Est-ce que ces mesures visent à surveiller mon activité ?

Non. Les mesures de sécurité mises en place concernent uniquement des aspects techniques (configuration des postes, sécurité des systèmes). Elles ne permettent pas d’accéder à vos contenus, vos fichiers ou votre activité.

Est-ce que ces mesures vont limiter mon autonomie ?

Non. L’objectif est de maintenir un équilibre entre autonomie et sécurité. Dans les cas nécessitant des usages spécifiques (recherche, développement), des adaptations sont possibles. N’hésitez pas en discuter avec le PIT le cas échéant.

Que faire si une mesure pose problème dans le cadre de mon activité quotidienne ?

Contactez le Pôle Informatique et Technique. Des ajustements ou des solutions spécifiques peuvent être étudiés en fonction des besoins.

Qu’est-ce qu’une donnée sensible (au sens du PPST) ?

Le Potentiel Scientifique et Technique de la Nation, c’est l’ensemble des biens matériels et immatériels propres à l’activité scientifique fondamentale et appliquée au développement technologique de la nation française. Il s’agit de savoirs et de savoir-faire hautement stratégiques et de technologies sensibles, produits et développés au sein d’établissements publics et privés sur le territoire national.

Il y a 4 catégories de risques : la captation pour un avantage concurrentiel (espionnage industriel/scientifique), le détournement à des fins terroristes, la prolifération d’armes de destruction massive, et la déstabilisation.

Concrètement, pour une UMR comme CRIStAL, voici quelques exemples de données sensibles :

En matière d’algorithmes et code source : des algorithmes de machine learning ou d’IA développés dans l’unité avant publication, du code source de logiciels de recherche non encore publiés, des implémentations d’algorithmes cryptographiques ou de sécurité, des outils de traitement de données massives avec des optimisations propriétaires.

En matière de données de recherche : des datasets annotés (surtout en santé, en bioinformatique), des résultats expérimentaux avant publication (un concurrent étranger qui obtient vos résultats 6 mois avant la publication peut publier avant vous), des modèles entraînés (un modèle d’IA entraîné sur des données hospitalières a une valeur considérable).

En matière de partenariats et propriété intellectuelle : des contrats avec des industriels (Thales, OVH, etc.), des brevets en cours de dépôt, des réponses à des appels d’offres européens (H2020, ERC) avant soumission, des évaluations de projets confidentiels.

En matière d’informations organisationnelles : la cartographie de nos serveurs et de notre réseau (c’est la raison pour laquelle notre outil d’inventaire GLPI est un SIRR), les identifiants et clés d’accès aux infrastructures, les configurations des briques de sécurité mises en oeuvre et utilisées par le PIT, vos clefs privées SSH, GPG, de certificats X.509, etc.

Un mot de passe unique, c’est un vrai problème, surtout quand il sert à ouvrir une session sur mon ordinateur via l’Active Directory ULille, consulter ma messagerie électronique Zimbra ou encore accéder à mes applications sur l’ENT de l’Université de Lille. Est-ce qu’il y a des discussions avec l’Université de Lille pour réduire le niveau de risque lié à cela ?

Oui, vous avez un seul mot de passe pour tout, et NON, on ne peut pas changer ça actuellement : c’est un choix architectural adopté par la DGDNum de l’Université de Lille. Ce mot de passe a donc une valeur énorme : si quelqu’un l’obtient, il a accès à toute votre vie numérique professionnelle. C’est pour ça qu’il doit être robuste, qu’il ne doit jamais être réutilisé sur des services personnels (Gmail, Amazon, etc.).

Le CNRS est en avance de phase sur cela. Le mot de passe utilisé pour le service de messagerie électronique est différent de celui utilisé pour s’authentifier sur les applications proposées par cette tutelle. Mieux encore, elle invite à utiliser un second facteur d’authentification (MFA avec clé FIDO2) lorsqu’il s’agit d’utiliser certains services, comme les cahiers de laboratoires électronique (eLabFTW) par exemple. Le mot de passe seul ne suffit plus.

Le PIT réfléchit à la mise en place du MFA partout où cela est possible sur les services qu’il opère : c’est une réponse architecturale plus acceptable. Le mot de passe reste unique, mais il ne suffit plus pour ouvrir quoi que ce soit : il faut un second facteur. L’inconvénient de cette solution est qu’elle représente un coût non négligeable pour l’unité (environ 40 euros HT par personne).

Est-ce que je peux installer et utiliser le VPN mis à disposition par l’Université de Lille sur mon poste de travail personnel ou mon smartphone personnel ?

Non. Ce n’est pas conforme aux conditions générales d’utilisation du service VPN fourni par la tutelle. La note de service rédigée par la DGDNum ULille sur la sécurité des terminaux est très claire sur ce point, je cite : "L’accès au VPN de l’Université est réservé aux machines gérées par l’établissement. Son utilisation sur une machine personnelle n’est pas autorisée.".