Menaces et vulnérabilités des systèmes d'information

Qu'ils soient utilisés en local ou par l'intermédiaire des réseaux de télécommunications, les systèmes d'information présentent des vulnérabilités liées à diverses menaces dont les sources peuvent être environnementales (météo, incendie...), intrinsèques (conception, technologies, ...) mais aussi humaines (externes, internes, délibérées, par erreur ou par négligence). Ces vulnérabilités sont multipliées avec :

• la banalisation, la complexité, l'automatisme et le nombre d'utilisateurs de ces systèmes, ainsi qu'avec le volume et la diversité des informations traitées,
• le partage d'infrastructures communes qui rendent le système de liaison plus complexe : réseaux haut débit métropolitains ou régionaux, intranet des académies très étendu, usages nomades via les environnements numériques de travail),
• des utilisateurs très hétérogènes : étudiant, salariés en formation continue, enseignants et chercheurs, personnels administratifs, fournisseurs et partenaires, collectivités territoriales.

Les enjeux

Les incidents de sécurité sur les systèmes d’informations sont de nature à prendre connaissance, altérer, et détruire des informations sensibles. Leurs impacts peuvent aller de la simple difficulté de fonctionnement d’un service durant quelques heures, au vol de données à caractère personnel, à la dégradation de l’image de l’institution et de la confiance en ses télé-services, à l’atteinte à des personnes notamment à des mineurs, jusqu'à l'impossibilité d’assurer certaines missions essentielles.

La circulation, le stockage et le traitement des informations électroniques doivent être protégées pour garantir la continuité de l'activité du ministère. Les enjeux sont importants en raison  du nombre de personnes concernées : plus de 2 millions d'étudiants, 90 000 enseignants, enseignants-chercheurs et assimilés,  plus de 55 000 personnels assumant des fonctions techniques, administratives et d'encadrement dans les établissements d'enseignement supérieur et les organismes de recherche.

La protection des systèmes d'information

La chaîne fonctionnelle de sécurité

Pour assurer la sécurité des systèmes d'information du ministère, il existe une chaîne fonctionnelle de sécurité reposant sur le haut fonctionnaire de défense et de sécurité (H.F.D.S.), assisté d’un fonctionnaire de sécurité des systèmes d'information (F.S.S.I.), article R1143-1 du code de la défense. Celui-ci, en lien avec Renater, est relayé par un réseau des responsables de la sécurité des systèmes d'information (R.S.S.I. rattachés fonctionnellement à leur autorité qualifiée pour la sécurité des systèmes d’information (A.Q.S.S.I).

Le pilotage de la sécurité des systèmes d’information (S.S.I.) fait partie des attributions du haut fonctionnaire de défense et de sécurité fixées par les articles R1143-1 à R1143-8 du code de la défense.

Le H.F.D.S. est responsable de la diffusion, du suivi et du contrôle de la politique nationale de SSI devant être déployée par les responsables (AQSSI). L’organisation de la SSI est décrite dans des instructions pouvant être consultées sur le site de l'ANSSI.

Pour l’assister dans sa mission, il désigne un Fonctionnaire de la sécurité des systèmes d’information (F.S.S.I.) dont les principales fonctions sont :

• la prise en compte et la participation à la rédaction de la règlementation interministérielle,
• l’animation du pilotage ministériel de la S.S.I.,  l’élaboration de la réglementation ministérielle,
• le contrôle de l’application de la réglementation ministérielle,
• l’action de la sensibilisation des AQSSI,
• le déploiement et la maîtrise des moyens sécurisés de communication,
• la rédaction d’un rapport annuel.

Les AQSSI étant les responsables juridiques du périmètre concerné, c’est à leur niveau que s’exerce :

• la maîtrise d’ouvrage (définition des enjeux de sécurité liés aux systèmes d’information), la responsabilité de passer des actes contractuels (marchés publics),
• la responsabilité de mettre en place des organisations (comité de pilotage de la SSI, logistique de crise),
• les arbitrages budgétaires,
• la possibilité, le cas échéant, d’intenter une action en justice.
• Il désigne un RSSI pour l’assister

 Le responsable de la sécurité des systèmes d’information (R.S.S.I.) est nommé et mandaté par l’AQSSI pour mettre en place la politique générale de sécurité des systèmes d’information. Le RSSI est le responsable opérationnel

Les R.S.S.I. sont au cœur du dispositif. Leurs missions principales sont les suivantes :

• Animer localement le pilotage de la S.S.I.
• constituer et coordonner un réseau interne de correspondants de sécurité
• mettre en place les plans de sécurité adaptés, en cohérence avec la politique de sécurité des systèmes d'information de l'Etat et les directives interministérielles
• contrôler régulièrement le niveau de sécurité du système d’information par l’évaluation des risques résiduels
• informer et sensibiliser les utilisateurs du système d’information aux problématiques de la sécurité
• améliorer la sécurité des systèmes d'information par une veille technologique active ainsi que par une participation aux groupes de réflexion ad hoc
• assurer la coordination avec les différents organismes concernés

La sensibilisation et la formation de tous les acteurs de l’organisation des systèmes d’information sont une des conditions essentielles au bon niveau de sécurité et de confiance :

le Certificat Informatique Internet (C.2.I.) constitue une sensibilisation de premier niveau des étudiants (licence, master, ESË.) à la notion de sécurité des systèmes d’information ;

des chartes destinées à sensibiliser les étudiants et les personnels, rappellent les droits et devoirs des usagers internes et externes à l’institution ;

des séminaires de sensibilisation de l'encadrement de l'adminisration centrale et des décideurs académiques des établissements d'enseignement supérieur permet de les informer sur leur responsabilité en matière de sécurité des systèmes d'information et sur les solutions proposées pour les sécuriser tant au niveau juridique et technique qu'organisationnel ;

au sein des observatoires zonaux de la sécurité des systèmes d'information (O.Z.S.S.I.), les établissements d'enseignement supérieur et les organismes de recherche sont représentés ; ils apportent leur contribution sous la forme de présentation d'experts, d'échanges, de retours d'expérience et de coopérations avec les différentes entités ;

la participation du ministère aux exercices interministériels de crise permet de tester l’organisation de la protection de ses systèmes d’information, en application du plan gouvernemental PIRANET.

Le réseau RENATER. et le C.E.R.T.-RENATER

RENATER., le Réseau National de Télécommunications pour la Technologie, l'Enseignement et la Recherche, est un Groupement d'intérêt puboic (GIP) qui fédère depuis les années 90 les infrastructures de télécommunication pour la recherche et l’éducation sous l’impulsion de ses membres.

Le C.E.R.T.-RENATER (Computer Emergency Reponse Team) est le point de contact centralisateur du traitement des incidents, son expertise apporte une aide en profondeur ainsi que la mise au point d’outils de sécurité. Ce service est essentiel pour l’ensemble de la communauté à laquelle il fournit des informations de type bulletins de vulnérabilités, alertes, statistiques.

Son adhésion au FIRST (Forum of Incident Reponse and Security Team), regroupant des C.E.R.T. du monde entier, depuis les années 90, lui permet d’avoir une visibilité et un partage d’information du niveau international.