Éditorial

Une Politique de Sécurité des Systèmes d’Information pour le CNRS

La signature par le directeur général du CNRS, le 15 novembre dernier, du document de PSSI (Politique de Sécurité des Systèmes d’Information), marque un engagement fort du CNRS pour assurer la protection de ses systèmes d’information. L’enjeu est de taille, dans un univers où l’information est devenue stratégique, mais doit aux outils informatiques à la fois sa force et sa vulnérabilité.

La Sécurité des Systèmes d’Information (SSI) vise la protection de données (scientifiques, technologiques, financières, humaines…), qu’il s’agisse de garantir leur confidentialité, leur intégrité ou leur disponibilité, mais aussi la disponibilité des outils (postes de travail, serveurs, réseaux…) ou encore la protection des personnes (notamment juridique, du fait d’implications possibles administratives ou pénales). En ce sens la SSI est une composante importante du dispositif de protection du patrimoine scientifique et technique du CNRS.

La SSI ne concerne donc pas simplement la hiérarchie ou encore une équipe d’experts de la sécurité et de l’informatique. Tout agent d’une unité du CNRS est utilisateur de l’informatique et donc impliqué dans la sécurité de ses outils et de ses données.

L’action menée pour la protection des systèmes d’information n’est pas nouvelle, de nombreux acteurs sont déjà mobilisés sous le pilotage du Fonctionnaire de Sécurité de Défense et de l’UREC (coordinateurs et experts nationaux, coordinateurs nationaux régionaux, correspondants dans les unités…). Les utilisateurs sont informés de leurs droits et devoirs par la signature d’une charte d’utilisateur informatique.

Le CNRS se devait néanmoins, au travers d’un document cadre, de rappeler les enjeux de la SSI, de préciser le dispositif organisationnel et d’afficher les règles essentielles à respecter. Il s’agit d’un document « politique » au sens où il engage la direction du CNRS sur un ensemble de principes organisationnels et de mise en œuvre permettant de guider l’action à décliner sur le terrain.

La distinction affichée entre chaîne fonctionnelle et chaîne hiérarchique facilite l’identification des responsabilités et la lisibilité de l’organisation.

Une importance accrue est donnée aux échelons fonctionnels de terrain (coordinateurs régionaux et chargés de la SSI en unité). La responsabilité des directeurs d’unité est également affichée ; il leur appartient d’arrêter localement la politique SSI de leur entité, sur la base de la PSSI du CNRS mais aussi de la politique qui pourrait être arrêtée par d’autres tutelles, en identifiant préalablement la tutelle retenue « pilote » en matière de SSI.

La signature du document de PSSI ouvre donc un nouveau chantier dont les premières étapes seront d’ordre organisationnel (organisation de la « fonction SSI » aux niveaux national, régional et local, clarification des responsabilités entre tutelles…) avant d’engager le travail de déclinaison sur le terrain des PSSI locales.

La publication prochaine d’une nouvelle charte « utilisateurs » intégrant les nouvelles dispositions législatives (loi CNIL, LCEN…) et l’évolution de la jurisprudence s’inscrit également dans ce chantier.

Joseph ILLAND

Fonctionnaire de Sécurité de Défense