La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

E Sensibilisation sur la sécurité des systèmes dinformation - 1/24 - Le cadre délaboration Le contexte existant Les travaux programmés Présentation du.

Présentations similaires


Présentation au sujet: "E Sensibilisation sur la sécurité des systèmes dinformation - 1/24 - Le cadre délaboration Le contexte existant Les travaux programmés Présentation du."— Transcription de la présentation:

1 E Sensibilisation sur la sécurité des systèmes dinformation - 1/24 - Le cadre délaboration Le contexte existant Les travaux programmés Présentation du Schéma Directeur de la sécurité des systèmes dinformation

2 E - 2/24 - Sommaire I.[Le cadre délaboration] I.1Les enjeux I.2Les objectifs II.[Le contexte existant] II.1 Une population sensible II.2 Un système dinformation complexe II.3 Un réseau informatique étendu III.[Les travaux programmés]

3 E - 3/24 - Environnements Numériques de Travail Identité numérique B2I et C2I Administration électronique II. Le cadre délaboration Les enjeux Les enjeux service public denseignement systèmes dinformation sécurisés Offrir un service public denseignement reposant sur des systèmes dinformation sécurisés Enjeux métier École : Sujet sensible cadre protecteur Fournir un cadre protecteur pour lutilisation des technologies de linformation et de la communication confiance accrue Développer les conditions dune confiance accrue pour les futurs services dématérialisés Enjeux qualité Qualité du service public Anticiper les situations de crise Anticiper les situations de crise (sinistre, malveillance..) par la mise en place dune organisation adéquate Enjeux humain Mutualisation des compétences Enjeux légaux Respect de la loi nouveauxservices confidentialitédeséchanges Concilier louverture de nouveaux services et garantir la confidentialité des échanges avec la sécurité des systèmes d informations

4 E - 4/24 - II. Le cadre délaboration Les objectifs Les objectifs Formaliser des orientations communes Formaliser des orientations communes de sécurité dans le SDS SI pour garantir un niveau de sécurité adéquat du point de vue réglementaire, organisationnel et technique Objectif systémique Définir une organisation et des règles de fonctionnement Définir une organisation et des règles de fonctionnement mobilisables à tout moment Objectif defficience Garantir la pérennité des applications et des données Garantir la pérennité des applications et des données par une prise en compte continue des besoins et des objectifs de sécurité Objectif de qualité de service Objectif culturel Sensibiliser les acteurs Sensibiliser les acteurs à la valeur des actifs informationnels, aux risques associés et à limportance du facteur humain dans la sécurité des systèmes dinformation

5 E - 5/24 - Sommaire I.[Le cadre délaboration] I.1Les enjeux I.2Les objectifs II.[Le contexte existant] II.1 Une population sensible II.2 Un système dinformation complexe II.3 Un réseau informatique étendu III.[Les travaux programmés]

6 E - 6/24 - III. Le contexte existant Une population sensible Article du Code pénal (protection des mineurs contre les contenus violents ou pornographiques) Article R du Code pénal (injure non publique) Articles 24 et 26 bis de la loi du 29 juillet 1881 (diffusion de contenus à caractère raciste ou antisémite) Responsabilité administrative de lEtat (source http: //www.educnet.education.fr ) Le Conseil dÉtat est seul compétent pour ce type de litige qui implique de porter une appréciation sur le fonctionnement de ladministration. A titre dexemple, la violation par un établissement scolaire dune règle de droit ou une négligence, une erreur, une omission dans le fonctionnement du service (aucun système de filtrage sur les postes informatiques) sont des situations qui engagent la responsabilité administrative de lÉtat, des collectivités publiques ou des établissements publics.

7 E - 7/24 - III. Le contexte existant Un SI complexe CARTE DES SYSTEMES DINFORMATION CENTRALE EPLE RECTORAT Inspection académique CROUS DOMAINES transversal GRH Elèves Financier Pilotage BCE PEGASE Action sociale Pension GAIA Paye étab. EPP 29 SENORITA AGORA 29 Pension GESICAANTARES PAYE CNE AFR PAYE Scolarité AGLAE OPALES MEDSI SAGESSE BALI ABC STAT1 IVA OCEAN GEP JURY KHEOPS ISIS KHEOPS restauration VERCORS GFC calibres Base relais SISEBCP IPES ADAGIO Annuaire EPPprivé Annuaire EPP AGADES COFI pilotages annuaire EPPprivé AGORA COFI pilotages IPES STAGE AGORA ac POPPEE bib POPPEE itarf GESUP annuaire syntaxe TG AGAPE privé EPI ETIC RAMSESE GAIA violence accidents violence accidents ETIC EPI APE OCEAN I-Prof EPP Commission départementale d'éducation spéciale AGADESCO TG CAF TG I-Prof AGAPE Annuaire AGORA AGAPE 101 IPES Annuaire AGAPE BCN Infocentre ministériel Infocentre ministériel

