CRIStAL

Registre privé d'images (Harbor)

Masquelin Mickael — 2026-04-02T06:47:32Z

Harbor est un registre privé d'images de conteneurs (OCI, Docker, Podman) hébergé au CRIStAL et administré par le PIT.

Présentation

Harbor est un registre privé d'images de conteneurs (OCI, Docker, Podman) hébergé au CRIStAL et administré par le PIT.

Il permet aux équipes de recherche et aux plateformes technologiques de l'unité de stocker, distribuer et sécuriser leurs images de conteneurs sans dépendre de registres publics comme Docker Hub, GitHub Container Registry ou Google Container Registry.

Adresse URL	https://reg.in.cristal.fr
Authentification	LDAP (identifiants CRIStAL habituels)
Demande d'accès	Envoyer un mail au PIT : cristal-adminsys@univ-lille.fr

Note : L'outil n'est pas accessible en dehors du réseau de l'Université de Lille. Pour l'utiliser depuis un autre endroit, il faudra utiliser le VPN de l'Université de Lille par exemple.

À quoi ça sert ?

Stocker vos images de conteneurs

Si vous développez des logiciels, des outils de recherche ou des environnements de calcul sous forme de conteneurs Docker, Harbor vous offre un espace privé pour les héberger. Plus besoin de pousser vos images sur Docker Hub (public, limité en pulls, et hébergé aux États-Unis) ou de les laisser traîner sur des machines locales.

Garantir la sécurité de vos images

Harbor intègre un scanner de vulnérabilités qui analyse automatiquement chaque image poussée sur le registre. Vous êtes alerté si une de vos images contient des dépendances présentant des failles de sécurité connues (CVE). Dans le contexte ZRR du laboratoire, c'est un élément important de la chaîne de confiance.

Signer vos images

Harbor supporte la signature d'images via Cosign. Une image signée garantit son intégrité et son origine : vous avez la certitude que l'image que vous tirez du registre est bien celle qui a été poussée, sans altération.

Servir de miroir pour les images publiques

Plutôt que de télécharger des images depuis Docker Hub à chaque build (avec les limites de débit et les risques de supply chain), Harbor peut être utilisé comme un "proxy-cache". Les images publiques sont téléchargées une fois, stockées localement, et redistribuées au CRIStAL sans accès Internet.

Qui est concerné ?

Harbor s'adresse à toute personne au laboratoire qui utilise des conteneurs dans son travail :

Les chercheurs, enseignants-chercheurs et doctorants qui empaquettent leurs outils de recherche, leurs pipelines de traitement de données ou leurs environnements de calcul dans des conteneurs type Docker.

Ingénieurs qui développent des applications web, des API ou des services déployés en conteneurs.

Comment y accéder ?

Via votre navigateur

Rendez-vous sur https://reg.in.cristal.fr et connectez-vous avec votre compte CRIStAL. Vous accédez à l'interface web qui vous permet de parcourir les projets, consulter les images disponibles, vérifier les résultats des scans de vulnérabilités et gérer vos dépôts.

Via la ligne de commande (Docker / Podman)

# Se connecter au registre docker login reg.in.cristal.fr # Taguer une image locale pour Harbor docker tag mon-image:latest reg.in.cristal.fr/mon-projet/mon-image:latest # Pousser l'image docker push reg.in.cristal.fr/mon-projet/mon-image:latest # Tirer une image docker pull reg.in.cristal.fr/mon-projet/mon-image:latest

Les mêmes commandes fonctionnent avec Podman (remplacez docker par podman).

Dans vos pipelines GitLab CI/CD

Harbor s'intègre nativement avec le GitLab du laboratoire. Vos pipelines CI/CD peuvent construire et pousser automatiquement des images vers Harbor à chaque commit ou release. Vous pouvez créer un compte robot (service account) dédié à votre projet pour ne pas exposer vos identifiants personnels dans les pipelines.

Exemple de pipeline de CI/CD pour un projet Gitlab qui contient uniquement un fichier Dockerfile :

default: tags: - pit stages: - build - sign variables: IMAGE: $HARBOR_REGISTRY/$HARBOR_PROJECT/app CACHE_IMAGE: $HARBOR_REGISTRY/$HARBOR_PROJECT/app:cache # job de build (avec BuildKit, rootless) build: stage: build image: name: moby/buildkit:rootless entrypoint: [""] script: # Auth Harbor - mkdir -p ~/.docker - | cat > ~/.docker/config.json < cosign.key chmod 600 cosign.key cosign sign --key cosign.key --yes $IMAGE:$CI_COMMIT_SHA else echo "Pas de clef cosign key fournie → pas de signature de l'image ..." fi

Organisation des projets

Harbor est organisé en projets. Chaque projet regroupe un ensemble d'images liées à une équipe, un outil ou une thématique. Par exemple :

pit/ — images maintenues par le PIT (outils d'infrastructure)
bioinfo/ — images des équipes de bioinformatique
votre-equipe/ — un projet dédié à votre équipe de recherche

Pour demander la création d'un projet, contactez le PIT. Vous serez désigné comme mainteneur du projet et pourrez y inviter vos collègues.

