ORG-RESP

Organisation et responsabilités

Les responsabilités en matière de définition, de mise en oeuvre, de suivi et gestion de la politique de sécurité, ainsi que les principes fondateurs de cette politique, sont définis et formalisés dans le document « Politique de sécurité du Système d’information » (PSSI) approuvé par le Rectorat.

Le Responsable de la sécurité du système d’information (RSSI) est chargé en particulier de définir l’organisation qui permet de s’assurer de la mise en œuvre concrète des principes décrits dans la PSSI.

Contact : P. L'Hostis, pierre.lhostis(at)unige.ch

ORG-POL

Déclinaison de la politique de sécurité

Pour rendre la politique de sécurité accessible et applicable, elle est déclinée concrètement en règles générales de sécurité (présent document). Ces règles sont elles-mêmes détaillées comme suit :

• la charte d'usage des ressources numériques, à destination des utilisateurs (collaborateurs, étudiants, prestataires...) ;
• un ensemble de directives et de procédures de sécurité (PS) qui précise les règles organisationnelles et techniques qui permettent de gérer concrètement la sécurité du SI ;
• un ensemble de meilleures pratiques et de standards reconnus internationalement et applicables à l'Université.

Contact : P. L'Hostis, pierre.lhostis(at)unige.ch

ORG-PROJET

Piloter la sécurité dans les projets de SI

La sécurité de l’information doit s’intégrer dans le cycle de vie des projets qui permet de délivrer les services numériques du SI (depuis l’étude préalable jusqu’au retrait de la solution), quelle que soit la nature du projet concerné (création, évolution technique ou fonctionnelle majeure).

Ceci permet :

• d’apprécier les niveaux de risques induits par le projet, tant sur les systèmes existants que sur la nouvelle solution ;
• d’en déduire les mesures de protection nécessaires qui devront être étudiées, conçues, déployées et exploitées durant les autres phases du projet.

Cette prise en compte de la sécurité dans le cycle de vie du projet est inscrite dans la méthodologie projet mise en œuvre à l’UNIGE et explicitée sur le site du Project Management Office.

INFO-CLASSIF

Classification de l’information

Une classification exhaustive du niveau de sécurité de chaque information n’est pas un pré-requis, compte tenu de la charge de travail qu’elle induit, versus les bénéfices produits.

Néanmoins lorsque dans le cadre d’un projet, un besoin en sécurité est identifié concernant la disponibilité, l’intégrité, la confidentialité ou la traçabilité (« DICT ») de l’information manipulée ou des services déployés, une évaluation du niveau de sécurité peut s’avérer utile pour par exemple définir les mécanismes de protection nécessaires.

Les actifs en support (serveurs, bases de données, réseau, applicatifs, etc.) peuvent également être classifiés en fonction de l’information qu’ils stockent, traitent ou manipulent, afin de simplifier l’identification des mesures de sécurité à appliquer

INFO-PROP

INFO-ACTIFS

Inventaires des actifs et des usages du SI

Il faut maintenir à jour la liste des actifs (matériels, logiciels, etc.) qui composent le SI.

Pour cela, les gestionnaires d’actifs du SI, et en particulier les collaborateurs de la Division STIC, doivent maintenir à jour un inventaire exhaustif des actifs en support (matériels, logiciels, annuaires, matrices de droits d’accès applicatifs, tables de gestion ou filtrage réseau, etc.) qui composent le SI de l'UNIGE ou qui sont autorisés à interagir avec ce dernier (ex. : service externes).

Pour chaque actif, outre les données techniques (nom, version technique, fournisseur, localisation…) cet inventaire mentionnera l’identité du gestionnaire responsable (personne ou entité).

De plus, les architectures notamment réseau doivent être décrites et formalisées dans des schémas.

USER-CHARTE

Charte utilisateur

La charte d’usage des ressources numériques fournit une synthèse des droits et des devoirs en termes d’accès aux ressources informatiques.

Tous les utilisateurs du SI – collaborateurs, étudiants, prestataires, etc. – doivent prendre connaissance et accepter les conditions de la charte avant d'accéder au système d'information.

USER-SENSI

Sensibilisation et formation à la sécurité de l’information

Un programme de sensibilisation à la sécurité de l’information vise à sensibiliser les collaborateurs, les étudiants et, le cas échéant, les personnes externes ; ils reçoivent également régulièrement les mises à jour de la politique de sécurité et des procédures s’appliquant à leurs fonctions.

Pour les fonctions présentant des exigences de sécurité de l’information spécifiques, un apprentissage et des formations adaptés sont fournis ou une mesure de l’adéquation entre les exigences du poste et les compétences des collaborateurs est effectuée.

USER-ETI

Sécurisation de l’environnement de travail individuel

La stratégie de l’environnement de travail individuel (poste de travail, tablette, smartphone, etc.) doit définir les exigences relatives à la sécurité de l’information (stratégie institutionnelle) et les modalités de mise en œuvre de ces exigences (stratégie opérationnelle). Elles concernent principalement l’accès au réseau, la lutte antivirale, la mise à jour des systèmes et des composants logiciels.

