Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements

Gestion organisationnelle de la SSI :

la gestion des équipements Paulo Mora de Freitas – RSSI CNRS Paris B

1

Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements

Parmi les 10 principes stratégiques de la PSSI-E : P2 : Tout système d’information de l’État doit faire

l’objet d’une analyse de risques permettant une prise en compte préventive de sa sécurité, adaptée aux enjeux du système considéré. Cette analyse s’inscrit dans une démarche d’amélioration continue de la sécurité du système, pendant toute sa durée de vie. Cette démarche doit également permettre de maintenir à jour une cartographie précise des systèmes d’information en service.

Que dit la PSSI-E concernant le matériel ?

2

Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements

Identifier les : Actifs primaires : il s’agit d’identifier les activités de l’unité en identifiant leurs

processus et son information, au sens large du terme. En fait, est considérée comme actif toute information ayant de la valeur pour l’activité finale de l’unité, indépendamment de son support.

Actifs support : le support de l’information qui implémente les actifs primaires : logiciels, fichiers, équipements système ou réseau, documentations (papier ou électronique), locaux où se déroulent les activités sensibles, etc.

ISO27001 : inventaire et analyse des risques

3

Pour chaque actif, attribuer un responsable et les valoriser par les coûts, les conséquences d’une compromission et les contraintes opérationnelles.

Ensuite, estimer la vraisemblance du risque.

Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements

PSSI-E - Gestion des biens page 17/42

4

Objectif 3 : cartographie des SI. Tenir à jour une cartographie détaillée et complète des SI.

GDB-INVENT : inventaire des ressources informatiques. Chaque entité établit et maintient à jour un inventaire des ressources informatiques sous sa responsabilité, en s’appuyant sur un outillage adapté. Cet inventaire est tenu à disposition du RSSI, ainsi que du FSSI et de l’ANSSI en cas de besoin de coordination opérationnelle. Il comprend la liste des « briques » matérielles et logicielles utilisées, ainsi que leurs versions exactes. Il est constitué d’une base de données de configuration, maintenue à jour et tenue à disposition du RSSI. L’historique des attributions des biens inventoriés doit être conservé, dans le respect de la législation.

Règle PSSI-O CNRS EXP-MAT-1: Le parc du matériel informatique de l’unité est géré et permet notamment un suivi de l’attribution de ces matériels au personnel.

Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements

Chaque entité établit et maintient à jour un inventaire des ressources informatiques sous sa responsabilité : en s’appuyant sur un outillage adapté

qui inclut, pour chaque composant :

les « briques » matérielles les logicielles utilisées et leurs versions exactes.

Tenu à disposition du RSSI, ainsi que du FSSI et de l’ANSSI en cas de besoin de coordination opérationnelle. L’historique des attributions des biens inventoriés doit être conservé, dans le respect de la législation (CNIL).

La GDB-INVENT à la loupe

5

Contenu de la BD

Conformité

Une base de données (BD)

Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements

Cycle de vie du matériel informatique de l’unité

6

Achat • Saisie des informations administratives (Devis

/Commande/ Facture/ inventaire administratif)

Réception • Préparation du poste, installation de logiciels • Attribution initiale

Suivi

• Maintenance / mises à jour d’OS et logiciels • Réaffectation du matériel • La mise au rebut

Inventaire

ASR, service informatique, CRI… À défaut, les utilisateurs eux-mêmes ?

Gestionnaires

Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements

Tout matériel et logiciel informatique de l’unité doit être géré par l’unité : Décision claire de la direction de l’unité, qui désigne qui sera en charge Si possible acté par le conseil du laboratoire Suivie d’un appui fort et claire de la direction de l’unité au quotidien

Avoir l’outillage qui va bien : Des solutions « maison » : des fichiers Excel, File Maker, etc. Les grands classiques :

OCS (http://www.ocsinventory-ng.org/) OCS + GLPI (http://www.glpi-project.org/)

Organisation à mettre en place

7

Rappel : peu importe la source de financement, c’est toujours le DU qui signe les commandes est responsable juridiquement vis-à-vis de la SSI dans l’unité

Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements

Constitution d’un inventaire pertinent, automatiquement constitué et mis à jour via le réseau, grâce à l’installation d’un client dans les postes.

