Nouvelle directive sur la sécurité informatique et nouvelles conditions d’utilisation

Pour suivre les évolutions technologiques, la directive sur la sécurité informatique et les conditions d’utilisation des infrastructures ont été adaptées. L’augmentation des cyberattaques demande en effet une modernisation des règles en vigueur et une sensibilisation des utilisatrices et utilisateurs à cette problématique.

Pourquoi changer ?

La directive liée à l’utilisation des services informatiques n’était plus adaptée à l’évolution des outils de sécurité informatique, ce qui ne permettait pas à l’UNIL de sécuriser correctement son infrastructure. Dans un souci de simplification, trois directives ont été fusionnées et révisées pour aboutir à la directive 6.1 « Utilisation de l’infrastructure informatique ».

Cette directive reprend une bonne partie des éléments déjà présents, élague des dispositions obsolètes, encadre certaines pratiques existantes et dans l’ensemble diminue fortement le nombre d’articles. Elle s’adresse à toutes les utilisatrices et tous les utilisateurs des machines institutionnelles mais également, dans certains cas, des personnes utilisant des machines privées à des fins professionnelles. Les dispositions nouvelles concernent principalement la sécurité informatique.

Les nouveautés

À terme, tous les postes de travail institutionnels devraient avoir une configuration minimale et standard pour gérer la sécurité. Cela comprendra principalement le chiffrement et une sauvegarde des données présentes sur le disque dur, la présence d’un antivirus actif, un système d’exploitation à jour et professionnel. Bien qu’une gestion centralisée doit encore être mise en place autant techniquement qu’au niveau des procédures, les outils de chiffrement, sauvegarde et antivirus sont déjà disponibles et doivent être utilisés pour les postes institutionnels. Dès à présent, les systèmes d’exploitation non professionnels ne permettant pas une gestion centralisée des risques et des attaques, comme Windows 10 family, sont interdits.

Les utilisatrices et utilisateurs restent maître (admin) de leurs machines. Ce principe important aux yeux des membres de la communauté UNIL, reste valide. La Directive indique désormais de manière plus claire les responsabilités de l’utilisatrice ou l’utilisateur concernant ses accès, mots de passe, etc. et cela y compris sur son poste personnel s’il est utilisé de manière professionnelle.

Une bonne gestion de la machine par l’administratrice ou l’administrateur, donc l’utilisatrice ou l’utilisateur, est nécessaire pour limiter les risques d’intrusion. En ce sens, des campagnes de sensibilisation et des formations sur la sécurité informatique et la protection des données seront mise sur pied pour l’ensemble du personnel.

Lors du départ d’une employée ou d’un employé, les accès seront coupés dès la fin du contrat, sauf demande de prolongation express. En plus de réduire le risque d’intrusion, cela diminue également le coût pour des licences non utilisées, principalement chez Microsoft. Pour les étudiantes et étudiants, les accès seront conservés 6 mois (inchangé). Toutefois, l’utilisation des machines institutionnelles à des fins privées reste tolérée si cela n’influence pas les tâches professionnelles et n’abuse pas des ressources de l’UNIL (inchangé).

Et pour mes besoins particuliers ?

L’UNIL est un environnement informatique extrêmement varié pour diverses raisons allant des préférences personnelles à des besoins extrêmement diversifiés. Bien que des standards doivent être appliqués tant que cela est possible, il est évident pour le Centre informatique que certains besoins particuliers nécessiteront des adaptations. Nos spécialistes seront donc à disposition et accompagneront les personnes dont les besoins justifient une adaptation du standard tout en évitant de créer des failles de sécurité.

Il existe des postes ne pouvant pas être mis à jour, par exemple le cas de microscopes spécialisés qui ne fonctionnent qu’avec une ancienne version de Windows. Ces postes pourraient donc exemptés d’une configuration standard mais seront sécurisé par d’autres méthodes par le Centre informatique.

Révolution ou évolution ?

Ces modifications ne sont pas une révolution, mais tout de même une évolution importante pour rendre notre système d’information plus résistant aux différentes cyberattaques. Les mesures proposées sont déjà largement répandues dans les entreprises privées et organismes publics mais ne sont pas les mesures les plus contraignantes qui existent. La directive est également suffisamment souple pour que des mesures appropriées soient prises rapidement si l’UNIL devait répondre à de nouvelles menaces. N’oublions pas que la stratégie de numérisation de l’UNIL va encore augmenter sa dépendance à notre système d’information, nécessitant de fait une infrastructure la plus sécurisée possible.

Plus d’informations

Image d’en-tête : 126962074 © Mast3r | Dreamstime.com