numéro 58 décembre 2006

La multiplication des normes aussi bien dans les domaines techniquesque dans ceux relevant de l’organisation est une tendance lourde de nossociétés. Désormais la Sécurité des systèmes d’information (SSI) fait l’ob-jet de normes internationales, référencées ISO 27000. Peut-être faut-il yvoir un signe de maturité de la SSI. En tout cas, cela devrait nécessaire-ment influer sur la façon d’aborder la SSI. Il va devenir difficile de mettreen œuvre la sécurité et, surtout, de montrer que celle-ci est effectivesans se référer aux normes en la matière.

L’expérience acquise pour la mise en œuvre des normes de qualitéISO 9000 pourra se transposer à la SSI d’autant plus facilement que lesprincipes et la méthodologie utilisés sont très voisins. C’est pourquoi l’ex-périence du CERMAV, Centre de recherches sur les macromolécules végé-tales, qui, avec un appui très fort de la direction, s’est lancé dans unedémarche qualité basée sur la norme, est riche d’enseignements. Elle estprésentée dans l’article d’Alain Rivet.

D’un apport indéniable en matière de sécurité, les normes ne sont sûre-ment pas une panacée qui va résoudre tous les problèmes ; il faut savoirles appliquer avec intelligence, comme nous le montre avec humour l’ar-ticle de Laurent Bloch.

Les normes ne font souvent que reprendre, en les formalisant, des bonnespratiques, des méthodologies éprouvées ou de simples principes de bonsens. Définir des procédures, les documenter et les faire appliquer, bâtirdes indicateurs et des tableaux de bord, mesurer les écarts entre objec-tifs et réalisations, réitérer les processus en corrigeant leurs erreurs, étaientdéjà ce que pratiquait le Monsieur Jourdain de la sécurité.

La Politique de sécurité des systèmes d’information (PSSI) du CNRS quivient d’être signée et que nous présente l’article de Joseph Illand s’in-tègre dans cette logique de formalisation. Elle constitue un signal fortpour engager une démarche de sécurité.

Sans nécessairement aller jusqu’à l’étape ultime, qui est la certification,la démarche sous-jacente à ces normes ne peut-elle contribuer à l’amé-lioration de la sécurité des systèmes d’information? C’est une réflexionqu’il nous faut avoir. Les articles de ce numéro donnent quelques élé-ments de réponses.

François MorrisChargé de mission SSI au CNRS

S É C U R I T É I N F O R M AT I Q U E

S É C U R I T É D E S S Y S T È M E S D ’ I N F O R M A T I O N

é d i t o r i a lDu bon usage des normes

La norme ISO 9001,outil d’organisationde laboratoirePar Alain RivetResponsable qualité et système d’information du CERMAV

Longtemps associée au domaine industriel, la normeISO 9001 relative au Système de management de laqualité (SMQ) est un concept récent dans le domaineacadémique, la qualité en recherche ayant longtempsopposé la créativité du chercheur à la notion demanagement. À travers l’expérience menée au Centrede recherches sur les macromolécules végétales(CERMAV), nous verrons comment la mise en œuvred’un système de management de la qualité peuts’avérer un outil intéressant pour améliorer l’organisa-tion et le fonctionnement d’un laboratoire et jouerainsi un rôle fédérateur, important à prendre encompte dans la perspective de regroupement delaboratoires.

ISO 9001 et qualité en recherche

Dans le domaine de la recherche, les premières démarchesqualité furent initiées vers 1985 afin de répondre à des préoc-cupations sécuritaires pour être étendues par la suite auxdomaines de la santé publique,de la sécurité des biens et desaliments. On observe, depuis les années 2000, une certainegénéralisation des démarches qualité à l’ensemble des orga-nismes de recherche. La mise en place récente de cahiers delaboratoire standardisés, outils essentiels d’une démarchequalité en recherche, en est un des exemples. Les enjeux pourles organismes de recherche sont multiples, à la fois scienti-fiques, de façon à garantir la maîtrise des résultats, mais aussiéconomiques et financiers, afin d’optimiser les ressourcesallouées, tout en répondant à une demande sociétale de plusen plus forte en termes de traçabilité et de transparence.Les normes de la famille ISO 9000 de Système de manage-ment de la qualité (SMQ) sont des normes internationales debonnes pratiques de management. Elles ne s’adressent qu’àl’organisation du laboratoire et non aux aspects techniques,le personnel restant l’expert scientifique de son travail. Cetaspect non directif permet ainsi une grande souplessed’adaptation pour nos unités. S’agissant

