Opérateur de services numériques
Print

Plan d'Assurance Sécurité de la plate-forme Territoires Numériques Bourgogne-Franche-Comté

Principales mesures de Sécurité concernant la  plateforme

Voici des extraits du Plan d’Assurance Sécurité  concernant l’organisation mise en place, la méthodologie suivie pour gérer la sécurité du projet et une présentation des mesures physiques, organisationnelles, procédurales et techniques retenues pour la réalisation et l’hébergement du système d’information.

La sécurité de la plateforme s’appuie principalement sur : 

 

Un cadre organisationnel et réglementaire :

  • une organisation de la sécurité établissant les rôles de chacun ;
  • les politiques et procédures de sécurité définies par notre opérateur technique; 
  • une veille sécurité ;
  • le Plan d’Assurance Sécurité pour le projet ;

 

Une gestion rigoureuse du personnel : 

  • la séparation des fonctions ;
  • l’habilitation du personnel et des engagements de confidentialité ;
  • la formation et la sensibilisation aux enjeux du RGPD ;
  • une traçabilité des actions ;
  • des processus d'alerte et d'escalade

 

SECURITE LIEE AUX RESSOURCES HUMAINES

Habilitation 

Les personnels autorisés à accéder à des données du projet sont habilités individuellement.

Confidentialité 

Le personnel de Territoires Numériques BFC est tenu de signer un accord de confidentialité, inclus dans les modalités d’embauche.

Formation

Les équipes intervenant sur le projet ont accès au Plan d’Assurance Sécurité et sont sensibilisées à la nécessité de le mettre en œuvre. Le plan de formation et de sensibilisation du personnel comprend :

  • des informations ponctuelles sur les différentes règles de sécurité en usage ;
  • des séances de sensibilisation ;
  • des formations adaptées et ponctuelles pour les acteurs principaux de la sécurité

Gestion du personnel

Notre opérateur technique organise ses équipes et leur travail en prenant en compte les congés et éventuelles absences imprévues de son personnel. Notre opérateur technique s’engage donc à être en capacité à assurer à tout moment la totalité des missions qui lui sont confiées par Territoires Numériques BFC, au besoin par la mise en œuvre d’astreinte sur les profils et périmètres sensibles.

 

CONTROLE D’ACCES


Contrôle d’accès aux applications et aux données :

Notre opérateur technique met en place une solution globale AAA (Authentication, Authorization, Accounting) adressant les problématiques d'authentification, d'autorisation, et de traçabilité composée d’un référentiel centralisé de gestion de l’identité et des droits d’accès, basé sur un socle logiciel Identity Manager intégré avec les processus de gestion du personnel (entrées/sorties, mouvement de personnel).

Les mécanismes de sécurité gérés par la solution AAA assurent :

  • une identification individuelle et nominative de chaque personne ;
  • une authentification forte de la personne à travers un canal sécurisé protégeant l’échange des éléments d’authentification ;
  • un contrôle d’autorisation d’accès individuel à la plate-forme accédée ;
  • une attribution d’un rôle et des privilèges associés en fonction du poste et de la mission de la personne ;
  • une traçabilité des actions liées à la gestion des comptes, des droits et des accès.

Les droits d’accès aux équipements sont accordés en fonction du rôle du titulaire de compte utilisateur et selon le principe du moindre privilège. 

Chaque personne habilitée à se connecter se voit délivrer un compte et un profil d'accès et des privilèges correspondants à son rôle (ingénieur système, exploitant, administrateur BDD, intégrateur, ...).

Les comptes super-administrateurs ne sont pas attribués sauf besoin spécifique et ponctuel : l'utilisation d'un compte super-administrateur doit être autorisé dans le cadre d'un incident et doit être tracé comme tel.

Enregistrement et identification du personnel

Chaque membre du personnel est identifié au sein d’un annuaire centralisé géré par les procédures de gestion des ressources humaines de telle sorte qu’il est systématiquement à jour par rapport aux arrivées, aux départs et aux mouvements de personnel. L’enregistrement dans l’annuaire ne donne accès à aucune plate-forme d’hébergement.

Tout membre du personnel devant accéder à une plate-forme doit être autorisé par le responsable de l’application pour un rôle conforme à la mission de la personne.

Accès réseau et services

Des règles techniques de filtrage commentées sont mises en place sur les routeurs et pare-feu afin de n’autoriser que l’accès aux serveurs identifiés. Chaque pare-feu est configuré sur le mode « tout ce qui n’est pas explicitement autorisé est interdit » dit « liste blanche ». 

