Sécurité SI : le CNRS face à son organisation déconcentrée

Le CNRS, pas en mesure d'assurer une gestion homogène de la sécurité de ses SI ?

La Cour des comptes le constate... tout en contraste. D'un côté, elle relève une maîtrise globale du périmètre central relevant directement de la DSI. De l'autre, elle pointe une absence de vision et de contrôle sur le périmètre déconcentré, présent dans les délégations régionales et les unités de recherche réparties sur le territoire.

Sur ce second périmètre, le CNRS ne dispose actuellement pas d'une cartographie exhaustive de ses applications, plates-formes et logiciels. Le manque de transparence et de recensement dans les délégations régionales et dans les unités de recherche ne permet pas de réaliser un inventaire complet des ressources.

Les unités mixtes de recherche, une "difficulté de poids"

La structure SSI est construite en cascade. Au sommet, un RSSI national. Il s'appuie sur 17 RSSI présents dans les délégations régionales. S'y ajoutent plus de 850 chargés SSI nommés au sein des unités de recherche.

Le caractère mixte de ces unités de recherche est une "difficulté de poids", selon la Cour des comptes. Elles doivent effectivement appliquer les règles de politique SSI de leurs tutelles... qui ne respectent pas un cadre commun uniformisé.

En 2022, dans le contexte d'une attaque par ransomware, l'absence de sauvegarde au sein d'une de ces unités a eu un impact sur les activités d'une demi-douzaine d'autres, qui étaient clientes de ses services informatiques. Il y eut des pertes de données, sans recensement précis. Plus de 3 mois furent nécessaires pour rétablir les services les plus importants.

Une autre attaque survenue la même année a touché une unité de recherche mixte à laquelle le CNRS participait (origine : un vol d'identité dans une université). Des conflits entre les tutelles pour déterminer la marche à suivre ont contribué à l'inefficience de la gestion de crise.

Certaines unités manquent de compétences et confient ainsi la gestion de la SSI à leurs hébergeurs informatiques sans pouvoir éprouver la pertinence des choix opérés, ajoute la Cour des comptes. Qui note aussi la réalisation non systématique des rapports annuels que les chargés SSI sont censés remettre aux directeurs d'unités.

Une gestion autonome peu favorable à la conformité réglementaire

Quoique maîtrisé, le périmètre central peut faire l'objet d'améliorations. Entre autres, la formalisation d'un schéma directeur à 3 ans, en complément au plan d'action actualisé chaque année.

Il existe aussi une marge de progression sur le PRA du système d'authentification. En l'état, il ne permet que l'identification des utilisateurs. Pas la gestion de leurs comptes et de leurs droits dans le système.

Les travaux des commissaires au comptes du CNRS ont identifié d'autres points d'amélioration. Dont la nécessité d'une revue exhaustive des accès fournis dans le progiciel de gestion et d'une mise à disposition de comptes nominatifs pour les prestataires. La maîtrise des risques informatiques devrait, en outre, s'inscrire dans la démarche du comité des risques, créé en 2014.

L'organisation déconcentrée complique par ailleurs la mise en conformité avec le décret du 8 avril 2022 sur la sécurité numérique du SI de l'État et de ses établissements. Celui-ci renforce l'exigence d'inventaire en introduisant une homologation de sécurité des infrastructures et des services logiciels. Or, dans le cas du CNRS, les projets informatiques sont majoritairement gérés en autonomie, sans interlocuteur SSI capable de centraliser les demandes et d'inclure les bonnes pratiques de sécurité. Dans ce contexte, la DSI ne constate le développement et l'exploitation de logiciels en interne qu'une fois qu'apparaissent les coûts associés ou les besoins en maintenance.

"Un dispositif de recensement et d'encadrement a été préfiguré", rétorque le CNRS. Qui entend "[s'appuyer] sur le rapport pour articuler du mieux possible la décentralisation des développements avec les exigences transversales de sécurité des SI et l'intérêt de mutualiser les bonnes initiatives".