itil cnrs

7/21/2019 itil cnrs

1/80

Guide de Bonnes Pratiques Organisationnelles pour les ASR

Guide de bonnes pratiques

organisationnelles

pour les Administrateurs

Systmes et Rseaux

dans les units de recherche

..

Olivier Brand-Foissac

Laurette Chardon

Marie avid

Maurice Li!es

Gilles Requil"

Alain Rivet

Contact # g!p$listes.resin%o.org

&'(&'()* Page & ( +) g!p-v&-).od,

7/21/2019 itil cnrs

2/80


Table des matiresINTRODUCTION..........................................................................................................................................4

LES BONNES PRATIQUES DANS LA FOURNITURE DE SERVICES INFORMATIQUES..............8

1- Une dmar!e "#a$%& dan' $e' #n%&' de re!er!e...............................................................(1.1- Description des modles ITIL et ISO-20000...................................................................................91.2- Transposition au contexte ASR dans une unit de rec!erc!e........................................................10

1.2.1- D"inir le primtre d#action..................................................................................................101.2.2- $ettre en place une %estion des con"i%urations.....................................................................101.2.&- D"inir les ni'eaux de ser'ice...............................................................................................101.2.(- D"inir la continuit de ser'ice.............................................................................................101.2.)- *rer les inter'entions..........................................................................................................111.2.+- *rer les d,s"onctionnements...............................................................................................11

1.2.- Assurer les c!an%ements et mise en production....................................................................111.&- D"inition du primtre.................................................................................................................12)- La *e'&%+n de' +n,%*#ra&%+n'.................................................................................................14

2.1- e /u#il "aut prendre en compte.....................................................................................................1(2.2- omment or%aniser la %estion des con"i%urations.........................................................................1)

- La *e'&%+n de' n%ea#/ de 'er%e...........................................................................................10&.1- Dterminer les ser'ices considrer.............................................................................................1+&.2- uel ni'eau pour /uel ser'ice ....................................................................................................1

4- La *e'&%+n de $a +n&%n#%& de 'er%e....................................................................................18

- La *e'&%+n de' %n&eren&%+n'...................................................................................................1().1- e /u#il "aut prendre en compte.....................................................................................................19).2- omment or%aniser la %estion des inter'entions...........................................................................19

).2.1- Optimiser les ressources pour acclrer le traitement des inter'entions...............................19).2.2- Anal,ser les inter'entions.....................................................................................................19

0- La *e'&%+n de' d2',+n&%+nnemen&'........................................................................................)1+.1- La %estion des incidents................................................................................................................21+.2- La %estion des pro3lmes..............................................................................................................21

3- La *e'&%+n de' !an*emen&' e& de $a m%'e en r+d#&%+n.....................................................)

8- La D+#men&a&%+n...................................................................................................................)4.1- La documentation pour les utilisateurs..........................................................................................2)4.2- La documentation tec!ni/ue destine aux ASR............................................................................2+4.&- omment raliser ces documentations ........................................................................................2+

(- Le' 5+nne' ra&%"#e' dan' $a *e'&%+n de $a '#r%& de' '2'&6me' d7%n,+rma&%+n .............)8

9.1- *rands principes d#or%anisation de la scurit au sein du la3oratoire...........................................249.1.1- D"inition du primtre sur le/uel doit porter la scurit du S.I...........................................249.1.2- Implication de la direction 'is--'is de la scurit de l#in"ormation......................................299.1.&- oordination de la scurit de l#in"ormation..........................................................................299.1.(- 5ormation et sensi3ilisation la scurit du S.I....................................................................29

9.2- Anal,se des donnes du S,stme d#In"ormation de l#unit 6 Anal,se des 3esoins de scurit..... ..299.&- Apprciation des ris/ues...............................................................................................................&0

9.&.1- Identi"ication des menaces et 'ulnra3ilits..........................................................................&09.&.2- Identi"ication des impacts......................................................................................................&1

9.(- Traitement des ris/ues...................................................................................................................&19.)- 7onnes prati/ues dans la mise en 8u're de la scurit in"ormati/ue exemples de mesures descurit courante...................................................................................................................................&2

9.).1- Scurit p!,si/ue des locaux................................................................................................&29.).2- Scurit du matriel et du c:3la%e.........................................................................................&2

&'(&'()* Page ' ( +) g!p-v&-).od,

7/21/2019 itil cnrs

3/80


9.).&- $ise au re3ut ou rec,cla%e....................................................................................................&29.).(- ;rocdures de scurit in"ormati/ue lies l#exploitation ...................................................&&9.).(.a- ;rotection contre les codes mal'eillants 'irus et autres < mal=ares >..............................&&9.).(.3- Sau'e%arde des in"ormations..............................................................................................&&9.).(.c- ?ournaux s,stmes 6 les < lo%s >........................................................................................&&

9.).(.d- S,nc!ronisation des !orlo%es.............................................................................................&(9.).(.e- Scurit du rseau 6 @c!an%e des in"ormations 6 ontrle d#accs rseau.........................&(9.).(."- ;rotection des trans"erts de donnes c!i""rement..............................................................&(9.).(.%- @xi%ences relati'es au contrle d#accs aux s,stmes d#exploitation .................................&)9.).(.!- *estion de ;arc et des mo,ens nomades - ,3ersur'eillance............................................&)9.).(.i- $esure de l#utilisation des ressources outils de mtrolo%ie...............................................&+

1- B+nne' ra&%"#e' $%e' a#/ a'e&' 9#r%d%"#e' d# m&%er d7ASR : re'e& de $a

r*$emen&a&%+n en %*#e#r...........................................................................................................310.1- In"ormerB contrlerB a%ir .............................................................................................................&

10.1.1- In"ormerB onseiller............................................................................................................&10.1.2- ;rou'er /u#on a scuris......................................................................................................&10.1.&- ontrler l#acti'it des s,stmes et du rseau......................................................................&410.1.(- A%ir.....................................................................................................................................&9

10.2- Cotice l%ale de site =e3.............................................................................................................&910.&- Cotion de c!arte in"ormati/ue.....................................................................................................(0

CONTE;TES PERSONNEL ET RELATIONNEL DES ASR..................................................................41

11- La *e'&%+n d# &em'...............................................................................................................4)11.1- Les %rands principes de la %estion du temps................................................................................(211.2- Le sc!ma du "lux de tra'ail ou la tec!ni/ue du c,cle................................................................(&11.&- La %estion des proets et des priorits..........................................................................................((11.(- $ieux %rer les interruptions......................................................................................................()11.)- $ettre en place des routines et des automatismes.......................................................................()

11.+- onclusion...................................................................................................................................()1)- La +mm#n%a&%+n de $7ASR ae 'e' ar&ena%re'..............................................................4312.1- La communication rele'ant de la < politi/ue %nrale > in"ormati/ue de l#unit.........................(

12.1.1- La communication sur les acti'it du Ser'ice In"ormati/ue................................................(412.2- La communication a'ec les utilisateurs.......................................................................................(9

12.2.1- Relation < 1 'ers 1 >............................................................................................................)012.2.2- Relation < 1 'ers n >............................................................................................................)012.2.&- ;rise en compte de la satis"action des utilisateurs...............................................................)112.2.(- La communication au sein du ser'ice in"ormati/ue............................................................)1

12.&- ommunicationB colla3oration a'ec les partenaires extrieurs....................................................)112.&.1 Les relations a'ec les "ournisseurs et les ac!ats .......................................................................)2

1- Re+mmanda&%+n' '#r $e' +m&ene'...............................................................................

1&.1- O3ecti"s......................................................................................................................................)&1&.2- L#auto-"ormation..........................................................................................................................)(1&.&- La "ormation pro"essionnelle Eex. "ormation continueF...............................................................)(1&.(- La 'eille tec!nolo%i/ue...............................................................................................................))1&.)- Les relations de mtier................................................................................................................))

CONCLUSION.............................................................................................................................................8

ANNE;E 1 < QUESTIONNAIRE D7AUTO-EVALUATION A USA=E INTERNE...............................0)

ANNE;E ) < FIC>ES DE REFERENCES ...............................................................................................00

&'(&'()* Page ( +) g!p-v&-).od,

7/21/2019 itil cnrs

4/80


INTRODUTIOND,%n%&%+n' - O59e&%,'

Le terme G%uideG est d"ini comme suit dans plusieurs dictionnaires Gqui donne des conseilset accompagneG. @n ce /ui concerne les < 3onnes prati/ues >B la d"inition de Hiipdia sem3lecon'enir au %uide /ue nous la3orons

"Le terme bonnes pratiques dsigne, dans un milieu professionnel donn, un ensemble de

comportements qui font consensus et qui sont considrs comme indispensables, qu'on peut trouver

sous forme de guides de bonnes pratiques (GBP! es guides sont con#us par les fili$res ou par les

autorits! %ls peuvent se limiter au& obligations lgales, ou les dpasser! omme les cartes, ils ne

sont gnralement pas opposables! %ls sont souvent tablis dans le cadre d'une dmarche qualit

par les fili$res!"

omme cela t les cas pour les deux prcdentes productions de R@SIC5O SiLa3o JSiLa3oKet

@coIn"o.J@coIn"oK

B ce proet de %uide est n de plusieurs r"lexions lies aux di""rents contextes detra'ail de notre mtier dont on peut citer celuiB lar%ement parta%B de l#au%mentation et del#intensi"ication des t:c!es d#exploitation des s,stmes in"ormati/ues et rseaux ainsi /ue desresponsa3ilits attenantesB et ceB la plupart du tempsB mo,ens !umains constants.

Son o3ecti" est donc de proposer aux Administrateurs S,stmes et Rseaux EASRF nou'eauxentrantsB ou d en placeB de mieux identi"ier les processus essentiels ncessaires pour "ournir leser'ice aux utilisateursB scuriser nos ser'eurs et rseauxB documenter nos actionsB communi/uerB%rer notre tempsB respecter certaines contraintes uridi/uesB se "ormerB etc

Il permettra sans doute d#aider la structuration du tra'ail dans nos acti'itsB 'oire amliorerl#or%anisation des ser'ices in"ormati/ues des units de rec!erc!e et en d"initi'e la /ualit de

ser'ice.7ien sur nous int%rons dans les G7onnes ;rati/uesG de l#ASR la prise en compte des

cons/uences sur l#en'ironnement de l#utilisation de l#in"ormati/ue. $ais il n#, aura pas de c!apitreconsacr ces aspects car le %roupe de tra'ail @OIC5O de R@SIC5O a d ralis un %ros tra'ailsur ce t!me et prsente sur son site E!ttp===.ecoin"o.cnrs."rF des recommandations concernantentre autres Gles pro3lmati/ues de la consommation ner%ti/ue et de la pollution lies l#utilisation et au d'eloppement de l#outil in"ormati/ueG.

e %uide n#est pas un li're de solutions tec!ni/ues toutes "aitesB de GrecettesG ou de Gtrucs etastucesG. Les < 5A > et les < MOHTO > com3lent d ces 3esoins tec!ni/ues depuis lon%temps. Iln#est pas non plus un document administrati" /ui 'a dicter aux ASR une mt!ode d#or%anisation ou

leur apprendre tra'ailler.Il s#a%it plus modestement de s#initierB d#une manire pra%mati/ueB des mt!odolo%ies

d#or%anisation issues la "ois du monde industriel et des normes en matire de "ourniture de ser'iceet de %estion de la scuritB mais aussi de s,nt!ses de urisprudences 'isant o3ser'er uncomportement con"orme aux r%lementsB ou encore d#ou'ra%es sur la %estion du tempsB et en"in de

prati/ues de terrain d mises en 8u're par les ASR de la communaut ducation-rec!erc!e.

