Guide de Bonnes Pratiques Organisationnelles pour les ASR
Guide de bonnes pratiques
organisationnelles pour les Administrateurs Systmes et Rseaux dans les units de recherche .. Olivier Brand-Foissac Laurette Chardon Marie avid Maurice Li!es Gilles Requil" Alain Rivet Contact # g!p$listes.resin%o.org &'(&'()* Page & ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR Table des matires INTRODUCTION..........................................................................................................................................4 LES BONNES PRATIQUES DANS LA FOURNITURE DE SERVICES INFORMATIQUES..............8 1- Une dmar!e "#a$%& dan' $e' #n%&' de re!er!e...............................................................( 1.1- Description des modles ITIL et ISO-20000...................................................................................9 1.2- Transposition au contexte ASR dans une unit de rec!erc!e........................................................10 1.2.1- D"inir le primtre d#action..................................................................................................10 1.2.2- $ettre en place une %estion des con"i%urations.....................................................................10 1.2.&- D"inir les ni'eaux de ser'ice...............................................................................................10 1.2.(- D"inir la continuit de ser'ice.............................................................................................10 1.2.)- *rer les inter'entions..........................................................................................................11 1.2.+- *rer les d,s"onctionnements...............................................................................................11 1.2.-- Assurer les c!an%ements et mise en production....................................................................11 1.&- D"inition du primtre.................................................................................................................12 )- La *e'&%+n de' +n,%*#ra&%+n'.................................................................................................14 2.1- .e /u#il "aut prendre en compte.....................................................................................................1( 2.2- .omment or%aniser la %estion des con"i%urations.........................................................................1) -- La *e'&%+n de' n%.ea#/ de 'er.%e...........................................................................................10 &.1- Dterminer les ser'ices 0 considrer.............................................................................................1+ &.2- 1uel ni'eau pour /uel ser'ice 2....................................................................................................1- 4- La *e'&%+n de $a +n&%n#%& de 'er.%e....................................................................................18 1- La *e'&%+n de' %n&er.en&%+n'...................................................................................................1( ).1- .e /u#il "aut prendre en compte.....................................................................................................19 ).2- .omment or%aniser la %estion des inter'entions...........................................................................19 ).2.1- Optimiser les ressources pour acclrer le traitement des inter'entions...............................19 ).2.2- Anal,ser les inter'entions.....................................................................................................19 0- La *e'&%+n de' d2',+n&%+nnemen&'........................................................................................)1 +.1- La %estion des incidents................................................................................................................21 +.2- La %estion des pro3lmes..............................................................................................................21 3- La *e'&%+n de' !an*emen&' e& de $a m%'e en 4r+d#&%+n.....................................................)- 8- La D+#men&a&%+n...................................................................................................................)1 4.1- La documentation pour les utilisateurs..........................................................................................2) 4.2- La documentation tec!ni/ue destine aux ASR............................................................................2+ 4.&- .omment raliser ces documentations 2........................................................................................2+ (- Le' 5+nne' 4ra&%"#e' dan' $a *e'&%+n de $a '#r%& de' '2'&6me' d7%n,+rma&%+n .............)8 9.1- *rands principes d#or%anisation de la scurit au sein du la3oratoire...........................................24 9.1.1- D"inition du primtre sur le/uel doit porter la scurit du S.I...........................................24 9.1.2- Implication de la direction 'is-0-'is de la scurit de l#in"ormation......................................29 9.1.&- .oordination de la scurit de l#in"ormation..........................................................................29 9.1.(- 5ormation et sensi3ilisation 0 la scurit du S.I....................................................................29 9.2- Anal,se des donnes du S,stme d#In"ormation de l#unit 6 Anal,se des 3esoins de scurit.......29 9.&- Apprciation des ris/ues...............................................................................................................&0 9.&.1- Identi"ication des menaces et 'ulnra3ilits..........................................................................&0 9.&.2- Identi"ication des impacts......................................................................................................&1 9.(- Traitement des ris/ues...................................................................................................................&1 9.)- 7onnes prati/ues dans la mise en 8u're de la scurit in"ormati/ue 9 exemples de mesures de scurit courante...................................................................................................................................&2 9.).1- Scurit p!,si/ue des locaux................................................................................................&2 9.).2- Scurit du matriel et du c:3la%e.........................................................................................&2 &'(&'()* Page ' ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR 9.).&- $ise au re3ut ou rec,cla%e....................................................................................................&2 9.).(- ;rocdures de scurit in"ormati/ue lies 0 l#exploitation 9...................................................&& 9.).(.a- ;rotection contre les codes mal'eillants 9 'irus et autres < mal=ares >..............................&& 9.).(.3- Sau'e%arde des in"ormations..............................................................................................&& 9.).(.c- ?ournaux s,stmes 6 les < lo%s >........................................................................................&& 9.).(.d- S,nc!ronisation des !orlo%es.............................................................................................&( 9.).(.e- Scurit du rseau 6 @c!an%e des in"ormations 6 .ontrAle d#accs rseau.........................&( 9.).(."- ;rotection des trans"erts de donnes 9 c!i""rement..............................................................&( 9.).(.%- @xi%ences relati'es au contrAle d#accs aux s,stmes d#exploitation .................................&) 9.).(.!- *estion de ;arc et des mo,ens nomades - .,3ersur'eillance............................................&) 9.).(.i- $esure de l#utilisation des ressources 9 outils de mtrolo%ie...............................................&+ 18- B+nne' 4ra&%"#e' $%e' a#/ a'4e&' 9#r%d%"#e' d# m&%er d7ASR : re'4e& de $a r*$emen&a&%+n en .%*#e#r...........................................................................................................-3 10.1- In"ormerB contrAlerB a%ir .............................................................................................................&- 10.1.1- In"ormerB .onseiller............................................................................................................&- 10.1.2- ;rou'er /u#on a scuris......................................................................................................&- 10.1.&- .ontrAler l#acti'it des s,stmes et du rseau......................................................................&4 10.1.(- A%ir.....................................................................................................................................&9 10.2- Cotice l%ale de site =e3.............................................................................................................&9 10.&- Cotion de c!arte in"ormati/ue.....................................................................................................(0 CONTE;TES PERSONNEL ET RELATIONNEL DES ASR..................................................................41 11- La *e'&%+n d# &em4'...............................................................................................................4) 11.1- Les %rands principes de la %estion du temps................................................................................(2 11.2- Le sc!ma du "lux de tra'ail ou la tec!ni/ue du c,cle................................................................(& 11.&- La %estion des proDets et des priorits..........................................................................................(( 11.(- $ieux %rer les interruptions......................................................................................................() 11.)- $ettre en place des routines et des automatismes.......................................................................() 11.+- .onclusion...................................................................................................................................() 1)- La +mm#n%a&%+n de $7ASR a.e 'e' 4ar&ena%re'..............................................................43 12.1- La communication rele'ant de la < politi/ue %nrale > in"ormati/ue de l#unit.........................(- 12.1.1- La communication sur les acti'it du Ser'ice In"ormati/ue................................................(4 12.2- La communication a'ec les utilisateurs.......................................................................................(9 12.2.1- Relation < 1 'ers 1 >............................................................................................................)0 12.2.2- Relation < 1 'ers n >............................................................................................................)0 12.2.&- ;rise en compte de la satis"action des utilisateurs...............................................................)1 12.2.(- La communication au sein du ser'ice in"ormati/ue............................................................)1 12.&- .ommunicationB colla3oration a'ec les partenaires extrieurs....................................................)1 12.&.1 Les relations a'ec les "ournisseurs et les ac!ats .......................................................................)2 1-- Re+mmanda&%+n' '#r $e' +m4&ene'...............................................................................1- 1&.1- O3Decti"s......................................................................................................................................)& 1&.2- L#auto-"ormation..........................................................................................................................)( 1&.&- La "ormation pro"essionnelle Eex. "ormation continueF...............................................................)( 1&.(- La 'eille tec!nolo%i/ue...............................................................................................................)) 1&.)- Les relations de mtier................................................................................................................)) CONCLUSION.............................................................................................................................................18 ANNE;E 1 < QUESTIONNAIRE D7AUTO-EVALUATION A USA=E INTERNE...............................0) ANNE;E ) < FIC>ES DE REFERENCES ...............................................................................................00 &'(&'()* Page - ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR INTRODUTION D,%n%&%+n' - O59e&%,' Le terme G%uideG est d"ini comme suit dans plusieurs dictionnaires 9 Gqui donne des conseils et accompagneG. @n ce /ui concerne les < 3onnes prati/ues >B la d"inition de HiIipdia sem3le con'enir au %uide /ue nous la3orons 9 "Le terme bonnes pratiques dsigne, dans un milieu professionnel donn, un ensemble de comportements qui font consensus et qui sont considrs comme indispensables, qu'on peut trouver sous forme de guides de bonnes pratiques (GBP! "es guides sont con#us par les fili$res ou par les autorits! %ls peuvent se limiter au& obligations lgales, ou les dpasser! "omme les c'artes, ils ne sont gnralement pas opposables! %ls sont souvent tablis dans le cadre d'une dmarche qualit par les fili$res!" .omme cela t les cas pour les deux prcdentes productions de R@SIC5O 9 SiLa3o JSiLa3oK et @coIn"o. J@coIn"oK B ce proDet de %uide est n de plusieurs r"lexions lies aux di""rents contextes de tra'ail de notre mtier dont on peut citer celuiB lar%ement parta%B de l#au%mentation et de l#intensi"ication des t:c!es d#exploitation des s,stmes in"ormati/ues et rseaux ainsi /ue des responsa3ilits attenantesB et ceB la plupart du tempsB 0 mo,ens !umains constants. Son o3Decti" est donc de proposer aux Administrateurs S,stmes et Rseaux EASRF nou'eaux entrantsB ou dD0 en placeB de mieux identi"ier les processus essentiels ncessaires pour "ournir le ser'ice aux utilisateursB scuriser nos ser'eurs et rseauxB documenter nos actionsB communi/uerB %rer notre tempsB respecter certaines contraintes Duridi/uesB se "ormerB etc Il permettra sans doute d#aider 0 la structuration du tra'ail dans nos acti'itsB 'oire 0 amliorer l#or%anisation des ser'ices in"ormati/ues des units de rec!erc!e et en d"initi'e la /ualit de ser'ice. 7ien sur nous int%rons dans les G7onnes ;rati/uesG de l#ASR la prise en compte des cons/uences sur l#en'ironnement de l#utilisation de l#in"ormati/ue. $ais il n#, aura pas de c!apitre consacr 0 ces aspects car le %roupe de tra'ail @.OIC5O de R@SIC5O a dD0 ralis un %ros tra'ail sur ce t!me et prsente sur son site E!ttp9LL===.ecoin"o.cnrs."rF des recommandations concernant entre autres Gles pro3lmati/ues de la consommation ner%ti/ue et de la pollution lies 0 l#utilisation et au d'eloppement de l#outil in"ormati/ueG. .e %uide n#est pas un li're de solutions tec!ni/ues toutes "aitesB de GrecettesG ou de Gtrucs et astucesG. Les < 5A1 > et les < MOHTO > com3lent dD0 ces 3esoins tec!ni/ues depuis lon%temps. Il n#est pas non plus un document administrati" /ui 'a dicter aux ASR une mt!ode d#or%anisation ou leur apprendre 0 tra'ailler. Il s#a%it plus modestement de s#initierB d#une manire pra%mati/ueB 0 des mt!odolo%ies d#or%anisation issues 0 la "ois du monde industriel et des normes en matire de "ourniture de ser'ice et de %estion de la scuritB mais aussi de s,nt!ses de Durisprudences 'isant 0 o3ser'er un comportement con"orme aux r%lementsB ou encore d#ou'ra%es sur la %estion du tempsB et en"in de prati/ues de terrain dD0 mises en 8u're par les ASR de la communaut ducation-rec!erc!e. Cous a'ons recens un ensem3le de t:c!es sou'ent rcurrentes et in'ariantes dans le mtier d#ASR et les a'ons encadres par un ensem3le de G3onnes prati/uesG sou'ent issues des normes /ui permettent d#or%aniser le tra'ail. .ette or%anisation contri3uant in "ine 0 amliorer la /ualit du ser'ice. Un adre m%n%ma$ 4r+!e d# &erra%n &'(&'()* Page . ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR S#adressant 0 l#ensem3le de la pro"essionB une des di""icults /ui a du Ntre prise en compte est /ue cette prati/ue /uotidienne est trs 'arieB 0 la "ois 0 cause des contextes "orts di""rents d#exercice du mtierB mais aussi par la di'ersit des tutelles des la3oratoires et des missions con"ies aux coll%ues Er"rences aux "ic!es mtiers et emploi t,pesF. .!acun ne sera donc pas concern par l#ensem3le des suDets a3ords dans ce %uide mais , trou'era des repres G%radusG /u#il pourra adapter 0 sa situation. .ependantB en dpit de ces di""rences de contexteB nous essa,eronsB /uand cela est possi3leB de d"inir un cadre minimal pour identi"ier des t:c!es de 3ase incontourna3les 0 prendre en c!ar%e. Les aspects de mise en 8u're prati/ue d#or%anisation de ser'ice et de dmarc!e /ualitB extraits de ITIL et ISO-20000 /ue nous dcri'ons dans ce %uide peu'ent par"ois paraOtre di""icilement repra3les ou directement applica3les par les ASR. @n e""et ces notions d#or%anisation et de /ualit de ser'ice sont Dus/u#0 prsent peu int%res 0 nos !a3itudes de tra'ail dans nos units de rec!erc!e. ;our ne pas rester trop t!ori/ueB nous donnons en "in du %uide un ensem3le de rfrences tec'niques 'ers des lo%iciels ou de la 3i3lio%rap!ie /ui peu'ent permettre aux ASR de mettre en place tel ou tel processus ncessit dans l#or%anisation de ser'ice. LPASR reste de toute "aQon maOtre 3ien sRr de ses c!oix tec!ni/ues dans son propre contexte. B+nne' 4ra&%"#e' e& Q#a$%& Le terme G/ualitG est utilis ici en r"rence aux proDets de GDmarc!e 1ualit en Rec!erc!eG /ui se d'eloppent dans nos la3oratoires mais /ui ne prenaient pas en compte Dus/u#0 prsent la spci"icit du mtier d#ASR. A titre de rappelB il sera prcis plus lar%ement dans le c!apitre ce /ue l#on entend par Gdmarc!e /ualitG. Le terme G*uide des 7onnes ;rati/uesG a t c!oisi en r"rence au G*uide de 7onne ;rati/ue de La3oratoireG E7;LF la3or en 1994 par l#O.D@ en 'ue d#assurerB initialementB la /ualit et la 'alidit des donnes d#essai ser'ant 0 ta3lir la sRret des produits c!imi/ues. Les recommandations inities ont t prolon%es et "ormalises dans une politi/ue de GDmarc!e 1ualitG propre au contexte de la rec!erc!e scienti"i/ue s#appu,ant en particulier sur des normes internationales Eeuropennes et "ranQaises comme ISO-9001 et maintenant ISO-20000F. .es normes permettent d#assurer des r"rences communes et d#apporter des G%arantiesG de /ualit dans les relations entre di'ers partenaires dans le cadre de colla3orations internationales Escienti"i/ues ou industriellesF 'ia des certi"ications et des a%rments dli'rs par des or%anismes !a3ilits. Le proDet du *roupe de tra'ail de R@SIC5O 0 l#ori%ine de ce %uide peut donc s#inscrire dans le cadre %nral d#une GDmarc!e 1ualitG a'ec comme ide directrice de contri3uer 0 rendre plus < lisi3les > les missionsB l#or%anisation de nos ser'ices et "inalement notre tra'ail 'is 0 'is de nos directions et tutelles et nous aider 0 son amlioration continue. ;our autant ce *uide des 7onnes ;rati/ues n#a pas pour o3Decti" d#Ntre un modle pour prparer une accrditation ou un a%rment. Si la r"rence Eindispensa3leF aux /uel/ues normes et standards en 'i%ueur utiliss dans le monde industriel EITIL ou ISO-20000FB pou'ant concerner directement notre mtierB est prsente Eet elle sera expliciteF c#est essentiellement pour se con"ormer 0 l#existant et "ixer des repres identi"ia3les dans la classi"ication de ce /ui est expos. Dans ce cadre nous utiliserons aussi le concept de GprocessusG propos par les documents normati"s pour dcrire l#or%anisation e""icace de la "ourniture de ser'ice . &'(&'()* Page / ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR Cous retiendrons donc comme d"inition d#un < processus > celle d"inie par la norme ISO- 9001 de S,stme de $ana%ement de la 1ualit comme < un ensem3le dPacti'its corrles ou interacti'es /ui trans"orme des lments dPentre en lment de sortie > JISO-9001K . Il con'ient donc d#identi"ier et de %rer les di'erses acti'its Eet processusF en interaction dans l#exercice /uotidien de notre mtier. .ette structuration pourra alorsB si 3esoinB ser'ir de 3ase pour un proDet local de dmarc!e /ualit int%r dans la politi/ue du la3oratoire. Le' +n&ra%n&e' re$e.an& de' &#&e$$e' La dmarc!e utilise a aussi tenu compte des GcontraintesG contextuelles et o3li%ations rele'ant des tutelles aux/uelles sont soumis les ASR dans l#excution de leurs t:c!es. ;armi celles- ci la politi/ue de scurit concernant les s,stmes d#in"ormation en "onction de leur contexte en est un 3on exemple. @lle sera 3ien sRr a3orde Eelle "ait aussi l#o3Det d#une normalisation sous le la3el ISO-2-001 et est dcline au .CRS sous le nom de ;SSI J;SSI .CRSK F. Il ne s#a%ira pas de se su3stituer aux structures comptentes pour dicter des li%nes de conduite mais plutAt d#indi/uer les points /ui sont suscepti3les d#impacter la prati/ue des ASR. Le' +n&ra%n&e' 9#r%d%"#e' Cous tentons de d%a%er /uelles sont les 3onnes prati/ues dans le contexte des responsa3ilits Duridi/ues 2 @n e""etB le tra'ail des ASR est dsormais en prise a'ec de nom3reuses o3li%ations et responsa3ilits de nature Duridi/ue. Dans le cadre de la protection du S,stme d#In"ormation ES.IFB la responsa3ilit administrati'e et pnale de la !irarc!ie et des ASR peut Ntre rec!erc!e. Il con'iendra donc de connaOtre les principaux r%lements en matire de c,3er protection EL.@CB in"ormati/ue et li3ertF relati"s 0 la protection de la proprit intellectuelleB des donnes rele'ant de la 'ie pri'e E"ic!ier nominati"sFB et les comportements pro"essionnels /u#ils induisent. Le' 5+nne' 4ra&%"#e' $%e' a#/ +n&e/&e' 4er'+nne$ e& re$a&%+nne$ de' ASR Sn autre point essentiel et rarement a3ord dans les "ormations initiales ou continues est la %estion du temps. 5ortement soumis aux sollicitations /uotidiennes des utilisateursB l#ASR doit aussi mener en parallle des t:c!es de G"ondG /ui ncessitent une continuit d#attention et de tra'ail. .es aspects seront eux aussi spci"i/uement a3ords pour donner /uel/ues pistes de %estion du temps dans ce domaine 0 partir de mt!odes rele'es dans des ou'ra%es raliss 0 ce suDet et transposes 0 notre mtier. On traitera en"in des aspects du mtier /ui re/uirent de la mt!ode mais aussi des capacits d#or%anisation personnelle E%estion du tempsB a%endaB plannin%..FB des /ualits de communicationB de compr!ension et sou'ent de diplomatie 'is 0 'is de nos utilisateurs. On examinera dans /uel contexte d#or%anisation et d#inter"ace a'ec les coll%ues du la3oratoireB ces tec!ni/ues sont mises en 8u're. Sne partie sera rser'e 0 la mise 0 ni'eau des comptences. Les comptences sont "ortement 'oluti'es dans notre mtier et ncessitent de s#intresser 0 la 'eille tec!nolo%i/ue et 0 la "ormation pro"essionnelle 9 comment l#ASR peut Eet doitF s#adapter et 'oluer dans un mtier suDet 0 des a'ances tec!nolo%i/ues importantes. @n"inB paralllement 0 ces a'ances tec!nolo%i/uesB dans le cas de re%roupement de la3oratoires ou de l#or%anisation de ser'ices 0 l#c!elle des campus par exempleB des tendances 0 la mutualisation se "ont Dour T une 3onne or%anisation du tra'ail et une lisi3ilit des solutions mises en 8u're est un %a%e de 3onnes colla3orations 0 di""rents ni'eaux de la structure. @n ce sens ce %uide peut "ournir une 3ase commune d#identi"ication des processus mtiers. 