La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

La Sécurité des Systèmes d’Information Définitions et enjeux IUFM de Bretagne – UBO Site de Rennes 19 janvier 2010.

Présentations similaires


Présentation au sujet: "La Sécurité des Systèmes d’Information Définitions et enjeux IUFM de Bretagne – UBO Site de Rennes 19 janvier 2010."— Transcription de la présentation:

1 La Sécurité des Systèmes d’Information Définitions et enjeux IUFM de Bretagne – UBO Site de Rennes 19 janvier 2010

2 1)Une approche systémique ? 2)Si vis pacem… 3)Guide de survie ou promenade en forêt par une nuit sans lune La Sécurité des Systèmes d’Information Plan suivi

3 La Sécurité des Systèmes d’Information 1) Une approche systémique ? Cartésianisme David, Le serment des Horaces, musée du Louvre. Systémique C. Lièvre, académie de Rennes

4 La Sécurité des Systèmes d’Information 1) Une approche systémique ? Source : Contrôle d’accès Confinement de zones Contrôle de variables Antivirus Tests d’intégrité Détection d’intrusion Respect des lois Sensibilisation Chiffrement Pare-feuContrôle de flux

5 La Sécurité des Systèmes d’Information 1) Une approche systémique ? Les niveaux de maturité Source : Cf. fiche de positionnement DCSSIfiche de positionnement DCSSI

6  Le contexte national :  Comité Interministériel pour la Société de l’Information (1998) ;Comité Interministériel pour la Société de l’Information  Convention de Budapest (novembre 2001) ; entrée en vigueur en France en juin 2003 ;Convention de Budapest  PRSSI – Plan de Renforcement de la SSI de l’Etat (2004) ;PRSSI  Schéma Directeur SSI – MEN (2005) ;Schéma Directeur SSI  Circulaire du 18 février 2004 relative à la protection des mineurs.Circulaire du 18 février 2004 La Sécurité des Systèmes d’Information 1) Une approche systémique ?  La campagne de sensibilisation lancée par le ministère en 2005

7  La déclinaison académique : La Sécurité des Systèmes d’Information 1) Une approche systémique ? Source : SDSSI - MEN PSSI POSSI

8  La PSSI :  définit les orientations stratégiques de la politique de l’académie en matière de SSI ;  fixe son périmètre, spécifie des critères de sécurité ;  précise dans ses grandes lignes l’organisation mise en place ;  organise les relations avec les organismes concernés ;  introduit les documents recensant les règles de sécurité :  document cadre (PSSI elle-même) ;  Programme Opérationnel de Sécurisation des SI (POSSI) ;  charte d’usage, déclinée en plusieurs volets (élèves, personnels EN, organisations syndicales, administrateur des SI, usagers hors EN).  Elle doit se décliner à différents niveaux : - Services académiques ; - EPLE ; - Ecoles (peu prises en compte aujourd’hui). La Sécurité des Systèmes d’Information 1) Une approche systémique ?  PSSI

9  Le POSSI :  il fédère l’ensemble des initiatives déjà entamées et les projets à mettre en oeuvre dans le cadre d’une programmation sur ;  il s’intéresse à :  la sécurité des infrastructures :  cartographie ;  échanges inter-sites ;  disponibilité et qualité de service ;  relations inter-académiques ;  la sécurité des données :  installation d’une salle de secours ;  sur les réseaux sans fil ;  déclinaison de PIRANET au niveau académique ;  accompagnement du développement de l’ENT ;  la sécurité des usagers :  sensibilisation et formation des personnels ;  filtrage d’URLs ;  diffusion de modèles de chartes ;  sensibilisation des élèves ;  Respect de la législation (/ CNIL notamment). La Sécurité des Systèmes d’Information 1) Une approche systémique ?  POSSI

10  Objectifs :  Anticiper  Savoir réagir  Améliorer Source : SGDN La Sécurité des Systèmes d’Information 1) Une approche systémique ! en ayant à l’esprit cf. démarche qualité

11  La PSSI, déclinée au niveau des EPLE : pourquoi ?  l’AQSSI au niveau de l’EPLE est le chef d’établissement ;  enjeux de proximité. La Sécurité des Systèmes d’Information 1) Une approche systémique : la sphère EPLE  Les obstacles potentiels :  la compétence technique ;  les moyens.

