Procédure de sécurisation de la relation avec les fournisseurs

La procédure de sécurisation de la relation avec les fournisseurs contribue à diminuer les risques sur les informations protégées et contenues dans les actifs sensibles dont ils se sont vus confier la gestion par le Centre de Calcul. Les règles qui régissent la relation avec les fournisseurs et prestataires de services s'appliquent à tous les fournisseurs et partenaires qui peuvent, par la nature de leur relation avec le Centre de de Calcul influer sur la confidentialité, l'intégrité et la disponibilité des informations sensibles.

Il existe deux classes de fournisseur : les fournisseurs externes et les services support de l'université de Bourgogne. Les services supports ne sont pas tenu par un contrat mais par des missions définie au sein de l'uB. Le Centre de Calcul exprime ses attendus et évalue leur atteinte, les écart sont éventuel sont remonté en revue de direction.

Est considéré comme fournisseur toute entité ou prestataire de service qui exécute, pour les besoins du centre de calcul, une activité d'exploitation d'un actif sensible nécessaire au fonctionnement des services proposés par le Centre de Calcul.

Sont considérés comme fournisseurs sensibles :

• Les fournisseurs d'actifs sensibles
• Les fournisseurs qui interviennent en tant que prestataires sur ou à proximité des actifs sensibles.
• Les fournisseurs qui assurent la mise au rebut des actifs sensibles

Les services support sont les services centraux de l'université de Bourgogne sur lesquels s'appuie le Centre de Calcul pour exercer son activité. Leur traitement s'apparente à celui des fournisseurs et prestataires de service. A se titre, une fiche dédiée à chaque service support est créée. Certains services se sont vus confier la gestion d'actifs sensibles, d'autres services sont sollicités pour leur expertise juridique, ré&règlementaire.

Les utilisateurs de ce document sont le responsable du centre de calcul, le chargé d'exécution du SMSI, et l'équipe du Centre de Calcul.

Au sein de la Direction du Numérique de l'Université de Bourgogne, le Centre de Calcul (6 personnes) a pour rôle la mise à disposition de moyens numériques pour la recherche, quel qu'en soit le domaine (physique, météorologie, sociologie, santé, etc.). Il s'agit notamment de moyens de calcul sur des données massives. Dans le domaine de la santé humaine, le Centre de Calcul opère avec des entités externes assurant la prise en charge de patients. Les calculs effectués ne relèvent pas forcément que de la recherche, mais également de la prise en charge médicale. Typiquement, il s'agit de retrouver dans des données génomiques individuelles des signatures particulières (variants) issues de données de référence.

La Direction du Numérique (DNum) est la structure coordinatrice des ressources informatiques de l’Université. Elle est le garant de l’intégrité et de la cohérence du Système d’Information (SI) de l’établissement et de toutes ses composantes et unités. Elle assure un rôle de conseil, d’assistance, d’information, de formation et d’alerte pour faire évoluer le Système d’Information et apporte un appui à la pédagogie. Elle dirige les services chargés de son fonctionnement, de sa maintenance, du déploiement et du bon fonctionnement de la sécurité des données.

Apporte conseil, assistance et appui technique pour le patrimoine immobilier auprès des départements scientifiques, des laboratoires, des composantes pédagogiques, des directions et services. Sur le campus Montmuzard, il assure l’exploitation et la maintenance courante (réglementaire, corrective et préventive) des bâtiments, de leurs installations techniques, des installations sportives et des espaces extérieurs, organiser et suivre les vérifications réglementaires, gérer les consommations et dépense de fluides.

Dans le cadre des affaires juridiques, le PAJI prévient les risques juridiques liés à l’activité de l’établissement. Il garantit la légalité des actes de l’établissement. Il conseille et assiste juridiquement la direction de l’établissement et l’ensemble de ses structures. Il gère les pré-contentieux et les contentieux ainsi que la section disciplinaire de l’établissement. Il créé des outils à destination des services et des composantes et assure la veille juridique.

Le service achats marchés, intégré au PAJI, optimise la commande publique au sein de l'université de Bourgogne. Il conseille les composantes laboratoires et services dans la réalisation de leurs achats. Et les accompagne tout au long de la relation avec le fournisseur.