7onne lecture &'(&'()* Page 0 ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR Remer%emen&' < Cous remercions la $R.T E< $issions des Ressources et .omptences Tec!nolo%i/ues >F du .CRS J!ttp9LL===.mrct.cnrs."rK pour son support lo%isti/ueB ainsi /ue 5. 7ert!oudB 7. ;errotB @. DreUetB $C 7ranlB D. 7a3aB et ?$ 7ar3et /ui ont 3ien 'oulu consacrer un peu de leur temps pour relire ce %uide et nous "aire part de leurs a'is et corrections. Le *uide des 7onnes ;rati/ues pour les Administrateurs S,stmes et Rseau 3, %3pVlistes.resin"o.cnrs."r est mis 0 disposition selon les termes de la licence .reati'e .ommons ;aternit-;as d#Stilisation .ommerciale-;arta%e des .onditions Initiales 0 l#Identi/ue 2.0 5rance. &'(&'()* Page 1 ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR !"S #ONN"S $RATI%U"S DANS !A &OURNITUR" D" S"R'I"S IN&OR(ATI%U"S &'(&'()* Page + ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR )* Une dmar+,e qualit dans les units de re+,er+,e )-)* Des+ription des modles ITI! et ISO*.//// Les recommandations sur lPor%anisation des ser'ices in"ormati/ues /ui 'ont Ntre exposes ci- aprs sont issues dPune r"lexion "ortement inspire de lPapproc!e de lPamlioration de la /ualit des ser'ices des S.I. ES,stmes d#In"ormationF dcrite par ITIL JITILK EIn"ormation Tec!nolo%, In"rastructure Li3rar,F et plus rcemment par la norme ISO-20000 .JISO-20000K . La norme ISO-20000B prolon%ement du r"rentiel ITILB "ournit un modle pour la %estion de ser'ices in"ormati/ues. .ette norme "ormalise lPensem3le des acti'its dPune production in"ormati/ue et correspond 0 une approc!e < oriente client > /ui introduit la notion de < /ualit de ser'ice > apporte aux utilisateurs. Dans le cadre de lPacti'it in"ormati/ueB on peut d"inir le ser'ice comme un c!an%e 0 'aleur aDoute matrialis par un "lux. AuDourdP!uiB les or%anisations mtiers ont des attentes "ortes sur la /ualit des ser'ices "ournis par lPin"ormati/ue et ces attentes 'oluent. Ds lorsB le ser'ice in"ormati/ue doit se concentrer sur la /ualit de ser'iceB en d#autres termesB rendre les ser'ices correspondants aux 3esoins aux coRts appropris. Il nous a sem3l opportun de nous r"rer 0 ITIL et ISO-20000 /ui "ournissent un cadre dans le/uel positionner les acti'its et mt!odes existantes des ser'ices in"ormati/ues tout en "a'orisant leur structuration. AinsiB parmi les processus mtiers prsents dans la norme ISO-20000B on distin%ue ceux relati"s 0 la "ourniture de ser'ice et ceux relati"s au support de ser'ice. La < "ourniture de ser'ices > dcrit les processus ncessaires pour "ournir le ser'ice aux utilisateurs et comporte les processus sui'ants 9 la %estion des ni'eaux de ser'ice la %estion de la continuit et la disponi3ilit la %estion de la capacit la 3ud%tisation la %estion de la scurit Le < support de ser'ice > dcrit les processus ncessaires pour mettre en place et assurer un ser'ice e""icace et "onctionnel. Il est compos des processus sui'ants 9 la %estion des con"i%urations la %estion des c!an%ements la %estion de la mise en production la %estion des incidents la %estion des pro3lmes A ces processus < mtier >B sPaDoutent les processus de la 3oucle ;D.A E'oir d"inition para%rap!e sui'antF destins 0 "ormaliser lPensem3le des acti'its /ui concernent lPamlioration continue a'ec en autres 9 les rAles et responsa3ilits de la DirectionB &'(&'()* Page * ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR la %estion documentaireB la %estion des comptences et de la "ormationB la sur'eillance et la mesure La mt!ode ;D.A E;lan Do .!ecI ActFB encore appele roue de Demin% JDemin%K B comporte ( tapes /ui consistent successi'ement 0 plani"ier des actions en rponse 0 des o3Decti"s E;lanFB les mettre en 8u're EDoFB puis contrAler l#e""icacit des solutions par rapport aux o3Decti"s au mo,en d#indicateurs E.!ecIF. A'ec la /uatrime tape EActFB on 'a c!erc!er 0 corri%er et amliorer le s,stme mis en place ce /ui conduit 0 la3orer un nou'eau proDet et initier un nou'eau c,cle. @ntreprendre une dmarc!e de < 3onnes prati/ues > cPest en e""et mettre du 3on sens et d'elopper ses capacits d#initiati'e au ser'ice de lPamlioration de la /ualit en apprenant 0 identi"ierB "aireB mesurer et anal,ser de "aQon pro%ressi'e a"in de tra'ailler plus e""icacement etB 0 termeB %a%ner du temps. )-.* Transposition au +ontexte ASR dans une unit de re+,er+,e @n replaQant ce modle d#or%anisation dans le contexte dPune unit de rec!erc!eB les auteurs ont pos comme prala3le /ue les processus dcrits doi'ent Ntre identi"ia3les et mesura3les dans l#ensem3le des ser'ices in"ormati/ues de nos entits .CRSB Sni'ersitairesB @;ST ou @;I.... sur la 3ase dPun < plus petit dnominateur commun >. Les 3ases d#or%anisation ainsi poses ne doi'ent pas Ntre restricti'es et doi'ent pou'oir se dcliner en "onction du contexte et du primtre des units de rec!erc!es EtailleB mono ou multi siteB di'ersit des rec!erc!esB colla3orations internationalesWF. AinsiB lPapplication de cette dmarc!e /ualit au mtier dPASR dans un la3oratoire de rec!erc!e et sa spci"icit nous conduisent 0 proposer un modle d#or%anisation dcrit plus prcisment au cours des c!apitres sui'ants. 1.2.1- Dfinir le primtre d'action .omme prala3le 0 toute or%anisationB lPASR doitB dans un premier tempsB d"inir son primtre dPaction en spci"iant ses domaines dPinter'ention etLou en excluant les domaines /ui ne sont pas de sa responsa3ilitB ceci pou'ant "ortement conditionner la nature de ses acti'its. 1.2.2- Mettre en place une gestion des configurations .e processus sPintresse 0 la %estion de lPin"rastructure in"ormati/ue. .ette tape ncessite dPe""ectuer un in'entaire de lPensem3le des composants aussi 3ien matriels EordinateursB /uipements rseau WF /uPimmatriels EdocumentationsB licencesB contratsWF du ser'ice. 1.2.3- Dfinir les niveaux de service La d"inition des ni'eaux de ser'ice doit permettre aux utilisateurs de connaOtre la nature et l#tendue du support o""ert par le ser'ice in"ormati/ue. .!a/ue < ni'eau de ser'ice > sera associ 0 des o3Decti"s ralistes 'isant 0 assurer un ni'eau de /ualit satis"aisant 0 la "ourniture de ce ser'ice. &'(&'()* Page &) ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR 1.2.4- Dfinir la continuit de service Associ 0 c!a/ue ni'eau de ser'iceB lPASR de'ra spci"ier les exi%ences des utilisateurs de l#unit en termes de continuit des ser'ices. .et en%a%ement ta3li en accord a'ec la Direction EetLou une commission d#utilisateursF sera 'alu r%ulirement. 1.2.5- rer les interventions Il con'ient de prendre en compte de manire e""icace toutes les demandes dPinter'ention /uPil sPa%isse de demandes dPinter'ention des utilisateurs ou de c!an%ements 0 apporter aux lments du s,stme. 1.2.!- rer les d"sfonctionnements LPo3Decti" consisteB dPune partB 0 minimiser lPimpact des d,s"onctionnements du s,stme dPin"ormation sur les ser'ices et dPautre partB 0 pr'enir leur rapparition. 1.2.#- $ssurer les c%angements et mise en production Tout c!an%ement apport au s,stme dPin"ormation doit Ntre maOtris a"in de minimiser le ris/ue dPincident potentiel lors de sa mise en place. La %estion de la scurit sPappuie sur un r"rentiel 0 lui tout seulB l#ISO-2-001 JISO-2-001K /ui sert de 3ase 0 la mise en place des politi/ues de scurit au sein des units. @lle sera d'eloppe dans un c!apitre particulier de ce %uide. A tra'ers ce %uideB nous essa,erons de prciser dPune partB ce /ui nous parait comme essentiel 0 mettre en place au sein dPun ser'ice s,stme dPin"ormation et dPautre partB ce 'ers /uoi il con'ient de tendreB ces deux ni'eaux pou'ant Ntre considrs comme deux ni'eaux de maturit de l#or%anisation du s,stme d#in"ormation d#une entit de rec!erc!e. Adapts 0 nos structures d#entits .CRSB Sni'ersitairesB @;STB @;I.B etc.B les concepts ITILLISO-20000 peu'ent Ntre 'isualiss au tra'ers de la carto%rap!ie sui'ante 9 &'(&'()* Page && ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR Cartographie des processus dans un la!oratoire de recherche Les processus de pilota%e et de support compltent dans cette carto%rap!ie les processus mtier reprsents par la "ourniture de ser'icesB la %estion des d,s"onctionnements et le contrAle. La norme introduit la notion de < client > 9 autorits de tutelleB utilisateurs du ser'ice Ela directionB les c!erc!eursWF ou partenaires /ue lPon 'a c!erc!er 0 satis"aire. .ette satis"action 'aB par exempleB consister 0 %arantir la scurit des rsultats de la rec!erc!eB rpondre aux 3esoins des utilisateurs tout en amliorant lPe""icacit du ser'ice. )-0* D1inition du primtre La "onction premire dPun ser'ice in"ormati/ue dPune unit de rec!erc!e est de < participer 0 la ralisation des o3Decti"s mtiers de lPunit >. ;our raliser ces o3Decti"sB le ser'ice in"ormati/ue doit mettre en 8u're un certain nom3re de processus au tra'ers d#un certain nom3re de ser'ices "ournis dans un primtre donn. Sne des /uestions les plus dlicates /ui se pose au prala3le est la d"inition du primtre sur le/uel 'ont porter les processus noncs prcdemment. &'(&'()* Page &' ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR Cous a'ons prcis /ue lPo3Decti" des recommandations de 3onnes prati/ues sur le plan or%anisationnel tait de tendre 'ers un plus petit dnominateur commun aux ser'ices in"ormati/ues des units de rec!erc!e. Il en 'a de mNme pour le primtre 0 considrer. Dans le cadre de la mise en place des processus dPor%anisationB il "aut se %arder de 'ouloir en'isa%er < tout et tout de suite >. ;our Ntre plus prcisB il est ncessaire de respecter des paliers pro%ressi"s de maturit dans lPla3oration de ces 3onnes prati/ues et dans la d"inition du primtre et de rester pra%mati/ue en "onction des ressources !umaines disponi3les et de la taille de l#unit. A cet e""etB il "aut se poser les /uestions sui'antes 9 /uels sont les mtiers de l#unit /ue le ser'ice in"ormati/ue soutient 2 /uels sont les 3esoins exprims par les utilisateurs de l#entit 9 les < clients >2 /uels sont les c!amps dPacti'its d"inis et 'alids 9 /uel est par exemple le primtre de lPadministration rseau au sein du la3oratoire 2 Le DCSB le ser'eur de messa%erieB le rseau sans "ilW sont-ils pris en c!ar%e directement par le la3oratoire ou par une autre structure de t,pe .RI 2 /uels sont les lments matriels et lo%iciels /ue le ser'ice in"ormati/ue %re dans le primtre prcdemment d"ini 2 et surtoutB /uels sont les lments du primtre 0 considrer dans un o3Decti" de disponi3ilit de lPacti'it < 'itale > du la3oratoire 2 Dans sa d"inition minimaleB le primtre d#acti'it prcdemment d"ini doit int%rer les lments ncessaires 0 la continuit de ser'ice de lPunit. ;ar exempleB les ser'eurs Esupports des donnes de rec!erc!eF "ont partie de ce primtre ainsi /ue tous les lments ncessaires 0 la continuit de la rec!erc!e. On pourra aussi , inclure le matriel acti"B les routeurs et commutateurs EsPils sont %rs par lPASRFB les sau'e%ardesB la messa%erie... .e primtre pourra Ntre lar%i dans un deuxime tempsB lors/ue lPor%anisation de premier ni'eau sera "onctionnelle. Il "aut 3ien comprendre /ue cette p!ase de d"inition du primtre est essentielle. @lle ncessite sans doute une concertation prala3le et une prospection de lPexistant a'ec les instances du la3oratoire EdirectionB commission in"ormati/ueWF. La rponse ne sera pas dcline 0 lPidenti/ue dans toutes les entitsB et c!a/ue la3oratoire est un cas particulier a'ec une tailleB des mo,ens et surtout des o3Decti"s di""rents. .eci sous-entend une d"inition claire des missions du ser'ice Esi la structure existeF et de celles de l#ASR au sein de l#entit de rec!erc!e. &'(&'()* Page &- ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR .* !a gestion des +on1igurations .-)* e qu2il 1aut prendre en +ompte Sne "ois le primtre en'isa% et de "aQon 0 d"inir les ser'ices 0 "ournirB il "aut sPappu,er sur un ensem3le dPlments dPin"rastructures sur les/uels l#ASR peutLdoit a%ir. .es lments dPin"rastructure doi'ent Ntre identi"is et classs dans une 3ase de connaissances /ui sera tenue 0 Dour r%ulirement. (ans la terminologie %)%L*%+,-.////, l0ensemble de ces informations constitue la base des configurations connue sous le terme de "1(B ("onfiguration 1anagement (ataBase! "ette base doit 2tre maintenue et mise 3 4our rguli$rement en fonction des modifications intervenues sur les diffrents lments d0infrastructure! La %estion des con"i%urations est une des conditions ncessaire et prala3le 0 la %estion de lPensem3le des autres processus. @lle permet de sui're a'ec e""icacit lP'olution des in"rastructures in"ormati/uesB et dPen assurer la %estion et l#exploitation. Les lments de con"i%uration sont les 3iens matriels ou immatriels /ui composent les ser'ices o""erts dans le primtre /ui a t d"ini. ;ar exemple on peut , trou'er 9 les ser'eursB postes de tra'ailB imprimantesB autres prip!ri/uesB lo%icielsB licencesB /uipements rseauxB comptes in"ormati/uesB consomma3lesB documentations tec!ni/uesB contrats... ;our 3ien identi"ier les composants de'ant "i%urer dans la 3ase de %estion des con"i%urationsB on sPattac!era 0 rpondre aux /uestions sui'antes 9 /uels composants matriels utilisons-nous auDourdP!ui 2 /uels /uipements doi'ent Ntre remplacs 2 /uels contrats de maintenance a'ons-nous et doi'ent ils Ntre re'us 2 /uelles licences a'ons-nous et sont-elles en r%le 2 0 /uels rseaux un /uipement est il connect 2 /uels sont les composants utiliss et par /ui 2 /uels composants sont impacts par un dploiementB les/uels sont responsa3les dPune erreur 2 comment lP/uipe des ASR du la3oratoire parta%e ses connaissances 2 /uelle documentation est mise 0 disposition des utilisateurs et comment 2 La %estion des con"i%urations se doit de "ournir aux autres processus des in"ormations prcises et pertinentes sur les composants du s,stme dPin"ormation. .es in"ormations permettent dPidenti"ier rapidement le composant touc! par un incident. @lles permettent aussiB par exempleB de calculer les coRts de la maintenance et des licences lo%icielles. Dans sa d"inition minimaleB la 3ase de connaissances des con"i%urations doit comprendre tous les lments dPin"rastructure compris dans le primtre minimal d"ini prcdemment. Dans une r"lexion plus lar%ieB les o3Decti"s de la %estion des con"i%urations sont les sui'ants 9 rendre compte de tous les 3iens et con"i%urations de la production in"ormati/ue de lPunit. &'(&'()* Page &. ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR "ournir de lPin"ormation pertinente sur les con"i%urations pour supporter les autres processus E%estion des ni'eaux de ser'ice 9 /uPest-ce /ue lPon doit maintenirB comment 2 %estion des c!an%ements 9 /uPest-ce /ui doit Ntre c!an%B /uelles incidences sur les autres lments 2...F. "ournir des 3ases solides pour la %estion des d,s"onctionnements. comparer lPin"ormation stocIe 0 lPin"rastructure en place et corri%er les di""rences. .-.* omment organiser la gestion des +on1igurations Il "aut se %arder de 'ouloir dtailler trop prcisment les lments dPin"rastructure a"in de conser'er la maOtrise de lPensem3le sans perte de temps Ene pas "aire < dPusine 0 %aU >F. Il est par ailleurs important dPa'oir un contrAle e""icace sur les con"i%urations si lPon 'eut maOtriser correctement ce processus. AinsiB toute modi"ication apporte par un utilisateur 0 la con"i%uration de son matriel doit pou'oir Ntre identi"ie et rpertorie. ;our cela il con'ient de d"inir le ni'eau de %ranularitB c#est-0-dire le ni'eau de dtail des lments de con"i%uration /ue lPon 'eut appli/uer E/uili3re entre dtail et "acilit de %estionF. Le principe %nral pour d"inir le 3on ni'eau est d#a'oir le maximum de contrAle sur les lments a'ec un minimum de tra'ail dPenre%istrementB en int%rant principalement les lments /ui ont un rel impact sur les ni'eaux de ser'ice. ;ar exemple doit-on considrer un ordinateur Eposte de tra'ail ou ser'eurF comme lment de con"i%uration ou doit-on rentrer dans le dtail en prenant en compte ses composants Ecartes rseau et %rap!i/uesB dis/ue durB %ra'eur...F. Le ni'eau de dtail est d"ini en terme < d0attributs > des lments de con"i%uration dont 'oici /uel/ues exemples 0 considrer Eau sein de la "1(B 9 cat%orie EmatrielB lo%icielB documentWF numro de srie EmatrielB lo%icielF numro de 'ersion Elo%icielB documentationF numro de licence Elo%icielF numro dPin'entaire du matriel "ournisseur emplacement EsiteB localF date ac!atB date de mise 0 DourB date de "in de %arantieW. responsa3leB utilisateurW composant principal ou sous composant de Erelations entre les composantsF statut ou c,cle de 'ie EoprationnelB en cours de c!an%ementB...F !istori/ue des inter'entionsB ... La %estion des con"i%urations peut Ntre opre de "aQon simpleB 0 partir dPun outil ta3leur par exemple ou de manire plus sop!isti/ue et automati/ue a'ec des outils de %estion de parc. On trou'era dans la partie 5ic!es de r"rences tec!ni/ues de ce %uide un certain nom3re de pointeurs 'ers des lo%iciels ou de la documentation /ui peu'ent ser'ir et Ntre utiliss par les ASR pour implmenter et mettre en place les di""rents 'olets re/uis dans la /ualit de ser'ice. &'(&'()* Page &/ ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR 0* !a gestion des ni3eaux de ser3i+e 0-)* Dterminer les ser3i+es 4 +onsidrer La %estion des ni'eaux de ser'ice doit permettre 9 de dterminer le ni'eau de ser'ice 0 dli'rer aux utilisateurs pour supporter les mtiers de lPunit de rec!erc!eB dPinitialiser un sui'i pour identi"ier si les ni'eaux demands ont t atteints et dans le cas contraireB pour/uoi. Le 3ut de la < *estion des Ci'eaux de Ser'ice > est de d"inirB de maintenir et dPamliorer pro%ressi'ement la /ualit des ser'ices rendus par lPASR pour assurer les acti'its de lPunit. Il con'ient doncB au cours de ce processusB de d"inir les ni'eaux de ser'ice "ournis par lPASR en relation a'ec les 3esoins des utilisateurs. Cous pou'ons citer par exemple /uel/ues ni'eaux de ser'ice couramment supports par les ASR dans nos entits 9 la gestion du parc informatique, la maintenance des serveurs, la surveillance rseau, le dploiement d0application, les sauvegardes, l'arc'ivage, l'assistance de premier niveau au& utilisateurs5! Les ni'eaux de ser'ice ainsi d"inis sont r"rencs dans un catalo%ue de ser'ices. On pourra les !irarc!iser par t,pe de ser'ice 9 ser'ice mtier6 (isponibilit des mo7ens de calcul, de visualisation grap'ique, dveloppement informatiques ddis, support 3 la gestion financi$re et 89!!! ser'ice in"rastructures 6 gestion des serveurs, des sauvegardes, des impressions!!! ser'ices rseaux 6 gestion de la disponibilit du rseau!!! ser'ice applicati" 6 messagerie, :eb!!! etc. LPASR /ui 'eut mettre en place une %estion de ni'eau de ser'ice doit sPassurer au prala3le B auprs de ses utilisateursB des ser'ices /uPils utilisent et comment. AinsiB $e c,cle de la /ualit de ser'ice passe par un en%a%ement entre le ser'ice in"ormati/ue et les utilisateurs du la3oratoire identi"is dans des structures mtier Ela directionB les ser'ices administrati"sB les /uipes de rec!erc!eF. ;our estimer le ni'eau de ser'ice minimalB il "aut se rapproc!er du primtre en'isa%B des in"rastructures %res et du seuil criti/ue pour la continuit de lPacti'it. Dans un deuxime tempsB on peut en'isa%erB de %raduer en trois cat%ories principales les ni'eaux de ser'ice 0 apporter 9 'ital 9 un ser'ice dont lPinterruption 3lo/ue compltement le tra'ail dans le la3oratoire. ;&emple 6 le service d'annuaire L(<P si l'aut'entification de conne&ion sur les mac'ines passe par une aut'entification L(<P, les routeurs*commutateurs et le contr=leur de domaine si une grande ma4orit des P" sont sous >indo:s et ncessite une aut'entification! important 9 un ser'ice /ui peut Ntre interrompu 3ri'ement. ;&emple 6 messagerie, :eb, sauvegarde, serveurs calcul, serveur anti-virus! normal 9 un ser'ice /ui peut Ntre interrompu /uel/ues Dours .;&emple6 un P", une imprimante, un serveur de licence logicielle! &'(&'()* Page &0 ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR 0-.* %uel ni3eau pour quel ser3i+e 5 La "ormulation dPun ni'eau de ser'ice dans le catalo%ue des ser'ices peut comporter 9 la description du ser'ice o""ertB les "onctions mtiers cou'ertesB les priodes de "onctionnement du ser'iceB la disponi3ilit du supportB le plan de secoursB le plan de repriseW Deux paramtres sont 0 considrer pour d"inir le de%r de ser'ice 0 proposer 9 lPexistence de 3esoins di""rents par %roupe dPutilisateur 9 par exemple le ni'eau de ser'ice pour les secrtariats d#administration et de scolaritB ne seront sans doute pas les mNme /ue ceux pour un %roupe de c!erc!eurs (grer les sorties d'imprimante pour le service scolarit en priode d'inscription semble plus vital que pour un groupe de c'erc'eurs en priode moins drastique lPexistence de contraintes di""rentes lies aux t,pes dPin"rastructures. ;lusieurs /uestions poses au prala3le peu'ent aider lPASR 0 dterminer les ni'eaux de ser'ice 9 A-t-on mesur et 'alid la /ualit de ser'ice de l#application a'ant sa mise en production 2 Cos utilisateurs reQoi'ent-ils un ser'ice con"orme 0 nos en%a%ements 2 ;eut-on mesurer la /ualit de ser'ice en temps rel 2 Dispose-t-on d#un s,stme d#alerte e""icace pour %rer les incidents d#exploitation en temps rel 2 Dispose-t-on d#un !istori/ue du ni'eau de ser'ice 2 ;eut-on identi"ier un pro3lme a'ant /u#il ne rduise la /ualit de ser'ice 2 A-t-on une 'isi3ilit et un contrAle su""isants du "onctionnement de nos applications mtier criti/ues 2 W &'(&'()* Page &1 ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR 6* !a gestion de la +ontinuit de ser3i+e LPo3Decti" de la %estion de la < continuit de ser'ice > Een corollaire 0 la %estion des ni'eaux de ser'iceF est de diminuer dura3lement la "r/uence et la dure des incidents en sPassurant /ue lPin"rastructure in"ormati/ue et la "ourniture de ser'ice /ui est associe peu'ent Ntre remises en route dans les temps re/uis et con'enus. Depuis plusieurs annesB lPinterdpendance entre acti'its mtiers et acti'its in"ormati/ues est par'enue 0 un point tel /ue si les ser'ices in"ormati/ues o""erts sParrNtentB une %rande part des acti'its de rec!erc!e peut Ntre "ortement impacte. LPacti'it de rec!erc!e ncessite de plus en plus un "onctionnement -L- et 2(L2( du s,stme d#in"ormation et des ser'ices in"ormati/ue. La %estion de la continuit de ser'ice consiste 0 9 identi"ierB par une mt!ode dPanal,se de ris/uesB les menaces et les 'ulnra3ilits sur les acti"s de lPin"rastructureB appli/uer dans un deuxime temps des mesures Epr'enti'es et de reprisesF /ui permettent de conser'er un ni'eau de continuit de ser'ice. La %estion de la continuit de ser'ice doit donc sPaccompa%ner dPun plan de continuit de ser'ice Eactions dPur%encesB sau'e%ardes des enre%istrements 'itauxB 'aluation des domma%esB plan de reprise...F Le contenu de ce plan pourra prendre en compte 9 laLles procdures de dclenc!ement de ce planB les /uipements cou'erts par le planB la description des procdures de continuit d"iniesB les responsa3ilits et impacts sur les ressources !umainesB les impacts sur la scurit Een mode d%radFB les procdures de retour 0 la normaleB les procdures de test du plan de continuitW &'(&'()* Page &+ ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR 7* !a gestion des inter3entions 7-)* e qu2il 1aut prendre en +ompte LPo3Decti" principal de la %estion des inter'entions est de simpli"ier et "ormaliser la c!aOne de demande dPassistance en pro'enance de lPutilisateur tout en au%mentant la racti'it du ser'ice. .ette "onction ncessite de prendre en compte lPensem3le de lPinter'entionB de lPappel de lPutilisateurB Dus/uPau retour de sa demande aprs rsolution du pro3lme. Il sPa're %alement essentiel pour un ASR de mmoriser les demandes de "aQon 0 pou'oir recenser lPensem3le des inter'entions e""ectues au ni'eau du S.I. Les in"ormations ainsi recueillies permettrontB dPune partB dPassurer un meilleur sui'i des inter'entions etB dPautre partB de disposer dPun !istori/ue des demandes et de statisti/ues. Tout utilisateur tant amen 0 e""ectuer une demande dPinter'entionB lPo3Decti" de la %estion des inter'entions 'a consister 0 "luidi"ier leur traitement. A cet e""etB lPASR de'ra mettre en place un circuit de dcision 9 "iltrer les demandesB en dterminer la priorit et les cat%oriserB le c!oix de la priorit de'ant int%rer une anal,se de ris/ue et sPe""ectuer en concertation a'ec lPutilisateur. A ce stadeB lPASR doit se demander /uel ni'eau dPinter'ention il doit prendre en c!ar%e et /uel t,pe dPinter'ention 'a ncessiter un sui'i prcis. 