gestion organisationnelle de la ssi : la gestion des ... · pdf filecocssi | “gestion...
TRANSCRIPT
Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements
Gestion organisationnelle de la SSI :
la gestion des équipements Paulo Mora de Freitas – RSSI CNRS Paris B
1
Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements
Parmi les 10 principes stratégiques de la PSSI-E : P2 : Tout système d’information de l’État doit faire
l’objet d’une analyse de risques permettant une prise en compte préventive de sa sécurité, adaptée aux enjeux du système considéré. Cette analyse s’inscrit dans une démarche d’amélioration continue de la sécurité du système, pendant toute sa durée de vie. Cette démarche doit également permettre de maintenir à jour une cartographie précise des systèmes d’information en service.
Que dit la PSSI-E concernant le matériel ?
2
Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements
Identifier les : Actifs primaires : il s’agit d’identifier les activités de l’unité en identifiant leurs
processus et son information, au sens large du terme. En fait, est considérée comme actif toute information ayant de la valeur pour l’activité finale de l’unité, indépendamment de son support.
Actifs support : le support de l’information qui implémente les actifs primaires : logiciels, fichiers, équipements système ou réseau, documentations (papier ou électronique), locaux où se déroulent les activités sensibles, etc.
ISO27001 : inventaire et analyse des risques
3
Pour chaque actif, attribuer un responsable et les valoriser par les coûts, les conséquences d’une compromission et les contraintes opérationnelles.
Ensuite, estimer la vraisemblance du risque.
Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements
PSSI-E - Gestion des biens page 17/42
4
Objectif 3 : cartographie des SI. Tenir à jour une cartographie détaillée et complète des SI.
GDB-INVENT : inventaire des ressources informatiques. Chaque entité établit et maintient à jour un inventaire des ressources informatiques sous sa responsabilité, en s’appuyant sur un outillage adapté. Cet inventaire est tenu à disposition du RSSI, ainsi que du FSSI et de l’ANSSI en cas de besoin de coordination opérationnelle. Il comprend la liste des « briques » matérielles et logicielles utilisées, ainsi que leurs versions exactes. Il est constitué d’une base de données de configuration, maintenue à jour et tenue à disposition du RSSI. L’historique des attributions des biens inventoriés doit être conservé, dans le respect de la législation.
Règle PSSI-O CNRS EXP-MAT-1: Le parc du matériel informatique de l’unité est géré et permet notamment un suivi de l’attribution de ces matériels au personnel.
Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements
Chaque entité établit et maintient à jour un inventaire des ressources informatiques sous sa responsabilité : en s’appuyant sur un outillage adapté
qui inclut, pour chaque composant :
les « briques » matérielles les logicielles utilisées et leurs versions exactes.
Tenu à disposition du RSSI, ainsi que du FSSI et de l’ANSSI en cas de besoin de coordination opérationnelle. L’historique des attributions des biens inventoriés doit être conservé, dans le respect de la législation (CNIL).
La GDB-INVENT à la loupe
5
Contenu de la BD
Conformité
Une base de données (BD)
Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements
Cycle de vie du matériel informatique de l’unité
6
Achat • Saisie des informations administratives (Devis
/Commande/ Facture/ inventaire administratif)
Réception • Préparation du poste, installation de logiciels • Attribution initiale
Suivi
• Maintenance / mises à jour d’OS et logiciels • Réaffectation du matériel • La mise au rebut
Inventaire
ASR, service informatique, CRI… À défaut, les utilisateurs eux-mêmes ?
Gestionnaires
Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements
Tout matériel et logiciel informatique de l’unité doit être géré par l’unité : Décision claire de la direction de l’unité, qui désigne qui sera en charge Si possible acté par le conseil du laboratoire Suivie d’un appui fort et claire de la direction de l’unité au quotidien
Avoir l’outillage qui va bien : Des solutions « maison » : des fichiers Excel, File Maker, etc. Les grands classiques :
OCS (http://www.ocsinventory-ng.org/) OCS + GLPI (http://www.glpi-project.org/)
Organisation à mettre en place
7
Rappel : peu importe la source de financement, c’est toujours le DU qui signe les commandes est responsable juridiquement vis-à-vis de la SSI dans l’unité
Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements
Constitution d’un inventaire pertinent, automatiquement constitué et mis à jour via le réseau, grâce à l’installation d’un client dans les postes.
