Démarche qualité et $VVRFLDWLRQSRXUOD4XDOLWp … · 2017-11-07 · demandes Type de demande Rôle...
Transcript of Démarche qualité et $VVRFLDWLRQSRXUOD4XDOLWp … · 2017-11-07 · demandes Type de demande Rôle...
Association pour la Qualitéen Recherche et Enseignement Supérieur
www.quares.fr
Démarche qualité etsécurisation des systèmes d’information
Clémence AGRAPART Responsable Qualité LPC2E/CNRS
• Présentation de la demarche qualitéau LPC2E
• Mise en place d’une politique de sécurité des systèmes d’information
• Définition des processus liés aux SI
• Gestion de requêtes utilisateur
• Sécurité des SI
La démarche Qualité au LPC2E• Démarche qualité dans la conception et la réalisation des projets étendue à
l’ensemble des processus du laboratoire
• Depuis 2010 : Référent qualité dans les laboratoires spatiaux
Garantir que la politique Qualité est
constamment développée,
appliquée, maintenue et améliorée
Proposer et définir les méthodes
et procédures permettant d’étendre
la démarche qualité
Sensibiliser le personnel aux exigences qualité
1
Clémence Agrapart – Démarche Qualité au LPC2E
Présentation de la démarche qualité au LPC2E
Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
Présentation de la démarche qualité au LPC2E
Pérenniser la culture Assurance Qualité au sens large dans les laboratoires spatiaux et avant tout, améliorer les règles de fonctionnement du laboratoire lui-même
Participer à l’optimisation du coût financier et humain des projets en préparation pour une meilleure synergie, visibilité, harmonisation des outils, des méthodes et des moyens
Donner confiance aux agences spatiales sur la qualité des instruments auxquelsles laboratoires contribuent ou se proposent de contribuer
• Embauche de Référents Qualité dans les laboratoires spatiaux
• Etat actuel:Création d’un réseau de 8 RQ OMP LATMOS LESIA IAS GEPI LAAM CRAL LPC2EMise en place de travaux communs
(REX, ateliers de travail)
2Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
La démarche Qualité au LPC2E• Mes activités: Assurance Qualité Laboratoire Implication dans les moyens communs du laboratoire
Assurance Produit Orienter la qualité sur le produit et le projet Ensemble des activités mises en application pour répondre aux
spécifications qualité des agences (CNES, ESA, NASA, …) et assurer la qualité de l’instrument.
Salle propre
Gestion Electronique de la
Documentation
Métrologie
Gestion des faits techniques,
incidents, tickets
PSSI
Présentation de la démarche qualité au LPC2E
ECSS
ISO 9001
GNS
3Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
Mise en place d’une Politique de Sécurité des Système d’Information(PSSI)
• Préparer et définir le périmètre de ce qui est à protéger
• Etablir un fichier inventaire/ enjeux
• Constituer l’analyse de risques préalable à l’écriture de la PSSI :
- Pour chaque enjeu défini, il faudra lister les menaces et juger de leur vulnérabilité/impact
- Une fois la menace identifiée, on regardera les objectifs (classés selon la norme ISO 27002)
- Les mesures (chapitre auquel réfère la PSSI) et solutions devront être rédigées (procédures, règles, ...)
• Rédiger la PSSI
• Une fois la PSSI opérationnelle, la mise en place de tableaux de bord sera requise
PSSI
4Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
Préparer et définir le périmètre de ce qui est à protéger
Etablir un fichier inventaire/ enjeux
Constituer l’analyse de risques préalable à l’écriture de la PSSI :
- Pour chaque enjeu défini, il faudra lister les menaces et juger de leur vulnérabilité/impact
- Une fois la menace identifiée, on regardera les objectifs (classés selon la norme ISO 27002)
- Les mesures (chapitre auquel réfère la PSSI) et solutions devront être rédigées (procédures, règles, ...)
