Les systèmes d'information présentent des vulnérabilités liées à diverses menaces qui peuvent être environnementales, intrinsèques, humaines. Leurs impacts peuvent être nombreux comme provoquer l’impossibilité d’assurer certaines missions essentielles. Le ministère a mis en place des mesures pour protéger la circulation et le stockage des informations électroniques afin de garantir la continuité de son activité.

Menaces et vulnérabilités des systèmes d'information

Qu'ils soient utilisés en local ou par l'intermédiaire des réseaux de télécommunications, les systèmes d'information présentent des vulnérabilités liées à diverses menaces dont les sources peuvent être environnementales (météo, incendie, etc.), intrinsèques (conception, technologies, etc.) mais aussi humaines (externes, internes, délibérées, par erreur ou par négligence). Ces vulnérabilités sont multipliées avec :

• la banalisation, la complexité, l'automatisme et le nombre d'utilisateurs de ces systèmes, ainsi qu'avec le volume et la diversité des informations traitées,
• le partage d'infrastructures communes qui rendent le système de liaison plus complexe : réseaux haut débit métropolitains ou régionaux, intranet des académies très étendu, usages nomades via les environnements numériques de travail,
• des utilisateurs très hétérogènes : élèves mineurs, élèves et étudiants majeurs, enseignants, parents d'élèves, personnels administratifs, fournisseurs et partenaires, collectivités territoriales.
  

Les enjeux

Les incidents de sécurité sur les systèmes d’informations sont de nature à prendre connaissance, altérer, et détruire des informations sensibles. Leurs impacts peuvent aller de la simple difficulté de fonctionnement d’un service durant quelques heures, au vol de données à caractère personnel, à la dégradation de l’image de l’institution et de la confiance en ses télé-services, à l’atteinte à des personnes notamment à des mineurs, jusqu'à l'impossibilité d’assurer certaines missions essentielles.

La circulation et le stockage des informations électroniques doivent être protégées pour garantir la continuité de l'activité du ministère. Les enjeux sont importants en raison du nombre de personnes concernées : environ 1,2 millions d'élèves et apprentis, 1million de personnels enseignants et administratifs, 66 000 écoles, collèges et lycées.

Les solutions de protection des systèmes d'information

Pour assurer la sécurité des systèmes d'information du ministère, une chaîne fonctionnelle de sécurité a été mise en place avec pour point d’entrée le haut fonctionnaire de défense et de sécurité (H.F.D.S.) du ministère assisté d’un fonctionnaire de sécurité des systèmes d'information (F.S.S.I.). Celui-ci en lien avec le service des technologies et des systèmes d'information (S.T.S.I.) est relayé par un réseau des responsables de la sécurité des systèmes d'information (R.S.S.I.) rattachés fonctionnellement à chaque recteur d’académie en qualité d’autorité qualifiée pour la sécurité des systèmes d’information (A.Q.S.S.I).

Les R.S.S.I. sont au cœur du dispositif. Leurs missions principales sont les suivantes :

• constituer et coordonner un réseau interne de correspondants de sécurité (dans les inspections d'académie, les établissements publics locaux d'enseignement (E.P.L.E.), les autres composantes académiques) ;
• mettre en place les plans de sécurité adaptés aux établissements et aux services, en cohérence avec le cadre commun de la sécurité des systèmes d'informations et de télécommunications ; 
• organiser le référencement des sites dangereux ou illicites au niveau de l’académie et assurer la mise à jour des dispositifs de filtrage ;
• contrôler régulièrement le niveau de sécurité du système d’information par l’évaluation des risques résiduels ;
• informer et sensibiliser les utilisateurs du système d’information aux problématiques de la sécurité ;
• améliorer la sécurité des systèmes d'information par une veille technologique active ainsi que par une participation aux groupes de réflexion ad hoc ;
• assurer la coordination avec les différents organismes concernés.

La sensibilisation et la formation de tous les acteurs de l’organisation des systèmes d’information est une des conditions essentielles du bon niveau de sécurité et de confiance :

• le Brevet Informatique Internet (B.2.I.) constitue une sensibilisation de premier niveau des élèves (école, collège, lycée) à la notion de sécurité des systèmes d’information ;
  
• des chartes destinées à sensibiliser les élèves et les personnels du ministère de l’Éducation nationale, rappellent les droits et devoirs des usagers internes et externes à l’institution ;
• le ministère participe aux exercices interministériels de crise afin de tester l’organisation de la protection de ses systèmes d’information, en application du plan gouvernemental PIRANET.

Le ministère de l'Éducation nationale autorité de certification

Le ministère de l’Éducation nationale a rejoint officiellement le cercle des autorités de certification de confiance le 20 novembre 2008, au cours d’une cérémonie de signature de son certificat électronique par la direction centrale de la sécurité des systèmes d’information (D.C.S.S.I.), l’autorité de certification de l’État.

Un certificat électronique est une carte d’identité numérique qui identifie de façon certaine un équipement, un téléservice, une personne.

Son utilisation permet de contribuer avec un très haut niveau de confiance à la sécurisation des échanges de données avec l’usager et d’autres ministères ou administrations.

Cette confiance est rendue possible par une infrastructure de gestion de clés cryptographiques et un chiffrement qui garantissent l’intégrité et la confidentialité des traitements et des données. De multiples applications informatiques pourront ainsi être sécurisées, comme la gestion de la scolarité de l’élève ou les inscriptions aux examens et concours.