Cous a'ons recens un ensem3le de t:c!es sou'ent rcurrentes et in'ariantes dans le mtierd#ASR et les a'ons encadres par un ensem3le de G3onnes prati/uesG sou'ent issues des normes /ui

permettent d#or%aniser le tra'ail. ette or%anisation contri3uant in "ine amliorer la /ualit duser'ice.

Un adre m%n%ma$ r+!e d# &erra%n

&'(&'()* Page ( +) g!p-v&-).od,
http://www.ecoinfo.cnrs.fr/http://www.ecoinfo.cnrs.fr/

7/21/2019 itil cnrs

5/80


S#adressant l#ensem3le de la pro"essionB une des di""icults /ui a du Ntre prise en compte est/ue cette prati/ue /uotidienne est trs 'arieB la "ois cause des contextes "orts di""rentsd#exercice du mtierB mais aussi par la di'ersit des tutelles des la3oratoires et des missions con"iesaux coll%ues Er"rences aux "ic!es mtiers et emploi t,pesF. !acun ne sera donc pas concern par

l#ensem3le des suets a3ords dans ce %uide mais , trou'era des repres G%radusG /u#il pourraadapter sa situation. ependantB en dpit de ces di""rences de contexteB nous essa,eronsB /uandcela est possi3leB de d"inir un cadre minimal pour identi"ier des t:c!es de 3ase incontourna3les

prendre en c!ar%e.

Les aspects de mise en 8u're prati/ue d#or%anisation de ser'ice et de dmarc!e /ualitBextraits de ITIL et ISO-20000 /ue nous dcri'ons dans ce %uide peu'ent par"ois paratredi""icilement repra3les ou directement applica3les par les ASR. @n e""et ces notions d#or%anisationet de /ualit de ser'ice sont us/u# prsent peu int%res nos !a3itudes de tra'ail dans nos unitsde rec!erc!e.

;our ne pas rester trop t!ori/ueB nous donnons en "in du %uide un ensem3le de rfrences

tecniques'ers des lo%iciels ou de la 3i3lio%rap!ie /ui peu'ent permettre aux ASR de mettre enplace tel ou tel processus ncessit dans l#or%anisation de ser'ice. LPASR reste de toute "aQon matre3ien sr de ses c!oix tec!ni/ues dans son propre contexte.

B+nne' ra&%"#e' e& Q#a$%&

Le terme G/ualitG est utilis ici en r"rence aux proets de GDmarc!e ualit en Rec!erc!eG/ui se d'eloppent dans nos la3oratoires mais /ui ne prenaient pas en compte us/u# prsent laspci"icit du mtier d#ASR. A titre de rappelB il sera prcis plus lar%ement dans le c!apitre ce /uel#on entend par Gdmarc!e /ualitG.

Le terme G*uide des 7onnes ;rati/uesG a t c!oisi en r"rence au G*uide de 7onne ;rati/uede La3oratoireG E7;LF la3or en 1994 par l#OD@ en 'ue d#assurerB initialementB la /ualit et la

'alidit des donnes d#essai ser'ant ta3lir la sret des produits c!imi/ues.Les recommandations inities ont t prolon%es et "ormalises dans une politi/ue de

GDmarc!e ualitG propre au contexte de la rec!erc!e scienti"i/ue s#appu,ant en particulier sur desnormes internationales Eeuropennes et "ranQaises comme ISO-9001 et maintenant ISO-20000F. esnormes permettent d#assurer des r"rences communes et d#apporter des G%arantiesG de /ualit dansles relations entre di'ers partenaires dans le cadre de colla3orations internationales Escienti"i/ues ouindustriellesF 'ia des certi"ications et des a%rments dli'rs par des or%anismes !a3ilits.

Le proet du *roupe de tra'ail de R@SIC5O l#ori%ine de ce %uide peut donc s#inscrire dans lecadre %nral d#une GDmarc!e ualitG a'ec comme ide directrice de contri3uer rendre plus les missionsB l#or%anisation de nos ser'ices et "inalement notre tra'ail 'is 'is de nos

directions et tutelles et nous aider son amlioration continue.;our autant ce *uide des 7onnes ;rati/ues n#a pas pour o3ecti" d#Ntre un modle pour

prparer une accrditation ou un a%rment.

Si la r"rence Eindispensa3leF aux /uel/ues normes et standards en 'i%ueur utiliss dans lemonde industriel EITIL ou ISO-20000FB pou'ant concerner directement notre mtierB est prsente Eetelle sera expliciteF c#est essentiellement pour se con"ormer l#existant et "ixer des represidenti"ia3les dans la classi"ication de ce /ui est expos.

Dans ce cadre nous utiliserons aussi le concept de GprocessusG propos par les documentsnormati"s pour dcrire l#or%anisation e""icace de la "ourniture de ser'ice .

&'(&'()* Page / ( +) g!p-v&-).od,

7/21/2019 itil cnrs

6/80


Cous retiendrons donc comme d"inition d#un < processus > celle d"inie par la norme ISO-9001 de S,stme de $ana%ement de la ualit comme < un ensem3le dPacti'its corrles ouinteracti'es /ui trans"orme des lments dPentre en lment de sortie > JISO-9001K.

Il con'ient donc d#identi"ier et de %rer les di'erses acti'its Eet processusF en interaction dans

l#exercice /uotidien de notre mtier. ette structuration pourra alorsB si 3esoinB ser'ir de 3ase pourun proet local de dmarc!e /ualit int%r dans la politi/ue du la3oratoire.

Le' +n&ra%n&e' re$ean& de' &e$$e'

La dmarc!e utilise a aussi tenu compte des GcontraintesG contextuelles et o3li%ationsrele'ant des tutelles aux/uelles sont soumis les ASR dans l#excution de leurs t:c!es. ;armi celles-ci la politi/ue de scurit concernant les s,stmes d#in"ormation en "onction de leur contexte en estun 3on exemple. @lle sera 3ien sr a3orde Eelle "ait aussi l#o3et d#une normalisation sous le la3elISO-2001 et est dcline au CRS sous le nom de ;SSI J;SSI CRSKF. Il ne s#a%ira pas de se su3stitueraux structures comptentes pour dicter des li%nes de conduite mais plutt d#indi/uer les points /uisont suscepti3les d#impacter la prati/ue des ASR.

Le' +n&ra%n&e' 9#r%d%"#e'

Cous tentons de d%a%er /uelles sont les 3onnes prati/ues dans le contexte des responsa3ilitsuridi/ues @n e""etB le tra'ail des ASR est dsormais en prise a'ec de nom3reuses o3li%ations etresponsa3ilits de nature uridi/ue. Dans le cadre de la protection du S,stme d#In"ormation ES.IFB laresponsa3ilit administrati'e et pnale de la !irarc!ie et des ASR peut Ntre rec!erc!e. Ilcon'iendra donc de connatre les principaux r%lements en matire de c,3er protection EL@CBin"ormati/ue et li3ertF relati"s la protection de la proprit intellectuelleB des donnes rele'ant dela 'ie pri'e E"ic!ier nominati"sFB et les comportements pro"essionnels /u#ils induisent.

Le' 5+nne' ra&%"#e' $%e' a#/ +n&e/&e' er'+nne$ e& re$a&%+nne$ de' ASR

n autre point essentiel et rarement a3ord dans les "ormations initiales ou continues est la%estion du temps. 5ortement soumis aux sollicitations /uotidiennes des utilisateursB l#ASR doit aussimener en parallle des t:c!es de G"ondG /ui ncessitent une continuit d#attention et de tra'ail. esaspects seront eux aussi spci"i/uement a3ords pour donner /uel/ues pistes de %estion du tempsdans ce domaine partir de mt!odes rele'es dans des ou'ra%es raliss ce suet et transposes notre mtier.

On traitera en"in des aspects du mtier /ui re/uirent de la mt!ode mais aussi des capacitsd#or%anisation personnelle E%estion du tempsB a%endaB plannin%..FB des /ualits de communicationBde compr!ension et sou'ent de diplomatie 'is 'is de nos utilisateurs. On examinera dans /uelcontexte d#or%anisation et d#inter"ace a'ec les coll%ues du la3oratoireB ces tec!ni/ues sont mises en

8u're. ne partie sera rser'e la mise ni'eau des comptences. Les comptences sont"ortement 'oluti'es dans notre mtier et ncessitent de s#intresser la 'eille tec!nolo%i/ue et la"ormation pro"essionnelle comment l#ASR peut Eet doitF s#adapter et 'oluer dans un mtier suet des a'ances tec!nolo%i/ues importantes.

@n"inB paralllement ces a'ances tec!nolo%i/uesB dans le cas de re%roupement dela3oratoires ou de l#or%anisation de ser'ices l#c!elle des campus par exempleB des tendances lamutualisation se "ont our une 3onne or%anisation du tra'ail et une lisi3ilit des solutions mises en8u're est un %a%e de 3onnes colla3orations di""rents ni'eaux de la structure. @n ce sens ce %uide

peut "ournir une 3ase commune d#identi"ication des processus mtiers.

7onne lecture

&'(&'()* Page 0 ( +) g!p-v&-).od,

7/21/2019 itil cnrs

7/80


Remer%emen&' F duCRS J!ttp===.mrct.cnrs."rK pour son support lo%isti/ueB ainsi /ue 5. 7ert!oudB 7. ;errotB @.DreUetB $C 7ranlB D. 7a3aB et ?$ 7ar3et /ui ont 3ien 'oulu consacrer un peu de leur temps pourrelire ce %uide et nous "aire part de leurs a'is et corrections.

Le *uide des 7onnes ;rati/ues pour les Administrateurs S,stmes et Rseau 3,%3pVlistes.resin"o.cnrs."rest mis disposition selon les termes de la licence reati'e ommons;aternit-;as d#tilisation ommerciale-;arta%e des onditions Initiales l#Identi/ue 2.0 5rance.

&'(&'()* Page 1 ( +) g!p-v&-).od,
http://www.mrct.cnrs.fr/http://www.resinfo.cnrs.fr/spip.php?article41http://creativecommons.org/licenses/by-nc-sa/2.0/fr/http://creativecommons.org/licenses/by-nc-sa/2.0/fr/http://creativecommons.org/licenses/by-nc-sa/2.0/fr/http://creativecommons.org/licenses/by-nc-sa/2.0/fr/http://www.mrct.cnrs.fr/http://www.resinfo.cnrs.fr/spip.php?article41http://creativecommons.org/licenses/by-nc-sa/2.0/fr/http://creativecommons.org/licenses/by-nc-sa/2.0/fr/

7/21/2019 itil cnrs

8/80


!"S #ONN"S $RATI%U"S DANS !A&OURNITUR" D" S"R'I"S

IN&OR(ATI%U"S

&'(&'()* Page + ( +) g!p-v&-).od,

7/21/2019 itil cnrs

9/80


)* Une dmar+,e qualit dans les unitsde re+,er+,e

)-)* Des+ription des modles ITI! et ISO*.////Les recommandations sur lPor%anisation des ser'ices in"ormati/ues /ui 'ont Ntre exposes ci-

aprs sont issues dPune r"lexion "ortement inspire de lPapproc!e de lPamlioration de la /ualit desser'ices des S.I. ES,stmes d#In"ormationF dcrite par ITIL JITILK EIn"ormation Tec!nolo%,In"rastructure Li3rar,F et plus rcemment par la norme ISO-20000.JISO-20000K.

