Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Société TrucMuche Correction : rapport d’analyse des risques École GBPO Paris,

Société TrucMuche Correction : rapport d’analyse des risques École GBPO Paris, 15-18 octobre 2019 TP-EXO-Correction-Rpt-RisqueInformatique-GesVolV4.doc 1/8 Table des matières Étude du contexte ............................................................................................................................................... 2 Le besoin et le contexte .................................................................................................................................. 2 Finalités du traitement GesVol ........................................................................................................................ 2 Références à respecter .................................................................................................................................... 2 Hypothèse et périmètre de l’étude ................................................................................................................. 2 Éléments à protéger ........................................................................................................................................ 2 Les éléments immatériels ............................................................................................................................ 2 Les éléments matériels ................................................................................................................................ 3 Les personnes .............................................................................................................................................. 3 Schéma d’architecture................................................................................................................................. 3 Mesures de sécurité existantes ....................................................................................................................... 3 Mesures organisationnelles ........................................................................................................................ 3 Mesures de sécurité logique ....................................................................................................................... 4 Mesures de sécurité physique ..................................................................................................................... 4 Évaluation du risque ............................................................................................................................................ 4 Les facteurs à considérer ................................................................................................................................. 4 L'impact ou la conséquence ........................................................................................................................ 4 La menace et les sources de risque ............................................................................................................. 4 Risque de non-conformité RGPD : ................................................................................................................... 5 Estimation des risques si exploitation d’un défaut de confidentialité, intégrité, disponibilité ...................... 5 Définitions ....................................................................................................................................................... 5 Tableaux de l’évaluation des risques............................................................................................................... 5 Gravité des risques SSI ................................................................................................................................. 5 Gravité des risques IL (RGPD) ...................................................................................................................... 6 Vraisemblance des risques .......................................................................................................................... 6 Cartographies des risques ............................................................................................................................... 6 Risque SSI ..................................................................................................................................................... 6 Risque IL (RGPD) .......................................................................................................................................... 6 Plan action ....................................................................................................................................................... 6 Estimation des risques résiduels après réalisation du plan d’action .............................................................. 7 Risque SSI ..................................................................................................................................................... 7 Risque IL (RGPD) .......................................................................................................................................... 7 Acceptation du risque ......................................................................................................................................... 7 Validation par le responsable du système d’information ........................................................................... 7 Annexe ................................................................................................................................................................. 8 Échelles pour les estimations ...................................................................................................................... 8 Société TrucMuche Correction : rapport d’analyse des risques École GBPO Paris, 15-18 octobre 2019 TP-EXO-Correction-Rpt-RisqueInformatique-GesVolV4.doc 2/8 Étude du contexte Le besoin et le contexte L’Unité de Recherche (UR) TOTO souhaite construire un SI qui permettra de constituer des Panels de personnes disponibles pour participer aux recherches de l’UR TOTO. Les données contenues dans cette base seront stratégiques pour l’UR car à l’avenir ses activités de recherches dépendront du contenu de cette base. Après étude, il s’avère qu’il n’existe pas de logiciel (en SAAS ou dans d’autres organisme) répondant à leurs besoins. Ce SI se nommera GesVol, il sera entièrement sous la responsabilité de l’UR. C’est-à-dire développé, hébergé et maintenu par les agents informaticiens de l’unité. L’utilisateur de GesVol est un scientifique de l’unité TOTO. Finalités du traitement GesVol L’UR validera les candidatures ou non pour les recherche (étude, questionnaire, expérience …). Le SI GesVol permettra : • L’importation des données des volontaires retenus • L’utilisateur scientifique pourra corriger ponctuellement des données • Le scientifique responsable d’une étude sélectionnera et exportera les données d’un lot de volontaires pour l’expérimentation concernée Le fondement juridique de cette base est nécessaire à l’exécution de la mission d’intérêt public de l’unité TOTO. Références à respecter Le traitement est soumis uniquement au respect de la Loi Informatique et Libertés (Règlement