N17 Amue Collection Numerique

la collection
numérique
de l 'Ag e n ce d e m u t u a l i s a t i o n
d e s uni ve rs i té s et ét a b l i s s em en t s
d' e ns e i g n e m en t s u p éri eu r o u
de re ch e rch e et d e s u p p o r t
à l ' e ns e i g n em en t s u p éri eu r
ou à l a rech erch e
021 Sé cu rité
re 2
octo
b d e s Systè m e s
d ’ informa t ion
#17
la co llec tio n n u m é ro 17
nu m ériq u e o c to bre 2021
Directeur général de la
publication • Stéphane Athanase
Tous con cern és par
Rédacteurs en chef •
la sécurité num érique
Bertrand Mocquet, David
Rongeat et Philippe Bader ↘ DES CIBLES FORT PROBABLES POUR LES PIRATES
Secrétaire de rédaction • La com’ Dans le monde entier, les universités et établissements sont des cibles
Graphisme & mise en page • « intéressantes » pour les pirates. Et pour cause, elles concentrent
@yay.graphisme en un seul point, des données personnelles sensibles en nombre (les
usagers comme les membres) mais aussi des données de recherche
Photographie couverture •
potentiellement stratégiques économiquement (brevet, jeu de don-
by Pete Linforth
nées, …) : il y a peu d’organisations publiques qui concentrent autant
ISSN 2650-8494 d’intérêt en termes de marchandisations des données collectées. Leur
La collection numérique probabilité d’attaques est donc forte, et quotidiennement. Vivre un
est sous Licence Creative piratage, c’est souvent l’occasion d’améliorer les pratiques numé-
Commons CC BY-NC-SA 4.0
riques de l’organisation, de repenser les mécanismes, non pas comme
Ont collaboré comme auteur(e) un échec, mais comme une mise en évidence de pistes d’amélioration.
à ce numéro • Bertrand Mocquet,
Guy Mélançon, Vincent Toubiana, ↘ DES VULNÉRABILITÉS
Michel Chabanne, Philippe Bader, AU NIVEAU DU SYSTÈME D’INFORMATION
Cédric Servaes, David Rongeat,
Jérôme Notin, Héloïse Faivre, Comme vous le lirez dans la plupart des articles, les risques de vul-
Victor Larger, Marion Lehmans, nérabilité du Système d’Information (SI) ne sont pas uniquement liés
Guillaume Pourquié, Frantz à des technologies pas ou peu entretenues (accès au matériel ou
Gourdet, Philippe Werle, Damien
mise à jour logiciel), ce sont aussi des pratiques et usages d’employés
Sauveron, Isabelle Rigbourg
ou d’usagers qui permettent ce type d’intrusion illégale. Par inadver-
Remerciements spéciaux tance, par manque de formation ou par négligence, il peut arriver
pour le réseautage • que l’une des portes du SI (login ; Mot de Passe) s’ouvre en un seul
Philippe Bader, Cedric Servaes point du système d’information, par exemple l’ouverture d’une pièce
et Frantz Gourdet
jointe associée à un mail.
↘ UN IMPACT SUR L’ORGANISATION

On l’a vu dans le cas des Ransomwares, la perte des données produites
Editeur • Amue • 103 boulevard par l’établissement, qu’elles soient scientifiques ou administratives,
Saint-Michel • 75005 Paris met l’activité de l’établissement dans une situation proche de la para-
lysie pour plusieurs jours voire semaines. C’est un sujet stratégique
Fabriqué en France pour l’organisation que de mieux appréhender la sécurité numérique.
Toutes les images et photos
de ce numéro sont © et libres ↘ LE RISQUE DE SÉCURITÉ
NUMÉRIQUE ET SON TRAITEMENT
Sé c urité d es Systèm e s d ’i nfo rm a ti o n
de droit, droits réservés

autorisation d’usage spécifique
à cette publication. Probabilité, vulnérabilité et impact sont les trois composants d’un
risque en sécurité du système d’information (SSI) (CNRS, 2014). Trai-
ter comme un risque pour l’organisation devient un autre paradigme
de résolution, celui de rendre robuste son organisation en évaluant
à tél le risque : c’est bien de la stratégie de l’établissement ou de l’univer-
écha sité dont on parle.
rger
!
Ce numéro propose de regarder ce risque droit dans les yeux, en faisant
tous les numéros de
ainsi la part belle à la vulgarisation des termes employés, à des recom-
la collection sont en mandations d’institutions mais aussi à des témoignages de praticiens
telechargement Amue. luttant au quotidien pour éviter le pire ou réparer les destructions.
la collection numérique, ici →
Au fait, c’est quand la dernière fois que vous avez changé vos mots
de passe ?
prochain numéro
de la collection numérique
Bonne lecture.
(Décembre 2021) :
Approche des organisations
Bertrand Mocquet,
universitaires par le prisme expert numérique, Amue
de la donnée - Saison 2. Vos
↓ propositions de témoignage CNRS. (2014). Guide de Bonnes Pratiques
et retours d’expériences pour les Administrateurs Systèmes et Réseaux. Repéré ici.
dès maintenant à ISO/CEI 27002. (2021). Dans Wikipédia.
2 [email protected] Nunès, P. E. (2021). Les universités, cible de choix des hackeurs. 3
La Matinale du Monde. Repéré dans Europresse
auteur
Guy Melançon,
vue vice-président
en charge
d’ensemble du numérique,
Une « organisation SSI » dans l’établissement reposera typique-
ment sur le RSSI, le FSD (Fonctionnaire de Sécurité Défense),
Université
l’AQSSI (Autorité qualifiée pour la SSI) et le DPO (Délégué à la
de Bordeaux
Protection des Données) et fera intervenir des acteurs des diffé-
rents niveaux structurels de l’établissement. Dans une telle organi-
sation, en étroite relation avec le VP Numé-
La question
La sécurité
rique, le responsable politique sécurité SI
mène une feuille de route conduisant à la
construction de solutions et infrastructures de la sécurité
des SI vue depuis
fiables et sécurisés en adéquation avec les
enjeux de l’établissement. Le choix de la n’est pas qu’une
bonne organisation implique de pouvoir
affaire reléguée
la vice-présidence
clairement dessiner le champ du numérique
dans l’établissement et les rôles des diffé-
rents acteurs politiques dans cette arène.
aux spécialistes,
elle doit être
en charge
Pour nombre d’usagers, sécurité informa-
tique rime souvent avec contraintes, alors comprise,
que l’on doit y voir des mesures pour pro-
acceptée et
du numérique téger nos libertés. Ce sont bien les libertés
et droits fondamentaux des citoyens que
vise à protéger le RGPD (Règlement Général
intégrée dans
sur la Protection des Données), alors qu’il les pratiques de
Affaire de tous en établissem ent , peut être ressenti comme une limitation de
tous les usagers
la sécurité des SI requier t la liberté académique. Ce constat souligne
l’importance de sensibiliser nos commu-
vigilan ce et organisation. nautés aux questions de sécurité, comme chacun l’est dans d’autres
A l’université de Bordeaux, domaines : les notions de sécurité routière nous sont maintenant
coutumières, et nos comportements de conducteurs se plient globa-
c ’est un e priorité. lement aux exigences de sécurité.
Il en va de même avec la sécurité informatique : monde physique
Nous avons tous en tête l’image d’un virus informatique qui vient perturber le bon fonc- Nous avons et monde numérique se fondent, l’usager navigue dans un univers
tionnement d’une application neutralisant un processus financier ou d’une « attaque » tous en tête informationnel où son identité numérique tend à supplanter son
bloquant le réseau de communication, par exemple. La notion de sécurité renvoie en effet l’image d’un virus
identité physique. Ainsi, le développement d’une pleine conscience

spontanément à l’idée d’une menace externe qui empêcherait le bon fonctionnement d’un informatique et d’une maîtrise du risque cyber par les usagers, typiquement ins-
établissement. qui vient crite à la charte des usages du système d’information, doit être l’un
Ce risque « cyber » doit être pris très au sérieux par nos établissements. Selon l’ANSSI (Agence perturber le bon des piliers de la politique de sécurité du système d’information.
Nationale de la Sécurité des Systèmes d’Information), la déstabilisation, l’espionnage, le fonctionnement
Sur la trajectoire suivie par la plupart de nos établissements, la gou-
sabotage voire la cybercriminalité constituent les principales menaces dont il faut se prémunir. d’une application
vernance par la donnée implique de pouvoir en garantir la fiabilité et
L’ANSSI, connue des DSI et RSSI (Responsable de la Sécurité des Systèmes d'Informa- neutralisant
la disponibilité, et est donc solidaire d’une politique de sécurité du
tion) des établissements, trace en quelque sorte le cap à suivre pour amener nos universités à un processus SI. Cela pose par conséquent ses exigences en matière de sécurité à
conduire une réelle politique de sécurité et à déployer les moyens qui la garantissent1. financier ou tous les niveaux évoqués ici :
d’une « attaque »
Cet impératif sécuritaire appelle le déploiement de moyens parfois importants, et une trans- bloquant →Sur nos infrastructures informatiques,
formation de l’organisation de manière à accorder processus internes et sécurité. Au-delà des
infrastructures et dispositifs sécuritaires se pose la question d’un positionnement politique
le réseau de
communication
→Par une organisation portant les enjeux de sécurité du SI au
propre à l’élaboration d’une politique de sécurité et à son opérationnalisation. La nécessaire niveau politique,
priorisation de la mise en sécurité conduit naturellement à aborder la sécurité informatique
par une évaluation du risque, qui amène fatalement à arbitrer sur nombre de questions.
→Par une réelle adhésion de tous les usagers à une charte de
bonnes pratiques.
Par conséquent, l’importance du sujet mérite éventuellement que les directions désignent
un membre de leur équipe dont la fonction est garante de cet objectif stratégique. Les Il appartient à notre communauté, et à chacun
liens de la sécurité numérique avec la sécurité au sens large (du campus, des personnes), de nous, de garantir la qualité et la sécurité de
↓ et avec celle de la protection des données personnelles méritent cette réflexion. Il peut 1 | https://www.ssi. notre environnement dont le numérique est une
être opportun et utile de nommer un vice-président ou un chargé de mission sécurité gouv.fr/administration/
bonnes-pratiques/
dimension constituante.
assurant le portage de la PSSI (Politiques de Sécurité des Systèmes d'Information) auprès
4 des acteurs et communautés. 5
auteur
Vincent Toubiana, responsable
du LINC (Laboratoire
enjeux d'innovation numérique de
et stratégie la CNIL) à la CNIL Commission
Nationale de l'Informatique
et des Libertés La seconde étape consiste à apprécier les risques engendrés
par chaque traitement :
→1● Identifier les impacts potentiels sur les droits et
Protection
libertés des personnes concernées en cas d’un événement
redouté tel que :
a. accès illégitime à des données,
des données b. modification non désirée de données,
personnelles,
c. disparition de données,
→2● Identifier les sources de risques avec une vision
assez large (attaquant externe ou interne, inondation, pro-
la CNIL vous
blème matériel)
→3● Identifier les menaces réalisables qui pourraient
accompagne
provoquer un des événements redoutés
→4● Déterminer les mesures existantes ou prévues qui
permettent de traiter chaque risque
Passa ge en revue →5● En tenant compte des mesures mise en place, esti- Af in d’aider les différents acteurs
mer la gravité et la vraisemblance des risques. à adresser les risques, la CNIL
des a c tions con crètes La troisième étape consiste à mettre en œuvre les mesures jugées
propose un guide de la sécurité
proposées par la CNIL appropriées à la fin de l’étape 2 et à contrôler leur bonne application.
des données personnelles listant
les mesures techniques et
en term es d’analyse Enfin la quatrième étape consiste à réaliser des audits de sécu- organisationnelles qui peuvent
des risques rité périodiques. Chaque audit devrait donner lieu à un plan d’action. être mises en place.
L’article 32 du Règlement Général sur la Protection des Données » (RGPD) précise que la
protection des données personnelles nécessite de prendre des « mesures techniques et Le laboratoire d'innovation
numérique de la CNIL (LINC)
organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Cet article fait implicitement référence à la gestion des risques qui permet de déterminer les Au sein de la DTI (Direction
précautions à prendre « au regard de la nature des données et des risques présentés par le des technologies et de
traitement, pour préserver la sécurité des données1» . l’innovation), LINC (Laboratoire
La gestion des risques permet ainsi une prise de décision objective et la détermination de d’Innovation Numérique de
mesures strictement nécessaires et adaptées au contexte. Il n’est cependant pas toujours la CNIL) est un dispositif : 1/
simple de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été de réflexion, d’information et
mis en œuvre. de partage sur les tendances
émergentes d’usage du
Afin d’accompagner les acteurs qui souhaitent se mettre en conformité, la CNIL met à dispo- numérique et des données ;
sition plusieurs ressources :
2/ de conduite de projets
→ Un outil « Privacy Impact Assesment » (PIA) qui peut être installé sur une machine ou d’expérimentation et de
déployé sur un serveur afin de vous guider dans l’analyse de risque. Cet outil permet un prototypage d’outils, de
recensement détaillé des risques et mesures à mettre en place services ou de concepts autour
→ Un guide en ligne listant les principales mesures de sécurité. des données.
L’analyse de risque se découpe en quatre étapes :