Bonnes pratiques

Taguez vos images avec des versions explicites (v1.2.3, 2025.03) plutôt que de n'utiliser que latest. Ça garantit la reproductibilité de vos expériences.
Consultez les rapports de scan avant de déployer une image en production ou de la partager avec des collaborateurs extérieurs.
Ne stockez pas de secrets dans vos images (mots de passe, clés API, tokens). Utilisez des variables d'environnement ou un outil comme Vault.
Nettoyez vos anciennes images régulièrement. Harbor propose des politiques de rétention automatiques — le PIT peut les configurer pour votre projet.

Les pads collaboratifs (HedgeDoc)

Masquelin Mickael — 2026-04-01T15:45:48Z

HedgeDoc est un éditeur de notes collaboratif en temps réel, hébergé au sein de l'unité, déployé et maintenu par le PIT.

Présentation

HedgeDoc est un éditeur de notes collaboratif en temps réel, hébergé au sein de l'unité, déployé et maintenu par le PIT. Il permet de rédiger à plusieurs, simultanément, des documents en Markdown : comptes-rendus de réunion, documentation technique, brouillons de publications, notes de séminaire... le tout depuis votre navigateur, sans rien installer.

L'adresse URL du service est : https://pad.cristal.fr. L'authentification repose sur le compte CRIStAL (SSO via Keycloak).

À quoi ça sert ?

Rédiger à plusieurs en temps réel

Vous créez une note, vous partagez le lien avec vos collègues, et tout le monde peut écrire en même temps. Chaque participant voit les modifications des autres en temps réel, avec un curseur coloré par personne. C'est l'équivalent de Google Docs, mais en Markdown, hébergé chez nous, et sans envoyer vos données chez Google.

Prendre des notes structurées en Markdown

Le Markdown est un format de texte léger et lisible qui permet de structurer rapidement un document avec des titres, des listes, du code, des tableaux, des formules mathématiques (LaTeX) et des diagrammes (Mermaid). Si vous êtes familier avec la syntaxe de README sur GitLab/GitHub, vous savez déjà utiliser HedgeDoc.

Garder une trace de vos réunions et séminaires

Plutôt que des notes éparses dans des fichiers Word ou des mails, HedgeDoc centralise vos comptes-rendus dans un endroit accessible à toute l'équipe. Chaque note a une URL permanente que vous pouvez référencer dans vos mails, vos wikis ou vos tickets.

Préparer des documents avant de les formaliser

HedgeDoc est idéal comme brouillon collaboratif avant de produire un document final (article, rapport, documentation). Vous rédigez le fond à plusieurs dans HedgeDoc, puis vous exportez en Markdown, PDF ou HTML pour la mise en forme définitive.

Qui est concerné ?

HedgeDoc est ouvert à tous les personnels du CRIStAL :

Équipes de recherche : comptes-rendus de réunions d'équipe, notes de séminaire, rédaction collaborative de sections d'articles.
Encadrants et doctorants : suivi de thèse, notes de réunions d'avancement, listes de tâches partagées.
Services techniques et administratifs : documentation de procédures, prises de notes en réunion de service.
Organisateurs d'événements : prise de notes collective pendant un workshop, un hackathon ou une journée d'étude.

Comment y accéder ?

Créer une note

1. Rendez-vous sur https://pad.cristal.fr.
2. Connectez-vous avec votre compte CRIStAL (bouton "Sign in" -> puis "Sign in via Keycloak").
3. Cliquez sur "New note" — vous obtenez une note vierge avec une URL unique.

Partagez l'URL avec vos collègues. Ils pourront éditer la note en se connectant à leur tour.

L'interface

L'écran se divise en deux parties :

À gauche : l'éditeur Markdown (vous tapez ici).
À droite : le rendu en temps réel (le résultat mis en forme).

Vous pouvez basculer entre trois modes d'affichage : éditeur seul, rendu seul, ou les deux côte à côte.

