Démarche qualité et $VVRFLDWLRQSRXUOD4XDOLWp … · 2017-11-07 · demandes Type de demande Rôle...

Association pour la Qualitéen Recherche et Enseignement Supérieur

www.quares.fr

Démarche qualité etsécurisation des systèmes d’information

Clémence AGRAPART Responsable Qualité LPC2E/CNRS

• Présentation de la demarche qualitéau LPC2E

• Mise en place d’une politique de sécurité des systèmes d’information

• Définition des processus liés aux SI

• Gestion de requêtes utilisateur

• Sécurité des SI

La démarche Qualité au LPC2E• Démarche qualité dans la conception et la réalisation des projets étendue à

l’ensemble des processus du laboratoire

• Depuis 2010 : Référent qualité dans les laboratoires spatiaux

Garantir que la politique Qualité est

constamment développée,

appliquée, maintenue et améliorée

Proposer et définir les méthodes

et procédures permettant d’étendre

la démarche qualité

Sensibiliser le personnel aux exigences qualité

1

Clémence Agrapart – Démarche Qualité au LPC2E

Présentation de la démarche qualité au LPC2E

Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016


Pérenniser la culture Assurance Qualité au sens large dans les laboratoires spatiaux et avant tout, améliorer les règles de fonctionnement du laboratoire lui-même

Participer à l’optimisation du coût financier et humain des projets en préparation pour une meilleure synergie, visibilité, harmonisation des outils, des méthodes et des moyens

Donner confiance aux agences spatiales sur la qualité des instruments auxquelsles laboratoires contribuent ou se proposent de contribuer

• Embauche de Référents Qualité dans les laboratoires spatiaux

• Etat actuel:Création d’un réseau de 8 RQ OMP LATMOS LESIA IAS GEPI LAAM CRAL LPC2EMise en place de travaux communs

(REX, ateliers de travail)

2Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016

La démarche Qualité au LPC2E• Mes activités: Assurance Qualité Laboratoire Implication dans les moyens communs du laboratoire

Assurance Produit Orienter la qualité sur le produit et le projet Ensemble des activités mises en application pour répondre aux

spécifications qualité des agences (CNES, ESA, NASA, …) et assurer la qualité de l’instrument.

Salle propre

Gestion Electronique de la

Documentation

Métrologie

Gestion des faits techniques,

incidents, tickets

PSSI


ECSS

ISO 9001

GNS


Mise en place d’une Politique de Sécurité des Système d’Information(PSSI)

• Préparer et définir le périmètre de ce qui est à protéger

• Etablir un fichier inventaire/ enjeux

• Constituer l’analyse de risques préalable à l’écriture de la PSSI :

- Pour chaque enjeu défini, il faudra lister les menaces et juger de leur vulnérabilité/impact

- Une fois la menace identifiée, on regardera les objectifs (classés selon la norme ISO 27002)

- Les mesures (chapitre auquel réfère la PSSI) et solutions devront être rédigées (procédures, règles, ...)

• Rédiger la PSSI

• Une fois la PSSI opérationnelle, la mise en place de tableaux de bord sera requise

PSSI


Préparer et définir le périmètre de ce qui est à protéger

Etablir un fichier inventaire/ enjeux

Constituer l’analyse de risques préalable à l’écriture de la PSSI :

- Pour chaque enjeu défini, il faudra lister les menaces et juger de leur vulnérabilité/impact

- Une fois la menace identifiée, on regardera les objectifs (classés selon la norme ISO 27002)

- Les mesures (chapitre auquel réfère la PSSI) et solutions devront être rédigées (procédures, règles, ...)

Rédiger la PSSI et les documents annexes

Une fois la PSSI opérationnelle, la mise en place de tableaux de bord sera requise

Disponibilité

Intégrité

Confidentialité

PSSI



INTERNET

Réseau local du LPC2E

Serveurs physiques et virtuels

Accès WIFIInvité EDUROAM

Portables et postes de travail

Réseau local de la Délégation Régionale

Serveurs mutualisés(Ex : mail)

Accès VPN SSL

Donnéesutilisateur nomade

Pare-feuImprimantes

PSSI LPC2E

PSSI de la Délégation Régionale

Lecteur de bande (sauvegardes)

PC d’instrumentation

• Définir le périmètrede la PSSI du LPC2E



PSSI

• Etablir un fichier inventaire



PSSI

• Constituer l’analyse de risques



PSSI

PSSI du LPC2E (plan)I. Organisation

II. Périmètre de la PSSI

III.Enjeux et menaces

IV. Sécurité physique

V. Principes de mise en œuvre de la SSI

VI. Dispositions diverses


• Rédiger le manuel PSSI


PSSI


PSSI

• Fichier inventaire

• Analyses de risques postes de travail

• Analyse de risques serveur

• Politique de gestion des droits administrateurs

• Politique de sauvegarde des systèmes d’information

Définition des termes !

• Plan de continuité : procédures métier

• Un plan de sécurité physique (inclus les procédures d’intervention)

• Politique de chiffrement

• Politique d’accès réseau

• Politique d’accès aux données professionnelles

• Politique de gestion des incidents (plan de gestion de crise, plan de retour

d’activités)


• Rédiger les documents annexes


PSSI

La qualité du projet passe par la validation d'un certain nombre de processus.

