PSSI du CNRS

Publié le vendredi 13 décembre 2019, mis à jour le lundi 16 décembre 2019

PSSI du CNRS : trois chantiers majeurs de rénovation

Le CNRS met à jour sa Politique de Sécurité des systèmes d’information, la dernière itération étant conforme à la PSSI de l’État qui s’impose à tout établissement public. 71 mesures sont déclinées et réparties selon trois niveaux d’application. Ces trois niveaux correspondent aux trois niveaux de sensibilité des structures opérationnelles de recherche et de soutien, évalués par le Secrétariat Général de la Défense et de la Sécurité Nationale en fonction de 4 risques [1] :

- Intelligence économique, concernant les atteintes au potentiel scientifique et technique susceptibles de nuire aux intérêts économique de la Nation
- Arsenal militaire, le détournement de savoirs et savoir-faire pouvant être utilisé pour renforcer les capacités d’armement d’un autre Etat ou affaiblir les nôtres
- Prolifération, le détournement de savoirs et savoir-faire pouvant conduire à la prolifération des armes de destruction massive de type nucléaire, radiologique, biologique ou chimique
-  Terrorisme, qu’il s’agisse du détournement des activités de recherche et leurs résultats à des fins terroristes ou de la conséquence de ces activités sur les unités.
Les unités du plus faible niveau de sensibilité appliquent les mesures de niveau « une étoile » de la PSSI. Les unités les plus sensibles, les mesures de niveau « trois étoiles ». Les unités de niveau intermédiaire, le niveau « deux étoiles ».
La présidence du CNRS, en accord avec la tutelle, a identifié trois chantiers prioritaires devant être conduits à court terme par les unités dans le domaine de la SSI.
Le premier chantier concerne la complétude de la chaine fonctionnelle SSI de l’établissement, au travers de la désignation de Chargés de SSI, un dans chaque unité.

Le second chantier concerne la sécurisation des terminaux utilisateurs, et leur mise en conformité avec la PSSI pour ce qui concerne la sauvegarde des données, le chiffrement des données, la tenue à jour des systèmes d’exploitation et logiciels associés, et la protection contre les logiciels malveillants.

Le dernier chantier concerne l’identification et la classification des données sensibles de l‘unité. Ce travail est réalisé sur la base d’une échelle de sensibilité dont les modalités de mise en œuvre ont été rédigées en concertation avec l’INRA, l’INRIA, le CNES et le CEA.
Pour plus d’informations, visitez le site https://securite-si.cnrs.fr

[1] http://circulaire.legifrance.gouv.fr/pdf/2013/01/cir_36329.pdf