8 E - 8/24 - GESTION DES RESSOURCES HUMAINES

9 E - 9/24 - LES ELEVES

10 E - 10/24 - DOMAINE FINANCIER

11 E - 11/24 - PILOTAGE

12 E - 12/24 - Internet / Renater Réseaux Régionaux III. Le contexte existant Un réseau informatique étendu EPLE Racine 1 Racine Agriates Racine API Rectorat Inspection Académique Réseau public Université

13 E - 13/24 - III. Le contexte existant Une problématique centrale : lidentité numérique Le besoin –Identifier et authentifier les accès (postes, personnes) –Proportionner les moyens en fonction des risques –Simplifier les accès (notion de Single Sign On) Les moyens disponibles –Lidentifiant (numen, adresse mél, …) –Lauthentifiant faible (mot de passe) –Lauthentifiant Fort (clé USB, carte à puce, empreinte numérique, …) La mise en œuvre –Applications utilisées en interne Racine : mot de passe –Applications ouvertes sur lextérieur : authentifiant Fort –On authentifie le poste de travail (ex: finances) ou lindividu (ex: demande de promotion, de mutation …)

14 E - 14/24 - Sommaire I.[Le cadre délaboration] I.1Les enjeux I.2Les objectifs II.[Le contexte existant] II.1 Une population sensible II.2 Un système dinformation complexe II.3 Un réseau informatique étendu III.[Les travaux programmés]

15 E - 15/24 - IV.Les travaux programmés Plan dactions [ Mise en place dun référentiel de sécurité ] 2.[ Mise en place dune chaîne dalerte et de responsabilité ] 3.[ Conception de dispositifs de sensibilisation à la SSI ] 4.[ Élaboration de chartes de portée nationale ] 5.[ Mise en place du carnet de sécurité des SI ] 6.[ Mise en cohérence des dispositifs SSI et veille technique ] 7.[ Mutualisation des dispositifs techniques et méthodologiques]

16 E - 16/24 - IV.Les travaux programmés Mise en place dun référentiel de sécurité Politique Générale de Sécurité Règles générales de sécurité du système dinformation : Cadre Commun Règles générales de sécurité du système dinformation : Cadre Commun Schéma directeur de la Sécurité des systèmes dinformation : SDS SI Charte Administrateur de SI et de réseau Charte Personnels de léducation nationale Guide technique dutilisation des TIC Charte Élève Annexe juridique relative à lusage des SI Annexe juridique relative à lusage des SI Référentiel Thématique Sécurité du réseau Gestion des habilitations Sécurité des données Politique de Certification des Clés (PC²) Déclaration des pratiques de certifications (DPC) Livre blanc de lexploitation … Référentiel Thématique Sécurité du réseau Gestion des habilitations Sécurité des données Politique de Certification des Clés (PC²) Déclaration des pratiques de certifications (DPC) Livre blanc de lexploitation … P2SI type (plans de Sécurité SI) (Règles de sécurité spécifiques aux environnements et plates-formes par sphères) P2SI type (plans de Sécurité SI) (Règles de sécurité spécifiques aux environnements et plates-formes par sphères) Contrats de service CCTP Contrats de service CCTP Méthode d'intégration de la sécurité dans les projets informatiques (EBIOS light) Règles d'administration et dutilisation Règles d'administration et dutilisation

17 E - 17/24 - Chaîne fonctionnelle de la sécurité des systèmes dinformation (SSI) IV.Les travaux programmés Mise en place dune chaîne dalerte et de responsabilité Selon la recommandation interministérielle n° 901 sur la protection des systèmes dinformation traitant des informations sensibles non classifiées de défense Le premier ministre (Corresp.technique de la SSI) CTS SDS SI Les ministre et ministre délégué (Directions opérationelles) DPMA-DR-DT (Personne juridiquement responsable) PJR Recteur, Président duniversité, Inspecteur dAcadémie, Chef dÉtablissement (Responsable de la SSI) RSSI Nommé par la PJR HFD (haut fonctionnaire de défense) IGI n° 901 SGDN/DCSSI/CERT-A FSSI (fonctionnaire de la SSI) AQSSI (autorité qualifiée pour la SSI) ASSI (agent de la SSI)