7-.* omment organiser la gestion des inter3entions .e premier ni'eau de la %estion des inter'entions /ui sPa're essentiel pourra Ntre ralis di""remment selon les mt!odes de tra'ail des ASR Eca!ier de la3oratoireB "ic!ier numri/ueB outils lo%iciels de t,pe < !elpdesI >WF. A un deuxime ni'eau de maturit du s,stmeB la %estion des inter'entions pourra se complexi"ier. Deux points seront alors 0 prendre en considration. 5.2.1- &ptimiser les ressources pour acclrer le traitement des interventions Dans le cas dPun nom3re important dPinter'entions ponctuellesB la saisie dPun appel doit Ntre rapide et sRre de "aQon 0 rcuprer lPensem3le des donnes de lPutilisateur et les moti"s de son appelB ces in"ormations pou'ant "aire lPo3Det dPune "ic!e dPappel trs structure EcoordonnesB descripti"B dateB inter'enantWF. Au retour dPinter'entionB la "ic!e permettra son sui'i 9 temps passB solution adopteB "ourniture W LPa""ectation des ressourcesB /uelles soient matrielles ou !umainesB sPe""ectuera 0 partir de cette "ic!e et une plani"ication de lPinter'ention sera mise en place. 5.2.2- $nal"ser les interventions Des ta3leaux dPanal,ses dcouleront des inter'entions e""ectues. .ette s,nt!se pourra prendre plusieurs "ormes 9 ta3leaux de 3ordB rec!erc!es multicritres sur les inter'entionsB 3ase de connaissancesB &'(&'()* Page &* ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR rapports statisti/ues 0 personnaliser Eex 9 nom3re dPinter'entions par mois ...F .ette anal,se des inter'entions pourra constituerB par ailleursB un paramtre de mesure de lPacti'it du ser'ice. Son 'aluation r%ulire permettra de sui're lPamlioration de son "onctionnement dans le cadre du modle ;D.A in!rent 0 la norme ISO-20000. &'(&'()* Page ') ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR 8* !a gestion des dys1on+tionnements L#o3Decti" essentiel de ce processus est de c!erc!er 0 rsoudre les d,s"onctionnements suscepti3les de se produire au sein dPun S.I. Il s#a%it de minimiser leurs rpercussions sur les ni'eaux de ser'ice mais %alement de pr'enir leur rapparition. Les r"rentiels ITIL et ISO-20000 dcri'ent la %estion des d,s"onctionnements en deux processus distinctsB la %estion des incidents et la %estion des pro3lmes. La norme ISO-20000 distin%ue la notion dPincident de celle de pro3lme. Sn incident est < tout 'nement /ui ne "ait pas partie des oprations standards dPun ser'iceB et /ui pro'o/ue ou peut pro'o/uer une interruption de ser'ice ou altrer sa /ualit > alors /uPun pro3lme est considr comme la < cause inconnue et sous-Dacente dPun ou de plusieurs incidents >. 8-)* !a gestion des in+idents La %estion des incidents 'a consister 0 rta3lir les ser'ices le plus rapidement possi3le. Tout incident de'ra Ntre enre%istr et document de "aQon 0 tracer les oprations /ui ont t ncessaires 0 sa rsolution. Outre la description ori%inelle de lPincidentB lPenre%istrement de'ra Ntre mis 0 Dour tout au lon% du c,cle de 'ie de lPincidentB de "aQon 0 pou'oir par la suite communi/uer sur celui-ci. LPenre%istrement pourra ainsi comporter les in"ormations sui'antes 9 la cat%orie ErseauB stationB ser'iceB or%anisation...FB la dateB la prioritB les ser'ices impactsB le statut Enou'eauB en coursB rsolu...F 8-.* !a gestion des problmes La %estion des pro3lmes 'ise 0 rec!erc!er la cause premire des incidents rcurrents et ncessite de mettre en place un sui'i dPactions pour amliorer ou corri%er la situation. .Pest pour/uoiB de "aQon 0 traiter correctement et rapidement un incident rcurrent /ui se prsenteB il est indispensa3le /ue les in"ormations sur les incidents soient disponi3les. La %estion des pro3lmes 'a comprendre deux t,pes dPactions 9 les actions correcti'es 9 il s#a%itB dans un premier tempsB dPidenti"ier les causes des incidents passs et rsoudre les pro3lmes en rponse 0 ces incidents etB dans un deuxime tempsB de "ormuler des propositions dPamlioration et de correction. les actions pr'enti'es 9 il s#a%it de l#identi"ication et de la rsolution des pro3lmes connus a'ant /ue les incidents ne sur'iennent. On c!erc!e donc 0 pr'enir lPapparition des pro3lmes en identi"iant les "ai3lesses du S.I. et en proposant des solutions pour les liminer. .ela 'a consister 0 d"inir des axes dPamlioration /uPil con'iendrait dPapporter au s,stme. @n alimentant ainsi le s,stme dPamlioration continueB cette %estion pourra ser'ir 0 la Dusti"ication de demandes de nou'elles ac/uisitions ou remplacement de matriels ncessaires au 3on "onctionnement du ser'ice E'irtualisation des ser'ices...F &'(&'()* Page '& ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR ;ar la suiteB lPASR pourra a""iner la %estion des d,s"onctionnements 0 partir des /uestions sui'antes 9 comment di""rencier les responsa3ilits entre la %estion des incidents et la %estion des pro3lmes 2 comment communi/uer auprs des utilisateurs sur les incidents 2 comment %rer dans certaines situations le < con"lit dPintrNt > /ui peut exister entre la rsolution dPun incident et la rsolution du pro3lme associ Ele redmarra%e immdiat dPun ser'eur peut conduire 0 lPe""acement de certains "ic!iers lo%s /ui auraient Ntre utiles 0 la rsolution du pro3lmeF 2 comment "ormaliser les solutions mises en place 2 L0 encoreB toute latitude est laisse 0 lPASR pour d"inir les mt!odes et outils /uPil con'ient dPutiliser pour mettre en place cette %estion des d,s"onctionnements. &'(&'()* Page '' ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR 9* !a gestion des +,angements et de la mise en produ+tion Les c!an%ements au sein dPun ser'ice S.I. peu'ent Ntre multiples et concerner par exemple lPaDout ou la suppression dPun lment de con"i%urationB lP'olution de la 'ersion dPun composant 'oire un c!an%ement or%anisationnel. LPo3Decti" de la %estion des c!an%ements et de la mise en production est de rduire au minimum les cons/uences des incidents 'entuels lis 0 ces c!an%ements sur le s,stme. A cet e""etB toute modi"icationB /uPil sPa%isse de modi"ications matrielles Ec!an%ement de dis/ueB aDout de mmoire WF ou lo%icielles Emises 0 Dour des s,stmesB installation de lo%icielsWF de'ra Ntre noti"ie de "aQon 0 en %arder une trace et 'entuellement pou'oir re'enir en arrire. Lors/u#un c!an%ement est ncessaireB il "aut 'aluer les ris/ues de sa mise en 8u're et son impact sur la continuit de lPacti'it mtier pendant et aprs cette mise en 8u're. Lors de la mise en productionB il 'a s#a%ir de prot%er lPen'ironnement de production et les ser'ices associs par lPutilisation de procdures "ormelles et par des 'ri"ications lors de lPimplmentation des c!an%ements. La %estion des c!an%ements et de la mise en production consiste 0 "aire 'oluer un S.I. de "aQon structure sans commettre dPerreurs. On 'a ainsi c!erc!er 0 rduire lPimpact n%ati" des c!an%ementsB amliorer la %estion des d,s"onctionnements par une connaissance prcise des modi"ications apportes et doncB 0 termeB amliorer lPe""icacit des ser'ices rendus. Tout c!an%ement sera accompa%n de tests permettant de 'alider les modi"ications apportes. Sne solution de repli de t,pe < retour arrire > sera %alement tudie. Il est pr"ra3leB dPune manire %nraleB de plani"ier les c!an%ements en "onction de la disponi3ilit des ressources tout en c!erc!ant 0 'iter les c!an%ements "aits dans lPur%ence suite 0 un d,s"onctionnement du s,stme. LPASR de'ra donc se poser la /uestion des mt!odes et des dmarc!es /uPil con'ient de mettre en place pour traiter e""icacement et rapidement ces c!an%ements tels /ue 9 mettre en place un dispositi" adapt 0 la taille du ser'iceB mettre en place un plannin% pr'isionnel des c!an%ementsB plani"ierB par exempleB la mise 0 Dour s,stme des ser'eurs du la3oratoireB a'ertir et in"ormer les utilisateurs de l#interruption de ser'ice in!rente au c!an%ement de con"i%uration... A'ec un ni'eau de maturit supplmentaireB lPASR c!erc!era 0 apporter une 'ue complte du processus et 0 sPassurer /ue tous les aspects de ces c!an%ements ont 3ien t pris en compte Etests completsB solution de retour arrireWF. A ce ni'eauB il con'iendra de se poser les /uestions sui'antes 9 comment int%rer de "aQon optimale les processus de %estion des c!an%ements et de la mise en production a'ec la %estion des con"i%urations 2 comment communi/uer sur les c!an%ements apports 0 lPin"rastructure 2 ;ar ailleursB un 3ilan sera mis en place 0 partir des points sui'ants 9 lPimplmentation sPest-elle 3ien passe 2 dans le cas dPune rponse n%ati'eB la solution de retour arrire a t-elle pu Ntre ralise 2 &'(&'()* Page '- ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR la plani"ication en termes de ressources tait-elle su""isante 2 lPutilisateur est-il satis"ait 2 , a-t#il eu un e""et de 3ord non pr'u 2 &'(&'()* Page '. ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR :* !a Do+umentation Cous a'ons souli%n prcdemment lPimportance de la "ormalisation des mt!odes de tra'ail au sein dPun S.I pour amliorer la /ualit dans la "ourniture de ser'ice in"ormati/ue. Dans ce cadreB la documentation occupe une place trs importante dans le sui'i et la traQa3ilit de nos di""rentes actions telles /ue la mise en place de nou'eaux ser'icesB la %estion des con"i%urationsB les c!an%ements apports au S.I.B la rsolution des incidents et pro3lmesB l#aide aux utilisateursB etc. La ralisation dPune documentation et sa mise 0 disposition auprs du personnel etLou des coll%ues ASR c!ar%s d#inter'enir sur les installations apparaissent donc comme des acti'its support importantes au sein de notre carto%rap!ie du S.I. Il s#a%it d#une 3onne prati/ue permettant de retrou'er l#in"ormation 'oulue au moment 'ouluB d#assurer la traQa3ilit des di""rentes inter'entions /ue nous sommes amens 0 "aire de manire 0 pou'oir "ournir si ncessaire des explications dtailles 0 la DirectionB aux autorits comptentes sur la structure des installations et des ser'ices. Sn dpAt documentaire centralisB ric!e et 3ien or%anis "era %a%ner du temps aux ASR. .es dpAts peu'ent Ntre placs par exemple sur un site He3 accessi3le et aisment modi"ia3le par un s,stme de %estion de contenu E.$S comme Drupal ou SpipFB ou encore un < HiIi > J=iIiK . Dans l#ensem3le des t:c!es /ui Dalonnent le mtier d#ASRB il est donc ncessaire de rser'er du temps pour rdi%er les di'erses documentations ncessaires 0 la maintenance et 0 l#'olution du S.I. On distin%uera deux %randes classes de documentation /u#on peut or%aniser dans deux dpAts distincts 9 celui destin aux utilisateurs doit Ntre accessi3le dans l#intranet de l#unitB alors /ue le second de'rait Ntre rser' aux ASR de par les in"ormations con"identielles /u#il peut contenir. :-)* !a do+umentation pour les utilisateurs .e sont les documents /ui permettent aux utilisateurs de comprendre les r%les et procdures 0 sui're pour accder et utiliser correctement les ser'ices /ui sont mis en place par le ser'ice in"ormati/ue. .e t,pe de documentation est trs important dans le "ait /u#elle peut rendre les utilisateurs autonomes et permet de ne pas "aire appel aux ASR et les dran%er inutilement pour des /uestions 3asi/ues et rcurrentes. A titre d#exempleB ce t,pe de documentation peut Ntre constitu de 9 un li'ret d#accueilB ta3li par le ser'ice in"ormati/ueB /ui peut Ntre remis aux nou'eaux entrantsB et /ui peut constituer la 3ase d#une description des ser'ices o""erts aux utilisateurs. .e li'ret peut alors pointer 'ers des documentations plus compltes dtaillant l#utilisation de c!a/ue ser'ice mis en place par le Ser'ice In"ormati/ue. les documentations d#utilisation de c!a/ue ser'ice en production Epar exemple comment utiliser le X;C du la3oratoireB comment paramtrer le lo%iciel < t!under3ird > pour accder 0 la messa%erieB comment se connecter au ser'eur ddi < ss! >B comment paramtrer son ;. pour accder au rseau < @duroam >...F. les r%lements Esou'ent rassem3ls dans le r%lement intrieur de l#entit de rec!erc!eF concernant l#utilisation des ser'icesB la c!arte d#utilisation des mo,ens in"ormati/uesB ou encore le document cadre relati" 0 la politi/ue de scurit de l#or%anisme considrB les accords sur les modalits et ni'eaux de ser'ice o""erts par l#/uipe In"ormati/ueB les usa%es tolrsB les r%les de conduiteB etc. &'(&'()* Page '/ ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR :-.* !a do+umentation te+,nique destine aux ASR .et ensem3le de documents re%roupe les in"ormations tec!ni/ues ncessaires pour /ue les ASR mettent en place et "assent "onctionner tel ou tel ser'ice. .e sont les textes tec!ni/ues propres au ser'ice in"ormati/ue de l#unit et /ui peu'ent contenir des in"ormations sensi3les Eplans du rseauB A.L de routeurs mises en placeB noms et adresses I; de ser'eurs sensi3lesB mots de passeB etcF. La /ualit de ces documentations doit permettre de con"ier ou dl%uer l#exploitation de certains ser'ices 0 d#autres ASR de l#/uipe ou c!ar%s transitoirement d#inter'enir. Sne procdure d#exploitation ou d#installation 3ien documente est en e""et plus "acile 0 dl%uer 0 d#autres ASR de l#/uipe et peut "aciliter l#int%ration d#un sta%iaire /ui a alors 0 sa disposition un Gmode d#emploiG clair et prcis. .es documentations doi'ent donner une ima%e de l#tat tec!ni/ue des s,stmes Eser'ices en exploitation 0 un temps donnFB du rseauB des procdures pour assurer la continuit de ser'ice. .es documentations sont mises 0 Dour r%ulirementB lors de c!a/ue modi"icationB pour Ntre au plus prs de la ralit. @n e""etB comme on l#a 'u prcdemment dans la < %estion des c!an%ements >B il est ncessaire pour les ASR d#enre%istrer et de documenter les c!an%ements apports dans l#exploitation du s,stme d#in"ormation. Il s#a%it da'anta%e dans ce cas de constituer et de tenir 0 Dour une < main courante > a"in de tracer c!ronolo%i/uement les c!an%ements de con"i%uration apports dans la con"i%uration de tel ou tel lo%icielB ou 3ien les causes et les rsolutions d#incidents /ui sont sur'enus dans le S.I.B ou encore l#!istori/ue des inter'entions et des mises 0 Dour. .omme exemple de ce t,pe de documentation pour les ASR on peut citer 9 le plan 0 Dour du rseau de l#unitB la con"i%uration des commutateurs et des routeurs l#in'entaire des ressources in"ormati/ues la documentation des con"i%urations s,stme indi/uant comment un ser'ice a t paramtr pour l#installer 9 comment est con"i%ur Sam3aB comment est assure la redondance du ser'eur de mail au mo,en de < !eart3eat > ou autres s,stmes de disponi3ilit. les procdures dlicates /ue l#on "ait rarement 9 par exemple comment reconstruire le < raid > de la 3aie de dis/ues2 les procdures d#exploitation rcurrentes /ue l#on 'eut pou'oir con"ier 0 d#autres mem3res de l#/uipe in"ormati/ue 9 comment crer un compte?, comment c'anger les bandes de sauvegardes? .es in"ormations seront importantes en cas d#incidents ou de d,s"onctionnements pour retrou'er l#ori%ine possi3le dans des inter'entions passes. A cet e""etB notons /ue pour des raisons de disponi3ilit il serait ncessaire d#assurer une redondance de cette documentation sensi3le sur support papier de manire 0 , a'oir accs en cas de panne s,stme. :-0* omment raliser +es do+umentations 5 Le 3ut de ces documentations est /u#elles soient "acilement accessi3lesB modi"ia3lesB parta%ea3lesB correctement structuresB classes et en accs prot% pour les ASR du ser'ice uni/uement. L#ASR aura le c!oix du mode d#dition de ces documentations 9 documentation papier2 "ic!ier au "ormat Doc7ooI JDoc7ooIK B site He3 ou HiIi JHiIiK 2 &'(&'()* Page '0 ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR Les dpAts documentaires de t,pe < =iIi > peu'ent 0 cet e""et procurer un certain nom3re d#a'anta%es 9 leur accs est centralis sur un ser'eur He3B ce /ui permet de ne pas a'oir 0 c!erc!er la documentation dans de nom3reux "ic!iers et rpertoiresB leur simplicit d#utilisation "acilite les mises 0 Dour rapides de la documentationB ce t,pe de documentation n#a Damais un caractre d"initi". Il con'ient 3ien 0 un s,stme en 'olution permanente et on peut l#enric!ir "acilement 0 tout moment de dernires remar/ues ou modi"ications. .es dpAts de t,pe HiIi ont cependant aussi des incon'nients relati"s 0 la classi"ication des in"ormations et 0 leur structuration. Il est par"ois di""icile d#a'oir une na'i%ation claire dans un < =iIi >B et la structuration peut Ntre impar"aite ou mise 0 mal au "il des mises 0 Dour de la documentation. 1uelle /ue soit la tec!nolo%ie du support de documentation c!oisieB il est en tout cas ncessaire de "aire attention 0 assurer une di""usion restreinte des in"ormations /ue l#on porte dans ce t,pe de documentation du "ait /u#elles touc!ent sou'ent 0 la scurit des installations et de l#in"rastructure. @n"inB n#ou3lions pas /u#une dition papier de ces documentations est ncessaire en cas de pro3lme s,stmes maDeur /ui empNc!erait la consultation. &'(&'()* Page '1 ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR ;* !es bonnes pratiques dans la gestion de la s+urit des systmes d2in1ormation Les ASR sont con"ronts depuis lon%temps 0 des pro3lmes de scurit in"ormati/ue rcurrents /ui peu'ent mettre en pril le "onctionnement du S.I. Ils ont donc r%ulirement mis en place des mesures tec!ni/ues pour prot%er les ser'eursB le rseau et le parc de ;. utilisateursB et ont donc adapt le ni'eau de scurit pour ra%ir aux nou'elles menaces /ui apparaissaient au "il du temps sur le rseau. La liste des menaces et atta/ues in"ormati/ues est 'aste E'irusB troDanB scan rseau...F et nous n#en "erons pas l#in'entaire ici. Il sem3le %alement inutile de proposer une liste ex!austi'e des solutions tec!ni/ues de scurit 0 mettre en 8u'reB tant cela dpend du contexte et du ni'eau de scurit rec!erc!. @n re'anc!eB comme nous l#a'ons "ait en premire partie a'ec le standard ITIL et la norme ISO-20000 pour la "ourniture de ser'ices in"ormati/uesB nous a'ons utilis la norme ISO-2-001 pour donner un cadre aux 3onnes prati/ues des ASR en matire de %estion de la scurit dans nos or%anismes de rec!erc!e. @n e""etB la scurit de nos s,stmes d#in"ormation impli/ue /uel/ues prati/ues d#administration et d#or%anisation de 3ase /ue l#on retrou'e dans la norme ISO-2-001B de mNme /ue dans les ;SSI d#ta3lissement Edont celle du .CRS J;SSI .CRSK F. .es prati/ues sont %alement 3ases sur une dmarc!e par < processus > et int%rent le principe dPamlioration continue E;D.AB Roue de Demin%F /ui 'ise aprs a'oir mis en place des lments de scuritB 0 sur'eiller et r-'aluer leur e""icacit. ;-)* Grands prin+ipes d2organisation de la s+urit au sein du laboratoire '.1.1- Dfinition du primtre sur le(uel doit porter la scurit du ).*. ;our dterminer /uelles sont les exi%ences de scurit de l#in"ormation de nos unitsB il est ncessaire d#tudier au prala3le le contexteB le primtre de l#entit 0 scuriser. .ette tude impli/ue de s#attac!er 0 d"inir les 'aleurs propres de l#unit 9 /uelles sont les donnes et les "onctions essentielles /ue l#on doit scuriser pour /ue l#entit continue 0 exercer ses missions. ;our c!a/ue donne et "onction recenseB on s#attac!era 0 dterminer /uels sont les 3esoins de scurit en termes de < disponi3ilit >B < int%rit > et < con"identialit >. Les premires tapes sur les/uelles doit se penc!er l#ASR est donc 9 d#tudier le contexte de l#entitB rappeler son acti'it principaleB les missions /u#elle doit assurerB les ser'ices /u#elle doit rendre et les mo,ens /u#elle utilise pour par'enir 0 ses missions... puisB de recenser et dcrire les di""rents acti"s /ui composent le S.I. de l#or%anisme 9 "aire donc un in'entaire des matrielsB lo%icielsB rseauB personnelB locaux... et en"inB de recenser et identi"ier les donnes et "onctions de l#or%anisme et sa'oir sur /uels acti"s et mo,ens p!,si/ues elles reposent. &'(&'()* Page '+ ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR '.1.2- *mplication de la direction vis-+-vis de la scurit de l'information ;our scuriser con'ena3lement une unitB l#ASR doit s#appu,er sur une politi/ue de scurit soutenue par sa Direction au mo,en de directi'es clairesB dPun en%a%ement dmontrB dPattri3ution de "onctions explicites et dPune reconnaissance des responsa3ilits lies 0 la scurit de lPin"ormation. Il est ncessaire /ue les responsa3ilits en matire de scurit de lPin"ormation soient d"inies prcisment dans l#entit. La Direction doit demander 0 son personnel de mNme /u#aux utilisateurs extrieurs en relation a'ec l#unitB dPappli/uer les r%les de scurit con"ormment aux politi/ues et procdures ta3lies par lPor%anisme. Sne des premires mesures essentielles 0 prendre est la di""usion d#une < c!arte de 3on usa%e > des outils in"ormati/ues de l#unit. .ette c!arte est un document interne explicati" des droits et de'oirs des utilisateurs en matire d#utilisation des mo,ens in"ormati/ues de l#unit. La c!arte in"ormati/ue de l#or%anisme de tutelle E.CRSB Sni'ersit ou autre @;STF a pour 'ocation d#Ntre lar%ement di""use et mise 0 disposition pour tout nou'el entrant dans l#unit Epar exemple par copie dans le compte des utilisateursB en'oi par messa%erieB ou tout autre mo,en de di""usion e""icace ou o""icielF. '.1.3- ,oordination de la scurit de l'information Les acti'its relati'es 0 la scurit de lPin"ormation de nos units de rec!erc!e sont en %nral coordonnes par des personnels a,ant des "onctions et des rAles appropris reprsentati"s des di""rentes parties de lPor%anisme. AussiB il con'ient pour l#ASR d#entretenir ou mettre en place des relations appropries a'ec les autorits comptentes et les spcialistes de la SSI de l#or%anismeB ou encore 'ia des "orums spcialiss dans la scurit et des associations pro"essionnelles. 1ue ce soit pour les Sni'ersitsB le .CRS ou d#autres @;STB il con'ient pour l#ASR de connaOtre les acteurs de la c!aOne or%ani/ue et de la c!aOne "onctionnelle de scurit de son or%anisme 9 pour le .CRS par exemple les .RSSI Ecoordinateur r%ional de la scurit des s,stmes d#in"ormationF pour la Dl%ation r%ionaleB ainsi /ue le .SSI Ec!ar% de la scurit du S.IF de l#unit. '.1.4- -ormation et sensi.ilisation + la scurit du ).*. Le personnel doit Ntre r%ulirement in"orm des prati/ues de scurit 0 sui're Encessit de mots de passe ro3ustesB attitudes 'is a 'is des spamsB etcFB des 'nements et alertes. Il est important pour l#ASR d#or%aniser des "ormations de sensi3ilisation au sein du la3oratoire tant au ni'eau du personnel en place /ue des nou'eaux entrants et du personnel temporaire. Les "ormations et messa%es rcurrents d#in"ormation /ue dli'rent les ASR permettront de re!ausser le ni'eau de scurit de l#unit en donnant aux utilisateurs une attitude plus responsa3le "ace aux menaces /ui psent sur le S.I. ;-.