La Sécurité des Systèmes d’Information (SSI) couvre l’ensemble du Système d’Information (SI) de l’Université de Montpellier dans toute sa diversité quant aux usages du numérique, au bureau ou en mobilité, aux méthodes d’accès et aux utilisateurs concernés (51 000 étudiants, plus de 10000 personnels avec les hébergés). Elle couvre tous les moyens techniques, organisationnels, humains et juridiques que l’établissement met en place pour se prémunir d’un mauvais usage ou d’un détournement de son Système d’Information (SI) et garantir la continuité de l’activité de l’Université. Les données de l’université sont particulièrement concernées et nécessitent d’être protégées : données scientifiques, données technologiques, données de gestion, données personnelles, … |
Politique de sécurité des systèmes d’information (PSSI)
Le risque zéro n’existant pas, pour réduire la vulnérabilité de son SI et le protéger des menaces, l’UM se dote d’une politique moderne de sécurité du SI dans le cadre d’un projet spécifique en cours.
Cette politique doit répondre au cadre législatif national de se conformer à la Politique de Sécurité des Systèmes d’Information de l’État (PSSIE) et aux instructions de la directive interministérielle n°901 relative à la protection des Systèmes d’Information traitant des “informations sensibles non classifiées de défense”.
Cette politique doit coordonner les actions pour minimiser le risque “cyber” vis-à-vis du système d’information de l’UM.
Ce risque est évalué à minima suivant 3 critères de sécurité:
Confidentialité : Assurer que seules les personnes autorisées ont accès aux données sensibles. Cela implique souvent l’utilisation de méthodes d’authentification et de chiffrement.
Intégrité : Garantir que les données ne sont pas modifiées de manière non autorisée ou altérées accidentellement. Les mécanismes de contrôle de l’intégrité tels que les hachages sont couramment utilisés.
Disponibilité : S’assurer que les systèmes et les données sont disponibles lorsque nécessaire et qu’ils résistent aux attaques de déni de service ou à d’autres interruptions.
Chaîne fonctionnelle SSI à l'UM
Une Autorité Qualifiée pour la SSI (AQSSI) :
C’est le chef d’établissement. Il définit la politique de sécurité des systèmes d’information adaptée à son établissement et en fixe les objectifs. Il veille à la mise en œuvre des dispositions réglementaires.
Un Responsable de la Sécurité du Système d’Information (RSSI) et un adjoint :
Désigné par l’AQSSI, il définit et pilote les mesures de sécurisation de projets et de l’infrastructure SI, apporte son expertise à la remédiation des incidents liés à la sécurité du numérique.
Un Fonctionnaire de Sécurité de Défense (FSD) et un adjoint :
Désigné par l’AQSSI, il a un rôle de coordination, de conseil et d’information concernant : la protection du potentiel scientifique et technique, la protection du secret et la préparation / exécution des plans de défense et de sécurité.
Des correspondants de la Sécurité du Système d’Information (CSSI):
Désignés par les responsables de structures ( laboratoires, composantes,…) , ils mettent en œuvre les règles de sécurité et ils font remonter les incidents et les besoins.