• Éditorial par F. Morris• La norme ISO 9001,

outil d’organisation de laboratoire par A. Rivet

• Le management de la sécurité de l’information par L. Bloch

• Une PSSI pour le CNRS par J. IllandS

OM

MA

IR

E

suite page 2

d’organisation, la qualité est l’affaire detous, c’est donc une démarche partici-pative qui va nécessiter un engagementdes personnes et une implication fortede la direction.Le CERMAV, unité propre de recherchedu CNRS, UPR5301, s’est trouvé confrontédès 2002 à un certain nombre de difficul-tés fréquemment rencontrées dans leslaboratoires de recherche : départs à laretraite, mise en place de l’ARTT, trans-mission essentiellement orale du savoir etexistence d’un parc expérimental impor-tant (microscopie électronique, spectro-métrie RMN, spectrométrie de masse…).Face à cette problématique, un SMQ,basé sur le référentiel ISO 9001, a été misen place sous la coordination d’uncomité de pilotage à travers troisgroupes de travail : « Maîtrise documen-taire », « Gestion des équipements » et« Capitalisation des connaissances »,avec une volonté forte de la direction.

Aspects théoriques d’une démarche qualité

Revenons, au préalable, sur deux aspectsplus théoriques de la démarche qualitéque sont, d’une part, l’approche proces-sus, qui correspond à la structuration desactivités, et, d’autre part, la maîtrisedocumentaire, qui est une structurationdes informations du laboratoire.

Approche processus

L’approche processus a consisté àdécomposer le fonctionnement du labo-ratoire en un certain nombre de proces-

sus ou de grandes activités ; cela corres-pond à une nouvelle dimension de l’or-ganisation par rapport à la représenta-tion classique en organigramme. Lesprocessus ainsi identifiés et présentésdans la figure ci-dessus se divisent en pro-cessus de management, processus sup-port et processus de réalisation qui repré-sentent les processus « cœur de métier »du laboratoire. L’ISO 9001 introduit lanotion de «client », notion difficile à inté-grer dans notre environnement, dont onva chercher à mesurer la satisfaction aumoyen d’indicateurs.Ainsi, pour nos auto-rités de tutelle, la production scientifiquedu laboratoire (nombre de publications,facteurs d’impact) va représenter un indi-cateur du processus « Activités derecherche ». En ce qui concerne le per-sonnel doctorant, on va chercher àmesurer le fonctionnement du processus«Formation» par le suivi des carrières.

Maîtrise documentaire

Documenter les différents éléments dusystème est une exigence fondamentaled’un SMQ. Cette maîtrise documentaireassocie, au sein d’une boucle de réacti-vité, un manuel qualité, des procéduresqui décrivent l’organisation des activités(c’est le Qui fait quoi?), des modes opé-ratoires qui précisent en détail les étapesdes procédures (c’est le Comment ?),des formulaires jusqu’aux enregistre-ments qui apportent la preuve de ce quia été fait.En matière de gestion documentaire, l’in-formatique apparaît comme un outil dechoix, tant au niveau de la structurationdes informations, en assurant l’unicité desdocuments, une accessibilité au moyen

d’un navigateur, l’intégration d’outils com-plémentaires (agenda, réservations…),que de leur maintenance avec la possibi-lité de sauvegarder et mettre à jour aisé-ment les informations. Au CERMAV, nousavons fait le choix d’associer refonte dusite Intranet du laboratoire et démarchequalité dans une sorte de portail web four-nissant un frontal d’accès aux ressourcesdocumentaires et applicatives internes dulaboratoire.

Le système d’organisationde l’unité de rechercheCERMAV

Le Système d’organisation de l’unité derecherche CERMAV (SOURCE) s’organiseautour de cinq grands thèmes : organi-ser, gérer, travailler, analyser et valoriser,subdivisés en rubriques. Chaque pagede l’interface web donne accès auxinformations spécifiques de la rubrique :la documentation qualité (procédures,modes opératoires et formulaires), quali-fiée de statique dans la partie gauche,et les informations dynamiques (donnéeset enregistrements), dans la partie droite.