Tout d’abord, dans la première étape il est nécessaire de recenser les traitements de
données à caractère personnel, automatisés ou non, les données traitées et les supports 1 | Article 34 de la loi
↓ du 6 janvier 1978
sur lesquels elles reposent qu’il s’agisse des matériels (ex : serveurs, ordinateurs portables, modifiée, dite loi
disques durs), des logiciels (ex : système d’exploitation, logiciel métier), des canaux de Informatique
6 communication (ex : fibre optique, Wi-Fi, Internet) ou des supports papier (ex : document et Libertés 7
imprimé, photocopie).
↘ FORMATION AVEC LES UNIVERSITÉS

COMME PARTENAIRE ET CIBLE
auteur En parcourant le site web de l’institution, il est remarquable de
Récension du site web
enjeux par Bertrand Mocquet,
constater les interactions entre l’ANSSI et les universités dans le
domaine de la formation SSI.
et stratégie expert numérique
Amue Tout d’abord dans le cadre de la SecNumAca-
démie, « la formation en ligne sur la sécurité
informatique gratuite et ouverte à tous » pre-
nant la forme d’un MOOC « pour vous initier
à la cybersécurité, approfondir vos connais-
Entrez dans
sances, et ainsi agir efficacement sur la pro-
tection de vos outils numériques ».
Mais aussi dans la labellisation de formation
l’univers ANSSI
initiale en cybersécurité de l’enseignement
supérieur, le label SecNumedu. Ce « pro-
gramme de labellisation de formations ini-
tiales est ouvert à tout établissement d’en-
Un e occasion in espérée de découvrir seignement supérieur répondant à un des
la rich esse des ressources et publications critères ci-après :
mises à disposition par l’ANSSI ! → Les formations universitaires délivrant un grade de Licence ou Master. Sécurité
→ Les formations d’ingénieur dont le diplôme est reconnu et Plan de Relance
Créée par le décret n° 2009-834 du 7 juillet 2009, l’Agence natio- par la Commission des Titres d’Ingénieurs (CTI).
La sécurité des SI, appelée
nale de la sécurité des systèmes d’information (ANSSI) s’occupe « de
la sécurité des systèmes d’informations de l’État et une mission de
→ Les Mastères spécialisés reconnus par la Conférence ici cyber sécurité, a été
des Grandes Écoles (CGE). retenue dans le plan de
conseil et de soutien aux administrations et aux opérateurs d’impor-
tance vitale ». Elle contribue aussi « à la sécurité de la société de l’in- → Les certifications de niveau I et II inscrites au Répertoire relance comme un sujet
prioritaire. Un dispositif
formation, notamment en participant à la recherche et au dévelop- national des certifications professionnelles (RNCP).
de France Relance doté
pement des technologies de sécurité et à leur promotion. ».
Le processus de labellisation est géré par l’ANSSI qui tient à jour un de 136 Millions d’Euros
La Loi de programmation militaire promulguée le 19 décembre répertoire des formations labellisées. » conf iés à l’ANSSI dont vous
2013 a renforcé les missions de l’ANSSI : elle peut depuis cette date
Enfin, SecNumedu-FC, labellisation de formations continue en cyber- trouverez les détails ici
« imposer aux Opérateurs d'Importance Vitale (OIV) des mesures de ou dans ce communiqué
sécurité, dont « l’objectif de cette labellisation lancée à titre expéri-
sécurité et des contrôles de leurs systèmes d’information les plus cri- de presse de juin 2021.
mental est de disposer d’une liste des formations continues en sécu-
tiques. ». La mission Recherche des universités et établissements est
rité du numérique (formations courtes de quelques jours à quelques
dans le périmètre du renforcement de cette mission, mais ce n’est
semaines) » qui répondent à une charte et des critères. »
pas la seule : morceaux choisis.
↘ PROTECTION DU POTENTIEL ↘ UN SOUTIEN À LA POLITIQUE SSI

SCIENTIFIQUE ET TECHNIQUE DE LA NATION (PSSI) DES ÉTABLISSEMENTS
Depuis avril 2018, l’ANSSI propose un guide méthodologique pour les Les universités et établissements étant opérateurs pour le MESRI d’une
chercheurs et ceux qui travaillent pour la recherche répondant aux mission de service public, elles se doivent de suivre la PSSI de l’Etat.
« nombreuses vulnérabilités induites par une dépendance de plus en plus L’ANSSI fournit un outillage précieux pour la mise en place et le suivi de
grande aux systèmes d’informations ». Cette « protection contre l’espion- la PSSI, sous la forme d’un guide et des outils associés.
nage technologique est l’objectif premier du dispositif de protection du
Le guide PSSI a pour objectif de fournir un support aux responsables
potentiel scientifique et technique de la nation (PPST) », et elle se doit
SSI « pour élaborer une politique de sécurité du ou des systèmes d’in-
d’être mise en œuvre par tous les opérateurs et acteurs de la recherche,
formation (PSSI) au sein de leur organisme ».
notamment ceux qui travaillent dans les zones à régime restrictive (ZRR)
Il est décomposé en quatre sections :
Vous pourrez y retrouver :
→ Le contexte règlementaire pour les ZRR → l’introduction, ce présent document, permet de situer la place de
la PSSI dans le référentiel normatif de la SSI au sein de l’organisme et
→ Un rappel des règles d’hygiènes informatiques indispensables de préciser les bases de légitimité sur lesquelles elle s’appuie ; ↘ ET EN CAS D’INCIDENT
→ Quelles mesures de sécurisation des systèmes d’information → la méthodologie présente, de façon détaillée, la conduite de pro- Même si notre communauté n’aime pas
communes à toutes les zones à régime restrictif ? jet d’élaboration d’une PSSI, ainsi que des recommandations pour la trop en parler, plusieurs universités, éta-
↓ → Quelles mesures de sécurisation particulières construction des règles de sécurité ; blissements ou opérateurs de l’ESR ont
à chaque zone à régime restrictif ? → le référentiel de principes de sécurité ; subi une attaque plus ou moins paralysante
durant ces 5 dernières années. L’ANSSI pro-
8 → Qu’est-ce que la politique de sécurité → une liste de documents de références de la SSI (critères d’évaluation, pose un certain nombre de services pour
9
des systèmes d’information (PSSI) ? textes législatifs, normes, codes d’éthiques, notes complémentaires…). éluder la situation.
↘ QUELS RISQUES
POUR LES UNITÉS ?
Depuis le début des années 2010, l’État a
pris conscience de la nécessité de revoir
sa posture de maîtrise des risques pour la
recherche. Historiquement, la protection
du secret de la défense nationale,
témoignage qu’il s’agisse d’armement conventionnel ou
nucléaire, représentait le premier enjeu. Si
cet aspect reste important, trois
1
autres dimensions de risques ont été identi-
fiées comme pesant sur l’activité des unités :
→ l’atteinte aux intérêts économiques de la nation, considérable des moyens affectés à cette
visant la capacité à valoriser la recherche ; guerre. Au-delà des capacités d’attaque ou de
→ la prolifération des armes de destruction massive défense, ces États ont aussi agi au plan légis-
latif pour imposer des réglementations par-
(nucléaire, radiologique, biologique et chimique) et de leurs vecteurs :
fois trans nationales leur permettant en toute
→ le terrorisme, autant dirigé contre les unités que dans le détour- légalité d’avoir accès aux données étrangères
auteur nement de leurs activités et leurs savoirs et savoir-faire à cette fin. (on pense ici au CLOUD Act2 ou au FISA3 amé-
Michel ricains) réaffirmant leur puissance dans un
Il semble naturel de dire que le risque d’intelligence économique monde cyber aux contours flous.
Chabanne, existe dans la majorité des activités de recherche. Si les autres risques
RSSI, CNRS peuvent paraître plus éloignés du quotidien, il est par exemple utile Plus prosaïquement, la matérialisation effi-
d’évoquer l’existence dans les unités de biens « à double usage » cace de ces menaces modernes n’est pas
(équipements et savoir-faire susceptibles d’avoir une utilisation mieux illustrée que par l’omniprésence des
SSI dans
tant civile que militaire ou pouvant contribuer au développement, rançongiciels, traduction technique
↘ à la production, au maniement, au fonctionnement, à l'entretien, au de tous les objectifs que nous venons de
stockage, à la détection, à l'identification, à la dissémination d'armes décrire. Par un simple logiciel délivré par
les unités de
1 | Les phases de destruction massive) dont le risque induit est moins évident et courrier électronique ou introduit dans le SI
d’une attaque doit pourtant être considéré. en exploitant une vulnérabilité quelconque,
de type rançongiciel
le groupe d’attaquants :
recherche publique
↘ QUELLES MENACES ?
2 | Nombre d’incidents
de type rançongiciels → chiffre les données de sa cible, les ren-
traités par l’ANSSI Elles sont toujours plus diverses et plus avancées, en particulier dant indisponibles (arrêt de l’activité) ;
- un état des lieux

quand on s’intéresse au support le plus courant des données à pro-
en 2019
téger : les systèmes d’information des unités. Il est loin le temps où → exfiltre les données plus intéressantes
de jeunes pirates plus ou moins conscients des conséquences de (monétisation parallèle) ;
leurs actes s’introduisaient dans des SI par jeu ou par goût du défi. → demande une rançon pour restituer l’accès
Il existe des para des aux