Dans le cas du non respect de ces exigences, une restriction temporaire ou permanente d’accès au réseau de l’UNIGE pourra être activée.

USER-BYOE

Equipements et applications personnelles (Bring Your Own Environment)

L’utilisateur qui se connecte aux ressources informatiques de l’UNIGE avec des ressources tierces (Bring Your Own Device) garantit leur innocuité (installation des correctifs de sécurité du système, mise à jour des anti-virus, etc.).

L’utilisateur qui installe et utilise des logiciels qui ne sont pas mis à disposition et maintenus par l’Université, que ce soit sur un équipement institutionnel ou une ressource tierce, s’assure également de leur innocuité et de leur mise à jour régulière dans une version reconnu.

Dans le cas du non respect de ces conditions, une restriction temporaire ou permanente d’accès au réseau de l’UNIGE pourra être activée.

Surveillance du matériel utilisateur

L’utilisateur est responsable des moyens informatiques mis à sa disposition et doit veiller à leur protection.

Des consignes de sensibilisation doivent lui être fournies, notamment par le service Service santé au travail, environnement, prévention et sécurité (STEPS) et la Division STIC, pour lui rappeler de ne jamais laisser d’équipements mobiles (PC Portable, tablette, mobile…) visibles sans surveillance tant à l’UNIGE (sauf bureau personnel fermé à clé), qu’à l’extérieur (train, avion, hôtel, salle de conférence…).

Pour les stations de travail de l’institution, ces consignes doivent rappeler à l’utilisateur les meilleures pratiques : verrouiller son écran en cas d’absence momentanée, et se déconnecter des applications ou des services en réseau lorsqu’il n’en a plus besoin.

En cas de vol ou de dégradation, l’utilisateur sollicite la sécurité interne au 1222 ou directement en ligne : www.unige.ch/steps.

Gestion des données personnelles (LIPAD)

L'Université de Genève étant un établissement de droit public cantonal, la loi genevoise sur l'information du public et l'accès aux documents (LIPAD) lui est applicable. Cette loi consacre un titre complet à la protection des données personnelles.

Les collaborateurs, étudiants ou personnes externes ayant à leur charge la gestion d’un fichier contenant des données personnelles, informatisé ou non, doivent s’assurer que la gestion de celui-ci est conforme aux exigences de la Directive d’application de la LIPAD à l’Université.

En particulier, une déclaration peut-être nécessaire et doit être adressée à la Correspondante LIPAD pour publication dans le catalogue des fichiers du préposé cantonal à la protection des données et à la transparence (PPDT).

Utilisation de services Cloud

L’utilisation de services de stockage et de synchronisation dans le Cloud – de type Dropbox ou Google Docs – pour des données sensibles, notamment à caractère personnel, est interdit, en application de la loi genevoise LIPAD et de son règlement d’application RIPAD.

Les besoins d’usage de service « cloud » pour le partage d’information avec des tiers ou la synchronisation de terminaux doit impérativement s’appuyer sur les services équivalents opérés ou proposés par l’Université et la Division STIC (Filr, SWITCHdrive).

L’usage de services type « cloud » pour d’autres types de données (non contraintes par la LIPAD) est fortement déconseillé sans l‘ajout d’un produit de chiffrement complémentaire garantissant à l’Université ou à l’utilisateur la maîtrise exclusive des clés de chiffrement (ex. boxcryptor).

Gestionnaire de composants du SI

Certains collaborateurs sont non seulement des utilisateurs du SI mais également chargés de la mise en œuvre et de la maintenance de composants actifs du SI (systèmes, serveurs, matériels de stockage, etc.), il s’agit notamment des administrateurs des systèmes centraux au sein de la Division STIC, ou locaux au sein des facultés.

Ces collaborateurs doivent s’assurer du respect des meilleures pratiques de sécurisation du SI (cf. 06. « Le respect des meilleures pratiques sécurisent l’infrastructure du SI ») qui s’appliquent à leur domaine de compétence.

En cas d’incident (vol de données, malware, etc.), le gestionnaire en informe la chaîne de support (correspondants informatiques, Centre d’accueil des demandes).

ACCES-IDENT

Identification des utilisateurs

L’accès à toute ressource non publique du SI doit nécessiter une identification et une authentification individuelle et nominative de l’utilisateur.

Cette identification doit s’appuyer sur des identifiants utilisateurs uniques et personnels permettant de relier les utilisateurs à leurs actions, en termes de droits d’accès et de traçabilité.

Ces identifiants personnels doivent découler des référentiels des utilisateurs du SI (RH, Etudiants, externes, etc.).

Par défaut, les identifiants génériques sont proscrits, sauf exceptions justifiées et moyennant des restrictions développées dans la règle ACCESS-GENERIC « Limitation des comptes génériques ».

ACCES-AUTHENT

Authentification des utilisateurs

L'authentification consiste à s’assurer que l’individu qui se connecte est bien celui qu’il prétend être.

Sauf contraintes techniques à justifier, l’identification et l’authentification des utilisateurs dans les applications non sensibles, doit impérativement s’appuyer sur l’accès informatique ISIs. Le mot de passe utilisé est le mot de passe ISIs et, lorsque cela est possible, la solution de SSO^[1], qui permet d’accéder à plusieurs applications sans besoin de se réauthentifier, doit être activée.

