Procédures d'exploitation

Ceci est une ancienne révision du document !

Des procédures d'exploitation documentées sont rédigées par le responsable du Centre de Calcul et le responsable d'exécution du SMSI. Leur rédaction et leur mise à jour régulière s'appuie sur les évolutions technologiques, les retour d'expérience sur les incidents de sécurité et la découverte de vulnérabilités techniques.

La rédaction et la formalisation de telles procédures a pour principal objectif que tous les membres de l'équipe du Centre de Calcul aient le même niveau de connaissance des procédures d'exploitation et puissent les appliquer de la même façon. L'objectif poursuivi est que si des procédures d'exploitations sont connues et correctement appliquées, cela contribue à réduire les risques portant sur l'exploitation des actifs sensibles du Centre de Calcul.

Pour chaque procédure d'exploitation, un responsable d'actif sensible et un suppléant sont désignés. Leur nom est indiqué sur la fiche de l'actif sensible.

Ce travail de formalisation des procédures d'exploitation a été entamé avant la mise en du SMSI certaines procédures techniques sont alimentées par les administrateurs système au fil de l'eau.

Les changements majeurs apportées à l'exploitation des actifs sensibles du Centre de Calcul sont communiquées à toute l'équipe à l'occasion des réunions de service qui ont lieu tous les 15 jours.

Les procédures opérationnelle sont rédigées par le responsable du Centre de Calcul et le responsable d'exécution du SMSI. Elles sont ensuite appliquées par les opérateurs et personnels du Centre de Calcul. Tout administrateur du Centre de Calcul doit signaler l'absence d'une procédure.

Des procédures documentées pour les activités opérationnelles impactant la sécurité de l'information sont rédigées, au moins pour les activités :

Devant être réalisées de manière similaire par plusieurs personnes
Rarement effectuées
Nouvellement instaurées
Devant être transmises à un nouveau personnel

Certaines procédures d'exploitation son consultables par les administrateurs qui ont accès au Wiki interne au service du Centre de Calcul. Cet outil, implémenté bien avant la mise en place du présent Doku Wiki, contient les modes opératoires et procédures techniques liées aux actifs sensibles.

L'inventaire des actifs sensibles dresse la liste des actifs du centre de Calcul. Comme il est écrit dans la Procédure de gestion des actifs sensibles, est considéré comme actif sensible tout actif dont un dysfonctionnement ou un mauvais usage peut porter atteinte à la sécurité de l'information. Pour chaque classe d'actif sensible, une procédure indiquant la responsabilité, la méthode d'inventaire, le propriétaire te le suppléant de l'actif concerné est décrite dans la fiche de l'actif sensible. S'y ajoute une procédure de maintenance.

Lors d'une réparation, sur site, le matériel est déposé et apporté en zone atelier (hormis pour les équipements trop volumineux. Lorsque l'intervention hors zone sensible n'est pas possible, l'intervention doit obligatoirement être planifiée et acceptée par le responsable du Centre de Calcul ou son adjoint en son absence.

Comme rappelé dans la procédure de sécurisation de la relation avec les fournisseurs, Le travail en zone sécurisée se fait sous la responsabilité d'un personnel du Centre de Calcul. Il lui est rappelé de prendre en compte les consignes suivantes :

Ne révéler que le minimum sur les activités dans les zones sécurisées
Éviter le travail non supervisé en zone sécurisée
Verrouiller et surveiller la présence dans les zones sécurisées
Interdire les prises de vues
Restreindre l'accès et l'usage d'équipements personnels (téléphones, portables)

Les procédures en cas d'urgence (évacuation) sont affichées clairement dans les zones sensibles du bâtiment.

Il est par ailleurs rappelé que tout visiteurs extérieur doit se signaler au préalable à la Direction du Numérique. Le jour de sa venue au Datacenter, il doit remplir le registre des visites.

L'installation de logiciels doit faire l'objet d'une procédure qui entre soit dans le cadre de la Procédure de gestion des changementssoit de la Modèle de page pour un projet.

Le DNS de l'université de Bourgogne bloque les sites malveillants. Une liste de noms de domaines est entretenue et mise à jour par les équipes du Centre de calcul au fur et à mesure que les domaines malveillants sont identifiés. La messagerie de l'université de Bourgogne dispose de logiciels antivirus permettant le blocage des pièces jointes et des fichiers téléchargés. Une mise à jour régulière de l'antivirus est faite par les équipes Infrastructure Service Réseau.

Les actifs susceptibles de comporter des vulnérabilités techniques sont identifiés comme actifs sensibles. L'abonnement des personnels du Centre de Calcul aux alertes du CET RENATER leur permet d'être au courant des dernières vulnérabilités techniques détectés. Un retour sur les principales vulnérabilités techniques détectées est fait par le responsable du Centre de Calcul et le responsable d'exécution du SMSI à l'occasion des réunions de service et des COPILS SMSI trimestriels.

L'audit technique annuel comporte un test d'intrusion. La procédure de traitement des vulnérabilités précise les moyens de traitement de ces dernières et la priorisation des traitements en fonction de leur impact et de leur niveau de gravité. Elle est encore en cours de rédaction (Voir mesure a8.08 à échéance 24T3).

La sauvegarde des informations fait l'objet d'une procédure à part entière. Cette procédure décrit également la façon dont sont conduits les tests de restauration.

La gestion des évènements liés à la sécurité de l'information fait l'objet d'une procédure à par entière, la procédure de gestion des incidents. Les rapports d'intervention doivent référencer la ou les procédures d'exploitation utilisées.

La politique de journalisation est en cours de rédaction. Elle va prévoir que :

Les objectifs des journaux sont établis
Les journaux permettent d'identifier les actions effectuées, les auteurs, le lieu d'origine de l'action
La journalisation couvre au moins:
- Les accès aux systèmes, réussis ou échoués
- Les changements de configurations
- Les élévations de privilèges
- L'activation ou la désactivation de systèmes de sécurité
- La création, modification ou suppression d'identités
- Le contrôle d'accès physique
- Les journaux sont protégés contre la falsification ou l'effacement
- Les journaux sont analysés pour détecter les traces de comportements anormaux

Cette politique de journalisation doit permettre de tirer les enseignements des incidents de sécurité, de repérer les vulnérabilités.

Les mises à jour sont effectuées par des personnels formés, après autorisation Seules des configurations approuvées sont installées, y compris pour les composants externes (librairies, midlewares) Un processus de retour en arrière est défini et appliqué

Les activités d'audit sont encadrés par la Procédure d'audit. Les audits sont planifiés à l'occasion des réunions de préparation. Le responsable du Centre de Calcul choisit la date en fonction de ses disponibilités et de la charge de travail du service.

L'audit doit fournir ses habilitation et une adresse IP fixe pour accéder au Doku Wiki contenant le SMSI. Les accès lui sont ouverts quinze à dix jours avant l'audit.

Les tests d'audits et autres activités d'assurance impliquant l'évaluation des systèmes opérationnels doivent être planifiés et convenus entre le testeur et le niveau approprié de la direction.

Encadrer le pentest par une procédure qui mentionne le respect de la confidentialité, interdiction de modifier les données et un moyen de contact d'urgence pour mettre fin au pentest en cas de problème inattendu.

Ces procédures doivent préciser les responsabilités, les moyens, les exigences de planification et d'information de la hiérarchie et des services clients, les méthodes de contrôle du résultat, la méthode de retour en arrière.

L'ensemble des procédures d'exploitation est listé ci-dessous :