Sécurité des systèmes d'information
Les systèmes d'information présentent des vulnérabilités liées à diverses menaces qui peuvent être environnementales, intrinsèques, humaines. Leurs impacts peuvent être nombreux comme provoquer l’impossibilité d’assurer certaines missions essentielles. Le ministère a mis en place des mesures pour protéger la circulation, le stockage et le traitement des informations électroniques afin de garantir la continuité de son activité.
Menaces et vulnérabilités des systèmes d'information
Qu'ils soient utilisés en local ou par l'intermédiaire des réseaux de télécommunications, les systèmes d'information présentent des fragilités liées à diverses menaces dont les sources peuvent être environnementales (météo, incendie, etc.), intrinsèques (conception, technologies, etc.) mais aussi humaines (externes, internes, délibérées, par erreur ou par négligence). Ces vulnérabilités sont multipliées avec :
- la banalisation, la complexité, l'automatisme et le nombre d'utilisateurs de ces systèmes, ainsi qu'avec le volume et la diversité des informations traitées,
- le partage d'infrastructures communes qui rendent le système de liaison plus complexe : réseaux haut débit métropolitains ou régionaux, intranet des académies très étendu, usages nomades via les environnements numériques de travail,
- des utilisateurs très hétérogènes : élèves mineurs, élèves et étudiants majeurs, enseignants, parents d'élèves, personnels administratifs, fournisseurs et partenaires, collectivités territoriales.
Les enjeux de la sécurité des systèmes d'information
Les incidents de sécurité sur les systèmes d’informations sont de nature à prendre connaissance, altérer, et détruire des informations sensibles. Leurs impacts peuvent aller de la simple difficulté de fonctionnement d’un service durant quelques heures, au vol de données à caractère personnel, à la dégradation de l’image de l’institution et de la confiance en ses télé-services, à l’atteinte à des personnes notamment à des mineurs, jusqu'à l'impossibilité d’assurer certaines missions essentielles.
La circulation, le stockage et le traitement des informations électroniques doivent être protégées pour garantir la continuité de l'activité du ministère. Les enjeux sont importants en raison du nombre de personnes concernées : environ 12 millions d'élèves et apprentis, 1 million de personnels enseignants et administratifs, 65 000 écoles, collèges et lycées.
La protection des systèmes d'information
Pour assurer la sécurité des systèmes d'information du ministère, il existe une chaîne fonctionnelle de sécurité reposant sur le haut fonctionnaire de défense et de sécurité (HFDS) du ministère assisté d’un fonctionnaire de sécurité des systèmes d'information (FSSI). Celui-ci en lien avec la direction du numérique pour l'éducation (DNE) est relayé par un réseau des responsables de la sécurité des systèmes d'information (RSSI) rattachés fonctionnellement à chaque recteur d’académie en qualité d’autorité qualifiée pour la sécurité des systèmes d’information (AQSSI). Le pilotage de la sécurité des systèmes d’information (S.S.I.) fait partie des attributions du haut fonctionnaire de défense et de sécurité fixées par les articles R 1143-1 et R 1143-8 du Code de la défense. L’organisation de la SSI est décrite dans des instructions pouvant être consultées sur le site de l'ANSSI.
Le HFDS est responsable de la diffusion, du suivi et du contrôle de la politique nationale de SSI devant être déployée par les responsables (AQSSI). .
Pour l’assister dans sa mission, il désigne un Fonctionnaire de la sécurité des systèmes d’information (FSSI) dont les principales fonctions sont :
- la prise en compte et la participation à la rédaction de la règlementation interministérielle,
- l’animation du pilotage ministériel de la SSI
- l’élaboration de la réglementation ministérielle
- le contrôle de l’application de la réglementation ministérielle
- l’action de la sensibilisation des AQSSI
- le déploiement et la maîtrise des moyens sécurisés de communication
- la rédaction d’un rapport annuel
Les AQSSI étant les responsables juridiques du périmètre concerné, c’est à leur niveau que s’exerce :
- la maîtrise d’ouvrage (définition des enjeux de sécurité liés aux systèmes d’information)
- la responsabilité de passer des actes contractuels (marchés publics)
- la responsabilité de mettre en place des organisations (comité de pilotage de la SSI, logistique de crise)
- les arbitrages budgétaires
- la possibilité, le cas échéant, d’intenter une action en justice
- Il désigne un RSSI pour l’assister
Le responsable de la sécurité des systèmes d’information (RSSI) est nommé et mandaté par l’AQSSI pour mettre en place la politique générale de sécurité des systèmes d’information. Le RSSI est le responsable opérationnel.
Les RSSI sont au cœur du dispositif. Leurs missions principales sont les suivantes :
- Animer localement le pilotage de la SSI
- constituer et coordonner un réseau interne de correspondants de sécurité
- mettre en place les plans de sécurité adaptés, en cohérence avec la politique de sécurité des systèmes d'information de l'Etat et les directives interministérielles
- contrôler régulièrement le niveau de sécurité du système d’information par l’évaluation des risques résiduels
- informer et sensibiliser les utilisateurs du système d’information aux problématiques de la sécurité
- améliorer la sécurité des systèmes d'information par une veille technologique active ainsi que par une participation aux groupes de réflexion ad hoc
- assurer la coordination avec les différents organismes concernés
La sensibilisation et la formation de tous les acteurs des systèmes d’information est une des conditions essentielles du bon niveau de sécurité et de confiance :
-
- le Brevet Informatique Internet (B2i) constitue une sensibilisation de premier niveau des élèves (école, collège, lycée) à la notion de sécurité des systèmes d’information
- des chartes destinées à sensibiliser les élèves et les personnels du ministère de l’Éducation nationale, rappellent les droits et devoirs des usagers internes et externes à l’institution
- la participation du ministère aux exercices interministériels de crise permet de tester l’organisation de la protection de ses systèmes d’information, en application du plan gouvernemental PIRANET
Le ministère de l'Éducation nationale, autorité de certification
Le ministère de l’Éducation nationale a rejoint officiellement le cercle des autorités de certification de confiance le 20 novembre 2008, au cours d’une cérémonie de signature de son certificat électronique avec l'Agence nationale de sécurité des systèmes d'information (ANSSI), l’autorité de certification de l’État.
Un certificat électronique est un fichier comparable à une carte d’identité numérique qui identifie de façon certaine un équipement, un téléservice, une personne.
Son utilisation permet de contribuer avec un très haut niveau de confiance à la sécurisation des échanges de données avec l’usager et d’autres ministères ou administrations.
Cette confiance est rendue possible par une infrastructure de gestion de clés cryptographiques et un chiffrement qui garantissent l’intégrité et la confidentialité des traitements et des données. De multiples applications informatiques peuvent ainsi être sécurisées, comme la gestion de la scolarité de l’élève ou les inscriptions aux examens et concours.
Ressources
Sites à consulter
Portail sur la sécurité informatique
Recommandations, actualité des alertes et des faits marquants, solutions pour se protéger, etc.
www.securite-informatique.gouv.fr
Internet sans crainte
Programme national de sensibilisation des jeunes aux bons usages de l'internet
www.internetsanscrainte.fr
Textes de référence
Instruction générale interministérielle n°1300
Politique de sécurité des systèmes d'information de l'Etat (PSSIE)
Brevet informatique et internet
Circulaire n°2006-169 du 7 novembre 2006
Mise à jour : juin 2020