Tout comme pour les serveurs, l’administration des équipements réseaux (pare-feu, routeurs, commutateurs) se base sur le principe de bastions. L’administration se fait par un protocole sécurisé (SSH v2) sur un réseau cloisonné d’administration. Les postes d’administration et les accès aux bastions sont protégés par une authentification forte par carte à puce. Tous les équipements réseaux sont surveillés via des outils centraux de supervision.

Responsabilités du personnel

Chaque membre du personnel est responsable de protéger la confidentialité des éléments d’authentification (mot de passe, certificat, carte à puce, ...) qu’il détient pour se connecter aux équipements et services. Ils ne doivent être ni écrits, ni partagés. Ils ne doivent jamais être communiqués à d’autres personnes.

Traçabilité

Afin de garantir la traçabilité des actions effectuées, une journalisation est mise en œuvre.  La journalisation consiste à : 

Enregistrer les actions des utilisateurs pouvant avoir un impact sur la sécurité et à analyser à postériori les événements de sécurité enregistrés ;
Enregistrer les logs de trafic produits par les pare-feu ;
Surveiller l’état de sécurité du système, afin de réagir au plus tôt lors de la détection d’un événement sensible pour la sécurité du système.

CRYPTOGRAPHIE

Les différents systèmes mis en œuvre font usage de fonctions cryptographiques qui sont utilisées en adéquation avec les contraintes projet et les documents de référence produits par l’ANSSI et, notamment, l’annexe B du RGS

 

SECURITE PHYSIQUE ET ENVIRONNEMENTALE

Zones de sécurité

Les zones de sécurité sont les locaux de bureau et les locaux techniques abritant les moyens d’hébergement et le personnel en charge de leur développement et de leur maintien en condition opérationnelle.

Ces locaux sont protégés contre tout accès non autorisé et des moyens de surveillance sont mis en place pour permettre d’intervenir en cas d’intrusion. Ces moyens doivent être adaptés aux menaces, aux particularités des locaux et respecter les réglementations en vigueur. Ces moyens sont documentés et régulièrement contrôlés par le responsable du site.

Les centres de données ne sont pas des zones d’accès public et sont dépourvus de signalétique permettant d’identifier les SI hébergés. Lorsque le site comporte à la fois des bureaux et des salles serveurs, ils sont séparés dans des zones de sécurité physique différentes. Les zones de livraison et de chargement sont isolées dans des zones de sécurité distinctes.

Contrôle d’accès

Les sites sont tous sécurisés par un système de contrôle d'accès requérant un badge individuel auquel est associé un profil d'accès indiquant les zones de sécurité et les plages horaires autorisées. Aucun accès visiteur n'est possible sans présentation d'une pièce d'identité et sans accompagnateur autorisé. La gestion du système de contrôle d'accès est formalisée (procédure de demande d'accès, d'habilitation, de suppression d'accès et de réexamen des droits d'accès) et fait l'objet de contrôles périodiques par la personne en charge de la sécurité du site. Les accès sont tous tracés et conservés en conformité avec la réglementation en vigueur.

Protection contre les menaces dues à l’environnement

Les centres de données hébergeant le matériel sont équipés de dispositifs de détection et d'extinction d'incendie, de protections contre la foudre, de système d'écoulement des fluides dans les faux planchers et de dispositifs de détection de fuite d'eau. Les salles serveurs sont situées en un point haut par rapport à tout écoulement et à l'abri d'une inondation provenant d'étages supérieurs. L'ensemble des dispositifs est soumis à une maintenance régulière, journalisée et auditée.

Sécurité du matériel

Des contrats de maintenance sont souscrits pour le matériel conformément aux exigences en matière de maintien en condition opérationnelle : du matériel de rechange est disponible et/ou les délais d'intervention du tiers mainteneur sont définis de telle sorte que l'infrastructure permette de maintenir les engagements de disponibilité et d'intégrité en fonction des niveaux de redondance prédéfinis.

 

GESTION DE L’EXPLOITATION

Séparation des environnements

Plusieurs environnements sont mis en œuvre afin de cloisonner les données utilisées et en particulier les données réelles :

  • Un environnement de production hébergeant les données réelles ;
  • Un environnement de pré-production ;
  • Un environnement de test.