12  Une PSSI en EPLE : pourquoi (suite) ? La Sécurité des Systèmes d’Information 1) Une approche systémique : la sphère EPLE Source : Mémento SSI, académie de Rennes

13  Une PSSI en EPLE : comment ?  des outils (modèles de chartes élèves et personnels, mémento SSI, documents de sensibilisation, espace SSI, fiches d’activités de sensibilisation pour les élèves) ;  la mise en place d’un réseau : ISSI / CSSI  les moyens : hier et aujourd’hui La Sécurité des Systèmes d’Information 1) Une approche systémique : la sphère EPLE

14  Une PSSI en EPLE : comment (suite) ?  Importance des actions de sensibilisation (80% des incidents SSI < utilisateurs)  Moments possibles :  pour les élèves : activités liées au B2i, analyse et signature de la charte ; journée portes ouvertes ;  pour les personnels : pré-rentrée, activités liées au C2i, demi-journée banalisée, animations par le CSSI ;  pour les parents : réalisation de panneaux présentés lors de la journée portes ouvertes et/ou des rencontres parents/professeurs.  Rôle des chartes (élèves et personnels).  Autres points essentiels (cf. circulaire du 18 février 2004) :  Le filtrage (perfectible aujourd’hui) ;  La surveillance des traces de connexion ;  Le respect des procédures d’urgence : cf. chaîne d’alerte P.S.S.I. formalisation La Sécurité des Systèmes d’Information 1) Une approche systémique : la sphère EPLE

15 La Sécurité des Systèmes d’Information 2) Si vis pacem… Ouvrage de Schoenenbourg (Bas-Rhin) appartenant à la ligne Maginot. Source : Wikimedia commons Défense en profondeur

16 La Sécurité des Systèmes d’Information 2) Si vis pacem… Ex. Archives et chiffrement Ex. Timeo Danaos et dona ferentes (Virgile, Enéide, II, 49) Ex. Ne pas consommer après la date indiquée…

17 La Sécurité des Systèmes d’Information 2) Si vis pacem… / l’Internet, c’est quoi ?

18 Source : - janvier 2009http://www.internetworldstats.com/stats.htm Source : - septembre 2009

19 La Sécurité des Systèmes d’Information 2) Si vis pacem… / l’Internet, c’est quoi ? Images propriétés de l’académie de Rennes (6et 7), du MEN (4 et 5), du CNDP (10), sous licence libre (1, 2, 3, 8, 9 et 12), ou avec l’autorisation de Poisaya (11)Poisaya

20 PIRATAGE P É DOPORNOGRAPHIE VIOLENCE IMAGES DE GUERRE R ÉVISIONNISME VIRUS INCITATION AU TERRORISME APOLOGIE DE CRIME PORNOGRAPHIE SPAM VENTE DE PRODUITS ILL É GAUX APOLOGIE DU SUICIDE BARBARIE INCITATION à LA HAINE ESCROQUERIE SITES P É DOPHILES La Sécurité des Systèmes d’Information 2) Si vis pacem… / l’Internet, c’est quoi ?

21 Les logiciels malveillants :  Les adwaresadwares  Les wabbitswabbits  Les logiciels espion (spywares)logiciels espion  Les virusvirus  Les vers (worms)vers  Les chevaux de Troie (trojan horses)chevaux de Troie  Les portes dérobées (backdoors)portes dérobées  Les keyloggers (cf. spywares)keyloggers  Les rootkitsrootkits Les joies de la messagerie :  Le Spam et le Scam 419SpamScam 419  Les Canulars (hoax)Canulars Cf. les définitions sur ou sur La Sécurité des Systèmes d’Information 2) Si vis pacem… / les codes malveillants

22 La Sécurité des Systèmes d’Information 2) Si vis pacem… / temps de survie Source : - oct 09 – jan 10http://www.dshield.org/

