Sécurité des Systèmes d'Information

Présentation

La Sécurité Informatique (SI) ou plus largement la Sécurité des Systèmes d’Information (SSI) est une composante essentielle de la stratégie du numérique à l’Université de Lorraine. Elle couvre l’ensemble du Système d’Information de l’université dans toute sa diversité quant aux usages, aux lieux d’utilisation, aux méthodes d’accès, aux utilisateurs concernés. Elle porte sur tous les moyens techniques, organisationnels, humains et juridiques que l’établissement met en place pour empêcher le mauvais usage ou le détournement de son Système d'Information (SI). Elle vise à protéger la circulation, le stockage et le traitement des données afin de garantir la continuité de l’activité de l’université. Les enjeux sont importants, eu égard aux nombre d’usagers (62 000 étudiants et 7 000 personnels) et aux caractères stratégiques des informations électroniques dont l’université a la responsabilité (données scientifiques, données technologiques, données de gestion, données personnelles, …).

Politique de sécurité des systèmes d’information (PSSI)

Les incidents de sécurité peuvent être faibles, importants, graves ou critiques. Il peut s’agir d’une tentative d’intrusion dans un fichier, de l’arrêt momentanée d’un service, mais aussi d’un vol de données sensibles, voire d’une impossibilité pour l’université d’assurer une de ses missions essentielles.

Pour réduire la vulnérabilité de son SI et le protéger des menaces accidentelles ou volontaires, l’UL s’est dotée d’une Politique de Sécurité des Systèmes d’Information (PSSI) volontariste. Cette politique répond au cadre législatif national de se conformer à la Politique de Sécurité des Systèmes d’Information de l’Etat (PSSIE) et aux instructions de la directive interministérielle n°901 relative à la protection des Systèmes d'Information traitant des “informations sensibles non classifiées de défense”.

Elle œuvre à minimiser les risques de sécurité. À cet effet, 4 critères de sécurité sont systématiquement évalués : la confidentialité, la disponibilité, l’intégrité, la traçabilité.

Pilotage de la SSI

Au sein de l’Université de Lorraine, la responsabilité de la SSI relève du Président en sa qualité d’Autorité Qualifiée pour la Sécurité des Systèmes d’Information (AQSSI). Il en définit la politique et fixe les objectifs dans le respect des dispositions règlementaires. Il est assisté dans cette fonction par le Fonctionnaire de Sécurité de Défense adjoint (FSD adjoint) qui est, à l’UL, le Directeur Général des Services (DGS). La PSSI de l’Université de Lorraine est contrôlée, sur le plan national, par le Haut Fonctionnaire de Défense et de Sécurité (HFDS) du Ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation (MESRI) et par le Fonctionnaire de Sécurité des Systèmes d’Information (FSSI).

Le pilotage stratégique est confié au Comité de pilotage Stratégie Numérique dont les deux Vice-Présidents impliqués pour le numérique et le Directeur du Numérique assurent la coordination. Y participent les 3 Responsables de la Sécurité des Systèmes d’Information (RSSI) ainsi que le Délégué à la Protection des Données (DPO). Le rôle du Comité de pilotage Stratégie Numérique est d’approuver la stratégie SSI et de la faire valider en CA.

Le pilotage opérationnel est mené par les 3 RSSI de l’établissement :

  • Yves AGOSTINI RSSI,
  • Sébastion MOROSI et Philippe VOISIN RSSI adjoints.

Ils ont en charge de mettre en place la PSSI et le suivi des actions. Ils sont accompagnés dans cette démarche par les Correspondants Sécurité des Systèmes d’Information (CSSI) nommés dans chaque composante de l’Université de Lorraine. Leur fonction est de faire appliquer la PSSI de l’UL, dans leur structure respective, et de remonter les éventuels incidents.

Les responsabilités, entre les différents acteurs SSI de l’université, sont organisées dans une chaîne fonctionnelle de sécurité qui s’inscrit dans la continuité de la chaîne nationale animée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

Traitement des incidents de sécurité

Afin de mettre en place les moyens de sécurité adéquats, l’Université de Lorraine invite l’ensemble de ses usagers à faire remonter, en interne, tout incident ou évènement jugé suspect.

Dans ce cas vous devez :

  • Contacter le Correspondant Sécurité des Systèmes d’Information (CSSI) de votre entité

  • Ou vous adresser directement aux RSSI : rssi@univ-lorraine.fr

Dans la majorité des cas, les problèmes sont réglés rapidement par les équipes de la Direction du Numérique et ne donnent pas lieu à une alerte particulière. Si un incident grave survenait, la situation imposerait alors une réaction coordonnée des personnels de l’UL en charge de la SSI et un signalement de l’incident à la chaine fonctionnelle SSI du Ministère et au réseau CERT-RENATER.
 
La chaîne de responsabilité et d’alerte, ci-dessous, en formalise l’organisation.