La Scurit des Systmes dInformation Dfinitions et enjeux

  • Slides: 44
Download presentation
La Sécurité des Systèmes d’Information Définitions et enjeux IUFM de Bretagne – UBO Site

La Sécurité des Systèmes d’Information Définitions et enjeux IUFM de Bretagne – UBO Site de Rennes 19 janvier 2010

La Sécurité des Systèmes d’Information Plan suivi 1) Une approche systémique ? 2) Si

La Sécurité des Systèmes d’Information Plan suivi 1) Une approche systémique ? 2) Si vis pacem… 3) Guide de survie ou promenade en forêt par une nuit sans lune

La Sécurité des Systèmes d’Information 1) Une approche systémique ? Cartésianisme David, Le serment

La Sécurité des Systèmes d’Information 1) Une approche systémique ? Cartésianisme David, Le serment des Horaces, musée du Louvre. Systémique C. Lièvre, académie de Rennes

La Sécurité des Systèmes d’Information 1) Une approche systémique ? Contrôle d’accès Tests d’intégrité

La Sécurité des Systèmes d’Information 1) Une approche systémique ? Contrôle d’accès Tests d’intégrité Confinement de zones Détection d’intrusion Contrôle de variables Respect des lois Antivirus Sensibilisation Chiffrement Source : http: //www. watchman. dsl. pipex. com/ Pare-feu Contrôle de flux

La Sécurité des Systèmes d’Information 1) Une approche systémique ? Les niveaux de maturité

La Sécurité des Systèmes d’Information 1) Une approche systémique ? Les niveaux de maturité Source : http: //www. dsna-dti. aviation-civile. gouv. fr Cf. fiche de positionnement DCSSI

La Sécurité des Systèmes d’Information 1) Une approche systémique ? § Le contexte national

La Sécurité des Systèmes d’Information 1) Une approche systémique ? § Le contexte national : § Comité Interministériel pour la Société de l’Information (1998) ; § Convention de Budapest (novembre 2001) ; entrée en vigueur en France en juin 2003 ; § PRSSI – Plan de Renforcement de la SSI de l’Etat (2004) ; § Schéma Directeur SSI – MEN (2005) ; § Circulaire du 18 février 2004 relative à la protection des mineurs. La campagne de sensibilisation lancée par le ministère en 2005

La Sécurité des Systèmes d’Information 1) Une approche systémique ? § La déclinaison académique

La Sécurité des Systèmes d’Information 1) Une approche systémique ? § La déclinaison académique : PSSI POSSI Source : SDSSI - MEN

La Sécurité des Systèmes d’Information 1) Une approche systémique ? PSSI § La PSSI

La Sécurité des Systèmes d’Information 1) Une approche systémique ? PSSI § La PSSI : § définit les orientations stratégiques de la politique de l’académie en matière de SSI ; § fixe son périmètre, spécifie des critères de sécurité ; § précise dans ses grandes lignes l’organisation mise en place ; § organise les relations avec les organismes concernés ; § introduit les documents recensant les règles de sécurité : § document cadre (PSSI elle-même) ; § Programme Opérationnel de Sécurisation des SI (POSSI) ; § charte d’usage, déclinée en plusieurs volets (élèves, personnels EN, organisations syndicales, administrateur des SI, usagers hors EN). Elle doit se décliner à différents niveaux : - Services académiques ; - EPLE ; - Ecoles (peu prises en compte aujourd’hui).

La Sécurité des Systèmes d’Information 1) Une approche systémique ? POSSI § Le POSSI

La Sécurité des Systèmes d’Information 1) Une approche systémique ? POSSI § Le POSSI : § il fédère l’ensemble des initiatives déjà entamées et les projets à mettre en oeuvre dans le cadre d’une programmation sur 2010 -2012 ; § il s’intéresse à : § la sécurité des infrastructures : § cartographie ; § échanges inter-sites ; § disponibilité et qualité de service ; § relations inter-académiques ; § la sécurité des données : § installation d’une salle de secours ; § sur les réseaux sans fil ; § déclinaison de PIRANET au niveau académique ; § accompagnement du développement de l’ENT ; § la sécurité des usagers : § sensibilisation et formation des personnels ; § filtrage d’URLs ; § diffusion de modèles de chartes ; § sensibilisation des élèves ; § Respect de la législation (/ CNIL notamment).

La Sécurité des Systèmes d’Information 1) Une approche systémique ! § Objectifs : §

La Sécurité des Systèmes d’Information 1) Une approche systémique ! § Objectifs : § Anticiper § Savoir réagir en ayant à l’esprit § Améliorer cf. démarche qualité Source : SGDN

La Sécurité des Systèmes d’Information 1) Une approche systémique : la sphère EPLE §

La Sécurité des Systèmes d’Information 1) Une approche systémique : la sphère EPLE § La PSSI, déclinée au niveau des EPLE : pourquoi ? l’AQSSI au niveau de l’EPLE est le chef d’établissement ; enjeux de proximité. § Les obstacles potentiels : § la compétence technique ; § les moyens.