Aujourd’hui, des groupes organisés liés aux organisations mafieuses aux données ou au SI (intérêt économique) ;
ou à certains États font du piratage une activité commerciale très
atta ques malveillantes, mais lucrative. Ils ont pour buts aussi bien l’exfiltration des données à des → menace de divulguer les données en
fins de revente, de discrédit (on pense par exemple à la divulgation cas de non-paiement (atteinte à l’image, aux
avant tout , il s’a git d’être tous inopportune de données du GIEC1) que la destruction ou l’arrêt pur intérêts de la cible).
a c teurs, car tous con cern és. et simple des SI cibles. Les conséquences peuvent être catastro-
phiques: pendant la crise du COVID, la mise en panne des SI de cer-
On est à la fois ébahis et horrifiés de la faci-
On passe en revue les causes tains hôpitaux a conduit au décès de patients.
lité de mise en œuvre de la menace et de la
portée des impacts possibles.
et les conséquen ces des m ena ces On ne peut ignorer la dimension géopolitique des attaques sur les SI.
Il existe des menaces plus pernicieuses
qui pèsent sur le cyberespa ce. Les Etats-Unis, la Russie et la Chine ont été les premiers à dévelop-
per une réelle stratégie de lutte dans le cyberespace avec une hausse
encore qui peuvent faire passer les unités
Le développement de la « société du savoir » est une réalité

quotidienne depuis plusieurs années. La recherche publique doit 1 | https://www.lemonde.fr/
faire face aux grands enjeux sociétaux que sont l’énergie durable, le-rechauffement-climatique/
article/2009/12/04/ 2
la conservation de notre environnement, le traitement et le-giec-enquete-sur-le-
la valorisation de l’information numérique, et bien évidemment piratage-de-courriels-d-un-
la santé publique dont la crise du COVID nous a rappelé la climatologue_1275997_1270066.
prépondérance. Il n’est plus de savoir qui ne prenne une forme html
↓ numérique, dans toutes les sciences. L’interdisciplinarité densif ie 2 | https://fr.wikipedia.org/wiki/

encore les échanges d’informations, encouragés par la dynamique CLOUD_Act
« open science ». Corollairement, le monde multipolaire aujourd’hui 3 | https://fr.wikipedia.org/
10 est aussi ultra compétitif et source de menaces toujours wiki/Foreign_Intelligence_ 11
plus nombreuses pour nos unités et nos chercheurs. Surveillance_Act
QUE FAIRE ?
de recherche du statut de victime à celui d’acteur malveillant. En pre-
nant le contrôle du SI de l’unité, le groupe d’attaquants restant alors
silencieux s’installe durablement, étend son emprise latéralement en Le temps de la sidération et
prenant le contrôle de systèmes adjacents à ceux initialement com-
promis et se tient prêt à tirer parti de ces systèmes « zombies » et
du découragement est révolu.
des énormes réseaux de l’ESR pour lancer des attaques en masse vers À tous les niveaux, nous sommes
d’autres cibles, incognito.
tous acteurs de la sécurité de
L’unité cible initiale se retrouve alors en position
d’éventuel accusé d’attaque, avec
nos Si et avons tous des leviers
les conséquences légales qu’on devine. et des impacts sur la protection
↘ « POURQUOI TANT DE HAINE ? » mettent une connaissance intime des activités du potentiel scientif ique et
Si les établissements de recherche sont aussi ciblés par les attaquants
de l’unité, parfois même une prévision de son
activité future (dialogue budgétaire…) ; technique de la Recherche.
depuis plusieurs années, les raisons de cet intérêt sont évidentes :
→ L’agrégation de données de nom- Simple utilisateur, je me dois d’être vigilant au quotidien dans mes
→ La maturité en sécurité des systèmes d’infor- breuses unités dans des systèmes d’informa- usages numériques. Je prends le plus grand soin de mes divers accès au
mation est significativement plus faible que dans les entreprises tion centraux au niveau des établissements SI (mots de passe, certificats…). Je ne mélange pas ma vie privée et mes
privées de taille équivalente, même si elle reste globalement un peu augmente, par effet de masse, l’intérêt pour activités professionnelles. Je sauvegarde mes données, je réalise ou fais
meilleure que dans les collectivités territoriales. Une cible vulnérable l’attaquant et donc la sensibilité résultante réaliser la mise à jour mensuelle des systèmes que j’utilise. J’avertis ma
est une cible de choix… du SI qui porte ces données ; hiérarchie et mon chargé de SSI d’unité en cas d’incident. Je redouble de
→ Les capacités de calcul disponibles, la dimension → Dans des nombreuses disciplines, les don- vigilance quand je suis hors de mon unité (mission, télétravail).
des réseaux ESR, les capacités de stockage font des SI des unités des nées à caractère personnel qui sont utilisées à Informaticien d’unité ou Chargé de SSI, j’ai constam-
espaces confortables voire luxueux pour les activités des attaquants. des fins scientifiques peuvent être détournées ment à l’esprit la nécessité de mettre à jour mes infrastructures et de
Des clusters aux grands calculateurs nationaux, jusqu’aux postes de tra- pour usurper des identités, procéder à un vérifier la présence de vulnérabilités. Je planifie mes activités liées à
vail eux-mêmes, toutes les ressources sont utiles pour les pirates qui ciblage commercial… On pense immédiatement la sécurité avec mon directeur d’unité. Je sauvegarde les données de
vont les utiliser à leurs propres fins (attaques distribuées, minage de aux sciences humaines et sociales et à leurs l’unité, et je propose à mes utilisateurs des outils qui respectent les
cryptomonnaies…) ou en revendre l’usage à d’autres ; nombreuses cohortes. Le rôle de la sécurité enjeux de protection des données (certification par l’ANSSI, insou-
→ L’exposition sur Internet de nos ressources informa-
des SI dans la protection de ces données rejoint
alors la mission du délégué à la protection des
mission à des réglementations étrangères, opération par des tiers
de confiance…).
tiques est (souvent trop) large, augmentant la surface d’attaque
données.
disponible pour les pirates. L’élargissement du travail à distance Directeur/Directrice d’unité, je garde à l’esprit que la SSI
a provoqué une hausse de cette exposition, qu’il nous faut mieux Quelles sont les cibles prioritaires des atta- est un enjeu important de l’ensemble des projets de mon unité,
contrôler alors que ces pratiques vont s’installer dans la durée ; quants ? On constate aujourd’hui un tro- qu’elle doit être pensée en amont et pas en aval de la conduite du
→ La relative faiblesse des moyens humains affec- pisme évident vers le domaine de la santé, à
la fois par son actualité brûlante mais aussi
projet, et que je dois affecter les moyens nécessaires à ses missions.
Je suis le responsable de la sécurité de l’unité, et à ce titre, je dois
tés à la gestion des ressources engendre une obsolescence technique
par sa vulnérabilité chronique. De nombreux évaluer la sensibilité des données que je détiens afin de protéger les
et un retard de mise à jour qui augmente le nombre des vulnérabili-
laboratoires privés ont eu à subir douloureu- plus sensibles. Dans toutes ces tâches, je m’appuie sur un chargé de
tés disponibles pour l’attaquant et facilite son entrée ;

sement les conséquences de ces attaques SSI que je désigne, et je m’entoure des compétences nécessaires au
→ Enfin, les données produites et manipulées par nos unités ont récentes4. Cependant, la vision quotidienne sein d’un comité de pilotage.
des valeurs immenses ! des incidents de sécurité SI montre sur le
terrain qu’il n’y a pas réellement de cible Au niveau de nos établissements, et en particulier dans
Il est nécessaire de prendre un peu de recul sur les données exis- privilégiée et que la diversité des objectifs le contexte si particulier des unités mixtes de recherche, la diversité
tantes dans les SI des unités afin d’en mieux comprendre l’intérêt poursuivis élargit la portée des menaces à des intervenants dans la maîtrise d’œuvre des SI rend indispensable
pour l’attaquant. Leur revente ou leur cession à des tiers concur- toutes les unités. un dialogue permanent sur la SSI. Comment gérer la sécurité du SI
rents, étatiques ou privés, représente un bénéfice considérable com- quand le réseau est géré l’université, les serveurs gérés par l’unité et
paré à l’effort nécessaire pour les obtenir. Enfin, si les conséquences de ces attaques des logiciels fournis par des tiers ? Cela commence par la recon-
→ Les données brutes, la description des savoir-faire et les résultats aux SI sont visibles par leurs effets directs
sur ces SI eux-mêmes, il ne faut absolument
naissance par tous de la réalité des risques et des
menaces, et de l’intérêt commun de la protec-
avant publication constituent évidemment le premier centre d’intérêt ; pas oublier les conséquences humaines tion. Une fois cette communauté de vue acquise, l’identification
→ Les fonctions de soutien aux activités (achat, budget, comptabilité, indirectes. Au-delà des coûts générés pour
la gestion des conséquences, la perturba-
des ressources et données sensibles en commun, et une répartition
ressources humaines, contractualisation/projets, missions…) repré- des tâches pertinente, dans le cadre d’un plan pluriannuel de sécu-
sentent une masse de métadonnées dont l’analyse et la corrélation per- tion d’un SI ou la divulgation de données risation semble la meilleure manière d’inscrire dans la durée une
portent des risques humains pouvant aller démarche d’amélioration continue de la SSI.
jusqu’au risque vital pour les personnes
4 | Pierre Fabre | https://www.lemondeinformatique.fr/actualites/lire-pierre- La chaîne fonctionnelle humaine en SSI dans la com-
concernées. Cela se conçoit simplement
fabre-revil-a-la-manoeuvre-25-m$-de-rancon-demandes-82571.html,
pour un patient d’un hôpital victime de munauté ESR (FSSI des tutelles, Fonctionnaires Sécurité et Défense
↓
Ceva | https://business.lesechos.fr/entrepreneurs/numerique- cyberattaque, mais que dire d’un opposant et RSSI d’établissements, CSSI en unité) est forte, organisée et
cybersecurite/0610998864424-le-patron-du-laboratoire-ceva-raconte-la- volontaire. Elle est le bras armé de la gouvernance qui doit s’ap-
politique interviewé par un chercheur en
cyberattaque-qui-a-paralyse-son-eti-343905.php,
sciences humaines dont les propos et les puyer sur elle. Les membres doivent être reconnus, soutenus et
mais aussi AP-HP | https://www.lexpress.fr/actualite/societe/vol-en-ligne-a-l-ap- informations personnelles seraient rendues valorisés dans leurs difficiles actions. Qu’elle soit ici remerciée de
12 hp-ce-que-font-les-pirates-de-vos-donnees-medicales_2158573.html, 13
disponibles pour ses oppresseurs ? son travail quotidien !
globale en cohérence avec la politique de

