E Sensibilisation sur la sécurité des systèmes dinformation - 1/24 - Le cadre délaboration Le...
-
Upload
claire-valentin -
Category
Documents
-
view
103 -
download
0
Transcript of E Sensibilisation sur la sécurité des systèmes dinformation - 1/24 - Le cadre délaboration Le...
ESensibilisation sur la sécurité des systèmes d’information
- 1/24 -
Le cadre d’élaborationLe contexte existant
Les travaux programmés
Présentation du Schéma Directeur de la sécurité des
systèmes d’information
E- 2/24 -
Sommaire
I. [Le cadre d’élaboration]
I.1 Les enjeux
I.2 Les objectifs
II. [Le contexte existant]
II.1 Une population sensible
II.2 Un système d’information complexe
II.3 Un réseau informatique étendu
III. [Les travaux programmés]
E- 3/24 -
Environnements Numériques de Travail Identité numérique B2I et C2I Administration électronique
II. Le cadre d’élaborationLes enjeux
Les enjeuxOffrir un service public d’enseignementservice public d’enseignement reposant sur des systèmes d’information sécuriséssystèmes d’information sécurisés
Enjeux métier École : Sujet sensible
Fournir un cadre protecteurcadre protecteur pour l’utilisation des technologies de l’information et de la communication
Développer les conditions d’une confiance accrueconfiance accrue pour les futurs services dématérialisés
Enjeux qualité Qualité du service public
Anticiper les situations de criseAnticiper les situations de crise (sinistre, malveillance ..) par la mise en place d’une organisation adéquate
Enjeux humain Mutualisation des compétences
Enjeux légaux Respect de la loi
Concilier l’ouverture de nouveauxnouveaux servicesservices et garantir la confidentialitéconfidentialité desdes échangeséchanges avec la sécurité des systèmes d ’informations
E- 4/24 -
II. Le cadre d’élaborationLes objectifs
Les objectifsFormaliser des orientations communesFormaliser des orientations communes de sécurité dans le SDS SI pour garantir un niveau de sécurité adéquat du point de vue réglementaire, organisationnel et technique
Objectif systémique
Définir une organisation et des règles de Définir une organisation et des règles de fonctionnementfonctionnement mobilisables à tout moment Objectif
d’efficience
Garantir la pérennité des applications et des Garantir la pérennité des applications et des donnéesdonnées par une prise en compte continue des besoins et des objectifs de sécurité
Objectif de qualité de service
Objectif culturel
Sensibiliser les acteursSensibiliser les acteurs à la valeur des actifs informationnels, aux risques associés et à l’importance du facteur humain dans la sécurité des systèmes d’information
E- 5/24 -
Sommaire
I. [Le cadre d’élaboration]
I.1 Les enjeux
I.2 Les objectifs
II. [Le contexte existant]
II.1 Une population sensible
II.2 Un système d’information complexe
II.3 Un réseau informatique étendu
III. [Les travaux programmés]
E- 6/24 -
III. Le contexte existantUne population sensible
Article 227-24 du Code pénal (protection des mineurs contre les contenus violents ou pornographiques)Article R 621-2 du Code pénal (injure non publique)Articles 24 et 26 bis de la loi du 29 juillet 1881 (diffusion de contenus à caractère raciste ou antisémite)
Responsabilité administrative de l’Etat
(source http: //www.educnet.education.fr )
Le Conseil d’État est seul compétent pour ce type de litige qui implique de porter une appréciation sur le fonctionnement de l’administration. A titre d’exemple, la violation par un établissement scolaire d’une règle de droit ou une négligence, une erreur, une omission dans le fonctionnement du service (aucun système de filtrage sur les postes informatiques) sont des situations qui engagent la responsabilité administrative de l’État, des collectivités publiques ou des établissements publics.
E- 7/24 -
III. Le contexte existantUn SI complexe
CARTE DES SYSTEMES D’INFORMATION
CENTRALECENTRALE
EPLEEPLERECTORATRECTORAT
Inspection académiqueInspection académique
CROUSCROUS
DOMAINES
transversal
GRH
Elèves
Financier
Pilotage BCE
PEGASE
Action sociale
Pension
GAIA
Payeétab.
