Pour compléter ce dossier sur la cybersécurité, il a semblé intéressant de faire découvrir, en pratique, les enjeux réels rencontrés par les équipes de Rennes 1 pour la sécurisation du système d’information (SI) de l’université.
Rencontre avec Serge Aumont, responsable de la sécurité du système d’information (RSSI) de Rennes 1 depuis 2011.
Le système d’information de l’établissement inclut tous les types d’information, numérique et autres impliqués notamment dans :
- la gestion des emplois du temps, des examens, des notes
- la finance et la comptabilité de l’établissement,
- la gestion des personnels, leur paye
- les services numériques aux utilisateurs (courriel, ENT, stockage, sauvegarde et historique des données, documentation électronique...)
- les données produites par les activités de recherche
- les supports pédagogiques (mooc)
Ces domaines sont sensibles, à divers degrés, pour la communauté d’utilisateurs de Rennes 1 (près de 33 000 personnes, soit 29 000 étudiants et 3 900 personnels). On comprend que la sécurisation de ces systèmes soit essentielle au bon fonctionnement de l’université. Ils sont très largement informatisés, de sorte que la sécurité de l’ensemble se confond avec celle de l’infrastructure numérique de l’établissement, soit :
- 5 000 postes de travail
- 80 téra-octets de trafic réseau quotidien sur les 450 serveurs de la DSI
- 160 domaines internet
- près d’un millier de serveurs web
- 358 téra-octets d’espace de stockage net et sauvegardé à disposition des utilisateurs UR1
- communication avec le reste du monde via le réseau à haut débit RENATER.
Un système menacé en permanence
Du fait de son étendue, le SI de Rennes 1 offre une large surface d’attaque.
Ces attaques ne se déroulent pas toutes depuis internet. Ainsi, précisément lors du changement récent de gouvernance à Rennes 1, une tentative d’escroquerie par appel téléphonique a visé les services comptables de la présidence, heureusement contrée par la vigilance du personnel administratif. L’attaquant était renseigné sur le contexte du changement d’équipe à la présidence de Rennes 1 ainsi que sur l’organisation des services.
Concernant la dimension purement numérique du SI, le type d’attaque évolue avec le temps et le perfectionnement des protections. En 2011, le piratage de sites web était monnaie courante, c’est moins le cas aujourd’hui.
Cela dit, les machines exposée à internet subissent un flux continu de tentatives d’intrusion. Quant au spam, il représente ⅔ des courriels reçus d’internet (1.2 million de messages sur un total de 1.8 million de messages par mois).
Ainsi, on comprend que les équipes de la DSI soient vigilantes sur une grande variété de risques : obsolescence des logiciels et du matériel, la diffusion d’un courriel de phishing (hameçonnage) dévastateur par son efficacité, logiciel espion qui exfiltre des données confidentielles comme les mots de passe utilisateur, chevaux de Troie permettant aux pirates de “prendre la main” sur la machine piratée ou encore les attaques par déni de service sur les équipements de tête de pont internet qui couperaient totalement l’université du réseau.
Le rôle de Serge Aumont, RSSI à Rennes 1
L’une des missions de Serge Aumont et de ses collègues de la Direction du système d’information (DSI) est donc la gestion des incidents de sécurité : analyse d’impact, corrections, réparations, puis déduction de mesures de prévention.
Pourtant, Serge Aumont refuse absolument les clichés attachés à sa profession qui le représenteraient en “super-geek” solitaire, posant sur fond de serveurs informatiques, et porteur d’un discours ultratechnologique et angoissant. Il décrit son travail comme un exercice partagé de dialogue, de formalisme, et même, précise-t-il avec une touche d’humour, de “paperasserie”.
Définition de la PSSI
En effet, le RSSI est en lien avec le directeur du système d’information (SI) et le président de Rennes 1. C’est un expert des principes qui gouvernent la sécurité des SI (disponibilité, intégrité, confidentialité, traçabilité), qu’il adapte à l’université. Il lui revient de proposer des mesures de gestion des risques dans ce domaine aux instances politiques de l’établissement. Celles-ci pourront alors arbitrer, en toute connaissance de cause, en fonction des moyens et de l’impact des mesures sur la communauté universitaire. Selon la décision, il subsistera des risques résiduels qui seront pris en compte.
