460 likes | 617 Views
De la théorie… …à la pratique. Sensibilisation aux enjeux organisationnels de la sécurité des systèmes d’information. Préambule. Dématérialisation / Téléprocédures. Administration électronique. Piranet. Interopérabilité. Environnements Numériques de Travail. Campus numérique.
E N D
De la théorie… …à la pratique Sensibilisation aux enjeux organisationnels de la sécurité des systèmes d’information
Préambule Dématérialisation / Téléprocédures Administration électronique Piranet Interopérabilité Environnements Numériques de Travail Campus numérique Signature électronique
Préambule Extrait d’un plan d’action gouvernemental : « Le Gouvernement entend mettre en place les infrastructures de confiance permettant d’une part aux citoyens qui le souhaitent d’utiliser en toute sérénité les télé-services de leur choix, et d’autre part aux administrations de disposer de systèmes d’information dont le niveau de sécurité est conforme aux exigences du monde actuel.Or, les audits menés par la Direction centrale de la sécurité des systèmes d’information (DCSSI) débouchent sur le constat suivant : - La menace est réelle, aussi bien sous forme d’attaques volontairement spectaculaires et générales (virus, vers) que d’actions ciblées et discrètes visant à récupérer des informations à caractère économique et politique ; - Les systèmes d’information des administrations présentent de nombreuses vulnérabilités, souvent d’origine humaine ; - Le marché des produits de sécurité n’est pas à même de fournir une gamme suffisante de produits qualifiés de haut niveau ; - Un effort majeur, financier et humain, a déjà été accompli par les principaux partenaires de la France afin de pouvoir répondre à des agressions de grande ampleur sur les réseaux d’information, par exemple de type terroriste ; - Le rapport parlementaire sur le projet de loi de finance 2004 (n°1093, annexe 36) a mis en évidence l’insuffisance des moyens mis à la disposition de l’administration française, en particulier au niveau interministériel.
Préambule 140 fiches projets « Administration électronique » dont :
Préambule – 31 août 2004 – 29 septembre 2004
Sommaire • De la théorie… • [La SSI, qu´est ce que c´est ?] • [Qu´avons-nous à protéger ?] …à la pratique • [Comment se protéger ?] • [Retours d’expérience]
I. La SSI, qu´est ce que c´est ? I.1 [Un peu de vocabulaire] I.2 [La problématique] I.3 [La sécurité des systèmes informatiques] I.4 [La sécurité des systèmes d´information]
I.1 La SSI qu´est ce que c´est ?Vocabulaire : Le système d´information Système d´information : organisation des activités consistant à acquérir, stocker, transformer, diffuser, exploiter, gérer ... les informations Un des moyens techniques pour faire fonctionner un système d’information est d’utiliser un Système informatique
I.1 La SSI qu´est ce que c´est ?Vocabulaire : La sécurité • Sécurité : Se protéger des malveillances (Security) • Sûreté : Se protéger des accidents (Safety) En pratique, la distinction n’est pas aussi nette.