Support de nombreux systèmes d'exploitation incluant Microsoft Windows, Linux, *BSD, Sun Solaris, IBM AIX, HP-UX, MacOS X.

Interface d'administration web. Architecture tierce utilisant les standards courants, les protocoles

HTTP/HTTPS et le formatage de données XML. Support de plugins au travers des API. Web service accessible au travers de l'interface SOAP. Permet de déployer des installations de logiciels ou d'exécuter des scripts et

commandes sur les ordinateurs via le réseau. Synchronisation avec GLPI. Licence GNU GPL.

OCS : Fonctionnalités

8

Automatique Œcuménique Ouvert Gratuit

Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements

OCS, les informations collectées

9

Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements

Importations des données d’inventaire de serveurs OCS Inventaire du parc du matériel réseau, imprimantes, scanners, tables

graphiques, etc., avec gestion des connexions aux ordinateurs Inventaire du parc logiciel avec gestion des licences (acquises, à acquérir,

sites, oem..) et des dates d’expiration Affectation du matériel par zone géographique (salle, étage...) de manière

hiérarchique Archivage des matériels sortis de l’inventaire Gestion des informations financières et administratives Gestion des différents états pour les matériels (en réparation, en stock...) Gestion de périphériques et moniteurs génériques Historisation des modifications sur les éléments de l’inventaire

Gestion de l’inventaire avec GLPI

10

OCS plus : - Affectations - Données

administratives - Historique

Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements

EXP-MAINT-EXT : maintenance externe. Les données non chiffrées doivent être effacées avant l’envoi en maintenance externe de toute ressource informatique. Les opérations de chiffrement doivent faire appel à des produits qualifiés. L’effacement des données sensibles doit s’appuyer sur des produits qualifiés, ou respecter des procédures établies en concertation avec l’ANSSI.

EXP-MIS-REB : mise au rebut. Lorsqu’une ressource informatique est amenée à quitter définitivement l’entité, les données présentes sur les disques durs ou la mémoire intégrée doivent être effacées de manière sécurisée. L’effacement des données sensibles doit s’appuyer sur des produits qualifiés, ou respecter des procédures établies en concertation avec l’ANSSI.

Maintenance et mise au rebut

11

Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements

EXP-MAIT-MAT : maîtrise des matériels. Les postes de travail - y compris dans le cas d’une location - sont fournis à l’utilisateur par l’entité, gérés et configurés sous la responsabilité de l’entité. La connexion d’équipements non maîtrisés, non administrés ou non mis à jour par l’entité (qu’il s’agisse d’ordiphones, d’équipements informatiques nomades et fixes ou de supports de stockage amovibles) sur des équipements et des réseaux professionnels est interdite.

EXP-PROT-VOL : rappel des mesures de protection contre le vol…. EXP-DECLAR-VOL : déclarer les pertes et vols... EXP-REAFFECT : réaffectation de matériels informatiques. Une procédure

de gestion des postes et supports dans le cadre de départs de personnel ou de réaffectations à de nouveaux utilisateurs doit être mise en place et validée par le RSSI. Elle doit définir les conditions de recours à un effacement des données.

Gestion des matériels informatiques fournis à l’utilisateur

12

Le 30 mars 2016 CoCSSI | “Gestion organisationnelle de la SSI » | Équipements

Besoin : Maintenir à jour un inventaire du matériel informatique et logiciels de

l’unité est un besoin et une obligation, selon la PSSI-E. Inventorier toutes les « briques » matérielles, leurs attributions , les

logicielles utilisées, leurs versions exactes, etc. L’historique des attributions doit être conservé.

Organisationnel pour répondre à ce besoin : Tout matériel informatique et logiciel de l’unité doit être géré par l’unité La direction désigne qui sera en charge de cette gestion, assure les

moyens et l’appui nécessaire pour sa mise en place Procédure à partager entre gestionnaires et ASR* en fonction du terrain L’outillage nécessaire existe et il est disponible, en licence GPL

Conclusions à débattre

13

* « ASR » au sens large, peut inclure l’utilisateur qui gère sa propre machine