l'établissement et dans un cycle d'amélio-
ration continue. Adopter une PSSI néces-
site de faire des choix stratégiques concer-
enjeux nant notamment les enjeux à prendre en
et stratégie compte, les besoins et objectifs de sécurité,
les moyens humains et financiers pouvant
y être affectés et les risques résiduels que l'établissement décide Cybermoi/s 2021 :
d'accepter. La PSSI propose des mesures organisationnelles et tech-
se protéger grâce
niques pour atteindre des objectifs de sécurité cibles.
à des mots de passe
La PSSI s'appuie pour son application et sa révision périodique sur un sécurisés
1 Système de Management de la Sécurité de l'Information (SMSI). Ce
Et si nous prof itions
SMSI tire ses bases de la norme ISO 27001 (Technologies de l'informa-
d’octobre pour suivre
tion — Techniques de sécurité — Systèmes de management de la sécu-
l’évènement Cybermoi/s
rité de l'information — Exigences à voir ici et les normes suivantes) et
de l’ANSSI sur les mots de
auteur fonctionne sur le modèle PDCA (Planifier, Déployer, Contrôler, Agir/
passes sécurisés ? Toutes
Philippe Améliorer). Il est décrit dans le document Politique de Management
les informations ici →
Bader, RSSI, de la Sécurité de l'Information (PMSI) qui précise notamment l'organi-
Amue sation des instances de pilotage et des acteurs SSI.
RS SI, PSS I ,
L'objectif à terme est de gérer la sécurité comme étant un processus
à part entière. Le RSSI a un objectif de sensibiliser et de convaincre
↘ la direction dans la bonne gestion de la SSI par les risques, il effectue
AQSS I… E t S I
une étude du contexte de l’établissement, afin d'adapter le docu-
1 | Photo by Charles ment de PSSI. Il prend comme guide, la partie relative à l'étude du
Deluvio on Unsplash contexte dans les documents de gestion d'analyse de risque notam-
on c la r i f i a i t
ment le guide d'entretien. Il adapte la politique de sécurité du sys-
tème d'information en sélectionnant les règles à mettre en place et
s’adapte au contexte de l’établissement.
le s c h os es ? La PSSIE (Politique de Sécurité du Système d'Information de l’Etat)

fixe les règles de protection applicables à son SI. Elle est essentielle
dans les actions pour faire face aux menaces en mesurant les risques
et limiter au maximum les tentatives d’exfiltrations de données sen-
C ’est complexe, ca dré, sibles, l’atteinte à la vie privée des usagers et d’éviter les tentatives
protégé… et on compren d d’intrusion sur le système d’information.
pourquoi la sécurité
des SI est si fon dam entale. Sécurité et ouverture du code
Explication de texte. Certains mettent Sécurité et Open Source en

opposition, mais il apparait de plus en plus évident
que le degré de sécurisation des solutions Open Source
↘ POURQUOI UN RSSI ? leur apporte un grand avantage.
Chaque établissement d’enseignement supérieur est invité à mettre en place une chaîne Vous pouvez relire la collection numérique N°13
fonctionnelle de la SSI (Sécurité Systèmes d’Information). Le sommet de cette chaîne com- (février 2021) « Vive le numérique Libre ! » et notamment
prend l’AQSSI (Autorité Qualifiée de Sécurité des Systèmes d’Information), le Directeur et le les parties qui abordent avec conviction ce sujet
RSSI (Responsable de la SSI) et si possible un suppléant. Il est préconisé de consolider ce socle de sécurité : l’édito de M. Eric Bothorel ou l’article
par un réseau interne de correspondants. A l’Amue, nous avons un Consultant technique
de l’association des Vp Num, Page 11.
sécurité dédié aux aspects des projets,travaillant en lien avec le RSSI.
Egalement l’ANSSI qui encourage via cet engagement
Le RSSI et son suppléant sont désignés par l’AQSSI qui leur remet une « lettre de mission »
à investir dans l’open source pour la sécurité de nos
explicitant leurs attributions. Ils réfèrent directement à l’AQSSI pour les questions formelles
SI. Enf in cette annonce récente de l’ouverture, en
et les dossiers « sensibles ». Leur positionnement dans la chaîne fonctionnelle de la SSI, les
novembre, du code de France Connect (voir cet article)
conduit à avoir différents contacts afin d’échanger sur la sécurité et les problèmes rencon-
trés. Un processus de désignation complexe permet de garantir le bon fonctionnement des
échanges avec les différentes institutions comme l’ANSSI, RENATER, le CERT, etc.
↓
↘ POURQUOI UNE PSSI ET QUID DE LA PSSIE?
La PSSI (Politique Sécurité Systèmes d’Informations) définit un cadre pour gérer la sécu-
14 15
rité des systèmes d'information. L'élaboration d'une PSSI s'inscrit dans une démarche
→Intégration de la sécurité dans les relations avec les partenaires et sous-traitants

Pour les produits en offre de service, l’Amue s’est conformée à la législation en effectuant une
homologation de sécurité type RGS pour les produits SIHAM-PMS et CAPLAB.
vue Ainsi, une commission d’homologation composée de l’AQSSI (Autorité Qualifié en SSI) de
d’ensemble l’Amue, Stéphane Athanase, notre directeur, et les RSSI représentants des établissements
utilisateurs se réunit régulièrement :
1 →Le service SIHAM-PMS a été homologué tous les 3 ans depuis sa mise en production en
mars 2015.
→Le produit CAPLAB, étant dans un processus de construction, a obtenu des homologa-
auteur tions dites « provisoires » depuis janvier 2019 (phase pilote).
Cédric Servaes, Pour ces homologations, l’Amue effectue différents audits (tests d’intrusion, audit de code
Agence de basé sur l’OWASP, audit d’architecture) en s’appuyant sur un PASSI (Prestataire d’Audit SSI)
Mutualisation certifié par l’ANSSI.
des Universités
et Établissements, ↘ UNE MÉTHODOLOGIE DE SÉCURITÉ
Amue Afin que les équipes puissent mettre en œuvre le juste niveau de sécurité d’une façon exhaus-
tive sur leur projet, en conformité avec les exigences règlementaires (PSSIE, RGS, PPST), une
À l’Amue,
méthodologie a été élaborée.
↘ Cette méthodologie d'intégration de la sécurité dans les projets a été
la sécurité
développée depuis 2016 à partir des documents ANSSI. Les travaux
1 | Image par VIN JD Ransomware As A Service
de Pixabay ont permis de produire un kit méthodologie (guides, fiche d'activi-
Les Ransomware, rançongiciels tés, outils, modèles) dont des recommandations d'organisation, des
est une priorité

2 | Photo by Jason
en Français, sont des logiciels supports de formation EBIOS, des modèles de documents (PAS, Ana-
Leung on Unsplash
malveillants qui ont pour but de lyse de risques, comitologie, etc).
prendre en otage des ordinateurs
Une adaptation à l'agilité a été faite avec le projet CAPLAB en
ou données d’une personne ou
2018/2019, basée sur le document ANSSI en intégrant les notions de
Stratégie, h om ologation d’une entreprise, souvent en les
cryptant, et de demander une
sprints, abuser story (user story particulier à la sécurité), etc.
et protec tion des donn ées rançon pour les « libérer ». De plus, une veille des alertes de sécurité sur les composants des
sont les bases d e la démarch e Particuliers, entreprises,
solutions Amue est faite constamment depuis 2016, avec une infor-
mation aux établissements si besoin.
sécurité à l’Agen ce, universités, personne n’est
complétement à l’abri de ces ↘ PROTECTION DES DONNÉES
qui mutualise au quotidien attaques qui prennent de plus
En complément des actions de cyber sécurité, un audit complet sur
avec ses a dh érents en plus d’ampleur.
la protection des données a été réalisé en 2020 sur tous les

Aussi incroyable que cela puisse produits Amue (les 13 offres).
Depuis 2016, l’Amue a entrepris une démarche d’intégration de la sécurité dans l’ensemble paraitre, il existe désormais des
de ses projets. Une méthodologie spécifique, indexée sur le cycle de vie des projets a été offres de Ransomware As A Pour certaines offres Amue, cet audit a amené à la réalisation d’un PIA.
définie. Elle est adaptée à l’environnement de développement des offres de l’Amue (cycle en Service (RAAS). Basé sur le même De manière générale, les plans d’actions définis suite aux audits
V, cycle agile, co-construction). principe que les autres locations de et analyse de risques sont revus régulièrement avec chaque équipe.
services logiciels (SAAS, Software
↘ STRATÉGIE As A Service), des pirates peuvent
Le constat a été fait que, bien qu’il y ait déjà de nombreuses mesures de sécurité en place louer facilement et à vil prix, des
dans les produits de l’Amue, une gouvernance spécif ique et une rationalisa- Rançomware et se payer des 2
tion des processus devenaient nécessaires. services additionnels : suivi détaillé
et tableau de bord des attaques,
Concrètement pour nos adhérents, la mise en œuvre de la sécurité s’est matérialisée sous assistance client pour que les
la forme de la réalisation d’un Dossier de Sécurité pour nos produits proposés en mode victimes puissent payer, service
« On-Premise ».
de paiement,…
Ce dossier atteste de cette prise en compte exhaustive de la sécurité. Les adhérents peuvent, Cette facilité d’accès aux
à leur tour, utiliser ce Dossier de Sécurité pour compléter leur dossier d’homologation de
RansomWare accroit les risques
sécurité dans leur contexte (infrastructure, exploitation).
de ce type d’attaques.
Afin de réaliser ce Dossier de Sécurité, chaque équipe projet a abordé les points suivants : Pour aller plus loin et voir
↓
des parades, ces articles, sources
→Réalisation d’une analyse de risques basée sur la méthode EBIOS de cet encart, ici et là.
16 →Prise en compte des menaces malveillantes et accidentelles et les normes de référence 17
à des fins d’exhaustivité de la démarche
Un Mooc sur la sécurité des SI