Voici les étapes typiques de mise en œuvre d’une politique de sécurité du système d’information (PSSI) :
- définition des objectifs de sécurité : disponibilité, intégrité, confidentialité et preuve
- analyse des risques et évènements redoutés
- formalisation de mesures de réduction des risques
- arbitrage politique
- application
- évaluation
- expérience prise en compte, nouveau cycle depuis l’étape n°1
Ses méthodes
Pour effectuer son travail, le dialogue de Serge Aumont avec les acteurs de la communauté universitaire est une étape primordiale. Ses missions impliquent une collaboration étroite avec ses collègues de la DSI (responsables de l’assistance utilisateurs, du pôle de gestion des infrastructures système et réseau, etc.) et les autres acteurs du système d’information .
Au-delà de l’action quotidienne et collaborative pour la gestion des incidents de sécurité, l’essentiel de l’activité de Serge Aumont consiste à formaliser et à mettre en place des procédures.
Ses actions
Par exemple, c’est lui qui aide à définir la gestion des connaissances utiles à l’administration du SI de Rennes 1, selon le “besoin d’en connaître” de chacun des acteurs. Cette expression, propre aux métiers de la sécurité, signifie qu’une personne habilitée à connaître un secret d’exploitation ne doit effectivement connaître que la portion de ce secret nécessaire à l’exercice de ses fonctions. L’objectif est de limiter la “surface d’exposition” de l’information.
Ainsi, lorsque Serge Aumont nous a fait visiter la salle des machines de la DSI à Beaulieu, il nous a fait passer par le “circuit de notoriété” autorisé aux visiteurs, celui qui nous a permis de prendre ces photos, sans pour autant nous montrer ce qui devait rester confidentiel.
Concrètement ?
Serge Aumont supervise les mesures de sécurisation de l’infrastructure et veille à leur cohérence. Citons-en quelques unes :
- Redondance des salles de machines sous accès restreint
- Cryptographie des flux (gestion des certificats avec RENATER)
- Sauvegarde et historique des données de chaque utilisateur
- Filtres anti-spam de RENATER, déploiement d’antivirus à l’échelle du réseau
- Tests aléatoires d’ingénierie sociale (“phishing”) pour sensibiliser les utilisateurs à ce type d’attaque, redoutable quand elle est réalisée avec précision.
- Essai annuel d’arrêt et redémarrage complet de l’infrastructure et des services numériques de l’université.
Serge Aumont contribue à la maîtrise d’ouvrage de la refonte de la gestion des identités, celle-là même qui permet l’authentification des utilisateurs et la vérification de leurs privilèges au moment d’utiliser des services du système d’information. La tâche est complexe, puisque le système doit tenir compte des départs, des arrivées, des mutations, des successions d’inscription… en interface avec les logiciels utilisés par les ressources humaines et les scolarités.
Perception
Les mesures relevant de la politique de sécurité du SI peuvent être perçues comme contraignantes par les utilisateurs, quand on ne prend pas en considération ce qu’elles permettent de prévenir.
Ainsi chaque année à Rennes 1, le temps d’un week-end, se déroule un exercice consistant en l’arrêt complet des serveurs de l’université. Tous les services numériques sont alors indisponibles : téléphonie, courriel, accès aux intranets et à internet, serveurs d’impression, logiciels de gestion… La contrainte, pour une université regroupant plus de 31 000 membres (étudiants et personnels) est très forte. Pourtant, ce test d’arrêt et de redémarrage d’un système très complexe s’avère crucial : en cas d’incident majeur sur les infrastructures, il permettrait d’éviter des semaines de perturbations.
Et pour la recherche ?
L’un des objectifs de Serge Aumont est de développer la sécurité du SI de recherche à Rennes 1 : pour l’heure, la majorité des unités s’appuient de manière hétérogène sur des moyens propres ou sur les offres proposées par les co-tutelles (CNRS, Inserm). Cet état de fait est problématique au regard des impératifs réglementaires de la “Politique de protection du potentiel scientifique et technique de la nation“, dont le coordinateur est le fonctionnaire de sécurité et de défense présent sur les campus.
Liens :
Serge Aumont
RSSI de Rennes 1 depuis 2011, Serge Aumont est titulaire d’un DESS (Master 2 professionnel), spécialité “Systèmes d’information”. Il a participé à la construction de RENATER (il a été membre du comité réseau des universités avant son absorption par RENATER), et il a animé le réseau national des RSSI. Il a publié un article sur les certificats de cryptographie au format X.509, et a participé au développement de SYMPA, outil de gestion de listes de diffusion.