Politique de sécurité

1. Périmètre de la SSI
La sécurité des systèmes d’information (SSI) de l'Institut Supérieur d'Informatique et de Gestion (ISIG-GOMA) couvre l’ensemble des systèmes d’information de l’établissement avec toute la diversité que cela implique dans les usages, les lieux d’utilisation, les méthodes d’accès, les personnes concernées...
- le système informatique de gestion ;
- les applications institutionnelles (messagerie, applications et publications Internet, stockage, sauvegarde…) et celles propres aux composantes (applications scientifiques, traitement des données, bureautique…) ;
- les systèmes hors du champ informatique s’appuyant néanmoins sur ses ressources (ToIP/VoIP, visioconférence, vidéosurveillance, contrôle d’accès…) ;
- les interconnexions avec les autres organismes de tutelles (MINESU).

2. Besoins de sécurité

La sécurité du Système d’Information repose sur les critères suivants :
- Confidentialité : « La confidentialité est la propriété qu’une information n’est ni disponible ni divulguée aux personnes, composantes ou processus non autorisés » norme ISO 7498-2 (ISO90).
- Disponibilité : Propriété d’accessibilité au moment voulu des données et des fonctions par les utilisateurs autorisés.
- Intégrité : « L’intégrité est la prévention d’une modification non autorisée de l’information » norme ISO 7498-2 (ISO90).

Les besoins de sécurité s’appliquent aussi bien aux ressources du système d’information (postes informatiques, réseaux, applications…) qu’aux données traitées par ces ressources. Il est nécessaire d’inventorier et de classifier ces données (défense, scientifique, gestion, nominative, stratégique…) afin d’en identifier le degré de sensibilité et donc le besoin de
protection nécessaire.

3. Menaces

Afin de mettre en place les moyens de sécurité adéquates, la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité – DCSSI) préconise de connaître les typologies de menaces et leurs impacts. On distingue ainsi :
- les attaques visant directement le système d’information : vol de données (et éventuellement les ressources supportant ces données), modification des données, déni de service…
- les attaques visant les ressources informatiques : vol de ressources, détournement des ressources, altération des données, émission de malware…
- les accidents : sinistres naturels, altération accidentelle des données ou ressources…

Pour chaque menace, il est alors nécessaire d’en évaluer le risque, i.e. considérer la probabilité que celle-ci devienne réalité et détecter les éventuels facteurs aggravants (négligence constatée, insuffisance d’information, de consignes…).

4. Pilotage

Au sein de l’ISIG-GOMA, la responsabilité générale de la sécurité des systèmes d’information relève du DSIG de l’université en tant qu’Autorité Qualifiée pour la Sécurité des Systèmes d’Information (AQSSI). Il est assisté dans cette fonction par le Responsable de la Sécurité des Systèmes d’Information (RSSI).

5. Accès aux ressources informatiques 

La mise à disposition d’un utilisateur (personnel universitaire titulaire ou contractuel, étudiant) de moyens informatiques doit être formalisée à l’arrivée, au changement de fonction et au départ de l’intéressé. L’accès aux ressources doit être contrôlé (identification, authentification) et adapté au droit à en connaître de l’utilisateur (droits et privilèges, profil utilisateur).

6. Charte informatique 

Préalablement à son accès aux outils informatiques, l’utilisateur doit prendre connaissance des droits et devoirs que lui confère la mise à disposition par sa composante de ces outils. Cette information se fait au travers de la « charte du bon usage des moyens informatiques » intégrée dans le règlement intérieur de l’Institut Supérieur d'Informatique et de Gestion (ISIG-GOMA).

7. Cyber surveillance 

La sécurité des systèmes d’information exige de pouvoir surveiller le trafic sur le réseau et tracer les actions effectuées. Les dispositifs mis en œuvre doivent être conformes à la réglementation en vigueur et respecter les principes de proportionnalité (adaptation du niveau des moyens à l’enjeu effectif de la sécurité) et de transparence (information des partenaires
sociaux et utilisateurs).

© 2024 ISIG-ALUMNI French
French English
Qui sommes nous Politique de confidentialité Politique de sécurité Contactez nous Annuaire