Dans le cas particulier des applications sensibles, il est nécessaire d’utiliser un mécanisme d’accès distinct de celui proposé par ISIs (mot de passe spécifique, authentification forte).

[1] SSO : Single Sign On ou signature unique

ACCES-DROITS

Gestion des droits d’accès applicatifs

La gestion des droits d’accès est fondée sur les principes suivants :

• Le besoin d’accès : chaque utilisateur n’est autorisé à accéder qu’aux ressources pour lesquelles on lui accorde explicitement le bénéfice de l’accès ;
• Le moindre privilège : chaque utilisateur accède aux ressources avec le minimum de privilèges lui permettant de conduire les actions explicitement autorisées.

Un cycle de vie des droits doit également être mis en oeuvre afin de maîtriser les opérations de création, modification, révocation, suppression des dits droits.

À chaque profil-type de notre SI (étudiants, collaborateurs académiques, personnel administratif et technique, personnel externe, ...) est associé un ensemble de droits génériques. Ceci permet de rendre la gestion des droits de base des utilisateurs du SI plus cohérente et plus efficace.

ACCES-GENERIC

Limitation des comptes génériques

L'utilisation de comptes d'utilisateurs génériques est interdite. Des exceptions sont possibles seulement au titre du respect des points suivants :

• Il existe un besoin dûment justifié qui ne peut pas être correctement couvert par l'application de comptes d'utilisateurs nominatifs (contraintes techniques induites par un logiciel/progiciel, organisation particulière, utilisation très ponctuelle de comptes par des utilisateurs non inscrits dans notre système d'information, ...) ;
• Les droits associés au compte générique sont limités au strict minimum, en particulier l'accès à Internet doit être désactivé par défaut. Il ne doit pas s'agir d'accès à des services numériques ou informations sensibles du SI ;
• Un responsable du compte générique est nommé ; il est responsable en particulier de la remise et du suivi des identifiants et authentifiants du compte générique au minimum de personnes possibles ;
• La traçabilité est mise en œuvre afin d'avoir un maximum d'informations sur l'utilisation effective du compte ;
• Une revue est faite, a minima tous les ans, pour s'assurer que le compte est toujours nécessaire. L'authentifiant associé au compte générique doit être modifié régulièrement, au minimum une fois par an.
• Tout doit être fait pour que l'utilisation du compte générique ne soit plus nécessaire (évolution du progiciel, création des comptes nominatifs nécessaires, changement d'organisation, etc.)

Sur les serveurs, son usage est toléré uniquement si on peut bloquer le login direct sur le compte, pour forcer une connexion préalable sur un compte individuel avant de permettre un changement d’identité traçable vers le compte générique (concept du SU sous UNIX). Cela concerne tant les comptes systèmes privilégiés (root, admin, dba…) que les comptes applicatifs propriétaires (du point de vue système) des fichiers constituant les applications.

Ressources :

• Formulaire de demande en ligne pour les comptes génériques AD : création, prolongation, gestion des responsables, gestion du mot de passe
• Politique de gestion des comptes génériques AD (accès restreint chaîne de support IT)
• Comment gérer un compte générique dans l'AD (accès restreint chaîne de support IT)
• Pour toute autre demande relative aux comptes génériques du SI : security(at)unige.ch

ACCES-SERV_PHY

Protection physique des serveurs informatiques

Les serveurs informatiques doivent impérativement se trouver dans une salle informatique sécurisée répondant à l’état de l’art en matière de :

• protection contre les accès physiques de personnes non habilitées ;
• qualité et secours électrique ;
• climatisation, hygrométrie et qualité de l’air ;
• protection incendie et dégât des eaux.

Sauf exception validée par la DiSTIC ou le gestionnaire de la salle informatique concernée, les serveurs ne répondant pas à cette exigence ne disposeront que d’un accès restreint au SI de l’UNIGE.

L’accès physique du personnel en salle informatique est restreint au strict minimum. La liste des ayant droits est revue annuellement par le RSSI.

Les intervenants externes doivent obligatoirement se faire accompagner par une personne habilitée de l’UNIGE, sauf justification validée par la DiSTIC ou le gestionnaire de la salle informatique concernée.

ACCES-TEL_PHY

Protection physique des moyens de télécommunications

Tous les équipements de télécommunications constitutifs du réseau de l’UNIGE (baies de brassage, répartiteurs, switchs/concentrateurs, routeurs, etc.) distribués dans les étages des bâtiments doivent impérativement se trouver dans des locaux ou des armoires fermés à clés sous la responsabilité de la DiSTIC ou de la Division des Bâtiments.

Sauf validation, au cas par cas par la DiSTIC, le partage des armoires avec d’autres équipements (serveurs, imprimantes…) hors contrôle de la DiSTIC est proscrit.

Ces équipements doivent bénéficier d’un courant électrique secouru.

