ESensibilisation sur la sécurité des systèmes d’information

- 1/24 -

Le cadre d’élaborationLe contexte existant

Les travaux programmés

Présentation du Schéma Directeur de la sécurité des

systèmes d’information

E- 2/24 -

Sommaire

I. [Le cadre d’élaboration]

I.1 Les enjeux

I.2 Les objectifs

II. [Le contexte existant]

II.1 Une population sensible

II.2 Un système d’information complexe

II.3 Un réseau informatique étendu

III. [Les travaux programmés]

E- 3/24 -

Environnements Numériques de Travail Identité numérique B2I et C2I Administration électronique

II. Le cadre d’élaborationLes enjeux

Les enjeuxOffrir un service public d’enseignementservice public d’enseignement reposant sur des systèmes d’information sécuriséssystèmes d’information sécurisés

Enjeux métier École : Sujet sensible

Fournir un cadre protecteurcadre protecteur pour l’utilisation des technologies de l’information et de la communication

Développer les conditions d’une confiance accrueconfiance accrue pour les futurs services dématérialisés

Enjeux qualité Qualité du service public

Anticiper les situations de criseAnticiper les situations de crise (sinistre, malveillance ..) par la mise en place d’une organisation adéquate

Enjeux humain Mutualisation des compétences

Enjeux légaux Respect de la loi

Concilier l’ouverture de nouveauxnouveaux servicesservices et garantir la confidentialitéconfidentialité desdes échangeséchanges avec la sécurité des systèmes d ’informations

E- 4/24 -

II. Le cadre d’élaborationLes objectifs

Les objectifsFormaliser des orientations communesFormaliser des orientations communes de sécurité dans le SDS SI pour garantir un niveau de sécurité adéquat du point de vue réglementaire, organisationnel et technique

Objectif systémique

Définir une organisation et des règles de Définir une organisation et des règles de fonctionnementfonctionnement mobilisables à tout moment Objectif

d’efficience

Garantir la pérennité des applications et des Garantir la pérennité des applications et des donnéesdonnées par une prise en compte continue des besoins et des objectifs de sécurité

Objectif de qualité de service

Objectif culturel

Sensibiliser les acteursSensibiliser les acteurs à la valeur des actifs informationnels, aux risques associés et à l’importance du facteur humain dans la sécurité des systèmes d’information

E- 5/24 -

Sommaire

I. [Le cadre d’élaboration]

I.1 Les enjeux

I.2 Les objectifs

II. [Le contexte existant]

II.1 Une population sensible

II.2 Un système d’information complexe

II.3 Un réseau informatique étendu

III. [Les travaux programmés]

E- 6/24 -

III. Le contexte existantUne population sensible

Article 227-24 du Code pénal (protection des mineurs contre les contenus violents ou pornographiques)Article R 621-2 du Code pénal (injure non publique)Articles 24 et 26 bis de la loi du 29 juillet 1881 (diffusion de contenus à caractère raciste ou antisémite)

Responsabilité administrative de l’Etat

(source http: //www.educnet.education.fr )

Le Conseil d’État est seul compétent pour ce type de litige qui implique de porter une appréciation sur le fonctionnement de l’administration. A titre d’exemple, la violation par un établissement scolaire d’une règle de droit ou une négligence, une erreur, une omission dans le fonctionnement du service (aucun système de filtrage sur les postes informatiques) sont des situations qui engagent la responsabilité administrative de l’État, des collectivités publiques ou des établissements publics.

E- 7/24 -

III. Le contexte existantUn SI complexe

CARTE DES SYSTEMES D’INFORMATION

CENTRALECENTRALE

EPLEEPLERECTORATRECTORAT

Inspection académiqueInspection académique

CROUSCROUS

DOMAINES

transversal

GRH

Elèves

Financier

Pilotage BCE

PEGASE

Action sociale

Pension

GAIA

Payeétab.