EPP29
SENORITA
AGORA29 Pension
GESICA ANTARES
PAYE
CNE
AFR
PAYE
Scolarité
AGLAEOPALES
MEDSI
SAGESSE
BALI
ABCSTAT1
IVA
IVA
OCEAN
GEP
JURY
KHEOPS
ISIS
KHEOPS
restaurationVERCORS
GFC
calibres
Base relais
SISE BCP
IPES
ADAGIO
Annuaire EPPprivé
Annuaire EPP
AGADESCOFI
pilotages
annuaire
annuaire
annuaireEPPprivé
AGORA
COFIpilotages
IPES
STAGE
AGORAac
POPPEEbib
POPPEEitarf
GESUP
annuaire
syntaxe
TG
AGAPEprivé
EPI
ETIC
RAMSESE
GAIA
violence
accidents
violence
accidents
ETIC
EPI
APEOCEAN
I-Prof
EPP
Commissiondépartementaled'éducation spéciale
AGADESCO
TG
TG
TG
CAF
TG
I-ProfAGAPE
Annuaire AGORA
AGAPE101
IPES
Annuaire AGAPE
BCN
Infocentre ministérielInfocentre ministériel
E- 8/24 -
GESTION DES RESSOURCES HUMAINES
E- 9/24 -
LES ELEVES
E- 10/24 -
DOMAINE FINANCIER
E- 11/24 -
PILOTAGE
E- 12/24 -
Internet / RenaterRéseaux Régionaux
III. Le contexte existantUn réseau informatique étendu
EPLE
EPLERacine 1Racine AgriatesRacine API
RectoratRectorat
InspectionAcadémique
Réseau public
Université
E- 13/24 -
III. Le contexte existantUne problématique centrale : l’identité numérique
Le besoin– Identifier et authentifier les accès (postes, personnes)– Proportionner les moyens en fonction des risques– Simplifier les accès (notion de Single Sign On)
Les moyens disponibles– L’identifiant (numen, adresse mél, …)– L’authentifiant faible (mot de passe)– L’authentifiant Fort (clé USB, carte à puce, empreinte
numérique, …)
La mise en œuvre– Applications utilisées en interne Racine : mot de passe– Applications ouvertes sur l’extérieur : authentifiant Fort– On authentifie le poste de travail (ex: finances) ou l’individu (ex:
demande de promotion, de mutation …)
E- 14/24 -
Sommaire
I. [Le cadre d’élaboration]
I.1 Les enjeux
I.2 Les objectifs
II. [Le contexte existant]
II.1 Une population sensible
II.2 Un système d’information complexe
II.3 Un réseau informatique étendu
III. [Les travaux programmés]
E- 15/24 -
IV.Les travaux programmésPlan d’actions 2004-2007
1. [ Mise en place d’un référentiel de sécurité ]
2. [ Mise en place d’une chaîne d’alerte et de responsabilité ]
3. [ Conception de dispositifs de sensibilisation à la SSI ]
4. [ Élaboration de chartes de portée nationale ]
5. [ Mise en place du carnet de sécurité des SI ]
6. [ Mise en cohérence des dispositifs SSI et veille technique ]
7. [ Mutualisation des dispositifs techniques et méthodologiques]
E- 16/24 -
IV.Les travaux programmés Mise en place d’un référentiel de sécurité
Politique Générale de Sécurité
Règles générales de sécuritédu système d’information :
Cadre Commun
Règles générales de sécuritédu système d’information :
Cadre Commun
Schéma directeur de la Sécurité des systèmes d’information :
SDS SI
Schéma directeur de la Sécurité des systèmes d’information :
SDS SI
Charte Administrateur de SI et de réseau
Charte Administrateur de SI et de réseau
Charte Personnels de l’éducation nationale
Charte Personnels de l’éducation nationale
Guide technique d’utilisation des TIC
Guide technique d’utilisation des TIC Charte ÉlèveCharte Élève
Annexe juridique relative à l’usage
des SI
Annexe juridique relative à l’usage
des SI Référentiel Thématique
Sécurité du réseau
Gestion des habilitations
Sécurité des données
Politique de Certification des Clés (PC²)
Déclaration des pratiques de certifications (DPC)
Livre blanc de l’exploitation…
