10 bonnes pratiques

Vincent Mazenod, CRSSI DR7

Pourquoi?
Pour qui?

La SSI en France

Pilotée par le secrétaire général de la défense et de la sécurité nationale directement rattaché au premier ministrre
Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)
- créée en 2009 à la suite de la publication du livre blanc sur la défense et la sécurité nationale
- force de prévention et de réaction aux attaques informatiques
- concerne les services publiques et les entreprises
7 Observatoires zonaux de la SSI
Un haut fonctionnaire sécurité défense par ministère
Un responsabe SSI (RSSI) par institution
la DGSI (Direction Générale de la Sécurité Intérieure - ex-DCRI depuis le 17/06/2013) & (Direction Générale de la Sécurité Extérieure) sont parti prenantes

Chaîne fonctionnelle

permet de piloter la politique dans un sens

permet la remontée des incidents dans l'autre sens

Corollaire: Chaîne fonctionelle = Cascade de responsabilités

Qui est qui?

RSSI du CNRS Louis De Benedito
- CRSSI à la DR7 Ernest Chiarello
  - CSSI du CERDI - un correspondant SSI par unité au CNRS - Vincent Mazenod
RSSI à l'UdA Laurent Bérenguier

Stratégie globale consignée dans Livre blanc sur la défense et la sécurité nationale

Comité stratégique de la SSI

les deux aspects de la SSI

Enjeu de Groupe : améliorer le comportement de chacun pour pérserver les enjeux du groupe que ce soit une administration ou entreprise

“L’art de fortifier ne consiste pas dans des règles et des systèmes mais uniquement dans le bon sens et l’expérience”

Sebastien le Prestre de Vauban (1633-1707)

Enjeu de Souveraineté: Si vous ne vous préoccupez pas de votre sécurité ou de la sécurité du groupe, d'autres s'en préoccuperont pour vous ...

les 10 bonnes pratiques du CNRS

issues en partie
- des recommandations de l'ANSSI
- des recommandations de la CNIL

sensibiliser l'utilisateur final
- améliorer son comportement / ses réflexes "SSI"
  - au sein de l'unité
  - en dehors de l'unité
    - à la maison
    - en mission
    - en colloque
sensibiliser tous les utilisateurs
- tous ceux qui appartiennent à l'unité / labo /composante
  - quelque soit la tutelle de provenance
- doit devenir systématique pour les nouveaux entrants

L'idée: Be Aware

"Y a des gens qui n'ont pas réussi parce qu'ils ne sont pas aware, ils ne sont pas "au courant". Ils ne sont pas à l'attention de savoir qu'ils existent. Les pauvres, ils savent pas. Il faut réveiller les gens."

C'est trop compliqué -> 40 règles d'hygiène ou 10 bpu

C'est trop de contriantes pour les utilisateurs

-> vitesse (limitation à 130 sur la route) -> trier (laisse t on les feuilles de salaire avec les prospectus) ->Il y a des règles dans le monde immatériel comme dans le monde matériel et il faut les respecter NON on ne travaille pas avec son terminal privé NON je ne mets pas les données dans le cloud NON je ne voyage pas avec des données sensibles claires .... osez dire non http://www.youtube.com/watch?v=yvHNeL-Z2k0

10 bonnes pratiques

La SSI en France

Chaîne fonctionnelle

Qui est qui?

les deux aspects de la SSI

les 10 bonnes pratiques du CNRS

issues en partie

des recommandations de l'ANSSI

des recommandations de la CNIL

sensibiliser l'utilisateur final

sensibiliser tous les utilisateurs

L'idée: Be Aware

C'est trop compliqué -> 40 règles d'hygiène ou 10 bpu

C'est trop de contriantes pour les utilisateurs

Réflexion et vigilance à tout instant

10 bonnes pratiques

La SSI en France

Chaîne fonctionnelle

Qui est qui?

les deux aspects de la SSI

les 10 bonnes pratiques du CNRS

issues en partie

des recommandations de l'ANSSI des recommandations de la CNIL

sensibiliser l'utilisateur final

sensibiliser tous les utilisateurs

L'idée: Be Aware

C'est trop compliqué -> 40 règles d'hygiène ou 10 bpu

C'est trop de contriantes pour les utilisateurs

Réflexion et vigilance à tout instant

des recommandations de l'ANSSI

des recommandations de la CNIL