|
|
|
|
Yvon Klein
Responsable
sécurité
Cnes |
|
Yvon
Klein
"Le Cnes a pris le virage de la gestion de la sécurité de l'information"
Face à des contraintes réglementaires fortes, le Cnes tend vers les certifications ISO et une gestion de la sécurité appliquée au cycle de vie de l'information.
16/01/2006 |
|
|
|
JDN
Solutions. Quel est le poids et l'organisation de la direction informatique
et du département sécurité au sein du Cnes ?
Yvon Klein. Le système d'information du Centre
National d'Etudes Spatiales adresse environ 3 000
utilisateurs, répartis sur quatre centres géographiques.
Nous sommes un établissement public sous tutelle de deux
ministères, celui de la Défense et celui de la Recherche.
Dans ce cadre, nous rapportons aux hauts fonctionnaires
de la recherche et, pour ce qui concerne la protection des informations
et la gestion de la sécurité du Cnes au sens général,
nous appliquons les instructions du Secrétariat Général
de la Défense Nationale.
L'organisation actuelle place au côté du président du
Cnes un conseiller en sécurité, le fonctionnaire de sécurité
de défense, qui a en charge une entité traitant la sécurité
sous tous les angles. Au sein de cette entité se trouve
une fonction consacrée à la sécurité du système d'information.
Auprès de chaque chef d'établissement se trouve aussi
un agent local chargé de la sécurité du système d'information.
Quel
rôle jouent les responsables en sécurité du système d'information
au Cnes ?
D'abord un rôle de conseil. En central, ils définissent
la politique de sécurité pour l'ensemble de projets informatiques
du Cnes. Les agents locaux contrôlent l'application de
ses mesures et la mise en uvre technique des recommandations.
Enfin, la direction des systèmes d'informations se charge
de l'installation des solutions nécessaires, de la mise
en uvre des moyens techniques et de leur exploitation.
A quelles contraintes réglementaires
êtes-vous confronté ?
Du fait de sa double tutelle, le Cnes est amené à traiter
des données classifiées défense et doit dans ce cadre
respecter certaines lois sur la protection des données.
De même, le Cnes dispose de données spatiales soumises
à la réglementation sur la protection des données du patrimoine
français.
|
|
La
veille est pour nous l'une des clefs de la
sécurité du système d'information" |
|
Sur quels éléments porte votre
politique globale de sécurité du système d'information ?
Depuis 1994, le Cnes a mis en uvre une politique globale
de sécurité. Cette doctrine de sécurité a été reconduite
chaque année par tous les présidents. Pour les aspects
relatifs au système d'information, nous définissons des
politiques techniques particulières par exemple sur l'audit,
la conduite de projet, la gestion des traces ou l'agrémentation
des serveurs. Cela nous permet de définir des contrôles
de sécurité encadrés par une méthode avant d'ouvrir l'accès
à un serveur Web par exemple. Ces pratiques sont tout
à fait conformes à l'homologation dans le domaine gouvernemental.
Concernant les audits, nous avons mis en place une politique
particulière de manière à savoir quels sont les systèmes
en place et comment ils évoluent. Le Cnes est par ailleurs
membre fondateur du CERT-IST. La veille est pour nous
l'une des clefs de la sécurité du système d'information.
L'important n'est pas de faire de la veille pour la veille
mais d'intégrer ces informations dans le cycle de vie
du système d'information.
De plus en plus, le Cnes a pris le virage de la gestion
de la sécurité de l'information et non plus la gestion
de la sécurité du système d'information. Nous souhaitons
renforcer et formaliser notre système de management de
la sécurité du système d'information en suivant les recommandations
des normes ISO 17799 et 27001 par exemple.
Autre domaine important : celui de l'application des correctifs
existants. Nous avons à ce niveau, une forte problématique
d'application des correctifs sur des systèmes opérationnels,
avec des procédures de tests de non-régression et définition
des procédures de mise à jour.
|
|
2004
et 2005 ont été des années
charnières dans la sécurité" |
|
Dans quelle mesure l'évolution
des menaces a t'elle eu un impact sur votre organisation ?
2004 et 2005 ont été, à deux titres, des années charnières.
D'abord en raison d'une réduction du temps entre la découverte
et l'exploitation des vulnérabilités, ce qui implique
de la part de tous une grande réactivité. D'autre part,
nous avons fédéré au Cnes, les différents entités "systèmes
d'informations" à l'intérieur d'une direction des systèmes
d'informations. Pour nous, ce changement facilite la communication
de nos problématiques à la direction informatique.