Protection contre les codes malveillants

Tous les postes de travail sont munis d’un logiciel de lutte contre les virus et codes malveillants. Ce logiciel est configuré pour analyser les fichiers lors de leur ouverture ou leur modification sur disque mais également pour opérer une analyse complète du poste de travail une fois par semaine. La configuration du logiciel anti-virus est vérifiée toutes les heures.

Les templates des machines virtuelles incluent tous un d’un logiciel de lutte contre les virus et codes malveillants configuré pour assurer une mise à jour automatique de sa base virale de manière régulière.

Sauvegardes et restauration

Afin de garantir un niveau de service optimal, une traçabilité de toutes les évolutions est mise en œuvre. Il est ainsi possible à tout moment de consulter l’historique des modifications et de revenir si nécessaire de manière cohérente à un état antérieur. 

Un système de sauvegarde sur bandes est mis en œuvre sur l’environnement de production afin de protéger les données stockées en bases de données ou sous forme de fichier (en complément des mécanismes de redondance ou de réplication de données intersites). 

L’ensemble des données restent au sein des locaux de notre opérateur technique et de ses sous-traitants et profitent de la politique de sécurité notre opérateur technique et du présent document.

Gestion des vulnérabilités techniques

Les mesures de sécurité appliquées aux systèmes d’exploitation des serveurs consistent : 

  • à appliquer les correctifs à la dernière version sur les systèmes ;
  • à minimiser les services accessibles, et ce quelle que soit leur position dans le réseau (DMZ ou interne) ;
  • à supprimer tous les services et démons non indispensables (ex. lpd, chargen, echo, NFS, …) ;
  • à utiliser des adresses IP spécifiques virtuelles montées en « multi-homing » dans un souci de sécurité (filtrage par service) et de souplesse d’administration (bascules des services plus simples) pour les services accessibles au grand public (DNS, HTTP) ;
  • à supprimer les comptes inutiles ;
  • à changer tous les mots de passe par défaut et respecter la politique de mot de passe ;
  • à affiner certains paramètres impactant la sécurité par exemple, la génération des numéros de séquence, ...

 

SECURITE DES COMMUNICATIONS

Sécurité des réseaux

L’ensemble des flux opérés dans le cadre du projet est identifié au sein d’un référentiel appelé « matrice des flux ». Cette matrice sert de base à la construction de l’architecture réseau de notre solution et à la segmentation des flux. Les flux sont segmentés entre différents réseaux en fonction de leur criticité, leur destination et des différents environnements mis en œuvre sur la plateforme du projet Territoires Numériques BFC.

L’ensemble des flux entrant et sortant de notre plateforme est protégé en intégrité et confidentialité par la mise en œuvre des protocoles TLS ou SSH (ou protocole équivalent) et dans le cas des échanges avec les partenaires, une authentification mutuelle sera requise. Les points d’interconnexion entre le SI et le réseau internet sont protégés par des systèmes anti-DDOS couvrant les principaux types de menace et offrant une capacité de mitigation en adéquation avec les enjeux projets.

Qualification de sécurité

Séparation des environnements : les environnements de pré-production et de test sont totalement séparés des environnements de production. Toute modification logicielle est exécutée et validée de façon consécutive sur les environnements hors production avant la production.

Suivi des vulnérabilités : les publications de corrections de sécurité par les éditeurs sont prises en compte par les équipes afin de mettre à jours les composants dans les délais prévus dans le CCTP du marché

Contrôle logiciel de pré-production : chaque mise en œuvre d’un nouveau moyen de traitement est soumise à un processus d’autorisation formelle. La mise en exploitation des équipements et des logiciels fait l’objet :

  • d’une revue du respect des spécifications de sécurité et de correction des failles ;
  • de tests de non-régression et de mesures de performance ;
  • de tests fonctionnels et opérationnels complets ;
  • de la mise à niveau.

Mise à jour logicielle : avant toute modification d’un objet en production, on s’assure qu’un processus de retour en arrière est possible (sauvegarde opérationnelle...). Toutes les opérations de maintenance sont enregistrées avec le détail des actions effectuées (quoi, qui, quand et comment) et font l’objet d’un suivi. La maintenance des équipements est systématiquement effectuée sur site.

Vérification des dispositifs de sécurité des systèmes après évolution : les dispositifs de sécurité sont documentés, reconfigurés, activés, vérifiés et mis sous une surveillance active après chaque installation ou évolution majeure. Les tests, recettes, installations et suivis des équipements et logiciels font l’objet de procédures formalisées, documentées et maintenues.