I.1 La SSI qu´est ce que c´est ?Vocabulaire : Le vecteur DIC • Disponibilité On ne peut entraver ou neutraliser les fonctions de délivrance de l'information • Intégrité On ne peut modifier les informations stockées dans le système qu'à l´issue d'un acte légitime et volontaire et/ou On dispose d’un moyen sûr pour détecter une violation de l´intégrité • Confidentialité Seules les personnes habilitées peuvent accéder à l´information + la Preuve (auditabilité, imputabilité)
I.1 La SSI qu´est ce que c´est ?Vocabulaire : le RSSI Le Responsable de la Sécurité des Systèmes d’Information • est la cheville ouvrière de la démarche • Il doit être reconnu dans l´organisation, • Vision globale de l´organisation • Bonne connaissance des métiers de l´organisme dans lequel il évolue • Peut avoir un pouvoir de blocage • doit faire valoir une culture et une curiosité technique, • Une bonne connaissance de ce qu’est un projet informatique (cycle de développement, rôles MOA/MOE) • S’appuie sur une chaîne de responsabilités et d’alerte • des qualités relationnelles • La sécurité est transverse, comme la qualité (beaucoup d´interlocuteurs) • de la rigueur • Le RSSI doit montrer l’exemple Attention • à ne pas négliger les difficultés techniques (les techniques et les vulnérabilités évoluent) • à ne pas être paranoïaque
I. La SSI, qu´est ce que c´est ? I.1 [Un peu de vocabulaire] I.2 [La problématique] I.3 [La sécurité des systèmes informatiques] I.4 [La sécurité des systèmes d´information]
I.2 La SSI qu´est ce que c´est ?La problématique personnels, bâtiments, équipements, informations • Un SI gère des biens • Qui sont sensibles à des menaces • Liées à des vulnérabilités du SI • Exploitées par des attaques • Qui provoquent des dysfonctionnements • Dont on évalue la probabilité et l’impact • Afin d’estimer le risque • Ce qui permet de choisir les mesures adaptées (techniques et non techniques) L'homogénéité est un maître mot « La solidité d'une chaîne est celle du maillon le plus faible » accidents, erreurs, malveillances vulnérabilités intrinsèques, bugs, chevaux de Troie, … internes ou externes déni de service, divulgation d’information, atteinte à l’image, … R = P x I Assurance conformité Assurance efficacité
I.2 La SSI qu´est ce que c´est ?Une question d’analyse de risques • Il faut (faire) admettre que la sécurité absolue n’existe pas. Certains risques ne peuvent être couverts par des contre-mesures. • Gérer le risque, c’est • déterminer le niveau de risque à couvrir par des contre-mesures ou • déterminer un niveau de risque à partir duquel les menaces ne seront plus couvertes par une contre-mesure C’est le domaine du “décideur”. Il faut l’aider à décider mais la décision est de sa responsabilité juridique et/ou fonctionnelle.
I. La SSI, qu´est ce que c´est ? I.1 [Un peu de vocabulaire] I.2 [La problématique] I.3 [La sécurité des systèmes informatiques] I.4 [La sécurité des systèmes d´information]
I.3 La SSI qu´est ce que c´est ?La sécurité des systèmes informatiques • Les systèmes informatiques sont au cœur des systèmes d´information • Ils sont devenus la cible de ceux qui convoitent l’information • Assurer la sécurité de l’information implique d’assurer la sécurité des systèmes informatiques Condition nécessaire mais non suffisante
I.3 La SSI qu´est ce que c´est ?La sécurité des systèmes informatiques Erreurs de saisie Confidentialité Intégrité Virus Intégrité Disponibilité RESEAU Attaques réseau Confidentialité (écoute) Intégrité (modification paquets) Disponibilité (saturation) Accès illicites (intrusion) confidentialité Intégrité Disponibilité Rayonnements confidentialité
I. La SSI, qu´est ce que c´est ? I.1 [Un peu de vocabulaire] I.2 [La problématique] I.3 [La sécurité des systèmes informatiques] I.4 [La sécurité des systèmes d´information]
I.4 La SSI qu´est ce que c´est ?La sécurité des systèmes d´information – Synthèse 1/2 Prendre en compte la sécurité des systèmes d’information c’est : Garantir les services à rendre (paye, gestion des notes, comptabilité, GRH, …) par la mise en œuvre de moyens techniques et la définition d’une organisation dans le but • D´éviter les risques • sensibiliser : développer la prise de conscience et l’implication • prévenir : empêcher l'occurrence de l'événement • dissuader : prévoir des sanctions • De détecter les attaques • déceler et identifier l'agression • De limiter les dégâts • confinement : empêcher la propagation • riposte : mettre en place des mesures de sauvegarde, de destruction de l'information, des actions contre l'agresseur • réparation : annuler les conséquences et recouvrer la situationantérieure Pour finalement augmenter la confiance