Comment se positionne l'activité
sécurité par rapport à la direction informatique justement ?
Nous exprimons des exigences par rapport à une politique
donnée. La direction informatique applique ces exigences.
Après, au cours du projet, il y a respect ou non de ces
exigences. Nous réalisons alors un bilan des risques résiduels
qui sont ensuite validés par les personnes concernées,
afin de bien rendre compte des responsabilités.
Certains aspects de la sécurité ne peuvent pas être écartés,
de part la responsabilité qui nous est imposée en matière
de protection des données du patrimoine par exemple. Mais
le principe est très collaboratif : nous n'imposons pas
de choix, la direction informatique décline des possibilités.
Sur quels méthodes et outils
s'appuie le Cnes pour surveiller la sécurité de ses projets ?
Le point de départ de cette réflexion débute par une étude
d'analyse de risque au lancement du projet. Cette étude
devient le fil conducteur de la sécurité du projet par
la suite à travers son cycle de vie. Nous nous basons
notamment sur la méthode Ebios à ce niveau. Il faut ensuite
dialoguer avec la maîtrise d'ouvrage pour bien identifier
quels sont les risques, à quels niveaux ils se situent
et s'ils entrent dans le cadre ou non du projet.
Au besoin, nous complétons les mesures techniques par
des mesures opérationnelles. Un point important aujourd'hui
: les structures en place résultent d'un modèle en perpétuelle
évolution pour mieux définir les responsabilités de chacun.
Quelle est votre position vis-à-vis
des produits Open Source ?
|
|
Nous
utilisons et avons utilisé des logiciels
de sécurité Open Source" |
|
Certains postes du Cnes fonctionnent sous Linux à travers
un master de sécurité déjà installé et des outils de gestion
du document en Open Source. Il est donc possible d'obtenir
un poste sous Linux, par le biais des masters. La direction
informatique n'a pas pris la décision, à l'heure actuelle,
de migrer son parc bureautique vers l'Open Source.
D'autre part, nous utilisons et avons utilisé des logiciels
de sécurité Open Source. Cela ne pose aucun problème dès
lors qu'ils ont été analysés et validés par la DCSSI.
Cette analyse valide le niveau de confiance du produit.
Nous n'installons pas de l'Open Source pour l'Open Source.
Quels seront vos principaux
enjeux en 2006 ?
Offrir à nos utilisateurs la
technologie dont ils ont besoin en respectant les
contraintes de la maîtrise d'ouvrage en termes d'exigences
de sécurité. Nous sommes toujours limités à notre capacité
à contrôler l'espace de sécurité et l'utilisation de ses
nouvelles technologies, je parle ici des réseaux sans
fil ou de la voix sur IP par exemple. Une des solutions
pour mieux les prendre en compte consiste à proposer,
pour les postes nécessitant ce type de fonction, des systèmes
personnalisés et pré-configurés.
L'ouverture du système d'information est aussi un point
critique. Il faut s'ouvrir, mais vers des partenaires
de confiance, en mettant à disposition de l'information
validée et avec le niveau de sécurité suffisant. Enfin,
il faudra arbitrer entre le maintien à niveau de la sécurité
et le maintien de fonctionnalités. Il arrive en effet
que certains correctifs empêchent le fonctionnement de
certaines fonctions de base d'un produit. Tout correctif
n'est donc pas validé. |
|
Propos recueillis par Yves DROTHIER, JDN Solutions |
|
PARCOURS
|
|
|
|
Yvon Klein est, depuis 1998,
délégué à la sécurité des systèmes d'information
du Cnes. Ayant travaillé pendant plus de 20 ans
sur les systèmes d'exploitation spécifiques au sein
de la société Bull, Yvon Klein s'est spécialisé
dans le domaine de la sécurité en tant que responsable
du développement de systèmes Unix sécurisés.
Il a rejoint le Service central de la sécurité des
systèmes d'informations (SCSSI) en 1991, pour participer
au développement et à la mise en uvre de la méthode
d'évaluation de la sécurité (ITSEM) dans le cadre
de l'application des critères harmonisés ITSEC.
Il a, à ce titre, participé pendant quatre ans au projet
de critères communs d'évaluation de la sécurité
des TI, et a été responsable des activités de normalisation
au sein du SCSSI. |
|
|
|
|
|
|