======Organisation de la SSI dans les établissements====== * [[.designation_des_rssi|Processus de désignation des RSSI]] (rôles respectifs de l'AQSSI et de l'ADDIR) * [[securite:chaine_fonctionnelle_et_organisation_interministerielle|La chaîne fonctionnelle SSI interministérielle]] * [[securite:rôle, place et productions du RSSI]] * [[securite:sources d'information du RSSI | Le RSSI: ses sources d'informations, ses productions]] * [[securite:en cas d'incident|Interlocuteurs du RSSI en cas d'incident]] (plus d'informations dans l'[[rssi:en cas d'incident|intranet RSSI]]) * [[securite:articulation avec les EPST]] Complément d'information sur [[https://www.pleiade.education.fr/portal/pleiade/hfds|l'extranet du HFDS]] (voir "Sécurité des Systèmes d'Information) et dans [[:rssi:|l'intranet des RSSI]] ======Éléments de mise en oeuvre====== =====Documents publics du SDSSI===== (Schéma Directeur de la Sécurité des Systèmes d'Information) * {{:securite:sdssi-livret1-organisationetorientation.pdf|Organisation et orientations de la sécurité des systèmes d'information et de télécommunication du MJENR}}. (à lire en premier) * {{:securite:sdssi-livret2-cadrecommun.pdf|Cadre commun de la sécurité des systèmes d'information et de télécommunication}} * {{:securite:sdssi-annexe2-juridique.pdf|Annexe juridique}} * {{:securite:sdssi-annexe3-guidetecutil.pdf|Guide technique type de l'utilisateur}} * Exemple de charte. {{:securite:sdssi-annexe4-charteeleve.pdf|La charte élève (secondaire)}}. =====Référentiels et méthodes===== * [[http://www.ssi.gouv.fr/site_rubrique57.html|Le référentiel général de sécurité (RGS)]] * [[http://www.ssi.gouv.fr/site_article173.html|La méthode EBIOS]] ===== Guides et recommandations ===== === En lien avec la CNIL === * [[http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CIL/Guide_correspondants.pdf|guide du correspondant informatique et libertés]] * [[http://www.cnil.fr/fileadmin/documents/Guides_pratiques/Guide_CNIL_AMUE_2009.pdf|Guide Informatique et Libertés pour l’enseignement supérieur et la recherche]] === Gestion des journaux informatiques=== * Un document cadre pour la gestion des journaux informatiques a été élaboré ; la CNIL a été interrogée sur ce document par la CPU. Dans sa {{::securite:reponse-alex-turk-gestion-des-traces.pdf|réponse du 26 novembre 2008}}, Alex Türk, président de la CNIL émet quelques remarques qui ont été intégralement prises en compte dans le document ci-dessous. {{::securite:gestiondestraces-v2.6.pdf|gestion des journaux informatiques.pdf}} .({{:rssi:gestiondestraces-v2.6.odt|idem au format openoffice}} accès réservé aux RSSI) * Le traitement des demandes d'accès à ces journaux est, quant à lui, traité dans le document suivant : {{:securite:demandes_acces_journaux_informatiques.pdf}} (document relu par le Service des correspondants de la CNIL). === Autres === * [[http://www.renater.fr/IMG/pdf/PF-wifi-v6-1f.pdf|politique de filtrage de ports à l'attention des réseaux sans fil accueillant des nomades]] * [[http://www.renater.fr/IMG/pdf/PreconisationSecurisation-4df.pdf|préconisation de sécurisation de réseaux sans-fil]] * [[http://www.cpu.fr/fileadmin/fichiers/systeme_info/Cadre_de_coherence_technique_du_SI_ESR.pdf|cadre de cohérence technique ESR]] * [[http://www.cru.fr/documentation/supann/securisation|Éléments pour la sécurisation des accès publics aux annuaires]], un