A travers l’exemple de la rubriqueInformatique ci-après,un utilisateur pourraaccéder à des modes opératoires géné-raux : « Fonctionnement de la salle infor-matique », « Politique de sécurité » ouTechniques : « Archivage des donnéesscientifiques», « Installation de la message-rie électronique», et à la «Charte informa-tique» pour la partie formulaires. Au titredes données dynamiques, la liste des«Ressources matérielles», la «Topologie duréseau » sont, par exemple, disponibles,alors qu’au niveau des enregistrementsl’utilisateur pourra retrouver les «Archivesnumériques» stockées au sein du serviceainsi que la liste des licences des logicielsou des sauvegardes.

De multiples informations sont ainsi dispo-nibles au niveau de SOURCE et acces-sibles à l’ensemble du personnel dulaboratoire, citons de manière nonexhaustive :• les modes opératoires d’utilisation des

équipements techniques du labora-toire (microscopes électroniques, spec-tromètre de masse et RMN…);

• les comptes rendus du conseil de labo-ratoire et des différentes commissions,

sécurité informatique décembre 2006 - n° 58

suite de la page 1

2

Tutelle

Personnels

Industriels

PartenairesFournisseurs

Société civile

Besoins du«client» et

des «parties intéressées»

Satisfaction du «client»

et des «parties intéressées»

Publications

DiplômesDevenir

Brevets

Efficacité

Environnenment

Processus de management

Processus de réalisation

Activités de recherche

Formation

Prestations de services

Directionresponsabilités

Communicationinterne/externe

Améliorationcontinue

Ressourceshumaines

Ressourcesmatérielles etscientifiques

Système d’information

Hygiène et sécurité

AdministrationFinances

Processus support

les plannings de réservation (salles,équipements…) ;

• l’accès aux documents administratifs(demandes de missions, formation,accueil de personnel…) ;

• l’accès aux bases de données (person-nels, publications, structures de molé-cules, images…);

• le suivi des cahiers de laboratoire.

Parallèlement à l’amélioration des cir-cuits d’information du laboratoire, la miseen place d’un SMQ a également eu desimpacts majeurs au niveau du personnelet de la gouvernance du laboratoire.

Sur le plan humain, on a observé:• une mobilisation importante du person-

nel ITA autour de ce projet, qui a ainsicontribué à fédérer le personnelautour d’un objectif ;

• une meilleure reconnaissance du tra-vail du personnel ITA par la formalisa-tion de leurs activités et de leurs savoir-faire ;

• une sensibilisation des chercheurs initia-lement peu concernés par la démar-che qualité : « La qualité de notre tra-vail est jugée par la communautéscientifique à travers les publications »,qui commencent à appliquer des

méthodes de management dans lecadre des projets doctorants.

Au niveau de la direction du laboratoire,le SMQ a permis :• une disponibilité accrue des informa-

tions et un meilleur suivi des activités dulaboratoire par la direction, qui disposeainsi, à tout moment, des donnéesnécessaires à l’élaboration de rapports ;

• une meilleure visibilité vis-à-vis de nospartenaires industriels pour qui ladémarche qualité apparaît comme ungage de professionnalisme.

Par ailleurs, le SMQ va offrir un cadreidéal pour mettre en place à l’avenir unePolitique de sécurité du système d’in-formation de l’unité auprès d’un person-nel déjà sensibilisé avec le suivi des ano-malies, l’élaboration de tableaux debord et la mise en place d’audits. Detelles actions contribuent déjà au pro-cessus d’amélioration continue, un desprincipes essentiels de la démarche qua-lité, mené au CERMAV.