Rédiger la PSSI et les documents annexes
Une fois la PSSI opérationnelle, la mise en place de tableaux de bord sera requise
Disponibilité
Intégrité
Confidentialité
PSSI
Mise en place d’une Politique de Sécurité des Système d’Information(PSSI)
5Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
INTERNET
Réseau local du LPC2E
Serveurs physiques et virtuels
Accès WIFIInvité EDUROAM
Portables et postes de travail
Réseau local de la Délégation Régionale
Serveurs mutualisés(Ex : mail)
Accès VPN SSL
Donnéesutilisateur nomade
Pare-feuImprimantes
PSSI LPC2E
PSSI de la Délégation Régionale
Lecteur de bande (sauvegardes)
PC d’instrumentation
• Définir le périmètrede la PSSI du LPC2E
Mise en place d’une Politique de Sécurité des Système d’Information(PSSI)
6Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
PSSI
• Etablir un fichier inventaire
Mise en place d’une Politique de Sécurité des Système d’Information(PSSI)
7Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
PSSI
• Constituer l’analyse de risques
Mise en place d’une Politique de Sécurité des Système d’Information(PSSI)
8Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
PSSI
PSSI du LPC2E (plan)I. Organisation
II. Périmètre de la PSSI
III.Enjeux et menaces
IV. Sécurité physique
V. Principes de mise en œuvre de la SSI
VI. Dispositions diverses
Mise en place d’une Politique de Sécurité des Système d’Information(PSSI)
• Rédiger le manuel PSSI
9Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
PSSI
10Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
PSSI
• Fichier inventaire
• Analyses de risques postes de travail
• Analyse de risques serveur
• Politique de gestion des droits administrateurs
• Politique de sauvegarde des systèmes d’information
Définition des termes !
• Plan de continuité : procédures métier
• Un plan de sécurité physique (inclus les procédures d’intervention)
• Politique de chiffrement
• Politique d’accès réseau
• Politique d’accès aux données professionnelles
• Politique de gestion des incidents (plan de gestion de crise, plan de retour
d’activités)
Mise en place d’une Politique de Sécurité des Système d’Information(PSSI)
• Rédiger les documents annexes
11Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
PSSI
La qualité du projet passe par la validation d'un certain nombre de processus.
Processus ?« Suite continue d'opérations constituant la manière de fabriquer,de faire quelque chose. » (LAROUSSE)« Ensemble d'activités corrélées ou interactives qui transforme deséléments d'entrée en éléments de sortie. » (ISO 9000)
Définition des processus liés au SI
12Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
Définition des processus liés au SI
13Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
• GERER LES SYSTEMES D’INFORMATION
Gérer l’architecture technique / infrastructure centralisée
Gérer le parc informatique, audiovisuel et multimédia
Assurer la disponibilité et la continuité
Gérer les systèmes d’information/ postes de travail
Gérer l’offre de service
Gérer les requêtes des utilisateurs
Gérer la documentation scientifique
Acquérir un fond documentaire
Assurer le traitement documentaire
Maintenir, conserver et ranger les fonds documentaires
Informer et orienter les utilisateurs de la bibliothèque
Définition des processus liés au SI
Processus support
14Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
Deux sous processus identifiés :
• Gérer l’architecture technique/infrastructure centralisée
• Gérer les systèmes d’information/poste de travail
Procédures inclus dans « Gérer l’architecture technique / infrastructure centralisée » :
Gérer le parc informatique, audiovisuel et multimédia
Assurer la disponibilité et la continuité
Définition des processus liés au SI
15Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
Gérer le parc informatique, audiovisuel et multimédia
Parc informatique
Réseau
Switch
Routage
Firewall
IPV6
Wifi
DNS
DHCP
Réseau invité
VPN
Serveurs
Ecrans
Définition des processus liés au SI
16Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
Assurer la disponibilité et la continuité
Gestion des log
Gestion de l’infrastructure
Gestion de l’inventaire
Gestion de la configuration
Gestion des certificats
Gestion de la virtualisation
Gestion du stockage
Gérer les sauvegardes
Définition des processus liés au SI
17Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
Deux sous processus identifiés :
• Gérer les systèmes d’information/poste de travail
• Gérer l’architecture technique/infrastructure centralisée
Procédures inclus dans « Gérer les systèmes d’information/poste de travail » :
