Cette article est de la catégorie Corporate 

Ensemble vers la nouvelle architecture de sécurité

Comment les hautes écoles peuvent-elles optimiser la sécurité informatique? Et que penser d'un Système de Management de la Sécurité de l'Information (SMSI)? Le SWITCH Journal s’est entretenu avec Bruno Vuillemin, responsable de la sécurité informatique à l’Université de Fribourg et membre du groupe de travail ISMS de SWITCH.

Publié le 06.10.2017

Depuis 2003, l’Université de Fribourg dispose d’un «règlement de la sécurité informatique». Ce dernier définit à quelles instances et personnes incombent les différentes tâches relatives à cette sécurité. Quelle en a été votre expérience?

Ce document a été préparé par un groupe de spécialistes de différents domaines et a été approuvé par le rectorat. Il englobe tous les aspects importants. En particulier, il précise que la sécurité de l’information est de la gestion de risques et que les responsables doivent être informés de ces risques. Aujourd’hui encore, il constitue une bonne base de travail et facilite la discussion avec les parties prenantes.

Quelles tâches relèvent de votre responsabilité?

D’après le règlement, l’évaluation des risques et leur communication à la hiérarchie. Et en cas d’urgence, toute mesure opérationnelle de protection. Le processus d’analyse des risques a été détaillé dans un autre document : il faut analyser, informer le responsable de l’application, lui présenter des contre-mesures; puis il doit faire un choix, à la suite duquel il faut lui présenter le niveau de risque résiduel et solliciter son accord.

Vous rendez des rapports directement au rectorat. Quels rôles jouent ce dernier et la direction dans la sécurité informatique?

La Rectrice reçoit un rapport annuel sur les risques. En parallèle, une séance a lieu une fois par mois avec notre responsable de la protection des données, laquelle est également membre de la direction de l’université. La séance permet surtout de clarifier les évaluations de risque. Le fait que cette personne participe aux séances du Rectorat donne une validité quasi définitive aux évaluations de risques. Je communique ensuite les résultats aux responsables des applications.

En 2015 et 2016, un «Cyber Security Month» a eu lieu sur le campus. Quelle importance revêt la sensibilisation des utilisateurs dans votre gestion des risques?

C’est la version informatique du mythe de Sisyphe ! Les efforts à fournir sont relativement grands et les résultats à peine mesurables à court terme. A long terme et si beaucoup d'autres institutions en font aussi, on peut espérer une amélioration. Cela dit, il y aura toujours des victimes ; les mesures de protection restent donc nécessaires.

Quelle est l’importance d’un SMSI pour une haute école?

L’implémentation d’un SMSI me semble indispensable. Néanmoins, il peut être dimensionné au périmètre visé et l’implémentation peut être relativement «light».
Cela doit cependant permettre de faire ce qui est fondamental: (1) Permettre au top management de la haute école, aux autorités spécialisées, aux responsables des applications et à la direction IT d’être informés des risques, de leur niveau et des contre-mesures envisageables, ainsi que de faire des choix et d’être informés des risques résiduels, qu’ils doivent accepter formellement. (2) Cela doit être mis en œuvre par un processus de gestion du risque au niveau «management», clair, accepté et reconnu par des «best practices» comme digne de confiance. (3) Ce processus doit prévoir des réexamens réguliers pour réévaluer le niveau de risque. En outre, les autorités de contrôles internes et externes doivent avoir accès à la documentation pour analyser le processus et proposer des améliorations. Un climat de confiance peut ainsi s'établir entre la sécurité informatique et les différentes parties prenantes.

Quels sont vos plans concernant un SMSI à l’Université de Fribourg?

Monsieur Alexandre Gachet, directeur IT, s’est montré très intéressé par un SMSI. En se basant sur l’ISO 27000, nous avons donc commencé à réfléchir à des documents cadres, tout en essayant d’être le plus succinct possible. Depuis la création du groupe de travail SWITCH ISMS, Monsieur Gachet et moi sommes d’avis qu’il serait plus raisonnable d’attendre le résultat du travail de ce groupe, puis de voir comment adapter cela à l’Université de Fribourg. Le groupe devrait livrer les premiers résultats d’ici fin 2017, mi-2018. J’espère donc obtenir un résultat validé par le Rectorat pour 2018, 2019. Le règlement actuel reste cependant en vigueur et me semble toujours suffisant comme base minimale.

De votre point de vue, quels sont les plus grands défis à relever?

Comme un SMSI est un processus de gestion de risque validé au niveau du top management, le principal défi me semble être de réussir à obtenir un engagement fort et constant dans ce sens de la part de celui-ci. Le défi suivant est de produire un processus efficace et pas trop lourd, acceptable par le top management et par toutes les parties concernées. Les échanges d’expériences dans la communauté SWITCH afin de réussir à formaliser ce processus revêtent une grande importance à cet égard. Il faut également noter que les représentants de SWITCH dans le groupe de travail ISMS mettent beaucoup d’énergie à l’animer et à s’occuper de l’organisation. Cela aussi est une grande aide.

Groupe de travail Information Security Management System (ISMS)

Hautes écoles et universités doivent elles aussi s'occuper de plus en plus de la sécurité de l'information. Le groupe de travail ISMS se penche depuis l'été de 2014 sur la question de savoir comment l'améliorer par des instructions et processus. La situation de départ varie considérablement parmi les différentes hautes écoles. Les participants échangent leurs expériences et examinent où il y a des synergies.

Contact: isms@switch.ch

Autres articles