La partie précédente vous a sensibilisé aux objectifs d’une PSSI, et vous a présenté un plan type ainsi qu’une méthodologie en 4 phases.
Je suis sûr que vous êtes impatient de rentrer dans le vif du sujet. Alors, allons-y !
Vous avez répondu à l’annonce du laboratoire de recherche PM27 qui recherchait un manager des systèmes d’information (MSI). L’organisme est relativement petit, la fiche de poste que le laboratoire a publié mentionnait qu’une de vos prérogatives serait aussi la sécurité du système. Après un processus de sélection classique réussi, vous avez été embauché. :)Félicitations !
Analysez votre contexte professionnel
Avant de proposer des améliorations ou de commencer à faire des préconisations qui impacteront vos équipes, vous allez bien sûr devoir analyser votre contexte. Si une analyse approfondie s’impose une fois vos missions précisées, vous pouvez d’ores et déjà mener une analyse exploratoire, pour en apprendre plus sur votre contexte professionnel.
Pour cela, vous avez plusieurs pistes à aborder :
discuter avec les différentes parties prenantes : votre manager, les différentes équipes, etc. ;
mener des observations des différentes équipes ;
analyser les modes de fonctionnement de la structure.
Marc, le directeur du laboratoire, à qui vous êtes directement rattaché, vous reçoit lors de votre première journée pour évoquer avec vous ses inquiétudes sur la sécurité du SI. Les événements quotidiens que Marc lit dans la presse l'inquiètent : cyberattaque, virus, phishing, fuites de données...
Lors de ce premier entretien, Marc vous l’explique, le cœur du laboratoire PM27, c’est une ferme de serveurs de calcul intensif très sensible, sur lesquels des membres habilités du laboratoire exécutent des codes de calcul développés en propre, mais aussi élaborés en partenariat avec des laboratoires étrangers. Marc vous avoue également que bien que les accès au réseau de la ferme soient restreints et que les serveurs soient situés sur un réseau dédié, il n’est vraiment pas rassuré, en particulier en raison de la récente prolifération des terminaux mobiles et des moyens de stockage amovibles au sein de l‘organisation.
Au cours de votre première semaine, consacrée principalement à votre prise de fonction administrative, vous remarquez en discutant avec les autres personnes du laboratoire, ou en passant dans quelques bureaux, que les règles élémentaires de sécurité ne sont pas respectées :
aucune fiche réflexe n’est affichée dans les bureaux en cas d’infection virale ;
des papiers que vous pensez importants sont laissés dans les locaux en l'absence des occupants ;
les stations de travail bureautique (situées sur un réseau distinct de la ferme de calcul intensif) sont laissées non verrouillées ;
au café, des chercheurs du département “calcul intensif” discutent ouvertement de sujets que vous estimez sensibles, avec le personnel administratif.
Bref, vous vous rendez compte que Marc et le laboratoire ont vraiment besoin de votre expertise pour apporter de la cohérence dans l’approche de la sécurité des SI au sein du laboratoire.
Dressez un bilan préliminaire de votre analyse
Que ce soient vos premiers jours dans une entreprise ou le début d’une nouvelle mission dans votre entreprise actuelle, cela vous sera toujours bénéfique de mettre sur papier vos premières impressions et observations.
Une semaine d’observation supplémentaire vous permet de dresser un bilan complémentaire : le laboratoire dispose d’un serveur web pour son site Internet et utilise également de nombreuses bases de données, des moyens d'administrations variés et des périphériques d’impression et de numérisation.
Vos premières impressions vous conduisent à proposer à Marc d’établir un document de cadrage (inexistant à l’heure actuelle) pour fixer les règles de sécurité du SI au sein du laboratoire. Marc accueille cette proposition avec bienveillance, et vous charge donc d’écrire la politique de sécurité des systèmes d’information de l’organisme !
Vous décidez d’aborder cette mission avec méthodologie, en vous concentrant en premier lieu sur le cadre d’application du document.