Référentiel Thématique
Sécurité du réseau
Gestion des habilitations
Sécurité des données
Politique de Certification des Clés (PC²)
Déclaration des pratiques de certifications (DPC)
Livre blanc de l’exploitation…P2SI type (plans de Sécurité SI)
(Règles de sécurité spécifiques aux environnements et plates-formes par sphères)
P2SI type (plans de Sécurité SI) (Règles de sécurité spécifiques aux
environnements et plates-formes par sphères)
Contrats de serviceCCTP
Contrats de serviceCCTP
Méthode d'intégration de la sécurité dans les projets
informatiques (EBIOS light)
Méthode d'intégration de la sécurité dans les projets
informatiques (EBIOS light)
Règles d'administrationet d’utilisation
Règles d'administrationet d’utilisation
E- 17/24 -
Chaîne fonctionnelle de la sécurité des systèmes d’information (SSI)
IV.Les travaux programmés Mise en place d’une chaîne d’alerte et de responsabilité
Selon la recommandation interministérielle n° 901 sur la protection des systèmes d’information traitant des informations sensibles non classifiées de défense
Le premier ministre
(Corresp.technique de la SSI) CTS
SD
S S
I
Les ministre et ministre délégué
(Directions opérationelles) DPMA-DR-DT
(Personne juridiquement responsable) PJR Recteur, Président d’université,
Inspecteur d’Académie, Chef d’Établissement
(Responsable de la SSI) RSSI Nommé par la PJR
HFD (haut fonctionnaire de défense) IGI n° 90
1
SGDN/DCSSI/CERT-A
FSSI (fonctionnaire de la SSI)
AQSSI (autorité qualifiée pour la SSI)
ASSI (agent de la SSI)
E- 18/24 -
IV.Les travaux programmés Des responsabilités partagées
Les rôles de la maîtrise d’ouvrage– Définir les enjeux liés à la sécurité des SI– Identifier les éléments essentiels (informations, fonctions) à
protéger– Exprimer les besoins en termes de disponibilité, intégrité,
confidentialité– Fournir la liste des usagers du SI considéré et leurs droits associés– Organiser une étude sur les menaces pesant sur les SI
Les rôles de la maîtrise d’œuvre– Répondre aux besoins exprimés par la MOA– Fournir les éléments nécessaires à la prise de décision (méthodes,
accompagnement, estimation de coûts et de difficulté de mise en œuvre, …)
– Formaliser les mesures de sécurité et évaluer les risques non couverts
– Faire valider ses préconisations par la MOA
E- 19/24 -
3 niveaux de sensibilisation à la SSI :
DécideursDécideurs académiquesacadémiques
Séminaires d’une journée dans les 30 académies (DPMA)
• Sensibilisation juridique et aux enjeux de la SSI
•Présentation du SDS SI et retour d’expérience académique
Chefs Chefs d’établissementsd’établissements
Séminaires de sensibilisations à la SSI organisés par les services déconcentrés sous la responsabilité du RSSI dans chacune des académies –RECTEUR-SG –RSSI
• Sensibilisation juridique et aux enjeux de la SSI
• Personnels Personnels • élèvesélèves
• étudiantsétudiants
• Sensibilisation SSI à insérer dans le catalogue des CAFA
• Préparation d’un dispositif ad hoc dans le PNP (DPMA)
• Élèves : sensibilisation SSI dans le B2I (DT-DESCO-CTICE)
• Étudiants : sensibilisation SSI dans le C2I (DES - DT)
IV.Les travaux programmés Conception de dispositifs de sensibilisation à la SSI
E- 20/24 -
Comité de relectureCNIL
Cabinets Avocats Spécialisés
Directions Fonctionnelles Direction des Affaires Juridiques
COPIL SDS SI Juin 2003
