Politique de Sécurité des Systèmes d’Information (PSSI)

Document d’orientation de la sécurité des systèmes d’information du CNRS Versions V1.0 Rédacteur Joseph ILLAND (FSD) Autorité d’approbation Arnold MIGUS (Directeur Général) Date d’approbation 15 novembre 2006

Sommaire
Introduction : les enjeux de la PSSI Partie I : Contexte et objectifs
1. 2. 3. 4. Le contexte du CNRS Le périmètrede la SSI au CNRS Les besoins de sécurité Les menaces et les impacts

Partie II : Principes d’organisation et de mise en œuvre
1. 2. 3. 4. Organisation de la SSI au CNRS Coordination avec les autres tutelles Déclinaison d’une PSSI au sein d’une entité du CNRS Principes de mise en œuvre de la PSSI

1

Introduction : les enjeux de la PSSI
Le haut potentiel de recherches du CNRS confère uncaractère stratégique à la protection de son patrimoine scientifique et technique. Les atteintes peuvent tout aussi bien toucher ses données scientifiques ou technologiques que ses outils ou moyens scientifiques, techniques et humains. La sécurité des systèmes d’information (SSI) s’impose comme une composante essentielle de la protection du CNRS dans ses intérêts propres et dans ceux liés à desenjeux nationaux (intérêts fondamentaux de la nation). Bien que cela soit difficile à évaluer, l’insécurité a un coût qui se manifeste lors d’incidents ou de dysfonctionnements. Face aux risques encourus, et dans le contexte fonctionnel et organisationnel propre à l’organisme, il convient d’identifier ce qui doit être protégé, de quantifier l’enjeu correspondant, de formuler des objectifs de sécuritéet d’identifier, arbitrer et mettre en œuvre les parades adaptées au juste niveau de sécurité retenu. Cela passe prioritairement par la définition et la mise en place au sein du CNRS d’une « Politique de Sécurité des Systèmes d’Information » (PSSI). La PSSI relève d’une vision stratégique de l’organisme et traduit un engagement fort de la direction générale. Elle s’inscrit nécessairement sur lelong terme. Elle est conforme aux dispositions législatives et réglementaires et cohérente avec les politiques et directives de niveau supérieur (ministérielles et interministérielles) ; elle se doit également d’être cohérente avec les politiques de sécurité des organismes partenaires. Elle se déclinera ensuite : • au niveau de l’organisme par un approfondissement du contexte (enjeux, menaces,besoins) et une explicitation des dispositions de mise en œuvre, au travers d’un Schéma Directeur de la SSI et/ou d’un plan d’action SSI • au niveau des unités, par la définition d’une PSSI d’unité tenant compte des particularités propres à chaque unité et, pour ce qui est des unités mixtes, intégrant les orientations des autres tutelles.
Schéma de déclinaison de la PSSI au sein du CNRS

Politiquenationale, orientations ministérielles Etat des lieux

Politique SSI
Politique et schémas directeurs des partenaires

Dispositions de mise en œuvre Schéma directeur, Projets
CAPSEC
Evaluation retour d’expérience

PSSI d’unités
Plans locaux de mise en oeuvre

Evaluation – retour d’expérience

(CAPSEC (Comment Adapter une Politique de Sécurité pour les Entités du CNRS) : méthodologied’analyse de risques permettant à chaque unité de conduire une analyse de ses risques et de formuler des recommandations adaptées au contexte de l’unité).

2

Partie I : Contexte et objectifs
1) Le contexte du CNRS
Du fait de ses missions et de son organisation, le CNRS présente de nombreuses spécificités par rapport à d’autres entités (ministères, établissements publics, entreprises). • LeCNRS est le principal organisme national de recherche avec 25 000 personnes directement rémunérées (dont 12 000 chercheurs) et un potentiel d’ensemble d’environ 60 000 personnes en englobant les personnels des unités mixtes. • La structure est très éclatée : les unités propres de recherche du CNRS ainsi que les unités mixtes représentent plus de 1300 laboratoires implantés sur plusieurs centaines…