La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Le cadre d’élaboration Le contexte existant Les travaux programmés

Présentations similaires


Présentation au sujet: "Le cadre d’élaboration Le contexte existant Les travaux programmés"— Transcription de la présentation:

1 Le cadre d’élaboration Le contexte existant Les travaux programmés
Présentation du Schéma Directeur de la sécurité des systèmes d’information Le cadre d’élaboration Le contexte existant Les travaux programmés

2 Sommaire [Le cadre d’élaboration] [Le contexte existant]
I.1 Les enjeux I.2 Les objectifs [Le contexte existant] II.1 Une population sensible II.2 Un système d’information complexe II.3 Un réseau informatique étendu [Les travaux programmés]

3 II. Le cadre d’élaboration Les enjeux
Offrir un service public d’enseignement reposant sur des systèmes d’information sécurisés Enjeux métier École : Sujet sensible Fournir un cadre protecteur pour l’utilisation des technologies de l’information et de la communication Développer les conditions d’une confiance accrue pour les futurs services dématérialisés Enjeux qualité Qualité du service public Enjeux légaux Respect de la loi Concilier l’ouverture de nouveaux services et garantir la confidentialité des échanges avec la sécurité des systèmes d ’informations Anticiper les situations de crise (sinistre, malveillance ..) par la mise en place d’une organisation adéquate Enjeux humain Mutualisation des compétences Arbitrage entre ouverture du SI et sécurité. Anticiper sur l’évolution des sphères de responsabilités et son corrolaire en terme d’ouverture voire de partage de SI (collectivités territoriales, resp. partagées entre recteur et préfet, …) Environnements Numériques de Travail Identité numérique B2I et C2I Administration électronique

4 II. Le cadre d’élaboration Les objectifs
Formaliser des orientations communes de sécurité dans le SDS SI pour garantir un niveau de sécurité adéquat du point de vue réglementaire, organisationnel et technique Objectif systémique Définir une organisation et des règles de fonctionnement mobilisables à tout moment Objectif d’efficience Garantir la pérennité des applications et des données par une prise en compte continue des besoins et des objectifs de sécurité Objectif de qualité de service Objectif culturel Sensibiliser les acteurs à la valeur des actifs informationnels, aux risques associés et à l’importance du facteur humain dans la sécurité des systèmes d’information Approche systémique : vision globale d’un système complexe, avec un accent particulier mis sur les interactions. Par opposition à la démarche d’analyse qui décompose et simplifie. Efficacité : degré de réalisation d'un objectif visé Efficience : rapport entre ce qui est réalisé et les moyens mis en oeuvre pour y arriver.

5 Sommaire [Le cadre d’élaboration] [Le contexte existant]
I.1 Les enjeux I.2 Les objectifs [Le contexte existant] II.1 Une population sensible II.2 Un système d’information complexe II.3 Un réseau informatique étendu [Les travaux programmés]

6 III. Le contexte existant Une population sensible
Article du Code pénal (protection des mineurs contre les contenus violents ou pornographiques) Article R du Code pénal (injure non publique) Articles 24 et 26 bis de la loi du 29 juillet 1881 (diffusion de contenus à caractère raciste ou antisémite) Responsabilité administrative de l’Etat (source http: //www.educnet.education.fr ) Le Conseil d’État est seul compétent pour ce type de litige qui implique de porter une appréciation sur le fonctionnement de l’administration. A titre d’exemple, la violation par un établissement scolaire d’une règle de droit ou une négligence, une erreur, une omission dans le fonctionnement du service (aucun système de filtrage sur les postes informatiques) sont des situations qui engagent la responsabilité administrative de l’État, des collectivités publiques ou des établissements publics. Rappel du matin : les populations concernées englobent l’ensemble de la société civile Les typologies de population engendrent des risques différents (protection des mineurs, comportement des étudiants, pression des parents, …), et donc des responsabilités différentes qui engagent l’état. L’axe juridique est un axe Fort du SDSI.