18 E - 18/24 - IV.Les travaux programmés Des responsabilités partagées Les rôles de la maîtrise douvrage –Définir les enjeux liés à la sécurité des SI –Identifier les éléments essentiels (informations, fonctions) à protéger –Exprimer les besoins en termes de disponibilité, intégrité, confidentialité –Fournir la liste des usagers du SI considéré et leurs droits associés –Organiser une étude sur les menaces pesant sur les SI Les rôles de la maîtrise dœuvre –Répondre aux besoins exprimés par la MOA –Fournir les éléments nécessaires à la prise de décision (méthodes, accompagnement, estimation de coûts et de difficulté de mise en œuvre, …) –Formaliser les mesures de sécurité et évaluer les risques non couverts –Faire valider ses préconisations par la MOA

19 E - 19/ niveaux de sensibilisation à la SSI : Décideursacadémiques Séminaires dune journée dans les 30 académies (DPMA) Sensibilisation juridique et aux enjeux de la SSI Présentation du SDS SI et retour dexpérience académique Chefsdétablissements Séminaires de sensibilisations à la SSI organisés par les services déconcentrés sous la responsabilité du RSSI dans chacune des académies –RECTEUR-SG –RSSI Sensibilisation juridique et aux enjeux de la SSI Personnels Personnels élèves élèves étudiants étudiants Sensibilisation SSI à insérer dans le catalogue des CAFA Préparation dun dispositif ad hoc dans le PNP (DPMA) Élèves : sensibilisation SSI dans le B2I (DT-DESCO- CTICE) Étudiants : sensibilisation SSI dans le C2I (DES - DT) IV.Les travaux programmés Conception de dispositifs de sensibilisation à la SSI

20 E - 20/24 - Comité de relecture CNIL Cabinets Avocats Spécialisés Directions Fonctionnelles Direction des Affaires Juridiques COPIL SDS SI Juin 2003 Groupe Ethique et Juridique Élaboration / validation Expertise / validation Analyse / Avis / assistance IV.Les travaux programmés Élaboration de chartes de portée nationale Charte Élève Charte « Personnels de léducation nationale » Charte « Administrateur de SI et de réseau »

21 E - 21/24 - Conception des systèmes dinformation : Principe : « la sécurité doit être prise en compte tout au long du cycle de vie du système information » Le carnet de sécurité : Un outil collaboratif qui suit le système d information dans les différentes étapes de son élaboration Une base de connaissances consultable par tous les acteurs MOA MOE Niveau opérationnel (production, correspondant sécurité …) Expressions des besoins en matière de sécurité Cahier de spécifications prise en compte des besoins dans le système (code…) Architectures techniques authentification forte, passerelle de sécurité,… Dossier CNIL Mise en production Préconisations particulières de mise en exploitation IV.Les travaux programmés Mise en place du carnet de sécurité des SI

22 E - 22/24 - IV.Les travaux programmés Mise en cohérence des dispositifs SSI et veille technique Applicatifs Métiers Élément dintendance (Serveurs bureautiques, plate-forme dadministration) Postes de travail DMZ (Zone déchanges) mur externe (Firewall y) mur interne (Firewall x) Serveurs accessibles de lextérieur (web grand public, ftp public) Sas (proxy) Réseau sécurisé « Domaine 3 » de confiance « Domaine 2 » de confiance Remarque : Cette modélisation ne signifie pas que lextérieur du domaine de confiance est Internet, les réseaux sécurisés et les VPN sont sur Internet. Un Firewall est composé dun Filtre réseau, un Filtre applicatif Les nomades sont dans le domaine de confiance. Centre pédagogique ! ! Antivirus, Filtre réseau, Filtre http Serveur dauthentification Radius Utilisateurs nomades éventuels ! Attaque repoussée par le premier Firewall ! Attaque repoussée par le deuxième Firewall

23 E - 23/24 - Centre de repli Rectorat de Nancy-Metz Centre de surveillance et dalerte Rectorat de Nancy-Metz Centre dingénierie SSI Rectorat dAix-Marseille Cadre commun de la sécurité Méthodologiedexpression des besoins de sécurité Plan de sécurité type des systèmes dinformation SDS SI IV.Les travaux programmés Mutualisation des dispositifs techniques et méthodologiques

24 E Sensibilisation sur la sécurité des systèmes dinformation - 24/24 - En conclusion Chacun à son niveau est porteur de la démarche et responsable vis-à-vis de la loi La sécurité, cest 1/3 de technique et 2/3 dorganisation La sécurité est au service des processus métier Le SDS SI : un ensemble doutils pour vous aider En coordination avec la chaîne fonctionnelle et la chaîne opérationnelle Consultant de la société Silicomp-AQL Tél.: +33 (0) (0) Consultant de la société Silicomp-AQL Tél.: +33 (0) (0) Support réalisé en collaboration avec les services de la DPMA/A3 Tél : +33 (0)


Télécharger ppt "E Sensibilisation sur la sécurité des systèmes dinformation - 1/24 - Le cadre délaboration Le contexte existant Les travaux programmés Présentation du."

Présentations similaires


Annonces Google