européen sur la protection des données - mai 2018). Dans le cadre de l’open science, l’ouverture des données sur l’Internet n’est pas envisageable. Par ailleurs, la Protection du Potentiel Scientifique et Technique ne s’applique pas ici. Pas de transfert de données vers un pays situé hors de l’Union européenne. Hypothèse et périmètre de l’étude Le périmètre de l’étude est l’accès aux données à caractère personnelles de GesVol. Les demandes des volontaires et la gestion de leurs échanges avec les scientifiques ne rentrent pas dans le périmètre de cette étude, cette gestion est réalisée par un autre outil. Les données sélectionnées de la base sont exportées par les utilisateurs scientifiques sur leur poste puis elles sont cumulées avec les données récoltées pendant l’étude scientifique. Éléments à protéger Les éléments immatériels Les grands ensembles de données traités sont : - État civil : Nom, prénom, date de naissance, adresse postale, adresse email, téléphone, sexe - Données sociologiques : situation familiale, pays de naissance, niveau d’étude, situation d’activité profession, religion - Données « santé » : fumeur, problèmes de santé - Données liées à la participation aux études : indemnisations versées par l’UR TOTO, RIB Leur nature est du texte. Société TrucMuche Correction : rapport d’analyse des risques École GBPO Paris, 15-18 octobre 2019 TP-EXO-Correction-Rpt-RisqueInformatique-GesVolV4.doc 3/8 Par ailleurs, les données d’état civil peuvent venir de personnes dites vulnérables (ex : mineurs). Les éléments matériels C’est-à-dire les éléments qui peuvent supporter (stocker) les données du SI GesVol. - Les postes de travail des administrateurs et des développeurs - Les postes de travail de l’UR TOTO - Le serveur supportant les données et les applications - Le réseau de l’Institut - Les serveurs de sauvegarde de l’Institut Les personnes C’est-à-dire les personnes qui peuvent accéder aux données (en lecture et/ou en écriture) du SI GesVol. - Informaticiens (administrateurs et développeurs) de l’UR TOTO - Les utilisateurs (scientifiques de l’UR TOTO) - Les informaticiens administrateurs de la DSI (réseau et sauvegarde) Schéma d’architecture Les informaticiens de l’UR TOTO installent et maintiennent : le système d’exploitation, les briques logicielles (par ex : MySQL, phpMyAdmin, Apache, PHP …) et l’application GesVol qui comprend une base de données type MySQL, une interface Web écrite en PHP à destination des utilisateurs et plusieurs logiciels et scripts de traitement de données (par ex en PHP et JavaScript). Les comptes et l’authentification sont propres à l’application GesVol. Il n’y a pas de système de gestion des droits dans l’application GesVol. Les postes de travail de l’UR TOTO sont tous des PC portables. Le réseau informatique est entièrement géré par les équipes de l’Institut dont dépend l’UR TOTO. Ce réseau héberge les PC de l’unité et son serveur, il est constitué d’adresses IP publiques. La gestion des sauvegardes est assurée par la DSI de l’Institut. Mesures de sécurité existantes Mesures organisationnelles Une formation est dispensée par les informaticiens à tous les nouveaux utilisateurs (attestation de formation enregistrée). Une notice d’utilisation est disponible pour les utilisateurs (document Assurance Qualité Recherche). Les utilisateurs scientifiques doivent signer une charte d’utilisation décrivant leurs engagements. Les administrateurs s’assurent que tous les utilisateurs ont bien signé cette charte. Société TrucMuche Correction : rapport d’analyse des risques École GBPO Paris, 15-18 octobre 2019 TP-EXO-Correction-Rpt-RisqueInformatique-GesVolV4.doc 4/8 Mesures de sécurité logique À l’issue de la formation, sont attribués aux utilisateurs un login et un mot de passe. Lorsqu’un utilisateur quitte l’unité, son compte est automatiquement révoqué La BD est sauvegardée régulièrement par le service SV de la DSI de l’Institut. Les environnements de développement (PC des développeurs) et de production sont distincts (serveur). La traçabilité des accès au serveur est assurée via les logins de connexion ou les @IP des journaux des serveurs. L’antivirus est présent sur tous les PC de l’UR. Le serveur supportant GesVol est accessible depuis l’Internet, la liaison se fait avec chiffrement (https) Mesures de sécurité physique Fermeture par badges du bâtiment de l’UR. Les bureaux sont quasiment tous fermés à clefs. La salle machine est protégée par un digicode. Les équipements de la DSI sont dans un Datacenter certifié ISO27000. Évaluation du risque Les facteurs à considérer L'impact ou la conséquence Les impacts peuvent toucher plusieurs périmètres (Institut, unité, projet …) et être de plusieurs ordres, par exemple :  Perturbation du fonctionnement interne (ex : cout humain de reconstruction)  Fuite intelligence économique  Pertes financières pour l'établissement  Engagement de responsabilité, conséquences juridiques  Atteinte à l'image de l'établissement  Sur les personnes (stress voire maladie …)  Etc. Un impact peut être produit par la réalisation d’une menace exploitant un défaut de sécurité (vulnérabilité) sur un ou plusieurs des critères confidentialité, intégrité et disponibilité. Si le risque se produisait, les principaux impacts sont : Concernant l’entité (unité) Les personnes la confidentialité Perte de confiance des volontaires, retrait des expériences, arrêt potentiel des recherches de l’UR Données très sensibles (problèmes de santé, profession, religion) exposées sur Internet -> exploitation malveillante l’intégrité Remise en cause des résultat des recherches Dysfonctionnement (ex : pas de dédommagement financier) la disponibilité Pertubation du fonctionnement des recherches Pas d’impact La menace et les sources de risque Menace : mode opératoire composé d'une ou plusieurs actions unitaires sur des supports de données. La menace peut être utilisée, volontairement ou non, par des sources de risques, et peut alors provoquer un événement redouté. Les principales menaces qui pourraient permettre la réalisation du risque sont : Concernant la confidentialité Intrusion sur serveur ; vol d’un PC avec données de la base exportée Société TrucMuche Correction : rapport d’analyse des risques École GBPO Paris, 15-18 octobre 2019 TP-EXO-Correction-Rpt-RisqueInformatique-GesVolV4.doc 5/8 l’intégrité Mauvaise manipulation (en écriture) d’un utilisateur la disponibilité Restitution sauvegarde non fiable ; PB techniques (logiciel ou matériel) Source de risque : personne, interne ou externe à l'organisme, agissant de manière accidentelle ou délibérée (ex : administrateur informatique, utilisateur, attaquant externe, concurrent), ou source non humaine (ex : eau, matériaux dangereux, virus informatique non ciblé) qui peut être à l’origine d’un risque. Les principales sources de risques pouvant en être à l'origine sont : Concernant la confidentialité Pirates, ancien employé malveillant, utilisateur non attentif à son PC l’intégrité Les utilisateurs la disponibilité Les informaticiens (DSI et unité) Risque de non-conformité RGPD : Les risques de non-conformité RGPD non liés à la sécurité informatique ont déjà été traités avec le Délégué à la Protection des Données qui accompagne l’unité TOTO : Non-conformité RGPD * uploads/Science et Technologie/ tp-exo-correction-rpt-risqueinformatique-gesvolv4.pdf