Menaces et vulnérabilités des systèmes d'information

Qu'ils soient utilisés en local ou par l'intermédiaire des réseaux de télécommunications, les systèmes d'information présentent des vulnérabilités liées à diverses menaces dont les sources peuvent être environnementales (météo, incendie...), intrinsèques (conception, technologies, ...) mais aussi humaines (externes, internes, délibérées, par erreur ou par négligence). Ces vulnérabilités sont multipliées avec :

• la banalisation, la complexité, l'automatisme et le nombre d'utilisateurs de ces systèmes,
  
• le volume et la diversité des informations traitées,
• le partage d'infrastructures communes rendant le système de liaison complexe (réseaux haut débit nationaux, métropolitains ou régionaux, usages nomades via les environnements numériques de travail),
• des utilisateurs très hétérogènes : étudiants dont plus de 10% sont de nationalité étrangère, salariés et individuels en formation continue, enseignants et chercheurs, personnels administratifs, fournisseurs et partenaires, collectivités territoriales.

Les enjeux

Les incidents de sécurité sur les systèmes d'information sont de nature à détruire, altérer, prendre connaissance des informations sensibles. Leurs impacts peuvent aller de la simple difficulté de fonctionnement d'un service durant quelques heures, au vol de données à caractère personnel, à la dégradation de l'image de l'institution et de la confiance en ses télé-services, à l'atteinte au patrimoine scientifique et technique jusqu'à l'impossibilité d'assurer certaines missions essentielles.

La circulation et le stockage des informations électroniques doivent être protégés pour garantir la continuité de l'activité du ministère. Les enjeux sont importants en raison  du nombre de personnes concernées : plus de 2 millions d'étudiants, 90 000 enseignants, enseignants-chercheurs et assimilés, plus de 55 000 personnels assumant des fonctons techniques, administratives et d'encadrement dans les établissements d'enseignement supérieur et les organismes de recherche.

Les solutions de protection des systèmes d'information

La chaîne fonctionnelle de sécurité

Pour assurer la sécurité des systèmes d'information du ministère, une chaîne fonctionnelle de sécurité a été mise en place avec pour point d’entrée le haut fonctionnaire de défense et de sécurité (H.F.D.S.) assisté d’un fonctionnaire de sécurité des systèmes d'information (F.S.S.I.). Celui-ci, en lien avec la cellule réseau des universités (C.R.U.) est relayé par un réseau des responsables de la sécurité des systèmes d'information (R.S.S.I.) tant au niveau de l'administration centrale que des établissements et organismes où le R.S.S.I. est rattaché fonctionnellement à chaque président d'université ou directeur d'établissement ou directeur général d'organisme en qualité d’autorité qualifiée pour la sécurité des systèmes d’information (A.Q.S.S.I).

Les R.S.S.I. sont au cœur du dispositif. Leurs missions principales sont les suivantes :

• constituer et coordonner un réseau interne de correspondants de sécurité dans les différentes composantes de leur établissement ;
• mettre en place les plans de sécurité adaptés aux établissements et aux services, en cohérence avec le schéma directeur de la sécurité des systèmes d’information (S.D.S.S.I.) du ministère ;
• contrôler régulièrement le niveau de sécurité du système d’information par l’évaluation des risques résiduels ;
• informer et sensibiliser les utilisateurs du système d’information aux problématiques de la sécurité ;
• améliorer la S.S.I. par une veille technologique active ainsi que par une participation aux groupes de réflexion ad hoc ;
• assurer la coordination avec les différents organismes concernés.

La sensibilisation et la formation de tous les acteurs de l’organisation des systèmes d’information sont une des conditions essentielles au bon niveau de sécurité et de confiance :

• le Certificat Informatique Internet (C.2.I.) constitue une sensibilisation de premier niveau des étudiants (licence, master, I.U.F.M.) à la notion de sécurité des systèmes d’information ;

• des chartes destinées à sensibiliser les étudiants et les personnels, rappellent les droits et devoirs des usagers internes et externes à l’institution ;

• des séminaires de sensibilisation de l'encadrement de l'adminisration centrale et des décideurs académiques des établissements d'enseignement supérieur permet de les informer sur leur responsabilité en matière de sécurité des systèmes d'information et sur les solutions proposées pour les sécuriser tant au niveau juridique et technique qu'organisationnel ;

• dans le cadre de la récente création des observatoires zonaux de la sécurité des systèmes d'information (O.Z.S.S.I.), les établissements d'enseignement supérieur et les organismes de recherche sont représentés ; ils apportent leur contribution sous la forme de présentation d'experts, d'échanges, de retours d'expérience et de coopérations avec les différentes entités ;

• le ministère participe aux exercices interministériels de crise afin de tester l’organisation de la protection de ses systèmes d’information, en l’occurrence dans le cadre d’un scénario d’attaque majeure sur les systèmes d’information de l’Etat ou d’importance pour la nation, en application du plan gouvernemental PIRANET.

Le réseau R.E.N.A.T.E.R. et le C.E.R.T.-R.E.N.A.T.E.R.

R.E.N.A.T.E.R., le Réseau National de Télécommunications pour la Technologie, l'Enseignement et la Recherche, fédère depuis les années 90 les infrastructures de télécommunication pour la recherche et l’éducation sous l’impulsion des membres du G.I.P. R.E.N.A.T.E.R. (grands organismes de recherche, ministère de l'enseignement supérieur et de la recherche et ministère de l’éducation nationale).

Plus de 1000 sites sont raccordés via les réseaux de collectes régionaux au réseau national R.E.N.A.T.E.R. qui fournit une connectivité nationale et internationale ainsi qu’un service de réponse aux incidents de sécurité : le C.E.R.T.-R.E.N.A.T.E.R. (Computer Emergency Reponse Team).

Ce service est essentiel pour l’ensemble de la communauté éducation et recherche à laquelle il fournit des informations de type bulletins de vulnérabilités, alertes, statistiques. Il est le point de contact centralisateur du traitement des incidents, son expertise apporte une aide en profondeur ainsi que la mise au point d’outils de sécurité.

Son adhésion au F.I.R.S.T. (Forum of Incident Reponse and Security Team), regroupant plus de 100 C.E.R.T. du monde entier, depuis les années 90, lui permet d’avoir une visibilité et un partage d’information du niveau international.