7 III. Le contexte existant Un SI complexe
CARTE DES SYSTEMES D’INFORMATION CENTRALE EPLE RECTORAT Inspection académique CROUS DOMAINES transversal GRH Elèves Financier Pilotage BCE PEGASE Action sociale Pension GAIA Paye étab. EPP 29 SENORITA AGORA GESICA ANTARES PAYE CNE AFR Scolarité AGLAE OPALES MEDSI SAGESSE BALI ABC STAT1 IVA OCEAN GEP JURY KHEOPS ISIS restauration VERCORS GFC calibres Base relais SISE BCP IPES ADAGIO Annuaire EPPprivé AGADES COFI pilotages annuaire STAGE ac POPPEE bib itarf GESUP syntaxe TG AGAPE privé EPI ETIC RAMSESE violence accidents APE I-Prof Commission départementale d'éducation spéciale AGADESCO CAF 101 BCN Infocentre ministériel III. Le contexte existant Un SI complexe Un SI complexe : de nombreux sites (rectorat, EPLE, Et.Sup., Ecoles, Centres d’examen, IA, CROUS, administration centrale, …) de multiples qpplications (GRH, gestion des élèves, des enseignants, finances, examens/concours, enquêtes, pilotage, …) Un SI qui s’ouvre de + en + Un SI sensible (ex: annuaires des élèves, résultats du Bac, avancement notation, primes agents, …) Attention, les progiciels tiers proposés aux établissements peuvent ne pas toujours être sécurisés. Exemple : Interfaçage d’un progiciel avec une application nationale, pour éviter des ressaisies par exemple Attention : la partie EPES (Etablissement public d’enseignement supérieur) n’est pas détaillée car les SI sont nombreux et parfois spécifiques à chaque établissement . L’AMUE est en charge de faire évoluer les SI pour le compte de ses adhérents. Sur ce slide, seules les intéractions des SI du scolaire sont matérialisées.

8 GESTION DES RESSOURCES HUMAINES
            3 SI pourraient poser problèmes s’ils étaient complètement bloqués OCEAN (gestion des examens-concours ) notamment pour les résultats du bac qui bloqueraient toute une série de processus métiers et chaîne d’inscription notamment dans le supérieur SIAM  (Système d’information d’aide pour les Mutations) gère les mouvements des personnels en intra ou inter académique : si toutes les mutations des enseignants ne pouvaient être menées à leur terme, la machine EN pourrait être bloquée – pas d’enseignants – pas de cours pour les élèves etc.) : le calendrier est extrêment serré et la procédure complexe PAYE : si les bases payes ou l’outil étaient endommagés ou attaquées bien que développé en 4GL et non ouvert sur internet car non webisée, il nous serait impossible de payer les agents et là, il me semble que le ministre n’y survivrait pas !!! tout comme ses représentants (recteurs etc..) HARPEGE : Gestion de la carrière des enseignants

9 LES ELEVES APOGEE : Application pour la gestion des Etudiants
Gère les notes. Exemple d’ouverture : publication des résultats sur l’internet

10 DOMAINE FINANCIER

11 PILOTAGE Les outils de pilotage sont centralisés, avec un mécanisme d’échange de fichiers avec les rectorats.

12 III. Le contexte existant Un réseau informatique étendu
Inspection Académique Rectorat Rectorat Internet / Renater Réseaux Régionaux EPLE Université RACINE: Réseau d’Accueil et de Consolidation des Intranets de l’EN: support sécurisé pour les échanges d’information (VPN) entre entités du ministère en s’appuyant sur des infrastructures réseau ouverts (internet): les ressources cryptologiques mises en œuvre dans le cadre du réseau RACINE ont pour finalité exclusive d’assurer le chiffrement de sessions de communication (i.e. de fournir un service de RPV), elles ne seront ainsi pas utilisées à des fins de signature, de scellement ou de chiffrement de données en vue d’un stockage sécurisé Racine : Réseau VPN MENESR hors EPES Racine 1 : réseau inter académique + centrale Racine-AGRIATES: Accès Généralisé aux Réseaux Internet Académiques et Territoriaux pour les Etablissements Scolaires: réseau inter établissements d’une académie (3000 ét. VPN agriates reliés sur 8000 soit 35%) Racine API (Accès Poste Isolé): nomade (PNR postes nomades racine), IEN,CROUS (PDR Poste distants Racine) etc.. accès du Sup. vers le scolaire (ex: Pension) + postes IPR (inspecteur pédagogique régional) EPLE Racine 1 Réseau public Racine Agriates Racine API