EPP29

SENORITA

AGORA29 Pension

GESICA ANTARES

PAYE

CNE

AFR

PAYE

Scolarité

AGLAEOPALES

MEDSI

SAGESSE

BALI

ABCSTAT1

IVA

IVA

OCEAN

GEP

JURY

KHEOPS

ISIS

KHEOPS

restaurationVERCORS

GFC

calibres

Base relais

SISE BCP

IPES

ADAGIO

Annuaire EPPprivé

Annuaire EPP

AGADESCOFI

pilotages

annuaire

annuaire

annuaireEPPprivé

AGORA

COFIpilotages

IPES

STAGE

AGORAac

POPPEEbib

POPPEEitarf

GESUP

annuaire

syntaxe

TG

AGAPEprivé

EPI

ETIC

RAMSESE

GAIA

violence

accidents

violence

accidents

ETIC

EPI

APEOCEAN

I-Prof

EPP

Commissiondépartementaled'éducation spéciale

AGADESCO

TG

TG

TG

CAF

TG

I-ProfAGAPE

Annuaire AGORA

AGAPE101

IPES

Annuaire AGAPE

BCN

Infocentre ministérielInfocentre ministériel

E- 8/24 -

GESTION DES RESSOURCES HUMAINES

E- 9/24 -

LES ELEVES

E- 10/24 -

DOMAINE FINANCIER

E- 11/24 -

PILOTAGE

E- 12/24 -

Internet / RenaterRéseaux Régionaux

III. Le contexte existantUn réseau informatique étendu

EPLE

EPLERacine 1Racine AgriatesRacine API

RectoratRectorat

InspectionAcadémique

Réseau public

Université

E- 13/24 -

III. Le contexte existantUne problématique centrale : l’identité numérique

Le besoin– Identifier et authentifier les accès (postes, personnes)– Proportionner les moyens en fonction des risques– Simplifier les accès (notion de Single Sign On)

Les moyens disponibles– L’identifiant (numen, adresse mél, …)– L’authentifiant faible (mot de passe)– L’authentifiant Fort (clé USB, carte à puce, empreinte

numérique, …)

La mise en œuvre– Applications utilisées en interne Racine : mot de passe– Applications ouvertes sur l’extérieur : authentifiant Fort– On authentifie le poste de travail (ex: finances) ou l’individu (ex:

demande de promotion, de mutation …)

E- 14/24 -

Sommaire

I. [Le cadre d’élaboration]

I.1 Les enjeux

I.2 Les objectifs

II. [Le contexte existant]

II.1 Une population sensible

II.2 Un système d’information complexe

II.3 Un réseau informatique étendu

III. [Les travaux programmés]

E- 15/24 -

IV.Les travaux programmésPlan d’actions 2004-2007

1. [ Mise en place d’un référentiel de sécurité ]

2. [ Mise en place d’une chaîne d’alerte et de responsabilité ]

3. [ Conception de dispositifs de sensibilisation à la SSI ]

4. [ Élaboration de chartes de portée nationale ]

5. [ Mise en place du carnet de sécurité des SI ]

6. [ Mise en cohérence des dispositifs SSI et veille technique ]

7. [ Mutualisation des dispositifs techniques et méthodologiques]

E- 16/24 -

IV.Les travaux programmés Mise en place d’un référentiel de sécurité

Politique Générale de Sécurité

Règles générales de sécuritédu système d’information :

Cadre Commun

Règles générales de sécuritédu système d’information :

Cadre Commun

Schéma directeur de la Sécurité des systèmes d’information :

SDS SI

Schéma directeur de la Sécurité des systèmes d’information :

SDS SI

Charte Administrateur de SI et de réseau

Charte Administrateur de SI et de réseau

Charte Personnels de l’éducation nationale

Charte Personnels de l’éducation nationale

Guide technique d’utilisation des TIC

Guide technique d’utilisation des TIC Charte ÉlèveCharte Élève

Annexe juridique relative à l’usage

des SI

Annexe juridique relative à l’usage

des SI Référentiel Thématique

Sécurité du réseau

Gestion des habilitations

Sécurité des données

Politique de Certification des Clés (PC²)

