Guide du chercheur de l'Université de Strasbourg

À l'Université de Strasbourg, la Sécurité des Systèmes d'information (SSI) est l'affaire de chacun. Les informaticiens (qu'ils appartiennent à la Direction du numérique ou non) sont généralement en charge de la mise en œuvre technique de la politique de sécurité des systèmes d'information (PSSI) de l'établissement, elle-même basée sur la politique de sécurité des systèmes d'information de l'Etat (PSSIE). Différentes mesures de sécurité (chiffrage, sauvegarde des données, etc.) sont mises en place et leur application est vérifiée. Toute question relative à la SSI ou à la sécurisation des données personnelles ou professionnelles peut être adressée au RSSI via le service support de l'université :

- formulaire en ligne

- courrier électronique

- téléphone : 03 68 85 43 21 (ou 54321 depuis un poste interne)

La Politique de sécurité des systèmes d'information (PSSI) représente un ensemble de règles de sécurité organisationnelles et techniques à caractère stratégique. La Politique de sécurité des systèmes d'informations de l'Etat (PSSIE) s'applique, depuis 2014, à tous les systèmes d'information des administrations d'Etat.

L'Université de Strasbourg met en œuvre cette politique qui a pour objectif :

• la disponibilité, l'intégrité et la confidentialité de l'information et des moyens informatiques de communication ;

• la confidentialité des informations personnelles des étudiants, du personnel de l'université et de tout partenaire de l'université.

Tout utilisateur du système d'information (personnels, étudiants, enseignants, chercheurs, extérieurs) est concerné par la PSSI de l'établissement. La mise en place de la Charte des bons usages des moyens numériques, qui a pour but la sensibilisation des membres aux enjeux de la SSI, fait partie de la PSSI de l'établissement. La charte est signée lors de l'activation du compte ENT.

Le Responsable Sécurité des systèmes d'information (RSSI) est l'interlocuteur privilégié lors de tout incident relatif au système d'information. Il peut également être contacté pour toute question relative à la sécurisation des données. Le non-respect de la propriété intellectuelle, l'infection par des virus, ou l'hameçonnage (ou « phishing ») sont des exemples d'incidents. Le RSSI peut intervenir à différents niveaux : il conseille, assiste, informe et forme la communauté universitaire aux risques du système d'information. Il a la capacité d'agir sur tout ou partie du système d'information dont il a la responsabilité, et de proposer des évolutions à la Politique de sécurité des systèmes d'information (PSSI) lorsqu'elles s'avèrent nécessaires.

Le RSSI est joignable via le service support de l'université, les demandes peuvent être formulées par :

- formulaire en ligne

- courrier électronique

- téléphone : 03 68 85 43 21 (ou 54321 depuis un poste interne)

Le Correspondant informatique et libertés (CIL) veille au respect des obligations dictées par la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Il est le représentant local de la Commission nationale informatique et libertés (CNIL).

Le CIL doit être contacté avant tout nouveau traitement de données à caractère personnel.

Sont considérés comme données à caractère personnel :

• des éléments permettant l'identification directe (nom, prénom, photo, etc.) ou indirecte (numéro de sécurité sociale, empreinte digitale, etc.) d'une personne,

• des recoupements d'informations anonymes (adresse IP, numéro de téléphone, pseudonyme, etc.).

Le CIL tient à jour le registre de recensement des traitements de données à caractère personnel de l'université.

Le CIL traite les déclarations normales et les normes simplifiées. En revanche, les autorisations et les demandes d'avis sont transmises par le CIL à la CNIL. Dans ces cas, le délai de réponse de la CNIL est de 2 mois et le traitement ne peut débuter avant réception d'un avis favorable de celle-ci. Plus d'information sur les différents types de déclarations pouvant être formulées se trouvent sur le site de la CNIL.