13 III. Le contexte existant Une problématique centrale : l’identité numérique
Le besoin Identifier et authentifier les accès (postes, personnes) Proportionner les moyens en fonction des risques Simplifier les accès (notion de Single Sign On) Les moyens disponibles L’identifiant (numen, adresse mél, …) L’authentifiant faible (mot de passe) L’authentifiant Fort (clé USB, carte à puce, empreinte numérique, …) La mise en œuvre Applications utilisées en interne Racine : mot de passe Applications ouvertes sur l’extérieur : authentifiant Fort On authentifie le poste de travail (ex: finances) ou l’individu (ex: demande de promotion, de mutation …)

14 Sommaire [Le cadre d’élaboration] [Le contexte existant]
I.1 Les enjeux I.2 Les objectifs [Le contexte existant] II.1 Une population sensible II.2 Un système d’information complexe II.3 Un réseau informatique étendu [Les travaux programmés]

15 IV.Les travaux programmés Plan d’actions 2004-2007
[ Mise en place d’un référentiel de sécurité ] [ Mise en place d’une chaîne d’alerte et de responsabilité ] [ Conception de dispositifs de sensibilisation à la SSI ] [ Élaboration de chartes de portée nationale ] [ Mise en place du carnet de sécurité des SI ] [ Mise en cohérence des dispositifs SSI et veille technique ] [ Mutualisation des dispositifs techniques et méthodologiques] 3 grandes actions : - définir une organisation et identifier les acteurs de la SSI Prendre en compte la sécurité dans la conception des projets informatiques Définir les règles et sensibiliser l’ensemble des acteurs (élèves, enseignants, gestionnaires, informaticiens, parents d’élèves…)

16 IV.Les travaux programmés Mise en place d’un référentiel de sécurité
Charte Administrateur de SI et de réseau Charte Personnels de l’éducation nationale Guide technique d’utilisation des TIC Charte Élève Annexe juridique relative à l’usage des SI Politique Générale de Sécurité Règles générales de sécurité du système d’information : Cadre Commun Schéma directeur de la Sécurité des systèmes d’information : SDS SI Référentiel Thématique Sécurité du réseau Gestion des habilitations Sécurité des données Politique de Certification des Clés (PC²) Déclaration des pratiques de certifications (DPC) Livre blanc de l’exploitation P2SI type (plans de Sécurité SI) (Règles de sécurité spécifiques aux environnements et plates-formes par sphères) Contrats de service CCTP Méthode d'intégration de la sécurité dans les projets informatiques (EBIOS light) Règles d'administration et d’utilisation Synthèse de ce que l’on veut faire : Le SDSI c’est : des grandes orientations : Annexe 1 SDSI + Politique générale SSI Des règles et des méthodes pour application dans chaque site : Annexe 2 Cadre commun de la SSI. Le CC prend en compte un certains nb de référentiels thématiques et fournit des éléments méthodologiques génériques (méthode d’intégration de la SSI dans les projets) et des éléments à décliner par sphère de responsabilité (P2SI). Un ensemble d’outils : annexe juridique, chartes, guides techniques, …