La norme ISO-20000B prolon%ement du r"rentiel ITILB "ournit un modle pour la %estion deser'ices in"ormati/ues. ette norme "ormalise lPensem3le des acti'its dPune productionin"ormati/ue et correspond une approc!e < oriente client > /ui introduit la notion de < /ualit deser'ice > apporte aux utilisateurs. Dans le cadre de lPacti'it in"ormati/ueB on peut d"inir leser'ice comme un c!an%e 'aleur aoute matrialis par un "lux.

AuourdP!uiB les or%anisations mtiers ont des attentes "ortes sur la /ualit des ser'ices "ournispar lPin"ormati/ue et ces attentes 'oluent. Ds lorsB le ser'ice in"ormati/ue doit se concentrer sur la/ualit de ser'iceB en d#autres termesB rendre les ser'ices correspondants aux 3esoins aux cotsappropris.

Il nous a sem3l opportun de nous r"rer ITIL et ISO-20000 /ui "ournissent un cadre dansle/uel positionner les acti'its et mt!odes existantes des ser'ices in"ormati/ues tout en "a'orisantleur structuration. AinsiB parmi les processus mtiers prsents dans la norme ISO-20000B ondistin%ue ceux relati"s la "ourniture de ser'ice et ceux relati"s au support de ser'ice.

La < "ourniture de ser'ices > dcrit les processus ncessaires pour "ournir le ser'ice aux

utilisateurs et comporte les processus sui'ants la %estion des ni'eaux de ser'ice

la %estion de la continuit et la disponi3ilit

la %estion de la capacit

la 3ud%tisation

la %estion de la scurit

Le < support de ser'ice > dcrit les processus ncessaires pour mettre en place et assurer unser'ice e""icace et "onctionnel. Il est compos des processussui'ants

la %estion des con"i%urations la %estion des c!an%ements

la %estion de la mise en production

la %estion des incidents

la %estion des pro3lmes

A ces processus < mtier >B sPaoutent les processus de la 3oucle ;DA E'oir d"initionpara%rap!e sui'antF destins "ormaliser lPensem3le des acti'its /ui concernent lPamliorationcontinue a'ec en autres

les rles et responsa3ilits de la DirectionB

&'(&'()* Page * ( +) g!p-v&-).od,

7/21/2019 itil cnrs

10/80


la %estion documentaireB

la %estion des comptences et de la "ormationB

la sur'eillance et la mesure

La mt!ode ;DA E;lan Do !ec ActFB encore appele roue de Demin%JDemin%K

B comporte (tapes /ui consistent successi'ement plani"ier des actions en rponse des o3ecti"s E;lanFB lesmettre en 8u're EDoFB puis contrler l#e""icacit des solutions par rapport aux o3ecti"s au mo,end#indicateurs E!ecF. A'ec la /uatrime tape EActFB on 'a c!erc!er corri%er et amliorer les,stme mis en place ce /ui conduit la3orer un nou'eau proet et initier un nou'eau c,cle.

@ntreprendre une dmarc!e de < 3onnes prati/ues > cPest en e""et mettre du 3on sens etd'elopper ses capacits d#initiati'e au ser'ice de lPamlioration de la /ualit en apprenant identi"ierB "aireB mesurer et anal,ser de "aQon pro%ressi'e a"in de tra'ailler plus e""icacement etB termeB %a%ner du temps.

)-.* Transposition au +ontexte ASR dans une unitde re+,er+,e

@n replaQant ce modle d#or%anisation dans le contexte dPune unit de rec!erc!eB les auteursont pos comme prala3le /ue les processus dcrits doi'ent Ntre identi"ia3les et mesura3les dansl#ensem3le des ser'ices in"ormati/ues de nos entits CRSB ni'ersitairesB @;ST ou @;I... sur la

3ase dPun < plus petit dnominateur commun >. Les 3ases d#or%anisation ainsi poses ne doi'ent pasNtre restricti'es et doi'ent pou'oir se dcliner en "onction du contexte et du primtre des units derec!erc!es EtailleB mono ou multi siteB di'ersit des rec!erc!esB colla3orations internationalesWF.AinsiB lPapplication de cette dmarc!e /ualit au mtier dPASR dans un la3oratoire de rec!erc!e etsa spci"icit nous conduisent proposer un modle d#or%anisation dcrit plus prcisment au coursdes c!apitres sui'ants.

1.2.1- Dfinir le primtre d'action

omme prala3le toute or%anisationB lPASR doitB dans un premier tempsB d"inir sonprimtre dPaction en spci"iant ses domaines dPinter'ention etou en excluant les domaines /ui ne

sont pas de sa responsa3ilitB ceci pou'ant "ortement conditionner la nature de ses acti'its.

1.2.2- Mettre en place une gestion des configurations

e processus sPintresse la %estion de lPin"rastructure in"ormati/ue. ette tape ncessitedPe""ectuer un in'entaire de lPensem3le des composants aussi 3ien matriels EordinateursB/uipements rseau WF /uPimmatriels EdocumentationsB licencesB contratsWF du ser'ice.

1.2.3- Dfinir les niveaux de service

La d"inition des ni'eaux de ser'ice doit permettre aux utilisateurs de connatre la nature etl#tendue du support o""ert par le ser'ice in"ormati/ue. !a/ue < ni'eau de ser'ice > sera associ

des o3ecti"s ralistes 'isant assurer un ni'eau de /ualit satis"aisant la "ourniture de ce ser'ice.

&'(&'()* Page &) ( +) g!p-v&-).od,

7/21/2019 itil cnrs

11/80


1.2.4- Dfinir la continuit de service

Associ c!a/ue ni'eau de ser'iceB lPASR de'ra spci"ier les exi%ences des utilisateurs del#unit en termes de continuit des ser'ices. et en%a%ement ta3li en accord a'ec la DirectionEetou une commission d#utilisateursF sera 'alu r%ulirement.

1.2.5- rer les interventions

Il con'ient de prendre en compte de manire e""icace toutes les demandes dPinter'ention /uPilsPa%isse de demandes dPinter'ention des utilisateurs ou de c!an%ements apporter aux lments dus,stme.

1.2.!- rer les d"sfonctionnements

LPo3ecti" consisteB dPune partB minimiser lPimpact des d,s"onctionnements du s,stmedPin"ormation sur les ser'ices et dPautre partB pr'enir leur rapparition.

1.2.#- $ssurer les c%angements et mise en production

Tout c!an%ement apport au s,stme dPin"ormation doit Ntre matris a"in de minimiser leris/ue dPincident potentiel lors de sa mise en place.

La %estion de la scurit sPappuie sur un r"rentiel lui tout seulB l#ISO-2001 JISO-2001K /uisert de 3ase la mise en place des politi/ues de scurit au sein des units. @lle sera d'eloppedans un c!apitre particulier de ce %uide.

A tra'ers ce %uideB nous essa,erons de prciser dPune partB ce /ui nous parait comme essentiel mettre en place au sein dPun ser'ice s,stme dPin"ormation et dPautre partB ce 'ers /uoi il con'ientde tendreB ces deux ni'eaux pou'ant Ntre considrs comme deux ni'eaux de maturit de

l#or%anisation du s,stme d#in"ormation d#une entit de rec!erc!e.Adapts nos structures d#entits CRSB ni'ersitairesB @;STB @;IB etc.B les concepts

ITILISO-20000 peu'ent Ntre 'isualiss au tra'ers de la carto%rap!ie sui'ante

&'(&'()* Page && ( +) g!p-v&-).od,

7/21/2019 itil cnrs

12/80


Cartographie des processus dans un la!oratoire de recherche

Les processus de pilota%e et de support compltent dans cette carto%rap!ie les processusmtier reprsents par la "ourniture de ser'icesB la %estion des d,s"onctionnements et le contrle. La

norme introduit la notion de < client > autorits de tutelleB utilisateurs du ser'ice Ela directionB lesc!erc!eursWF ou partenaires /ue lPon 'a c!erc!er satis"aire. ette satis"action 'aB par exempleBconsister %arantir la scurit des rsultats de la rec!erc!eB rpondre aux 3esoins des utilisateurstout en amliorant lPe""icacit du ser'ice.

)-0* D1inition du primtreLa "onction premire dPun ser'ice in"ormati/ue dPune unit de rec!erc!e est de < participer

la ralisation des o3ecti"s mtiers de lPunit >. ;our raliser ces o3ecti"sB le ser'ice in"ormati/uedoit mettre en 8u're un certain nom3re de processus au tra'ers d#un certain nom3re de ser'ices"ournis dans un primtre donn. ne des /uestions les plus dlicates /ui se pose au prala3le est la

d"inition du primtresur le/uel 'ont porter les processus noncs prcdemment.

&'(&'()* Page &' ( +) g!p-v&-).od,

7/21/2019 itil cnrs

13/80


Cous a'ons prcis /ue lPo3ecti" des recommandations de 3onnes prati/ues sur le planor%anisationnel tait de tendre 'ers un plus petit dnominateur commun aux ser'ices in"ormati/uesdes units de rec!erc!e. Il en 'a de mNme pour le primtre considrer.

Dans le cadre de la mise en place des processus dPor%anisationB il "aut se %arder de 'ouloir

en'isa%er < tout et tout de suite >. ;our Ntre plus prcisB il est ncessaire de respecter despalierspro%ressi"s de maturit dans lPla3oration de ces 3onnes prati/ues et dans la d"inition du primtreet de rester pra%mati/ueen "onction des ressources !umaines disponi3les et de la taille de l#unit. Acet e""etB il "aut se poser les /uestions sui'antes

/uels sont les mtiers de l#unit /ue le ser'ice in"ormati/ue soutient

/uels sont les 3esoins exprims par les utilisateurs de l#entit les < clients >

/uels sont les c!amps dPacti'its d"inis et 'alids /uel est par exemple le primtre delPadministration rseau au sein du la3oratoire Le DCSB le ser'eur de messa%erieB lerseau sans "ilW sont-ils pris en c!ar%e directement par le la3oratoire ou par une autre

structure de t,pe RI /uels sont les lments matriels et lo%iciels /ue le ser'ice in"ormati/ue %re dans le

primtre prcdemment d"ini

et surtoutB /uels sont les lments du primtre considrer dans un o3ecti" dedisponi3ilit de lPacti'it < 'itale > du la3oratoire

Dans sa d"inition minimaleB le primtre d#acti'it prcdemment d"ini doit int%rer leslments ncessaires la continuit de ser'ice de lPunit. ;ar exempleB les ser'eurs Esupports desdonnes de rec!erc!eF "ont partie de ce primtre ainsi /ue tous les lments ncessaires lacontinuit de la rec!erc!e. On pourra aussi , inclure le matriel acti"B les routeurs et commutateursEsPils sont %rs par lPASRFB les sau'e%ardesB la messa%erie... e primtre pourra Ntre lar%i dans undeuxime tempsB lors/ue lPor%anisation de premier ni'eau sera "onctionnelle.

