L’administration d’un SI se traduit par un ensemble de mesures techniques et non techniques visant entre autres à maintenir le SI en condition opérationnelle et de sécurité et à gérer des changements mineurs ou des évolutions majeures.
Dans le cadre de ses missions, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) souhaite décrire dans ce guide technique les objectifs de sécurité et les principes d’architecture permettant l’élaboration d’une architecture technique d’administration. Ce document n’a pas vocation à être exhaustif ni à couvrir l’ensemble des cas d’usage.
Il propose des éléments utiles d’aide à la conception d’architectures sécurisées tout en mettant à la disposition des administrateurs les moyens techniques et organisationnels nécessaires à la réalisation de leurs missions. Ces éléments sont à replacer dans le contexte du système d’information traité autant que de besoin.
Très utile pour les administrateurs et leurs responsables, qui pour beaucoup, ne comprennent pas toujours les enjeux et responsabilités que portent sur leurs épaules ces femmes et hommes de l’ombre.
Extrait :
Droits et devoirs des administrateurs
Les fonctions d’administrateur, complexes, doivent s’équilibrer entre des pouvoirs importants et le respect d’obligations précises. En particulier, un administrateur d’un système d’information est tenu à des obligations de loyauté (respect des règles d’éthique), de transparence (respect du règlement intérieur et de la charte informatique) et de confidentialité 1 (respect du secret professionnel).
Le non-respect de ces obligations peut donner lieu à des sanctions disciplinaires (allant jusqu’au licenciement pour faute grave), voire des sanctions pénales. L’annexe B traite plus en détail les aspects juridiques, notamment les différents droits et devoirs des administrateurs.
En premier lieu, les droits et obligations des salariés, dont font partie les administrateurs, pour l’utilisation des moyens informatiques doivent être consignés dans une charte informatique annexée au règlement intérieur ou au contrat de travail. L’entité peut prévoir en complément une charte informatique spécifique applicable aux administrateurs. Cette charte doit notamment appeler les administrateurs à la vigilance vis-à-vis des ressources d’administration mises à leur disposition et sur les conduites à tenir en cas de compromission avérée ou suspectée, de perte ou de vol. Pour toute question relative à la sécurité des systèmes d’information (SSI), un administrateur doit pouvoir s’adresser à des référents internes de l’entité, clairement identifiés, techniques ou non techniques.
A qui s’adresse ce guide ?
Ce guide s’adresse à un large public. Il suppose cependant que le lecteur dispose de connaissances minimales pour appréhender les recommandations de sécurité présentées et les adapter à son contexte.
Le guide officiel est disponible ici sur le site de l’ANSSI : https://www.ssi.gouv.fr/guide/securiser-ladministration-des-systemes-dinformation/