Gestion des permissions

Chaque note dispose de paramètres de partage que vous pouvez ajuster :

Freely : tout le monde avec le lien peut lire et écrire (idéal pour une prise de notes en réunion).
Editable : les utilisateurs connectés peuvent éditer, les autres ne voient que le rendu.
Locked : seul le propriétaire peut éditer, les autres lisent.
Private : accessible uniquement par le propriétaire.

Exporter vos notes

HedgeDoc permet d'exporter vos notes dans plusieurs formats :

Markdown (.md) : pour intégrer dans un dépôt Git, un wiki ou un autre outil.
HTML : pour publier sur un site web ou un intranet.
PDF : via la fonction d'impression du navigateur (Ctrl+P depuis le mode rendu).

Bonnes pratiques

Nommez vos notes avec un titre explicite dès la création. La première ligne # Mon titre sert de titre dans la liste de vos notes.

Ajoutez la date et les participants en tête de vos comptes-rendus de réunion. Ça facilite la recherche ensuite.

Utilisez les tags (via le YAML front matter tags : [réunion, equipe-machin]) pour organiser vos notes.

Exportez et archivez les notes importantes. HedgeDoc est un outil de rédaction collaborative, pas un système d'archivage long terme.

Ne stockez pas de données sensibles (mots de passe, clés, données personnelles) dans les notes, même privées.

FAQ gestion des droits "administrateur"

Masquelin Mickael — 2026-03-30T14:46:28Z

Suis-je obligé de déclarer un compte administrateur ?

Oui, si vous utilisez un compte disposant de privilèges élevés. Cela ne remet pas en cause son usage, mais permet d'adapter les mesures de sécurité et de mieux prendre en compte les besoins spécifiques.

Pourquoi séparer compte utilisateur et compte administrateur ?

C'est une bonne pratique de sécurité standard :

le compte courant est utilisé pour les tâches quotidiennes
le compte administrateur uniquement pour des actions spécifiques

Cela limite les risques en cas d'erreur ou de compromission.

FAQ Chiffrement

Masquelin Mickael — 2026-03-30T14:04:12Z

Vos questions sur le chiffrement des postes de travail

Chiffrement intégral vs chiffrement par conteneur : toutes les données doivent-elles être chiffrées ?

La note du Président de l'Université de Lille (ou même le RSSI du CNRS) demande le chiffrement des postes de travail, notamment les portables qui sont exposés au vol ou à la perte. L'objectif principal est la protection des données en cas de perte physique du matériel.

Deux approches sont possibles :

le chiffrement intégral du disque (BitLocker / FileVault / LUKS) ;
le chiffrement par conteneur (VeraCrypt, LUKS sur partition dédiée) réservé aux données sensibles.

Le PIT recommande le chiffrement intégral pour les portables, conformément à la directive (II.901/SGDSN/ANSSI). Pour les postes fixes en zone contrôlée, une approche par conteneur chiffré peut être discutée au cas par cas.

Quid de la récupération de données en cas de crash sur un disque chiffré ?

C'est une inquiétude fondée. Sur un disque chiffré intégralement, un crash matériel (contrôleur, secteurs défectueux) rend effectivement la récupération beaucoup plus difficile voire impossible, là où un disque non chiffré permet souvent du file carving partiel.

La réponse à ce risque n'est pas de renoncer au chiffrement, mais de s'assurer que la stratégie de sauvegarde est robuste : les clés de récupération (BitLocker, FileVault) doivent être sauvegardées (et le seront de façon centralisée), et les données critiques doivent être sur un espace sauvegardé ... et non uniquement sur le poste. Le chiffrement protège contre la fuite ; la sauvegarde protège contre la perte. Les deux sont complémentaires, pas contradictoires.

Concernant les tests de crash simulé : c'est une demande légitime. Le PIT n'a pas actuellement documenté les procédures de récupération avec clé de secours et les scénarios de défaillance testés. Nous avions sollicité la DGDNum de l'Université de Lille sur ce dernier point mais nous n'avons pas obtenu de retour.

Mais pourquoi dois-je chiffrer mon poste ?

Le chiffrement protège essentiellement vos données contre deux types de risques : la perte ou le vol de votre ordinateur professionnel. Sans cela, un tiers peut accéder directement aux données du disque. Avec le chiffrement, les données restent inaccessibles sans authentification.

Pourquoi la clé de recouvrement doit-elle être stockée localement et pas dans le cloud ? Pourquoi utiliser un conteneur chiffré en plus de Nextcloud ?

La clé de recouvrement est critique. Elle permet un accès complet aux données du poste. Si elle est stockée dans un espace cloud personnel (Nextcloud ULille ou sDrive) ou non maitrisé (cloud public), une compromission de ce compte pourrait permettre d'accéder aux données. Elle doit donc être conservée dans un environnement maîtrisé par l'établissement.

