) dont dépendent les services support suivants :
  • Infrastructure et services réseaux (ISR)
  • Service Numérique aux usagers (SNU)
• Le Pôle des affaires juridiques et Institutionnelles (PAJI) dont dépendent le service support suivant :
  • Déléguée à la protection des données
  • Service Achat Marchés
  • Cellule juridique
• Le Pôle patrimoine

La revue de direction permet de rendre compte de l'efficacité des services support