RESO-CLOISON

Cloisonnement du réseau en espaces de confiance

Afin de limiter la propagation des incidents de sécurité (infection, intrusion…), le réseau local interne de l'UNIGE doit être segmenté en zones de confiance, regroupant dans une même zone les équipements disposant d’un niveau de risque homogène.

Une zone est réservée aux équipements gérés et configurés par la Division STIC. Les équipements non gérés par la Division STIC sont rattachés à des zones « tierces » ayant un accès plus limité sur le reste du SI de l'UNIGE.

Les flux entre les différentes zones sont soumis à une politique de filtrage, définie sur la base des besoins métiers, et conjointement par les collaborateurs en charge du réseau, les responsables des développements applicatifs, les administrateurs de systèmes centraux ou facultaires.

La politique de filtrage d’une zone doit être cohérente avec le niveau de sécurité attendue pour cette zone, afin d’éviter de la sur ou sous-sécurité.

Cette segmentation peut être réalisée en utilisant des réseaux physiques ou des réseaux logiques différents.

Les accès entrants depuis Internet doivent impérativement transiter par un « relais », mettant en œuvre des fonctions de détection voire de blocage des attaques aux niveaux IP et applicatif. Ces règles doivent être décrites et partagées au sein des équipes d’exploitation du SI.

Restriction de l’accès aux ressources depuis Internet.

Les postes de travail et les serveurs de l’Université sont configurés par défaut avec une adresse IP privée interne.

Seuls les serveurs ayant besoin d’être accédés depuis Internet doivent utiliser une adresse publique routable. Les autres ressources doivent être configurées par défaut avec une adresse privée interne (« Réseau 10 » pour IPv4, « Réseau FD69 » pour IPv6).

Sécurité des composants réseaux stratégiques

De par leur rôle dans le bon fonctionnement du SI, les services d’infrastructure réseau doivent être considérés comme des composants techniques stratégiques sensibles. Cela inclut notamment les systèmes DNS, DHCP, RADIUS, Firewall, cœurs de réseau…

Ces systèmes doivent rester alignés avec l’état de l’art en termes de sécurité avec notamment :

• Une application prioritaire des correctifs de sécurité dans un délai de 1 mois maximum (sauf alerte de niveau critique) suivant leur publication ;
• Une authentification personnelle et individuelle forte (pas de générique), si possible multi-facteurs ;
• Une journalisation des accès (avec alertes en cas de tentatives répétés) et des actions (modifications).
  

Sécurité du Wi-Fi

Seuls les réseaux Wi-Fi mis en place ou validés par la DiSTIC sont autorisés. Les autres réseaux Wi-Fi « sauvages » installés par des utilisateurs sont proscrits et doivent être immédiatement coupés, et l’équipe sécurité de la DiSTIC doit en être informée.

Le réseau Wi-Fi « unige » destiné aux collaborateurs et aux étudiants de l’UNIGE doit implémenter une politique d’authentification 802.1x en mode WPA2, qui permet de sécuriser les échanges sur le réseau.

Sécurité des accès sortants sur Internet

Tous les flux sortants vers Internet doivent passer par un point central de type « proxy » permettant d’appliquer sur :

• Les flux sortants, une politique de traçabilité des sites visités (exigence légale) et de filtrage
  • Sauf exception, les accès Internet depuis les comptes génériques sont interdits.
  • Sauf contrainte particulière (connexion à des API, mise à jour, supervision...), ce filtrage doit également s’appliquer pour les accès Internet établis depuis les serveurs.
• Les flux rentrants en retour, une détection des requêtes malveillantes.

La DiSTIC doit formaliser les processus de mise à jour des politiques de filtrage et des demandes d’exception.

Sécurité des accès entrants

Les flux entrants doivent faire l'objet d'un filtrage systématique en bordure du réseau. Pour limiter la surface d'attaque depuis l'Internet, les autorisations sont limitées aux flux a priori légitimes, c'est-à-dire que les protocoles et ports inutiles sont bloqués ou filtrés (limités aux utilisateurs légitimes de l'Université).

Pour tous les flux entrants depuis Internet (ou des zones considérées comme non sûres) à destination des sites web publics (sites Internet) ou restreints (sites Extranet, comme par ex. portail.unige.ch) de l’Université, il est fortement conseillé de mettre en œuvre un filtrage applicatif (API spécialisées ou solution de type Web Application Firewall ou équivalent) pour se protéger notamment des attaques listées dans le TOP 10 de l’OWASP.

Sécurité des accès distants des utilisateurs au réseau UNIGE

Certaines applications (telles que le portail institutionnel portail.unige.ch ou le webmail outlook.unige.ch) sont directement accessibles depuis Internet mais seulement après une phase d’authentification de l’utilisateur.

Pour les collaborateurs et les étudiants souhaitant accéder aux autres ressources internes du SI, l’accès à distance au réseau de l’UNIGE doit se faire via le VPN (réseau privé virtuel) qui permet de sécuriser la totalité des échanges entre le poste de l’utilisateur et le réseau de l’Université. Ces accès doivent impérativement passer par les passerelles VPN officielles de la DiSTIC. Tout autre point d’accès est interdit.