Il "aut 3ien comprendre /ue cette p!ase de d"inition du primtre est essentielle. @llencessite sans doute une concertation prala3le et une prospection de lPexistant a'ec les instances dula3oratoire EdirectionB commission in"ormati/ueWF. La rponse ne sera pas dcline lPidenti/uedans toutes les entitsB et c!a/ue la3oratoire est un cas particulier a'ec une tailleB des mo,ens etsurtout des o3ecti"s di""rents. eci sous-entend une d"inition claire des missions du ser'ice Esi lastructure existeF et de celles de l#ASR au sein de l#entit de rec!erc!e.

&'(&'()* Page & ( +) g!p-v&-).od,

7/21/2019 itil cnrs

14/80


.* !a gestion des +on1igurations

.-)* e qu2il 1aut prendre en +ompte

ne "ois le primtre en'isa% et de "aQon d"inir les ser'ices "ournirB il "aut sPappu,er surun ensem3le dPlments dPin"rastructures sur les/uels l#ASR peutdoit a%ir. es lmentsdPin"rastructure doi'ent Ntre identi"is et classs dans une 3ase de connaissances/ui sera tenue

our r%ulirement.

ans la terminologie %)%L*%+-.////, l0ensemble de ces informations constitue la base des

configurations connue sous le terme de 1B (onfiguration 1anagement ataBase! ette base

doit 2tre maintenue et mise 3 4our rguli$rement en fonction des modifications intervenues sur les

diffrents lments d0infrastructure!

La %estion des con"i%urations est une des conditions ncessaire et prala3le la %estion delPensem3le des autres processus. @lle permet de sui're a'ec e""icacit lP'olution des in"rastructures

in"ormati/uesB et dPen assurer la %estion et l#exploitation.Les lments de con"i%uration sont les 3iens matriels ou immatriels /ui composent les

ser'ices o""erts dans le primtre /ui a t d"ini. ;ar exemple on peut , trou'er les ser'eursBpostes de tra'ailB imprimantesB autres prip!ri/uesB lo%icielsB licencesB /uipements rseauxBcomptes in"ormati/uesB consomma3lesB documentations tec!ni/uesB contrats...

;our 3ien identi"ier les composants de'ant "i%urer dans la 3ase de %estion des con"i%urationsBon sPattac!era rpondre aux /uestions sui'antes

/uels composants matriels utilisons-nous auourdP!ui

/uels /uipements doi'ent Ntre remplacs

/uels contrats de maintenance a'ons-nous et doi'ent ils Ntre re'us

/uelles licences a'ons-nous et sont-elles en r%le

/uels rseaux un /uipement est il connect

/uels sont les composants utiliss et par /ui

/uels composants sont impacts par un dploiementB les/uels sont responsa3les dPuneerreur

comment lP/uipe des ASR du la3oratoire parta%e ses connaissances

/uelle documentation est mise disposition des utilisateurs et comment La %estion des con"i%urations se doit de "ournir aux autres processus des in"ormations prcises

et pertinentes sur les composants du s,stme dPin"ormation. es in"ormations permettentdPidenti"ier rapidement le composant touc! par un incident. @lles permettent aussiB par exempleB decalculer les cots de la maintenance et des licences lo%icielles.

Dans sa d"inition minimaleB la 3ase de connaissances des con"i%urations doit comprendretous les lments dPin"rastructure compris dans le primtre minimal d"ini prcdemment.

Dans une r"lexion plus lar%ieB les o3ecti"s de la %estion des con"i%urations sont lessui'ants

rendre compte de tous les 3iens et con"i%urations de la production in"ormati/ue de lPunit.

&'(&'()* Page & ( +) g!p-v&-).od,

7/21/2019 itil cnrs

15/80


"ournir de lPin"ormation pertinente sur les con"i%urations pour supporter les autres processusE%estion des ni'eaux de ser'ice /uPest-ce /ue lPon doit maintenirB comment %estion desc!an%ements /uPest-ce /ui doit Ntre c!an%B /uelles incidences sur les autres lments ...F.

"ournir des 3ases solides pour la %estion des d,s"onctionnements.

comparer lPin"ormation stoce lPin"rastructure en place et corri%er les di""rences.

.-.* omment organiser la gestion des+on1igurations

Il "aut se %arder de 'ouloir dtailler trop prcisment les lments dPin"rastructure a"in deconser'er la matrise de lPensem3le sans perte de temps Ene pas "aire < dPusine %aU >F. Il est parailleurs important dPa'oir un contrle e""icace sur les con"i%urations si lPon 'eut matrisercorrectement ce processus. AinsiB toute modi"ication apporte par un utilisateur la con"i%uration deson matriel doit pou'oir Ntre identi"ie et rpertorie.

;our cela il con'ient de d"inir le ni'eau de %ranularitB c#est--dire le ni'eau de dtail deslments de con"i%uration /ue lPon 'eut appli/uer E/uili3re entre dtail et "acilit de %estionF. Le

principe %nral pour d"inir le 3on ni'eau est d#a'oir le maximum de contrle sur les lments a'ecun minimum de tra'ail dPenre%istrementB en int%rant principalement les lments /ui ont un relimpact sur les ni'eaux de ser'ice. ;ar exemple doit-on considrer un ordinateur Eposte de tra'ail ouser'eurF comme lment de con"i%uration ou doit-on rentrer dans le dtail en prenant en compte sescomposants Ecartes rseau et %rap!i/uesB dis/ue durB %ra'eur...F.

Le ni'eau de dtail est d"ini en terme < d0attributs > des lments de con"i%uration dont 'oici/uel/ues exemples considrer Eau sein de la 1B

cat%orie EmatrielB lo%icielB documentWF

numro de srie EmatrielB lo%icielF

numro de 'ersion Elo%icielB documentationF

numro de licence Elo%icielF

numro dPin'entaire du matriel

"ournisseur

emplacement EsiteB localF

date ac!atB date de mise ourB date de "in de %arantieW.

responsa3leB utilisateurW composant principal ou sous composant de Erelations entre les composantsF

statut ou c,cle de 'ie EoprationnelB en cours de c!an%ementB...F

!istori/ue des inter'entionsB ...

La %estion des con"i%urations peut Ntre opre de "aQon simpleB partir dPun outil ta3leur parexemple ou de manire plus sop!isti/ue et automati/ue a'ec des outils de %estion de parc.

On trou'era dans la partie 5ic!es de r"rences tec!ni/ues de ce %uide un certain nom3re depointeurs 'ers des lo%iciels ou de la documentation /ui peu'ent ser'ir et Ntre utiliss par les ASR

pour implmenter et mettre en place les di""rents 'olets re/uis dans la /ualit de ser'ice.

&'(&'()* Page &/ ( +) g!p-v&-).od,

7/21/2019 itil cnrs

16/80


0* !a gestion des ni3eaux de ser3i+e

0-)* Dterminer les ser3i+es 4 +onsidrer

La %estion des ni'eaux de ser'ice doit permettre de dterminer le ni'eau de ser'ice dli'rer aux utilisateurs pour supporter les mtiers de

lPunit de rec!erc!eB

dPinitialiser un sui'i pour identi"ier si les ni'eaux demands ont t atteints et dans le cascontraireB pour/uoi.

Le 3ut de la < *estion des Ci'eaux de Ser'ice > est de d"inirB de maintenir et dPamliorerpro%ressi'ement la /ualit des ser'ices rendus par lPASR pour assurer les acti'its de lPunit.

Il con'ient doncB au cours de ce processusB de d"inir les ni'eaux de ser'ice "ournis par lPASRen relation a'ec les 3esoins des utilisateurs. Cous pou'ons citer par exemple /uel/ues ni'eaux de

ser'ice couramment supports par les ASR dans nos entits la gestion du parc informatique, lamaintenance des serveurs, la surveillance rseau, le dploiement d0application, les sauvegardes,

l'arcivage, l'assistance de premier niveau au& utilisateurs5!

Les ni'eaux de ser'ice ainsi d"inis sont r"rencs dans un catalo%ue de ser'ices. On pourrales !irarc!iser par t,pe de ser'ice

ser'ice mtier6 isponibilit des mo7ens de calcul, de visualisation grapique,dveloppement informatiques ddis, support 3 la gestion financi$re et 89!!!

ser'ice in"rastructures 6 gestion des serveurs, des sauvegardes, des impressions!!!

ser'ices rseaux 6 gestion de la disponibilit du rseau!!!

ser'ice applicati" 6 messagerie, :eb!!!

etc.

LPASR /ui 'eut mettre en place une %estion de ni'eau de ser'ice doit sPassurer au prala3le Bauprs de ses utilisateursB des ser'ices /uPils utilisent et comment. AinsiB $e c,cle de la /ualit deser'ice passe par un en%a%ement entre le ser'ice in"ormati/ue et les utilisateurs du la3oratoireidenti"is dans des structures mtier Ela directionB les ser'ices administrati"sB les /uipes derec!erc!eF.

;our estimer le ni'eau de ser'ice minimalB il "aut se rapproc!er du primtre en'isa%B desin"rastructures %res et du seuil criti/ue pour la continuit de lPacti'it.

Dans un deuxime tempsB on peut en'isa%erB de %raduer en trois cat%ories principales lesni'eaux de ser'ice apporter

'ital un ser'ice dont lPinterruption 3lo/ue compltement le tra'ail dans le la3oratoire.;&emple 6 le service d'annuaire L

7/21/2019 itil cnrs

17/80


0-.* %uel ni3eau pour quel ser3i+e 5La "ormulation dPun ni'eau de ser'ice dans le catalo%ue des ser'ices peut comporter

la description du ser'ice o""ertB

les "onctions mtiers cou'ertesB les priodes de "onctionnement du ser'iceB

la disponi3ilit du supportB

le plan de secoursB

le plan de repriseW

Deux paramtres sont considrer pour d"inir le de%r de ser'ice proposer

lPexistence de 3esoins di""rents par %roupe dPutilisateur par exemple le ni'eau de ser'icepour les secrtariats d#administration et de scolaritB ne seront sans doute pas les mNme /ue

ceux pour un %roupe de c!erc!eurs(grer les sorties d'imprimante pour le service scolariten priode d'inscription semble plus vital que pour un groupe de cerceurs en priode

moins drastique

lPexistence de contraintes di""rentes lies aux t,pes dPin"rastructures.

;lusieurs /uestions poses au prala3le peu'ent aider lPASR dterminer les ni'eaux deser'ice

A-t-on mesur et 'alid la /ualit de ser'ice de l#application a'ant sa mise en production

Cos utilisateurs reQoi'ent-ils un ser'ice con"orme nos en%a%ements

;eut-on mesurer la /ualit de ser'ice en temps rel

Dispose-t-on d#un s,stme d#alerte e""icace pour %rer les incidents d#exploitation en tempsrel

Dispose-t-on d#un !istori/ue du ni'eau de ser'ice

;eut-on identi"ier un pro3lme a'ant /u#il ne rduise la /ualit de ser'ice

A-t-on une 'isi3ilit et un contrle su""isants du "onctionnement de nos applications mtiercriti/ues W

&'(&'()* Page &1 ( +) g!p-v&-).od,

7/21/2019 itil cnrs

18/80


6* !a gestion de la +ontinuit de ser3i+e

LPo3ecti" de la %estion de la < continuit de ser'ice > Een corollaire la %estion des ni'eauxde ser'iceF est de diminuer dura3lement la "r/uence et la dure des incidents en sPassurant /uelPin"rastructure in"ormati/ue et la "ourniture de ser'ice /ui est associe peu'ent Ntre remises enroute dans les temps re/uis et con'enus.

