Charte des Administrateurs Systèmes, Réseaux et systèmes d’information Université Joseph Fourier Université Pierre Mendes-France Université Stendhal Institut polytechnique de Grenoble Institut d’Études Politiques de Grenoble Université de Savoie PRES université de Grenoble » CNRS – Délégation Alpes Version 1. 0 -juillet 2012 org Sni* to View Historique des modi Date Objet de la modification Auteur(s) Statut 05/12/2011 Création du document CISSI Section 11. 2 Tout administrateur a le devoir : . Section 11. Le Correspondant Sécurité du Système d’Information a le droit . 6 Sectlon 11. devoir : section 11. 5 Le responsable fonctionnel de système informatique a le droit : Section 11. 6 devoir : 6 Annexe 7 Principales références législatives (a) Infractions prévues par le Nouveau Code penal . d’administrateurs systèmes, réseaux ou systèmes d’information. Cette charte est promulguée en référence à la Charte d’usage du Système d’Information des Établissements universitaires du PRES « Université de Grenoble», ainsi qu’à celle du CNRS qu’elle complète.
Par Établissements Universitaires du PRES « Université de Grenoble » s’entendent collectivement les Universités Joseph Fourier, Pierre Mendes-France, Stendhal, l’Institut polytechnique de Grenoble, l’Institut d’études Politique de Grenoble, l’Université de Savoie et le PRES « Université de Grenoble » désignés indlviduellement par « l’établissement Article Définitions Section 1. Administrateur L’administrateur systèmes, réseaux et systèmes d’informatlon est toute personne, employée ou non par l’établissement, à laquelle a été confiée la responsabilité d’un système informatique, d’un réseau, d’équipements de téléphonie, de la maitrise d’œuvre d’application u d’un traitement de données, administrés par une entité de l’établissement, ou de plusieurs de ces éléments.
Une personne à qui a été conférée une telle responsabilité sera désignée dans la suite de ce document par le terme « administrateur L’ensemble des éléments sur lesquels s’exerce cette responsabilité constitue le périmètre d’activité de l’administrateur. L’administrateur est une p édant une compétence sécurité ou chargé de sécurité Le correspondant sécurité (parfois nommé chargé de sécurité) du système d’Information est la personne elais du responsable de sécurité du système d’information (RSSI) de l’établissement pour son entité.
Suivant la taille de l’entité, un ou plusieurs collaborateurs peuvent lui être adjoints. De par son rôle dans la chaine de sécurité du système d’information, il pourra être amené à avoir accès a des informations des autres utilisateurs, informations parfois confidentielles. Les règles de déontologie définies pour l’administrateur s’entendent également pour le correspondant sécurité. Section 1. 3 Responsable fonctionnel de système informatique Le responsable fonctionnel est la personne en charge dministrative de l’entité (directeur de laboratoire, directeur d’UFR, chef de servlce… , et par extension, il a la responsabilité fonctionnelle du système informatique de l’entité. En revanche cette responsabilité n’entraîne aucunement la détention de droits d’administrateurs, et généralement, le responsable fonctionnel n’entre pas dans la chaîne de sécurité du système d’information, sauf s’il a le rôle de correspondant SSI de l’entité. 4/7 Article Il. de réseau (métrologie, surveillance… ; de mettre en place toutes procédures appropriées pour vérifier la bonne application des règles de ontrôle d’accès aux systèmes et aux réseaux définies dans la Politique de Sécurité du Système d’Information, en utilisant des outils autorisés ; d’accéder, sur les systèmes qu’il administre, à tout type d’informations, uniquement à des fins de diagnostic et d’administration du système, en respectant scrupuleusement la confidentialité de ces informations, en s’efforçant – tant que la situation ne l’exige pas – de ne pas les altérer ; C] détablir des procédures de surveillance de toutes les tâches exécutées sur la machine, afin de déceler les violations ou les tentatives de violation de la présente harte et de la charte d’usage du système d’information, sous l’autorité de son responsable fonctionnel et en relation avec le correspondant sécurité informatique ; D de prendre des mesures conservatoires si Furgence l’impose, sans préjuger des sanctions résultant des infractions aux différentes chartes. Mesures telles que restriction de la connectivité, suppression de fichiers (après sauvegarde sur support isolé) qu’il estimerait susceptibles de porter atteinte à l’intégrité, à la disponibilité, à la confidentialité et à la sécurité des systèmes d’information e ne pas intervenir sur du matériel n’appartenant pas ? l’établissement, sauf à l’isoler du système d’information et du réseau de l’établissement en cas de non- respect des consignes. hiérarchie, de la chaine fonctionnelle SSI, ou des services juridiques de l’établissement. e respecter la confidentialité des informations auxquelles il accède lors de ses tâches d’administration ou lors d’audit de sécurité, quel qu’en soit le support (numérique, écrit, oral… ), en particulier : Cl les données à caractère personnel contenues dans le système d’information, Cl les fichiers utilisateurs, D les flux sur les réseaux, les courriers électroniques, Cl les mots de passe, les sorties imprimantes, Cl les traces des activités des utilisateurs ; de n’effectuer des accès aux contenus marqués comme « privés » qu’en présence de l’utilisateur ou avec son autorisation écrite, à l’exception des cas d’atteinte ? la sécurité sous couvert d’autorisation de la chaine SSI ou de rutilisation d’outils automatiques qui ne visent pas indlviduellement l’utilisateur (antivirus, inventaire logiciel… ; d’être transparent vis-à-vis des utilisateurs sur l’étendue des accès aux informations dont il ispose techniquement de par sa fonction ; d’informer les utilisateurs et de les sensibiliser aux problèmes de sécurité informatique inhérents au système, de leur faire connaître les règles de sécurité ? respecter, aidé par le responsable fonctionnel ; Loi Informatique et Liberté, LCEN, Code des postes et des communications électroniques, CPI, DADVSI, HADOPI. Version 1 -O – juillet 2012 l’utilisateur ; de s’assurer de l’identité et de l’habilitation de l’utilisateur lors de la remise de tout élément du système d’Information (information, fichier, compte d’accès, matériel… en collaboration avec le responsable fonctionnel ; de se conformer à la politique de sécurité des systèmes d’information de l’établissement ; de répondre favorablement, et dans les délais les plus courts, ? toute consignes de surveillance, de recueil d’information et d’audit émis par le RSSI ; de traiter en première priorité toute violation des règles SSI et tout incident de sécurité qu’il est amené à constater, puis d’informer sans délai le correspondant de sécurité informatique ou le RSSI selon la procédure prévue par la chaine fonctionnelle de sécurité, et d’appliquer sans délai es directives du RSSI pour le traitement de l’incident. L’administrateur peut ainsi être conduit ? communiquer des informations confidentielles ou soumises au secret des correspondances dont il aurait eu connaissance, si elles mettent en cause le bon fonctionnement des systèmes dinformation ou leur sécurité, ou si elles tombent dans le champ de l’article 40 alinéa 2 du code 2 de procédure pénale . daccéder à toutes données du système d’information, notamment les journaux informatiques des applications ou des systèmes lors ue cet accès est rendu nécessaire par le traiteme