I.4 La SSI qu´est ce que c´est ?La sécurité des systèmes d´information – Synthèse 1/2 Extrait d’un plan d’action gouvernemental : « B. Créer les conditions d’une confiance accrue Le développement de l’administration électronique tiendra toutes ses promesses si la multiplication des télé-services est concomitante à un accueil favorable des usagers des administrations aux services offerts. Au-delà des questions d’ergonomie et de qualité des services, une telle adhésion du public n’est concevable qu’à la condition que soient réunis tous les éléments nécessaires à laconfiance des citoyens et des professionnels dans le dispositif. La confiance constitue sans conteste un des enjeux majeurs du développement de l’administration électronique.Cette confiance dépend principalement de deux facteurs, la protection des données à caractère personnel et la sécurité des échanges. »
I.4 La SSI qu´est ce que c´est ?La sécurité des systèmes d´information – Synthèse 2/2 • Une démarche globale • Chacun est détenteur de la sécurité et doit se sentir « partie prenante » • La gestion des risques est déjà une composante des principes de management • Sécuriser les systèmes d’information suppose • des mesures techniques • Ex : Les utilisateurs qui accèdent au serveur doivent être identifiés et authentifiés... • Ex : Tout accès au serveur doit être journalisé... • des mesures non techniques • Ex : Une chaîne de responsabilités et d’alerte sera mise en place... • Ex : Le serveur du système informatique sera placé dans une pièce dont l’accès est contrôlé et surveillé... • Les moyens sont fonction des risques et des enjeux • Les mesures sont adaptées à l’environnement considéré • À la raison d’être de l’organisme (service public d’éducation) • Aux populations concernées • La sécurité est une affaire de confiance
Sommaire • De la théorie… • [La SSI, qu´est ce que c´est ?] • [Qu´avons-nous à protéger ?] …à la pratique • [Comment se protéger ?] • [Retours d’expérience]
II. Qu´avons-nous à protéger ? II.1 [Quels sont les biens ?] II.2 [Quelles sont les menaces à considérer ?] II.3 [Quels sont les enjeux ?]
Les contenus : les informations • Documents • Savoir-faire, Connaissances • Brevets • Données électroniques • Les contenants • Les bâtiments • Les salles de cours, les salles des profs • Les bibliothèques, les CDI, les CIO • Les serveurs informatiques • Les émetteurs et les récepteurs • Les personnels administratifs et enseignants • Les apprenants • La société civile • Les informaticiens • Les vecteurs • Le téléphone, les documents • Le courrier, le fax • La bureautique, l’internet, le mèl, le PDA, … II.1 Qu´avons-nous à protéger ?Quels sont les biens ?
II.1 Qu´avons-nous à protéger ?Quels sont les biens ? • Une population hétérogène • Élèves mineurs • Élèves et étudiants majeurs • Enseignants • Gestionnaires • Administratifs • Techniques • Encadrement • Informaticiens • Parents d’élèves • Candidats aux concours • Fournisseurs, Partenaires,… • Collectivités territoriales • Des informations sensibles • Données personnelles de l’élève • Données personnelles de l’étudiant • Données personnelles de l’enseignant • Données personnelles de l’agent • Données médicales • Données relatives aux diplômes • Données relatives aux projets • Résultats de recherche • Configuration des équipements • Données relatives à l´affectation/aux missions • Données relatives au statut • Données relatives aux moyens • … + un environnement électronique de plus en plus « nomade »
II.2 Qu´avons-nous à protéger ?Quelles sont les menaces à considérer ? • Accidents physiques • Risques d´incendie, de dégâts des eaux, … • Perte de services essentiels • Perte d´alimentation électrique, des moyens de télécommunication, … • Compromission des matériels, des informations ou des fonctions • Utilisation illicite des moyens mis à disposition par l’état • Falsification d’informations • Infection par des virus • Risque d´écoute, de vol, de divulgation d´information, • Usurpation de droits, d’identité, • Défaillance technique • Panne matérielle, saturation, dysfonctionnement, … • Erreurs • Erreurs de saisie ou d´utilisation