Déclaration des pratiques de certifications (DPC)

Livre blanc de l’exploitation…

Référentiel Thématique

Sécurité du réseau

Gestion des habilitations

Sécurité des données

Politique de Certification des Clés (PC²)

Déclaration des pratiques de certifications (DPC)

Livre blanc de l’exploitation…P2SI type (plans de Sécurité SI)

(Règles de sécurité spécifiques aux environnements et plates-formes par sphères)

P2SI type (plans de Sécurité SI) (Règles de sécurité spécifiques aux

environnements et plates-formes par sphères)

Contrats de serviceCCTP

Contrats de serviceCCTP

Méthode d'intégration de la sécurité dans les projets

informatiques (EBIOS light)

Méthode d'intégration de la sécurité dans les projets

informatiques (EBIOS light)

Règles d'administrationet d’utilisation

Règles d'administrationet d’utilisation

E- 17/24 -

Chaîne fonctionnelle de la sécurité des systèmes d’information (SSI)

IV.Les travaux programmés Mise en place d’une chaîne d’alerte et de responsabilité

Selon la recommandation interministérielle n° 901 sur la protection des systèmes d’information traitant des informations sensibles non classifiées de défense

Le premier ministre

(Corresp.technique de la SSI) CTS

SD

S S

I

Les ministre et ministre délégué

(Directions opérationelles) DPMA-DR-DT

(Personne juridiquement responsable) PJR Recteur, Président d’université,

Inspecteur d’Académie, Chef d’Établissement

(Responsable de la SSI) RSSI Nommé par la PJR

HFD (haut fonctionnaire de défense) IGI n° 90

1

SGDN/DCSSI/CERT-A

FSSI (fonctionnaire de la SSI)

AQSSI (autorité qualifiée pour la SSI)

ASSI (agent de la SSI)

E- 18/24 -

IV.Les travaux programmés Des responsabilités partagées

Les rôles de la maîtrise d’ouvrage– Définir les enjeux liés à la sécurité des SI– Identifier les éléments essentiels (informations, fonctions) à

protéger– Exprimer les besoins en termes de disponibilité, intégrité,

confidentialité– Fournir la liste des usagers du SI considéré et leurs droits associés– Organiser une étude sur les menaces pesant sur les SI

Les rôles de la maîtrise d’œuvre– Répondre aux besoins exprimés par la MOA– Fournir les éléments nécessaires à la prise de décision (méthodes,

accompagnement, estimation de coûts et de difficulté de mise en œuvre, …)

– Formaliser les mesures de sécurité et évaluer les risques non couverts

– Faire valider ses préconisations par la MOA

E- 19/24 -

3 niveaux de sensibilisation à la SSI :

DécideursDécideurs académiquesacadémiques

Séminaires d’une journée dans les 30 académies (DPMA)

• Sensibilisation juridique et aux enjeux de la SSI

•Présentation du SDS SI et retour d’expérience académique

Chefs Chefs d’établissementsd’établissements

Séminaires de sensibilisations à la SSI organisés par les services déconcentrés sous la responsabilité du RSSI dans chacune des académies –RECTEUR-SG –RSSI

• Sensibilisation juridique et aux enjeux de la SSI

• Personnels Personnels • élèvesélèves

• étudiantsétudiants

• Sensibilisation SSI à insérer dans le catalogue des CAFA

• Préparation d’un dispositif ad hoc dans le PNP (DPMA)

• Élèves : sensibilisation SSI dans le B2I (DT-DESCO-CTICE)

• Étudiants : sensibilisation SSI dans le C2I (DES - DT)

IV.Les travaux programmés Conception de dispositifs de sensibilisation à la SSI

E- 20/24 -

Comité de relectureCNIL

Cabinets Avocats Spécialisés

Directions Fonctionnelles Direction des Affaires Juridiques

COPIL SDS SI Juin 2003

Groupe “Ethique et Juridique”