Support de nombreux systèmes d'exploitation incluant Microsoft Windows, Linux, *BSD, Sun Solaris, IBM AIX, HP-UX, MacOS X.
Interface d'administration web. Architecture tierce utilisant les standards courants, les protocoles
HTTP/HTTPS et le formatage de données XML. Support de plugins au travers des API. Web service accessible au travers de l'interface SOAP. Permet de déployer des installations de logiciels ou d'exécuter des scripts et
commandes sur les ordinateurs via le réseau. Synchronisation avec GLPI. Licence GNU GPL.
OCS : Fonctionnalités
8
Automatique Œcuménique Ouvert Gratuit
Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements
OCS, les informations collectées
9
Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements
Importations des données d’inventaire de serveurs OCS Inventaire du parc du matériel réseau, imprimantes, scanners, tables
graphiques, etc., avec gestion des connexions aux ordinateurs Inventaire du parc logiciel avec gestion des licences (acquises, à acquérir,
sites, oem..) et des dates d’expiration Affectation du matériel par zone géographique (salle, étage...) de manière
hiérarchique Archivage des matériels sortis de l’inventaire Gestion des informations financières et administratives Gestion des différents états pour les matériels (en réparation, en stock...) Gestion de périphériques et moniteurs génériques Historisation des modifications sur les éléments de l’inventaire
Gestion de l’inventaire avec GLPI
10
OCS plus : - Affectations - Données
administratives - Historique
Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements
EXP-MAINT-EXT : maintenance externe. Les données non chiffrées doivent être effacées avant l’envoi en maintenance externe de toute ressource informatique. Les opérations de chiffrement doivent faire appel à des produits qualifiés. L’effacement des données sensibles doit s’appuyer sur des produits qualifiés, ou respecter des procédures établies en concertation avec l’ANSSI.
EXP-MIS-REB : mise au rebut. Lorsqu’une ressource informatique est amenée à quitter définitivement l’entité, les données présentes sur les disques durs ou la mémoire intégrée doivent être effacées de manière sécurisée. L’effacement des données sensibles doit s’appuyer sur des produits qualifiés, ou respecter des procédures établies en concertation avec l’ANSSI.
Maintenance et mise au rebut
11
Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements
EXP-MAIT-MAT : maîtrise des matériels. Les postes de travail - y compris dans le cas d’une location - sont fournis à l’utilisateur par l’entité, gérés et configurés sous la responsabilité de l’entité. La connexion d’équipements non maîtrisés, non administrés ou non mis à jour par l’entité (qu’il s’agisse d’ordiphones, d’équipements informatiques nomades et fixes ou de supports de stockage amovibles) sur des équipements et des réseaux professionnels est interdite.
EXP-PROT-VOL : rappel des mesures de protection contre le vol…. EXP-DECLAR-VOL : déclarer les pertes et vols... EXP-REAFFECT : réaffectation de matériels informatiques. Une procédure
de gestion des postes et supports dans le cadre de départs de personnel ou de réaffectations à de nouveaux utilisateurs doit être mise en place et validée par le RSSI. Elle doit définir les conditions de recours à un effacement des données.
Gestion des matériels informatiques fournis à l’utilisateur
12
Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements
Besoin : Maintenir à jour un inventaire du matériel informatique et logiciels de
l’unité est un besoin et une obligation, selon la PSSI-E. Inventorier toutes les « briques » matérielles, leurs attributions , les
logicielles utilisées, leurs versions exactes, etc. L’historique des attributions doit être conservé.
Organisationnel pour répondre à ce besoin : Tout matériel informatique et logiciel de l’unité doit être géré par l’unité La direction désigne qui sera en charge de cette gestion, assure les
moyens et l’appui nécessaire pour sa mise en place Procédure à partager entre gestionnaires et ASR* en fonction du terrain L’outillage nécessaire existe et il est disponible, en licence GPL
Conclusions à débattre
13
* « ASR » au sens large, peut inclure l’utilisateur qui gère sa propre machine