23 La Sécurité des Systèmes d’Information 2) Si vis pacem… / la grippe… Document utilisé avec l’aimable autorisation de Trend Micro Incorporated ; © 2002 Trend Micro Incorporated. All Rights Reserved

24 La Sécurité des Systèmes d’Information 2) Si vis pacem… / les attaques massives

25 La Sécurité des Systèmes d’Information 2) Si vis pacem… / les attaques massives (suite) Source : CLUSIF, Panorama de la cybercriminalité 2005

26 Vers Kiazha-A : « Prépare 10 euros en crédits de jeux ou je ne marche plus » La Sécurité des Systèmes d’Information 2) Si vis pacem… / évolution de la cybercriminalité

27 En septembre 2007, on peut estimer à environ : le nombre de pages WEB pornographiques pour de noms de domaines (environ 12% du total) ; $ le chiffre d’affaire annuel généré par l’industrie pornographique sur l’Internet ; La Sécurité des Systèmes d’Information 2) Si vis pacem… / la pornographie sur le WEB

28 - Quelques faits marquants :  Environ un accès sur quatre à des sites pornographiques est involontaire ;  Tous les ans, noms de domaines qui ont expiré sont récupérés et renvoient à des contenus pornographiques (cybersquatting) ;  Un élève détenteur d’une boîte de messagerie sur deux a déjà reçu des messages non sollicités (pourriels ou spam), plus de la moitié de ces messages vantent les contenus de sites pornographiques, le plus souvent images à l’appui ;  En 2001, 70% des garçons élèves de l’enseignement secondaire canadien visitaient des images réelles d’accidents, de torture ou de mutilation ; La Sécurité des Systèmes d’Information 2) Si vis pacem… / contenus inappropriés aux mineurs

29 - Elle touche de nombreux protocoles de l’internet :  Le WEB (relativement peu) ;  L’IRC ou Internet Relay Chat (beaucoup) ;  Forums sur Usenet ou newsgroups (beaucoup) ;  La messagerie électronique traditionnelle (beaucoup) ;  Les salons de chat publics et privés (beaucoup) ;  Les réseaux P2P (de plus en plus, en particulier les réseaux chiffrés de type Freenet) ; La Sécurité des Systèmes d’Information 2) Si vis pacem… / la pédopornographie

30 Source : Internet Watch Foundation, rapport 2007 de juin La Sécurité des Systèmes d’Information 2) Si vis pacem… / la pédopornographie

31 La publication d’informations personnelles : Les messageries instantanées : - Elles ne sont pas suffisamment sécurisées ; - Attention au chat vidéo ! La Sécurité des Systèmes d’Information 2) Si vis pacem… / publication et exposition…

32 La Sécurité des Systèmes d’Information 2) Si vis pacem… / Big Brother is watching you ? Source :

33 P2P : ce que prévoit la loi DADVSI (actuellement) : - Peine maximale encourue : 3 ans de prison et euros d’amende ; - Trois niveaux de responsabilité : - auteurs/distributeurs de logiciels P2P : peines dissuasives ; - mise à disposition d’œuvres protégées : sanctions lourdes ; - téléchargement illégal (sanctions pécuniaires, limitation de l’abonnement internet). La Sécurité des Systèmes d’Information 2) Si vis pacem… / le téléchargement illégal

34 La Sécurité des Systèmes d’Information 2) Si vis pacem… / droit et règles Source :

35 La Sécurité des Systèmes d’Information 2) Si vis pacem… / droit et règles (suite) Source :

36 La Sécurité des Systèmes d’Information 3) Guide de survie Défense en profondeur  Anticiper  Savoir réagir  Améliorer

37 La Sécurité des Systèmes d’Information 3) Guide de survie Anticiper : - Mesures techniques : - Antivirus et pare-feu à jour - Système et logiciels critiques à jour - Sauvegarder intelligemment - Prudence : - pleine conscience des menaces - la sécurité : un art simple et tout d’exécution Savoir réagir : - Disposer de procédures : - pour prendre les bonnes décisions dans l’urgence (ex. intrusion) ; - pour alerter ; - pour restaurer. Améliorer : - Analyse des fautes commises : - identification des mesures correctrices ;  Impact sur l’anticipation et les procédures de crise - Importance de l’exercice et de la simulation  Ex. du filtrage d’URLsEx. du filtrage d’URLs