Depuis plusieurs annesB lPinterdpendance entre acti'its mtiers et acti'its in"ormati/uesest par'enue un point tel /ue si les ser'ices in"ormati/ues o""erts sParrNtentB une %rande part desacti'its de rec!erc!e peut Ntre "ortement impacte. LPacti'it de rec!erc!e ncessite de plus en plusun "onctionnement et 2(2( du s,stme d#in"ormation et des ser'ices in"ormati/ue.

La %estion de la continuit de ser'ice consiste

identi"ierB par une mt!ode dPanal,se de ris/uesB les menaces et les 'ulnra3ilits sur lesacti"s de lPin"rastructureB

appli/uer dans un deuxime temps des mesures Epr'enti'es et de reprisesF /ui permettentde conser'er un ni'eau de continuit de ser'ice.

La %estion de la continuit de ser'ice doit donc sPaccompa%nerdPun plan de continuit deser'ice Eactions dPur%encesB sau'e%ardes des enre%istrements 'itauxB 'aluation des domma%esB plande reprise...F

Le contenu de ce plan pourra prendre en compte

lales procdures de dclenc!ement de ce planB

les /uipements cou'erts par le planB

la description des procdures de continuit d"iniesB les responsa3ilits et impacts sur les ressources !umainesB

les impacts sur la scurit Een mode d%radFB

les procdures de retour la normaleB

les procdures de test du plan de continuitW

&'(&'()* Page &+ ( +) g!p-v&-).od,

7/21/2019 itil cnrs

19/80


7* !a gestion des inter3entions

7-)* e qu2il 1aut prendre en +ompte

LPo3ecti" principal de la %estion des inter'entions est de simpli"ier et "ormaliser la c!ane dedemande dPassistance en pro'enance de lPutilisateur tout en au%mentant la racti'it du ser'ice.ette "onction ncessite de prendre en compte lPensem3le de lPinter'entionB de lPappel delPutilisateurB us/uPau retour de sa demande aprs rsolution du pro3lme.

Il sPa're %alement essentiel pour un ASR de mmoriser les demandes de "aQon pou'oirrecenser lPensem3le des inter'entions e""ectues au ni'eau du S.I. Les in"ormations ainsi recueillies

permettrontB dPune partB dPassurer un meilleur sui'i des inter'entions etB dPautre partB de disposerdPun !istori/ue des demandes et de statisti/ues.

Tout utilisateur tant amen e""ectuer une demande dPinter'entionB lPo3ecti" de la %estiondes inter'entions 'a consister "luidi"ier leur traitement. A cet e""etB lPASR de'ra mettre en place un

circuit de dcision "iltrer les demandesB en dterminer la priorit et les cat%oriserB le c!oix de lapriorit de'ant int%rer une anal,se de ris/ue et sPe""ectuer en concertation a'ec lPutilisateur.

A ce stadeB lPASR doit se demander /uel ni'eau dPinter'ention il doit prendre en c!ar%e et/uel t,pe dPinter'ention 'a ncessiter un sui'i prcis.

7-.* omment organiser la gestion des inter3entions

e premier ni'eau de la %estion des inter'entions /ui sPa're essentiel pourra Ntre ralisdi""remment selon les mt!odes de tra'ail des ASR Eca!ier de la3oratoireB "ic!ier numri/ueB outilslo%iciels de t,pe < !elpdes >WF.

A un deuxime ni'eau de maturit du s,stmeB la %estion des inter'entions pourra secomplexi"ier. Deux points seront alors prendre en considration.

5.2.1- &ptimiser les ressources pour acclrer le traitementdes interventions

Dans le cas dPun nom3re important dPinter'entions ponctuellesB la saisie dPun appel doit Ntrerapide et sre de "aQon rcuprer lPensem3le des donnes de lPutilisateur et les moti"s de son appelBces in"ormations pou'ant "aire lPo3et dPune "ic!e dPappel trs structure EcoordonnesB descripti"BdateB inter'enantWF. Au retour dPinter'entionB la "ic!e permettra son sui'i temps passB solutionadopteB "ourniture W

LPa""ectation des ressourcesB /uelles soient matrielles ou !umainesB sPe""ectuera partir decette "ic!e et une plani"ication de lPinter'ention sera mise en place.

5.2.2- $nal"ser les interventions

Des ta3leaux dPanal,ses dcouleront des inter'entions e""ectues. ette s,nt!se pourraprendre plusieurs "ormes

ta3leaux de 3ordB

rec!erc!es multicritres sur les inter'entionsB

3ase de connaissancesB

&'(&'()* Page &* ( +) g!p-v&-).od,

7/21/2019 itil cnrs

20/80


rapports statisti/ues personnaliser Eex nom3re dPinter'entions par mois ...F

ette anal,se des inter'entions pourra constituerB par ailleursB un paramtre de mesure delPacti'it du ser'ice. Son 'aluation r%ulire permettra de sui're lPamlioration de son"onctionnement dans le cadre du modle ;DA in!rent la norme ISO-20000.

&'(&'()* Page ') ( +) g!p-v&-).od,

7/21/2019 itil cnrs

21/80


8* !a gestion des dys1on+tionnements

L#o3ecti" essentiel de ce processus est de c!erc!er rsoudre les d,s"onctionnementssuscepti3les de se produire au sein dPun S.I. Il s#a%it de minimiser leurs rpercussions sur lesni'eaux de ser'ice mais %alement de pr'enir leur rapparition.

Les r"rentiels ITIL et ISO-20000dcri'ent la %estion des d,s"onctionnements en deux processus distinctsB la %estion des incidents etla %estion des pro3lmes.

La norme ISO-20000 distin%ue la notion dPincident de celle de pro3lme. n incident est B comment paramtrer son ;

pour accder au rseau < @duroam >...F.

les r%lements Esou'ent rassem3ls dans le r%lement intrieur de l#entit de rec!erc!eFconcernant l#utilisation des ser'icesB la c!arte d#utilisation des mo,ens in"ormati/uesB ouencore le document cadre relati" la politi/ue de scurit de l#or%anisme considrB

les accords sur les modalits et ni'eaux de ser'ice o""erts par l#/uipe In"ormati/ueB les

usa%es tolrsB les r%les de conduiteB etc.

&'(&'()* Page '/ ( +) g!p-v&-).od,

7/21/2019 itil cnrs

26/80


:-.* !a do+umentation te+,nique destine aux ASRet ensem3le de documents re%roupe les in"ormations tec!ni/ues ncessaires pour /ue les

ASR mettent en place et "assent "onctionner tel ou tel ser'ice. e sont les textes tec!ni/ues propresau ser'ice in"ormati/ue de l#unit et /ui peu'ent contenir des in"ormations sensi3les Eplans durseauB AL de routeurs mises en placeB noms et adresses I; de ser'eurs sensi3lesB mots de passeBetcF. La /ualit de ces documentations doit permettre de con"ier ou dl%uer l#exploitation decertains ser'ices d#autres ASR de l#/uipe ou c!ar%s transitoirement d#inter'enir.

ne procdure d#exploitation ou d#installation 3ien documente est en e""et plus "acile dl%uer d#autres ASR de l#/uipe et peut "aciliter l#int%ration d#un sta%iaire /ui a alors sadisposition un Gmode d#emploiG clair et prcis.

es documentations doi'ent donner une ima%e de l#tat tec!ni/ue des s,stmes Eser'ices enexploitation un temps donnFB du rseauB des procdures pour assurer la continuit de ser'ice. esdocumentations sont mises our r%ulirementB lors de c!a/ue modi"icationB pour Ntre au plus prsde la ralit.

@n e""etB comme on l#a 'u prcdemment dans la < %estion des c!an%ements >B il est ncessairepour les ASR d#enre%istrer et de documenter les c!an%ements apports dans l#exploitation dus,stme d#in"ormation. Il s#a%it da'anta%e dans ce cas de constituer et de tenir our une < maincourante > a"in de tracer c!ronolo%i/uement les c!an%ements de con"i%uration apports dans lacon"i%uration de tel ou tel lo%icielB ou 3ien les causes et les rsolutions d#incidents /ui sont sur'enusdans le S.I.B ou encore l#!istori/ue des inter'entions et des mises our.

omme exemple de ce t,pe de documentation pour les ASR on peut citer

le plan our du rseau de l#unitB la con"i%uration des commutateurs et des routeurs

l#in'entaire des ressources in"ormati/ues

ladocumentation des con"i%urations s,stme indi/uant comment un ser'ice a t paramtrpour l#installer comment est con"i%ur Sam3aB comment est assure la redondance duser'eur de mail au mo,en de < !eart3eat > ou autres s,stmes de disponi3ilit.

les procdures dlicates /ue l#on "ait rarement par exemple comment reconstruire le < raid >de la 3aie de dis/ues

les procdures d#exploitation rcurrentes /ue l#on 'eut pou'oir con"ier d#autres mem3res del#/uipe in"ormati/ue comment crer un compte?, comment canger les bandes de

sauvegardes?

es in"ormations seront importantes en cas d#incidents ou de d,s"onctionnements pour

retrou'er l#ori%ine possi3le dans des inter'entions passes. A cet e""etB notons /ue pour des raisonsde disponi3ilit il serait ncessaire d#assurer une redondance de cette documentation sensi3le sursupport papier de manire , a'oir accs en cas de panne s,stme.

:-0* omment raliser +es do+umentations 5

Le 3ut de ces documentations est /u#elles soient "acilement accessi3lesB modi"ia3lesBparta%ea3lesB correctement structuresB classes et en accs prot% pour les ASR du ser'iceuni/uement.

L#ASR aura le c!oix du mode d#dition de ces documentations documentation papier "ic!ier

au "ormat Doc7ooJDoc7ooK

B site He3 ou HiiJHiiK

&'(&'()* Page '0 ( +) g!p-v&-).od,

7/21/2019 itil cnrs

27/80


Les dpts documentaires de t,pe < =ii > peu'ent cet e""et procurer un certain nom3red#a'anta%es

leur accs est centralis sur un ser'eur He3B ce /ui permet de ne pas a'oir c!erc!er ladocumentation dans de nom3reux "ic!iers et rpertoiresB

leur simplicit d#utilisation "acilite les mises our rapides de la documentationB

ce t,pe de documentation n#a amais un caractre d"initi". Il con'ient 3ien un s,stme en'olution permanente et on peut l#enric!ir "acilement tout moment de dernires remar/uesou modi"ications.

es dpts de t,pe Hii ont cependant aussi des incon'nients relati"s la classi"ication desin"ormations et leur structuration. Il est par"ois di""icile d#a'oir une na'i%ation claire dans un< =ii >B et la structuration peut Ntre impar"aite ou mise mal au "il des mises our de ladocumentation.

uelle /ue soit la tec!nolo%ie du support de documentation c!oisieB il est en tout cas

ncessaire de "aire attention assurer une di""usion restreinte des in"ormations /ue l#on porte dansce t,pe de documentation du "ait /u#elles touc!ent sou'ent la scurit des installations et del#in"rastructure.