* Analyse des donnes du Systme d2In1ormation de l2unit < Analyse des besoins de s+urit La protection du patrimoine de nos entits suppose d#identi"ier et de localiser au prala3le les donnes et de dterminer leur ni'eau de sensi3ilit. Les 3esoins en scurit se d"inissent en termes &'(&'()* Page '* ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR de < con"identialit >B de < disponi3ilit >B et d# < int%rit >B ainsi /ue par l#'aluation de leur de%r de sensi3ilit Epu3licB con"identielB secret d"ense...F. Seul cet examen des 3esoins peut permettre de dterminer le t,pe de protection ncessaire et les solutions tec!ni/ues ad/uates 0 mettre en 8u're pour scuriser le S.I. La protection de l#outil de tra'ail et du S.I des units impli/ue la mise en 8u're des mo,ens tec!ni/ues pour assurer 9 la disponi3ilit des mo,ens in"ormati/ues 9 impli/ue des mesures de redondanceB des procdures de reprise sur panneB et un plan de reprise d#acti'it pour minimiser les temps d#indisponi3ilit. l#int%rit des donnes 9 ncessite de mettre en 8u're des procdures de sau'e%arde des donnesB et surtout de restauration de ces sau'e%ardes. la con"identialit des donnes des utilisateurs 9 demande d#a'oir mis en place des s,stmes d#aut!enti"ication des utilisateursB ainsi /ue la mise en place de droits d#accs appropris sur les donnes. des solutions de < c!i""rement > Jc!i""rementK des supports de donnes et des protocoles de transmission sont %alement des outils de nature 0 assurer une int%rit et con"identialit "ortes des donnes. ;-0* Appr+iation des risques Sne anal,se des ris/ues Eau tra'ers de mt!odes telles /ue @7IOS J@7IOSK B $@MARIWFB permet dPidenti"ier les o3Decti"s de scurit et les mesures 0 prendreB adaptes aux 3esoins de lPunit. @lle sert de 3ase 0 lPla3oration de la politi/ue de scurit du S.I. Dans un premier tempsB il con'ient dPidenti"ier les menaces et les 'ulnra3ilits potentielles /ui psent sur les acti"s du S.I. Cous parcourons iciB en /uel/ues p!ases essentiellesB les 3onnes prati/ues dans le domaine de la scurisation d#un S.I. La documentation de la mt!ode @7IOS J@7IOSK peut donner une aide ri%oureuse pour slectionner les menaces et les mt!odes d#atta/ues opportunes dans le contexte tudi. '.3.1- *dentification des menaces et vulnra.ilits Aprs a'oir identi"i les < acti"s > EmatrielsB ser'eursB routeursB lo%icielsB locauxB donnes...F rele'ant du primtre 0 scuriserB il con'ient de recenser les < menaces > /ui peu'ent peser sur les acti"s de l#unitB ainsi /ue leurs < 'ulnra3ilits >. Les menaces doi'ent Ntre "ormalises explicitement en identi"iantB les mt!odes d#atta/ue aux/uelles lPunit est expose E'olB incendieB perte d#alimentation lectri/ue...FB les lments menaQants /ui peu'ent les emplo,er E"acteurs naturels ou !umainsB in'olontaires ou mal'eillantsFB les 'ulnra3ilits exploita3les sur les entits du s,stme et leur ni'eau d#occurrence ErareB normalB "r/uentF. ;ar exempleB dans le contexte de lPunitB le 'olB l#incendieB l#inondationB la perte d#alimentation lectri/ueB l#incendieB etc peu'ent Ntre des lments menaQants a,ant une certaine pro3a3ilit d#occurrence ErareB mo,enneB certaine...F On pourra par exemple exprimer une menace de la manire sui'ante 9 &'(&'()* Page -) ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR < l0absence de porte coupe feu dans le couloir peut permettre une propagation plus rapide d'un incendie vers la salle serveur>B ouB < l'acc$s non contr=l au& mo7ens informatiques de la salle serveur peut permettre a un individu mal intentionn d07 pntrer et de faire d'ventuels mfaits (vols, dg@ts!! Seul l#examen de ces menaces et 'ulnra3ilits peut permettre de dterminer les mo,ens 0 mettre en 8u're Etec!ni/uesB procduresB sensi3ilisationB "ormationWF pour rduire leur pro3a3ilit d#occurrence ou attnuer leur impact. @n"inB aprs a'oir identi"i et "ormul les menacesB il est ncessaire de s#attac!er 0 identi"ier les < vulnrabilits de notre S.I /ui pourraient Ntre exploites par les menaces /ui ont t retenues. ;ar exemple 9 si le 'ol est l#lment menaQant /ui a t retenuB la salle ser'eur possde t-elle un s,stme de "ermeture ad/uat /ui permet de rser'er l#accs au personnel exploitant 2 si la perte d#alimentation lectri/ue reprsente une menaceB les ser'eurs sur les/uels sont stocIes les donnes de l#unit sont-ils correctement secourus lectri/uement 2 A'ec une autonomie su""isante 2 etc '.3.2- *dentification des impacts Aprs a'oir identi"i les menaces et 'ulnra3ilits du S.IB il "aut s#attac!er 0 identi"ier les impacts /u#ils peu'ent induire sur les 3esoins prcdemment exprims en termes de pertes de con"identialitB d#int%rit et de disponi3ilit. ;our c!a/ue menace et 'ulnra3ilit rpertoriesB il s#a%it d#'aluer la pro3a3ilit raliste d#une d"aillance de scurit ainsi /ue les impacts associs. LPensem3le des in"ormations ainsi recueillies 'a permettre dPestimer les ni'eaux de ris/ue pour c!acun des acti"s. ;-6* Traitement des risques LPtape sui'ante consisteB 0 partir de la liste des ris/ues classs par prioritB 0 d"inir /uels sont les traitements 0 appli/uer pour rduire ou liminer ces ris/ues 9 retenir et !irarc!iser les ris/ues /ui sont 'rita3lement suscepti3les de porter atteinte aux "onctions et lments essentiels de l#entit. Il "aut estimer les ni'eaux des ris/uesB c#est 0 dire dterminer si les ris/ues sont accepta3les en l#tat sans mesure de pr'ention particulireB ou s#ils ncessitent un traitement tec!ni/ue ou procdural particulier. d"inir les o3Decti"s de scurit permettant de cou'rir les ris/ues. L#ensem3le de ces ris/ues de'ra Ntre 'aluB la plupart d#entre eux de'ant Ntre cou'ert par des o3Decti"s de scurit. .es o3Decti"s de scurit constituent le ca!ier des c!ar%es des mesures de scurit 0 mettre en 8u're pour l#en'ironnement tudi. On pourra trou'er une liste de mesures de scurit 0 prendre dans la norme ISO-2-002 JISO- 2-002K . .e document normati" est un < .ode de 3onne prati/ue pour la %estion de la scurit de l#in"ormation > et propose toute une srie de mesures 0 mettre en oeu're pour cou'rir les ris/ues r'ls par l#anal,se. &'(&'()* Page -& ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR ;-7* #onnes pratiques dans la mise en =u3re de la s+urit in1ormatique > exemples de mesures de s+urit +ourante XoiciB ci-aprs /uel/ues prati/ues %nrales en matire de scurit in"ormati/ue /ui sont "r/uemment mises en place dans la scurisation du S.I. de nos units de rec!erc!es. '.5.1- )curit p%"si(ue des locaux L#o3Decti" est d#empNc!er tout accs p!,si/ue non autorisB tout domma%e ou intrusion dans les locaux dans les/uels rsident les in"ormations de lPunit. Les locaux contenant des in"ormations sensi3les et des mo,ens de traitement de lPin"ormation Esalles ser'eursB secrtariat de direction ou d#ensei%nement...F doi'ent donc Ntre prot%s p!,si/uement des accs incontrAls ou mal'eillants EcontrAle dPaccs par cartes ou codeF. ;our se prot%er des menaces d#ordre < en'ironnementale >B il con'ient %alement de mettre en 8u're des dispositi"s tels /ue dtection de temprature le'eB dispositi"s anti-incendiesB ou inondationsB ... '.5.2- )curit du matriel et du c/.lage On prot%era les matriels sensi3les ErouteursB ser'eurs...F des pertes d#alimentation lectri/ue par un s,stme de secours lectri/ue su""isantB ainsi /ue d#'entuelles surc!au""es par des mo,ens de climatisation ad/uats et 3ien dimensionns. A"in de %arantir une disponi3ilit permanente et un 3on "onctionnement en cas de panneB le matriel sensi3le /ui ncessite un "onctionnement continu doit Ntre plac sous contrat de maintenance. Les accs aux c:3les rseau transportant des donnes doi'ent Ntre prot%s contre toute possi3ilit d#interception de lPin"ormationB ou de domma%e. Les c:3les ou concentrateurs rseau doi'ent Ntre !ors de porte immdiate et donc prot%s dans des %aines ou des armoires de rpartition. '.5.3- Mise au re.ut ou rec"clage Les matrielsB les in"ormations ou les lo%iciels ne de'raient pas pou'oir Ntre sortis des units sans autorisation prala3le et une procdure "ormelle. @n cas de mise au re3ut oY de re'ente de ;.B il con'ient de 'ri"ier /ue les donnes ont t e""aces des dis/ues de manire e""icace. Sn simple "ormata%e n#tant 3ien entendu pas su""isant pour e""acer les donnes de manire prenne. Des mt!odes sont prconises JA&I$;K
Les supports /ui ne ser'ent plus doi'ent Ntre mis au re3ut de "aQon sRreB en sui'ant des procdures "ormelles. Il con'ient pour des raisons en'ironnementales de mNme /ue pour des raisons de scurit du S.I. de se d3arrasser des ;. et des supports amo'i3les dans des 3ennes spcialisesB aprs a'oir au prala3le correctement e""ac les supports ma%nti/ues. &'(&'()* Page -' ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR '.5.4- 0rocdures de scurit informati(ue lies + l'exploitation 1 '.5.4.a- 0rotection contre les codes malveillants 1 virus et autres 2 mal3ares 4 La plupart des atta/ues 'ia le rseau tentent dPutiliser les "ailles du s,stme dPexploitation ou des lo%iciels d#un ;.. Les atta/ues rec!erc!ent les ordinateurs dont les lo%iciels nPont pas t mis 0 Dour a"in dPutiliser la "aille non corri%e et ainsi par'enir 0 sP, introduire. .Pest pour/uoi il est "ondamental /ue les ASR mettent 0 Dour les lo%iciels des ser'eurs et des postes clients a"in de corri%er ces "ailles. Suite aux a'is de scurit /ui manent des .@RTB l#ASR doit 'eiller au maintien du ni'eau de scurit au cours du temps par l#application rcurrente des correcti"s lo%iciels E< patc!s >F sur les ser'eurs en exploitation dans l#unit. Il est %alement dans ses "onctionsB de 'eiller 0 ce /ue c!a/ue poste du rseau local soit /uip d#un anti'irus r%ulirement mis 0 Dour. L#ASR doit donc mettre en place des mesures de dtectionB de pr'ention et de recou'rement pour se prot%er des codes mal'eillants. '.5.4..- )auvegarde des informations La sau'e%arde est un processus essentiel dans tout s,stme in"ormati/ue permettant de %arantir l#int%rit des donnesB la "ia3ilit et la continuit de lPacti'it du la3oratoire en cas d#incident. Sne politi/ue de sau'e%arde E"r/uenceB "enNtre de sau'e%arde..F doit Ntre la3ore pour prot%er les donnes de l#unit. Les in"ormations concernant les sau'e%ardes e""ectues doi'ent Ntre communi/ues aux utilisateurs. Sne sau'e%arde r%ulire des donnes des utilisateurs a'ec des processus de restaurationB teste au prala3leB doit Ntre mise en place. Il "aut porter attention aux droits d#accs 0 ces sau'e%ardes. Des copies de ces sau'e%ardes doi'ent Ntre ralises sur des supports externes Ero3ot de 3andesB dis/ues externes...F et places dans des locaux Eou co""resF scuriss et distants. .es copies de sau'e%ardes de'raient Ntre testes r%ulirement con"ormment 0 la politi/ue de sau'e%arde con'enue. '.5.4.c- 5ournaux s"stmes 6 les 2 logs 4 Les Dournaux s,stmes produits par nos ser'eurs in"ormati/ues permettent la sur'eillance du contrAle dPaccs 0 nos s,stmes et rseaux. Ils permettent de "aciliter les in'esti%ations ultrieuresB et sont en outre %alement exi%s dans le cadre de la collecte de preu'e par les autorits Duridi/ues comptentes. Les Dournaux s,stmes /ui enre%istrent les acti'its des utilisateursB les exceptions et les 'nements lis 0 la scurit doi'ent Ntre produits et conser's pendant la priode l%ale pour sur'eiller lPexploitation du s,stme. La politi/ue de %estion des traces du .CRS a "ait l#o3Det d#un document disponi3le dans l#intranet du .CRS Jlo% cnrsK . Il est important de prot%er les ser'eurs /ui conser'ent les in"ormations Dournalises contre les accs non autoriss ou des actes de mal'eillances /ui pourraient s#opposer au maintien de la preu'e. @n raison du nom3re de ser'eurs prsents dans nos unitsB il con'ient de mettre en 8u're des mo,ens pour "aciliter l#exploitation trans'ersale de ces Dournaux pro'enant de multiples ser'eurs. ;ar exemple la centralisation des Dournaux s,stmes sur un ser'eur uni/ue et ddiB permet de concentrer la scurisation des < lo%s > sur un seul point d#accsB de mieux r%uler la priode &'(&'()* Page -- ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR d#arc!i'a%e l%alB et surtout de permettre la consultation simultane des Dournaux de plusieurs ser'eurs JDournaux s,stmesK . '.5.4.d- )"nc%ronisation des %orloges @n cas d#anal,se des Dournaux in"ormati/uesB pour retracer la c!ronolo%ie d#un 'nement ou d#une anomalieB il est essentiel /ue les !orlo%es des di""rents s,stmes de traitement de lPin"ormation Eser'eursB routeursB ;. utilisateurs..F de nos entits de rec!erc!e soient s,nc!ronises 0 lPaide dPune source de temps prcise et prala3lement d"inie. '.5.4.e- )curit du rseau 6 7c%ange des informations 6 ,ontr8le d'accs rseau Les rseaux de nos units de rec!erc!e doi'ent Ntre %rs et contrAls de manire ad/uate pour %arantir leur protection contre des menaces aussi 3ien externes /u#internes. On 'eillera surtout 0 contrAler l#accs p!,si/ue au rseauB se%menter le rseau local en di""rents rseaux 'irtuels et 0 rendre illisi3les notamment les in"ormations en transitB par des mo,ens de c!i""rement des protocoles 9 contrle d'accs rseau : il est ncessaire d#empNc!er les accs non autoriss aux ser'ices /ui sont disponi3les sur le rseau Eparta%es de dossiersB imprimantesB accs Intranet He3B etcF. L#ASR doit s#assurer de ne donner accs /u#aux ser'ices pour les/uels les utilisateurs ont spci"i/uement reQu une autorisation. Des mt!odes dPaut!enti"ication appropries doi'ent donc Ntre utilises pour contrAler lPaccs des utilisateurs distants. Il peut Ntre ncessaire d#a'oir recours au standard 402.1x. pour contrAler l#accs aux ports du rseau interne au mo,en d#une identi"ication et aut!enti"ication La mise en place d#annuaires centraliss tels /ue Acti'e Director, ou LDA; ou encore un ser'eur Radius reprsente un lment "ondamental pour permettre cette aut!enti"ication. cloisonnement des rseaux : il est particulirement e""icace de sparer les "lux rseau issus des di""rents ser'ices dPin"ormation de nos entits. La se%mentation du rseau de l#unit en rseaux lo%i/ues 'irtuels EXLACF est une 3onne mesure 0 prendre pour sparer les "lux rseau de di""rentes entits administrati'es Ele rseau des c!erc!eursB le rseau des tudiantsB le rseau de secrtariatsB le rseau des ser'eurs...F. .ette di""rentiation des "lux permet par la suite de leur appli/uer des mesures de scurit di""rentes. Dans le processus de se%mentation du rseau. Il est "ortement recommand de re%rouper et d#isoler les ser'ices de'ant Ntre 'isi3les de l#extrieur dans une Uone rseau < semi ou'erte >. contrle du routage rseau 9 le rseau !3er%eant le S.I. doit Ntre prot% des tentati'es d#accs illicites pro'enant de l#extrieur comme de l#intrieur de nos entits. Des mesures du routa%e des rseaux doi'ent Ntre mises en 8u're a"in dP'iter /ue des connexions rseau non sou!aites ne portent atteinte 0 la politi/ue de contrAle dPaccs des applications mtier de nos entits. Les "lux d#entre et de sortie du rseau doi'ent %alement Ntre prot%s par un ensem3le de "iltres E< A.L >F /ui permettent d#interdire des accs rseau 'ers des ressources ou des ser'ices non contrAls. '.5.4.f- 0rotection des transferts de donnes 1 c%iffrement L#o3Decti" des mesures cr,pto%rap!i/ues est de prot%er la con"identialitB lPaut!enticit ou lPint%rit de lPin"ormation par des al%orit!mes utilisant des cls de c!i""rement. AussiB il "aut les utiliser pour prot%er les "lux d#in"ormation lis 0 des ser'ices sensi3les. ;ar exempleB la messa%erie lectroni/ue ou les accs intranet ou tout autre ser'ice demandant une identi"ication doi'ent Ntre &'(&'()* Page -. ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR prot%s de manire ad/uate par des protocoles scuriss reposant sur SSLB comme I$A;SB SS$T;B SASL pour la messa%erie ou MTT;S pour le H@7. Sne politi/ue dPutilisation des mesures cr,pto%rap!i/ues en 'ue de prot%er lPin"ormation de'rait Ntre mise en 8u're. .ela re'Nt un caractre o3li%atoire pour les donnes classi"ies <sensi3les >. On consultera 0 cet e""et le document de recommandations du .CRS en la matire J.!i""rementK . Il est important pour les ASR de connaOtre le "onctionnement de l#in"rastructure de %estion des cls EI*.F et l#utilisation /ue l#on peut "aire des certi"icats dli'rs Esi%nature et c!i""rement des messa%es lectroni/uesB ou encore certi"ication de mac!ines ser'eurs WF. Dans le cas du .CRS par exempleB l#ASR se rapproc!era des Dl%ations R%ionales pour connaOtre les modalits d#o3tention et d#utilisation des certi"icats lectroni/ues du .CRSB ainsi /ue celles pour de'enir < Autorit d# @nre%istrement > EA@F a"in de "ournir des certi"icats lectroni/ues aux utilisateurs de son unit. Il est 0 ce propos ncessaire de connaOtre l# Autorit d# @nre%istrement en place sur la Dl%ation R%ionale. On trou'era de nom3reuses documentations 0 ce suDet sur le site de l#I*. du .CRSB !ttp9LLi%c.ser'ices.cnrs."r . '.5.4.g- 7xigences relatives au contr8le d'accs aux s"stmes d'exploitation Il est du ressort des ASR de maOtriser par des dispositi"s tec!ni/ues ou procdurauxB lPaccs 0 lPin"ormation prsente dans nos units. Il est donc ncessaire de mettre en place une politi/ue de contrAle dPaccs de manire 0 empNc!er les accs non autoriss aux s,stmes dPexploitation. Sne procdure "ormelle de cration Eet de suppressionF des comptes in"ormati/ue des utilisateurs destine 0 accorder et 0 supprimer lPaccs 0 tous les s,stmes et ser'ices dPin"ormation doit Ntre d"inie. Aprs cration des comptesB il est ncessaire de %rer correctement lPattri3ution et lPutilisation des pri'il%es. L#accs aux ressources in"ormati/ues ne doit donc Ntre possi3le /u#aprs identi"ication et aut!enti"ication des utilisateursB et doit Ntre adapt aux droits et aux pro"ils des utilisateurs Ec!erc!eursB administrationB ensei%nementB etcF. L#ASR attri3ue un identi"iant et un mot de passe uni/ues 0 c!a/ue utilisateurB et met en place le s,stme dPaut!enti"ication ad/uatB pour 'ri"ier lPidentit dclare par lPutilisateur lors des entres en session. Les utilisateurs doi'ent pou'oir c!an%er leur mot de passe par un processus "ormel contrAl de manire 0 empNc!er l#utilisation de mots de passes trop "ai3les Emots ne "i%urant pas dans un dictionnaireB et di""iciles 0 retrou'er 0 lPaide de pro%rammesF. Il est important de "aire ad!rer les utilisateurs 0 ces mesures /ui peu'ent paraOtre contrai%nantesB mais /ui "i%urent parmi les mesures de 3ase permettant d#assurer la scurit de l#accs au S.I des entits. Dans certains contextes Esalles d#ensei%nementsB ou applications sensi3les...F les sessions inacti'es de'raient Ntre dconnectes aprs une priode dPinacti'it d"inie. '.5.4.%- estion de 0arc et des mo"ens nomades - ,".ersurveillance L#administration des postes de tra'ail de nos units est normalement place sous la responsa3ilit de l#ASR. Selon la r%lementation en 'i%ueur actuellementB il a donc toute latitude pour mettre en place des outils de %estion et de sur'eillance du parc in"ormati/ue. AinsiB une &'(&'()* Page -/ ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR 'ri"ication du ni'eau de scurit des postes nomades Eprsence d#un anti'irus 0 Dour par exempleF doit Ntre mise en place a'ant l#accs au rseau local. Les postes de tra'ail et mo,ens nomades doi'ent par ailleurs Ntre prot%s par des mots de passe ro3ustes. @n cas de tlmaintenance sur un ;. a'ec des outils de prise en main 0 distance tel /ue XC.B les ASR doi'ent a'ertir le propritaire du poste et respecter la l%islation. '.5.4.i- Mesure de l'utilisation des ressources 1 outils de mtrologie LPutilisation des ressources s,stmes ou du rseau doit Ntre sur'eille et aDuste au plus prs. La scurit du S.I impli/ue une sur'eillance de l#utilisation du rseau et des ser'eurs tout en respectant la r%lementation en 'i%ueur Ec" 3onnes prati/ues lies aux aspects Duridi/ues Z10F. .ela consiste notamment 0 respecter le principe de proportionnalit /ui est d#adapter les mo,ens de sur'eillance aux enDeux de scuritB et d#a'oir pour principe d#in"ormer les utilisateurs et les partenaires sur les mo,ens de sur'eillance mis en place. Dans le respect de ce cadre l#ASR a toute latitude pour mettre en place di'ers outils de mtrolo%ie rseau et de Dournalisation des accs aux ser'eurs. &'(&'()* Page -0 ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR )/* #onnes pratiques lies aux aspe+ts ?uridiques du mtier d2ASR < respe+t de la rglementation en 3igueur Le tra'ail des ASR est dsormais en prise a'ec de nom3reuses o3li%ations et responsa3ilits de nature Duridi/ue. Dans le cadre de la protection du S.IB la responsa3ilit administrati'e et pnale de la !irarc!ie et des ASR peut Ntre rec!erc!e. Il con'iendra donc de connaOtre les principaux r%lements en matire de c,3er protection EL.@CB in"ormati/ue et li3ertF relati"s 0 la protection de la proprit intellectuelleB des donnes rele'ant de la 'ie pri'e E"ic!ier nominati"sFB et de sui're attenti'ement l#'olution des Durisprudences. 1uelles sont les 3onnes prati/ues dans le contexte des responsa3ilits Duridi/ues 2 Les Durisprudences appli/ues ces dernires annes ont permis de dessiner un ensem3le de comportements et de 3onnes prati/uesB permettant 0 l#ASR d#a'oir une attitude plus claire dans un contexte de "aute potentielle dans le S.I. Sne r%le "ondamentale /ui apparaOt dans le mtier d#ASR depuis la L.@CB est le tript,/ue < in"ormation - contrAle 6 action >. Dans un contexte de "auteB un ma%istrat Du%era si on a 9 < in"orm > les utilisateursB si on a < contrAl > les ressources mises 0 d"autB et si on a < a%i> dans des dlais accepta3les pour rparer une "aute ou un pro3lme. )/-)* In1ormer@ +ontrAler@ agir 19.1.1- *nformer: ,onseiller Les administrateurs sont tenus 0 une o3li%ation de conseil < ren"orc > auprs des utilisateurs d#un s,stme d#in"ormation Ele conseil < ren"orc > s#appli/ue 0 & domaines 9 nuclaireB c!imie ris/ue de t,pe < S@X@SO > et in"ormati/ueF . Les ASR peu'ent et doi'ent donc mettre des alertes Esur des ris/ues connus F ou des mises en %arde Esur des ris/ues possi3lesF... La mise en %arde permet de si%naler /u#il est possi3le /u#un pro3lme inter'ienne. L#alerte permet d#in"ormer d#un pro3lme 3ien d"ini et connu Eet non !,pot!ti/ueF. La prsence de certains mot-cls EalerteB conseilB mise en %ardeF dans un rapport ou un mail peut a'oir un poids utile en cas de contentieux ultrieur. Il "aut in"ormer les responsa3les l%auxB les autorits comptentes ainsi /ue les utilisateurs par la rdaction de rapports r%uliersB ainsi /ue sur toute situation particulire pou'ant mettre en cause la scurit du S.I. E.". Z DocumentationF. Il est ncessaire d#in"ormer les utilisateurs de la nature des traces /ui sont Dournalises et arc!i'es sur nos s,stmesB ainsi /ue de leur dure de rtention par l#a""ic!a%e sur un site =e3 par exemple. 19.1.2- 0rouver (u'on a scuris .