Les risques de sécurité relatifs aux services supports sont identifiés au cours du processus d'analyse de risque. Une attention particulière est portée à l'identification des risques relatifs aux technologies d'information et de communication, ainsi des risques relatifs à la chaîne d'approvisionnement des produits.

Les services support de l'université sont identifiés, catégorisés et répertoriés en fonction de leur apport à l'activité du Centre de Calcul.

Les services support. Les services supports ne sont pas tenus par un contrat mais par des missions définie au sein de l'uB. Le Centre de Calcul doit exprimer ses attendus et évaluer leur atteinte, les écart sont éventuel sont remonté en revue de direction. Les attentes spécifiques du Centre de Calcul pour chaque service support sont exprimées dans la fiche qui lui est dédiée.

Le Centre de Calcul a besoin des services support de l'université. Les services support apportent leur compétences et leur expertise en soutien de l'activité du Centre de Calcul. Certains services se voient confier la gestion de certains actifs sensibles. Dans ce cas, le responsable d'actif sensible désigné dans la fiche d'actif sensible est le personnel du centre de calcul qui est informé par le service support de tout évènement concernant l'actif sensible dont le le service support a la gestion.

Des fiches fournisseur sont associées aux services supports de l'université. L'évaluation des services support consiste en un retour annuel à la revue de direction.

Les risques de sécurité relatifs aux fournisseurs et prestataires sont identifiés au cours du processus d'analyse de risque. Une attention particulière est portée à l'identification des risques relatifs aux technologies d'information et de communication, ainsi des risques relatifs à la chaîne d'approvisionnement des produits.

Les fournisseurs et prestataires de services sont identifiés, catégorisés et répertoriés au travers des actifs qu'ils traitent. Les actifs sont regroupés par classes auxquelles sont rattachés les fournisseurs. Chaque fournisseur fait l'objet d'une fiche fournisseur.

Le fournisseur est sélectionné par le Centre de Calcul pour son expertise et sa capacité à répondre au besoin formulé. Des règles spécifiques de sélection du fournisseur s'appliquent pour les montants supérieurs à 25 000€ lorsqu'un appel d'offre est ouvert.

• Lors que c'est pertinent, le fournisseur doit s'engager à communiquer sur les vulnérabilités découvertes sur ses produits.
• Lors que c'est pertinent, le fournisseur dispose d'une politique de sécurité.
• Lors que c'est pertinent, le fournisseur propose des contrats de support qui sont cohérents avec le RTO souhaité associé à l'actif sensible.

L'université de Bourgogne est une administration publique d’État. Établissement d'enseignement supérieur, elle dépend du Ministère de l'Enseignement Supérieur, de la Recherche et de l'Innovation. A ce titre, l'établissement applique les procédure de marché et de commande publique et est soumis au Code des marchés publics. La Direction du Numérique est un service central de l'Université de Bourgogne. Le centre de calcul est un service de la Direction du numérique qui applique ces procédures de commande publique.

Pour les commandes dont le montant n'excède pas 25 000 €, le Centre de Calcul traite directement avec le fournisseur. Entre 25000 € et 143 000€, la rédaction d'un cahier des charges est imposée et des choix de critères objectifs et non discriminants doivent être exprimés. Le délai de publication du document est de 21 jours minimum.

Pour les commandes dont le montant dépasse 143 000€ hors taxes, un appel d'offre doit être lancé et impose la rédaction d'un cahier des clauses administratives particulières (CCAP), un cahier des clauses techniques particulières (CCTP) et le règlement de la consultation.

Deux cas de figure possibles :

• Le montant de la prestation est inférieur à 25 000€ : les conditions d’exécution de la prestation, les exigences liées à la maintenance de l'actif ou du service rendu par le fournisseur sont formalisées dans le devis conclu entre le Centre de Calcul et le fournisseur.
• Le montant de la prestation est supérieur à 25 000€ : le cadre administratif de la relation contractuelle (montant des prestations, paiement, échéances, durée d'exécution, forme de l'engagement) sont définis par le Centre de Calcul avec le service Achats Marchés dans l'acte d'engagement (AE) ou le Cahier des Clauses Administratives Particulières (CCAP). Le Cahier des Clauses Techniques Particulières (CCTP) permet quand à lui de définir les conditions techniques d'exécution de la prestation (accès aux locaux, maintenance, délais d'intervention, sécurité de l'information (à venir).

