Guide de la sécurité des systèmes d`information
CENTRE NATIONAL
DE LA RECHERCHE
SCIENTIFIQUE
à l’usage
des directeurs
des systèmes d’information
Guide de la sécurité
CENTRE NATIONAL
DE LA RECHERCHE
SCIENTIFIQUE
à l’usage des directeurs
des systèmes d’information
Guide de la sécurité
Cet ouvrage a été conçu et rédigé par
Robert Longeon
Chargé de mission à la sécurité
des systèmes d’information du CNRS
Jean-Luc Archimbaud
Chargé de mission à la sécurité
des réseaux du CNRS
2
Avant-propos
Pourquoi protéger les produits
de la recherche scientifique
La mission principale du CNRS est de faire effectuer toutes recherches présentant
un intérêt pour l’avancement de la science ainsi que pour le progrès économique,
social et culturel du pays. Il a aussi pour vocation de contribuer à l’application et
à la valorisation des résultats de la recherche (Décret n°82-993 – JO du 25
novembre 1982).
Qu’ils soient ou non susceptibles de conduire à des applications industrielles ou
commerciales, les résultats de la recherche constituent un bien commun, un patri-
moine de la communauté nationale qui, à juste titre, peut prétendre à être la pre-
mière à en tirer profit. Ce patrimoine scientifique, confié de plus en plus à des cir-
cuits électroniques chargés de le traiter, transformer, présenter, transmettre et
conserver, chacun se doit de veiller à son intégrité face aux menaces, accidentelles
ou malveillantes, qui pourraient l’altérer.
L’accès, par Internet notamment, à une masse en forte croissance d’informations
scientifiques actualisées en temps réel ainsi que la possibilité de la traiter automa-
tiquement, permet à nombre d’organisations, officielles ou privées, de disposer
d’indicateurs sur l’émergence de l’innovation et ainsi de mieux orienter leurs
recherches. L’innovation scientifique et technologique est donc devenue l’enjeu
d’un marché stratégique de la connaissance où il n’y a plus guère d’amis ni d’alliés.
Il est donc indispensable d’assurer la protection physique de l’information scien-
tifique élaborée par les laboratoires qui, lorsqu’elle est stockée sans précautions
sur le disque dur d’un ordinateur relié à l’Internet, peut être lue, copiée, modifiée
ou détruite à partir d’un poste de travail situé aux antipodes sans que, trop sou-
vent hélas, le propriétaire s’en aperçoive.
Avant-propos
3
Comment les protéger
Pour se prémunir contre une utilisation des réseaux qui viserait à s’approprier
indûment des informations, il est nécessaire d’appliquer strictement les recom-
mandations de ce guide. Il n’est pas inutile d’en rappeler quelques-unes:
– Adopter une architecture du réseau apte à interdire, ou tout au moins
compliquer, toute tentative frauduleuse de pénétration.
– Assurer une surveillance permanente des connexions extérieures afin de
détecter au plus tôt tout accès anormal.
– Gérer rigoureusement les logins et les mots de passe en veillant plus par-
ticulièrement à n’accorder aux chercheurs non permanents que les facili-
tés strictement indispensables à leurs travaux et à les leur retirer dès la
fin de leur séjour.
– Imposer des précautions supplémentaires aux chercheurs souhaitant se
connecter de l’extérieur – et a fortiori lors d’un séjour à l’étranger –, par
exemple l’emploi de mots de passe à usage unique.
– Utiliser, en cas de nécessité, les nouveaux procédés de chiffrement pour
assurer la discrétion des échanges de messagerie et de données.
– N’effectuer les travaux les plus sensibles et ne stocker les fichiers confi-
dentiels que sur des machines physiquement déconnectées du réseau.
Mais les systèmes informatiques ne sont pas vulnérables qu’aux attaques exté-
rieures. L’incendie, l’explosion ou le dégât des eaux, l’insouciance, la maladresse
ou la malveillance d’un collègue, peuvent perturber gravement le fonctionnement
de cet incomparable outil de travail et de communication. Il faut donc, outre les
mesures détaillées plus haut, sauvegarder en un lieu sûr et distant les informations
et les données que l’unité ne peut se permettre de perdre.
Il vous appartient en tant que directeur de définir et mettre en œuvre la politique
de sécurité de votre laboratoire, d’inciter chacun de vos collaborateurs à en
prendre conscience et à s’y impliquer. Ce guide est le fruit de l’expérience de toute
la communauté scientifique et nous comptons sur vous pour l’enrichir des cas
concrets auxquels vous pourriez être confrontés.
Philippe Schreiber
Fonctionnaire de Défense du CNRS
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
1
/
100
100%