Je terminerai par les remarques ducomité d’évaluation du CNRS qui men-tionnait dans son rapport sur l’évaluationdu laboratoire en novembre 2005 :«La mise en place du système qualité de

gestion des activités du CERMAV est unexcellent atout. La démarche est origi-nale et très bien menée. Il faut vraimentféliciter le CERMAV pour cette initiative.Ce système “SOURCE” peut être consi-déré comme un outil au service de larecherche, au CERMAV aussi bien quedans d’autres organismes qui voudraients’en inspirer. C’est aussi un élément ras-sembleur, présenté, à juste titre, commeun pas supplémentaire vers l’unité duCERMAV. Il faut remarquer à cette occa-sion l’importante implication des ITA et,aujourd’hui, des étudiants dans la réalisa-tion de ce qui n’était qu’à l’étatd’ébauche lors de la précédente éva-luation. Les étudiants semblent particuliè-rement bénéficier de cette organisationstructurée qui les aide à établir des inter-actions scientifiques et autres leur per-mettant de mieux exploiter la richesse duCERMAV.» n

Contact :Alain.Rivet@cermav.cnrs.fr,

Site :http://www.cermav.cnrs.fr

Référentiels utiles :http://www.utc.fr/qualite-

recherche/referentiels/referentiels.htm

sécurité informatique décembre 2006 - n° 58

3

suite de la page 2

sécurité informatique décembre 2006 - n° 58

4

Description de la normeIS 27001

Le SMSI a pour but de maintenir etd’améliorer la position de l’organismequi le met en œuvre du point de vue,selon les cas, de la compétitivité, de laprofitabilité, de la conformité aux lois etaux règlements, et de l’image demarque. Pour cela, il doit contribuer àprotéger les actifs « assets » de l’orga-nisme, définis au sens large comme toutce qui compte pour lui. Pour déterminerles mesures de sécurité, dont une énu-mération devra être fournie lors d’uneétape de planification, la norme IS 27001s’appuie sur le catalogue de mesures etde bonnes pratiques proposé par lanorme IS 27002 (ex-17799), « InternationalSecurity Standard », plus volumineuse etau contenu plus technique.IS 27001 impose une analyse des risques,mais ne propose aucune méthode pourla réaliser : l’auteur du SMSI est libre dechoisir la méthode qui lui convient, àcondition qu’elle soit documentée etqu’elle garantisse que les évaluationsréalisées avec son aide produisent desrésultats comparables et reproductibles.Un risque peut être accepté, transféré àun tiers (assurance, prestataire) ou réduità un niveau accepté.

Un exemple de méthode d’analyse derisque utilisable dans le cadre d’IS 27001est la méthode EBIOS® (Expression desbesoins et identification des objectifs desécurité), qui «permet d’apprécier et detraiter les risques relatifs à la Sécurité dessystèmes d’information (SSI). Elle permetaussi de communiquer à leur sujet ausein de l’organisme et vis-à-vis de sespartenaires afin de contribuer au proces-sus de gestion des risques SSI ». On pourraconsulter le site consacré à EBIOS :http://www.ssi.gouv.fr/fr/confiance/ebiospresentation.htmlL’ISO prépare une norme d’analyse derisques, IS 27005. Pour un inventaire com-menté de toutes ces normes, on se repor-tera avec profit à la présentation(http://www.hsc.fr/ressources/presenta-tions/emiae-intro27001/img0.html) qu’en afaite Hervé Schauer,consultant en sécurité.

Élaboration et mise en place du SMSI

La norme IS 27001 précise la démarchequi doit être suivie pour élaborer etmettre en place le SMSI : disons que l’or-ganisme désireux de se voir certifierdevra:• définir le champ du SMSI ;• en formuler la politique de manage-

ment ;

• préciser la méthode d’analyse derisques utilisée;

• identifier, analyser et évaluer les risques ;• déterminer les traitements qui seront

appliqués aux différents risques, ainsique les moyens d’en vérifier les effets ;

• attester l’engagement de la directionde l’organisme dans la démarche duSMSI ;

• rédiger le «Statement of Applicability »(SOA), qui sera la charte du SMSI et quipermettra de le soumettre à un audit.

Suivi et application du SMSI

Ici, la norme précise que, une fois le SMSIformulé, il faut faire ce qu’il stipule, vérifierque c’est fait, identifier les erreurs dansson application, les failles qui s’y manifes-tent, les modifications du contexte denature à nécessiter sa mise à jour ou samodification.