Gérer l’offre de service
Gérer les requêtes des utilisateurs
Définition des processus liés au SI
18Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
Gérer l’offre de service
Serveur de fichiers
Intranet
CMA (administration de l’outil de gestion des salles)
Service de gestion documentaire
Service de calcul
Téléphonie
Services d’impression
Serveur Web
Bases de données
Service de licence
Service de mail (liste de diffusion)
Service de versionnement
Serveur d’installation
Serveur de temps
LDAP
Définition des processus liés au SI
19Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
Gérer les requêtes des utilisateurs
Gérer les demandes de tâches
Gérer les incidents ou problèmes
Gérer la création des comptes
Gérer les achats liés au SI
JIRA
Définition des processus liés au SI
Les faits techniques
Les anomalies
Les demandes
Type de demande Rôle de l’utilisateur
= outil collaboratif de gestion de projet qui permet de gérer :
20Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
Création de compte
Demande de tâche
Incident ou problème
Téléphonie
Je choisis le type de demande
JIRA : Gestion des requêtes utilisateursCréation d’une demande
21Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
Je choisis le projet
Je choisis le type de demande
Je décris ma demande
Je possède les droits pour accéder au projet et pour créer une demande
JIRA : Gestion des requêtes utilisateursCréation d’une demande
22Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
JIRA : Gestion des requêtes utilisateursSuivi d’une demande
23Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
JIRA : Gestion des requêtes utilisateursWorkflow
Etats de la demande :
ASR
user
Envoi d’un mail au responsable du projet
Envoi d’un mail à l’ utilisateur
24Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
Maîtrise du Système d’Information
◦ Protéger le patrimoine scientifique, disposer de ressources numériques fiables
faire connaître à tous le contexte réglementaire et légal
comprendre les menaces, la facilité d'exploitation des vulnérabilités, les impacts possibles
savoir réagir en cas d'incident de sécurité pour minimiser les impacts
pouvoir s'engager auprès de partenaires scientifiques ou industriels
◦ Cerner les enjeux vitaux pour l'unité afin de décider des mesures de protection nécessaires
◦ Impliquer tous les acteurs du SI
Sécurité des SI
25Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
Maîtrise du SI◦ Minimiser les risques de survenance d’un incident de
sécurité
ou, quand l’incident ne peut être évité,
◦ Minimiser ses conséquences grâce à la préparation de plans de secours qui permettent de poursuivre malgré tout, les missions essentielles.
Disponibilité
Intégrité
Confidentialité
Sécurité des SI
Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016 26
Sécurité des SI
27Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
Signature électronique
Principes de la signature électronique :◦ L’utilisateur possède une clé publique et une clé privée.
◦ La clé publique est liée à l’utilisateur par un certificate spécifique (X.509).
◦ Le certificat est délivré par une autorité de certification qui authentifiel’utilisateur et vérifie que le procédé de livraison du certificat est respecté
◦ L’utlisateur signe le document avec sa propre clé privée en utilisant un outil de signature dédié (algorithme spécifique)
Le document contient alors la (ou les) signature(s) et l’information lui permettant de :◦ Vérifier chaque signature et d’identifier son auteur/date/fonction à l’aide
du certificat associé
ECSS‐M‐ST‐40C Rev. 1_2009
Sécurité des SI
28Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016
ECSS‐M‐ST‐40C Rev. 1_2009
Conclusion
Répondre à ces besoins précis grâce à un outil ? Mener une réflexion concertée en suivant une méthodologie rigoureuse.
Ne pas oublier :
qu’il est nécessaire de clairement définir : les rôles des différents acteurs du projet, de la stratégie à l’opérationnel. de planifier en amont de phase la mise en place des moyens financiers et humains.
qu’il est primordial de communiquer et d’accompagner les utilisateurs dans la prise en main du nouvel outil et dans les nouvelles pratiques associées.
Objectifs de la maîtrise des SI ?
Enregistrer et stocker l’ensemble du SI relatif à un projet donné (caractéristiques, activités, résultats,…)
Garantir aux acteurs la fiabilité, la qualité et la rapidité des renseignements diffusés
Favoriser l’accès de tous les acteurs à l’information (documentation à jour)
29Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016