Le cas échéant, les personnes externes ayant besoin d’accéder à certaines ressources internes du SI depuis Internet, doivent également utiliser le mécanisme de VPN en demandant au préalable les accès nécessaires.

Pour les prestataires de services ayant besoin d'acccéder de manière ponctuelle ou plus durable à des ressources spécifiques du SI à des fins de configuration, administration ou supervision, des accès spécifiques peuvent être établis via le VPN entreprise. La demande doit être faite auprès de l'équipe sécurité de la DiSTIC.

Sécurité des flux de messagerie

Tous les flux de messageries entrants et sortants sur Internet, doivent se faire via un point central de sécurité mettant en œuvre les fonctions : Anti-spam, Anti-phishing et Antivirus.

Pour éviter que les domaines de messagerie de l’UNIGE ne soient « blacklistés », les postes de travail ou serveurs internes identifiés sur ce point central comme émetteurs de spam sortant seront considérés comme compromis, isolés immédiatement du réseau, et nettoyés ou réinstallés avec une image de référence.

Méthodes d’interconnexion sécurisées entre l’UNIGE et les HUG

Compte tenu de la nature et de la fréquence des échanges entre ces 2 institutions, pour des personnels qui peuvent appartenir simultanément aux 2 institutions, il est possible d’accéder directement à certaines ressources et applications du SI que ce soit à partir du réseau interne de l’UNIGE ou des HUG, c’est-à-dire qu’il n’est pas nécessaire d’utiliser le mécanisme de VPN (cf. règle RESO-DISTANT« Sécurité des accès distants des utilisateurs au réseau UNIGE »).

La liste des applications directement disponibles doit être mise à disposition des collaborateurs concernés.

Les solutions d’échange de données doivent être normalisées dans un catalogue de méthodes de connexion officielles, qui régissent notamment les aspects authentification, contrôles d’accès et chiffrement.
 

Sécurisation des plates-formes techniques

Tous les composants technologiques du SI doivent être installés, configurés et utilisés en se conformant aux standards minimaux de sécurité et guides de bonnes pratiques de sécurité respectifs, en particulier pour les domaines suivants :

• Serveurs UNIX/LINUX,
• Serveurs Windows et Active Directory,
• Systèmes de virtualisation et virtualisés,
• Serveurs d’application,
• Solutions Cloud,
• Système de gestion de bases de données (SGBD),
• Stations de travail.

Les standards minimaux de sécurité sont disponibles sur le site web cybersécurité de l'UNIGE.

Sécurité des développements applicatifs

Tous les développements en particulier de type Web (réalisation interne, achat de progiciels ou service SAAS dans le cloud) et les composants logiciels doivent être conçus de manière à limiter la surface d'attaque vis-à-vis des vulnérabilités connues et en particulier des 10 vulnérabilités des applications Web les plus exploitées (Top 10 OWASP).

De manière concrète, les exigences de sécurité applicative qui doivent être respectées sont définies dans les standards suivants :

• Le standard de sécurité des applications. Dans le cas d'un service applicatif Cloud, le standard de sécurité des solutions Cloud s'applique également ;
• Le guide détaillé de sécurisation des applications.

Dans le cas d'un logiciel fourni par un tiers, celui-ci doit fournir des assurances sur la sécurité du code.

Le niveau effectif de sécurité des applications peut être évalué par des experts en sécurité informatique via des audits externes .

Protections contre les logiciels malveillants

Avec une production mondiale évaluée à plusieurs centaines de milliers de nouveaux malwares par jour, la protection contre ceux-ci repose sur les piliers suivants :

• Sauf exception validée par le RSSI, il existe un logiciel antimalware sur les équipements institutionnels raccordés au réseau UNIGE susceptibles d’infection.
• Ce logiciel anti-malware est complété pas un second produit, idéalement fourni par un autre éditeur, installé sur des points de passage obligés du réseau (notamment la passerelle anti-spam/anti-malware pour les e-mails cf. Règle RESO-MAIL « Sécurité des flux de messagerie »).
• Sauf dérogation validée par le RSSI, l’accès à Internet depuis des systèmes qui fonctionnent sous un OS, ou depuis un navigateur, qui n’est plus supporté par son éditeur (ex. : Windows XP) est interdit.
• La DiSTIC applique un processus d’application des correctifs de sécurité sous un délai raisonnable après leur publication, compatible avec les exigences techniques et fonctionnelles, pour les systèmes d’exploitation et les logiciels sous sa responsabilité.
• L’accès à Internet pour les comptes administrateur ou privilégiés n’est autorisé qu’à des fins d’administration système.
• Des sondes de détection des flux anormaux caractéristiques d’une infection sont installées sur les points-clés du réseau en particulier sur les connexions à Internet, et une procédure permet aux intervenants de la DiSTIC de conduire les investigations et interventions requises, avant, le cas échéant, d’isoler la cause et de déclarer un incident de sécurité.
• Les machines identifiées par ces sondes comme génératrices de trafic anormal, seront déconnectées du réseau et ne pourront être reconnectées au réseau qu’après réinstallation de celles-ci. En effet, un simple nettoyage par l’anti-virus n’est bien souvent pas suffisant. Pour faciliter cette tâche, des mécanismes permettant une réinstallation rapide doivent être mis à disposition de la chaîne de support.