Analyse critique de la norme IS 27001

Ainsi que tout RSSI devrait le faire, j’ai suiviune formation pour devenir responsabled’audit pour les Systèmes de manage-ment de la sécurité de l’information(SMSI), autrement dit « Lead Auditor IS27001», et j’ai obtenu la certification cor-respondante. Voici les impressions quej’en ai retirées.Comme pour la plupart des normes simi-laires, au premier rang desquelles IS 9001,les idées à la base d’IS 27001 semblentde bon sens : il est sain de réfléchir auxrisques auxquels l’entreprise est exposée,d’élaborer un référentiel de mesures àprendre pour s’en prémunir, de vérifierrégulièrement l’application de cesmesures, de réviser le référentiel, etc.Mais, comme presque toujours, la normeen fait trop, et comme les ressourcesdévolues à la démarche SSI seront detoute façon limitées, celles qui serontabsorbées par le processus administratiftrès lourd, nécessaire à

Le management de la sécurité de l’information

Laurent Bloch, RSSI de l’INSERM

Le domaine de la sécurité informatique voit depuis quelques années écloredes normes comme champignons après une pluie d’été : nous nous intéres-serons plus particulièrement ici à la norme IS 27001, consacrée auxSystèmes de management de la sécurité de l’information (SMSI).

L’ISO a entrepris d’encadrer par des normes les systèmes de management,et pour ce faire a commencé par en donner une définition, qui fait l’objetde la norme IS (pour International Standard) 9000 ; un système de manage-ment est un système qui permet :• d’établir une politique ;• de fixer des objectifs ;• de vérifier que l’on a atteint les objectifs fixés.

L’idée cruciale, au cœur de cette problématique, est que le système demanagement repose sur un référentiel écrit, et qu’il est donc vérifiable, aumoyen d’un audit qui consistera à comparer le référentiel à la réalité pourrelever les divergences, nommées écarts ou non-conformités.

suite page 5

l’application de la norme, seront per-dues pour l’action SSI pratique sur le ter-rain. Il faut en effet prendre à la lettre letitre de la norme : il ne s’agit pas desécurité, mais de management de lasécurité, c’est-à-dire des processus decontrôle du travail réel, qui, lui, doit bienêtre fait par des gens quelque part.Selon un participant à une réunionconsacrée à IS 27001, il y a trois raisonsqui peuvent pousser à se soumettre à lanorme:• un obligation légale : les lois Sarbanes-

Oxley et leurs semblables européennespeuvent engendrer une obligation dece type, mais cela ne concerne guèreles établissements de recherche publics;

• une obligation contractuelle : on peutimaginer qu’un laboratoire doive s’ysoumettre à l’occasion d’un contratindustriel ;

• une obligation morale, ce qui reste àl’appréciation de chacun, mais placeassez haut le seuil financier de la paixavec sa conscience.

Il est frappant de constater que la vérifi-cation formelle de conformité à unenorme telle qu’IS 27001 peut presqueêtre effectuée par un auditeur dépourvude compétence technique : il suffit delire les documents obligatoires et de véri-fier que les mesures mentionnées ontbien été appliquées, ce qui doit êtreécrit dans un autre document, une feuillede tableur en général.

Les auteurs de ces normes semblentcroire que l’univers peut être décrit defaçon adéquate par un tableau decases à cocher, analogue à un question-naire à choix multiples : on se demandepourquoi les grands nigauds nommésAristote, Descartes, Newton, Kant etEinstein n’y ont pas pensé, ils se seraientépargné bien de la fatigue cérébrale,ainsi qu’aux étudiants des siècles sui-vants !Il est aussi possible de noter que ces pro-cédures d’évaluation ne sont pas uni-quement construites en fonction desbuts à atteindre, mais aussi, sinon surtout,en fonction de ce qui, dans les processusétudiés, se prête bien à l’évaluation,parce que, par exemple, il est facile d’yadapter une métrique.Le mot de la fin sera que les règles desécurité complexes seront simplementinappliquées, parce que trop difficiles àcomprendre. Si l’on doit appliquer lanorme IS 27001, il faudra sérieusement seposer la question du périmètre de cetteapplication : les systèmes de manage-ment à périmètre trop grand ne résistentpas aux audits et perdent rapidementleur certification. n

laurent.bloch@auteuil.inserm.frLaurent Bloch vient de publier avec Christophe Wolfhugel aux Éditions Eyrolles un livre intitulé Sécurité informatique - Principes etméthode.

