Menaces et vulnérabilités des systèmes d'information

Qu'ils soient utilisés en local ou par l'intermédiaire des réseaux de télécommunications, les systèmes d'information présentent des fragilités liées à diverses menaces dont les sources peuvent être environnementales (météo, incendie, etc.), intrinsèques (conception, technologies, etc.) mais aussi humaines (externes, internes, délibérées, par erreur ou par négligence). Ces vulnérabilités sont multipliées avec :

• la banalisation, la complexité, l'automatisme et le nombre d'utilisateurs de ces systèmes, ainsi qu'avec le volume et la diversité des informations traitées,
• le partage d'infrastructures communes qui rendent le système de liaison plus complexe : réseaux haut débit métropolitains ou régionaux, intranet des académies très étendu, usages nomades via les environnements numériques de travail,
• des utilisateurs très hétérogènes : élèves mineurs, élèves et étudiants majeurs, enseignants, parents d'élèves, personnels administratifs, fournisseurs et partenaires, collectivités territoriales.

 

 

Les enjeux de la sécurité des systèmes d'information

Les incidents de sécurité sur les systèmes d’informations sont de nature à prendre connaissance, altérer, et détruire des informations sensibles. Leurs impacts peuvent aller de la simple difficulté de fonctionnement d’un service durant quelques heures, au vol de données à caractère personnel, à la dégradation de l’image de l’institution et de la confiance en ses télé-services, à l’atteinte à des personnes notamment à des mineurs, jusqu'à l'impossibilité d’assurer certaines missions essentielles.

La circulation, le stockage et le traitement des informations électroniques doivent être protégées pour garantir la continuité de l'activité du ministère. Les enjeux sont importants en raison du nombre de personnes concernées : environ 12 millions d'élèves et apprentis, 1 million de personnels enseignants et administratifs, 65 000 écoles, collèges et lycées.

La protection des systèmes d'information

Pour assurer la sécurité des systèmes d'information du ministère, il existe une chaîne fonctionnelle de sécurité reposant sur le haut fonctionnaire de défense et de sécurité (HFDS) du ministère assisté d’un fonctionnaire de sécurité des systèmes d'information (FSSI). Celui-ci en lien avec la direction du numérique pour l'éducation (DNE) est relayé par un réseau des responsables de la sécurité des systèmes d'information (RSSI) rattachés fonctionnellement à chaque recteur d’académie en qualité d’autorité qualifiée pour la sécurité des systèmes d’information (AQSSI). Le pilotage de la sécurité des systèmes d’information (S.S.I.) fait partie des attributions du haut fonctionnaire de défense et de sécurité fixées par les articles R 1143-1 et R 1143-8 du Code de la défense. L’organisation de la SSI est décrite dans des instructions pouvant être consultées sur le site de l'ANSSI.

Le HFDS est responsable de la diffusion, du suivi et du contrôle de la politique nationale de SSI devant être déployée par les responsables (AQSSI). .

Pour l’assister dans sa mission, il désigne un Fonctionnaire de la sécurité des systèmes d’information (FSSI) dont les principales fonctions sont :

• la prise en compte et la participation à la rédaction de la règlementation interministérielle,
• l’animation du pilotage ministériel de la SSI
• l’élaboration de la réglementation ministérielle
• le contrôle de l’application de la réglementation ministérielle
• l’action de la sensibilisation des AQSSI
• le déploiement et la maîtrise des moyens sécurisés de communication
• la rédaction d’un rapport annuel

Les AQSSI étant les responsables juridiques du périmètre concerné, c’est à leur niveau que s’exerce :

• la maîtrise d’ouvrage (définition des enjeux de sécurité liés aux systèmes d’information)
• la responsabilité de passer des actes contractuels (marchés publics)
• la responsabilité de mettre en place des organisations (comité de pilotage de la SSI, logistique de crise)
• les arbitrages budgétaires
• la possibilité, le cas échéant, d’intenter une action en justice
• Il désigne un RSSI pour l’assister

Le responsable de la sécurité des systèmes d’information (RSSI) est nommé et mandaté par l’AQSSI pour mettre en place la politique générale de sécurité des systèmes d’information. Le RSSI est le responsable opérationnel.

Les RSSI sont au cœur du dispositif. Leurs missions principales sont les suivantes :

• Animer localement le pilotage de la SSI
• constituer et coordonner un réseau interne de correspondants de sécurité 
• mettre en place les plans de sécurité adaptés, en cohérence avec la politique de sécurité des systèmes d'information de l'Etat et les directives interministérielles
• contrôler régulièrement le niveau de sécurité du système d’information par l’évaluation des risques résiduels
• informer et sensibiliser les utilisateurs du système d’information aux problématiques de la sécurité
• améliorer la sécurité des systèmes d'information par une veille technologique active ainsi que par une participation aux groupes de réflexion ad hoc
• assurer la coordination avec les différents organismes concernés

La sensibilisation et la formation de tous les acteurs des systèmes d’information est une des conditions essentielles du bon niveau de sécurité et de confiance :

• • le Brevet Informatique Internet (B2i) constitue une sensibilisation de premier niveau des élèves (école, collège, lycée) à la notion de sécurité des systèmes d’information
  • des chartes destinées à sensibiliser les élèves et les personnels du ministère de l’Éducation nationale, rappellent les droits et devoirs des usagers internes et externes à l’institution
  • la participation du ministère aux exercices interministériels de crise permet de tester l’organisation de la protection de ses systèmes d’information, en application du plan gouvernemental PIRANET

Le ministère de l'Éducation nationale, autorité de certification

Le ministère de l’Éducation nationale a rejoint officiellement le cercle des autorités de certification de confiance le 20 novembre 2008, au cours d’une cérémonie de signature de son certificat électronique avec l'Agence nationale de sécurité des systèmes d'information (ANSSI), l’autorité de certification de l’État.

Un certificat électronique est un fichier comparable à une carte d’identité numérique qui identifie de façon certaine un équipement, un téléservice, une personne.

Son utilisation permet de contribuer avec un très haut niveau de confiance à la sécurisation des échanges de données avec l’usager et d’autres ministères ou administrations.

Cette confiance est rendue possible par une infrastructure de gestion de clés cryptographiques et un chiffrement qui garantissent l’intégrité et la confidentialité des traitements et des données. De multiples applications informatiques peuvent ainsi être sécurisées, comme la gestion de la scolarité de l’élève ou les inscriptions aux examens et concours.

Ressources

Sites à consulter

Portail sur la sécurité informatique

Recommandations, actualité des alertes et des faits marquants, solutions pour se protéger, etc.
www.securite-informatique.gouv.fr

Internet sans crainte

Programme national de sensibilisation des jeunes aux bons usages de l'internet
www.internetsanscrainte.fr

Textes de référence

Instruction générale interministérielle n°1300

Politique de sécurité des systèmes d'information de l'Etat (PSSIE)

Brevet informatique et internet
Circulaire n°2006-169 du 7 novembre 2006