Dans le cas de Nextcloud ULille ou de sDrive du CNRS, ces outils sécurisent l'accès aux fichiers, mais ne ils garantissent pas toujours un chiffrement de bout en bout indépendant de l'infrastructure. Un conteneur chiffré (comme Zed, édité par Prim'X) permet de protéger les données même en cas de compromission du service de stockage.

Le stockage de données sensibles dans des outils tels que Nextcloud opéré par l'Université de Lille ou encore leur instance de GitLab est-il compatible avec les exigences de confidentialité en environnement réglementé (en l'occurrence, dans un contexte ZRR) ?

Le PIT n'a pas tous les éléments techniques relatifs à l'installation de ces outils, ni les dispositions de sécurité mises en oeuvre. Nous supposons qu'il y a un socle de sécurité minimal qui a été mis en oeuvre ... en l'occurence, ce que l'on appelle du "chiffrement au repos" pour le serveur hébergeant le service et les données associées. Ce mécanisme ne protège pas contre une compromission de GitLab ou un accès administrateur aux données contenues dans un partage Nextcloud. Le premier réflexe à adopter est donc de ne pas stocker de secrets (identifiants, mots de passe, clés de recouvrement, etc.) dans ces outils. Maintenant, dans le cas particulier de GitLab, il n'existe que deux outils qui permettent de chiffrer certains fichiers sensibles.

Le premier d'entre eux est git-crypt. Il permet de réaliser un chiffrement sélectif de fichiers. C'est l'outil le plus mature pour du chiffrement transparent côté client. git-crypt chiffre les fichiers en AES-256 en mode CTR avec un IV synthétique dérivé du SHA-1 HMAC du fichier.

C'est transparent pour l'utilisateur : il travaille en clair localement, et les fichiers sont chiffrés automatiquement au moment du push. Côté serveur GitLab, les fichiers sont stockés chiffrés : si quelqu'un dump la base GitLab ou accède aux dépôts via le système de fichiers, il ne voit que du bruit.

Le gros avantage c'est que ça s'intègre dans le workflow git existant sans rien changer pour vous au quotidien. Mais git-crypt n'est pas le meilleur outil pour chiffrer la totalité des fichiers d'un dépôt. Là où git-crypt excelle, c'est quand la majorité du dépôt est public, mais que quelques fichiers doivent être chiffrés.

Il y a aussi des limitations importantes à connaître : git-crypt ne chiffre pas les noms de fichiers, les messages de commit, les cibles de liens symboliques ni les autres métadonnées. Et git-crypt ne supporte pas la révocation d'accès à un dépôt chiffré auquel l'accès a été précédemment accordé : si un collaborateur part et qu'il avait la clé, vous ne pouvez pas la faire tourner proprement sans recréer le dépôt !!!

La seconde solution proposée est git-remote-gcrypt. git-remote-gcrypt permet de chiffrer un dépôt entier. L'objectif affiché est de fournir un stockage git confidentiel et authentifié en utilisant des hôtes ou services de fichiers non fiables. L'outil va donc chiffrer tout le contenu du dépôt (fichiers, historique, métadonnées) avec GPG avant de le pousser vers le(s) remote(s).

Cette solution a néanmoins un gros bottleneck : chaque git push effectivement fait un —force, et git-remote-gcrypt peut décider de re-packer le remote sans prévenir, ce qui signifie que le push peut soudainement prendre beaucoup plus longtemps ... et donc il peut y avoir des problèmes de performance, en particulier avec des dépôts de taille importante.

Aucune de ces solutions n'est donc parfaitement adaptée à un usage à l'échelle du CRIStAL, et il faut être honnête là-dessus. La gestion des clés GPG et des .gitattributes sur chaque projet est un exercice relativement contraignant. git-crypt reste néanmoins l'option la plus adaptée pour des projets identifiés comme sensibles (au sens PPST) ... surtout pour les équipes de recherche qui manipulent des IRR dans leur code (modèles d'IA, datasets, clés, configs).

FAQ Antivirus

Masquelin Mickael — 2026-03-30T13:51:06Z

Vos questions sur la suite de sécurite WithSecure Business Suite

Peut-on désactiver temporairement l'antivirus en cas d'urgence ou pour de l'analyse de malwares ?

L'antivirus ne devrait pas être désactivé de manière globale. En revanche, des mécanismes d'exclusion existent et peuvent être mis en place de façon ciblée.