Cette règle est complémentaire avec la règle utilisateur USER-BYOE « Equipements et applications personnelles (Bring Your Own Environment) ».

 

Utilisation des moyens cryptographiques

Le chiffrement de l’information est impératif lors des situations suivantes :

• Transfert des mots de passe sur les réseaux y compris en interne ;
• Stockage des mots de passe dans des fichiers, des bases de données ou des zones de production ;
• Tous les flux sur les réseaux Wi-Fi et VPN ;
• Tous les flux d’administration des composants du SI (SSH, RDP…) ;
• Les bases de données et répertoires de stockage pour les données sensibles ;
• Les sauvegardes conservées sur des sites distants qui ne sont pas sous le contrôle exclusif de la DiSTIC ;

Pour s’assurer de la disponibilité des mots de passe et secrets ainsi chiffrés, la Division STIC doit mettre en œuvre des procédures de recouvrement.

Contact : pki(at)unige.ch

Mise en œuvre et gestion de la cryptographie

Le chiffrement, le hachage et la signature électronique doivent être assurés par des algorithmes standardisés, officiels et réputés « sûrs ». Une liste de référence est fournie, elle distingue :

• les algorithmes sûrs,
• les algorithmes dont l'utilisation n'est plus conseillée mais qui peuvent être encore nécessaires pour des raisons de compatibilité technique. Dans ce cas, il doit être prévu une date de fin d'utilisation de ces algorithmes.
• et enfin ceux à ne plus utiliser (interdits).

Les solutions développées en interne sont proscrites.

L’utilisation de certificats électroniques permettant d’identifier le serveur de production notamment web et de sécuriser les connexions est obligatoire pour les sites nécessitant une authentification de l’utilisateur que ces serveurs soient disponibles à l’interne ou à l’externe. Une certification des clés par une autorité de certification reconnue par les systèmes et les navigateurs web est alors nécessaire (QuoVadis par exemple). L’utilisation de certificats autosignés doit se limiter aux usages strictement internes et à des fins de test ou de sécurisation de connexion entre 2 systèmes de l'infrastructure technique.

Enfin, la signature du code mobile (applets Java, macros Office, etc.) est obligatoire pour les codes fournis par la DiSTIC ou tout autre entité de l’Université. Ceci permet d’éviter des alertes de sécurité sur les postes de travail et de permettre aux utilisateurs de s’assurer que ce code mobile a bien été développé par l’Université. La procédure de signature est à la charge de l’équipe sécurité de la DiSTIC.

Contact : pki(at)unige.ch

Sauvegarde et archivage des informations

Les données stockées sur les serveurs doivent faire l’objet d’un plan de sauvegarde écrit, défini en fonction des besoins formulés par les utilisateurs, en termes de durée de conservation et degré de perte de données potentiellement admissible.

Outre les données métiers, le plan de sauvegarde doit inclure le système d’exploitation, les logiciels et leur paramétrage, la configuration des équipements réseaux et techniques.

Pour éviter que les sauvegardes de données ne soient soumises aux mêmes risques de sinistres que les données, les supports physiques de sauvegardes doivent se situer dans un local sécurisé différent et suffisamment éloigné de celui où se trouvent les supports d’origine de ces données.

L’équipe de production doit superviser le bon déroulement des sauvegardes, traiter les anomalies, et assurer la gestion des supports (étiquetage, gestion de l’usure et renouvellement, …).

Dans le cadre de la sensibilisation, l’utilisateur doit régulièrement être informé des risques liés au stockage local de données sur son poste de travail (non sauvegardé), et être informé des offres de stockage sécurisé mises à sa disposition par la Division STIC (utilitaire de sauvegarde du poste de travail (TSM par exemple), répertoires réseau, SAN/NAS…)

SI-ENV_DEVT

Séparation des environnements (développement / test / production)

Une séparation entre les environnements de production, de formation / test et de développement doit être assurée afin de prévenir :

• les accès ou les changements non autorisés dans l’environnement de production, pouvant impacter la disponibilité et l’intégrité du SI,
• ainsi que des accès illégitimes sur des données sensibles.

Du point de vue confidentialité, les environnements dit à « J-1 », « J-30 », etc., basés sur la recopie à l’identique de l’environnement de production, et requis pour certains traitements sans péjorer les performances de la production, sont assimilés à de la production et relèvent des mêmes mesures de protection.

Pour les données sensibles (santé, RH, financières, etc.), les opérations de développement, test et formation doivent porter sur les jeux de test construits spécifiquement avec des données fictives ou anonymisées. Si la production des jeux de test est techniquement impossible, l’environnement concerné doit alors disposer du même niveau de sécurité que celui de production, notamment en terme de gestion des droits d’accès utilisateurs.

Les interactions applicatives entre la production et les autres environnements (DEV…) sont proscrites. Par exemple, le bon fonctionnement d’une application en production ne doit pas dépendre d’un composant situé dans un environnement de développement.

