======Sécurité des Systèmes d'Information (SSI)====== =====Documents publics du SDSSI===== * {{:securite:sdssi-livret1-organisationetorientation.pdf|Organisation et orientations de la sécurité des systèmes d'information et de télécommunication du MJENR}}. (à lire en premier) * {{:securite:sdssi-livret2-cadrecommun.pdf|Cadre commun de la sécurité des systèmes d'information et de télécommunication}} * {{:securite:sdssi-annexe2-juridique.pdf|Annexe juridique}} * {{:securite:sdssi-annexe3-guidetecutil.pdf|Guide technique type de l'utilisateur}} * Exemple de charte. {{:securite:sdssi-annexe4-charteeleve.pdf|La charte élève (secondaire)}}. ===== Gestion des traces ===== Un document cadre pour la gestion des journaux informatiques a été élaboré ; la CNIL a été interrogée sur ce document par la CPU. Dans sa {{::securite:reponse-alex-turk-gestion-des-traces.pdf|réponse du 26 novembre 2008}}, Alex Türk, président de la CNIL émet quelques remarques qui ont été intégralement prises en compte dans le document ci-dessous. {{::securite:gestiondestraces-v2.6.pdf|gestion des journaux informatiques.pdf}} .({{:rssi:gestiondestraces-v2.6.odt|idem au format openoffice}} accès réservé aux RSSI) =====Organisation de la SSI dans l'enseignement supérieur et la recherche===== * [[.designation_des_rssi|Processus de désignation des RSSI]] * [[securite:chaine_fonctionnelle_et_organisation_interministerielle|La chaîne fonctionnelle SSI interministérielle]] * [[securite:rôle, place et productions du RSSI]] (voir [[rssi:éléments constitutifs d'une lettre de mission|l'intranet des RSSI]] pour informations complémentaires) * [[securite:sources d'information du RSSI]] * [[securite:en cas d'incident|En cas d'incident : interlocuteurs, procédures...]] (plus d'informations dans l'[[rssi:en cas d'incident|intranet RSSI]]) * [[securite:articulation avec les EPST]] * [[securite:annuaires des interlocuteurs]] (ADDIR, CRSSI, CIL, RSSI...) * [[http://www.renater.fr/IMG/pdf/charte_fr.pdf|la charte RENATER]] * [[http://www.dsi.cnrs.fr/pre_BO/2007/03-07/tpg/charte-informatique.pdf|Charte d'utilisation des moyens informatiques du CNRS]] * [[:rssi:|Intranet des RSSI]] =====Éléments de mise en oeuvre===== /* * [[.pourquoi|Pourquoi mettre en oeuvre une sécurité informatique et réseau ?]] */ /* * [[http://www.sg.cnrs.fr/FSD/securite-systemes/documentations_pdf/securite_systemes/PSSI-V1.pdf|Politique de Sécurité des Systèmes d'Information du CNRS]] */ * [[http://www.cru.fr/services/tcs/index|certificats électroniques]], [[http://federation.renater.fr|fédération Éducation-Recherche]], [[http://www.eduroam.fr|eduroam]],\\ cadre de cohérence technique (AMUE), {{:rssi:cadre_coherence_technique_annexe_technique_generale_si_v021.doc|visible dans l'Intranet des RSSI}} * [[http://www.cru.fr/activites/spam/|Protection contre le SPAM]] * [[http://www.renater.fr/IMG/pdf/PF-wifi-v6-1f.pdf|politique de filtrage de ports à l'attention des réseaux sans fil accueillant des nomades]] * [[http://www.renater.fr/IMG/pdf/PreconisationSecurisation-4df.pdf|préconisation de sécurisation de réseaux sans-fil]] * [[http://www.cpu.fr/fileadmin/fichiers/systeme_info/Cadre_de_coherence_technique_du_SI_ESR.pdf|cadre de cohérence technique ESR]] * [[http://www.ssi.gouv.fr/site_rubrique57.html|Le référentiel général de sécurité]] * [[http://www.ssi.gouv.fr/site_article173.html|La méthode EBIOS]] * [[.tests_de_turing|Bloquer les robots avec des tests de Turing]] =====Archives des CERTs===== Un CERT(r) (Computer Emergency Response Team) est un organisme de sécurité chargé, entre autre, d'émettre des rapports sur les failles de sécurité découvertes dans les protocoles, les services et les logiciels. Des archives sont disponibles : * pour le CERT RENATER à [[http://www.cert.uhp-nancy.fr/|l'UHP de Nancy]] * pour le [[http://www.cert.org/advisories|CERT-CC]] (CERT(r) historique, Carnegie Mellon, USA) * pour le [[http://ciac.llnl.gov/cgi-bin/index/bulletins|CIAC]] (Computer Incident Advisory Capability, gouvernemental USA) =====Sites institutionnels traitant de la sécurité===== * État : [[http://www.ssi.gouv.fr/fr/|DCSSI]], [[http://www.cnil.fr|Informatique et liberté]], [[http://www.securite-informatique.gouv.fr/|Portail de la sécurité]], [[http://www.internet.gouv.fr|Portail internet]] * Ministère de tutelle : [[https://www.pleiade.education.fr/portal/pleiade/hfds|Extranet du HFDS]] * MINEFI : [[http://www.telecom.gouv.fr/index.php|telecom.gouv.fr]] * CNRS :[[http://www.sg.cnrs.fr/fsd/|Fonctionnaire de sécurité]], [[http://www.urec.cnrs.fr/rubrique102.html|UREC]], [[http://www.sg.cnrs.fr/daj/Default.htm|Direction des affaires juridiques]] =====Autres sites===== * La revue [[http://www.sg.cnrs.fr/FSD/securite-systemes/revue.htm|Sécurité Informatique]] du CNRS * [[http://www.clusif.asso.fr/|le CLUSIF]](Club de la Sécurité de l'Information Français) * [[http://www.ossir.org/|l'OSSIR]] (observatoire de la sécurité des SI)dont les présentations suivantes : * [[http://www.ossir.org/sur/supports/liste.shtml| Groupe SUR]]. Vous y trouverez notamment une étude sur la sécurité de VoIP et un IDS basé sur wireshark * [[http://www.ossir.org/windows/supports/liste.shtml| Groupe Windows]]. Vous trouverez entre autre une présentation de AppScan (audit d'applications web) * Base de données [[http://www.securityfocus.com/|Securityfocus]] (hébergeur de bugtracks) voir //vulnerabilities// colonne de gauche.