17 IV.Les travaux programmés Mise en place d’une chaîne d’alerte et de responsabilité
Chaîne fonctionnelle de la sécurité des systèmes d’information (SSI) Le premier ministre (Corresp.technique de la SSI) CTS SDS SI Les ministre et ministre délégué (Directions opérationelles) DPMA-DR-DT (Personne juridiquement responsable) PJR Recteur, Président d’université, Inspecteur d’Académie, Chef d’Établissement (Responsable de la SSI) RSSI Nommé par la PJR HFD (haut fonctionnaire de défense) IGI n° 901 SGDN/DCSSI/CERT-A FSSI (fonctionnaire de la SSI) AQSSI (autorité qualifiée pour la SSI) ASSI (agent de la SSI) La SSI est traitée de façon opérationnelle à l’intérieur de la sphère académique : la PJR est l’autorité hiérarchique de l’entité est à ce titre responsable de la SSI le RSSI est nommé par la PJR scolaire : cf. courrier de F.Perret du 23/07/03 supérieur : existant depuis 1994 les CTS sont désignés par le RSSI L’administration centrale intervient dans la chaîne : pour la définition des orientations stratégiques et le pilotage global de la démarche SSI pour centraliser les alertes et mutualiser les moyens Selon la recommandation interministérielle n° 901 sur la protection des systèmes d’information traitant des informations sensibles non classifiées de défense

18 IV.Les travaux programmés Des responsabilités partagées
Les rôles de la maîtrise d’ouvrage Définir les enjeux liés à la sécurité des SI Identifier les éléments essentiels (informations, fonctions) à protéger Exprimer les besoins en termes de disponibilité, intégrité, confidentialité Fournir la liste des usagers du SI considéré et leurs droits associés Organiser une étude sur les menaces pesant sur les SI Les rôles de la maîtrise d’œuvre Répondre aux besoins exprimés par la MOA Fournir les éléments nécessaires à la prise de décision (méthodes, accompagnement, estimation de coûts et de difficulté de mise en œuvre, …) Formaliser les mesures de sécurité et évaluer les risques non couverts Faire valider ses préconisations par la MOA

19 3 niveaux de sensibilisation à la SSI :
IV.Les travaux programmés Conception de dispositifs de sensibilisation à la SSI 3 niveaux de sensibilisation à la SSI : Décideurs académiques Séminaires d’une journée dans les 30 académies (DPMA) Sensibilisation juridique et aux enjeux de la SSI Présentation du SDS SI et retour d’expérience académique Chefs d’établissements Séminaires de sensibilisations à la SSI organisés par les services déconcentrés sous la responsabilité du RSSI dans chacune des académies –RECTEUR-SG –RSSI Sensibilisation juridique et aux enjeux de la SSI Personnels élèves étudiants Sensibilisation SSI à insérer dans le catalogue des CAFA Préparation d’un dispositif ad hoc dans le PNP (DPMA) Élèves : sensibilisation SSI dans le B2I (DT-DESCO-CTICE) Étudiants : sensibilisation SSI dans le C2I (DES - DT) En priorité, sensibiliser les décideurs : relativement à leur responsabilité vis-à-vis de la SSI Sur les aspects organisationnels de la SSI Sensibiliser également dans les académies Et via les moyens existants : CAFA : Centre Académique de Formation Administrative le CAFA gère et organise la formation continue à destination des personnels administratifs de l'Académie. Plan National de Pilotage des formations B2i (Direction des Technologies) C2i (Direction de l’Enseignement Supérieur + DT sur les aspects pédagogiques) pour les étudiants et les stagiaires IUFM

20 IV.Les travaux programmés Élaboration de chartes de portée nationale
COPIL SDS SI Juin 2003 Groupe “Ethique et Juridique” Charte Élève Charte « Administrateur de SI et de réseau » Charte « Personnels de l’éducation nationale » Directions Fonctionnelles Direction des Affaires Juridiques Comité de relecture CNIL Cabinets Avocats Spécialisés La charte élève est une charte de référence, conçue par la DT pour les élèves du 1er et du 2d degré. Elle est à prendre comme base de réflexion dans les travaux d’élaboration des chartes Etablissement (règlement Intérieur). Citée dans le B2i. Charte Personnels de l’EN : cadre pour les conditions d’utilisation des ressources informatiques du ministère. Charte administrateurs : essentiellement à destination des CTS + les chartes Université : réflexion en cours du CRU sur leur homogénéisation Élaboration / validation Expertise / validation Analyse / Avis / assistance