Sauf intervention d’urgence en cas d’incident, l’accès technique sur les systèmes applicatifs de production est réservé aux équipes systèmes et d’exploitation.

Pour les demandes de support applicatif de problèmes non reproductibles sur les autres environnements, les équipes de développement pourront requérir des droits d’accès limité et temporaire en production avec l’accord du responsable métier concerné.

 

Description de l’architecture et de l’exploitation du SI

Afin de minimiser l’impact sur la disponibilité en cas d’incident, et faciliter la maîtrise du SI et de ses évolutions, une description technique du SI et des procédures d’exploitation nécessaires doit être disponible avec un granularité raisonnable. Cela concerne notamment :

• L’architecture du système d’information et de ses composants ;
• L’installation et la configuration des systèmes ;
• Les travaux planifiés (batchs), y compris les interdépendances avec d’autres systèmes ;
• Les procédures de surveillance et de gestion des erreurs ;
• Les relations et les accords de niveaux de services (SLA) avec l’assistance technique (développement, support niveau 2 ou 3, support éditeur/constructeur…).
  

Gestion des changements

Tout changement apporté sur un composant central du SI, et plus particulièrement sur l’environnement de production doit être encadré par un processus de gestion des changements.

Sauf délégation officielle, ou intervention urgente liée à un incident, les changements (paramétrage, montée de version, corrections non urgentes…), doivent être réservés en production aux équipes d’exploitation. Dans ce contexte, les équipes de développement ne doivent pas intervenir en production.

Afin d’assurer une mise œuvre rapide et contrôlée des modifications requises pour la résolution d’un incident bloquant en production, ce processus de gestion des changements doit prévoir une modification d’urgence.

Les demandes de changement doivent être documentées (justification et nature du changement, bilan des tests réalisée, mesures d’impact, mise à jour de la documentation, procédure de retour arrière…) et contrôlées.

Une communication adaptée doit également être effectuée vers les utilisateurs concernés et vers la chaîne de support.

Mise au rebut des supports de données sensibles

Afin de s’assurer de la potentielle non divulgation de données sensibles, la Division STIC élabore et met en place une procédure de mise au rebut sécurisé pour rendre impossible toute récupération du contenu d’un support informatique retiré du service ou recyclé au sein de l’Université.

Droits d’administration des composants du SI (serveurs, applications, équipements scientifiques…)

Les droits d’administration et les accès aux outils d’administration sont réservés aux personnels habilités par le responsable de la structure concernée.

Tous les mots de passe par défaut d’administration (constructeur) de ces systèmes et composant du SI doivent impérativement être changés et gardés confidentiels.

Les opérations d’administration doivent s’appuyer sur des protocoles sécurisés (exemple : SSH, HTTPS…).

Accès privilégiés et droits d’administrateur sur les serveurs

Pour les personnels qui justifient d’un niveau de privilège élevé pour assurer l’administration ou la configuration des systèmes, et sauf exception technique imposée par le système utilisé, l’accès doit se faire sur un compte utilisateur nominatif et personnel, différent de leur compte personnel employé pour les tâches ordinaires.

En cas de départ ou de changement d’affection de cette personne, l’accès à son compte permettant l’élévation de privilèges doit immédiatement être révoqué.
 

Sécurisation des imprimantes, des photocopieurs multifonctions et des objets connectés

Les fonctions d’administration des photocopieurs multifonctions doivent être sécurisées. Cela implique notamment :

• L’utilisation du réseau interne de l’Université ;
• Le changement des mots de passe par défaut ;
• La désactivation des services réseaux d’administration inutiles dans le contexte d’utilisation-cible (par ex. HTTP, FTP, TFTP, SNMP, AppleTalk…) ;
• Une restriction (politique de filtrage) dans la mesure du possible, de l’accès aux services d’administration ouverts des machines ;
• Un recyclage sécurisé des disques durs internes avant leur mise au rebut (cf. règle SI-REBUT « Mise au rebut des supports de données sensibles »).

La sécurisation des objets connectés doit reprendre les mêmes principes de sécurisation que les imprimantes et photocopieurs.
Lorsqu'ils existent, les mécanismes spécifiques de protection et de sécurité de ces objets doivent être activés selon l'état de l'art.
L'Université se réserve le droit d'interdire l'accès au réseau pour les objets connectés dont la sécurité est jugée insuffisante.
 

Procédures locales de reprise sur incident

Pour tout système/plate-forme, pour lequel des besoins particuliers de disponibilité et d’intégrité ont été identifiés, les responsables d’exploitation doivent prévoir des mécanismes locaux adaptés de redondance et de vérification d’intégrité dans le cas d’un incident local sur ces systèmes. Il s’agit notamment :

• de procédure de redémarrage automatique,
• de redondance de l’alimentation électrique,
• de redondance des équipements actifs,
• de mise à disposition d’équipement de secours (« spare »).

Ces mécanismes doivent être documentés, régulièrement mis à jour et testés, notamment durant les arrêts de maintenance.

DISPO-PRA

Plans de reprise d’activité (PRA)

Chaque application institutionnelle doit faire l’objet d’un PRA (sauvegardes distantes, redémarrage sur moyens de secours sur site secondaire, …), ou à défaut d’une acceptation formelle par le responsable métier d’un délai d’indisponibilité admissible.