38  Le contrôle de l’information a priori et a posteriori  Mesures de formation, de sensibilisation, de responsabilisation, chartes  Mesures d’alerte  Suivi et mise en œuvre : (Accès à Internet pour l’EDUcation)http://www.educnet.education.fr/aiedu/ Texte de la circulaire : La Sécurité des Systèmes d’Information 3) Guide de survie / protection des mineurs La circulaire du 18 février 2004 :

39  La suite logicielle Kaspersky pour tous les établissements publics et les personnels, y compris pour une utilisation à domicile ;  Elle intègre : un antivirus, un anti-espion, un pare-feu, un module anti-spam (la messagerie académique dispose déjà de filtres qui bloquent environ 90% des pourriels reçus, soit 8 millions par an). La Sécurité des Systèmes d’Information 3) Guide de survie / suite de sécurité académique

40  Les chartes : cf. nouveaux modèles de chartes « élève » et « personnels » sur l’espace SSI académique (modèle « administrateur » à venir) :  plaquette « mémento de la SSI » à destination des personnels de direction sur :  des fiches d’activités de sensibilisation, disponibles à la rentrée : cf. exempleexemple  Une rubrique SSI sur le CD de logiciels libres ou gratuits distribué à tous les enseignants du 2 nd degré.rubrique SSI La Sécurité des Systèmes d’Information 3) Guide de survie / les ressources académiques Source : académie de Rennes

41  Code pénal : articles (corruption de mineur), (pédopornographie) et (diffusion de contenus violents ou pornographiques) ;  Loi du 6 janvier 78 modifiée en août 2004 (Informatique et Libertés)  La circulaire du 18 février 2004 ;  La loi du 5/1/88 relative à la fraude informatique (loi Godfrain) ;  La législation relative à la propriété intellectuelle (cf. CPI, DADVSI notamment) ;  L’article 8 du code civil et l’art. 9 de la conv. eur. des droits de l’homme (vie privée et secret des correspondances) ;  Loi du 29 juillet 1881 sur la liberté de la presse ; version consolidée le 19 avril 2006 ;  La législation applicable en matière de cryptologie ;législation applicable en matière de cryptologie  La loi du 21 juin 2004 dite LCEN… La Sécurité des Systèmes d’Information 3) Guide de survie / les textes juridiques de référence

42 La Sécurité des Systèmes d’Information Conclusion : être responsable, une « drôle » de promenade Source de l’image de la route : Wikimedia Commons, logo C2i propriété du MEN, B2i de Didier Quidu, académie de Rennes, cliparts libres de droits.

43 La Sécurité des Systèmes d’Information Conclusion : eppur si muove  La révolution informatique est en marche, mais elle ne fait que commencer ;  L’école est au cœur de cette révolution car son enjeu est bien plus la maîtrise d’une information protéiforme et tentaculaire que l’accès à cette information elle-même ;  Comment permettre aux enfants de dompter l’océan et de naviguer au milieu des récifs ? Comment échapper à l’attraction des étoiles supermassives, concentrant et contrôlant l’ensemble des chemins d’accès à la connaissance, capables aussi de devenir de terribles agents liberticides ? L’école a la mission impossible de jongler avec des exigences complexes, voire contradictoires. Etre et enseigner à être responsable dans le cadre du système éducatif ? Répondre à cette question revient finalement à en formuler beaucoup d’autres. Mais est-ce finalement le défi le plus complexe que l’école doit relever ?

44 ? La Sécurité des Systèmes d’Information Questions ? Contact :


Télécharger ppt "La Sécurité des Systèmes d’Information Définitions et enjeux IUFM de Bretagne – UBO Site de Rennes 19 janvier 2010."

Présentations similaires


Annonces Google