Sommaire • De la théorie… • [La SSI, qu´est ce que c´est ?] • [Qu´avons-nous à protéger ?] …à la pratique • [Comment se protéger ?] • [Retours d’expérience]
III. Comment se protéger ? III.1 [Définir son référentiel] III.2 [La sécurité organisationnelle] III.3 [La sécurité technique]
C’est un schéma directeur III.1 Comment se protéger ?Définir son référentiel • Définir une Politique de sécurité • Affiche l’engagement de l’encadrement • Définit les règles et les principes • Identifier une Organisation • Rôles et responsabilités à tous les niveaux • Encadrement supérieur • Encadrement intermédiaire • Opérationnels (enseignants, chercheurs, agents, informaticiens) • Usagers (élèves, étudiants, parents d’élèves) • Planifier des mesures de sécurité • Sécurité technique • Sécurité organisationnelle • Élaborer des tableaux de bord Référentiel : Sous-système d’information collectif composé, pour le domaine d’étude concerné, d’informations de référence à partager par les acteurs de l’entreprise au travers des systèmes d’information spécifiques. Un référentiel permet de gérer les redondance, synonyme, duplication d’informations de même nature, mises à jour par plusieurs applications indépendantes, avec des codifications et des contenus différents ;
Répond à des objectifs de sécurité définis Politique de sécurité Est organisé de façon cohérente et responsable Organisation En conformité avec la législation Cadre Légal Chartes et bonnes pratiques et avec les bonnes pratiques Intègre des moyens techniques de sécurité exploités dans un environnement lui-même sécurisé Socle Technique III.1 Comment se protéger ?Définir son référentiel Un système d´information sécurisé système d´information système informatique
III. Comment se protéger ? III.1 [Définir son référentiel] III.2 [La sécurité organisationnelle] III.3 [La sécurité technique] Politique de sécurité Organisation Cadre Légal Chartes et bonnes pratiques Socle Technique
III.2 Comment se protéger ?La sécurité organisationnelle – La politique • Elle définit les principes… • Identifie les biens sensibles • Établit un cadre (règles) pour toute action visant à protéger le patrimoine • …et introduit la démarche globale de sécurité • Favorise la prise de conscience collective • Définit et répartit les droits et devoirs de chacun • Elle est initiée par l’encadrement supérieur dans chaque sphère de responsabilité Politique de sécurité Organisation Cadre Légal Chartes et bonnes pratiques Socle Technique
III.2 Comment se protéger ?La sécurité organisationnelle - La sécurité de l´organisation • Définit les missions impliquées dans la démarche globale de sécurité • La chaîne hiérarchique • La chaîne technique • Les sphères de responsabilité • Les cloisonnements • Définit le plan de sensibilisation/formation des personnels • Définit les modalités de remontée d´information sur les incidents de sécurité et la gestion de crise (chaîne de responsabilités et d’alerte) • Scolaire • Etablissement • Classe • … • Supérieur • Université • UFR • Labos • … Politique de sécurité Organisation Cadre Légal Chartes et bonnes pratiques Socle Technique
III.2 Comment se protéger ?La sécurité organisationnelle - La réglementation • Précise le cadre législatif • Définit la réglementation interne • Contrôle d´accès, zones réservées, port de badge, … • Charte des personnels (définie en collaboration avec les représentants du personnel) • Signature d´engagement de confidentialité • Définition d´exigences sécurité dans les missions Politique de sécurité Organisation Cadre Légal Chartes et bonnes pratiques Socle Technique
III. Comment se protéger ? III.1 [Définir son référentiel] III.2 [La sécurité organisationnelle] III.3 [La sécurité technique] Politique de sécurité Organisation Cadre Légal Chartes et bonnes pratiques Socle Technique
III.3 Comment se protéger ?La sécurité technique – Le cas de l´internet • Historique • Initialisé par le Department of Defense à l'époque de la guerre froide • Repris dans un contexte universitaire • Explosion du WEB depuis 7 ans • Principes • Volonté de faciliter la communication entre les chercheurs • Principe d’ouverture et de gratuité • Impact • Large diffusion • Pas d'administration globale • Pas de prise en compte initiale de la sécurité 1991 1997