Élaborez l’introduction au document
La première chose à laquelle vous vous attachez est de proposer à Marc un court texte introductif pour les lecteurs de la PSSI. Votre proposition insiste sur la nécessité vitale de sécuriser les SI du laboratoire, et met en lumière l’engagement sans faille du directeur dans sa mise en oeuvre.
Pour rédiger ce premier paragraphe à l’attention de l’ensemble de vos collaborateurs, vous allez devoir vous poser les questions suivantes :
Quelle est la mission de l’entreprise à laquelle la PSSI est appliquée ?
Quelles informations sont présentes et ont de la valeur pour la mission de l’entreprise ?
Quelles sont les utilisations du SI par rapport à cette mission ?
Quels éléments (de manière macroscopique) présentent particulièrement des risques ?
Après une courte réflexion, vous proposez le texte suivant à Marc :
"La principale mission du laboratoire PM 27 est l’activité scientifique dans son domaine de spécialité. Doté d’un patrimoine immatériel très vaste, source d'innovation, il constitue un gisement d’informations scientifiques et techniques au rayonnement national et international."
"Le système d’information permet de stocker, de traiter et de diffuser les informations scientifiques propres à notre activité. Il constitue donc un atout précieux qu’il convient de protéger avec la plus grande rigueur, car il participe à valoriser l’innovation et la recherche scientifique, et à protéger la propriété intellectuelle."
"Dans ce contexte, la direction du laboratoire est résolument convaincue que la sécurisation des plateformes techniques, des travaux de recherche et des données informationnelles que traite notre système d’information doit être un axe d’effort constant. La direction est également engagée à mobiliser les moyens nécessaires à la mise en place et au fonctionnement de l’organisation SSI."
"En conclusion, la direction rappelle que chaque membre de la structure est acteur de la sécurité du SI et qu’il est donc nécessaire, pour chaque utilisateur, de contribuer à sa sécurité par sa vigilance et par le respect de la PSSI."
Formulez les enjeux et le champ d’application de la PSSI
Parallèlement à cette première étape, vous allez devoir fixer l’objet de la PSSI pour indiquer aux lecteurs que le document :
fait référence spécifiquement à leur contexte de travail en termes de SSI (ici, au laboratoire) ;
explicite les enjeux de sécurité pour l'activité (ici, l’activité scientifique, notamment) ;
présente les actions à mettre en oeuvre pour amoindrir les risques.
Ensuite, vous vous attelez à déterminer quelles sont les activités du laboratoire qui rentrent dans le cadre de la PSSI. Après quelques réunions avec Marc et les autres dirigeants du laboratoire, vous convergez sur le périmètre d’application de la PSSI.
Pour définir un périmètre d’application, vous serez amené à vous poser les questions suivantes :
Quelles sont les activités de l’entreprise ?
Comment celles-ci sont-elles organisées et coordonnées entre elles ?
Quel est le degré de criticité pour chacune de ces activités, c’est-à-dire quelles activités pourraient mettre en danger la mission de l’entreprise, si leurs informations étaient compromises, indisponibles, volées, ou encore rendues publiques ?
Vous décidez conjointement que les activités métier liées au SI (administration, gestion des réseaux, maintenance, développement), ainsi que les activités métier liées au calcul scientifique, seront couvertes par le périmètre de la PSSI.
Vous indiquez également à Marc que les activités supports directement en lien avec l’activité du laboratoire (Communication, Recrutement, Secrétariat, Achats pour l'acquisition de matériels informatiques) doivent être considérées comme critiques, et donc être protégées.
Après réflexion, vous excluez les activités logistiques, de gestion patrimoniale et immobilière et le pilotage général du laboratoire, qui ne vous paraissent pas critiques au regard de l’activité scientifique sensible du laboratoire.
Pour avancer dans votre réflexion, vous demandez à Marc l’autorisation d’organiser des interviews ciblés avec les personnels du laboratoire (l’équipe de direction, le service RH, les personnels scientifiques, le service Achats, etc.). Marc n’hésite pas, vous avez carte blanche !