@n"inB n#ou3lions pas /u#une dition papier de ces documentations est ncessaire en cas depro3lme s,stmes maeur /ui empNc!erait la consultation.

&'(&'()* Page '1 ( +) g!p-v&-).od,

7/21/2019 itil cnrs

28/80


;* !es bonnes pratiques dans la gestionde la s+urit des systmes d2in1ormation

Les ASR sont con"ronts depuis lon%temps des pro3lmes de scurit in"ormati/uercurrents /ui peu'ent mettre en pril le "onctionnement du S.I. Ils ont donc r%ulirement mis en

place des mesures tec!ni/ues pour prot%er les ser'eursB le rseau et le parc de ; utilisateursB etont donc adapt le ni'eau de scurit pour ra%ir aux nou'elles menaces /ui apparaissaient au "il dutemps sur le rseau.

La liste des menaces et atta/ues in"ormati/ues est 'aste E'irusB troanB scan rseau...F et nousn#en "erons pas l#in'entaire ici. Il sem3le %alement inutile de proposer une liste ex!austi'e dessolutions tec!ni/ues de scurit mettre en 8u'reB tant cela dpend du contexte et du ni'eau descurit rec!erc!.

@n re'anc!eB comme nous l#a'ons "ait en premire partie a'ec le standard ITIL et la norme

ISO-20000 pour la "ourniture de ser'ices in"ormati/uesB nous a'ons utilis la norme ISO-2001pour donner un cadre aux 3onnes prati/ues des ASR en matire de %estion de la scurit dans nosor%anismes de rec!erc!e.

@n e""etB la scurit de nos s,stmes d#in"ormation impli/ue /uel/ues prati/uesd#administration et d#or%anisation de 3ase /ue l#on retrou'e dans la norme ISO-2001B de mNme /uedans les ;SSI d#ta3lissement Edont celle du CRS J;SSI CRSKF.

es prati/ues sont %alement 3ases sur une dmarc!e par < processus > et int%rent leprincipe dPamlioration continue E;DAB Roue de Demin%F /ui 'ise aprs a'oir mis en place deslments de scuritB sur'eiller et r-'aluer leur e""icacit.

;-)* Grands prin+ipes d2organisation de la s+uritau sein du laboratoire

.1.1- Dfinition du primtre sur le(uel doit porter lascurit du ).*.

;our dterminer /uelles sont les exi%ences de scurit de l#in"ormation de nos unitsB il estncessaire d#tudier au prala3le le contexteB le primtre de l#entit scuriser. ette tude impli/uede s#attac!er d"inir les 'aleurs propres de l#unit /uelles sont les donnes et les "onctionsessentielles /ue l#on doit scuriser pour /ue l#entit continue exercer ses missions. ;our c!a/ue

donne et "onction recenseB on s#attac!era dterminer /uels sont les 3esoins de scurit en termesde < disponi3ilit >B < int%rit > et < con"identialit >.

Les premires tapes sur les/uelles doit se penc!er l#ASR est donc

d#tudier le contexte de l#entitB rappeler son acti'it principaleB les missions /u#elle doitassurerB les ser'ices /u#elle doit rendre et les mo,ens /u#elle utilise pour par'enir sesmissions... puisB

de recenser et dcrire les di""rents acti"s /ui composent le S.I. de l#or%anisme "aire donc unin'entaire des matrielsB lo%icielsB rseauB personnelB locaux... et en"inB

de recenser et identi"ier les donnes et "onctions de l#or%anisme et sa'oir sur /uels acti"s et

mo,ens p!,si/ues elles reposent.

&'(&'()* Page '+ ( +) g!p-v&-).od,

7/21/2019 itil cnrs

29/80


.1.2- *mplication de la direction vis-+-vis de la scurit del'information

;our scuriser con'ena3lement une unitB l#ASR doit s#appu,er sur une politi/ue de scuritsoutenue par sa Direction au mo,en de directi'es clairesB dPun en%a%ement dmontrB dPattri3utionde "onctions explicites et dPune reconnaissance des responsa3ilits lies la scurit delPin"ormation.

Il est ncessaire /ue les responsa3ilits en matire de scurit de lPin"ormation soient d"iniesprcisment dans l#entit. La Direction doit demander son personnel de mNme /u#aux utilisateursextrieurs en relation a'ec l#unitB dPappli/uer les r%les de scurit con"ormment aux politi/ues et

procdures ta3lies par lPor%anisme.

ne des premires mesures essentielles prendre est la di""usion d#une < c!arte de 3onusa%e > des outils in"ormati/ues de l#unit. ette c!arte est un document interne explicati" des droitset de'oirs des utilisateurs en matire d#utilisation des mo,ens in"ormati/ues de l#unit. La c!artein"ormati/ue de l#or%anisme de tutelle ECRSB ni'ersit ou autre @;STF a pour 'ocation d#Ntrelar%ement di""use et mise disposition pour tout nou'el entrant dans l#unit Epar exemple par copiedans le compte des utilisateursB en'oi par messa%erieB ou tout autre mo,en de di""usion e""icace ouo""icielF.

.1.3- ,oordination de la scurit de l'information

Les acti'its relati'es la scurit de lPin"ormation de nos units de rec!erc!e sont en %nralcoordonnes par des personnels a,ant des "onctions et des rles appropris reprsentati"s desdi""rentes parties de lPor%anisme.

AussiB il con'ient pour l#ASR d#entretenir ou mettre en place des relations appropries a'ec lesautorits comptentes et les spcialistes de la SSI de l#or%anismeB ou encore 'ia des "orumsspcialiss dans la scurit et des associations pro"essionnelles.

ue ce soit pour les ni'ersitsB le CRS ou d#autres @;STB il con'ient pour l#ASR deconnatre les acteurs de la c!ane or%ani/ue et de la c!ane "onctionnelle de scurit de sonor%anisme pour le CRS par exemple les RSSI Ecoordinateur r%ional de la scurit dess,stmes d#in"ormationF pour la Dl%ation r%ionaleB ainsi /ue le SSI Ec!ar% de la scurit duS.IF de l#unit.

.1.4- ormation et sensiilisation + la scurit du ).*.

Le personnel doit Ntre r%ulirement in"orm des prati/ues de scurit sui're Encessit de

mots de passe ro3ustesB attitudes 'is a 'is des spamsB etcFB des 'nements et alertes. Il est importantpour l#ASR d#or%aniser des "ormations de sensi3ilisation au sein du la3oratoire tant au ni'eau dupersonnel en place /ue des nou'eaux entrants et du personnel temporaire. Les "ormations etmessa%es rcurrents d#in"ormation /ue dli'rent les ASR permettront de re!ausser le ni'eau descurit de l#unit en donnant aux utilisateurs une attitude plus responsa3le "ace aux menaces /ui

psent sur le S.I.

;-.* Analyse des donnes du Systme d2In1ormationde l2unit < Analyse des besoins de s+urit

La protection du patrimoine de nos entits suppose d#identi"ier et de localiser au prala3le les

donnes et de dterminer leur ni'eau de sensi3ilit. Les 3esoins en scurit se d"inissent en termes

&'(&'()* Page '* ( +) g!p-v&-).od,

7/21/2019 itil cnrs

30/80


de < con"identialit >B de < disponi3ilit >B et d# < int%rit >B ainsi /ue par l#'aluation de leur de%rde sensi3ilit Epu3licB con"identielB secret d"ense...F. Seul cet examen des 3esoins peut permettre dedterminer le t,pe de protection ncessaire et les solutions tec!ni/ues ad/uates mettre en 8u're

pour scuriser le S.I.

La protection de l#outil de tra'ail et du S.I des units impli/ue la mise en 8u're des mo,enstec!ni/ues pour assurer

la disponi3ilit des mo,ens in"ormati/ues impli/ue des mesures de redondanceB desprocdures de reprise sur panneB et un plan de reprise d#acti'it pour minimiser les tempsd#indisponi3ilit.

l#int%rit des donnes ncessite de mettre en 8u're des procdures de sau'e%arde desdonnesB et surtout de restauration de ces sau'e%ardes.

la con"identialit des donnes des utilisateurs demande d#a'oir mis en place des s,stmesd#aut!enti"ication des utilisateursB ainsi /ue la mise en place de droits d#accs appropris surles donnes.

des solutions de < c!i""rement >Jc!i""rementK des supports de donnes et des protocoles detransmission sont %alement des outils de nature assurer une int%rit et con"identialit"ortes des donnes.

;-0* Appr+iation des risquesne anal,se des ris/ues Eau tra'ers de mt!odes telles /ue @7IOS J@7IOSKB $@MARIWFB permet

dPidenti"ier les o3ecti"s de scurit et les mesures prendreB adaptes aux 3esoins de lPunit. @llesert de 3ase lPla3oration de la politi/ue de scurit du S.I.

Dans un premier tempsB il con'ient dPidenti"ier les menaces et les 'ulnra3ilits potentielles/ui psent sur les acti"s du S.I.

Cous parcourons iciB en /uel/ues p!ases essentiellesB les 3onnes prati/ues dans le domaine dela scurisation d#un S.I. La documentation de la mt!ode @7IOS J@7IOSK peut donner une aideri%oureuse pour slectionner les menaces et les mt!odes d#atta/ues opportunes dans le contextetudi.

.3.1- *dentification des menaces et vulnrailits

Aprs a'oir identi"i les < acti"s > EmatrielsB ser'eursB routeursB lo%icielsB locauxB donnes...Frele'ant du primtre scuriserB il con'ient de recenser les < menaces > /ui peu'ent peser sur lesacti"s de l#unitB ainsi /ue leurs < 'ulnra3ilits >.

Les menaces doi'ent Ntre "ormalises explicitement en identi"iantB les mt!odes d#atta/ueaux/uelles lPunit est expose E'olB incendieB perte d#alimentation lectri/ue...FB les lmentsmenaQants /ui peu'ent les emplo,er E"acteurs naturels ou !umainsB in'olontaires ou mal'eillantsFBles 'ulnra3ilits exploita3les sur les entits du s,stme et leur ni'eau d#occurrence ErareB normalB"r/uentF.

;ar exempleB dans le contexte de lPunitB le 'olB l#incendieB l#inondationB la perte d#alimentationlectri/ueB l#incendieB etc peu'ent Ntre des lments menaQants a,ant une certaine pro3a3ilitd#occurrence ErareB mo,enneB certaine...F

On pourra par exemple exprimer une menace de la manire sui'ante

&'(&'()* Page ) ( +) g!p-v&-).od,

7/21/2019 itil cnrs

31/80


7/21/2019 itil cnrs

32/80


;-7* #onnes pratiques dans la mise en =u3re de las+urit in1ormatique > exemples de mesures des+urit +ourante

XoiciB ci-aprs /uel/ues prati/ues %nrales en matire de scurit in"ormati/ue /ui sont"r/uemment mises en place dans la scurisation du S.I. de nos units de rec!erc!es.

.5.1- )curit p%"si(ue des locaux

L#o3ecti" est d#empNc!er tout accs p!,si/ue non autorisB tout domma%e ou intrusion dansles locaux dans les/uels rsident les in"ormations de lPunit. Les locaux contenant des in"ormationssensi3les et des mo,ens de traitement de lPin"ormation Esalles ser'eursB secrtariat de direction oud#ensei%nement...F doi'ent donc Ntre prot%s p!,si/uement des accs incontrls ou mal'eillantsEcontrle dPaccs par cartes ou codeF.

