Les systèmes d'information présentent des vulnérabilités liées à diverses menaces qui peuvent être environnementales, intrinsèques, humaines. Leurs impacts peuvent être nombreux comme provoquer l’impossibilité d’assurer certaines missions essentielles. Le ministère a mis en place des mesures pour protéger la circulation et le stockage des informations électroniques afin de garantir la continuité de son activité.
Qu'ils soient utilisés en local ou par l'intermédiaire des réseaux de télécommunications, les systèmes d'information présentent des vulnérabilités liées à diverses menaces dont les sources peuvent être environnementales (météo, incendie...), intrinsèques (conception, technologies, ...) mais aussi humaines (externes, internes, délibérées, par erreur ou par négligence). Ces vulnérabilités sont multipliées avec :
Les incidents de sécurité sur les systèmes d’informations sont de nature à prendre connaissance, altérer, et détruire des informations sensibles. Leurs impacts peuvent aller de la simple difficulté de fonctionnement d’un service durant quelques heures, au vol de données à caractère personnel, à la dégradation de l’image de l’institution et de la confiance en ses télé-services, à l’atteinte à des personnes notamment à des mineurs, jusqu'à l'impossibilité d’assurer certaines missions essentielles.
La circulation, le stockage et le traitement des informations électroniques doivent être protégées pour garantir la continuité de l'activité du ministère. Les enjeux sont importants en raison du nombre de personnes concernées : plus de 2 millions d'étudiants, 90 000 enseignants, enseignants-chercheurs et assimilés, plus de 55 000 personnels assumant des fonctions techniques, administratives et d'encadrement dans les établissements d'enseignement supérieur et les organismes de recherche.
Pour assurer la sécurité des systèmes d'information du ministère, il existe une chaîne fonctionnelle de sécurité reposant sur le haut fonctionnaire de défense et de sécurité (H.F.D.S.), assisté d’un fonctionnaire de sécurité des systèmes d'information (F.S.S.I.), article R1143-1 du code de la défense. Celui-ci, en lien avec Renater, est relayé par un réseau des responsables de la sécurité des systèmes d'information (R.S.S.I. rattachés fonctionnellement à leur autorité qualifiée pour la sécurité des systèmes d’information (A.Q.S.S.I).
Le pilotage de la sécurité des systèmes d’information (S.S.I.) fait partie des attributions du haut fonctionnaire de défense et de sécurité fixées par les articles R1143-1 à R1143-8 du code de la défense.
Le H.F.D.S. est responsable de la diffusion, du suivi et du contrôle de la politique nationale de SSI devant être déployée par les responsables (AQSSI). L’organisation de la SSI est décrite dans des instructions pouvant être consultées sur le site de l'ANSSI.
Pour l’assister dans sa mission, il désigne un Fonctionnaire de la sécurité des systèmes d’information (F.S.S.I.) dont les principales fonctions sont :
Les AQSSI étant les responsables juridiques du périmètre concerné, c’est à leur niveau que s’exerce :
Le responsable de la sécurité des systèmes d’information (R.S.S.I.) est nommé et mandaté par l’AQSSI pour mettre en place la politique générale de sécurité des systèmes d’information. Le RSSI est le responsable opérationnel
le Certificat Informatique Internet (C.2.I.) constitue une sensibilisation de premier niveau des étudiants (licence, master, ESË.) à la notion de sécurité des systèmes d’information ;
des chartes destinées à sensibiliser les étudiants et les personnels, rappellent les droits et devoirs des usagers internes et externes à l’institution ;
des séminaires de sensibilisation de l'encadrement de l'adminisration centrale et des décideurs académiques des établissements d'enseignement supérieur permet de les informer sur leur responsabilité en matière de sécurité des systèmes d'information et sur les solutions proposées pour les sécuriser tant au niveau juridique et technique qu'organisationnel ;
au sein des observatoires zonaux de la sécurité des systèmes d'information (O.Z.S.S.I.), les établissements d'enseignement supérieur et les organismes de recherche sont représentés ; ils apportent leur contribution sous la forme de présentation d'experts, d'échanges, de retours d'expérience et de coopérations avec les différentes entités ;
la participation du ministère aux exercices interministériels de crise permet de tester l’organisation de la protection de ses systèmes d’information, en application du plan gouvernemental PIRANET.
RENATER., le Réseau National de Télécommunications pour la Technologie, l'Enseignement et la Recherche, est un Groupement d'intérêt puboic (GIP) qui fédère depuis les années 90 les infrastructures de télécommunication pour la recherche et l’éducation sous l’impulsion de ses membres.
Le C.E.R.T.-RENATER (Computer Emergency Reponse Team) est le point de contact centralisateur du traitement des incidents, son expertise apporte une aide en profondeur ainsi que la mise au point d’outils de sécurité. Ce service est essentiel pour l’ensemble de la communauté à laquelle il fournit des informations de type bulletins de vulnérabilités, alertes, statistiques.
Son adhésion au FIRST (Forum of Incident Reponse and Security Team), regroupant des C.E.R.T. du monde entier, depuis les années 90, lui permet d’avoir une visibilité et un partage d’information du niveau international.
Protection des systèmes d'information sensibles non classifiées de défense :
recommandation
n°901/D.C.S.S.I./S.C.S.S.I.