#est une 3onne c!ose de mettre en 8u're un ensem3le de tec!ni/ues assurant la scurit in"ormati/ueB mais encore "aut-il pou'oir le prou'er. OrB dans nos milieux uni'ersitaires et de rec!erc!e il , a une "ai3le < culture de l#crit administrati" >. On ne trace pas 3eaucoup par crit les actions /ui ont t entreprises. Il "aut donc pour nous ASRB pour prou'er nos actionsB montrer /u#on a in"orm et a%i. &'(&'()* Page -1 ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR ;ar cons/uentB il con'ient de tracer et documenter nos actions de di'erses manires. On retrou'e l0 la ncessit issue des processus de %estion des inter'entions et de %estion des c!an%ements cits dans la premire partie de ce document. Il "aut a'oir les mo,ens de donner des preu'es de l#in"ormation et de la communication /u#on a "ourni. .ela peut prendre di""rentes "ormes comme par exempleB "aire un rapport annuel d#acti'itsB ou tenir la rdaction d# une ru3ri/ue < in"ormations > notamment sur la scurit sur le site He3 du la3oratoire. Sne ru3ri/ue < scurit > sur un site =e3 peut permettre de retranscrire r%ulirement les actions d#in"ormation et de contrAles en%a%es. Les utilisateurs de l#unit doi'ent 3ien sRr Ntre in"orms de l#existence de cette ru3ri/ue et de sa mise 0 Dour E.". Z DocumentationF. Il est pr"ra3le de %arder des preu'es lectroni/ues et au 3esoin crites de di""usion de l#in"ormation. .es in"ormations seront donc "aites par crit EmailB article =e3B notes de ser'ice..FB et pourront comporter certains mots-cls comme < .OCS@IL >B < $IS@ @C *ARD@ >B < AL@RT@ > . .es in"ormations peu'ent porter par exemple sur certains 3ulletins d#alerte du .@RT ou .@RTA /ui concernent l#unitB les mi%rations pr'ues ou les interruptions de ser'ices criti/uesB ou encore des coupures du rseau a'ec l#extrieur. On peut , mettre %alement des statisti/ues de 'irusL spamsB d3its rseauB in"ections ;. B un 3ilan d#acti'it annuel du ser'iceB etc. 19.1.3- ,ontr8ler l'activit des s"stmes et du rseau Le contrAle 'ise la mise en place d#outils de sur'eillance pour 'ri"ier le 3on "onctionnement lo,al et proportionn des ser'ices o""erts. Depuis la L.@CB le droit des ASR 0 tracer les acti'its des ser'ices et leur utilisation dans le S.I est total et complet 9 dia%nosticB anal,seB contrAleB maintenance pr'enti'eB identi"ication des comportements illicites. Les 3onnes prati/ues consisteront par exemple 0 dtecter les "onctionnements anormaux par la mise en place d#outils pour 9 centraliser et paramtrer la conser'ation des Dournaux s,stmes sur la dure maximale l%ale pour les ser'ices demandsB o3tenir des statisti/ues sur l#utilisation des ser'icesB le d3itB les sites consultsB la consultation du site du la3oratoireB la place occupe sur les dis/uesB WB a'oir des remontes d#in"ormation en cas de pro3lme a'ec des sondes d#un s,stme de < monitorin% > ECa%iosB cactiB [a33ixB etcF par exempleB contrAler le contenu du site =e3. Dans la maDorit des casB les la3oratoires ditent et !3er%ent eux-mNmes leur site =e3. L#!3er%eur n#a pas d#o3li%ation %nrale de sur'eillanceB mais il a une o3li%ation spciale de sur'eillance Epoint de la n%li%ence "auti'eF. Les ASR sont en e""et tenus au secret pro"essionnelB mais ont l#o3li%ation de dnoncer des actes dlictueux comme les contenus illicites et notamment la pdo- porno%rap!ie ou la di""amation. @n tant /ue directeur de la pu3licationB le directeur du la3oratoire a une plus %rande responsa3ilit puis/u#il en approu'e le contenu. L#ASR est tenuB comme tout a%ent de l#\tatB de dnoncer les contenus illicites dont il constate la prsence Eceux /ui "ont l#o3Det de crimes ou de dlitsF. Il ne "aut cependant pas e""ectuer de destruction de preu'e. Il sera conseill de "aire une < copie d#!uissier > des "ic!iers incrimins Esur un support comme une .D-RO$B etcF et de les placer en lieu sRr pour le cas oY une en/uNte ultrieure serait mene. &'(&'()* Page -+ ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR Sne attention particulire sera 0 o3ser'er pour tout ce /ui touc!e aux in"ormations personnelles Econtexte de la 'ie pri'e rsiduelle sur le lieu de tra'ailFB tant en terme de di""usion du contenu /ue de di""usion d#in"ormation concernant un contenu suspect. Il est 0 rappeler /ue la remise de documents ou d#in"ormations touc!ant aux donnes personnelles ne peu'ent Ntre remises /u#0 un o""icier de police Dudiciaire dRment !a3ilit Een cas de douteB ne pas !siter 0 contacter le M5D directement ou 'ia la c!aOne or%ani/ueF. 19.1.4- $gir @n cas de crise ou d#ur%enceB l#ASR a donc le droit d#a%ir et ra%ir rapidement pour assurer la continuit du ser'ice et dispose du droit de re"user des demandes /ui mettraient le S.I. en dan%er. @n contre partieB il est tenu d#assurer la scurit s,stme du site Epasser les correcti"s de scurit lo%icielsF. Si un correcti" de scurit n#a pas t passB et /u#il , a eu un incident %ra'eB pour ne pas Ntre responsa3leB il "audra prou'er par exemple /u#il tait en 'acancesB et /u#il n#, a'ait pas de redondance !umaine pr'ue. ;our maintenir la continuit des ser'ices communsB pour scuriser Eexcuter les patc!sB...FB en cas d#ur%ence ou de criseBles principes %nraux et "ondamentaux du mtier d#ASR 0 retenir sont 9 amliorer la < politi/ue de l#crit > dans nos unitsB mettre en place le tript,/ue In"ormationL.ontrAleLActionB amliorer la traQa3ilit. )/-.* Noti+e lgale de site Beb La loi pour la con"iance dans lPconomie numri/ue du 21 Duin 200( pr'oit /ue les personnes dont lPacti'it est dPditer un ser'ice de communication au pu3lic en li%ne mettent des in"ormations 0 disposition du pu3lic 9 nomB prnomsB domicile et numro de tlp!oneBs#il s#a%it de personnes p!,si/uesB dnominationB raison sociale et si%e socialB numro de tlp!oneBs#il s#a%it de personnes moralesB nom du directeur ou du codirecteur de la pu3lication etB le cas c!antB celui du responsa3le de la rdactionB nomB la dnomination ou la raison sociale et l#adresse et le numro de tlp!one de lP!3er%eur. Sne notice l%ale est donc dsormais indispensa3le sur les sites He3s de nos units. .elle-ci doit indi/uer 9 l#exploitant du site 9 c#est une entitB %nralement le la3oratoire lui-mNmeB l#!3er%eur 9 c#est l#entit /ui a le contrAle lo%i/ue sur le ser'eur 9 c#est soit le la3oratoire s#il a le contrAle total sur le ser'eurB soit l#entit /ui %re ce ser'eur Esur le/uel le la3oratoire a un point d#accs pour mettre 0 Dour son site =e3FB le Directeur de la ;u3lication 9 c#est une personne p!,si/ueB %nralement le Directeur du la3oratoire Eou le directeur *nral du .CRSF. &'(&'()* Page -* ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR Dans ce contexteB il est 3on de prciser /ue l#ASR a pour mission d#assurer l#administration s,stme des ser'eursB mais ne doit pas Ntre l#diteur ou le responsa3le ditorial du site He3 de l#ta3lissement. Si l#ASR est in"orm d#un contenu illiciteB il doit en in"ormer son directeur par crit et prendre une dcision rapide pour sau'e%arder les preu'es puis ensuite retirer ce contenu. La Loi dit de le supprimer < immdiatement >. Dans les DurisprudencesB le dlai est %nralement de (4!. )/-0* Notion de +,arte in1ormatique La c!arte de 3onne utilisation des ser'ices in"ormati/ues et de l#internet est un document indi/uant /uels sont les droits et de'oirs des utilisateurs. @lle doit Ntre lar%ement di""use et porte 0 la connaissance de tous les personnels de l#entit. Sne c!arte accepte E/u#elle soit si%ne indpendamment ou annexe au r%lement intrieur F est un lment de droit. @lle est assimile 0 un contrat et doit donc Ntre comprise pour Ntre 'alide Ene pas "aire si%ner la c!arte "ranQaise 0 un tudiant tran%er /ui ne la comprendrait pasF. @lle complte un dispositi" /ui peut Ntre constitu de normesB de plan de continuit d#acti'itB d#auditB ou d#actions de sensi3ilisation. &'(&'()* Page .) ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR ONT"CT"S $"RSONN"! "T R"!ATIONN"! D"S ASR .ette partie traite des prati/ues /ue peut sui're l#ASR en tant /u#indi'idu dans son contexte pour mieux or%aniser son tra'ailB mieux communi/uer au sein de son entit et amliorer ses comptences. On , trou'era donc des mt!odes de %estion du tempsB des principes pour amliorer la communication entre l#ASR et son en'ironnement EdirecteurB utilisateursB..F et des outils pour per"ectionner ses comptences par le 3iais de di""rents t,pes de "ormation. &'(&'()* Page .& ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR ))* !a gestion du temps La ncessit de %rer son temps n#est pas primordiale tant /ue nous pou'ons "aire "ace 0 l#ensem3le de nos t:c!es < naturellement > dans un temps raisonna3le. Si nous a'ons l#impression /ue notre c!ar%e de tra'ail ne cesse de s#alourdir et /ue notre mt!ode < naturelle > d#or%anisation "onctionne moins 3ien alorsB une r"lexion s#impose. Cous sommesB en e""etB soumis a des sollicitations plus ou moins impr'isi3les. Cotre tra'ail est sou'ent assuDetti 0 un "lot continu de re/uNtes di'erses pro'enant des utilisateurs /ui rentrent en concurrence a'ec les t:c!es incontourna3les d#administration des in"rastructures. Il "aut donc s#or%aniser au mieux pour rpondre 0 cette situation et sa'oir %rer son temps est un des mo,ens pour , par'enir. Outre ces demandes et ces incidents dans l#exploitation du parc in"ormati/ueB nous a'ons 3esoin de maintenir nos connaissances concernant la 'eille tec!nolo%i/ue. .ela demande de rser'er du temps pour testerB 'aluer les nou'eaux produitsB connaOtre de nou'elles tec!nolo%iesB etc. @n"inB appli/uer une mt!ode de %estion du temps apporte une aide lors de la rdaction des rapports d#acti'its. @n e""etB on peut se r"rer aux listes de proDetsB d#actions lmentairesB 0 l#a%endaB 0 l#c!ancier tenus 0 Dour au cours de l#anne passe. Cotre o3Decti" est de donner /uel/ues pistes concrtes pour amliorer la %estion du temps dans le mtier d#ASRB principalementB 0 partir de trois sources d#in"ormations /ui sont 9 la mt!ode < *ettin% T!in% Done >B de Da'id AllenB plus connue sous l#acron,me *TD J*TDK B le li're de T!omas Limoncelli < Admin#s,sB %rer son temps > JAdminS,sK . le li're de 5ranQois Deli'r < 1uestion de temps > J1uestionTempsK ))-)* !es grands prin+ipes de la gestion du temps La maDeure partie du stress naOt d#une mau'aise %estion des en%a%ements pris ou accepts. @n e""etB si on prend le temps de r"lc!ir sur les t:c!es ralises lors des dernires semaines par exempleB on se rend compte du trs %rand nom3re d#en%a%ements internes pris 9 cela 'a des %randes am3itions EproDet d#Sni'ersit Cumri/ue en R%ions ou la restructuration du ser'ice in"ormati/ueFB Dus/u#0 des intentions plus modestes Edes mi%rations de ser'icesB mise en place de nou'eaux ser'eursF ou encore 3anales Eremplacer le 3loc-notes ou rec!ar%er le porta3leF. ;rendre conscience de ces di'ers t,pe de t:c!es est un pas certain 'ers une meilleure %estion de son temps. Sn autre point important %alement est de pou'oir d"inir 0 /uel ni'eau de r"lexion ou de Gpro"ondeurG se situe un proDet ou une t:c!e. ;ar exempleB un proDet reste "lou ou une a""aire en suspens s#il n#a pas d#o3Decti"s clairs E/ue 'eut-on 'raiment o3tenir 2F et si aucune action concrte n#a t d"inie. .e n#est pas /uel/ue c!ose de n%ati" en soi. Au contraireB cela correspondant au tout d3ut du proDetB au moment ou l#ide mer%e tout simplement. .eci ditB un proDet "lou est trs di""icile 0 plani"ier puis/u#aucun droulement n#est d"ini. .#est un point capital d#autant plus /ue s#il nous proccupe excessi'ementB c#est /ue soit on n#a pas les mo,ens pour le r%ler ou 3ien on n#a pas de solutions. La plupart des con"lits de priorit 0 un instant donn entre plusieurs t:c!es peu'ent Ntre rsolus par une 3onne !armonisation entre les t:c!es ncessaires E< il "aut /ue >F et celles /u#on aime 3ien E< D#ai en'ie de >F J1uestionTempsK . Si nos t:c!es du t,pe < il "aut /ue > sont trop prpondrantes &'(&'()* Page .' ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR par rapport 0 celles du t,pe < D#ai en'ie de >B cela se traduira par une dmoti'ation de l#ASR. .#est dans notre < D#ai en'ie de > /ue se situe la plus %rande ner%ieB la plus %rande dtermination 0 a%ir. @n"inB nos di""icults pour %rer notre temps 'iennent aussi du "ait d#Ntre 'ictime des ruses de notre mental dont nous n#a'ons pas ncessairement conscience tels /ue Ntre s,stmati/uement tent de sous-estimer le dlai d#une t:c!eB se disperserB la peur des responsa3ilitsB l#!sitation perptuelle. 5ranQois Deli'r les appellent les < dia3lotins > dans son li're. Il en recense une diUaine. @n prendre conscienceB l0 aussi peut nous aider 0 amliorer la %estion de notre temps JResume1uestionTempsK . ))-.* !e s+,ma du 1lux de tra3ail ou la te+,nique du +y+le La mt!ode *TD propose un sc!ma du "lux de tra'ail Jrsum*TDK pour apprendre 0 %rer son temps. L#ide est de li3rer son cer'eau le plus possi3le des di'erses t:c!es 0 e""ectuer. Si l#esprit est encom3r d#une multitude de dtailsB il ne pourra pas Ntre e""icace. ;our se concentrer et 'iter d#ou3lierB le mieux est de couc!er sur le papier ou de saisir au cla'ier tout ce /ui nous proccupe et de centraliser le tout dans une 3oite d#entre. @nsuite pour c!a/ue lment stocI dans cette 3oiteB soit il s#a%it d#une in"ormation 0 stocIer dans les documents de r"renceB 0 Deter ou 0 noter dans une liste < A "aire un DourLpeut-Ntre > B soit il s#a%it d#un lment /ui demande une action. .#est 0 ce ni'eau /ue se situe le c8ur de la mt!ode 9 /uelle action "aut-il entreprendre 2 ;our certains lmentsB l#action est 'idente et "acile 0 raliser Een'oi d#un mail pour poser une /uestion 3ien d"inieB ou pour in"ormerF. ;our d#autresB le r"lexe est de dcouper en plusieurs actions lmentaires appeles ;.A5 E< ;remire .!ose A 5aire >F. Si la ;.A5 en /uestion ne demande /ue /uel/ues minutesB alors le mieux est de l#excuter sur le c!amp. SinonB on se demande si on est la personne la mieux place pour l#excuter. Selon la rponseB on dl%ue ou on la reporte dans sa liste de ;.A5B en 3re" 9 on excuteB on dl%ue ou on consi%ne. @n rsumB il est prconis de maintenir au minimum une liste de proDetsB une liste de ;.A5 et un a%enda. D#autres cat%ories sont aussi utiles et expli/ues en dtail. Les pointeurs sont donns dans le document < 5ic!es de R"rence > du %uide. A un instant donn de la DourneB on est soit dans la ralisation de t:c!es prd"inies Eliste de ;.A5FB soit on %re les impr'usB soit on d"init son tra'ail Eon est dans ce sc!ma du "lux de tra'ailF. ;renons /uel/ues minutes au d3ut pour s#o3ser'er 9 n#est-on pas trop sou'ent dans les impr'us au dtriment des autres t:c!es 2 Sne "ois cette or%anisation ta3lie et 3ien int%reB il de'ient naturel de re'enir r%ulirement sur son plannin% en particulier pour raliser un 3ilanB e""acer les t:c!es ralises et en aDouter de nou'elles. L#idal tant le 'endredi aprs-midi pour li3rer son esprit pour le =eeI-end parce le tra'ail ralis dans la semaine est encore 3ien 0 l#esprit. T!omas Limoncelli propose la tec!ni/ue du .,cleB similaire 0 la mt!ode *TD 9 il s#a%it de consacrer dix 0 /uinUe minutes c!a/ue matin pour mettre en place son emploi du temps de la DourneB ordonner selon les priorits et les temps d#excutionB sui're le pro%rammeB conclure et recommencer le lendemain. Il est pr"ra3le de commencer a'ec une or%anisation minimale E a'ec un papier et un cra,onF 0 la/uelle on ad!re compltement car on est con'aincu /ue c#est ncessaire et on l#amliore petit 0 petit pour soi et pour le ser'ice in"ormati/ue. Xoici /uel/ues exemples de di""rents t,pes d#in"ormations 0 traiter dans sa 3oite d#entre 9 &'(&'()* Page .- ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR l#in"ormation < dis/ue n]xx de la 3aie scsi est tom3 en panne le ..L..L.. Remplac le ..L..L.. aprs appel au "ournisseurB sous %arantie ... > est 0 stocIer dans la "ic!e d#exploitation du matriel. < remplacer le contrAleur de domaine Sam3a > est un proDet 0 noter dans la liste des proDets. < se remmorer l#actuelle con"i%uration du ser'eur sam3a d#aprs la "ic!e d#exploitation ou les "ic!es d#inter'ention > est une ;.A5 de mNme /ue < lire les nou'eauts entre les 2 'ersions et r"lc!ir 0 leur impact par rapport au paramtra%e du ser'ice e""ecti" dans mon la3oratoire >. ))-0* !a gestion des pro?ets et des priorits Il est "r/uent c!eU les ASR d#Ntre d3ords par les demandes /uotidiennesB %nralement courtes et "r/uentes occasionnant le report de %rands proDets initialement pr'us Eet /ui de'iennent de plus en plus ur%ents au "ur et 0 mesure du temps /ui passeF. ;our/uoi 2 Sne des raisons est /ue ces proDets sont sou'ent lon%s et complexes et /u#il est di""icile de sa'oir par ou commencer. T!omas Limoncelli comme Da'id Allen propose le dcoupa%e en sous-proDets plus simples et courts. La mt!ode *TD est plus concrte dans le sens ou elle prconise de d"inir une premire action Eappele ;.A5F concrte et d#une dure asseU courte. ;our d"inir 0 un moment donn l#action 0 e""ectuerB plusieurs modles sont proposs. Le premier modle repose sur /uatre critres 9 le contexteB la disponi3ilitB le ni'eau d#ner%ie et la priorit. .e dernier critre "ait appel 0 son Du%ement du moment comme par exemple le < "acteur d#impact > de l#action. @n e""etB connaOtre les attentes des utilisateurs et "aire passer un proDet ric!e en cons/uences Epour le la3oratoireB pour l#ima%e de mar/ue...F a'ant les proDets "aciles mais aux cons/uences et retom3es moindres ou inutiles est un critre important. Le classement sui'ant en ( cat%oriesB de A 0 DB peut ser'ir 0 attri3uer une priorit. On pri'il%iera 'idemment la cat%orie A 9 A9 une action "acile Ee""ort "ai3leF a'ec un impact important et positi" 79 une action di""icile E%ros e""ortF a'ec un impact important et positi" .9 une action "acile a'ec un impact super"iciel D9 une action di""icile et un impact super"iciel Sn exemple peut Ntre la demande de mise en place d#un site =e3 pour une con"rence or%anise dans son la3oratoire. $Nme si cette demande est la dernire dans l#ordre c!ronolo%i/ueB elle peut Ntre classe prioritaire %r:ce 0 un impact positi" et immdiat 'is 0 'is des utilisateurs et de l#extrieur. Le second modle repose sur la notion d#c!elleB une "aQon de prendre du recul. Il s#a%it de passer d#un tat oY on est au plus prs des actions en cours 0 celui /ui permet d#o3tenir une 'ue d#ensem3le correspondant 0 son plan de 'ie J*TDK . .ela permet d#excuter une action de son plan de 'ie /ui ne "ait pas partie des actions /uotidiennes. ;ar exempleB prenons le cas d#un ASR /ui sou!aite appro"ondir ses connaissances sur le s,stme LinuxB /u#il connait trs peu tant plutAt comptent sur le s,stme Hindo=s. .e sou!ait "ait partie de son plan de 'ie EmutationB WF. Si une "ormation sur Linux se prsenteB il c!oisira d#, participer mNme si c#est pendant une priode oY de nom3reuses t:c!es sur le parc des mac!ines Hindo=s l#attendent. &'(&'()* Page .. ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR ))-6* (ieux grer les interruptions Sn des %rands pro3lmes dans notre tra'ail d#ASR est le %rand nom3re d#interruptions aux/uelles nous sommes con"ronts continuellement et /ui nous "ont a3andonner des t:c!es en cours pour les reprendre plus tard. .es interruptions incessantes nous "ont sou'ent perdre le "il du tra'ail en cours. Dans la %estion du tempsB l#ASR est %alement par"ois son propre ennemi en tant tent de rpondre au "lux incessant de courriels /u#il reQoit et en maintenant trop de t:c!es en cours Etrop de "enNtres 0 l#cranB...F. Il s#a%it alors de mieux ra%ir aux interruptions "r/uentes de notre mtier Eur%encesB multiples demandes des utilisateursB courriel..FB et donc d#or%aniser au mieux son temps et sa liste de t:c!es a'ec des mt!odes appropries parmi les/uelles9 a'oir un en'ironnement ran% "a'orisant la concentrationB et diminuant les distractions Eran%er l#cranB pas trop de "enNtres ou'ertes et d#actions simultanes en mNme tempsF connaOtre son r,t!me 3iolo%i/ue et sa'oir 0 /uelle !eure on est plus dispos pour des acti'its ncessitant de la concentration mettre en place un < 3ouclier anti-interruptions >B a'ec un s,stme de pla%es !oraires spci"i/uement rser'es aux demandes des utilisateurs. @n de!ors de celles-ciB l#ASR peut alors s#isolerB /uitter son 3ureau et a'ancer sur ses proDets plus sereinement. "ace aux multiples demandes des utilisateursB re'enir au sc!ma du "lux de tra'ail cit dans la mt!ode *TD 9 dterminer la < premire action 0 "aire > E;.A5FB l#excuterB la dl%uer ou la consi%ner puis recommencer. ))-7* (ettre en pla+e des routines et des automatismes .es actions r%ulires /ue l#on s#impose permettent de mieux structurer ses acti'its et %rer son temps. On peut citer par exemple 9 plani"ier s,stmati/uement des rencontres dans son ser'ice pour "aire le point sur l#tat d#a'ancement de proDets Etous les lundisB le plannin% !e3domadaire du ser'ice in"ormati/ueB tous les premiers lundis de c!a/ue moisB les runions a'ec des coll%uesB etcF. On peut lar%ir cette !a3itude de pro%rammer des runions a'ec son suprieurB 'oire les utilisateurs E'oir le para%rap!e sui'ant sur la communicationF mettre en place des scripts pour automatiser les sau'e%ardesB les 'ri"ications sur la place disponi3le des ser'eursB des ser'ices en arrNtB etc. automatiser l#en'oi de mails pour se rappeler les t:c!es rcurrentes mais manuelles 9 compacter une 3ase de donnesB diter le listin% mensuel des mac!ines in"ectesBetc. se dplacer s,stmati/uement a'ec son or%aniseurB son st,loB ses clsB ses cartes d#accs est aussi une 3onne !a3itude. ))-8* on+lusion L#ide /ui nous incite 0 penser /u#appli/uer une mt!ode de %estion de temps apporte un tra'ail supplmentaire sans rel 3n"ice est trs rpandue. .ela si%ni"ie /ue la p!ase &'(&'()* Page ./ ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR < moti'ationLintention > n#a pas t traite en pro"ondeur. @n "aitB appli/uer une telle mt!ode E/ui re'ient 0 plani"ier un proDetF ne diminue pas le nom3re de t:c!es /ue nous a'ons 9 ce n#est pas une recette miracle ^ Au contraireB elle met en relie"B par"ois de "aQon douloureuseB les d,s"onctionnements /u#ils pro'iennent de nous ou nonB et 'a inciter 0 d"inir 3ien clairement les priorits. ;our maintenir le capB on doit prendre l#!a3itude de li3rer son espritB de dterminer les actions ncessaires et les rsultats 'oulus aussitAt /u#une situation se prsenteB re'oir et mettre 0 Dour l#in'entaire complet des a""aires en suspens. Ce so,ons pas tonns si ces !a3itudes ne de'iennent pas automati/ues du Dour au lendemain. So,ons patients et appri'oisons-les en douceur ^ &'(&'()* Page .0 ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR ).* !a +ommuni+ation de l2ASR a3e+ ses partenaires Cous a3ordons ici les relations a'ec ce /uiB dans ITIL ou la norme ISO20000B est class sous le terme de GclientG. @n e""etB dans un la3oratoire de rec!erc!eB les ASR doi'ent 3ien sRr rendre des comptes et satis"aire des 3esoins de di""rentes natures et ni'eaux. Il , aura donc plusieurs "ormes de communications adaptes 0 c!a/ue < cat%orie de client > ou de 3esoin E"ormes critesB oralesB contractuellesB dialo%uesB coutesB etc F. Outre les /ualits tec!ni/ues re/uisesB l#ASR Eou du moins le ser'ice in"ormati/ueF porte %alement une "onction de communication 9 il a un de'oir d#in"ormerB de "ormer et de sensi3iliser la Direction et les utilisateurs pour tout ce /ui concerne l#utilisation du s,stme in"ormati/ueB son 'olutionB ses c!an%ements et sa scurit. il a %alement une o3li%ation de conseilB de recommandationB d#alerte et de mise en %arde pour toutes les prati/ues ou 'nements /ui pourraient mettre en cause la scurit ou le "onctionnement normal du S.I. en"in il a un rAle dans la relation au /uotidien a'ec les utilisateursB 0 tra'ers la prise en compte des multiples demandes d#assistance de leur part. D#une manire plus %nraleB un des rAles de l#ASRB est sou'ent de re"ormuler en termes de Gsolutions tec!ni/uesG ce /u#expriment les utilisateurs Eles clientsF en termes de 3esoins "onctionnels ou scienti"i/ues a"in de les concrtiser par des 'olutionsB des in'estissements ou des modes de "onctionnement. La communication Edont l#couteF est donc un lment "ondamental dans nos relations a'ec les utilisateursLclientsB /ui 'a 'iser d#une partB 0 comprendre et prendre en compte les 3esoins et pro3lmes des utilisateurs de l#unit et d#autre part 0 conseiller la Direction dans son rAle de responsa3le de la scurit du S.I. @n"in une 3onne communication permet d#assurer la 3onne lisi3ilit des missions du ser'ice au sein de l#entit. Il s#a%ira donc de mettre en 8u're les < 3onnes prati/ues >B les 3onnes structures or%anisationnelles pour assurer ces missions de communication rcurrentes 0 l#intrieur de l#unit comme 'ers l#extrieur. ).