Pour les cas d'analyse de fichiers suspects (typiquement en bioinformatique où des fichiers texte déclenchent des faux positifs), le PIT peut configurer des exclusions par répertoire ou par type de fichier, sur demande motivée.

Pour les activités de réponse à incident (analyse de malware, forensics), un poste dédié hors réseau ou une VM isolée reste la bonne pratique : l'antivirus n'a pas vocation à être désactivé sur un poste connecté au réseau de l'Université de Lille.

L'antivirus est-il fiable sous macOS ? Quid de Time Machine et des mises à jour système ?

La prise en charge de macOS par les solutions antivirus du marché est historiquement en retrait par rapport à Windows. WithSecure supporte macOS mais avec des limites connues : les mises à jour de signatures peuvent avoir un temps de retard par rapport à la version Windows, et les mises à jour majeures de macOS (passage à une nouvelle version) nécessitent souvent une mise à jour préalable de l'agent, sous peine de dysfonctionnements.

Le PIT recommande de ne pas appliquer les mises à jour majeures de macOS le jour de leur sortie et d'attendre la validation de compatibilité par l'éditeur.

Concernant Time Machine, aucune incompatibilité bloquante n'est connue à ce jour, mais des exclusions de dossiers de l'agent antivirus dans la configuration de Time Machine peuvent être nécessaires pour éviter des sauvegardes inutilement volumineuses.

Le Groupe de Travail national macOS (RESINFO) travaille actuellement sur un retour d'expérience consolidé sur ce sujet : le PIT s'appuyera sur ces éléments pour affiner les recommandations.

Un seul antivirus et un seul agent GLPI couvrent plusieurs OS : quel est le risque en cas de CVE critique sur ces composants ?

C'est un point de vigilance légitime. L'agent GLPI et l'antivirus (WithSecure) sont effectivement déployés sur Windows, macOS et Linux, ce qui en fait des composants transverses. En cas de CVE critique sur l'un d'eux, la surface exposée concerne potentiellement l'ensemble du parc.

Pour y répondre, le PIT assure une veille active sur les CVE affectant ces composants (flux CERT-FR, éditeurs) et applique les mises à jour de sécurité dans les meilleurs délais. La diversité des OS limite par ailleurs l'exploitabilité d'une même CVE sur toutes les plateformes simultanément.

Pourquoi installer un antivirus supplémentaire ?

Les systèmes intègrent déjà des protections, mais l'objectif est ici d'avoir une vision globale et homogène du parc informatique au CRIStAL, afin de pouvoir réagir rapidement en cas d'incident et garantir un niveau de sécurité cohérent entre les différents environnements (Windows, macOS, Linux).

Un antivirus sur macOS ... est-ce vraiment utile ?

macOS dispose de mécanismes de sécurité efficaces (XProtect + Gatekeeper + sandboxing). Cependant, ils ne permettent pas une gestion centralisée ni une visibilité à l'échelle du parc. L'outil déployé complète ces mécanismes dans une logique de sécurité collective.

Les outils de sécurité eux-mêmes peuvent être compromis. Quel est le risque pour WithSecure ?

C'est une question légitime. Par exemple, le 19 mars 2026, le scanner de vulnérabilités open source Trivy (Aqua Security), très utilisé dans les pipelines CI/CD, a été compromis par un groupe appelé TeamPCP. Cinq jours plus tard, le 24 mars, la compromission a atteint LiteLLM, une passerelle IA très populaire, dont le pipeline CI/CD utilisait Trivy sans version épinglée : le scanner compromis a exfiltré le token de publication PyPI du projet. Les versions malveillantes de LiteLLM ont été disponibles sur PyPI pendant environ cinq heures, et le malware ciblait les clés SSH, les tokens cloud, les secrets Kubernetes et les identifiants de bases de données.

Le point clé dans cela : un outil de sécurité de confiance est devenu le vecteur d'attaque. Les scans de vulnérabilités semblaient fonctionner normalement pendant que les secrets étaient exfiltrés en arrière-plan ...

Dans le cas spécifique de l'antivirus : c'est un produit commercial avec une chaîne de distribution signée et une infrastructure de mise à jour contrôlée par l'éditeur : Le modèle de menace n'est pas le même que celui d'un outil open source distribué via GitHub Actions ou PyPI. Le risque d'incident sur la supply chain existe (cf. l'incident CrowdStrike de juillet 2024), mais le vecteur d'attaque sera forcément différent.

Pourquoi nous n'utilisons pas le même antivirus que toute l'Université de Lille avec le SOC ? Est-ce que nous sommes moins bien protégés ?