sécurité informatique décembre 2006 - n° 58

5

BRÈVES lll

En cette année 2006, deux types d’incidents ont faitl’actualité dans notre environnement : la compromission de serveurs web dynamiques et l’attaque par force brute de serveurs SSH. Ils ferontsans doute aussi l’actualité 2007. Mais, en plus, il faudra aussi s’attendre à de nouveaux risques potentiels liés à l’utilisation de nouveaux outils.

lll Outils d’indexation et de rechercheLe CERTA vient de publier une note d’information traitant de ce sujet (http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-009.pdf). Ce document, en décrivant les fonctionnalités,l’installation et l’utilisation de ces logiciels ainsi que les menaces liées, met l’accent sur les effets néfastes tant sur le matériel (consommation excessive de ressources)qu’au niveau applicatif (intégrité du SI, fuite d’informationsconfidentielles, nominatives…) engendrés par l’utilisationdes outils d’indexation et de recherche. Six recommandations sont proposées, que nous vous conseillons de suivre.

lll Supports de stockage USB(http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-006.pdf)Interface de connexion, l’USB (Universal Serial Bus) offreactuellement des possibilités aisées de connexion deséquipements informatiques : souris, support de stockagemais aussi support d’application (USB 3). L’utilisation de ces derniers dans un contexte nomade présente des risques aussi bien pour le périphérique que pourl’hôte (installation de rootkits, vol d’information…). Aussi,que ce soit pour l’utilisateur ou l’administrateur, certainesprécautions doivent être prises, celles-ci sont clairementdétaillées dans le document du CERTA.

Dans les publications du CERTA, nous avons égalementretenu une note d’information traitant d’un sujet d’actualité

lll Cartes postales électroniques(http://www.certa.ssi.gouv.fr/site/CERTA-2000-REC-002.pdf)Grâce à Internet, il est désormais facile et peu coûteuxd'envoyer une carte de vœux. Cependant, l’envoi de cartepostale électronique, pas seulement de vœux, est un vec-teur de propagation des virus, chevaux de Troie ou autrescontenus malveillants. En ces périodes de fêtes, la vigilanceet la sensibilisation des utilisateurs sont de rigueur. La notedu CERTA donne quelques précautions à prendre lors de laréception de tels messages et conseille aux webmestres,dont les sites proposent des cartes postales, de vérifierl’intégrité des fichiers qu’ils proposent.Contact : Marie-Claude Quidoz URECmarie-claude.quidoz@urec.cnrs.fr

suite de la page 4

Arnold MIGUS, directeur général du CNRS, asigné le 15 novembre dernier le document de«Politique de sécurité des systèmes d’informa-tion» (PSSI) du CNRS.Ce document marque un engagement fortde la direction générale du CNRS sur les pointsessentiels que sont les enjeux, l’organisation etles grands arbitrages d’orientation en matièrede sécurité des systèmes d’information.Le texte rappelle le contexte propre au CNRSet replace la SSI dans le contexte de la pro-tection du patrimoine scientifique. Il définitl’organisation interne de la fonction SSI, auxniveaux national, régional et local, et l’organi-sation des relations avec les autres tutellesd’unités mixtes de recherche.Un chapitre important est consacré aux prin-cipes de mise en œuvre de la PSSI. Ce cha-pitre définit les orientations essentielles qui doi-vent servir de guide aux responsables de laSSI, qu’ils soient en position hiérarchique(directeurs d’entité) ou en position fonction-nelle (responsable ou expert SSI).La PSSI a vocation à être déclinée et adaptéesur le terrain en «PSSI d’entités», sous la respon-sabilité des directeurs d’entités, en intégrantles orientations nationales et les particularitésde chacune de ces entités.

Une PSSI qui s’inscrit dans une démarche de pilotage et de communication

La PSSI du CNRS se veut la clé de voûte d’undispositif de pilotage et de mise en œuvre.