-)* !a +ommuni+ation rele3ant de la D politique gnrale E in1ormatique de l2unit On est l0 dans le cadre du sui'i d#un sc!ma directeur /ui 'a "ixer les %randes li%nes des acti'its in"ormati/ues au cours de l#anneB les priorits 0 traiterB les in'estissements 0 raliser et l#attri3ution d#un 3ud%et de "onctionnement. .e t,pe de communication permet de d"inir et d#amliorer la < lisi3ilit > du ser'ice In"ormati/ue au sein du la3oratoireB et permet d#a""ic!er les missions du ser'iceB son or%anisationB ses mo,ensB les priorits 0 sui'reB ses actions et ralisationsB etc. &'(&'()* Page .1 ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR 12.1.1- ;a communication sur les activit du )ervice *nformati(ue La Direction est l#lment primordial dans le mana%ement de la scurit de l#in"ormation du la3oratoire. L#ASR est son conseiller principal. Le Directeur d#unit s#entoure par"ois d#une < commission d#utilisateurs > a'ec la/uelle il 'a 'alider les c!oix tec!ni/ues et 3ud%taires /ue l#ASR lui soumet. Xoici /uel/ues pistes possi3les 0 adapter 0 c!a/ue contexte. ).-)-)-a* ommission in1ormatique d2une unit Sne < commission in"ormati/ue d#utilisateurs > re%roupant les principales "onctions de l#entit Ec!erc!eursB ensei%nantsB administrati"s..F est une instance /ui peut se prNter par"aitement 0 l#ta3lissement et 0 la 'alidation d#une politi/ue %nrale d#un ser'ice in"ormati/ue d#une unit. .e t,pe d#instance a plusieurs a'anta%esB parmi les/uels 9 de prsenter et 'alider le compte rendu d#acti'its annuel ta3li par le ser'ice in"ormati/ue auprs des reprsentants de l#unitB d#examiner et 'alider le 3ud%et demand par le ser'ice in"ormati/ueB de d"inir les priorits des in'estissements in"ormati/ues /ue l#ASR proposeB de d"inir les 3esoins en continuit de ser'ices Edures accepta3les de perte de ser'ices ou dures accepta3les de ser'ice d%radFB de d"inir ce /ui est criti/ue dans le "onctionnement du la3oratoire a"in d#orienterB ta3lir et Dusti"ier aux ,eux de c!acun les priorits d#inter'ention des ASRB d#a'oir un retour sur la /ualit de ser'ice du ser'ice in"ormati/ue et sur l#indice de satis"action des utilisateurs. Le statut de cette commission est 0 d"inir clairement ds sa constitution. Les actions mises en 8u're par l#ASR sont a'ant tout prises en accord a'ec sa direction. Les a'is de cette commission peu'ent Ntre consults et pris en compte autant /ue possi3le dans ce contexte. ).-)-)-b* !i3ret d2a++ueil in1ormatique de l2unit La rdaction d#un li'retL%uide d#accueil dcri'ant les ser'ices o""ertsB et les procdures pour , accder pour les nou'eaux entrants concourent 0 une 3onne lisi3ilit des ser'ices mis en place par le ser'ice in"ormati/ue. Il permet %alement de se reposer sur un document /ui assurera de %a%ner 3eaucoup de temps en n#a,ant pas 0 rpter les mNmes c!oses 0 c!a/ue personneB tout en a""ic!ant un %rand pro"essionnalisme. .e li'ret d#accueil peut 3ien entendu Ntre disponi3le sous sa "orme lectroni/ue sur le site =e3 de l#unit. On peut par exemple indi/uer dans ce li'ret d#accueil les principaux ser'ices o""erts ainsi /ue les modalits et procdures pour , a'oir accs 9 l#arc!itecture en placeB ses "onctions et ses limitesB les demandes d#assistance in"ormati/ueB l#accs et l#usa%e de la messa%erieB la con"i%uration de son lo%iciel de messa%erie a'ec les adresses des ser'eurs en "onctionB le c!an%ement de son mot de passeB l#c!an%e de "ic!iers 'olumineux a'ec un correspondant extrieurB &'(&'()* Page .+ ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR l#espace de stocIa%e en rseauB comment , accderB les /uotas dis/ues disponi3les par indi'iduB l#accs au ser'ice de rseau sans "ilB 0 @duroamB la politi/ue de sau'e%ardes des donnesB l#accs aux mo,ens de calcul disponi3les dans l#unitB la salle li3re accsB /uels sont les lo%iciels disponi3les et les !oraires d#ou'ertureB le ser'ice X;C pour accder de manire scurise 0 ses donnes depuis l#extrieur du la3oratoireB etc. ).-)-)-+* ompte rendu d2a+ti3its Le compte rendu d#acti'its du ser'ice in"ormati/ue est un document de communication. .#est l#lment /ui a""ic!eB arc!i'e et tmoi%ne des %randes t:c!es ralises par le ser'ice tout au lon% de l#anne de'ant les utilisateurs et la Direction. Il est aussi important /ue ces acti'its "assent partie du rapport rdi% lors des rapports d#'aluation des autorits de tutelle. ;our exempleB on pourra , mettre 9 une s,nt!se du nom3re et de la di'ersit des t:c!es d#assistances ralises auprs des utilisateursB et /ui ont t in'entories par le processus de %estion des inter'entions. .ela peut par exemple se traduire e""ecti'ement dans nos units par un < s,stme de sui'i des demandes > EMelpDesIF. les extensions ou modi"ications du rseauB du c:3la%eB du dploiement de =i"iB les c!an%ements et 'olutions dans les s,stmes d#exploitationB les installations de nou'eaux ser'icesB l#tat des lieux des ser'eurs et des s,stmes de stocIa%e 9 /uantitati"s Enom3res de mac!inesB ;.B porta3lesB au%mentation par rapport 0 l#an dernier et nom3re de ser'icesF et /ualitati"s Eli3ell des ser'ices implmentsFB les pro3lmes de scurit /ui ont eu lieu et comment , remdierB les "ormations e""ectuesB les tudes et proDets en cours et "inalissB etc. @n d"initi'eB il permet de rsumer et de prsenter au %rand Dour l#ensem3le des acti'its et des t:c!es ralises amliorantB de ce "ait la communication et la lisi3ilit du ser'ice in"ormati/ue. ).-.* !a +ommuni+ation a3e+ les utilisateurs Outre la politi/ue %nrale d"inissant les missions et orientations %nrales du ser'iceB les ASR sont au contact permanent et /uotidien a'ec la /uasi totalit des personnels d#une unit en traitant leurs demandes d#assistance et les di'erses rsolutions d#incident. Sans une or%anisation ri%oureuse et adapte /ui permet d#taler et plani"ier les inter'entionsB on est assur d#une perte de tempsB d#un stress /uotidienB et du sentiment d#Ntre d3ord en permanence. &'(&'()* Page .* ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR 1uelles sont les 3onnes prati/ues dans ce domaine 2 Il s#a%it de "aire connaOtre aux utilisateurs les mo,ens et les procdures mis en place pour satis"aire leurs demandesB comme par exemple 9 un S,stme de Sui'i de Demande B un site He3 intranet propre au ser'ice in"ormati/ue. Il est ncessaire de 3ien expli/uer /uelles sont les procdures EoYB /ui et commentF 0 sui're en cas de pro3lme et 'ri"ier r%ulirement la /ualit de la communication Ecommission d#utilisateursFB comme par exemple un mode d#emploi clair pour trou'er la 3onne documentation en li%ne sur le site He3. On pri'il%iera les outils et procdures de communication %nraux /ui ser'iront 0 "ormer le plus %rand nom3re E1 'ers nFB plutAt /ue de s#adresser n "ois 0 une seule personne E1 'ers 1F. La communication a'ec les utilisateurs pourra sPe""ectuer au mo,en de "ormations internes et par la mise 0 disposition dPin"ormations au mo,en du s,stme documentaire mis en place. 12.2.1- <elation 2 1 vers 1 4 .#est dans ce t,pe de communication /u#il "aut 'eiller 0 insister sur l#coute pour dtecter les 3esoins sous-Dacents et les re"ormuler en termes oprationnels. Il est ncessaire pour l#ASR de prendre en compte toutes les demandes d#inter'ention des utilisateurs et d#accuser rception de leurs demandes en leur accordant de l#attention ncessaire. On 'itera une < non prise en compte > de la demande ou une < raction silencieuse >B et on pri'il%iera les demandes des utilisateurs /ui auront sui'i les consi%nes et procdures mises en place par le ser'ice in"ormati/ue et auront inscrit leur demande sur l#outil de sui'i de demandes. Autant /ue "aire se peutB on 'itera le 'oca3ulaire du mtier a"in d#Ntre compris par un utilisateur perdu /ui a du mal 0 exprimer sa demande. A cet e""et l#ASR a le c!oix entre noti"ierB enre%istrer la demande dans le < MelpDesI > J*;LIKJRTK @sup-;ortailK pour un traitement ultrieurB ou ai%uiller les utilisateurs 'ers le 3on interlocuteur. Dans les deux cas la prise en c!ar%e de la demande est un %a%e de pro"essionnalisme et de /ualit de ser'ice. .et arc!i'a%e des demandes des utilisateurs dans un < MelpDesI > JMelpDesIK permet 0 l#ASR de se donner la possi3ilit de plani"ier et ordonnancer son excutionB plutAt /ue d#Ntre 3allott par les interruptions incessantes. Sn < MelpDesI > permet %alement de dl%uer une re/uNte 0 d#autres ASR. L#utilisateur 'oit par /ui sa demande est prise en compte et peut sui're l#tat d#a'ancement de sa ralisation. 12.2.2- <elation 2 1 vers n 4 La di""usion dPin"ormations sur les < 'nements en cours >B par exemple 0 partir d#un site He3 spci"i/ue du ser'ice in"ormati/ue pourra permettre d#in"ormer les utilisateurs sur 9 les proDets en cours 9 un ser'ice =i"i /ui sera install 0 telle dateB... les 'olutions pr'ues ou en cours sur tel ou tel s,stme 9 c!an%ement du ser'eur =e3 B pr'u 0 telle dateB... les nou'eauts /ui ont t installes 9 un a%enda colla3orati" 'a Ntre installB... les c!an%ements de con"i%uration de certains ser'ices 9 en raison de nom3reux pro3lmes de scurit les connexions ss! se "eront dsormais sur le port 2&2(Bl#or%anisation de "ormations internes re%roupant plusieurs utilisateurs surB par exempleB < l#utilisation de S;I; >B ou le < paramtra%e de t!under3ird >B... &'(&'()* Page /) ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR 12.2.3- 0rise en compte de la satisfaction des utilisateurs LPanal,se de la satis"action des utilisateurs est 0 l#ori%ine du processus dPamlioration continue ERoue de Demin%B ;D.A /ue l#on retrou'e dans ITIL et la norme ISO-20000 F. .#est une tape "ondamentale de la /ualit de ser'ice dans la/uelle on doit 'ri"ier la /ualit du ser'ice rendu aux utilisateursB s#assurer /u#elle rpond 3ien aux 3esoins et 0 la demandeB et l#amliorer le cas c!ant. Dans nos structuresB cela pourrait se concrtiser de manire in"ormelle par des rencontres plani"ies a'ec les utilisateurs 9 mini-sminairesB ca"s in"ormati/uesB etcF ou encore de manire plus o""icielle et "ormelle par des < commissions in"ormati/ues > d#units a'ec la Direction et les utilisateurs pour "aire remonter un ni'eau de satis"action. 12.2.4- ;a communication au sein du service informati(ue @n"inB outre la communication diri%e 'ers les utilisateurs E< client > F de l#unitB il est %alement ncessaire de 3ien communi/uer au sein mNme du ser'ice In"ormati/ue. Dans ce cadre l0B les 3onnes prati/ues /uand l#e""ecti" du ser'ice le permetB sont 9 de mettre en place des runions de ser'ice r%ulires. .es runions dont la "r/uence est 0 dterminer E/uotidiennes 2B !e3domadaires 2...F permettent de passer en re'ue les actions et les pro3lmes en coursB de sa'oir /ui s#occupe de /uel proDet pour /uelle c!anceB de sa'oir /uelles sont les priorits et les o3Decti"s... .es runions peu'ent aussi permettre d#la3orer un plannin% /ui ser'ira de < 3ouclier anti-interruption > en assi%nant telle ou telle personne 0 temps plein sur une action pendant /ue les autres prennent en c!ar%e les demandes et pro3lmes /uotidiens des utilisateurs. mettre en place et tenir 0 Dour un s,stme documentaire Ec" c!apitre 4F permettant d#c!an%er toute la connaissance au sein du ser'ice en l#a3sence des autres mem3res. ).-0* ommuni+ation@ +ollaboration a3e+ les partenaires extrieurs Le milieu de la rec!erc!e scienti"i/ue est par principe trs ou'ert 0 d#autres partenaires extrieurs. Il est ncessaire de mettre en place une communication approprie auprs de ce pu3lic particulier externe 0 nos units. @n e""etB d#une part nos units sont sou'ent !3er%es par des tutelles di""rentesB et d#autre partB elles sont amenes 0 tra'ailler a'ec des partenaires industriels. Cos units parta%ent sou'ent leur en'ironnement tec!ni/ue a'ec d#autres partenairesB si 3ien /ue les limites du S.I peu'ent Ntre "loues ou mal d"inies. Il est donc ncessaire de mettre en place une lar%e ou'erture et communication a'ec ces partenaires comme par exemple 9 mettre en place une coordination a'ec les autres tutelles. @n cas d#incidents de scuritB notamment il con'ient d#in"ormer et de se concerter a'ec les autres tutelles. int%rer des %roupes de tra'ail a'ec les tutelles /ui !3er%ent des units de rec!erc!eB notamment pour des proDets communs de dploiements et de scurisation du S.I. prendre en compte et respecter les r%les de scurit dPun partenaire lors de la connexion 0 son S.I. par des mo,ens nomades du .CRS. Les circuits de communication de l#ASR sont %alement tourns 'ers l#extrieur. Il colla3ore troitement a'ec di'erses instances extrieures et a'ec les autorits comptentes rele'ant de sa &'(&'()* Page /& ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR tutelle ou de son en'ironnement pro"essionnel. On aura soin d#a'oir r%ulirement des c!an%es ou des runions a'ec par exemple 9 la Direction du S.I Ele Directeur de l#unitFB le .RI de l#uni'ersit ou du site !3er%eurB la c!aOne "onctionnelle de scurit mise en place par la ;SSI de l#ta3lissementB le RSSI local l#Sni'ersitB s#il existe ou son /ui'alent le plus Gproc!eGB la .CIL ou toute autre autorit Dudiciaire /ui pourrait re/urir l#in"ormationB les rseaux mtiers locaux. ).-0-) !es relations a3e+ les 1ournisseurs et les a+,ats De nom3reux ASRB lors/u#ils occupent des "onctions de %estion de ser'ice sont %alement amens 0 manipuler l#ar%ent pu3lic de leur entitB pour le "onctionnement et pour les in'estissements du ser'ice in"ormati/ue. .es in'estissements peu'entB 3ien sou'entB Ntre trs onreux Es,stme de sau'e%ardesB s,stme de 3aies de dis/ues SAC ou CASB cluster de calcul WFB et les ASR de'ront Ntre particulirement 'i%ilants sur le plan tec!ni/ue et 3ud%taire pour ac/urir les matriels aux meilleurs coRts. De nos DoursB l#ASR doit alors %alement sou'ent s#in'estir et a'oir des comptences dans la rdaction et la passation des marc!s pu3lics E ..T;B ..A;B $A;AB ;S$A...F. Il doitB par ailleursB a'oir des /ualits relatiionnelles pour contacter les "ournisseursB o3tenir des dmonstrationsB n%ocier des prix et sa'oir c!oisir entre des o""res partiellement compara3les. &'(&'()* Page /' ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR )0* Re+ommandations sur les +ompten+es )0-)* Ob?e+ti1s .#est un lieu commun de rappeler /ue l#in"ormati/ue est un des domaines oY l#'olution des tec!ni/ues a t une des plus rapides ces dernires annes. Les tec!ni/ues ne sont d#ailleurs pas les seules 0 'oluer 9 les contextes d#exercice de nos mtiers c!an%ent. Les notions tec!ni/ues des utilisateurs ne sont plus les mNmes /u#il , a 10 ansB leurs rapports 0 l#in"ormati/ue s#est modi"i et notre communication doit s#, adapter. Dans le contexte d#une unit de rec!erc!eB le mtier d#in"ormaticien cou're des domaines trs tendus /ui concernent l#administration des s,stmes et rseauxB l#assistance aux utilisateurs en 3ureauti/ueB en passant par"ois par la pro%rammationB la mise au point de processus d#ac/uisition exprimentaux ou encore la %estion et de l#optimisation de %rappes de calcul Edomaine de l#in"ormati/ue scienti"i/ueF. L#ASRB sou'ent isolB doit "aire preu'e de comptences et de sa'oir-"aire dans un %rand nom3re de domaines simplement pour rpondre aux di'erses missions /ui lui sont con"iesB aux utilisateurs et de par son mtier. Outre l#'olution des tec!ni/uesB les matriels et les lo%iciels arri'ent %alement 'ite 0 o3solescenceB en /uel/ues annes tout au plus. Des comptences nou'elles sont alors ncessaires pour apprcier et c!oisir les outils /ui 'ont correspondre aux 3esoins des utilisateursB sou'ent 0 l#initiati'e de l#ASR. Le taux de renou'ellement tant ce /u#il est E"ai3le en %nralFB il s#a%it de pr'oir l#utilisation raliste de ces outils Dus/u#0 leur termeB en t:c!ant d#extrapoler raisonna3lement leurs 'olutions. De l#assistance utilisateur 0 l#expression des 3esoinsB de la prsentation des c!oix tec!ni/ues ou or%anisationnels aux "ormations 0 l#utilisation des outils mis en placeB l#ASR doit donc aussi ac/urir des comptences di'ersi"iesB allant de la tec!ni/ue aux produits disponi3les en passant par la communication pour s#adapter 0 ses interlocuteurs internes ou externes. ;ar exempleB d"endre ses c!oix et son 3ud%et 'is 0 'is de sa Direction T sa'oir %rer les con"lits et les priorits Eimportance de l#aspect G!umainG de ses relationsF. Des "ormations spci"i/ues existent dans ces domaines. Il est crucial /ue l#ASR se tienne constamment 0 Dour dans le maintienB l#amlioration et l#'olution de ses comptencesB de ses connaissances et sa'oir-"aire. De /uels mo,ens dispose-t-il pour cela 2 Dans /uel contexte doit-il 'oluer pour rester au ni'eau des exi%ences re/uises par sa "onction 2 .#est ce /ue nous proposons de cerner dans ce c!apitre en prsentant di""rents aspects de la < mise-0-ni'eau > des comptences. Cous allons proposer /uatre 'oies complmentaires permettant 0 l#ASR de ne pas Ntre dpass par les 'olutions tec!nolo%i/ues 9 l#auto-"ormationB la "ormation continueB la 'eille tec!nolo%i/ueB &'(&'()* Page /- ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR les relations mtier. )0-.* !2auto*1ormation Installer un nou'eau s,stme sur une mac!ine de testB 'alider le paramtra%e d#une con"i%urationB ... "aire soi-mNme exprimentalement < sur le tas > sont des manires de pro%resser et d#ac/urir des connaissances et un sa'oir-"aire nou'eau. Toute"oisB une 3onne prati/ue 'a consister 0 < "ormaliser > ces nou'elles connaissances 9 noter et conser'er la trace rutilisa3le de ses exprimentations Esous "orme de notes crites ou de documentationsF. Trou'er des conseils auprs de coll%ues dont on sait /u#ils ont une exprience 'cue dans un domaineB /u#ils ont eu 0 c!oisir une solution parmi l#o""re du marc! et transmettre en retour ses solutions concrtes permet de capitaliser un sa'oir-"aire collecti". Il s#a%it ici non seulement de ne pas perdre de temps en ritrant les cueils /ue d#autres ont dD0 prou'sB mais aussi de permettre d#aller plus loin et de parta%er cette exprience. .#est de la 'aleur aDoute 0 l#exprience des autres. A'oir 0 disposition un ;. de testB 'oire une mac!ine 'irtuelleB pour tester 'aluer un nou'eau s,stme ou un nou'eau ser'ice est une manire d#apprendre les nou'elles "onctionnalits et d#ac/urir un sa'oir-"aire mais cela ncessite sou'ent de s#appu,er sur des expriences de coll%ues ou d#!omolo%ues pour 'alider sa dmarc!e. S#auto-"ormer sur internetB a'ec des articles ou des ou'ra%es de li3rairies est aussiB 3ien sRrB une source d#ac/uisition et d#appro"ondissement de comptences importantes. )0-0* !a 1ormation pro1essionnelle Fex- 1ormation +ontinueG Trois ni'eaux sont 0 considrer en termes de "ormation 9 l#adaptation au posteB l#'olution du mtierB l#ac/uisition de nou'elles comptences. Cos tutellesB conscientes de la ncessit de maintenir les comptences tant tec!ni/ues /ue relationnelles 'oire or%anisationnellesB disposent de structures de "ormation "inances annuellement 9 c!a/ue dl%ation r%ionale .CRS dispose d#un 7ureau de 5ormation ;ermanente anim par un ou plusieurs conseillers /ui coordonnent des correspondants "ormation dans les unitsB c!a/ue uni'ersit a aussi un ser'ice de "ormation a'ec un correspondant dans c!a/ue dpartement d#ensei%nement ou de rec!erc!eB il en est de mNme dans d#autres @;ST ou structures de rec!erc!e. L#interlocuteur sera soit le correspondant "ormation de son unitB s#il existeB soit le correspondant "ormation de sa dl%ation r%ionaleB de son uni'ersit ou de sa tutelle. ;our le .CRS par exempleB plusieurs t,pes de "ormations sont accessi3les 9 &'(&'()* Page /. ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR les "ormations ralises 0 l#initiati'e des r%ionsB dont le catalo%ue et les annonces sont en %nral accessi3les sur la site de la Dl%ationB les "ormations or%anises 0 l#initiati'e d#autres units 'ia leur ;lan de 5ormation d#Snit E;5SF et annonces 'ia le 7ureau de 5ormationB les "ormations nationales dont les < Actions Cationales 0 *estion Dconcentres > EAC*DF. Il est a3solument ncessaire 0 l#ASR de pr'oir et de d"inir des o3Decti"s de "ormation c!a/ue anne. Il de'rait Ntre aid dans cette t:c!e par son correspondant "ormation pour la "ormulation de la demande. Le ;lan de 5ormation de son unit est le cadre adapt 0 ces demandes mises par ses mem3res. Le personnel .CRS a aussi la possi3ilit de demander un ;lan Indi'iduel de 5ormation E;I5F a"in d#entreprendre sur une priode plus lon%ue une "ormation /uali"iante T il pourra alors 3n"icier d#une or%anisation de son temps de tra'ail en accord a'ec sa Direction lui permettant de sui're ce cursus. \la3orer un plan de "ormation personnel ncessite de connaOtre ses man/ues par rapport 0 l#tat de l#art et des a'ances tec!nolo%i/ues dans le domaine des s,stmes et rseauB autant /ue par rapport 0 ses 3esoins propres. Il peut inclure notamment des "ormations personnelles Eapprentissa%e de lan%ue tran%reB apprendre 0 %rer son tempsB apprendre 0 communi/uer en pu3licB etcF. On pourra aussi se r"rer aux "ic!es d#emploi-t,pe dans l#o3ser'atoire des mtiers pour apprcier ce /ui est demand et complter ce /u#on doit ac/urir pour Ntre plus e""icace et "aire 'oluer sa mission en "aisant des propositions 0 son unit. )0-6* !a 3eille te+,nologique @lle permet de se "aire une ide des 'olutions en cours dans son domaine et d#Ntre en mesure d#anticiper pour proposer des modi"ications de structures au sein de son unit. ;lusieurs mt!odes complmentaires sont accessi3les 9 s#a3onner 0 des re'ues tec!ni/ues spcialises ou %nralistes du domaineB s#a3onner 0 des lettres de < ne=s > tec!ni/uesB assister 0 des sminaires proposs par les constructeurs ou les "ournisseursB participer 0 des con%rs tec!ni/ues nationaux Epar exemple J?R@SKF ou des salons tec!ni/uesB des Dournes t!mati/uesB consulter des sites spcialiss sur internet. )0-7* !es relations de mtier Si l#ASR est sou'ent isol dans son unit eu %ard 0 son secteur d#acti'itB il ne l#est certes pas 0 l#c!elle r%ionale ou nationale. .