moyen possible :[[.tests_de_turing|Bloquer les robots avec des tests de Turing]] * [[http://www.resinfo.cnrs.fr/spip.php?article47|Journée conférence "les bonnes pratiques juridiques pour l'ASR"]] organisée par ResInfo =====Chartes===== /* * [[.pourquoi|Pourquoi mettre en oeuvre une sécurité informatique et réseau ?]] */ /* * [[http://www.sg.cnrs.fr/FSD/securite-systemes/documentations_pdf/securite_systemes/PSSI-V1.pdf|Politique de Sécurité des Systèmes d'Information du CNRS]] */ * [[http://www.renater.fr/IMG/pdf/charte_fr.pdf|la charte RENATER]] * [[http://www.dsi.cnrs.fr/pre_BO/2007/03-07/tpg/charte-informatique.pdf|charte d'utilisation des moyens informatiques du CNRS]] * [[https://www.inra.fr/internet/Projets/charte-informatique/charte.pdf|charte d'utilisation des moyens informatiques de l'INRA]] * [[https://mssi.inserm.fr/Charte/charte.html|charte d'utilisation des moyens informatiques de l'INSERM]] =====Services et outils===== * [[http://www.cru.fr/services/tcs/index|certificats électroniques]], * [[http://federation.renater.fr|fédération Éducation-Recherche]], * [[http://www.eduroam.fr|eduroam]] * [[http://www.renater.fr/antispam|service antispam de RENATER]] * [[http://www.cru.fr/activites/spam/|Protection contre le SPAM]] ======Archives des CERTs====== Un CERT(r) (Computer Emergency Response Team) est un organisme de sécurité chargé, entre autre, d'émettre des rapports sur les failles de sécurité découvertes dans les protocoles, les services et les logiciels. Des archives sont disponibles : * pour le CERT RENATER à [[http://www.cert.uhp-nancy.fr/services/Securite-informatique/Avis-de-securite|l'UHP de Nancy]] * Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques ([[http://www.certa.ssi.gouv.fr/|CERTA]]) * pour le [[http://www.cert.org/advisories|CERT-CC]] (CERT(r) historique, Carnegie Mellon, USA) * pour le [[http://ciac.llnl.gov/cgi-bin/index/bulletins|CIAC]] (Computer Incident Advisory Capability, gouvernemental USA) ======Sites institutionnels traitant de la sécurité====== * Inter Ministériel : [[http://www.ssi.gouv.fr/fr/|ANSSI]], [[http://www.cnil.fr|Informatique et liberté]], [[http://www.securite-informatique.gouv.fr/|Portail de la sécurité]], [[http://www.internet.gouv.fr|Portail internet]] * Ministère de tutelle : [[https://www.pleiade.education.fr/portal/pleiade/hfds|Extranet du HFDS]] * MINEFI : [[http://www.telecom.gouv.fr/index.php|telecom.gouv.fr]] * CNRS :[[http://www.sg.cnrs.fr/fsd/|Fonctionnaire de sécurité]], [[http://www.urec.cnrs.fr/rubrique102.html|UREC]], [[http://www.sg.cnrs.fr/daj/Default.htm|Direction des affaires juridiques]] ======Autres sites====== * La revue [[http://www.sg.cnrs.fr/FSD/securite-systemes/revue.htm|Sécurité Informatique]] du CNRS * [[http://www.clusif.asso.fr/|le CLUSIF]](Club de la Sécurité de l'Information Français) * [[http://www.ossir.org/|l'OSSIR]] (observatoire de la sécurité des SI)dont les présentations suivantes : * [[http://www.ossir.org/sur/supports/liste.shtml| Groupe SUR]]. Vous y trouverez notamment une étude sur la sécurité de VoIP et un IDS basé sur wireshark * [[http://www.ossir.org/windows/supports/liste.shtml| Groupe Windows]]. Vous trouverez entre autre une présentation de AppScan (audit d'applications web) * Base de données [[http://www.securityfocus.com/|Securityfocus]] (hébergeur de bugtracks) voir //vulnerabilities// colonne de gauche.