Déterminez les enjeux de sécurité du laboratoire
Pour réaliser cette démarche, vous devez garder en mémoire que l’objectif final est de fixer des exigences de sécurité pour améliorer le niveau de sécurité du SI.
Après quelques entretiens organisés avec les membres du laboratoire, et à l'aide de vos analyses du fonctionnement, vous décidez d’écrire le paragraphe suivant :
"Le système d’information du laboratoire est au cœur des activités scientifiques et de recherche de la structure."
"Il assure la disponibilité de la ferme de calcul intensif, ainsi que des données nécessaires.
Par ailleurs, le système d’information garantit la confidentialité des données sensibles (code de calcul, données de recherche, travaux confidentiels), de manière à ce que seuls les personnels habilités y aient accès.
En protégeant l’activité scientifique par le maintien de l’intégrité des données stockées, en transit ou bien archivées, le système d’information participe de façon décisive à la mission du laboratoire.
Enfin, le système d’information du laboratoire contribue à la valorisation de l’innovation, en assurant la protection physique et logistique du patrimoine immatériel de l’organisme.
La sécurité du système d’information constitue donc un axe de vigilance constant et d’action permanente. Chaque utilisateur est également un acteur de la sécurité du SI, et l’hygiène cybernétique des membres du laboratoire représente une priorité permanente pour la direction de l’établissement."
"Dans le cadre de travaux de recherches particuliers, le système d’information du laboratoire est également susceptible d’accueillir des dispositifs innovants qui s’intègrent difficilement dans une gestion contraignante de la SSI. Une attention particulière doit être apportée aux règles de sécurité de ces matériels."
Fixez le cadre légal et réglementaire, ainsi que les obligations contractuelles
Pour définir ce cadre, vous serez amené à vous poser les questions suivantes :
Quels sont les textes de haut niveau qui imposent des contraintes à l’entreprise ?
Existe-t-il un règlement intérieur ?
L’entreprise traite-t-elle des données personnelles ?
A-t-elle des contrats particuliers avec des prestataires ?
Quelles sont les normes (ISO 9001 pour la qualité, ISO 14001 pour la responsabilité environnementale) ?
Quelles sont les références à donner aux différentes équipes pour intégrer la sécurité dans les projets de recherche ?
Dans la plupart des cas, pour des entreprises françaises, vous aurez un cadre législatif minimum commun comprenant : le Code civil et le Code pénal, la CNIL et le RGPD.
Dans le laboratoire PM27, aucun juriste n’exerce. Vous vous fiez donc à votre expérience de RSSI, et vous proposez le cadre suivant :
"Cadre législatif et réglementaire
Les textes suivants s’imposent au laboratoire :
RGPD et Loi Informatique et libertés du 6 janvier 1978 modifiée pour le traitement des données personnelles ;
Code civil et Code pénal ;
règlement intérieur du laboratoire ;
guide d’hygiène cybernétique du laboratoire ;
dispositions relatives au droit d’auteur du Code de la propriété intellectuelle ;
réglementation CNIL ;
lois sur le chiffrement des télécommunications ;
normes et statuts ;
statut national des laboratoires de recherche accrédités ;
Obligations contractuelles
Le laboratoire assume une responsabilité particulière, au travers des partenariats internationaux qui ont donné naissance à certaines séquences de code de calcul. La diffusion et la conservation de ces données répond à des normes précises et rigoureuses qu’il convient de respecter."
Dans le prochain chapitre, je vous propose de poursuivre la rédaction de la PSSI en réfléchissant aux éléments du SI qui devront être protégés.
En résumé
Cette première phase d’analyse a permis de dresser :
un mot introductif engageant la direction dans la stratégie SSI globale ;
les enjeux de sécurité et le périmètre d’application de la PSSI
le cadre réglementaire et légal imposant des contraintes à l’entreprise.