L’ANSSI propose un Mooc sur la SSI.
Il est composé en 4 modules :
• Panorama de la SSI
• Sécurité de l’authentif ication
vue • Sécurité sur Internet
d’ensemble • Sécurité du poste de travail ↘ LES USAGERS
et nomadisme Toute la technicité et le travail des experts en
Ce Mooc gratuit permet de s’initier sécurité des SI ne peut fonctionner qu’à condi-
à la cybersécurité, approfondir tion de sensibiliser l’ensemble des usagers
vos connaissances, et ainsi agir aux problématiques de sécurité des SI. Ils en
eff icacement sur la protection sont acteurs. Il convient de former et d’in-
1 de vos outils numériques. Son suivi former régulièrement les usagers du SI des
intégral permet d’obtenir risques de sécurités, des bonnes pratiques en
une attestation de réussite. la matière et de responsabiliser chacun sur
À faire de toute urgence ici → ce sujet. L’aspect humain est crucial dans une
auteur
David politique de sécurité, requérant la sensibili-
Rongeat, sation régulière des usagers.
responsable Par ailleurs, les usagers s’attendent à ce que
numérique, l’accès à leurs données personnelles, gérées
Amue dans le SI de l’établissement, soit sécurisé afin
de respecter leurs droits (voir articles
Lumière sur la SSI

page 6 et page 22)
↘ ↘ QUELQUES ÉLÉMENTS CONCRETS
La Politique SSI de l’établissement permet,
Ce qui se ca ch e sous la n otion 1 | Photo by Darwin
Laganzon de Pixabay entre autre, d’anticiper les réactions
de Sécurité des systèm es 2
à avoir en cas d’incident : quelles actions
concrètes pour limiter les risques ? Com-
d’information, les a cronym es, ment organiser un plan de continuité d’acti-
les con cepts et la réalité. vité (PCA) ou un plan de reprise d’activité
(PRA) après sinistre ? Quels dispositifs de
sauvegarde des données ont été mis
Essayons en quelques notions clés de faire un tour d’ensemble de la SSI (Sécurité des Sys-
en place à cet effet ?
tèmes d’Informations) en présentant les principaux concepts d’un sujet qui dépasse la tech-
Qui (et comment)
nologie puisqu’il implique les usages, la gouvernance, la gestion de crise…
informer en cas d’at-

taque informatique ? Communication interne
Il ne s’agit pas ici d’être exhaustif : les documents de référence de l’Anssi (voir article page 8)
Quelle communi- et sensibilisation
évoquent plus de 160 principes regroupés en 16 domaines, soit l’expertise des acteurs de la
SSI, notamment les RSSI (Responsables Sécurité des SI) : voir article page 14) cation prévoir ?... La sécurité des SI passe
Comment est orga- par la sensibilisation et
↘ UNE VISION STRATÉGIQUE, UNE POLITIQUE SSI nisée une cellule de crise ? Tous ces éléments organisés, testés, revus la communication auprès
La responsabilité de la gouvernance d’une organisation sur le sujet de la sécurité des SI régulièrement permettront d’affronter avec une meilleure réactivité des usagers. À l’Amue, le
et sérénité un probable problème sur le SI. RSSI (voir page 14) partage
est pleine et entière ; de fait, en suivant les recommandations de l’Anssi (voir encart), chaque
établissement se doit d’adopter une Politique de Sécurité des SI (PSSI) qui porte la stratégie de Elle permet avant tout de se prémunir au mieux de ces problèmes : beaucoup d’informations via
l’établissement en la matière. Une stratégie qui va se doter d’une vision de projet établissements, Antivirus, antispam, contrôle d’accès, authentif ications un intranet dédié au sujet.
de moyens suffisants, d’une comitologie, d’outils,… multiples, veille régulière, protection physique des salles machines, Les récentes alertent sécurité
cryptage, mise à jour régulière des logiciels, journalisation et côtoient des liens vers des
Cette Politique SSI se décline sur l’ensemble des domaines de la outils de sensibilisation, des
sécurité dont son organisation, la définition des responsa- enregistrement des traces d’utilisation, contrôle du réseau, etc etc …
Pour aller plus loin sont des outils ou méthodes utilisés quotidiennement par les acteurs de documents de référence, une
bilités, sa diffusion auprès de l’ensemble des membres de l’éta- lettre d’information, un blog.
sur la PSSI (politique la sécurité des SI.
blissement, la protection des données, la mise en œuvre Bref toutes les informations
de sécurité des systèmes
concrète de cette politique,… Et parfois ce mail que vous recevez émanant de votre RSSI : « Attention utiles aux agents de l’Amue
d’information) :
SPAM : nous recevons un message intitulé « facture à payer », d’une pro- sur le sujet de la sécurité
Une stratégie SSI s’appuie, entre autre, sur la gestion des
rendez-vous sur la page venance inconnue qui contient un lien ressemblant à une facture (ne des SI. Sans oublier les mails
risques, discipline qui permet en amont d’identifier, évaluer, pon-
↓ du guide d’élaboration de surtout pas l’ouvrir) ; supprimez ce message… ». à dessein en cas d’alerte
dérer,… les risques associés à la Sécurité des SI. Ensuite elle se décline
politiques de sécurité des de sécurité méritant notre
sur l’ensemble des activités de l’établissement ; Notamment elle doit Une partie visible de l’iceberg, de l’ensemble du travail mené et qui
systèmes d’information → attention. Merci Philippe.
être systématiquement intégrée dans les projets numériques, ceci ici va empêcher une attaque de type Ransomware (voir encart page
18 19
pouvant aller jusqu’ à une démarche d’homologation. 17) /Merci cher collègue RSSI.
altérant l’enseignement en présentiel ou distanciel, les résultats des

auteur
examens et même avoir des impacts personnel sur les enseignants,
Jérôme Notin, directeur
personnels administratifs ou étudiants si leurs données personnelles
général du groupement
vue d’intérêt public Action
se retrouvent dans de mauvaises mains.
d’ensemble contre la cybermalveillance, ↘ COMMENT SE PROTÉGER ?
opérateur de la plateforme
Cybermalveillance.gouv.f r. Pour commencer à se protéger il faut déjà prendre conscience des
risques pour en accepter les contraintes. Et ces risques sont réels :
l’actualité le démontre quasi quotidiennement. Ce premier pas effec-
tué, il faut comprendre que 80 % des cyberattaques pourrait être
Se protéger de la
évité si des mesures simples étaient respectées comme une bonne
gestion des mots de passes qui doivent être suffisamment complexes
et surtout différents pour chaque service, si les mises à jour de sécu-
cybermalveillance
rité étaient régulièrement appliquées sur les serveurs, ordinateurs,
smartphones, si l’ensemble des données de ces équipements étaient
régulièrement et convenablement sauvegardées, si des mesures
de filtrage et de supervision basiques étaient appliquées sur ses
Devant cette réalité qui connexions à distance.
touch e tous les sec teurs et Mais on ne peut pas tout faire en même temps et régler du jour
au lendemain la dette du niveau de cybersécurité qui peut parfois
toute la population, la plateform e s’avérer lourde. Il faut donc prioriser ses actions après avoir réalisé
Cybermalveillan ce.gouv.f r
un état des lieux pour commencer par combler ses vulnérabilités
les plus critiques. Pour cela, il faut savoir se faire accompagner par
est un recours précieux qui des spécialistes en cybersécurité comme les prestataires labellisés
ExpertCyber par Cybermalveillance.gouv.fr.
inform e, a ccompa gn e et assiste.
Et on vous dit comm ent .
Le label ExpertCyber Présentation de Cybermalveillance.gouv.f r
↘ QU’EST-CE QUE LA CYBERMALVEILLANCE ?
Construit avec des associations Cybermalveillance.gouv.f r est la plateforme
Il n’existe pas de définition officielle de la cybermalveillance. Notre dispositif considère professionnelles et avec le concours du dispositif national de prévention et
toutefois que la cybermalveillance regroupe l’ensemble des crimes et délits pénalement
de l’AFNOR, le label ExpertCyber d’assistance aux victimes
répréhensibles commis par le biais ou à l’encontre de systèmes numériques (ordinateur,
de Cybermalveillance.gouv.f r vise de cybermalveillance.
téléphone mobile, serveur ou réseau d’entreprise…), et ce avant la
à donner un premier niveau de C’est le dispositif voulu par l’État pour
phase de judiciarisation. À ce jour, la plateforme Cybermalveillance. La cybermalveillance
reconnaissance des compétences répondre aux besoins de conseils et
gouv.fr fournit de l’assistance aux victimes sur près de 50 formes de regroupe l’ensemble des
des prestataires spécialisés en d’assistance en cybersécurité des particuliers,
cybermalveillances qui vont du hameçonnage (phishing), aux ran- crimes et délits pénalement
cybersécurité agissant dans les des entreprises et des collectivités.

çongiciels (ransomware), en passant par le piratage de compte en répréhensibles commis par
ligne, les fraudes aux virements ou encore le cyberharcèlement. trois domaines de la sécurisation, Cybermalveillance.gouv.f r est opéré par un
le biais ou à l’encontre
la maintenance et la réponse groupement d’intérêt public qui regroupe les
de systèmes numériques
↘ POURQUOI SE PROTÉGER ? aux incidents pour les publics acteurs de l’État et de la société civile engagés
professionnels (entreprises, dans sa mission d’intérêt général.
L’explosion des usages numériques ces dernières années, qui s’est encore accentuée avec la
associations, collectivités…).
crise sanitaire par le télétravail massif, le téléenseignement, le commerce en ligne, a vu en Les missions de Cybermalveillance.gouv.fr sont :
corollaire une recrudescence sans précédent des faits de cybermalveillance. Contrairement
à l’image d’Épinal, les cybercriminels ne sont plus aujourd’hui les seuls adolescents imma-
À ce jour plus de 110 entreprises
ont reçu ce label.
→ la prévention et la sensibilisation des
publics avec la publication de nombreuses
tures que l’on peut imaginer. Ils s’organisent sur le darknet en équipes très structurées et En savoir plus ici → ressources (f iches, articles, infographie
compétentes pour maximiser leurs profits. Leur seule idéologie est de chercher à gagner vidéos…) gratuites et réutilisables ;
le plus d’argent possible, peu en importe les conséquences pour les victimes. Particuliers,
entreprises, collectivités, universités et mêmes hôpitaux, aujourd’hui plus personne n’est, ni
→ l’assistance aux victimes qui peuvent
réaliser en ligne un diagnostic de leur situation
ne sera, épargné.
et recevoir les conseils nécessaires pour y faire
↘ SE PROTÉGER POUR SOI, MAIS AUSSI POUR LES AUTRES face, et même être mis en relation avec les près
de 1 200 prestataires spécialisés référencés
Se protéger de la cybermalveillance c’est avant tout se protéger soi-même. Protéger son susceptibles de pouvoir les assister ;
identité numérique, mais aussi ses moyens informatiques et de communication contre les
différents types d’attaques qu’ils peuvent subir. Mais avec l’interpénétration des usages
→ l’observation de la menace dans le but
de la prévenir en alertant les populations
↓ numériques personnels et professionnels, se protéger soi-même c’est aussi chercher à pro- et les pouvoirs publics.
téger ses collègues, son entreprise, et même ses administrés. En effet, les conséquences
d’un manque d’hygiène cybersécurité individuel peuvent avoir des conséquences sur le col- En savoir plus :
lectif et même au-delà. Cela peut aller jusqu’à mettre en danger son emploi et celui des https://www.cybermalveillance.gouv.f r/
20 21
autres salariés. Dans un établissement cela peut avoir des répercussions sur les étudiants en
Pour s’en prémunir, on se reportera à la formule consacrée par le