Elle apporte un éclairage et un cadrage del’action des acteurs de terrain (responsables hié-rarchiques et acteurs «fonctionnels» de la SSI).C’est aussi un document à vocation de sensi-bilisation, d’information et de communicationsur l’organisation et les grands choix du CNRSen matière de sécurité des systèmes d’infor-mation, document à destination interne maisaussi externe (notamment dans le cadre dupartenariat avec les autres tutelles).Au niveau des entités du CNRS, la PSSI va trou-ver sa concrétisation dans l’élaboration et lamise en œuvre des «PSSI d’entités», sous la res-ponsabilité des directeurs d’entité et avecl’appui des acteurs spécialisés en matière deSSI. Ces PSSI devront intégrer orientationsnationales et particularités locales.Pour les unités mixtes, la PSSI locale doit tenircompte également des politiques et schémasdirecteurs propres aux autres tutelles. La PSSIdu CNRS est alors un document de référenceet de dialogue avec les autres tutelles.

Une démarche souple et adaptable

Le CNRS a volontairement retenu de faire dudocument de PSSI un document assez court,sans entrer dans un formalisme excessif. En cesens, le CNRS s’est inspiré du Guide pour l’éla-boration d’une politique de sécurité de sys-tème d’information proposé par la DCSSI, sanss’y conformer à la lettre et en renvoyant versle schéma directeur de la SSI les développe-ments les plus techniques.C’est un document évolutif et sa révision estprévue selon une périodicité annuelle.

Une démarche concertée

Le projet de PSSI a été élaboré par un groupede travail constitué des représentants desprincipaux acteurs impliqués en PSSI au CNRS.Les travaux ont donné lieu à de nombreuxéchanges intermédiaires, où sont intervenusd’autres acteurs apportant leur contributionaux réflexions (personnels UREC, coordinateurset correspondants SSI, délégués régionaux…).

Une démarche suivie d’effets

La signature de la PSSI du CNRS ouvre unchantier, dont les premières étapes sont lamise en place des instances de pilotagenational, le réajustement du dispositif d’ani-mation régionale et la redéfinition des respon-sabilités dans les entités.Le dispositif sera alors en ordre de marchepour engager les démarches de mise enschémas des orientations, directives et métho-dologies au niveau national et pour lancer,dans les laboratoires, le processus de constitu-tion des «PSSI d’entités».La publication prochaine d’une nouvellecharte «utilisateurs», intégrant évolutions légis-latives récentes (loi CNIL, LCEN…) et jurispru-dence, s’inscrit également dans cette nou-velle démarche. n

joseph.illand@cnrs-dir.fr

Con

cept

ion

et ré

alisa

tion:

La

Sour

is 01

4521

0961

sécurité informatique décembre 2006 - n° 58

6

numéro 58 décembre 2006

S É C U R I T É I N F O R M AT I Q U E

Sujets traités : tout ce qui concerne la sécurité informatique. Gratuit.Périodicité : 4 numéros par an.Lectorat : toutes les formations CNRS.

Responsable de la publication : JOSEPH ILLAND

Fonctionnaire de sécurité de défenseCentre national de la recherche scientifique3, rue Michel-Ange, 75794 Paris XVITél. 0144964188Courriel : Joseph.Illand@cnrs-dir.frhttp://www.sg.cnrs.fr/fsd

Rédacteur en chef de ce numéro: FRANÇOIS MORRIS, CNRS/IMPMC et UREC

Courriel : francois.morris@impmc.jussieu.fr

ISSN 1257-8819Commission paritaire n° 1010 B 07548La reproduction totale ou partielle des articles est autorisée sous réserve de mention d’origine

S É C U R I T É D E S S Y S T È M E S D ’ I N F O R M A T I O N

Etatdes lieux

Politique SSI

Dispositions de mise en œuvreSchéma directeur, Projets

PSSI d’unités

Plans locaux de mise en oeuvre

Politique nationale, orientations ministérielles

Politique etschémas directeurs

des partenaires

Evaluationretour d’expérience

Schéma de déclinaison de la PSSI au sein du CNRS

Evaluation– retour d’expérience

CAPSEC

Une PSSI pour le CNRSJoseph Illand, fonctionnaire de sécurité de défense du CNRS