Processus ?« Suite continue d'opérations constituant la manière de fabriquer,de faire quelque chose. » (LAROUSSE)« Ensemble d'activités corrélées ou interactives qui transforme deséléments d'entrée en éléments de sortie. » (ISO 9000)

Définition des processus liés au SI


• GERER LES SYSTEMES D’INFORMATION

Gérer l’architecture technique / infrastructure centralisée

Gérer le parc informatique, audiovisuel et multimédia

Assurer la disponibilité et la continuité

Gérer les systèmes d’information/ postes de travail

Gérer l’offre de service

Gérer les requêtes des utilisateurs

Gérer la documentation scientifique

Acquérir un fond documentaire

Assurer le traitement documentaire

Maintenir, conserver et ranger les fonds documentaires

Informer et orienter les utilisateurs de la bibliothèque


Processus support


Deux sous processus identifiés :

• Gérer l’architecture technique/infrastructure centralisée

• Gérer les systèmes d’information/poste de travail

Procédures inclus dans « Gérer l’architecture technique / infrastructure centralisée » :






Parc informatique

Réseau

Switch

Routage

Firewall

IPV6

Wifi

DNS

DHCP

Réseau invité

VPN

Serveurs

Ecrans




Gestion des log

Gestion de l’infrastructure

Gestion de l’inventaire

Gestion de la configuration

Gestion des certificats

Gestion de la virtualisation

Gestion du stockage

Gérer les sauvegardes



Deux sous processus identifiés :

• Gérer les systèmes d’information/poste de travail

• Gérer l’architecture technique/infrastructure centralisée

Procédures inclus dans « Gérer les systèmes d’information/poste de travail » :






Serveur de fichiers

Intranet

CMA (administration de l’outil de gestion des salles)

Service de gestion documentaire

Service de calcul

Téléphonie

Services d’impression

Serveur Web

Bases de données

Service de licence

Service de mail (liste de diffusion)

Service de versionnement

Serveur d’installation

Serveur de temps

LDAP




Gérer les demandes de tâches

Gérer les incidents ou problèmes

Gérer la création des comptes

Gérer les achats liés au SI

JIRA


Les faits techniques

Les anomalies

Les demandes

Type de demande Rôle de l’utilisateur

= outil collaboratif de gestion de projet qui permet de gérer :


Création de compte

Demande de tâche

Incident ou problème

Téléphonie

Je choisis le type de demande

JIRA : Gestion des requêtes utilisateursCréation d’une demande


Je choisis le projet

Je choisis le type de demande

Je décris ma demande

Je possède les droits pour accéder au projet et pour créer une demande

JIRA : Gestion des requêtes utilisateursCréation d’une demande


JIRA : Gestion des requêtes utilisateursSuivi d’une demande


JIRA : Gestion des requêtes utilisateursWorkflow

Etats de la demande :

ASR

user

Envoi d’un mail au responsable du projet

Envoi d’un mail à l’ utilisateur


Maîtrise du Système d’Information

◦ Protéger le patrimoine scientifique, disposer de ressources numériques fiables

faire connaître à tous le contexte réglementaire et légal

comprendre les menaces, la facilité d'exploitation des vulnérabilités, les impacts possibles

savoir réagir en cas d'incident de sécurité pour minimiser les impacts

pouvoir s'engager auprès de partenaires scientifiques ou industriels

◦ Cerner les enjeux vitaux pour l'unité afin de décider des mesures de protection nécessaires

◦ Impliquer tous les acteurs du SI

Sécurité des SI


Maîtrise du SI◦ Minimiser les risques de survenance d’un incident de

sécurité

ou, quand l’incident ne peut être évité,

◦ Minimiser ses conséquences grâce à la préparation de plans de secours qui permettent de poursuivre malgré tout, les missions essentielles.

Disponibilité

Intégrité

Confidentialité

Sécurité des SI

Démarche qualité et sécurisation des systèmes d’information_ C.AGRAPART_09092016 26

Sécurité des SI


Signature électronique

Principes de la signature électronique :◦ L’utilisateur possède une clé publique et une clé privée.

◦ La clé publique est liée à l’utilisateur par un certificate spécifique (X.509).

◦ Le certificat est délivré par une autorité de certification qui authentifiel’utilisateur et vérifie que le procédé de livraison du certificat est respecté

◦ L’utlisateur signe le document avec sa propre clé privée en utilisant un outil de signature dédié (algorithme spécifique)

Le document contient alors la (ou les) signature(s) et l’information lui permettant de :◦ Vérifier chaque signature et d’identifier son auteur/date/fonction à l’aide

du certificat associé

ECSS‐M‐ST‐40C Rev. 1_2009

Sécurité des SI


ECSS‐M‐ST‐40C Rev. 1_2009

Conclusion

Répondre à ces besoins précis grâce à un outil ? Mener une réflexion concertée en suivant une méthodologie rigoureuse.

Ne pas oublier :

qu’il est nécessaire de clairement définir : les rôles des différents acteurs du projet, de la stratégie à l’opérationnel. de planifier en amont de phase la mise en place des moyens financiers et humains.

qu’il est primordial de communiquer et d’accompagner les utilisateurs dans la prise en main du nouvel outil et dans les nouvelles pratiques associées.

Objectifs de la maîtrise des SI ?

Enregistrer et stocker l’ensemble du SI relatif à un projet donné (caractéristiques, activités, résultats,…)

Garantir aux acteurs la fiabilité, la qualité et la rapidité des renseignements diffusés

Favoriser l’accès de tous les acteurs à l’information (documentation à jour)


Démarche qualité et $VVRFLDWLRQSRXUOD4XDOLWp … · 2017-11-07 · demandes Type de demande Rôle...

Documents

Transcript of Démarche qualité et $VVRFLDWLRQSRXUOD4XDOLWp … · 2017-11-07 · demandes Type de demande Rôle...