Ce mode de fonctionnement dégradé de l’activité sera activé dans l’hypothèse d’un sinistre majeur (dysfonctionnement majeur et durable ou destruction partielle ou totale du système informatique ou des servitudes techniques (électricité, climatisation…).

Ces PRA doivent être documentés, mis à jour après chaque changement significatif et testés annuellement en liaison avec les responsables métiers.

Outre le basculement sur les moyens de secours, ces plans doivent également intégrer les processus de retour vers la normale avec une resynchronisation des données produites sur les instances de secours, ainsi que la reconstruction dans la mesure du possible des données perdues entre l’incident et la reprise sur les environnements de secours.

TIERS-CONF

Engagement de confidentialité

Tous les prestataires externes intervenants localement ou à distance (télémaintenance) sur les systèmes informatiques ou techniques de l'UNIGE, doivent signer l’engagement de confidentialité disponible auprès de la Division STIC.

Les éventuelles demandes de modification du texte revendiquées par les fournisseurs doivent être discutées et validées au préalable par le Service juridique.

TIERS-TELEMAINT

Sécurité de la télémaintenance

Les accès entrants des prestataires chargés d’assurer la maintenance ou le support à distance des équipements informatiques doit impérativement se faire par les passerelles VPN mises en place ou validées par la Division STIC. Sauf exception approuvée, le support via des accès directs ou moyens hors du contrôle de la Division STIC sont interdits et pourront être coupés sans délais.

L’accès sur cette passerelle VPN doit faire l’objet :

• De la création d’un ou plusieurs comptes utilisateurs propres à chaque entreprise et dont la gestion est de la responsabilité du prestataire ;
• D’un contrôle d’accès limitant le droit de connexion aux seuls systèmes concernés par l’accord de prestation.

Pour les systèmes informatiques qui initient automatiquement sans intervention humaine des connexions directes entrantes et/ou sortantes vers le fournisseur ou un opérateur (call back home), sur des ports réseau standards ou non, une validation au cas par cas par le service sécurité de la Division STIC est requise avant l’installation du système sur le réseau.

Une revue régulière des comptes de prestataires doit être effectuée (au minimum annuelle).

TIERS-CLOUD

Sécurité des services informatiques de type Software as a Service (Cloud)

L’utilisation de services informatiques opérés à l‘extérieur de l'UNIGE doit impérativement prendre en compte la dimension sécurité au niveau du cahier des charges, puis du contrat.

Dans l’attente de la production d'un document adapté à ce cas d’usage, cela implique la participation de l’équipe sécurité de la Division STIC dès les phases initiales du projet.

TIERS-EXTERNES

Référentiel des personnes externes

SURV-JOURNAL

Journalisation et surveillance

Les événements relatifs à la sécurité de l’information doivent être journalisés. Cela inclut notamment :

• Les tentatives de connexion au réseau (VPN, passerelles extranet), à ses composants (switchs, routeurs…), et aux systèmes (stations, serveurs, SGBD…), réussies et avortées ;
• L’utilisation des privilèges (compte administrateur ou propriétaire d’application…) ;
• Les modifications apportées à la configuration des composants du SI, et notamment l’activation, la désactivation ou le paramétrage des fonctions de sécurité ;
• Certaines transactions réalisées par les utilisateurs dans des applications sensibles.
  

Gestion des vulnérabilités techniques

Le maintien dans le temps du niveau de sécurité d’un système d’information impose une gestion organisée des mises à jour et correctifs de sécurité. Un processus de déploiement de ces correctifs doit être défini.

Lors d’une notification d’alerte émise par un fournisseur ou un tiers, ce processus s’appuiera sur l’inventaire des actifs, pour identifier et définir :

• le périmètre réellement affecté par l’alerte ;
• le niveau de risque et la priorité d’implémentation des correctifs ;
• le niveau de déploiement effectif et le respect des exigences de disponibilité définies par le métier.
  

Incidents de sécurité

Dans le cadre du processus de gestion des incidents qui incombent à la DiSTIC, les incidents de sécurité en rapport notamment avec la malveillance ou la fraude, les infections massives (plus d’une dizaine de postes simultanés par le même malware), les attaques significatives depuis Internet ou sur le réseau Wi-Fi, les opérations de Spam (pourriels) conduisant au blacklistage du nom domaine doivent être signalées au RSSI qui prendra part à la gestion de crise.

Il est rappelé que dans l’hypothèse où suite à un incident, l'UNIGE souhaiterait engager une action judiciaire, la collecte des preuves doit respecter certaines procédures garantissant en particulier l’intégrité et l’authenticité des données.

Revue de la sécurité de l’information

Le RSSI s’assure du respect de la politique de sécurité par des revues internes, des tests de pénétration et des tableaux de bord automatisés, avant de proposer et suivre les plans d’amélioration si nécessaire.

Une synthèse annuelle du niveau de maturité de la sécurité du SI est déduite de ces revues est communiquée à la Direction du SI.

Audit externe