auteur•e•s RGPD et à la mise en place de « mesures techniques et organi-
sationnelles », en veillant à ne pas les réduire au binôme informa-
Héloïse Faivre, DPO adjointe des
tique et juridique. En effet, la sécurité des systèmes d’information
Universités Grenoble Alpes et Savoie
vue Mont Blanc, Victor Larger, DPO de
nécessite, certes, des garanties techniques appropriées (tel que
d’ensemble France Université Numérique, Marion
l’authentification via protocole sécurisé, l’usage d’un VPN, des fil-
trages IP, le déploiement d’une double authentification, des confi-
Lehmans, DPO de Sciences Po,
gurations wifi adaptées,…).
Guillaume Pourquié, DPO de Grenoble
EM, pour le réseau SupDPO Toutefois, il importe de rappeler et marteler que la « sécurité des
systèmes d’information » dépasse très largement le périmètre de
l’informatique. Ce n’est donc ni l’apanage, ni le fardeau des seuls
RSSI et DSI : les mesures organisationnelles renforcent le savoir-faire
P roté g e r des équipes et contribuent à la sécurité du SI, à travers par exemple

le maintien d’une chaine fonctionnelle SSI identifiée et fluide, des
procédures de revue de mots de passe, une meilleure compréhen-
le s d o n n é e s sion par défaut et dès la conception des processus, et une meilleure

identification et gestion de la donnée tout au long de son cycle de
p e r so n n e l l e s ,
vie. Ceci permet d’assurer la minimisation des données et doit être
conforté par des actions de sensibilisation régulières et suivies.
La conclusion à retenir est que chaque utilisateur du système d’infor-
c ’e s t l’a f fa i re
mation (étudiants, informaticiens, secrétaires, conservateurs, ensei-
gnants, DGS,…) impacte la sécurité du SI : l’utilisateur peut l’affaiblir
1 | Eric Nunes, lorsqu’il méconnait les consignes prévues par la charte numérique,
de tous
20/04/2021. Les la politique de sécurité des systèmes d’information et la politique
universités, cible de de protection des données et de vie privée de l’établissement (ver- L'Amue vous partage
choix des hackeurs.
Lemonde.fr.
rouiller son poste de travail, être vigilant concernant les emails et un jeu en ligne sur les
sites tiers potentiellement malveillants, paramétrer la confidentialité données personnelles
Un ar ticle collégial de SupDPO
2 | Ex: L’Ecole de de ses équipements, comptes et navigateurs, apprendre à chiffrer,
médecine de l’université Ce jeu en ligne, proposé
maintenir la sécurité de ses équipements et sauvegarder ses don-
qui fait la lumière sur le rôle de Californie à San
Francisco (UCSF) a été nées, utiliser un VPN, et les moyens de stockage et de communica-
par UFC que choisir, vous
met dans une situation
de cha cun des a c teurs en rappor t victime d’une attaque
au ransomware. Le gang
tion mis à disposition par l’établissement).
réelle durant laquelle
avec le SI et sur l’in dividuel Netwalker a confirmé
avoir mis la main sur le
Pour protéger les données d’un établissement, celles des étudiants,
des personnels, des partenaires, chacun doit œuvrer, à son niveau
deux personnages vont se
conf ronter à des questions
au ser vice du collec tif. système de l’université
le 3 juin 2020. Cf.
c’est à dire a minima respecter les règles d’hygiène numérique dont autour de la gestion de
l’ANSSI, la CNIL et SupDPO et, dans les établissements, les DPO et leurs données personnelles.
https://www.ucsf.edu/
L’impact d’une crise SSI peut être durable, étendu, et coûteux. Parmi les coûts directs et indi-
news/2020/06/417911/ RSSI font la promotion quotidienne. Ludique, cette animation
update-it-security-
rects, nul doute que ceux liés aux violations de données personnelles sont particulièrement grand public vous prendra
incident-ucsf
notables pour l’organisme concerné : perte de confiance des usagers, impact réputationnel, 15 minutes.
conséquences sur les partenariats et activités, perte définitive des Attention aux pièges !
données, actions de groupe des personnes concernées, et naturelle- À voir ici →
ment audit de l’autorité de contrôle. Ceci sans compter les dommages Le site du réseau SupDPO
que font aussi et avant tout les violations de données sur les personnes recense quelques mises
concernées (eg. conséquences d’une usurpation d’identité, atteinte à en demeure et sanctions
la réputation) allant jusqu’à potentiellement des atteintes physiques, prononcées par les
matérielles ou morales irrémédiables pour les personnes. autorités de contrôle
européennes. Parmi
Très concrètement depuis 2018, la pression sur les établissements,
en France et ailleurs, s’est intensifiée et s’est traduite de différentes celles-ci, nous observons
manières par des tentatives d’atteinte au SI1 (tentatives d’hameçon- avec attention la sanction
nage, de rançongiciel, etc.), pouvant engendrer une interruption de l’autorité suédoise à
totale des services ou des pertes financières considérables2. Des près de 400 k€ pour un
sanctions ont ainsi pu être prononcées à hauteur de plusieurs cen- manquement concernant
taines de milliers d’euros, pour des violations de données interve- les habilitations d’accès
nues du fait de défauts de sécurité. aux dossiers médicaux,
ou encore la sanction de
Pour l’ESR, si l’autorité nationale, la CNIL, a privilégié jusqu’à pré- l’autorité polonaise pour
sent l’accompagnement de nos établissements et a entretenu une défaut de sécurité des
↓ relation de confiance tissée depuis 2007 avec SupDPO, l’association enregistrements collectés
des Délégués à la protection des données de l’ESRI notamment, dans le cadre d’examens
ses homologues européens ont déjà eu à prononcer des sanctions à distance.
22 sévères dans le secteur public, ainsi que dans l’enseignement supé- 23
rieur et la recherche.
bilitation qui s’imposeront, ainsi

que la possibilité de transférer
ces archives intermédiaires aux
personnes/services chargés 8. Droit de rectif ication : respect du droit
auteur
vue Frantz Gourdet, de leur destruction ou de leur des personnes concernées de corriger
d’ensemble DPO de l’Amue archivage définitif leurs données et de les effacer
d. Paramétrer les durées afin a. Permettre la rectification - si justifiée - des données person-
d’anticiper transitions et évo- nelles collectées
lutions règlementaires/légales 9. Formalités : déf inition et accomplissement
4. Information : respect des formalités applicables au traitement
Sécuriser pour protéger

du droit à l’information a. Effectuer l’analyse du régime juridique et des formalités appli-
des personnes concernées cables au traitement en fonction de ses finalités et des catégories de
a. Paramétrer l’affichage de mention d’in- données traitées avec l’aide du DPO, en amont du déploiement du
les données personnelles :

formation afin de permettre à l’exploitant de traitement dans les établissements
l’outil conçu de fournir un lien Internet vers 10. En cas de sous-traitance
sa propre mention d’information ou de per-
13 points de contrôle
sonnaliser l’affichage d’une mention type en a. Coopérer à l’adaptation des clauses contractuelles aux prestations
en renseignant les éléments paramétrés de sous-traitance
Privacy by design
5. Consentement : obtention b. Pour les besoins de bases de formation ou de tests de performance
du consentement des personnes sur données issues des établissements, éviter les « convention de
concernées ou existence d’un confidentialité » entre l’Amue, le sous-traitant et les établissements
autre fondement légal justif iant autorisant le sous-traitant à récupérer les données des bases de
Détail de ces m esures a gréées par la CNIL le traitement production. Au besoin, le sous-traitant devra fournir aux établisse-
ments souhaitant coopérer à la réalisation des tests de masse ou à la
a. Déterminer lesquels des traitements et constitution de bases de formation, un outil d'anonymisation adapté
Nous mutualisons ici quelques mesures attachées à treize points de contrôle de conformité au RGPD (Règlement des DCP à traiter exigent un consentement pouvant être appliqué en toute autonomie par les établissements
Général sur la Protection des Données). Proposées par l’Amue dès 2016 puis en 2018 à l’occasion de la réactualisation des personnes concernées en mode opt-in eux-mêmes sur leurs propres données avant de les transmettre au
de son label « Gouvernance RGPD », ces mesures – infime partie intégrante de notre « Procédure de Gouvernance et/ou opt-out sous-traitant via l’Amue sous forme déjà « anonymisée »
Informatique et Libertés » – ont été agréées par la CNIL. Les treize points présentés sont vérifiés à la conception des
b. Prévoir en conséquence du point précé- c. Les mécanismes d'anonymisation proposés par le sous-traitant
traitements, ainsi qu’en phase de maintenance évolutive, par les équipes en charge de l’offre SI Amue. Il est à noter
dent des mécanismes de recueil de consen- devront être suffisamment explicités pour faciliter l’évaluation pré-
que la mise en conformité effective de l’existant peut se dérouler sur plusieurs années, lorsqu’il s’agit de prendre en
tement : case à cocher (opt-in) ou à déco- alable de leur efficience par les établissements
compte, par exemple, des durées de conservation impliquant une politique d’archivage en base active, intermédiaire
cher (opt-out), par exemple
puis définitive, non exigée à la genèse d’applications antérieures au RGPD. d. Les mises à jour des bases de formation ou de tests seront à réa-
6. Droit d’opposition et autres liser par ré-applications successives de l'outil d'anonymisation sur de
1. Finalité : f inalité déterminée, c. Permettre le stockage d’informations personnelles uniquement si elles droits entrant dans le cadre des nouvelles données réelles i.e. de production
explicite et légitime sont pertinentes et en relation avec la finalité déclarée du traitement articles 12 à 23 du RGPD : efface-
ment (droit à l’oubli), limitation e. Le sous-traitant prévoira la mise à jour de l'outil d'anonymisation
a. Finalités connues et énoncées de manière d. Ne pas procéder à des traitements d’information qui, du fait de lui-même en cas de changement de structure, ou en cas de tout
du traitement, portabilité et
détaillée et compréhensible par les per- leur nature, de leur portée ou de leurs finalités, excluent des per- autre possible impact de versions évolutives du produit de l’offre SI
gestion post mortem…
sonnes dont les données vont être traitées sonnes du bénéfice d’un droit, d’une prestation ou d’un contrat en Amue sur cet outil
l’absence de toute disposition législative ou réglementaire a. Prévoir des mécanismes de suppression des
b. Ne pas aller au-delà des finalités déclarées, f. Respecter le principe de protection by design/default à toutes les
DCP relatives à un traitement donné et à une
et effectuer une nouvelle analyse complète e. Éviter de traiter le numéro de sécurité sociale sauf après visa du étapes du cycle de vie du produit de l’offre SI Amue
personne concernée et/ou prévoir des indica-
pour tout souhait d’ajout de nouvelle finalité DPO dans les cas autorisés
teurs/ marques/ témoins permettant d’exclure 11. Renseignement f iche traitement
c. Ne permettre de recueillir des données que f. Eviter de traiter des informations relatives à des infractions, condam- une personne donnée d’un traitement
pour un usage précis et bien défini (éviter par nations, mesures de sûreté, biométriques ou subjectives, ou des don- a. Dans le cadre de prestations de tierce maintenance applicative ou
b. Prévoir tout mécanisme facilitant l’exer- d’intégration, renseigner la fiche de traitement type de l’application
exemple les zones de commentaires libres) nées sensibles qu’il est interdit de collecter sauf autorisation de la CNIL
cice des droits d’opposition, effacement maintenue et/ou intégrée (cf. modèle CNIL), fiche devant être adap-
nécessitant des démarches à anticiper plusieurs mois à l’avance
d. Ne pas aller à l’encontre de la loi, ni des droits (droit à l’oubli), limitation du traitement, tée par les DPO des établissements exploitant ladite application
ou des libertés fondamentales des personnes 3. Durées de conservation : durée nécessaire portabilité, gestion post mortem, droit de ne
à l’accomplissement des f inalités, à défaut pas faire l’objet d’une décision individuelle 12. Sécurité
2. Minimisation : réduction
d’une autre obligation légale imposant automatisée (y compris le profilage)
des données à celles a. Fournir aux établissements exploitant l’offre SI Amue les informa-
une conservation plus longue
strictement nécessaires 7. Droit d’accès : respect tions et moyens (liés aux logiciels) permettant aux établissements
a. Déterminer les durées de conservation par défaut. Ces durées du droit des personnes concer- de prendre des mesures adéquates en fonction des risques afin de
a. Décrire les données traitées en précisant
seront consignées dans un document de référence mis à disposition nées d’accéder à leurs données garantir l'intégrité, la disponibilité et la confidentialité des DCP
l’origine de la collecte, les catégories de per-
des équipes de conception
sonnes concernées et les destinataires a. Prévoir une fonctionnalité d’extraction de 13. Etude d'impact sur la vie privée (EIVP/PIA)
↓ b. Implémenter un mécanisme permettant de basculer les données l’ensemble des DCP d’une personne donnée
b. Veiller à ce que les données à collecter a. En présence de données sensibles ou en raison d’autres critères
à caractère personnel (DCP) de leur base ou archive active à leur
soient pertinentes, adéquates et non exces- b. Prévoir les mécanismes facilitant l’exer- indiqués par le règlement, fournir aux établissements exploitant l’offre
archive intermédiaire
24 sives c’est-à-dire strictement nécessaires à la cice du droit d’accès pour les scénarios SI Amue les informations et moyens (liés aux logiciels) de mener le 25
finalité déclarée c. Prévoir la possibilité d’appliquer les restrictions d’accès ou d’ha- moins larges volet « gestion des risques » de l'étude d'impact sur la vie privée
vulnérabilités et une sécurité des systèmes d’information (SSI) sans