;our se prot%er des menaces d#ordre < en'ironnementale >B il con'ient %alement de mettre

en 8u're des dispositi"s tels /ue dtection de temprature le'eB dispositi"s anti-incendiesB ouinondationsB ...

.5.2- )curit du matriel et du c/lage

On prot%era les matriels sensi3les ErouteursB ser'eurs...F des pertes d#alimentation lectri/uepar un s,stme de secours lectri/ue su""isantB ainsi /ue d#'entuelles surc!au""es par des mo,ensde climatisation ad/uats et 3ien dimensionns.

A"in de %arantir une disponi3ilit permanente et un 3on "onctionnement en cas de panneB lematriel sensi3le /ui ncessite un "onctionnement continu doit Ntre plac sous contrat demaintenance.

Les accs aux c:3les rseau transportant des donnes doi'ent Ntre prot%s contre toutepossi3ilit d#interception de lPin"ormationB ou de domma%e. Les c:3les ou concentrateurs rseaudoi'ent Ntre !ors de porte immdiate et donc prot%s dans des %aines ou des armoires derpartition.

.5.3- Mise au reut ou rec"clage

Les matrielsB les in"ormations ou les lo%iciels ne de'raient pas pou'oir Ntre sortis des unitssans autorisation prala3le et une procdure "ormelle. @n cas de mise au re3ut oY de re'ente de ;Bil con'ient de 'ri"ier /ue les donnes ont t e""aces des dis/ues de manire e""icace. n simple"ormata%e n#tant 3ien entendu pas su""isant pour e""acer les donnes de manire prenne. Des

mt!odes sont prconisesJA&I$;K

Les supports /ui ne ser'ent plus doi'ent Ntre mis au re3ut de "aQon sreB en sui'ant des

procdures "ormelles. Il con'ient pour des raisons en'ironnementales de mNme /ue pour des raisonsde scurit du S.I. de se d3arrasser des ; et des supports amo'i3les dans des 3ennes spcialisesBaprs a'oir au prala3le correctement e""ac les supports ma%nti/ues.

&'(&'()* Page ' ( +) g!p-v&-).od,

7/21/2019 itil cnrs

33/80


.5.4- 0rocdures de scurit informati(ue lies + l'exploitation

.5.4.a- 0rotection contre les codes malveillants virus et autres malares

La plupart des atta/ues 'ia le rseau tentent dPutiliser les "ailles du s,stme dPexploitation oudes lo%iciels d#un ;. Les atta/ues rec!erc!ent les ordinateurs dont les lo%iciels nPont pas t mis our a"in dPutiliser la "aille non corri%e et ainsi par'enir sP, introduire. Pest pour/uoi il est"ondamental /ue les ASR mettent our les lo%iciels des ser'eurs et des postes clients a"in decorri%er ces "ailles.

Suite aux a'is de scurit /ui manent des @RTB l#ASR doit 'eiller au maintien du ni'eau descurit au cours du temps par l#application rcurrente des correcti"s lo%iciels E< patc!s >F sur lesser'eurs en exploitation dans l#unit.

Il est %alement dans ses "onctionsB de 'eiller ce /ue c!a/ue poste du rseau local soit/uip d#un anti'irus r%ulirement mis our. L#ASR doit donc mettre en place des mesures de

dtectionB de pr'ention et de recou'rement pour se prot%er des codes mal'eillants.

.5.4.- )auvegarde des informations

La sau'e%arde est un processus essentiel dans tout s,stme in"ormati/ue permettant de%arantir l#int%rit des donnesB la "ia3ilit et la continuit de lPacti'it du la3oratoire en casd#incident. ne politi/ue de sau'e%arde E"r/uenceB "enNtre de sau'e%arde..F doit Ntre la3ore pour

prot%er les donnes de l#unit. Les in"ormations concernant les sau'e%ardes e""ectues doi'ent Ntrecommuni/ues aux utilisateurs. ne sau'e%arde r%ulire des donnes des utilisateurs a'ec des

processus de restaurationB teste au prala3leB doit Ntre mise en place. Il "aut porter attention auxdroits d#accs ces sau'e%ardes.

Des copies de ces sau'e%ardes doi'ent Ntre ralises sur des supports externes Ero3ot de3andesB dis/ues externes...F et places dans des locaux Eou co""resF scuriss et distants. es copiesde sau'e%ardes de'raient Ntre testes r%ulirement con"ormment la politi/ue de sau'e%ardecon'enue.

.5.4.c- ournaux s"stmes 6 les logs

Les ournaux s,stmes produits par nos ser'eurs in"ormati/ues permettent la sur'eillance ducontrle dPaccs nos s,stmes et rseaux. Ils permettent de "aciliter les in'esti%ations ultrieuresBet sont en outre %alement exi%s dans le cadre de la collecte de preu'e par les autorits uridi/uescomptentes.

Les ournaux s,stmes /ui enre%istrent les acti'its des utilisateursB les exceptions et les'nements lis la scurit doi'ent Ntre produits et conser's pendant la priode l%ale poursur'eiller lPexploitation du s,stme. La politi/ue de %estion des traces du CRS a "ait l#o3et d#undocument disponi3le dans l#intranet du CRS Jlo% cnrsK.

Il est important de prot%er les ser'eurs /ui conser'ent les in"ormations ournalises contre lesaccs non autoriss ou des actes de mal'eillances /ui pourraient s#opposer au maintien de la preu'e.

@n raison du nom3re de ser'eurs prsents dans nos unitsB il con'ient de mettre en 8u're desmo,ens pour "aciliter l#exploitation trans'ersale de ces ournaux pro'enant de multiples ser'eurs.;ar exemple la centralisation des ournaux s,stmes sur un ser'eur uni/ue et ddiB permet deconcentrer la scurisation des < lo%s > sur un seul point d#accsB de mieux r%uler la priode

&'(&'()* Page ( +) g!p-v&-).od,

7/21/2019 itil cnrs

34/80


d#arc!i'a%e l%alB et surtout de permettre la consultation simultane des ournaux de plusieursser'eurs Journaux s,stmesK.

.5.4.d- )"nc%ronisation des %orloges

@n cas d#anal,se des ournaux in"ormati/uesB pour retracer la c!ronolo%ie d#un 'nement oud#une anomalieB il est essentiel /ue les !orlo%es des di""rents s,stmes de traitement delPin"ormation Eser'eursB routeursB ; utilisateurs..F de nos entits de rec!erc!e soient s,nc!ronises lPaide dPune source de temps prcise et prala3lement d"inie.

.5.4.e- )curit du rseau 6 7c%ange des informations 6 ,ontr8led'accs rseau

Les rseaux de nos units de rec!erc!e doi'ent Ntre %rs et contrls de manire ad/uatepour %arantir leur protection contre des menaces aussi 3ien externes /u#internes. On 'eillera surtout contrler l#accs p!,si/ue au rseauB se%menter le rseau local en di""rents rseaux 'irtuels et rendre illisi3les notamment les in"ormations en transitB par des mo,ens de c!i""rement des

protocoles

contrle d'accs rseau : il est ncessaire d#empNc!er les accs non autoriss aux ser'ices/ui sont disponi3les sur le rseau Eparta%es de dossiersB imprimantesB accs Intranet He3BetcF. L#ASR doit s#assurer de ne donner accs /u#aux ser'ices pour les/uels les utilisateursont spci"i/uement reQu une autorisation. Des mt!odes dPaut!enti"ication appropriesdoi'ent donc Ntre utilises pour contrler lPaccs des utilisateurs distants. Il peut Ntrencessaire d#a'oir recours au standard 402.1x. pour contrler l#accs aux ports du rseauinterne au mo,en d#une identi"ication et aut!enti"ication La mise en place d#annuairescentraliss tels /ue Acti'e Director, ou LDA; ou encore un ser'eur Radius reprsente unlment "ondamental pour permettre cette aut!enti"ication.

cloisonnement des rseaux :il est particulirement e""icace de sparer les "lux rseau issusdes di""rents ser'ices dPin"ormation de nos entits. La se%mentation du rseau de l#unit enrseaux lo%i/ues 'irtuels EXLACF est une 3onne mesure prendre pour sparer les "luxrseau de di""rentes entits administrati'es Ele rseau des c!erc!eursB le rseau destudiantsB le rseau de secrtariatsB le rseau des ser'eurs...F. ette di""rentiation des "lux

permet par la suite de leur appli/uer des mesures de scurit di""rentes. Dans le processusde se%mentation du rseau. Il est "ortement recommand de re%rouper et d#isoler les ser'icesde'ant Ntre 'isi3les de l#extrieur dans une Uone rseau < semi ou'erte >.

contrle du routage rseau le rseau !3er%eant le S.I. doit Ntre prot% des tentati'esd#accs illicites pro'enant de l#extrieur comme de l#intrieur de nos entits. Des mesures du

routa%e des rseaux doi'ent Ntre mises en 8u're a"in dP'iter /ue des connexions rseau nonsou!aites ne portent atteinte la politi/ue de contrle dPaccs des applications mtier denos entits. Les "lux d#entre et de sortie du rseau doi'ent %alement Ntre prot%s par unensem3le de "iltres E< AL >F /ui permettent d#interdire des accs rseau 'ers des ressourcesou des ser'ices non contrls.

.5.4.f- 0rotection des transferts de donnes c%iffrement

L#o3ecti" des mesures cr,pto%rap!i/ues est de prot%er la con"identialitB lPaut!enticit oulPint%rit de lPin"ormation par des al%orit!mes utilisant des cls de c!i""rement. AussiB il "aut lesutiliser pour prot%er les "lux d#in"ormation lis des ser'ices sensi3les. ;ar exempleB lamessa%erie

lectroni/ue ou les accs intranet ou tout autre ser'ice demandant une identi"ication doi'ent Ntre

&'(&'()* Page ( +) g!p-v&-).od,

7/21/2019 itil cnrs

35/80


prot%s de manire ad/uate par des protocoles scuriss reposant sur SSLB comme I$A;SBSS$T;B SASL pour la messa%erie ou MTT;S pour le H@7.

ne politi/ue dPutilisation des mesures cr,pto%rap!i/ues en 'ue de prot%er lPin"ormationde'rait Ntre mise en 8u're. ela re'Nt un caractre o3li%atoire pour les donnes classi"ies

. On consultera cet e""et le document de recommandations du CRS en la matireJ!i""rementK.

Il est important pour les ASR de connatre le "onctionnement de l#in"rastructure de %estion descls EI*F et l#utilisation /ue l#on peut "aire des certi"icats dli'rs Esi%nature et c!i""rement desmessa%es lectroni/uesB ou encore certi"ication de mac!ines ser'eurs WF.

Dans le cas du CRS par exempleB l#ASR se rapproc!era des Dl%ations R%ionales pourconnatre les modalits d#o3tention et d#utilisation des certi"icats lectroni/ues du CRSB ainsi /uecelles pour de'enir < Autorit d# @nre%istrement > EA@F a"in de "ournir des certi"icats lectroni/uesaux utilisateurs de son unit. Il est ce propos ncessaire de connatre l# Autorit d# @nre%istrementen place sur la Dl%ation R%ionale. On trou'era de nom3reuses documentations ce suet sur le

site de l#I* du CRSB !ttpi%c.ser'ices.cnrs."r .

