Passer au contenu principal

Responsabilités

image.png

Le Centre Informatique (Ci) de l'université de Lausanne fournit une plateforme web permettant la création et la gestion de machines virtuelles (VM). Cette plateforme nommée Aria, se base sur la solution Aria Automation de VMware.

Aria vous permet d'automatiser la création de VMs, sans avoir à déployer le système d'exploitation ou sans avoir à  demander au Ci de faire l'installation. Des templates ont été configurés et automatisés en amont par le Ci, et vous pouvez déployer des VMs en utilisant les tuiles mises à votre disposition.
Aria offre également la possibilité de gérer le cycle de vie des machines virtuelles existantes.

Le Ci gère et contrôle toutes ces briques permettant à la plateforme de fonctionner correctement.

Aria adopte un modèle de responsabilités partagées. Le modèle de responsabilités partagées définit les rôles et responsabilités en matière de sécurité et de conformité entre vous et le Ci. Ce modèle vise à garantir que les applications et les données hébergées sur la plateforme Aria sont sécurisées et conformes aux réglementations applicables. Ce modèle sépare les responsabilités en 2 parties : la sécurité de l'infrastructure hebergeant les machines virtuelles (VMs) et la sécurité dans les VMs, elles-mêmes.

Sécurité de l'infrastructure (responsabilité du Ci) : En tant que fournisseur de services, le Ci est responsable de la protection des infrastructures qui exécutent les services de notre plateforme.

Cela inclut le matériel, les logiciels, le réseau, ainsi que les installations physiques des centres de données. Le Ci est également responsable de la maintenance, de la gestion des incidents de sécurité et de la conformité réglementaire au niveau de l'infrastructure.

Sécurité "dans" les VMs (responsabilité du client, votre responsabilité) : Les clients de la plateforme Aria sont responsables de la sécurité de tout ce qu'ils mettent en place ou configurent dans leurs machines virtuelles. Cela inclut la gestion des applications, des mises à jour, des données et des contrôles d'accès, ainsi que le chiffrement et la conformité réglementaire au niveau des applications et des données.

Les clients qui utilisent Aria sont responsables de la sécurité de leurs propres VMs. 

Pour assurer une sécurité optimale, les clients doivent suivre les bonnes pratiques de l'industrie en matière de sécurité et de conformité. Ils doivent également s'assurer de mettre en place des politiques de sécurité appropriées pour protéger leurs applications et données hébergées par Aria sur notre infrastructure.

Les clients sont tenus de signaler immédiatement à l'université de Lausanne toute violation de sécurité ou tentative d'attaque sur leurs VMs.

En cas de violation de la sécurité qui a été causée par un client, celui-ci est tenu de collaborer pleinement avec l'université de Lausanne pour enquêter sur l'incident et remédier à la situation.

En résumé, le Ci est responsable de la sécurité de l'infrastructure sous-jacente, tandis que les clients sont responsables de la sécurité de leurs données, applications et ressources qu'ils mettent en place dans Aria.