Élaboration / validation

Expertise / validation

Analyse / Avis / assistance

IV.Les travaux programmés Élaboration de chartes de portée nationale

Charte ÉlèveCharte Élève

Charte « Personnels de l’éducation nationale »

Charte « Administrateur de SI et de réseau »

E- 21/24 -

Conception des systèmes d’information :Principe : « la sécurité doit être prise en compte tout au long du

cycle de vie du système information »

Le carnet de sécurité : • Un outil collaboratif qui suit le système d ’information dans les différentes étapes de son élaboration• Une base de connaissances consultable par tous les acteurs

• MOA• MOE• Niveau opérationnel (production, correspondant sécurité …)

Expressions des

besoinsen matière de

sécurité

Cahier de

spécifications

prise en compte

des besoins dans

le système

(code…)

Architectures

techniques

authentification

forte, passerelle

de sécurité,…

Dossier CNIL

Mise enproduction

Préconisations

particulières de

mise en exploitation

IV.Les travaux programmés Mise en place du carnet de sécurité des SI

E- 22/24 -

IV.Les travaux programmés Mise en cohérence des dispositifs SSI et veille technique

Applicatifs MétiersÉlément d’intendance (Serveurs bureautiques, plate-forme d’administration)

Postes de travail

DMZ (Zone d’échanges)

mur externe (Firewall y)

mur interne (Firewall x)

Serveurs accessibles de l’extérieur(web grand public, ftp public)

Sas (proxy)

Réseau sécurisé« Domaine 3 »de confiance

« Domaine 2 » de confiance

Remarque :• Cette modélisation ne signifie pas que l’extérieur du domaine de confiance est Internet, les réseaux sécurisés et les VPN sont sur Internet.• Un Firewall est composé d’un Filtre réseau, un Filtre applicatif• Les nomades sont dans le domaine de confiance.

Centre pédagogique

!

!

Antivirus,Filtre réseau,Filtre http

Serveur d’authentification RadiusUtilisateurs nomades éventuels

!Attaque repoussée par le premier Firewall!

Attaque repoussée par le deuxième Firewall

E- 23/24 -

Centre de repliCentre de repliRectorat Rectorat

de Nancy-Metzde Nancy-Metz

Centre de surveillanceCentre de surveillanceet d’alerte Rectorat et d’alerte Rectorat

de Nancy-Metzde Nancy-Metz

Centre d’ingénierie Centre d’ingénierie SSI Rectorat SSI Rectorat

d’Aix-Marseilled’Aix-Marseille

Cadre communCadre communde la sécuritéde la sécurité

Méthodologie Méthodologie d’expression d’expression des besoins des besoins de sécuritéde sécurité

Plan de sécurité Plan de sécurité type des systèmes type des systèmes

d’informationd’information

SDS SISDS SI

IV.Les travaux programmés Mutualisation des dispositifs techniques et méthodologiques

ESensibilisation sur la sécurité des systèmes d’information

- 24/24 -

En conclusion

Chacun à son niveau est porteur de la démarche et responsable vis-à-vis de la loi

La sécurité, c’est 1/3 de technique et 2/3 d’organisation

La sécurité est au service des processus métier

Le SDS SI : un ensemble d’outils pour vous aider

En coordination avec la chaîne fonctionnelle

et la chaîne opérationnelle

gilles.bizet@aql.frgilles.bizet@aql.fr

Consultant de la société Silicomp-AQL

Tél.:+33 (0)2 99 12 50 00+33 (0)6 80 61 41 51

gilles.bizet@aql.frgilles.bizet@aql.fr

Consultant de la société Silicomp-AQL

Tél.:+33 (0)2 99 12 50 00+33 (0)6 80 61 41 51

Support réalisé en collaboration avec les services de la DPMA/A3

Tél : +33 (0)1 55 55 36 42