moyens humains et financiers pour lancer ses opérations. Elle a par-
auteur faitement compris que le maillon faible de la chaîne n’est pas tech-
Philippe Werle, nologique, il est culturel et dans sa gouvernance.
témoignage Responsable Sécurité En 2020 et 2021, les cyberattaques contre les hôpitaux ont été sans
Système d'Information précédent. Exploitant les faiblesses d’un système d’information hos-
RSSI/CISO, Université pitalier digne d’une usine à gaz, muni d’une sécurité non-invasive à la
Paris Dauphine-PSL système-D, les cybercriminels ont « tiré sur les ambulances » à coup
de rançongiciel en exposant des vies. Avec la même facilité, ils ont
pris pour cible les collectivités, en otage nos données d’administrés.
La cible à venir est le temple de la connaissance, riche en données
sensibles, l’université1.
L’université a ouvert de prestigieuses chaires en cybersécurité mais
demeure incapable de mettre en œuvre dans son fonctionnement
propre la gouvernance de sa SSI. Elle se limite à former ses person-
nels à des outils, ne permet pas à ses ingénieurs de se mettre à ni-
veau, n’engage pas sa gouvernance dans une culture du risque. L’uni-
Sécuriser & organiser versité fonctionne en silos.
↘ LE NUAGE PROVIDENTIEL
la sécurité : enjeu Faute d’une stratégie politique, les plans étatiques nuageux se sont
succédés dans l’échec. Plutôt que de poser le problème, il a semblé
des années à venir

judicieux de se tourner vers des solutions commerciales non souve-
raines en ignorant la réglementation des marchés publiques, les ex-
pertises en protection des données, SSI et intelligence économique,
pour écouter les évangélistes du numérique, lobbyistes juges et par-
Les failles de sécurité existent ties. Cette habile industrie a aussi identifié le maillon faible culturel
et de gouvernance. Sa cible demeure la recherche, les brevets ainsi
dans l’ESRI. Il est urgent que les données de santé, fabuleux marché d’avenir.
de struc turer l’offensive, de bâtir ↘ LA SSI DOIT ÊTRE HUMAINE ET
un e lign e de défense collec tive ORGANISATIONNELLE DONC DE GOUVERNANCE 2
et con cer tée. Prise de conscien ce ! L’état a émis des textes réglementaires pour protéger son patrimoine
informationnel3. ANSSI et CNIL proposent un ensemble de docu-
↘ MANQUE DE CULTURE EN SÉCURITÉ NUMÉRIQUE ments et de formation4, dont le remarquable « Maîtrise du risque 1 | Le Monde, 20 avril
numérique – l’atout confiance ». Le MESRI est doté d’un schéma di- 2021, « Les universités,
Dans son « Avis de la CPU sur les orientations futures de RENATER » du 28 mai 2020, la CPU recteur de la SSI depuis 2005. L’Etat s’est doté d’une politique de cible de choix des
déclare « Force est de constater que nous avons failli collectivement, gouvernance, tutelle, SSI en 2015. Le positionnement du RSSI est rappelé dans une fiche hackeurs » par Eric
Nunès
organismes et universités […] Transversalement à l’ensemble de ces enjeux, la souveraineté AQSSI/RSSI du HFDS du MESRI.
informationnelle est sans doute le paramètre le plus important, dans un contexte de société 2 | « Si vous pensez
de l’information […] Sur ce point, comme le souligne le rapport public annuel 2020 de la Cour Pourquoi ces éléments stratégiques et organisationnels ne sont-ils que la technologie peut
des comptes, « les établissements s’emparent trop peu de l’enjeu de la sécurité. Ce pas pris en compte par la direction des établissements ? En effet, résoudre vos problèmes
force est de constater que nous avons failli collectivement, gouver- de sécurité alors vous
manque de culture de sécurité numérique est également illustré par l’important n'avez rien compris
recours des usagers de l’ESR aux services en ligne proposés par les entreprises du nance, tutelle, organismes et universités, à intégrer la gestion du
aux problèmes ni à
numérique (messagerie Gmail, utilisation des outils collaboratifs de Google pour le risque numérique pour protéger un bien commun, le patrimoine in- la technologie »
montage de projets stratégiques, outils en ligne d’Amazon ou de Microsoft, etc.). […] formationnel de notre nation. Bruce Schneier
Ces enjeux de souveraineté méritent une clarification de la position du ministère. »
Nous sommes aujourd’hui dans une situation de perte de souveraineté. Or l’enjeu majeur Concernant le « nuage non souverain », la CPU a reconnu un enjeu 3 | Tableau de l’ANSSI
qu’accroit encore la crise sanitaire que nous vivons actuellement, c’est bien celui de la souve- de souveraineté et la Cour des comptes a demandé une clarification 4 | https://www.ssi.
raineté, de la confidentialité et la sécurité des données.» de la position du ministère. Le 5 juillet 2021 le Premier Ministre a gouv.fr/administration/
émis une circulaire « Cloud au Centre » en direction des ministres. bonnes-pratiques/
↘ UNE CYBERCRIMINALITÉ INDUSTRIALISÉE ET OPPORTUNISTE Le 15 septembre 2021 le Directeur de la DINUM a émis une note methodologie/
en direction des secrétaires généraux des
Aujourd’hui, le milieu cybercriminel est structuré et industrialisé. Il a établi une économie de ministères.
la donnée, structurée en sous-traitance, outillée par des plateformes de cyber attaque « as a
service » (Voir encart page 17). Après les cyberattaques pandémiques Wannacry et NoPetya
Allons-nous de nouveau
de 2017, les leçons n’ont toujours pas été retenues. Nos systèmes restent exposés, peu sé-
curisés, non mis à jour. Nos mots de passe sont grotesques. La médiatisation est bruyante,
faillir collectivement
↓
notre prise de conscience faible, nos changements d’habitude paresseux. L’université cache en silos ou commencer
ses incidents dans le sable et positionne son RSSI comme un pompier. La cybercriminali-
té l’a compris. Elle a saisi l’opportunité qu’offraient le distanciel, le télétravail non maîtrisé,
à bâtir de façon
26
les infrastructures sur site mal sécurisées, un « cloud » non souverain commercial criblé de transverse ? 27
témoignage
auteur•e•s
Damien
Sauveron,
directeur de
la Faculté des
Sciences et
Techniques
(FST) et
Isabelle [Citation d’Isabelle Klock-Fontanille, Présidente de
Rigbourg, l’Université de Limoges] « Devenir Aff iliate Member
chargée de la de INCS-CoE est non seulement une reconnaissance
communication, supplémentaire de l’excellence du laboratoire XLIM, et
FST, Université du rayonnement de l’Université de Limoges, mais surtout
de Limoges une chance d’asseoir encore davantage ses atouts en
collaborant avec les meilleurs centres mondiaux. »
À l ’ un i ver s i té ↘
La vision de l'INCS-CoE est de travailler ensemble dans un environ-
nement multipartite au sein d'un partenariat gouvernement-indus-
de Li m og e s ,
trie-université. Conscient du fait qu'un seul État ou qu’une seule
1 | Copyright free organisation ne sera pas en mesure de relever les défis à lui seul,
photo by Cottonbro l'INCS-CoE a commencé par une coopération universitaire et se
from Pexels
on cyb e rs é c u re
développe en une collaboration plus large entre le gouvernement,
l'industrie et le monde universitaire. La collaboration internationale
de l'INCS-CoE vise l'éducation, la recherche, la politique, les normes
et la réglementation, les symposiums internationaux, les ateliers et
les réunions.
Aff iliée depuis 2021 à
l’International Cyber Security [Citation de Professor Keith Mayes -
vice-président de l’INCS-CoE et directeur
Center of Excellen ce, l’université de l’Information Security Group at Royal Holloway
de Lim oges confor te sa pla ce de University of London] « J’ai une expérience personnelle
d’une très longue et productive collaboration entre
pionnière en matière de cyber
le Smart Card and IoT Centre de la Royal Holloway