#est ce /ui a moti' la cration de mo,ens pour mettre en relation les personnes exerQant le mNme mtier ou des mtiers proc!es. &'(&'()* Page // ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR Les ser'ices rendus par les ASR ont sou'ent 3eaucoup de points communs d#une unit 0 l#autreB mNme si les utilisateurs ont ac/uis des mt!odes ou des outils par"ois trs di""rents. Il est donc utile d#a'oir une liste de contactsB de coll%ues a'ec leurs comptencesLexpriences particulires. ;lusieurs mo,ens sont disponi3les pour enric!ir de telles listes 9 c#est un des 3uts des rseaux r%ionaux d#ASR /ue de parta%er les connaissancesB dPidenti"ier les comptences autour de soi et plus loin si lPon ne trou'e pas de rponse 0 proximit. De nom3reuses listes t!mati/ues de messa%erie ont t cres au ni'eau national 0 l#initiati'e de l#SR@.B du .RSB mais aussi dans les Sni'ersitsB les campusB etc. Il importe de connaOtre les listes tec!ni/ues nationales ou r%ionales /ui permettront d#ac/urir de l#in"ormation en temps rel. Des ser'eurs de listes disponi3les dans nos communauts peu'ent Ntre un 3on point de dpart 9 ser'eur de listes du .RS J.RSK B ser'eurs de liste du .CRS J.CRSlistK B Les communications entre coll%ues ASR permettent le parta%e des connaissancesB la capitalisation %lo3ale des sa'oir-"aire. L#un aura expriment une solution et pourra prciser les di""icults et les ris/ues pour ceux /ui comptent la mettre en place. Trois outils sont disponi3les 9 les listes de di""usion 9 en'o,erLrece'oir des mails 0 une communaut t!mati/ueB les rseaux de mtiers 9 rencontresB expossB or%anisation de "ormationsB les collo/ues spcialiss 9 des Dournes t!mati/ues or%anises tout au lon% de l#anne. On pourra se r"rer aux rseaux de mtier de la $ission Ressources et .omptences Tec!nolo%i/ues E$R.TF du .CRS /ui re%roupe les rseaux de mtiers. Le site de la $R.T J$R.TK B @t en particulier 0 la "dration des rseaux d#ASR 9 R@SIC5O le site de R@SIC5O JR@SIC5OK B Ainsi /u#au site de l#SR@. JSR@.K pour le .CRS et au .RS J.RSK pour les Sni'ersits. @n rsum il peut Ntre utile de tenir 0 Dour un < a%enda > /ui recense les di""rentes ressources disponi3les dans son en'ironnement selon le modle ci-dessous 9 T,pe de "ormation T,pe d#in"ormation auto-"ormation liste de coll%ues a'ec comptences liste de sites internet "ormation continue interlocuteur local interlocuteur dl%ation interlocuteur uni'ersit plan de "ormation 'eille tec!nolo%i/ue re'ues lettres de < ne=s > liste de sites sminaires &'(&'()* Page /0 ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR con%rs relations de mtier listes de di""usion rseau r%ional Dournes t!mati/ues sites de "ic!es tec!ni/ues &'(&'()* Page /1 ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR ON!USION L#am3ition de ce %uide est de "ournir aux ASR /uel/ues principes de 3ase dans l#or%anisation de leur tra'ail /uotidien et de "ormaliser un ensem3le de comportements /ui "ont consensus dans la communaut des ASR. .omme $. ?ourdain "aisait de la prose sans le sa'oirB c!acun de nous n#aB 3ien sRrB pas attendu la sortie des normes ISOB sur les/uelles nous nous sommes appu,es dans ce %uideB pour mettre en place certains principes d#or%anisation de ser'ice et des outils a"in d#assurer le 3on "onctionnement et la scurit de nos in"rastructures in"ormati/ues. .ependant nous a'ons utilis les normes ISO-20000 et ISO-2-001B dans l#opti/ue %nrale de donner un cadre r"rentiel 0 nos prati/ues de terrainB ce /ui permet de rendre compte de la meilleure "aQonB de nos acti'its et /ui contri3ueB 0 termeB 0 amliorer la /ualit du ser'ice. A&&en&%+n 9 comme il a t dit dans l#introduction et rappel 0 plusieurs endroits dans di'ers c!apitresB ce %uide n#a pas la prtention d#apporter des solutions Gma%i/uesG 0 nos di""icults de tra'ail mais plutAt de donner des pistes pour mieux s#or%aniser. Cous pou'ons nanmoins su%%rer une approc!e pra%mati/ue /ui consisteB non pas 0 c!erc!er 0 s,stmati/uement tout remettre 0 plat d#em3le dans nos mt!odes de tra'ailB mais 0 tenterB par exemple /uand un nou'eau proDet ou ser'ice est 0 mettre en placeB d#appli/uer la mt!odolo%ie dcrite pour le conce'oir et passer 0 la p!ase oprationnelle. L#important est de prendre en compte le contexte spci"i/ue de notre en'ironnement a'ec les mo,ens dont nous disposons et d#, adapter de manire %radue ces G7onnes ;rati/uesG. @n rappel et en conclusionB 'ous trou'ereU ci-aprs une s,nt!se des points importants de ce %uide. Un adre *nra$ < 4r+m+#.+%r #ne Dmar!e Q#a$%& .e *uide des 7onnes ;rati/uesB est en e""et un document oY l#on a tent de recenser la %rande maDorit des spci"icits du mtier d#ASR. Il a t en partie moti' par le "ait /ue les conditions d#exercice du mtier d#ASRB dans nos milieux acadmi/uesB ne sont pas explicites dans les "ic!es mtiers /ui dcri'ent les di""rents postes. Il nous a donc sem3l indispensa3leB dans le contexte actuelB d#la3orer un corpus de 3onnes prati/ues d#administration /ui contri3ue 0 rendre plus <lisi3les>B 'is 0 'is de nos DirectionsB de nos tutelles et de nos utilisateursLclientsB les missions du mtierB l#or%anisation et la tec!nicit mis en 8u're au sein de nos ser'ices. Il est 3on de rappeler /ue la r"rence 0 une Dmarc!e 1ualit 'a de'enir maintenant d#actualit dans le "onctionnement des entits de rec!erc!e et d#ensei%nementB elle a donc t une des li%nes directrices mise en a'ant dans les domaines importants /ue nous a'ons traits et dont nous reprenons les points essentiels ci-dessous. La ,+#rn%&#re de 'er.%e'? m%''%+n de 5a'e de $7ASR Tout ce /ui concerne la <"ourniture de ser'ice>B dans le domaine de l#in"ormati/ue et des rseaux et plus lar%ement du S.I est la proccupation principale du mtier d#ASR. $ettre en 8u're &'(&'()* Page /+ ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR une continuit de ser'ices et les conditions de la prser'ation des donnes produites par les utilisateurs ncessitent une 3onne or%anisation du tra'ail. Outre la possi3ilit de pou'oir amliorer d#une manire continue le ser'ice rendu ce %uide apporte des cls de 3ase pour mieux structurer le ser'ice "ourni etB rappelons-leB le "aire connaOtre au mieux par nos DirectionsB nos tutelles et nos utilisateursLclients. La '#r%& d# S.I ;armi les points importants 0 prendre en compte dans les prati/ues des ASR "i%ure la scurit de nos in"rastructures in"ormati/ues et du S.I. .ette scurisation "ait partie de nos proccupations /uotidiennes car elle est au c8ur du "onctionnement des structures de rec!erc!e et d#ensei%nement. Sa mise en 8u'reB mal%r des contraintes r%lementaires di""rentes d#une tutelle 0 l#autreB peut Ntre ralise %r:ce 0 des 3onnes prati/ues communes /ue nous a'ons replaces dans le cadre normati" ISO-2-001. Il nous donc a paru indispensa3le de d%a%er les principales procdures indispensa3les 0 la scurisation de nos in"rastructures. D#autre partB notre mtierB 'u sa place n'ral%i/ue dans la %estion des "lux d#in"ormationsB touc!e lar%ement 0 de nom3reuses donnes 0 caractre con"identiel et nous a'ons insist sur les prati/ues de 3ase pour prendre connaissance et sui're les nom3reuses 'olutions du contexte Duridi/ue dans le/uel nous 'oluons et /ui touc!ent le mtier d#ASR. C+mm#n%a&%+n? *e'&%+n d# &em4' e& re$a&%+n' !#ma%ne' Sn autre point important 0 retenir dans ce %uide est la prsentation de pistes de 3onnes prati/ues et conseils pour %rer au mieux les relations !umaines a'ec nos di""rents partenaires. Le mtier d#ASR comporte en e""et une "orte part de %estion du comportement personnel et de relations pu3li/ues et !umaines. Cous a'ons a3ord ces di""rents aspects /ui constituent le /uotidien des ASR. D#autre partB l#ASR doit "aire "ace 0 l#accroissement des demandes de ser'iceB rpondre aux ur%encesB tout en assurant la %estion /uotidienne et pro%rammer la mise en place de nou'eaux ser'ices. Il nous "aut pour cela de 3onnes prati/ues de %estion du temps pour or%aniser les Dournes et semaines de tra'ail a"in de plani"ier au mieux nos actions. ;our ce "aireB nous nous sommes appu,s sur les ou'ra%es et mt!odes connus a"in de d%a%er des mt!odes d#or%anisation du temps. Ve%$$e &e!n+$+*%"#e e& de ,+rma&%+n +n&%n#e @n"inB nous a'ons termin en insistant sur le "ait /u#il paraOt indispensa3le de penser aussi 0 int%rer dans notre tra'ail le temps ncessaire 0 la mise 0 Dour de nos propres connaissances en utilisant lar%ement la "ormation pro"essionnelleB et les Dournes or%anises par les rseaux mtiers ou structures locales des ta3lissements. Cotre mtier utilise des matriels et concepts en 'olution rapide et notre capacit d#adaptation estB 3ien sRrB lie 0 notre capacit 0 sui're au plus prs les 'olutions tec!nolo%i/ues en cours. La ncessit de se "ormer et d#assurer une 'eille tec!nolo%i/ue est donc essentielle. Q#e$"#e' a#&re' 4%'&e' 4+#r +n&%n#er Cous insistons sur le "ait /ue le "il conducteur de l#ensem3le des mt!odes a3ordes est Gl#critG. @n e""etB /ue ce soit pour la "ormalisation des procduresB la documentationB la communicationB les rapports d#acti'itsB la %estion de parcB la con"i%uration des /uipementsB la %estion des tracesWB il est indispensa3le de consi%ner par crit E/uel /ue soit le mdiaF ces &'(&'()* Page /* ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR in"ormations a"in /u#elles soientB con"identielles ou nonB transmissi3les ou consulta3les et si 3esoin parta%es. ;ar ailleursB si l#on se r"re au contexte de mutualisation des mo,ens tant matriels /u#!umains /ui concerne directement notre mtier Epar exemple recomposition de la3oratoire ou d#/uipe de rec!erc!eB re%roupement de ser'ices communs au sein d#un campusB ...FB il de'ient en e""et indispensa3le de tra'ailler a'ec des outils /ui nous permettent une adapta3ilit rapide tant des mt!odes de tra'ail /ue des solutions 0 mettre en 8u're. .e /ui a t propos dans ce %uide ne peut /ue "aciliter la transposition de solutions d#un contexte 0 un autre et surtout permettre 0 l#ASR de ne pas a'oir 0 <rin'enter la roue> s#il doit tra'ailler dans des cadres di""rents. .e %uide est une 3ase /ui se 'eut 'oluti'eB nul doute /ue nous aurons 3esoin d#, re'enir pour le modi"ier et le "aire 'oluer dans les annes /ui 'iennent. Le /uestionnaire ci-DointB 0 3ut de 3ilanL 'aluation interneB en est un prolon%ement T utiliseU-le priodi/uement pour "aire le point dans 'os acti'its ou "aire des propositions d#amlioration pour la collecti'it. La "dration de rseau de mtier R@SIC5O et les rseaux r%ionaux ou t!mati/ues /ui le constituent sont en e""et une des possi3ilits pour parta%er 'os expriences. .ette ncessit d#c!an%e de prati/ue est une GpisteG importante 0 retenir pour donner une suite 0 ce %uideB le maintenir 0 Dour et pou'oir rpondre d#une manire e""icace 0 nos missions. Il re'ient donc 0 c!acun de nous de l#enric!ir et de le "aire 'oluer par l#apport de nos G3onnes prati/uesG /uotidiennes mises 0 l#preu'e des di""rentes situations d#exercice de notre mtier. Toute participation est 0 cet e""et la 3ien'enue^ Donc 0 3ientAt ^ Le contact pour le *uide des 7onnes ;rati/ues est %3pVlistes.resin"o.or% &'(&'()* Page 0) ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR &'(&'()* Page 0& ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR ANN"C" ) > %U"STIONNAIR" D2AUTO*"'A!UATION A USAG" INT"RN" Remerciements: ce /uestionnaire a t la3or initialement pour une tude similaire sur les 3onnes prati/ues des ASR au sein de l#IC2;& par A-1 BarbetB et adapt 0 l#o3Det de notre %uide. Il est propos dans le 3ut de permettre 0 l#ASR de "aire le point sur ses prati/ues et sur l#tat des di""rents ser'ices existants au sein de sa structure. Il reprend %lo3alement la classi"ication inspire de la norme ISO expose dans le %uide. Il peut ser'ir 0 mettre en 'idence des aspects 0 traiter en prioritB se "ixer des o3Decti"sB ou r"lc!ir sur des possi3ilit de ror%anisation du ser'ice "ourni. Sn exemple d#utilisation de ce /uestionnaire pourrait Ntre de le re"aire 0 inter'alle r%ulier Ec!a/ue anneF pour constater ce /ui a 'olu depuis le 3ilan prcdentB et se "ixer de nou'eaux o3Decti"s... Sne manire comme une autre de mettre en place un plan < ;D.A > ... . 1= <ecueil des .esoins des utilisateurs .omment preneU-'ous connaissance des 3esoins des utilisateurs 2 Xous arri'e-t-il d#a'oir 0 les re"ormuler pour les traduire en ser'ice oprationnel 2 Le recueil des 3esoins est-il une dmarc!e "ormalise 2 Or%aniseU-'ous des runions a'ec les utilisateurs dans ce 3ut 2 E"r/uenceB "r/uentationF .ertaines demandes "ont-elles l#o3Det d#une n%ociation et si ouiB comment procdeU-'ous Ear%umentsB exi%encesB etc.F 2 1ui ar3itre en cas de dsaccordB de di""icult ou de con"lit sur la d"inition des 3esoins 2 2= estion des >actifs?- estion des configurations On appelle Gacti"sG l#ensem3le des 3iens matriels ou immatriels aux/uels on peut aDouter des lments de con"i%uration. Sne premire liste non ex!austi'e pourrait Ntre 9 postes de tra'ailB ser'eursB imprimantesB autres prip!ri/uesB lo%icielsB licencesB consomma3lesB adresses rseauB comptes in"ormati/uesB prises rseauB commandesB contratsB... DisposeU-'ous d#un s,stme d#enre%istrement ou de %estion pour des lments de la liste ci-dessus 2 si ouiB /uelle "orme ce s,stme re'Nt-il 2 Outil maison ou commercial 2 si outil maison 9 est-ce distri3ua3le 0 d#autres ta3lissements 2 @st-ce 3as sur un S*7D 2 Le/uel 2 &'(&'()* Page 0' ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR /uels sont les lments %rs par 'otre outil 2 utiliseU-'ous un ou des outils d#in'entaire automati/ue 2 Si ouiB les/uels 2 3= estion des c%angements et documentation interne au service - @st-ce /ue 'ous enre%istreU les 'nements sui'ants 2 9 indiqueB si c'est s7stmatique et pour quelles classes de mac'ines 6 serveurs, postes fi&es, nomades aDoutLsuppression de lo%iciels modi"ications de con"i%uration correction de pro3lme et de d"aut - Sur /uels outils 'ous appu,eU-'ous pour ces enre%istrements 2 lo%iciels de %estion de con" 9 .XSB su3'ersionB Trac 2 Dournaux de 3ord manuelsB lectroni/ues 2 autres mt!odes - .omment se "ait le parta%e des connaissances au sein de l#/uipe des ASRs Esi c#est le casF 2 - DisposeU-'ous de procdures crites pour certaines t:c!es 2 Si ouiB les/uelles 2 - .omment est or%anis la %estion du temps dans le ser'ice Esi 'ous tra'ailleU 0 plusieursF 9 _ a t-il des runions !e3domadaires "ixes pour "aire le point 2 A'eU 'ous mis en place une d"inition des pla%es !oraires pour les utilisateurs a'ec un 3ouclier `anti-interruptiona2 - StiliseU-'ous un outil ou une mt!ode de %estion des priorits 2 - StiliseU-'ous des outils de %estion de proDets2 Les/uels2 des t:c!es rcurrentes2 - StiliseU-'ous des a%endas parta%s2 Les/uels2 4= Documentation pour les utilisateurs: ,ommunication 1uels sont les principaux lments cou'erts par 'otre documentation 2 $etteU-'ous de la documentation 0 disposition des utilisateurs 2 Si ouiB de /uelle manire et a'ec /uels outils 2 A'eU-'ous des mt!odes pour %rer l#o3solescence et l#'olution de cette documentation 2 DisposeU-'ous d#une pa%e He3 rser'e au ser'ice Einterne ou externeF 2 .omment les utilisateurs sont-ils tenus au courant de la 'ie du S.I 'olutionsB arrNts pour maintenanceB incidentsB etc. 5= estion des demandes des utilisateurs 6 gestion des incidents DisposeU-'ous d#un outil de %estion et de sui'i des demandes des utilisateurs 2 Si ouiB comment se "ait l#a""ectation des ticIets aux personnes c!ar%es de leur prise en c!ar%e 2 .omment se "ait le sui'i des ticIets 2 &'(&'()* Page 0- ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR DisposeU-'ous d#un outil de rec!erc!e dans le corpus des ticIets rsolus 2 1ui ar3itre les priorits et sur /uels critres en cas de "ile d#attente importante 2 != )urveillance et dtection des pro.lmes 6 gestion des pro.lmes (+'il s'agit d'outils internes, prciseB les fonctionnalits gnrales! DisposeU-'ous de s,stmes de dtection de sinistres ou de conditions en'ironnementales d%rades 2 (inondation, incendie, lvation de temprature,!!! DisposeU-'ous de s,stmes d#alerte pour des 'nements suscepti3les de compromettre la scurit lo%i/ue des /uipements ou des donnes EintrusionB perteLmodi"ication de donnesB 'irusB etc.F 2 DisposeU-'ous de s,stmes de sur'eillance et d#alerte permettant de dtecter les pro3lmes pour les ser'ices importants 2 1uels ser'icesB /uels outilsB /uel mcanisme d#alerte 2 DisposeU-'ous d#un s,stme de centralisation des Dournaux s,stmes 2 D#un s,stme d#anal,se de ces Dournaux 2 #= estion de la continuit de service A'eU 'ous mis en place des s,stmes `!aute disponi3ilita pour assurer une redondance 2 Les/uels et sur /uel ser'ice2 La commutation est-elle automati/ueB semi-automati/ueB manuelle 2 A'eU 'ous mis en place des s,stmes de rpartition de c!ar%e 2 ;our /uels ser'ices 2 Les/uels 2 A'eU 'ous mis en place un plan de reprise d#acti'its 2 Sur /uels ser'ices2 @n /uoi consiste t-il2 1uel s,stme de scurisation et de sau'e%arde des donnes a'eU 'ous mis en place 2 ;rati/ueU-'ous un talement des con%s du personnel du ser'ice in"ormati/ue 2 1ui peut redmarrer Eet commentF les ser'ices criti/ues en cas d#a3sence de 'otre part 2 @= estion financire Rdi%eU-'ous une demande annuelle de mo,ens "inanciers auprs de la direction ou des /uipes de rec!erc!e 2 .omment 'ous sont attri3us les crdits ncessaires 0 cette demande 2 @st-ce une discussion a'ec la direction etLou les /uipes de rec!erc!es 2 ;articipeU-'ous au monta%e des dossiers .;@RB ACRB ... 2 '= -ormation &'(&'()* Page 0. ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR A'eU-'ous particip 0 des sta%es de "ormation pendant l#anne 2 Si non pour/uoi 2 1u#a'eU-'ous not comme 'olutions pr'isi3les de solutions matrielles etLou lo%icielles /ui ncessiteraient une "ormation pour une mise en 8u're 2 5aites-'ous partie de rseaux mtiers r%ionaux d#ASR 2 19= )curit et rglementation - ;reneU-'ous en compte les recommandations relati'es 0 la r%lementation en 'i%ueur dans le mtier d#ASR ou ;enseU-'ous a'oir une 3onne prise en compte de la r%lementation en 'i%ueur et des actions /ue nous imposent les Durisprudences rendues rcemment 2 9 %estion des traces in"ormati/uesB protection des "ic!iers nominati"sB notice l%ale de site =e3B protection des donnesB W 1uelles sont les principales actions /ue 'ous a'eU mises en place pour prendre en compte les lments de scurit /ue prconise la ;SSI de 'otre L'os tutelleEsF 2 9 c!i""rementB destructionLe""acement des supports ma%nti/ues a'ant mise au re3utB... 11= Divers ;articipeU-'ous 0 la rdaction du rapport d#acti'it Ec!apitre spci"i/ue au ser'ice F 2 DisposeU-'ous d#une pa%e He3 rser'e au ser'ice Einterne ou externeF 2 @tes-'ous sensi3iliss 0 la rduction de la consommation lectri/ue de nos /uipements in"ormati/ues et 0 celle de consomma3les in"ormati/ues2 Si ouiB /u#a'eU-'ous mis en place E'irtualisationB arrNt automati/ue des mac!ines aprs inacti'itB...F. 1uels conseils donneU-'ous aux utilisateurs dans ce sens 2 &'(&'()* Page 0/ ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR ANN"C" . > &IH"S D" R"&"R"N"S Guide de bonnes pratiques organisationnelles pour les Administrateurs Systmes et Rseaux dans les units de recherche. &'(&'()* Page 00 ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR Cous a'ons rpertori ici un certain nom3re d#outils lo%iciels essentiellement issus du monde < openSource >B et de r"rences 3i3lio%rap!i/ues pou'ant illustrer et Ntre utiliss dans les di""rents c!apitres de ce %uide des 3onnes prati/ues. Introdu+tion ;roductions antrieures de %roupe de tra'ail de R@SIC5O 9 @S%La5+A < !ttp9LL===.resin"o.or%Lspip.p!p2article11 9 aider le responsa3le c!ar% du S.I d#un la3oratoire 0 identi"ier et 0 spci"ier les ser'ices rendusB actuels ou "utursB ainsi /ue les ressources ncessaires @E+In,+A 9 !ttp9LL===.ecoin"o.cnrs."rL 9 Les acti'its de ce %roupe de tra'ail se concentrent autour des pro3lmati/ues de la consommation ner%ti/ue et de la pollution lies 0 lPutilisation et au d'eloppement de lPoutil in"ormati/ue. @PSSI CNRSA 9 !ttp9LL===.s%.cnrs."rL5SDLsecurite- s,stemesLdocumentationsbpd"Lsecuritebs,stemesL;SSI-X1.pd" 9 ;oliti/ue de scurit du S.I du .CRS @ISO-(881A 9 !ttp9LL===.iso.or%LisoL"rL ) < Une dmar+,e qualit dans les units de re+,er+,e @ITILA 9 In"ormation Tec!nolo%, In"rastructure Li3rar, !ttp9LL"r.=iIipedia.or%L=iIiLIn"ormationbTec!nolo%,bIn"rastructurebLi3rar, !ttp9LL===.itil"rance.comL @Dem%n*A 9 Roue de Demin% !ttp9LL"r.=iIipedia.or%L=iIiL;D.A @ISO-)8888-1A 9 Tec!nolo%ies de l#in"ormation 6 ;art1 6 *estion des ser'ices c ;art 2 6 .ode o" practice !ttp9LL===.iso.or%L @ISO-)3888A 9 Tec!nolo%ies de l#in"ormation 6 Tec!ni/ues de scurit 6 S,stmes de %estion de la scurit de l#in"ormation 6 @xi%ences - !ttp9LL===.iso.or%L . < !a gestion des +on1igurations 1uel/ues s,stmes lo%iciels permettant d#e""ectuer des administrations centralises ou de %rer des con"i%urations de parc de ;. et un exemple de procdure d#ou'erture de compte 9 OCS In.en&+r2 9 In'entaire automati/ue de parc in"ormati/ue et tldistri3ution Site He3 !ttp9LL===.ocsin'entor,-n%.or%L 5ic!e ;lume 9 !ttp9LL===.proDet-plume.or%L"rL"ic!eLocs-in'entor,-n% ,en*%ne < administration automatise de s,stmes !tro%nes &'(&'()* Page 01 ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR Site He3 9 !ttp9LL===.c"en%ine.or%L 5ic!e ;lume 9 !ttp9LL===.proDet-plume.or%L"ic!eLc"en%ine Ne&D%re&+r 9 plate"orme He3 dPadministration S%&e Be5 < !ttp9LL===.netdirector.or%L P#44e& < permet d#automatiser un %rand nom3re de t:c!es d#administration 9 l#installation de lo%icielsB de ser'ices ou encore de modi"ier des "ic!iers. !ttp9LLreducti'ela3s.comLtracLpuppet 5,*) 9 Administration centralise de ser'eurs !ttp9LLtrac.mcs.anl.%o'LproDectsL3c"%2L Q#a&&+r 9 !ttp9LLapps.source"or%e.netLmedia=iIiL/uattorLindex.p!p2titled$ainb;a%e A&%.e D%re&+r2 !ttp9LL"r.=iIipedia.or%L=iIiLActi'ebDirector, !ttp9LL===.microso"t.comL=indo=sser'er200&Ltec!nolo%iesLdirector,Lacti'edirector,Lde "ault.mspx !ttp9LL===.adirector,.netL E/em4$e de 4r+d#re d7+#.er&#re de +m4&e < !ttp9LL===.com.uni'-mrs."rLsscLsicLspip.p!p2article(& 0 < !a gestion des ni3eaux de ser3i+e On trou'era ici des outils pour mesurer le ni'eau de ser'ice o""ert aux clients du S.I. *L;I "ournit des statisti/ues d#inter'ention /ui permettent de mesurer le temps pass sur les demandes des utilisateurs *L;I 9 !elpdesI associ 0 un outil de %estion Site He3 9 !ttp9LL===.%lpi-proDect.or%L 5ic!e ;lume 9 !ttp9LL===.proDet-plume.or%L"ic!eL%lpi 6 * !a gestion de la +ontinuit de ser3i+e On trou'era dans cette partie des lo%iciels permettant de sur'eiller les acti'its du rseau et des s,stmes ser'eurs et donc d#anal,ser des causes de d,s"onctionnementB d#, ra%ir promptementB amliorant ainsi la continuit des ser'ices. Ca&% 9 lo%iciel de super'ision rseau Site He3 9 !ttp9LL===.cacti.netL N&+4 9 ntop est une sonde rseau /ui permet de remonter et anal,ser le tra"ic rseau sous "orme de %rap!e site =e3 9 !ttp9LL===.ntop.or%Lo'er'ie=.!tml Ca%ios 9 lo%iciel de super'ision de rseaux et de s,stmes Eser'eurs et postes de tra'ail.F &'(&'()* Page 0+ ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR Site He3 9 !ttp9LL===.na%ios.or%L Cen&re+n "ournit une inter"ace %rap!i/ue pour permettre la consultation des in"ormations issues de Ca%ios. Site He3 9 !ttp9LL===.centreon.comL He3aliUer 9 lo%iciel d#anal,se des "ic!iers lo%s d#un ser'eur et de calcul des statisti/ues d#un site He3 Site He3 9 !ttp9LL===.=e3aliUer.or%L Outre la sur'eillance rseau et s,stmeB la %estion de la continuit de ser'ice doit sPaccompa%ner %alement dPun plan de continuit de ser'ice Eactions dPur%enceB sau'e%ardes des enre%istrements 'itauxB 'aluation des domma%esB plan de reprise...F et de s,stmes lo%iciels permettant une reprise d#acti'it rapide >ear&5ea& 9 "ournit une solution de !aute disponi3ilit en mettant en place une redondance de ser'eurs en temps rel !ttp9LL===.linux-!a.or%L .%r&#a$%'a&%+n 9 Les s,stmes de 'irtualisation permettent une souplesse dans l#administration et des rinstallations rapidesT diminuant ainsi les dures d#indisponi3ilit ?ournes Dos, sur la 'irtualisation 9 !ttp9LL===.resin"o.cnrs."rLspip.p!p2article& ;en 9 !ttp9LL===.xen.or%L V'er.er !ttp9LLlinux-'ser'er.or%LHelcomebtobLinux-XSer'er.or% +4enVC9 !ttp9LL=iIi.open'U.or%L$ainb;a%e Pr+/m+/ D$#'&er de 'er.e#r' +4enVCE !ttp9LLp'e.proxmox.comL=iIiL$ainb;a%e 7 * !a gestion des inter3entions On trou'era dans cette partie des lo%iciels permettant de "ormaliser un s,stme de sui'i de demandes entre les utilisateurs et le ser'ice in"ormati/ue. .e seront %nralement des portails d#entre /ui permettront aux utilisateurs de poster leurs demandes d#assistance a'ec un certain de%r d#ur%ence. Les demandes sont traites par le ser'ice in"ormati/ue. Des statisti/ues permettent de consulter les dures mo,ennes d#inter'entionB les dures d#attente a'ant prise en compte permettant ainsi d#a""ic!er et d#amliorer le ser'ice rendu. OTRS < Open source TicIet Re/uest S,stemB distri3u sous licence *;L "onctionne sur tout t,pe de plate-"orme. 1. !ttp9LLotrs.or%L =LPI 9 !elpdesI associ 0 un outil de %estion 1. Site He3 9 !ttp9LL===.