III.3 Comment se protéger ?La sécurité technique – Les services de l´internet • Les services de base • La messagerie électronique • Messagerie mondiale au coût d'une communication locale • Le Web • Succès basé sur l'utilisation de l'hypertexte • Utilisé pour la publicité gratuite, le support technique en ligne, ... • Les forums • Groupes de discussion d'intérêt commun • Et d´autres… • Chat, Annuaire électronique, supervision d’équipements, … • Les services offerts • Les sites d’information (www.servicepublic.fr , www.education.gouv.fr) • Les télé-services (inscription au concours, parents d’élèves, …) • Cartable électronique, cahier de texte virtuel, …
Le client mèl de Lefuneste est Mozilla Le message passe par un serveur antivirus …puis par un serveur relais …est transmis au serveur du fournisseur d’accès Tiscali, dont le serveur est de type Microsoft Exchange Le message passe par un serveur anti-spam
III.3 Comment se protéger ?Les moyens de la sécurité technique • Des techniques aujourd’hui matures • Des méthodes et des outils (PSI2, EBIOS, FEROS, …) • Des architectures sécurisées (ex: RACINE, RENATER, …) • Des produits de sécurité (pare-feux, antivirus, …) • Une affaire de spécialistes • Les informaticiens du ministère (CATI, CRI, Centres de calcul, …) • Les experts • La DCSSI Politique de sécurité Organisation Cadre Légal Chartes et bonnes pratiques Socle Technique
Sommaire • De la théorie… • [La SSI, qu´est ce que c´est ?] • [Qu´avons-nous à protéger ?] …à la pratique • [Comment se protéger ?] • [Retours d’expérience]
Prévoir Plan d'action Identification des objectifs Indicateurs de progrès Confiance Maîtrise Progrès Réagir Amélioration des pratiques 5S – Kaizen Définition et mise en œuvre Seiri Seiton Seiso Seiketsu Shitsuke Trier Arranger Nettoyer Standardiser Faire évoluer Faire Supervision et vérification Tableaux de bord Audit sécurité Vérifier IV Retours d’expérience Une démarche d’amélioration continue Roue de Deming ou PDCA (Plan / Do / Check / Act)
IV Retours d’expérience Choisir les moyens en fonction des enjeux • Les moyens mis en œuvre sont au service du fonctionnel • Ils doivent permettre de répondre au défi et aux enjeux d’une potentielle insécurité. L’aspect potentiel de l’insécurité rend les prises de décision difficiles (principe de précaution) • Les mesures organisationnelles sont plus pérennes et souvent moins coûteuses • Le bon cocktail de la sécurité : 1/3 de technique, 2/3 d’organisation Enquête IDC 2002 : 35% investissements / 65% fonctionnement Extrait d’un plan d’action gouvernemental : « […] pour les services ne nécessitant pas aujourd’hui l’identification de l’usager,il ne faut pas tomber dans une logique de « sur-sécurité »,inutile, coûteuse et qui pourrait au final induire des atteintes aux libertés fondamentales.»
IV Retours d’expérience Quelques conseils • Il vaut mieux • Préférer une démarche sécurité à une démarche sécuritaire • Ne pas dissocier amélioration de la sécurité et stratégie (raison d’être) de l’organisme • Se préoccuper des acteurs avant la technique • Inclure les bons acteurs (en particulier l’encadrement) dans la démarche • Ne pas bouleverser systématiquement l'organisation existante pour améliorer la situation (La SSI doit s’intègrer dans le système de management existant) • Ne pas mésestimer l'impact des changements sur les opérationnels • Insister sur la notion d’ « état d’esprit sécurité » Chacun est porteur de la démarche et détenteur d’une partie de la sécurité globale des systèmes d’information • Quelques sites • ssi.in.ac-aix-marseille.fr (site accessible sur l’intranet scolaire) • www.educnet.education.fr / www.cru.fr • www.ssi.gouv.fr / www.clusif.asso.fr / www.cnil.fr / www.adae.gouv.fr • www.internet-mineurs.gouv.fr
En conclusion Chacun à son niveau est porteur de la démarche et responsable vis-à-vis de la loi La sécurité, c’est 1/3 de technique et 2/3 d’organisation La sécurité est au service des processus métier gilles.bizet@aql.fr Consultant de la société Silicomp-AQL Tél.: +33 (0)2 99 12 50 00 +33 (0)6 80 61 41 51 Support réalisé en collaboration avec les services de la DPMA/A3 Tél : +33 (0)1 55 55 36 42