21 IV.Les travaux programmés Mise en place du carnet de sécurité des SI
Conception des systèmes d’information : Principe : « la sécurité doit être prise en compte tout au long du cycle de vie du système information » Le carnet de sécurité : Un outil collaboratif qui suit le système d ’information dans les différentes étapes de son élaboration Une base de connaissances consultable par tous les acteurs MOA MOE Niveau opérationnel (production, correspondant sécurité …) Mise en production Un carnet de sécurité pour chaque application. Accompagnement des MOA par le pôle sécurité d’Aix. Cahier de spécifications prise en compte des besoins dans le système (code…) Expressions des besoins en matière de sécurité Dossier CNIL Architectures techniques authentification forte, passerelle de sécurité,… Préconisations particulières de mise en exploitation

22 IV.Les travaux programmés Mise en cohérence des dispositifs SSI et veille technique
Sas (proxy) Applicatifs Métiers Élément d’intendance (Serveurs bureautiques, plate-forme d’administration) DMZ (Zone d’échanges) mur externe (Firewall y) Réseau sécurisé « Domaine 3 » de confiance « Domaine 2 » Serveurs accessibles de l’extérieur (web grand public, ftp public) mur interne (Firewall x) Serveur d’authentification Radius Utilisateurs nomades éventuels Postes de travail Centre pédagogique ! Antivirus, Filtre réseau, Filtre http Remarque : Cette modélisation ne signifie pas que l’extérieur du domaine de confiance est Internet, les réseaux sécurisés et les VPN sont sur Internet. Un Firewall est composé d’un Filtre réseau, un Filtre applicatif Les nomades sont dans le domaine de confiance. Notion de « Défense en profondeur » Plusieurs niveaux de confinement sont prévus, de façon à pouvoir stopper une attaque et éviter qu’elle ne se propage et ne perturbe l’ensemble des sites. ATTENTION, ce système ne protège pas contre les attaques de l’intérieur. D’où les règles (politiques, chartes, …) et les sensibilisations prévues au SDS SI. ! Attaque repoussée par le premier Firewall Attaque repoussée par le deuxième Firewall

23 Centre de surveillance
IV.Les travaux programmés Mutualisation des dispositifs techniques et méthodologiques Cadre commun de la sécurité Centre de repli Rectorat de Nancy-Metz SDS SI Méthodologie d’expression des besoins de sécurité Centre de surveillance et d’alerte Rectorat de Nancy-Metz Plan de sécurité type des systèmes d’information Centre d’ingénierie SSI Rectorat d’Aix-Marseille Synthèse des actions à mener : Cadre commun réalisé par les équipes techniques Méthodologie d’expression de besoins à destination des MOA et MOE Les Plans de sécurité à décliner dans chaque entité (responsabilité PJR) - (sauvegarde, secours, etc…) Pour cela, plusieurs niveaux d’aide : un centre de repli (prévu) en cas de défaillance d’un site (L’académie virtuelle du pôle de nancy-metz peut être étendue à un fonctionnement en mode dégradé) Un centre de surveillance mutualisable (sauvegarde, surveillance de la messagerie, redémarrage, dépannage, …) est déjà opérationnel à Nancy Un pôle d’expertise SSI mutualisable pour accompagner les MOA

24 En conclusion Chacun à son niveau est porteur de la démarche et responsable vis-à-vis de la loi La sécurité, c’est 1/3 de technique et 2/3 d’organisation La sécurité est au service des processus métier Le SDS SI : un ensemble d’outils pour vous aider En coordination avec la chaîne fonctionnelle et la chaîne opérationnelle Consultant de la société Silicomp-AQL Tél.: +33 (0) +33 (0) Support réalisé en collaboration avec les services de la DPMA/A3 Tél : +33 (0)


Télécharger ppt "Le cadre d’élaboration Le contexte existant Les travaux programmés"

Présentations similaires


Annonces Google