Infos Inist

Data center / Système d’Information : retour sur l’audit sécurité commandé par le DSI

Le Département Système d’Information (DSI) de l’Inist a souhaité faire réaliser, par un cabinet extérieur, un audit de Sécurité de son Système d’Information (SSI). L’objectif de cette démarche, en droite ligne avec les recommandations du Responsable SSI du CNRS, était double : rassurer les usagers ou partenaires qui nous confient des données et/ou des services et établir un état des lieux de l’architecture et du niveau de sécurité du SI Inist avec un regard extérieur pour nourrir la réflexion, évaluer nos pratiques ou les risques et estimer le degré de sécurité attendu au regard des coûts générés au bénéfice final des usagers (internes et externes) de l’Inist.

Cet audit s’est focalisé autour de 4 axes :

1 Analyse de l’architecture du système d’information existant (état des lieux)

2 Tests d’intrusion interne du SI (c’est à dire depuis les locaux Inist en se connectant à notre réseau local

3 Tests d’intrusion externe du SI (c’est-à-dire à partir des sites et services inist accessibles depuis l’extérieur par Internet)

4 Social engineering (test de la vigilance du personnel INIST en matière de SSI)

La société Ernest & young chargée de l’audit a produit notamment un tableau de vulnérabilités qui permet aujourd’hui d’anticiper et planifier les actions prioritaires à mettre en oeuvre selon des critères établis avec un ratio niveau de risque/gravité et réalisation/coût (RH ou financier).

A noter que :

  • ​les tests d’intrusion sur la vigilance et les bonnes pratiques internes révèlent que nous sommes assez bien sensibilisés aux risques et adoptons des comportements adaptés face au « phishing ou hameçonnage » (mails non identifiés incitant à ouvrir un fichier attaché ou cliquer sur un lien) .
  • un effort pourra être porté sur la documentation et ou procédure en faveur de la transmission de connaissances au sein des services.
  • une faiblesse globale de la robustesse des mots de passe.

Rappelons que pour l’Inist, Michel Villaume (DSI) est Correspondant Sécurité du Système d’Information (CSSI), il est donc impliqué et référant auprès du CNRS en matière de SSI il est en lien direct avec la DR et le RSSI du CNRS pour suivre l’exécution des opérations en cours et pour faire respecter la conformité de l’Inist aux préconisations et ainsi « rassurer » les utilisateurs actuels et potentiels de nos services.

Une action phare en lien avec l’audit consistera à remplacer, au terme de 2019, le firewall (système protégeant notre réseau et nos ordinateurs) installé depuis presque 7 ans, action validée par le dialogue de gestion de novembre 2018. Ainsi l’élément clé des entrées de flux sera sécurisé avec le niveau requis selon les normes actuelles.

Si le sujet vous intéresse une conférence est organisée par l’association NB-TECH et l’Inria sur la CyberSécurité du CLUSIR EST(association dont le but est de mener des actions « dans le respect du code d’éthique des métiers de la sécurité des SI défini par le CLUSIF. »)