SISY, Gestion de la sécurité du système d'information

• Définition de l'entité fonctionnelle
• Définition de ses responsabilités
• La mission de son responsable
• Structure de l'entité fonctionnelle
• Les réseaux de collaboration
• Le responsable

La mission vue par le plan directeur

Voici comment le plan directeur définissait en avril 2003, la mission de l'entité fonctionnelle "Sécurité du système d'exploitation"

---

 Entité fonctionnelle "Gestion de la sécurité du système d'information"

La sécurité informatique (sécurité des accès, sécurité des données, sécurité des machines) est, à ce jour, la responsabilité d'un grand nombre d'acteurs de l'université, sans coordination globale officielle. Actuellement, la sécurité des réseaux est du ressort du SRI, la sécurité des applications administratives centrales est du ressort du SIA, la sécurité des serveurs de courrier électronique est sous la responsabilité des gestionnaires informatiques locaux (facultés, unités, services, ...). La mise en place d'une politique commune et la diminution du nombre d'intervenants entraînera une diminution des risques et de la duplication des efforts. Les membres de cette entité définiront et indiqueront comment mettre en oeuvre une politique globale de la sécurité.

---

La mission décrite dans l'appel aux candidatures

L'appel aux candidatures au poste de coordonnateur de l'EF Sécurité précisait les responsabilités de l'entité fonctionnelle et la mission de son responsable :

---

Responsabilité de l'entité fonctionnelle "Sécurité du système d'information"

• établir les principes généraux et les modalités concrètes qui assureront un niveau acceptable de sécurité, de fiabilité, de sûreté et d'intégrité au système d'information de l'Université
• diffuser ces principes et ces modalités au sein de l'Université et veiller à leur application
• en cas d'urgence, prendre les mesures nécessaires pour préserver l'intégrité du système d'information
• assurer le contact avec l'extérieur pour ce qui concerne les aspects relatifs à la sécurité
• effectuer des analyses périodiques pour évaluer les risques encourus et proposer des mesures pour ramener ceux-ci à un niveau acceptable

Mission: Sous l'autorité du Directeur du système d'information, le titulaire du mandat :

• veille à la bonne qualité des services concernés par l'entité fonctionnelle dont il a la charge et à leur adéquation aux besoins, anticipe l'évolution des besoins des utilisateurs et propose des approches pour y répondre
• anime l'entité fonctionnelle dont il a la charge de manière à répondre au mieux à ses missions, en tenant compte des ressources disponibles.
• met au point, avec les personnes de l'entité fonctionnelle les principes, les procédures, les modes de travail relatifs à l'utilisation des moyens techniques qui relèvent de cette entité fonctionnelle ; en collaboration étroite avec les autres responsables, il assure la diffusion et la prise en compte de ces principes, procédures et modes de travail au sein de l'Université,
• collabore avec les responsables et coordonnateurs des autres entités fonctionnelles dont les domaines de compétences interagissent avec ceux de l'entité fonctionnelle dont il a la charge et avec les responsables sectoriels (RSI)
• met en oeuvre les consignes qu'il reçoit du comité de direction du système d'information. (CDSI)
• participe de manière active aux travaux du collège des responsables du système d'information (CRSI) et représente son entité fonctionnelle dans différentes instances de l'UCL

---

Description de la structure de l'entité fonctionnelle

L'organisation de l'entité fonctionnelle « Sécurité S.I » comprend trois niveaux :

1. Le responsable : Il assume la responsabilité devant les autorités de la bonne exécution des missions confiées à l'entité. Ces missions sont énumérées dans la définition du mandat.
2. Le « conseil » : Le responsable constitue un « conseil », c'est-à-dire un groupe de 2 ou 3 personnes maximum avec lesquelles il établit les thèmes et les priorités d'action. Les membres de ce conseil sont sollicités par le responsable de manière à s'assurer une bonne vue globale des différents domaines concernés par la sécurité : réseaux, systèmes, architecture d'applications, législation. Avec le responsable, le conseil vérifiera la cohérence « sécurité » des travaux de l'équipe dont il est question ci-après.
3. L' « équipe » : L'équipe sera composée en fonction des résultats de la procédure de rattachement au SGSI, du volontariat et de sollicitations directes par le responsable. Le mode de travail s'appuiera la plupart du temps sur la technique suivante :
   1. Travail en groupe en fonction des thèmes pour l'étude d'un sujet et la mise au point de propositions d'actions, recommandations, procédures, techniques.
   2. Discussion en équipe complète de ces propositions.
   3. Finalisation par le responsable après avis du conseil.

Constitution d'un réseau de collaboration

Il est important que les avis, conseils, alertes, etc. émis par l'entité « Sécurité S.I. » soient bien relayés dans les différents services. C'est pourquoi il est nécessaire d'établir dès que possible un réseau de « correspondants de sécurité » qui dans chaque service, ou en tout cas dans la plupart de ces services, seraient capables de remplir ce rôle de relais. Le choix de ceux-ci est effectué par les RSI et les responsables des entités fonctionnelles.

Il est aussi nécessaire que l'entité « Sécurité S.I. » puisse s'appuyer à l'occasion sur certaines compétences de l'UCL qui agiraient ainsi comme consultants pour des aspects techniques particulièrement pointus.

Le responsable

Freddy Gridelet est le responsable en charge de l'entité "Sécurité du système d'information" depuis le premier février 2004. Le mandat est attribué pour une durée de cinq ans.