Les droits d'accès du fournisseur sont encadrés par la procédure de gestion des identités, des accès et des crédits. Ils se fondent sur le principe du moindre privilège : d'une manière générale les fournisseurs ou prestataires de services n'accèdent pas directement aux informations ou aux actifs porteurs d'informations sensibles. Ils sont systématiquement accompagnés.

Les droits d'accès font l'objet d'une revue annuelle à l'occasion du COPIL SMSI de mars.

Le fournisseur n'a aucun accès physique ou logique aux infrastructures du Centre de Calcul. Le bâtiment du Datacenter comporte trois zones auxquelles correspondent différents niveaux d'accès et de sécurité. Le travail du fournisseur non accompagné en zone IT est interdit. Les interventions doivent être planifiée et accompagnées par un personnels de la Direction du Numérique. Les prises de vues et enregistrements sont interdits en zone IT.

Dans le cadre de sa relation contractuelle avec le Centre de Calcul et pour les besoins d'exécution des opérations de maintenance des services et machines, le fournisseur peut être amené à accéder à des informations sensibles. Aussi, il est interdit de procéder à toute forme de capture et de collecte d'information non autorisée par le responsable du Centre de Calcul. En particulier, la collecte ou la capture d'informations n'ayant pas de lien avec l'intervention pour laquelle le fournisseur est sollicité et strictement interdite. Toute collecte d'information exercée hors de ce cadre sera considérée comme un incident de sécurité directement imputable au fournisseur. Cet incident sera pris en compte dans l'évaluation annuelle des fournisseurs.

Il y a désaccord ou litige avec un fournisseur quand celui-ci ne remplit pas les engagements qui lui ont été fixés, quand les délais d'intervention trop élevés et font peser des risques sur l'activité du Centre de Calcul. Le rappel des obligations définies dans le contrat, le CCAP ou le CCTP permet, dans un premier temps de trouver une issue amiable au litige.

Dans le cas d'un fournisseur qui n’exécuterait pas les clauses définies dans le Cahier des Clauses Administratives Particulières (CCAP) et dans le Cahier des Clauses Techniques Particulières (CCTP) prévues par un marché public, c'est le service achat marchés du Pôle des Affaires Juridiques et Institutionnelles (PAJI) qui est sollicité. En fonction de ce qui est stipulé dans le CCAP, le fournisseur s'expose à des pénalités ou une mise en demeure de remplir ses obligations contractuelles.

Des fiches fournisseur sont associées aux classes d'actifs sensibles, elles répertorient notamment les incidents de sécurité liés à ce fournisseur. Les fournisseurs sont évaluées annuellement, ils sont classés en trois catégorie (TRES SATISFAISANT, CONVENABLE, INSUFFISANT). Les fournisseurs jugés INSUFFISANTS doivent être remplacés dans un délai raisonnable. L'évaluation annuelle est réalisée par le responsable du Centre de Calcul et le chargé d'exécution du SMSI. Les conclusions de cette évaluation sont restituées lors du COPIL SMSI de juin.

Les critères d'évaluation sont les suivants :

• Très satisfaisant : le fournisseur répond en temps et en heure aux demandes du centre de calcul. Les délais d'intervention annoncés sont respectés et il communique avec le centre de calcul de façon transparente. Il ne fait courir aucun risque portant sur l'intégrité, la disponibilité et la confidentialité. Il respecte les exigences du centre de calcul en matière de sécurité de l'information.
• Convenable : le fournisseur répond aux demandes du Centre de Calcul. Les délais d'intervention annoncés sont tout juste tenus mais il communique à minima sur les délai d'intervention et leur nature. Il ne fait courir aucun risque portant sur l'intégrité, la disponibilité et la confidentialité. Il respecte les exigences du Centre de Calcul en matière de sécurité de l'information.
• Insuffisant : le fournisseur ne répond pas aux demandes du Centre de Calcul. Les délais d'intervention annoncés ne sont pas tenus et il ne communique pas sur ses retards d'intervention. Il ne respecte pas les exigences en matière de sécurité de l'information et son comportement est à l'origine d'incidents de sécurité ou fait courir un risque de sécurité de l'information portant sur l'intégrité, la disponibilité et la confidentialité.

Les incidents de sécurité dans lesquels un fournisseur serait impliqué sont rattachés à la fiche fournisseur et sont un élément d'évaluation de la relation avec le fournisseur.