.5.4.g- 7xigences relatives au contr8le d'accs aux s"stmesd'exploitation

Il est du ressort des ASR de matriser par des dispositi"s tec!ni/ues ou procdurauxB lPaccs lPin"ormation prsente dans nos units. Il est donc ncessaire de mettre en place une politi/ue decontrle dPaccs de manire empNc!er les accs non autoriss aux s,stmes dPexploitation.

ne procdure "ormelle de cration Eet de suppressionF des comptes in"ormati/ue desutilisateurs destine accorder et supprimer lPaccs tous les s,stmes et ser'ices dPin"ormationdoit Ntre d"inie. Aprs cration des comptesB il est ncessaire de %rer correctement lPattri3ution et

lPutilisation des pri'il%es.L#accs aux ressources in"ormati/ues ne doit donc Ntre possi3le /u#aprs identi"ication et

aut!enti"ication des utilisateursB et doit Ntre adapt aux droits et aux pro"ils des utilisateursEc!erc!eursB administrationB ensei%nementB etcF.

L#ASR attri3ue un identi"iant et un mot de passe uni/ues c!a/ue utilisateurB et met en placele s,stme dPaut!enti"ication ad/uatB pour 'ri"ier lPidentit dclare par lPutilisateur lors desentres en session.

Les utilisateurs doi'ent pou'oir c!an%er leur mot de passe par un processus "ormel contrl demanire empNc!er l#utilisation de mots de passes trop "ai3les Emots ne "i%urant pas dans undictionnaireB et di""iciles retrou'er lPaide de pro%rammesF.

Il est important de "aire ad!rer les utilisateurs ces mesures /ui peu'ent paratrecontrai%nantesB mais /ui "i%urent parmi les mesures de 3ase permettant d#assurer la scurit del#accs au S.I des entits.

Dans certains contextes Esalles d#ensei%nementsB ou applications sensi3les...F les sessionsinacti'es de'raient Ntre dconnectes aprs une priode dPinacti'it d"inie.

.5.4.%- estion de 0arc et des mo"ens nomades - ,"ersurveillance

L#administration des postes de tra'ail de nos units est normalement place sous laresponsa3ilit de l#ASR. Selon la r%lementation en 'i%ueur actuellementB il a donc toute latitude

pour mettre en place des outils de %estion et de sur'eillance du parc in"ormati/ue. AinsiB une

&'(&'()* Page / ( +) g!p-v&-).od,

7/21/2019 itil cnrs

36/80


'ri"ication du ni'eau de scurit des postes nomades Eprsence d#un anti'irus our par exempleFdoit Ntre mise en place a'ant l#accs au rseau local. Les postes de tra'ail et mo,ens nomadesdoi'ent par ailleurs Ntre prot%s par des mots de passe ro3ustes.

@n cas de tlmaintenance sur un ; a'ec des outils de prise en main distance tel /ue XCB

les ASR doi'ent a'ertir le propritaire du poste et respecter la l%islation.

.5.4.i- Mesure de l'utilisation des ressources outils de mtrologie

LPutilisation des ressources s,stmes ou du rseau doit Ntre sur'eille et auste au plus prs.La scurit du S.I impli/ue une sur'eillance de l#utilisation du rseau et des ser'eurs tout enrespectant la r%lementation en 'i%ueur Ec" 3onnes prati/ues lies aux aspects uridi/ues Z10F. elaconsiste notamment respecter le principe de proportionnalit /ui est d#adapter les mo,ens desur'eillance aux eneux de scuritB et d#a'oir pour principe d#in"ormer les utilisateurs et les

partenaires sur les mo,ens de sur'eillance mis en place. Dans le respect de ce cadre l#ASR a toutelatitude pour mettre en place di'ers outils de mtrolo%ie rseau et de ournalisation des accs auxser'eurs.

&'(&'()* Page 0 ( +) g!p-v&-).od,

7/21/2019 itil cnrs

37/80


)/* #onnes pratiques lies aux aspe+ts?uridiques du mtier d2ASR < respe+t de la

rglementation en 3igueurLe tra'ail des ASR est dsormais en prise a'ec de nom3reuses o3li%ations et responsa3ilits

de nature uridi/ue.

Dans le cadre de la protection du S.IB la responsa3ilit administrati'e et pnale de la !irarc!ieet des ASR peut Ntre rec!erc!e. Il con'iendra donc de connatre les principaux r%lements enmatire de c,3er protection EL@CB in"ormati/ue et li3ertF relati"s la protection de la propritintellectuelleB des donnes rele'ant de la 'ie pri'e E"ic!ier nominati"sFB et de sui're attenti'ementl#'olution des urisprudences.

uelles sont les 3onnes prati/ues dans le contexte des responsa3ilits uridi/ues Les

urisprudences appli/ues ces dernires annes ont permis de dessiner un ensem3le decomportements et de 3onnes prati/uesB permettant l#ASR d#a'oir une attitude plus claire dans uncontexte de "aute potentielle dans le S.I.

ne r%le "ondamentale /ui apparat dans le mtier d#ASR depuis la L@CB est le tript,/ue< in"ormation - contrle 6 action >. Dans un contexte de "auteB un ma%istrat u%era si on a < in"orm > les utilisateursB si on a < contrl > les ressources mises d"autB et si on a < a%i> dansdes dlais accepta3les pour rparer une "aute ou un pro3lme.

)/-)* In1ormer@ +ontrler@ agir

19.1.1- *nformer: ,onseillerLes administrateurs sont tenus une o3li%ation de conseil < ren"orc > auprs des utilisateurs

d#un s,stme d#in"ormation Ele conseil < ren"orc > s#appli/ue & domaines nuclaireB c!imieris/ue de t,pe < S@X@SO > et in"ormati/ueF. Les ASR peu'ent et doi'ent donc mettre des alertesEsur des ris/ues connus F ou des mises en %arde Esur des ris/ues possi3lesF... La mise en %arde

permet de si%naler /u#il est possi3le /u#un pro3lme inter'ienne. L#alerte permet d#in"ormer d#unpro3lme 3ien d"ini et connu Eet non !,pot!ti/ueF. La prsence de certains mot-cls EalerteBconseilB mise en %ardeF dans un rapport ou un mail peut a'oir un poids utile en cas de contentieuxultrieur.

Il "aut in"ormer les responsa3les l%auxB les autorits comptentes ainsi /ue les utilisateurs par

la rdaction de rapports r%uliersB ainsi /ue sur toute situation particulire pou'ant mettre en causela scurit du S.I. E". Z DocumentationF.

Il est ncessaire d#in"ormer les utilisateurs de la nature des traces /ui sont ournalises etarc!i'es sur nos s,stmesB ainsi /ue de leur dure de rtention par l#a""ic!a%e sur un site =e3 parexemple.

19.1.2- 0rouver (u'on a scuris

#est une 3onne c!ose de mettre en 8u're un ensem3le de tec!ni/ues assurant la scuritin"ormati/ueB mais encore "aut-il pou'oir le prou'er. OrB dans nos milieux uni'ersitaires et derec!erc!e il , a une "ai3le < culture de l#crit administrati" >. On ne trace pas 3eaucoup par crit les

actions /ui ont t entreprises. Il "aut donc pour nous ASRB pour prou'er nos actionsB montrer /u#ona in"orm et a%i.

&'(&'()* Page 1 ( +) g!p-v&-).od,
http://igc.services.cnrs.fr/http://igc.services.cnrs.fr/http://igc.services.cnrs.fr/

7/21/2019 itil cnrs

38/80


;ar cons/uentB il con'ient de tracer et documenter nos actions de di'erses manires. Onretrou'e l la ncessit issue des processus de %estion des inter'entions et de %estion desc!an%ements cits dans la premire partie de ce document.

Il "aut a'oir les mo,ens de donner des preu'es de l#in"ormation et de la communication /u#on

a "ourni. ela peut prendre di""rentes "ormes comme par exempleB "aire un rapport annueld#acti'itsB ou tenir la rdaction d# une ru3ri/ue < in"ormations > notamment sur la scurit sur le siteHe3 du la3oratoire.

ne ru3ri/ue < scurit > sur un site =e3 peut permettre de retranscrire r%ulirement lesactions d#in"ormation et de contrles en%a%es. Les utilisateurs de l#unit doi'ent 3ien sr Ntrein"orms de l#existence de cette ru3ri/ue et de sa mise our E". Z DocumentationF.

Il est pr"ra3le de %arder des preu'es lectroni/ues et au 3esoin crites de di""usion del#in"ormation. es in"ormations seront donc "aites par crit EmailB article =e3B notes de ser'ice..FB et

pourront comporter certains mots-cls comme < OCS@IL >B < $IS@ @C *ARD@ >B < AL@RT@ > .

es in"ormations peu'ent porter par exemple sur certains 3ulletins d#alerte du @RT ou@RTA /ui concernent l#unitB les mi%rations pr'ues ou les interruptions de ser'ices criti/uesB ouencore des coupures du rseau a'ec l#extrieur. On peut , mettre %alement des statisti/ues de 'irusspamsB d3its rseauB in"ections ; B un 3ilan d#acti'it annuel du ser'iceB etc.

19.1.3- ,ontr8ler l'activit des s"stmes et du rseau

Le contrle 'ise la mise en place d#outils de sur'eillance pour 'ri"ier le 3on "onctionnementlo,al et proportionn des ser'ices o""erts.

Depuis la L@CB le droit des ASR tracer les acti'its des ser'ices et leur utilisation dans leS.I est total et complet dia%nosticB anal,seB contrleB maintenance pr'enti'eB identi"ication descomportements illicites.

Les 3onnes prati/ues consisteront par exemple dtecter les "onctionnements anormaux par lamise en place d#outils pour

centraliser et paramtrer la conser'ation des ournaux s,stmes sur la dure maximale l%alepour les ser'ices demandsB

o3tenir des statisti/ues sur l#utilisation des ser'icesB le d3itB les sites consultsB laconsultation du site du la3oratoireB la place occupe sur les dis/uesB WB

a'oir des remontes d#in"ormation en cas de pro3lme a'ec des sondes d#un s,stme de< monitorin% > ECa%iosB cactiB [a33ixB etcF par exempleB

contrler le contenu du site =e3. Dans la maorit des casB les la3oratoires ditent et!3er%ent eux-mNmes leur site =e3. L#!3er%eur n#a pas d#o3li%ation %nrale desur'eillanceB mais il a une o3li%ation spciale de sur'eillance Epoint de la n%li%ence"auti'eF. Les ASR sont en e""et tenus au secret pro"essionnelB mais ont l#o3li%ation dednoncer des actes dlictueux comme les contenus illicites et notamment la pdo-

porno%rap!ie ou la di""amation. @n tant /ue directeur de la pu3licationB le directeur dula3oratoire a une plus %rande responsa3ilit puis/u#il en approu'e le contenu.

L#ASR est tenuB comme tout a%ent de l#\tatB de dnoncer les contenus illicites dont il constatela prsence Eceux /ui "ont l#o3et de crimes ou de dlitsF. Il ne "aut cependant pas e""ectuer dedestruction de preu'e. Il sera conseill de "aire une < copie d#!uissier > des "ic!iers incrimins Esurun support comme une D-RO$B etcF et de les placer en lieu sr pour le cas oY une en/uNteultrieure serait mene.

&

Documents

itil cnrs