sécurité et fait entrer la Fran ce University de Londres, et Damien Sauveron et son
équipe. Je suis impatient d’étendre cette relation à
dans la réflexion m on diale l’INCS-CoE, puisque ses membres s’étendent désormais
à la France. »
L’Université de Limoges a rejoint le centre d’excellence international
de cybersécurité en tant que membre aff ilié au mois de juin 2021. Les nouveaux membres sont : University of Cambridge pour le
L’INCS-CoE (International Cyber Security Center of Excellence) Royaume-Uni, Edith Cowan University pour l’Australie, Université de Plus d’informations
travaille avec de nombreuses universités à travers le monde. Keith Limoges pour la France, Technion Israel Institute of Technology pour
l’Israël, Ben-Gurion University pour l’Israël. → INCS-CoE
Mayes, vice-président de l’INCS-CoE « L’Université de Limoges
→ UFR Sciences
est un atout pour INCS-CoE, en tant que pionnière de longue
et Techniques
date dans l’éducation et la recherche liées à l’information et
→ Institut XLIM
à la cybersécurité. » Le représentant de l’Université de Limoges CRYPTIS fête ses 35 ans. → Damien Sauveron
au sein de l’INCS-CoE est le Doyen de la Faculté des Sciences
Cette journée devrait réunir professionnels,
et Techniques, Damien Sauveron.
chercheurs et étudiants (masters, doctorants)
L'Université de Limoges a été la première université française à proposer un Master en cryp- pour des discussions, échanges et conférences
tographie et sécurité de l'information, en 1986. Au cours des trente-cinq années suivantes, scientif iques autour de problématiques de
elle a formé plusieurs milliers d'étudiants qui occupent aujourd'hui des postes clés dans le cybersécurité, et en particulier, celles liées à
↓ domaine de la cybersécurité au sein de diverses universités, organismes de recherche, minis- la cryptographie et à la sécurité de l'information.
tères et entreprises. L'Université de Limoges est également reconnue pour l'excellence des
recherches en cybersécurité menées au sein du laboratoire XLIM de l’université de Limoges.
Informations à venir ici →
28 L'une des forces de son groupe de recherche est qu'il couvre un continuum allant de la théo- 29
rie de l'information à la pratique.
Green
I t Day
auteur
Département
retour
Stratégie et
sur… Programmation
L’Amue contribue à nourrir la réflexion sur le numérique
des SI, Amue
durable en participant au copil de l’évènement annuel « GREEN
IT DAY » de Digital113, le cluster des entreprises et organisa-
tions du numérique en Occitanie dont elle est membre.
We b i n a i re Le replay de la conférence d’introduction :

https://thegreenitday.fr/sermons/
« N um é r i qu e
À l’heure où la propagation des virus chez l’homme est directement
liée aux dérèglements des écosystèmes ; où certains portent un
regard différent sur le numérique et ses usages en nous mettant en
responsable »
garde contre le miracle technique, les chercheurs et les chercheuses
nous apportent leurs analyses éclairées. Comment penser la vie post-
crise et la place du numérique ? Anne Alombert, Membre du CNNUM
d u CS IE S R et enseignante-chercheuse en philosophie à l'Université Catholique

de Lille, nous explique “comment les transformations numériques
peuvent conduire à de nouvelles pratiques collectives et signifiantes,
Le CSIESR a organisé un webinaire, en partenariat avec le CRIP sur le susceptibles de prendre soin des milieux, des corps, des esprits et
sujet du numérique éco-responsable, souvent nommé green IT. Vous des sociétés”.
pouvez visionner ces 100 minutes sur cette page mais également Et les replay des ateliers : https://thegreenitday.fr/sermons/
lire ou relire la collection numérique « numérique responsable » de dont l’atelier 7 animé par l’Amue sur une problématique de formation
décembre 2020. initiale et continue. L’occasion de montrer à l’extérieur notre intérêt
pour ce sujet porté en interne par Mutual’Lab Ecolo.
Politique Assises
des données du CS I ES R
La feuille de route 2021-2024 relative à la politique des données, Toutes et tous heureux de se retrouver à proximité de l’Univer-
des algorithmes et des codes sources, élaborée par le ministère de sité de Côte d’Azur pendant 4 jours de travail, de communications
l'Enseignement supérieur, de la Recherche et de l'Innovation, est orales, [dont certaines par l’Amue : PC-Scol, Open data/open source,
disponible depuis le 24 Septembre 2021. Elle fixe des enjeux et des Recherche et Rencontre avec votre référent
objectifs, et met en place un plan d'actions à 4 ans en faveur de l'ou- DREM], et d’échanges de bonnes pratiques,
verture, du partage et de l'exploitation des données, des algorithmes dans le domaine de la stratégie, la donnée,
et des codes sources de l'administration, de l'enseignement supé- l’architecture logicielle ou bien les solutions
rieur, de la recherche et de l'innovation. disponibles pour les universités.
L’occasion de lire ou relire les collections numériques N°05 - Open C’était aussi l’occasion de fêter les 40 ans de
Data et ESR, opportunité de créer de nouveaux services, septembre cette institution des spécialistes du numé-
2019 et N°06 - L’ESR vu par le prisme de la donnée universitaire, rique universitaire, les makers de nos uni-
novembre 2019 versités et établissements.
Un grand merci aux organisateurs.
Replay bientôt disponible
↓ sur https://www.csiesr.eu/
30 31
auteur
Département
grandes
Stratégie et
oreilles Programmation
des SI, Amue
Délégation
We bi- f ran çaise à
n a i re e n la con féren ce
l i gn e s u r Liste des an n u elle
la SSI thèmes d’EDUCAUS E
de l'an-
Cette année la délégation française suivra de nouveau à distance
Educatec –
Et si vous étiez la cible de la prochaine cybe-
l’évènement nord-américain du numérique universitaire. Compo-
rattaque ? L’université de Genève propose
sée de membres d’Universités et d’établissements, du CSIESR, de la
en amont de son master une conférence
née de la
Cellule Logicielle, du CNAM, de l’Université numérique Paris Ile-de-
Educatice
introductive en ligne (zoom) sur la SSI le 1er
France, de l’université de Nantes et de l’Amue, elle couvrira l’événe-
novembre 2021, 18:00 — 19:00
ment pour proposer un rapport annuel début 2022.
Collection
Le dernier rapport est disponible ici Téléchargez le rapport 2020 de la
Le salon professionnel de l’innovation éducative se tient
délégation, en français. (Téléchargez le rapport en haute définition)
les 24, 25 et 26 Novembre à Paris Porte de Versailles.
Numérique
Toutes les infos ici → Webinaires en Inter-Assos ANSTIA//CSIESR//CUME :
Une série d’actions est menée entre trois associations profession-
nelles l’ANSTIA, le CSIESR et le CUME dont le lancement a eu lieu le
Pour que toutes et tous puissent se préparer à 8 Juillet 2021. Il s’agit de répondre au moyen de plusieurs webinaires
contribuer à ce travail collectif, nous avons publié à la question principale « Comment les transformations sociétales et
les thèmes des prochains numéros 21/22 de la col- numériques impactent-elles l’articulation entre nos différents métiers.
lection numérique. Données, bibliothèques universi- Quelles organisations seront pérennes post crise sanitaire ? ». Plu-
taires, les différentes natures de veille, les schémas sieurs évènements à suivre durant l’année universitaire 2021-2022.
directeurs et les stratégies numériques, les usages,
#Au to -
attendent vos propositions de partage et de retours
P ri x s c i e n ce
d’expérience. Vous trouverez également les sujets
de veilles prospectives pour lesquels vous pouvez
prom o
apporter vos lumières : Intelligences artificielles,
o u ve r te
cloud, protection des usagers numériques, sobriété
numérique,… A lire en détail ici →
d u l o gi ci e l
Contact : [email protected] Nous avions présenté à EUNIS 2021 cette col-
lection numérique et comment nous travail-
lons avec vous pour la « fabriquer ». Et bien
l i bre d e l a
figurez-vous que l’article associé a été retenu
et publié dans une revue internationale EPiC
Series in Computing indexée sur Scopus.
re ch e rc h e Nous sommes très heureux et très honorés

par cela. Ravis aussi d’avoir porté vos articles
en ce lieu, merci à vous toutes et tous.
↓ Les prix, science ouverte données de la recherche et science ouverte
Mocquet, B., & Rongeat, D. (2021). La Collection
logiciel libre de la recherche, sont inscrits dans le deuxième Plan national pour la science ouverte annoncé par la Numérique : A way to (better) understand
ministre de l’Enseignement supérieur, de la Recherche et de l’Innovation en juillet 2021. Ils récompenseront des initia- French HigherEd digital (pp. 38-49). EPiC Series in
32 tives emblématiques en la matière. Les prix seront remis début février 2022. Pour plus d’information, lire cette page → Computing, volume 78. ISSN: 2398-7340 https://doi. 33
et la récente publication de l'ouverture des candidatures à lire ici → org/10.29007/sthb
2021
c to bre
o
amue.f r
prochain
numéro
Le numéro de décembre
2021 sera consacré à
« Approche des organisations
universitaires par le prisme
de la donnée - Saison 2 »
103 bd S ai nt- M ich e l + 750 0 5 Pa ris

N o s réseaux s ocia u x : @Amu e_com

N17 Amue Collection Numerique

Transféré par

Droits d'auteur :

Formats disponibles

N17 Amue Collection Numerique

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

N17 Amue Collection Numerique

Transféré par

Droits d'auteur :

Formats disponibles

la collection

↘ UN IMPACT SUR L’ORGANISATION

de droit, droits réservés

identité physique. Ainsi, le développement d’une pleine conscience

des données b. modification non désirée de données,

organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

L’analyse de risque se découpe en quatre étapes :

↘ FORMATION AVEC LES UNIVERSITÉS

↘ PROTECTION DU POTENTIEL ↘ UN SOUTIEN À LA POLITIQUE SSI

- un état des lieux

Il existe des para des aux

Le développement de la « société du savoir » est une réalité

↓ numérique, dans toutes les sciences. L’interdisciplinarité densif ie 2 | https://fr.wikipedia.org/wiki/

tés disponibles pour l’attaquant et facilite son entrée ;

globale en cohérence avec la politique de

le s c h os es ? La PSSIE (Politique de Sécurité du Système d'Information de l’Etat)

des SI est si fon dam entale. Sécurité et ouverture du code

Explication de texte. Certains mettent Sécurité et Open Source en

→Intégration de la sécurité dans les relations avec les partenaires et sous-traitants

est une priorité

la protection des données a été réalisé en 2020 sur tous les

Un Mooc sur la sécurité des SI

Lumière sur la SSI

informer en cas d’at-

altérant l’enseignement en présentiel ou distanciel, les résultats des

cybersécurité agissant dans les des entreprises et des collectivités.

Pour s’en prémunir, on se reportera à la formule consacrée par le

P roté g e r des équipes et contribuent à la sécurité du SI, à travers par exemple

le s d o n n é e s sion par défaut et dès la conception des processus, et une meilleure

bilitation qui s’imposeront, ainsi

Sécuriser pour protéger

les données personnelles :

vulnérabilités et une sécurité des systèmes d’information (SSI) sans

Sécuriser & organiser versité fonctionne en silos.

des années à venir

le Smart Card and IoT Centre de la Royal Holloway

We b i n a i re Le replay de la conférence d’introduction :

d u CS IE S R et enseignante-chercheuse en philosophie à l'Université Catholique

re ch e rc h e Nous sommes très heureux et très honorés

103 bd S ai nt- M ich e l + 750 0 5 Pa ris

Vous aimerez peut-être aussi