%lpi-proDect.or%L &'(&'()* Page 0* ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR 2. 5ic!e ;lume 9 !ttp9LL===.proDet-plume.or%L"ic!eL%lpi Re"#e'& TraFer DRTE 9 %estion de ticIets dPincidents 1. Site He3 9 !ttp9LL3estpractical.comLrtL >e$4de'F de ESUP-P+r&a%$ 9 c#est le s,stme de sui'i de demandes /u#on trou'e dans @SS;-;ortail /ui est un @space numri/ue de tra'ail 1. !ttp9LL===.esup-portail.or%Ldispla,L@SS;L2004L04L22Lesup-!elpdesIe'& 2. !ttp9LL===.esup-portail.or%Ldispla,L;RO?M@L;D@SfLesup-!elpdesIe- euseresupporteateesta3lis!ment-le'el 8 * !a gestion des dys1on+tionnements Outils de remontes d#incidents 9 Man&%' 9 Outil =e3 de %estion des incidents 9 dpAtB 'alidationB prise en compteB traitement et retour de si%nalement dPincident. o Site He3 9 !ttp9LL===.mantis3t.or%L o 5ic!e plume 9 !ttp9LL===.proDet-plume.or%L"rL"ic!eLmantis B#*G%$$a 9 outil de %estion de 3u%s o !ttp9LL===.3u%Uilla.or%La3outL =na&' 9 outil de %estion de 3u%s o Site He3 9 !ttp9LL===.%nu.or%Lso"t=areL%natsL Outils de remise en tat initial d#un s,stme permettantB par exemple de cloner des s,stmes et de les restaurer pour remettre en ser'ice un s,stme dans son tat de 3ase 9 M+nd+ Re'#e 9 outil de < disaster reco'er, > o Site He3 9 !ttp9LL===.mondorescue.or%L S2'&em Ima*er o !ttp9LL=iIi.s,stemima%er.or%Lindex.p!pL$ainb;a%e Par&Ima*e o !ttp9LL===.partima%e.or%L;a%eb;rincipale HeDD$aH 9 o !ttp9LLla."irme.perso.esil.uni'med."rL=e3siteLru3ri/ue.p!p&2idbru3ri/ued- 9 * !a gestion des +,angements et de la mise en produ+tion Des outils de t,pe < main courante > 9 e$+* 9 site =e3 permettant de dposer de l#in"ormation sous "orme de messa%es texte !orodats de manire c!ronolo%i/ue permet de tenir 0 Dour un Dournal des modi"ications et inter'entions sur les di""rents lments du SI Eser'eursB con"i% rseauB "ire=allB etc...F. !ttps9LLmidas.psi.c!Lelo%Lg=!atis &'(&'()* Page 1) ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR .+%$a 9 un ta3leau de 3ord s,nt!ti/ue des incidents et tra'aux !ttp9LL200-.Dres.or%Lplannin%Lpaper"eed.!tml2pidd11+ : * !a Do+umentation .!oisir un outil et un "ormat d#dition e""icace est communment accept au sein de l#/uipe d#ASRB pour rdi%er la documentation tec!ni/ue propre au ser'ice. @D+B++FA Le "ormat D+B++F est un lan%a%e de 3alisa%e conQu 0 l#ori%ine pour la documentation tec!ni/ue in"ormati/ue Ematriel et lo%icielF. Il permet de produire une documentation de t,pe papier 9 !ttp9LL"r.=iIipedia.or%L=iIiLDoc7ooI @B%F%A < Les s,stmes < HiIis> peu'ent Ntre de 3ons candidats pour rdi%er et %rer une documentation. Les HiIis permettent la cration et l#entretien collecti" de sites Internet. On pourra notamment les utiliser pour dposer "acilement de la documentation 0 Dour au sein d#un ser'ice in"ormati/ue. Sne liste de /uel/ues =iIis les plus connus !ttp9LL===."ramaso"t.netLru3ri/ue&&).!tml Sn comparati" de =iIis 9 !ttp9LL===.=iIimatrix.or%LcompareLDoIuHiIie;mHiIieTiIiHiIieTHiIi PMB%F% 9 !ttp9LL===.pm=iIi.or%L=iIiL;mHiIi5r.;mHiIi5r Med%aB%F% 9 !ttp9LL===.media=iIi.or%L=iIiL$ediaHiIiL"r D+F#B%F% 9 !ttp9LL===.doIu=iIi.or%L TB%F% 9 !ttp9LL===.t=iIi.netL Les %estionnaires de contenu sur le He3 E.$SF permettent %alement aux indi'idus comme aux communauts d#utilisateurs de pu3lier "acilementB de %rer et d#or%aniser un 'aste 'entail de contenus sur un site =e3. Les %estionnaires de contenu He3 E.$SF 9 comparati" de ser'eurs de contenus 9 !ttp9LL200-.Dres.or%Lplannin%Lpd"L10(.pd" !ttp9LL===.proDet-plume.or%L"ilesL;LS$@b.!oixbDrupal.pd" !ttp9LL===.comparati"-cms.comL Dr#4a$ 9 !ttp9LLdrupal"r.or%L S4%4 9 !ttp9LL===.spip.netL 9++m$a 9 !ttp9LL===.Doomla.or%L B+rdPre'' 9!ttp9LL"r.=ordpress.or%L ; * !es bonnes pratiques dans la gestion de la s+urit des systmes d2in1ormation @EBIOSA 9 mt!ode d#anal,se de ris/ues des s,stmes d#in"ormation &'(&'()* Page 1& ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR !ttp9LL===.ssi.%ou'."rL"rLcon"ianceLe3iospresentation.!tml @PSSI CNRSA 9 !ttp9LL===.s%.cnrs."rL5SDLsecurite- s,stemesLdocumentationsbpd"Lsecuritebs,stemesL;SSI-X1.pd" JA)IMPK 9 Aide 0 l#ac/uisition d#in"ormations sur mac!ine pirate 9 "ormation de l#SR@. !ttp9LL===.urec.cnrs."rLarticle&+4.!tml JA-IMPK 9 Aide 0 l#Anal,se des Actions Intentes sur une $ac!ine ;irate !ttp9LL===.urec.cnrs."rLarticle&49.!tml mise au re3ut et rec,cla%e des dis/ues 9 tec'niques d'effacement de disques avant mise au rebut 'ttp6**:::!ipnl!in.pC!fr*perso*pugnere*effacement-disque-(P!pdf 'ttp6**:::!ssi!gouv!fr*documentation*GuideDeffaceurDEF!F.du/G/HFI!pdf @ISO-)388)A 9 Tec!olo%ie de l#in"ormation 6 Tec!ni/ues de scurit 6 .ode de 3onnes prati/ues pour la %estion de la scurit de l#in"ormation 6 !ttp9LL===.iso.or%L @$+* nr'A < !ttp9LL===.s%.cnrs."rL5SDL%estrace.!tm @9+#rna#/ '2'&6me'A < ?ournaux S,stmes 9 %estion des traces in"ormati/ues - pro3lmati/ue de centralisation des Dournaux et des traces in"ormati/ues 9 !ttp9LL===.Dres.or%LtutoLtuto-Lindex !ttp9LL===.Dres.or%LbmediaLtutoLtuto-Ls,slo%-n%-tutoDres.pd" .!arte in"ormati/ue du .CRS 9 !ttp9LL===.dsi.cnrs."rLpreb7OL200-L0&-0-Ltp%Lc!arte-in"ormati/ue.pd" sau'e%ardes de donnes9 !ttp9LL===.resin"o.cnrs."rLspip.p!p2article( 5aF#44 9 !ttp9LL3acIuppc.source"or%e.netL 5a#$a 9 !ttp9LL===.3acula.or%L"rL arFe%a 9 !ttp9LL===.arIeia."rL amanda 9 !ttp9LL===.amanda.or%L &%me na.%*a&+r 9 !ttp9LL"r.atempo.comLproductsLtimeCa'i%atorLde"ault.asp ne&5aF#4 9 !ttp9LL===.s,mantec.comL"rL"rL3usinessLnet3acIup S,nc!ronisation des !orlo%es s,stmes n&4 9 !ttp9LL===.ntp.or%L .ontrAle d#accs aux s,stmes 6 aut!enti"ication ser'eurs LDA; 9 !ttp9LL===.cru."rLdocumentationLldapLindex !ttp9LL===.openldap.or%L &'(&'()* Page 1' ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR ser'eur Radius 9 !ttp9LL"r.=iIipedia.or%L=iIiLRadiusbEin"ormati/ue F !ttp9LL"reeradius.or%L Acti'e Director, !ttp9LL"r.=iIipedia.or%L=iIiLActi'ebDirector, !ttp9LL===.microso"t.comL=indo=sser'er200&Ltec!nolo%iesLdirector,Lacti'edirector ,Lde"ault.mspx !ttp9LL===.adirector,.netL mots de passe 9 ncessit de mot de passes solides J.@RTA-200)-IC5-001K 9 !ttp9LL===.certa.ssi.%ou'."rLsiteL.@RTA-200)-IC5-001L contrAle d#accs au rseau 402.1x 9 !ttp9LL"r.=iIipedia.or%L=iIiLI@@@b402.1h !ttp9LL200&.Dres.or%LactesLpaper.111.pd" !ttp9LL=apiti.telecom- lille1.euLcommunLensLpedaLoptionsLSTLRIOLpu3LexposesLexposesrio200)Lsert- depre,Lpres.!tm cloisonnement des rseaux 402.1/ arc!itecture de rseau !ttp9LL===.urec."rLI$*Lpd"Lsecu.articles.arc!i.reseau.court.pd" !ttp9LL===.urec.cnrs."rLI$*Lpd"Larticles.0&.?R@S0&.arc!i.secu.slides.pd" contrAle de poste a distance B c,3er-sur'eillance XC. 9!ttp9LL===.real'nc.comL Ti%!XC. 9 !ttp9LL===.ti%!t'nc.com @C!%,,remen&A < ;rotection de trans"ert des donnes !ttp9LL===.s%.cnrs."rL"sdLsecurite-s,stemesLdocumentationsbpd"LDourneebcrssiL9- .!i""rement.pd" !ttp9LLi%c.ser'ices.cnrs."r 1uel/ues exemples d#outils de c!i""rement des donnes sur les ;. 9 truecr,pt 9 !ttp9LL===.truecr,pt.or%L Dm-.r,ptB c!i""ra%e de supports sous Linux 9 !ttp9LL===.saout.deLmiscLdm-cr,ptL [one.entral 9 !ttp9LL===.primx.euLUonecentral.aspx Stilisation SASL 9 !ttp9LL"r.=iIipedia.or%L=iIiLSimplebAut!enticationbandbSecurit,bLa,er &'(&'()* Page 1- ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR !ttp9LLas%.=e3.cmu.eduLsaslL Outils de mtrolo%ie et de sur'eillance rseau a&% 9 !ttp9LL===.cacti.netL Ca55%/ 9 !ttp9LL===.Ua33ix.comL +4enNMS 9 !ttp9LL===.opennms.or%L=iIiL$ainb;a%e m#n%n 9 !ttp9LLmunin.proDects.linpro.noL T !ttp9LL"r.=iIipedia.or%L=iIiL$uninbESur'eillancebs,stmebetbrseau F n&+4 < !ttp9LL===.ntop.or%Lne=s.!tml CetDisco 9 !ttp9LLnetdisco.or%L !ttp9LLen.=iIipedia.or%L=iIiLCetdisco N,Sen 9 !ttp9LLn"sen.source"or%e.netL 'm+Fe4%n* 9 !ttp9LLoss.oetiIer.c!LsmoIepin%L )/ * #onnes pratiques lies aux aspe+ts ?uridiques du mtier d2ASR < respe+t de la rglementation en 3igueur .irculaire du 12 mars 199& relati'e 0 la protection de la 'ie pri'e en matire de traitements automatiss. Loi n] -4-1- du + Dan'ier 19-4 in"ormati/ue et li3erts. Loi n] 4&-+&( du 1& Duillet 194& sur les droits et o3li%ations des "onctionnaires. Recommandation n] 901 du 2 mars 199( relati'e 0 la protection des s,stmes d#in"ormation traitant des in"ormations sensi3les non classi"ies de d"ense. Dcret n]41-))0 du 12 mai 1941 relati" 0 la communication de documents et rensei%nements d#ordre conomi/ueB commercial ou tec!ni/ue 0 des personnes p!,si/ues ou morales tran%res. *uide n](00 S*DCLDISSILS.SSI du 14 octo3re 1991 relati" 0 l#installation des sites et s,stmes traitant des in"ormations sensi3les ne rele'ant pas du secret de d"ense 9 protection contre les si%naux parasites compromettants. Loi n]2000-2&0 du 1& mars 2000 portant adaptation du droit de la preu'e aux tec!nolo%ies de l#in"ormation et relati'e 0 la si%nature lectroni/ue. Loi n]2001-10+2 du 1) no'em3re 2001 relati'e 0 la scurit /uotidienne EArticle &0 et &1F. Directi'e (4)LS*DCLD.SSILDR du 1er septem3re 2000 sur la protection contre les si%naux parasites compromettants. Recommandations ni+00LS*DCLDISSILS.SSI de mars 199& relati'es 0 la protection des in"ormations sensi3les ne rele'ant pas du secret de d"ense sur les postes de tra'ail. &'(&'()* Page 1. ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR La %estion des traces d#utilisation des mo,ens in"ormati/ues et des ser'ices rseaux au .CRS a t dclar 0 la .CIL sous "orme %nri/ueB pour l#ensem3le des la3oratoires sous tutelle .CRS et a "ait l#o3Det d#une dcision pu3lie le 11 octo3re 200( au 3ulletin o""iciel du .CRS Edcision 0(;01(dsi.!tmF !ttp9LL===.dsi.cnrs."rL3oL200(L12-0(L(111-3o120(-dec0(p01(dsi.!tm Articles relati"s 0 la r%lementation en matire de scuritB de protection du secret et de la con"identialit notamment ceux relati"s 0 la protection du patrimoineB au secret des correspondances critesB aux sanctions pnales de la loi Gin"ormati/ue et li3ertsGB pour les crimes et dlits contre les personnesB les atteintes 0 la personne !umaine et aux accs "rauduleux 0 un s,stme in"ormati/ue et modi"ications "rauduleuses. @Le*a$%'A !ttp9LL===.le%alis.net 9 compte rendu des Durisprudences de di""rents tri3unaux )) * !a gestion du temps Xous trou'ereU dans cette partie trois r"rences de li'res utilises dans le %uide ainsi /ue /uel/ues r"rences internet lies au suDet 9 @Adm%nS2'A9 < Admin # s,sB *rer son temps > de T!omas LimoncelliB traduit par S3astien 7londeelB aux ditions @,rolles 9 !ttp9LL===.editions-e,rolles.comLLi'reL9-42212119)-2Ladmin-s,s @=TDA 9 < *ettin% T!in% Done > est le titre d#un li're de Da'id Allen pu3li en 2001B dcri'ant une mt!ode de %estion des priorits /uotidiennes. Di'ers articles 0 ce suDet sont prsents sur !ttp9LLa'm."ree."rL notamment la notion de ;remire .!ose A 5aire E;.A5F E !ttp9LLa'm."ree."rLspip.p!p2article2+ F ;lus connue sous l#acron,me *TDB sur =iIipdia 9 ! ttp9LL"r.=iIipedia.or%L=iIiL*ettin%bT!in%sbDone Sn rsum de la mt!ode *TD par c!apitre est donn sur !ttp9LL%a%nerma'ie.comL3alade-a-tra'ers-%ettin%-t!in%s-done-c!apitre-par-c!apitreL Sne comparaison des lo%iciels mettant en oeu're la mt!ode *TD 9 !ttp9LL"r.=iIipedia.or%L=iIiL.omparaisonbdeblo%icielsb*TD !ttp9LL===.tasI"reaI.comL ;lu%ins < *TD > 9 certains sont cits dans le document de comparaison ci-dessus. @n particulierB le plu%in *TD pour le DoIu=iIi9 !ttp9LL===.doIu=iIi.or%Lplu%in9%td @r'#m=TDA 9 Sn rsum de - pa%es du li're de Da'id Allen 9 !ttp9LL===.%re,c.unicaen."rL$em3ersLLaurette j20.!ardonL*3p5ic!e;rati/ue*estionduTempsDa'idAllen.pd" ou !ttps9LL===.%re,c."rLsitesLde"aultL"ilesL*3p5ic!e;rati/ue*estionduTempsDa'idAllen.pd" @Q#e'&%+nTem4'A 9 < 1uestion de temps > de 5ranQois Dli'rB consultant en relations Mumaines et Or%anisationB spcialis dans le coac!in% des cadres diri%eants. Le rsum du li're de 5ranQois Deli'r 9 !ttp9LL===.%re,c.unicaen."rL$em3ersLLaurette j20.!ardonLResumeLi're1uestiondeTemps5rancoisDeli're ou !ttps9LL===.%re,c."rL2 /duserL1( &'(&'()* Page 1/ ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR ). * !a +ommuni+ation de l2ASR a3e+ ses partenaires @=PLIA? @RTA? @E'#4-P+r&a%$A?@>e$4De'FA 9 'oir les r"rences donnes dans le c!apitre ) < *estion des inter'entions >. )0 * Re+ommandations sur les +ompten+es De' $%en' $%en' #&%$e' de '%&e' de' $%'&e' de d%,,#'%+n J.RSK 9 !ttps9LLlistes.cru."rLs,mpaLlistsLin"ormati/ue J.CRSlistK 9 !ttp9LLlistes.ser'ices.cnrs."rL==s De' $%en' $%en' #&%$e' de r'ea#/ de m&%er' J$R.TK 9 !ttp9LL===.mrct.cnrs."rL JR@SIC5OK !ttp9LL===.resin"o.cnrs."rL JSR@.K 9 !ttp9LL===.urec.cnrs."rL J.RSK 9 !ttp9LL===.cru."rL De' $%en' $%en' #&%$e' de '%&e' "#% d%,,#'en& de' &#&+r%a#/ +# Da#&+-E,+rma&%+n' J..$K 9 !ttp9LL===.commentcamarc!e.netL J[eroK 9 !ttp9LL===.siteduUero.comL J?R@SK 9 !ttp9LL===.Dres.or%L JTuto?ResK 9 !ttp9LL===.Dres.or%LtutoL JResin"oL?os,K 9 !ttp9LL===.resin"o.or%Lspip.p!p2ru3ri/ue1 J.S$@K 9 !ttp9LLcume.uni'-an%ers."rLindex.p!p JRenaterK 9 !ttp9LL===.renater."rLspip.p!p2ru3ri/ue() ===.Dournaux."r 9 liste par t!me tous les ma%aUines /ui paraissent. JTDL;K 9 !ttp9LL===.tdlp.or%L Linux documentation ;roDect JLinux5ranceK 9 !ttp9LL===.linux-"rance.or%L Linux-"rance JTut@nsK 9 !ttp9LL===.tuteurs.ens."rL Tutoriaux de l#@CS J$ITK 9 !ttp9LLoc=.mit.eduLOc=He3L=e3L!omeL!omeL Open .ourseHare du $IT Een an%laisF L%en' .er' de' '%&e' de .e%$$e &e!n+$+*%"#e J.lu3IcK 9 !ttp9LL===.clu3ic.comL JIt@spressoK 9 !ttp9LL===.itespresso."rL JInterActuK 9 !ttp9LL===.interactu.netL JAtelierK 9 !ttp9LL===.atelier."rL JIn"ormaticienK 9 !ttp9LL===.lin"ormaticien.comL JSseCixK 9 !ttp9LL===.usenix.or%L Een an%laisF &'(&'()* Page 10 ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR Le' n+#.e$$e' d%'4+'%&%+n' de $a $+% +nernan& $a F+rma&%+n Pr+,e''%+nne$$e @xtraits du dcret 9 Dcret no 2007-1470 du 15 octobre 2007 relatif la formation professionnelle tout au long de la vie des fonctionnaires de lEtat NOR : BCFF0758784D rt! 1er! " LPo3Det de la "ormation pro"essionnelle tout au lon% de la 'ie des "onctionnaires de lP@tat et des ta3lissements pu3lics de lP@tat est de les !a3iliter 0 exercer a'ec la meilleure e""icacit les "onctions /ui leur sont con"ies durant lPensem3le de leur carrireB en 'ue de la satis"action des 3esoins des usa%ers et du plein accomplissement des missions du ser'ice. @lle doit "a'oriser le d'eloppement pro"essionnel de ces "onctionnairesB leur mo3ilit ainsi /ue la ralisation de leurs aspirations personnelles. @lle concourt 0 lP%alit e""ecti'e dPaccs aux di""rents %rades et emploisB en particulier entre "emmes et !ommesB et "acilite la pro%ression des moins /uali"is. La "ormation pro"essionnelle tout au lon% de la 'ie comprend principalement les actions sui'antes 9 1o La "ormation pro"essionnelle statutaireB destineB con"ormment aux r%les pr'ues dans les statuts particuliersB 0 con"rer aux "onctionnaires accdant 0 un %rade les connaissances t!ori/ues et prati/ues ncessaires 0 lPexercice de leurs "onctions et la connaissance de lPen'ironnement dans le/uel elles sPexercent T
. . 2o La "ormation continueB tendant 0 maintenir ou par"aireB compte tenu du contexte pro"essionnel dans le/uel ils exercent leurs "onctionsB la comptence des "onctionnaires en 'ue dPassurer 9 a Leur adaptation immdiate au poste de tra'ail T b Leur adaptation 0 lP'olution pr'isi3le des mtiers T c Le d'eloppement de leurs /uali"ications ou lPac/uisition de nou'elles /uali"ications T &o La "ormation de prparation aux examensB concours administrati"s et autres procdures de promotion interne T (o La ralisation de 3ilans de comptences permettant aux a%ents dPanal,ser leurs comptencesB aptitudes et moti'ations en 'ue de d"inir un proDet pro"essionnel T )o La 'alidation des ac/uis de leur exprience en 'ue de lPac/uisition dPun diplAmeB dPun titre 0 "inalit pro"essionnelle ou dPun certi"icat de /uali"ication inscrit au rpertoire national pr'u par lParticle L. &&)-+ du code de lPducation T +o LPappro"ondissement de leur "ormation en 'ue de satis"aire 0 des proDets personnels et pro"essionnels %r:ce au con% de "ormation pro"essionnelle r%i par le +o de lParticle &( de la loi du 11 Dan'ier 194( sus'ise. Le contenu des "ormations pr'ues au 1o ci-dessus est "ix par arrNt conDoint du ministre intress et du ministre c!ar% de la "onction pu3li/ue. .et arrNt peut pr'oir une modulation des o3li%ations de "ormation en "onction des ac/uis de lPexprience pro"essionnelle des a%ents. Le .CRS et les Sni'ersitsB par exempleB ont int%r ces dispositi"s dans leur dossiers de sui'i de carrire et en particulier la classi"ication en & cat%ories des "ormations Epara%rap!e 2F. Il "aut aussi attirer l#attention sur les di""rentes possi3ilits de complter son ni'eau initial de "ormation 9 la possi3ilit de raliser des 3ilans de comptences Epara%rap!e (F &'(&'()* Page 11 ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR la procdure de XA@B Xalidation des Ac/uis d#@xprience Epara%rap!e )F Xous trou'ereU la dclinaison de la mise en 8u're de ce dcret pour le .CRS aux SRL sui'ants 9 !ttp9LL===.s%.cnrs."rLdr!LcompetencesL"orm.!tm !ttp9LL===.s%.cnrs."rLdr!LcompetencesLdocumentsLcadra%e.pd" 14 - &utils Aindo3s Cous a'ons rpertori dans cette partie un certain nom3re d#outils lo%iciels tournant sous >indo:s pou'ant illustrer et Ntre utiliss dans les di""rents c!apitres de ce %uide des 3onnes prati/ues. Cous remercions 0 cet e""et D. Ba5a ("entre d0%mmunologie de 1arseille-Lumin7, Jnit 1i&te de 8ec'erc'e du "K8+, de l0%nserm et de l0Jniversit de la 1diterrane pour son aide dans l#in'entaire de ce t,pe de produit < $icroso"t > $dministration des s"stmes - La gestion des configurations S,stem .enter ( http://www.microsot.com/rance/ser!eur/s"stem#center/deault.mspx F est la %amme $icroso"t dPoutils et lo%iciels pour lPadministration des S.I. @lle se 'eut aider les entreprises 0 simpli"ier leur administration in"ormati/ue 9 exploitation plus "acileB rduction des temps dPindisponi3ilitB automatisation des dploiementsB et meilleure maOtrise du s,stme dPin"ormation. On , trou'e 9 S.O$ 200- ES,stem .enter Operation $ana%erFB solution de super'ision des en'ironnements Hindo=s o""rant une collecte des 'nements et compteurs de per"ormancesB des "onctions de cration de rapports et dPanal,se de tendance. .Pest une solution /ui s#appuie sur des connaissances spci"i/ues par le 3iais de pacIs dPadministration pour des en'ironnements $icroso"t et autres "ournisseurs. Il se positionne comme un concurrent direct de I7$ ETi'oliF ou de M; EOpen Xie=F. La 'ersion S.O$ 200- R2 permet de super'iser les s,stmes SCIh et LICSh et les applications !3er%es sur ces derniers. S..$ 200- ES,stem .enter .on"i%uration $ana%erFB solution dPadministration de parc in"ormati/ueB c!an%ements et con"i%urationB "ournissant des "onctions dPin'entaire Ematriel et lo%icielsFB ainsi /ue de tldistri3ution des applications et des mises 0 Dour Escurit et ser'ices pacIFB support 0 distance des postes et ser'eurs. S.D;$ 200- ES,stem .enter Data ;rotection $ana%erFB application de sau'e%arde 0 c!aud et en continue des donnes a'ec possi3ilit de restauration par lPutilisateur et 3as sur les tec!nolo%ies des clic!s instantanes. S.X$$ 2004 ES,stem center Xirtual mac!ine mana%erFB solution dPadministration dPen'ironnement 'irtualis permettant une meilleure utilisation et optimisation des ser'eurs p!,si/ues. Supporte lPadministration des ser'eurs X$=are @Sh. Dploiement des postes de tra3ail HAIf EHindo=s Automated Installation fitF est un fit dPinstallation Hindo=s automatise /ui permet de personnaliser et de dplo,er la "amille des s,stmes d#exploitation de $icroso"t Hindo=s Xistak. Hindo=s AIf permet d#e""ectuer des installations Hindo=s sans assistanceB de capturer des ima%es Hindo=s a'ec Ima%eh et de crer des ima%es &'(&'()* Page 1+ ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR Hindo=s ;@ /ui est un mini-en'ironnement de dmarra%e en mode commande 3as sur Hindo=s Xista. Tlc!ar%ement %ratuit sur le site de $icroso"t. HDS EHindo=s Deplo,ment Ser'icesF permet de proposer aux postes de tra'ail en rseau un ensem3le dPima%es dPinstallation pour une mi%ration ou mise 0 ni'eau. .Pest un outil "ournit a'ec le ser'ice pacI & de Hindo=s Ser'eur 200& et int%r dans le HAIf. .Pest une 'olution de RIS ERemote Installation Ser'icesF Hindo=s S,stem Ima%e mana%erB outil %rap!i/ue pour crer et modi"ier les "ic!iers de rponse Eunattended.xmlFB dPaDouter des composanstB etcWIl est "ournit a'ec le HAIf. SS$T &.0 ESser State $i%ration ToolF /ui permet de sau'e%arder les "ic!iers et paramtres de con"i%uration du poste dPun utilisateur en 'ue dPune restauration aprs mi%ration. ;our les p!ases dPun dploiement 9 Application .ompati3ilit, ToolIit ).0 pour la compati3ilit lo%icielle Hindo=s Xista Mad=are Assessment pour les con"i%urations matrielles $DT 2004 E$icroso"t Deplo,ment ToolIitFB permet lPautomatisation de la %estion de c,cle de 'ie du poste. 5acilite lPautomatisation des dploiements des postes de tra'ail et des ser'eurs Hindo=s. Il ncessite le HAIf. ontinuit de ser3i+e < 'irtualisation 2http#((technet.,icroso%t.co,(%r-%r(virtuali3ation(de%ault.asp45 M,per-XB tec!nolo%ie de 'irtualisation matrielle 3ase sur une approc!e de t,pe !,per'iseur. Disponi3le dans les ditions +( 3its des di""rentes 'ersions de Hindo=s ser'eur 2004. @%alement disponi3le en tlc!ar%ement. Il existe aussi une 'ersion /ui peut Ntre install directement sur une mac!ine 'ier%e a'ec lPo""re $icroso"t M,per-X ser'er 2004. Xirtual Ser'er 200) R2B 'irtualisation matrielle pour en'ironnement Hindo=s ser'eur 200&B utilis surtout pour la consolidation et lPautomatisation des tests Elo%iciels et d'eloppementsFB !3er%ement dPapplications anciennes sur des matriels et OS rcents et aussi pour la consolidation des ser'eurs. ;roduit %ratuit Xirtual ;. 200-B solution de 'irtualisation de postes de tra'ail permettant dPexcuter plusieurs s,stmes dPexploitation en mNme temps sur le mNme ordinateur p!,si/ue. ;roduit %ratuit S+urit et mobilit ISA ser'eur 200+ E$icroso"t Internet Securit, and AccelerationF est une solution de pare-"eu applicati"B de X;C Erseau pri' 'irtuelFB de prox, et cac!e =e3 IA* 200- EIntelli%ent Application *ate=a,F est un ensem3le de tec!nolo%ies o""rant la possi3ilit dPaccder de "aQon simple et scuris aux donnes et aux applications pu3lies 0 partir de nom3reux appareils di""rents E;DA comprisF et ceci depuis nPimporte /uel site reli 0 Internet &'(&'()* Page 1* ( +) g!p-v&-).od, Guide de Bonnes Pratiques Organisationnelles pour les ASR Gestion des +orre+ti1s de s+urits et de ser3i+es pa+I HSSS &.0 EHindo=s ser'er Spdate Ser'icesF est un produit /ui permet de %rer de "aQon contrAle les di""rentes mises 0 Dour pu3lies sur le site de $icroso"t Spdate E.orrecti"sB ser'ices pacIsB !ot"ixWF. ;roduit tlc!ar%ea3le sur le site de $icroso"t. "t en1in pour tous les utilisateurs a3ertis (http://technet.microsoft.com/fr-fr/sysinternals/default.aspx ) La collection dPutilitaires S,sInternals cre par $arI Russino'ic! et 7ruce .o%s=ell et rac!et depuis par $icroso"t constitue une mine dPoutils totalement indispensa3le pour des outils s,stmes sous Hindo=s 9 Stilitaires dis/uesB Stilitaires rseauB utilitaires de ressources et de processusB Stilitaires de scurit!!! &'(&'()* Page +) ( +) g!p-v&-).od,