Nous avons fait le choix de garder la maîtrise opérationnelle de la sécurité des postes de la ZRR. La télémétrie des postes CRIStAL (quels fichiers sont ouverts, quels processus tournent, quels sites sont visités) est en soi une information sensible dans le contexte PPST. L'envoyer dans un cloud SaaS et la faire analyser par des prestataires externes (Exaprobe / WithSecure), c'est potentiellement exposer des informations sur les activités de recherche du CRIStAL. Donc garder cela on-premise, c'est un choix de sécurité, pas un retard technique.

En ce qui concerne la protection en tant que telle, il faut savoir que nous avons le même socle de protection de base (blocage de malwares, signatures, analyse comportementale locale). Ce que vous n'avez pas, en revanche, c'est la couche de détection avancée (EDR) et la surveillance humaine 24/7 (SOC). En contrepartie, nous avons avez une réactivité différente (le PIT peut agir en quelques minutes, pas en heures via un circuit d'escalade plateforme d'assistance DGDNum ULille → Exaprobe → retour), et vos données de télémétrie restent au sein du CRIStAL.

FAQ Inventaire

Masquelin Mickael — 2026-03-30T13:45:04Z

Vos questions sur l'outil d'inventaire GLPI déployé au sein de l'unité CRIStAL.

Un seul antivirus et un seul agent GLPI couvrent plusieurs OS : quel est le risque en cas de CVE critique sur ces composants ?

Les outils de sécurité eux-mêmes peuvent être compromis. Quel est le risque pour GLPI ?

Dans le cas spécifique de GLPI : la question est fondée. GLPI a un historique régulier de CVE critiques. En mars 2026 encore, les versions 11.0.6 et 10.0.24 corrigent une Server-Side Template Injection critique (CVE-2026-26026) et des injections SQL non authentifiées (CVE-2026-26263). Par ailleurs, des chercheurs ont démontré qu'un serveur GLPI compromis peut pivoter vers les postes via l'agent GLPI (qui tourne en SYSTEM sous Windows) grâce à la fonctionnalité Deploy activée par défaut dans les agents ≤ 1.7.3 : c'est une faille que l'éditeur a corrigée silencieusement en version 1.8 sans jamais lui attribuer de CVE.

Ce que fait le PIT pour limiter ce risque : notre instance de GLPI sous Linux est maintenue à jour (veille CVE CERT-FR + flux GitHub Security Advisories), l'accès est restreint au réseau interne de l'unité, et l'agent GLPI déployé est en version récente avec certaines fonctionnalités désactivées sur les postes qui n'en ont pas besoin. Le PIT contribue également à ce projet, open-source.

Enfin, il faut savoir que ce service est en cours d'homologation (démarche engagée auprès de l'ANSSI). Elle vise à attester que les risques pesant sur la sécurité ont été identifiés, que les mesures nécessaires pour maîtriser ces risques sont mises en œuvre, et que les éventuels risques résiduels ont été identifiés et acceptés par l'autorité qualifiée.

Aucun outil n'est infaillible, mais la diversification, l'épinglage des versions, et la veille active sur les composants déployés font partie de la réponse.

FAQ sur les points généraux en matière de SSI

Masquelin Mickael — 2026-03-30T13:19:34Z

Les réponses à vos questions, de manière générale, sur la Sécurité des Systèmes d'Information au CRIStAL.

Est-ce que ces mesures visent à surveiller mon activité ?

Non. Les mesures de sécurité mises en place concernent uniquement des aspects techniques (configuration des postes, sécurité des systèmes). Elles ne permettent pas d'accéder à vos contenus, vos fichiers ou votre activité.

Est-ce que ces mesures vont limiter mon autonomie ?

Non. L'objectif est de maintenir un équilibre entre autonomie et sécurité. Dans les cas nécessitant des usages spécifiques (recherche, développement), des adaptations sont possibles. N'hésitez pas en discuter avec le PIT le cas échéant.

Que faire si une mesure pose problème dans le cadre de mon activité quotidienne ?

Contactez le Pôle Informatique et Technique. Des ajustements ou des solutions spécifiques peuvent être étudiés en fonction des besoins.

Qu'est-ce qu'une donnée sensible (au sens du PPST) ?

Le Potentiel Scientifique et Technique de la Nation, c'est l'ensemble des biens matériels et immatériels propres à l'activité scientifique fondamentale et appliquée au développement technologique de la nation française. Il s'agit de savoirs et de savoir-faire hautement stratégiques et de technologies sensibles, produits et développés au sein d'établissements publics et privés sur le territoire national.

Il y a 4 catégories de risques : la captation pour un avantage concurrentiel (espionnage industriel/scientifique), le détournement à des fins terroristes, la prolifération d'armes de destruction massive, et la déstabilisation.