Groupe “Ethique et Juridique”
Élaboration / validation
Expertise / validation
Analyse / Avis / assistance
IV.Les travaux programmés Élaboration de chartes de portée nationale
Charte ÉlèveCharte Élève
Charte « Personnels de l’éducation nationale »
Charte « Administrateur de SI et de réseau »
E- 21/24 -
Conception des systèmes d’information :Principe : « la sécurité doit être prise en compte tout au long du
cycle de vie du système information »
Le carnet de sécurité : • Un outil collaboratif qui suit le système d ’information dans les différentes étapes de son élaboration• Une base de connaissances consultable par tous les acteurs
• MOA• MOE• Niveau opérationnel (production, correspondant sécurité …)
Expressions des
besoinsen matière de
sécurité
Cahier de
spécifications
prise en compte
des besoins dans
le système
(code…)
Architectures
techniques
authentification
forte, passerelle
de sécurité,…
Dossier CNIL
Mise enproduction
Préconisations
particulières de
mise en exploitation
IV.Les travaux programmés Mise en place du carnet de sécurité des SI
E- 22/24 -
IV.Les travaux programmés Mise en cohérence des dispositifs SSI et veille technique
Applicatifs MétiersÉlément d’intendance (Serveurs bureautiques, plate-forme d’administration)
Postes de travail
DMZ (Zone d’échanges)
mur externe (Firewall y)
mur interne (Firewall x)
Serveurs accessibles de l’extérieur(web grand public, ftp public)
Sas (proxy)
Réseau sécurisé« Domaine 3 »de confiance
« Domaine 2 » de confiance
Remarque :• Cette modélisation ne signifie pas que l’extérieur du domaine de confiance est Internet, les réseaux sécurisés et les VPN sont sur Internet.• Un Firewall est composé d’un Filtre réseau, un Filtre applicatif• Les nomades sont dans le domaine de confiance.
Centre pédagogique
!
!
Antivirus,Filtre réseau,Filtre http
Serveur d’authentification RadiusUtilisateurs nomades éventuels
!Attaque repoussée par le premier Firewall!
Attaque repoussée par le deuxième Firewall
E- 23/24 -
Centre de repliCentre de repliRectorat Rectorat
de Nancy-Metzde Nancy-Metz
Centre de surveillanceCentre de surveillanceet d’alerte Rectorat et d’alerte Rectorat
de Nancy-Metzde Nancy-Metz
Centre d’ingénierie Centre d’ingénierie SSI Rectorat SSI Rectorat
d’Aix-Marseilled’Aix-Marseille
Cadre communCadre communde la sécuritéde la sécurité
Méthodologie Méthodologie d’expression d’expression des besoins des besoins de sécuritéde sécurité
Plan de sécurité Plan de sécurité type des systèmes type des systèmes
d’informationd’information
SDS SISDS SI
IV.Les travaux programmés Mutualisation des dispositifs techniques et méthodologiques
ESensibilisation sur la sécurité des systèmes d’information
- 24/24 -
En conclusion
Chacun à son niveau est porteur de la démarche et responsable vis-à-vis de la loi
La sécurité, c’est 1/3 de technique et 2/3 d’organisation
La sécurité est au service des processus métier
Le SDS SI : un ensemble d’outils pour vous aider
En coordination avec la chaîne fonctionnelle
et la chaîne opérationnelle
[email protected]@aql.fr
Consultant de la société Silicomp-AQL
Tél.:+33 (0)2 99 12 50 00+33 (0)6 80 61 41 51
[email protected]@aql.fr
Consultant de la société Silicomp-AQL
Tél.:+33 (0)2 99 12 50 00+33 (0)6 80 61 41 51
Support réalisé en collaboration avec les services de la DPMA/A3
Tél : +33 (0)1 55 55 36 42