Le CIL doit être contacté au préalable, lors de :

• manipulation de données à caractère personnel : adresse IP, nom, prénom, n°INE, adresse de messagerie, adresse postale, etc. ;

• réalisation d'un vote électronique, d'enquêtes ;

• tenue de listes de contacts pour un colloque scientifique ;

• mise en place d'un système de biométrie ou de vidéo-surveillance ;

• création d'un site web, blog ;

• diffusion de résultats d'examen et de notes sur internet ;

• utilisation de photographies de personnes ;

• étude sur les origines des étudiants et les pratiques discriminatoires ;

• communication à des tiers non autorisés d'informations relatives aux personnels et aux étudiants ;

• transfert de données à destination d'un état non membre de la Communauté Européenne ;

• et, pour les traitements inscrits au registre des traitements de l'Université de Strasbourg, en cas de modifications sur :

o les données

o les détails de la finalité du traitement

o les destinataires

o les catégories de personnes concernées

o les interconnexions de traitements, etc.

Pour plus d'informations sur le rôle et les missions du CIL, voir la page dédiée sur le site des Services numériques de l'université.

Contacter le CIL : cil@unistra.fr

Qui sont les CERT ?

Les CERT (Computer emergency response teams, « Équipe de réponse aux urgences informatiques ») forment un réseau mondial de lutte contre les attaques du système d'information. L'Etat français a mis en place son propre CERT en 2000, actuellement nommé CERT-FR. Le CERT-FR soutient la gestion des incidents impliquant des établissements d'Etat et complète les actions menées par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Il fait également partie du FIRST (Forum of incident response and security teams, « Forum des équipes de réponse aux incidents et de sécurité ») et contribue aux actions du TF-CSIRT (Task force on Computer security incident response teams, « Groupe de travail sur les équipes de réponse aux incidents informatiques »), coordinateur des CERT en Europe.

Le réseau Osiris

Le réseau Osiris, relié au réseau national Renater, a été créé en 1989 pour les établissements d'enseignement supérieur et de recherche strasbourgeois. Le réseau héberge plus de 60.000 machines et serveurs de la communauté strasbourgeoise sur un périmètre de 17 établissements partenaires. La Direction Informatique de l'Université de Strasbourg opère le réseau pour tous les partenaires : la Bibliothèque nationale universitaire de Strasbourg (BNU), le Conservatoire national des arts et métiers (CNAM), le Centre national de la recherche scientifique (CNRS), le Centre régional des œuvres universitaires et scolaires (CROUS), l'Etablissement français du sang (EFS), l'Ecole nationale du génie de l'eau et de l'environnement (ENGEES), l'Ecole nationale supérieure d'architecture de Strasbourg (ENSAS), la Fondation Kastler, les Hôpitaux universitaires de Strasbourg (HUS), l'Institut hospitalo-universitaire de Strasbourg (IHU), l'Institut national des sciences appliquées (INSA), l'Institut national de la santé et de la recherche médicale (INSERM), l'Institut de recherche contre les cancers de l'appareil digestif (IRCAD), l'International space university (ISU), le Rectorat, Silabe Adueis, et le Centre régional de lutte contre le cancer Paul Strauss.

Que fait le CERT Osiris ?

Le CERT Osiris est l'un des CSIRT (Computer security incident response team) français et regroupe les experts SSI de l'Université de Strasbourg et du CNRS Alsace. Il est placé sous la direction des RSSI des deux établissements.

Les services proposés par le CERT Osiris incluent le traitement d'incidents relatifs à la sécurité, la formation et la sensibilisation de la communauté universitaire aux enjeux de la SSI et la diffusion d'informations sur la sécurité. Selon les problématiques, le CERT Osiris peut être renforcé par l'appui d'experts. Il se charge également d'organiser et de maintenir les informations du réseau des correspondants sécurité des systèmes d'information (CSSI), provenant de différentes composantes. Le réseau CSSI tient des réunions une fois par an afin d'échanger sur les dernières informations, les projets en cours et les formations.