Concrètement, pour une UMR comme CRIStAL, voici quelques exemples de données sensibles :

En matière d'algorithmes et code source : des algorithmes de machine learning ou d'IA développés dans l'unité avant publication, du code source de logiciels de recherche non encore publiés, des implémentations d'algorithmes cryptographiques ou de sécurité, des outils de traitement de données massives avec des optimisations propriétaires.

En matière de données de recherche : des datasets annotés (surtout en santé, en bioinformatique), des résultats expérimentaux avant publication (un concurrent étranger qui obtient vos résultats 6 mois avant la publication peut publier avant vous), des modèles entraînés (un modèle d'IA entraîné sur des données hospitalières a une valeur considérable).

En matière de partenariats et propriété intellectuelle : des contrats avec des industriels (Thales, OVH, etc.), des brevets en cours de dépôt, des réponses à des appels d'offres européens (H2020, ERC) avant soumission, des évaluations de projets confidentiels.

En matière d'informations organisationnelles : la cartographie de nos serveurs et de notre réseau (c'est la raison pour laquelle notre outil d'inventaire GLPI est un SIRR), les identifiants et clés d'accès aux infrastructures, les configurations des briques de sécurité mises en oeuvre et utilisées par le PIT, vos clefs privées SSH, GPG, de certificats X.509, etc.

Un mot de passe unique, c'est un vrai problème, surtout quand il sert à ouvrir une session sur mon ordinateur via l'Active Directory ULille, consulter ma messagerie électronique Zimbra ou encore accéder à mes applications sur l'ENT de l'Université de Lille. Est-ce qu'il y a des discussions avec l'Université de Lille pour réduire le niveau de risque lié à cela ?

Oui, vous avez un seul mot de passe pour tout, et NON, on ne peut pas changer ça actuellement : c'est un choix architectural adopté par la DGDNum de l'Université de Lille. Ce mot de passe a donc une valeur énorme : si quelqu'un l'obtient, il a accès à toute votre vie numérique professionnelle. C'est pour ça qu'il doit être robuste, qu'il ne doit jamais être réutilisé sur des services personnels (Gmail, Amazon, etc.).

Le CNRS est en avance de phase sur cela. Le mot de passe utilisé pour le service de messagerie électronique est différent de celui utilisé pour s'authentifier sur les applications proposées par cette tutelle. Mieux encore, elle invite à utiliser un second facteur d'authentification (MFA avec clé FIDO2) lorsqu'il s'agit d'utiliser certains services, comme les cahiers de laboratoires électronique (eLabFTW) par exemple. Le mot de passe seul ne suffit plus.

Le PIT réfléchit à la mise en place du MFA partout où cela est possible sur les services qu'il opère : c'est une réponse architecturale plus acceptable. Le mot de passe reste unique, mais il ne suffit plus pour ouvrir quoi que ce soit : il faut un second facteur. L'inconvénient de cette solution est qu'elle représente un coût non négligeable pour l'unité (environ 40 euros HT par personne).

Est-ce que je peux installer et utiliser le VPN mis à disposition par l'Université de Lille sur mon poste de travail personnel ou mon smartphone personnel ?

Non. Ce n'est pas conforme aux conditions générales d'utilisation du service VPN fourni par la tutelle. La note de service rédigée par la DGDNum ULille sur la sécurité des terminaux est très claire sur ce point, je cite : "L'accès au VPN de l'Université est réservé aux machines gérées par l'établissement. Son utilisation sur une machine personnelle n'est pas autorisée.".

Votre compte CRIStAL

2022-04-06T10:04:25Z

Tout sur votre compte CRIStAL.

ce compte est indépendant de celui de l'Université de Lille.
J'ai oublié mon mot de passe, que faire ?
j'ai oublié mon identifiant CRIStAL, que faire ?

Comment obtenir un compte CRIStAL

Vous devez faire votre demande d'admission en ligne

Cette demande en ligne aboutit à un document format PDF :

dûment rempli,
signé par vous et le responsable de votre équipe ou service d'accueil,
accompagné obligatoirement d'une photo d'identité (façon carte nationale d'identité).

Cette demande et la photo doivent être déposées, en main propre, auprès de,

La gestionnaire doctorants, pour les Doctorants.
l'Assistante de direction, pour tous les autres cas.

Si et seulement si cette demande est validée, votre compte sera alors créé et vous recevrez un email à l'adresse indiquée dans le formulaire d'inscription, afin de vous permettre d'activer votre compte CRIStAL.

Vous aurez alors accès, après authentification, à l'intranet et aux applications CRIStAL et notamment à la page de connexion profil qui vous permettra, entre autre, de vérifier vos données (exemple date de fin de contrat).

L'accès aux applications CRIStAL depuis l'extérieur du campus, par le VPN Université de Lille peut être conditionné à votre appartenance à CRIStAL dans le référentiel Université de Lille. Dans ces circonstances, si vous rencontrez des difficultés d'accès Nous pouvons vous indiquer si votre fiche dans ce référentiel est à jour.

Conditions générales d'utilisation de la plateforme d'impression et de numérisation

2020-03-27T11:06:20Z

Description des conditions générales d'utilisation de la plateforme d'impression et de numérisation de CRIStAL

Remarques préliminaires

Cette plateforme est réservée aux travaux liés à votre fonction au sein de CRIStAL, elle ne peut être utilisée pour vos autres travaux (pédagogie, etc ...)
Cette plateforme, réservée aux membres de l'unité, utilise le service d'authentification CRIStAL (le même que celui de la connexion à l'intranet CRIStAL).

Conditions générales d'utilisation

Pour pouvoir imprimer depuis vos postes informatiques, vous devez avoir
- un compte CRIStAL
- une carte CMS, celle qui vous permet d'accéder au Bâtiment Esprit.

Données à caractère personnel

Les informations recueillies sont enregistrées dans un fichier informatisé par CRIStAL. Ces données font l'objet d'un traitement informatique destiné à la gestion des impressions et à la numérisation de documents.
Les destinataires des données sont les membres du pôle informatique et technique de CRIStAL (PIT).

Les informations collectées ne sont conservées que durant votre période d'activité au sein de l'unité et pour une durée ne pouvant excéder 13 mois à la suite de votre départ. La finalité est de :

limiter l'exploitation de la plateforme aux seuls membres de CRIStAL,
générer des rapports pour l'analyse de l'utilisation de la plateforme (volumétrie, coût, etc.),
assurer la sécurité et le bon fonctionnement.

Conformément à la Loi Informatique et Libertés du 6 janvier 1978 modifiée et au Réglement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, toute personne peut obtenir communication et, le cas échéant, rectification ou suppression des informations le concernant, en s'adressant au Secrétaire Général de CRIStAL. Pour toute autre question, vous avez la possibilité de contacter notre délégué à la protection des données.

Liens

Conditions générales d'utilisation de la plateforme Gitlab/Mattermost de CRIStAL

2020-03-17T13:53:36Z

Description des conditions d'utilisation de la plateforme de test Mattermost de CRIStAL

Remarques préliminaires

Mattermost est un service de discussion instantanée mis à disposition temporairement pendant la crise du COVID-19 pour les membres de l'unité. Ce service est en phase de test. Il peut donc être sujet à des interruptions ou à la perte de données. Il est hébergé sur l'infrastructure de service de l'unité CRIStAL.

Ce service utilise le service d'identification/authentification du service Gitlab CRIStAL.

Pour les membres de l'unité, l'identifiant Gitlab est celui de CRIStAL (le même que celui de la connexion à l'intranet CRIStAL).
Pour les extérieurs, l'identifiant est celui définit dans la procédure de demande d'enregistrement du service Gitlab CRIStAL.

Ce service sera réinitialisé à la fin de la période de crise. En particulier, l'intégralité des conversations sera supprimée.

Conditions générales d'utilisation

Votre compte Gitlab/Mattermost

Vous ne pouvez pas utiliser votre compte en violation de toute loi ou politique instituée par l'entité CRIStAL qui vous donne accès à ce service.

Responsabilité des Contributeurs

Si vous choisissez de mettre du contenu à disposition sur la plateforme Mattermost, vous devez vous assurer que les points suivants sont bien respectés :

le téléchargement, la copie et l'utilisation du contenu ne porteront pas atteinte aux droits de propriété, incluant, mais sans s'y limiter, les droits d'auteur, les brevets, les marques ou les secrets commerciaux, de tout tiers ;
le contenu n'est pas pornographique, ne contient pas de menaces ou n'incite pas à la violence, et ne viole ni la vie privée ni les droits à l'image d'un tiers ;

Mentions Légales

Les informations recueillies sont enregistrées dans un fichier informatisé par CRIStAL. Ces données font l'objet d'un traitement informatique destiné à faciliter la communication entre les membres de CRIStAL et des personnes invitées extérieures à CRIStAL. Les destinataires des données sont les utilisateurs autorisés du service Mattermost et les membres du Pôle Informatique et Technique (PIT) de CRIStAL.