La Sécurité des Systèmes d’Information 1) Une approche systémique : la sphère EPLE §

La Sécurité des Systèmes d’Information 1) Une approche systémique : la sphère EPLE § Une PSSI en EPLE : pourquoi (suite) ? Source : Mémento SSI, académie de Rennes

La Sécurité des Systèmes d’Information 1) Une approche systémique : la sphère EPLE §

La Sécurité des Systèmes d’Information 1) Une approche systémique : la sphère EPLE § Une PSSI en EPLE : comment ? § des outils (modèles de chartes élèves et personnels, mémento SSI, documents de sensibilisation, espace SSI, fiches d’activités de sensibilisation pour les élèves) ; § la mise en place d’un réseau : ISSI / CSSI § les moyens : hier et aujourd’hui

La Sécurité des Systèmes d’Information 1) Une approche systémique : la sphère EPLE §

La Sécurité des Systèmes d’Information 1) Une approche systémique : la sphère EPLE § Une PSSI en EPLE : comment (suite) ? § Importance des actions de sensibilisation (80% des incidents SSI < utilisateurs) § Moments possibles : § pour les élèves : activités liées au B 2 i, analyse et signature de la charte ; journée portes ouvertes ; § pour les personnels : pré-rentrée, activités liées au C 2 i, demi-journée banalisée, animations par le CSSI ; § pour les parents : réalisation de panneaux présentés lors de la journée portes ouvertes et/ou des rencontres parents/professeurs. § Rôle des chartes (élèves et personnels). § Autres points essentiels (cf. circulaire du 18 février 2004) : § Le filtrage (perfectible aujourd’hui) ; § La surveillance des traces de connexion ; § Le respect des procédures d’urgence : cf. chaîne d’alerte formalisation P. S. S. I.

La Sécurité des Systèmes d’Information 2) Si vis pacem… Ouvrage de Schoenenbourg (Bas-Rhin) appartenant

La Sécurité des Systèmes d’Information 2) Si vis pacem… Ouvrage de Schoenenbourg (Bas-Rhin) appartenant à la ligne Maginot. Source : Wikimedia commons Défense en profondeur

La Sécurité des Systèmes d’Information 2) Si vis pacem… Ex. Archives et chiffrement Ex.

La Sécurité des Systèmes d’Information 2) Si vis pacem… Ex. Archives et chiffrement Ex. Timeo Danaos et dona ferentes (Virgile, Enéide, II, 49) Ex. Ne pas consommer après la date indiquée…

La Sécurité des Systèmes d’Information 2) Si vis pacem… / l’Internet, c’est quoi ?

La Sécurité des Systèmes d’Information 2) Si vis pacem… / l’Internet, c’est quoi ?

La Sécurité des Systèmes d’Information 2) Si vis pacem… / l’Internet, c’est quoi ?

La Sécurité des Systèmes d’Information 2) Si vis pacem… / l’Internet, c’est quoi ? Source : http: //www. internetworldstats. com/stats. htm - janvier 2009 Source : http: //www. domaintools. com/internet-statistics/ - septembre 2009

La Sécurité des Systèmes d’Information 2) Si vis pacem… / l’Internet, c’est quoi ?

La Sécurité des Systèmes d’Information 2) Si vis pacem… / l’Internet, c’est quoi ? 4 1 2 3 8 5 7 6 12 9 10 11 Images propriétés de l’académie de Rennes (6 et 7), du MEN (4 et 5), du CNDP (10), sous licence libre (1, 2, 3, 8, 9 et 12), ou avec l’autorisation de Poisaya (11)

La Sécurité des Systèmes d’Information 2) Si vis pacem… / l’Internet, c’est quoi ?

La Sécurité des Systèmes d’Information 2) Si vis pacem… / l’Internet, c’est quoi ? SM E PÉD DE CI E E CRI M I SU GIE D U APOL O D E GI LO O AP OPO I ESCROQUERIE R RNO O E GR E R N I G APH R A A H T E IE A A T L R I VIOLENCE à P U N A O I T N ITA O I INC T VIRUS IMA TA I GES C DE IN GUE E I RRE H P BARBARIE A R G O RÉ RN O VI P SI VENT ON E DE NI SM ILLÉ G PRODUIT E A S M U X A SP SITES PÉDOPHILES

La Sécurité des Systèmes d’Information 2) Si vis pacem… / les codes malveillants Les

La Sécurité des Systèmes d’Information 2) Si vis pacem… / les codes malveillants Les logiciels malveillants : n Les adwares n Les wabbits n Les logiciels espion (spywares) n Les virus n Les vers (worms) n Les chevaux de Troie (trojan horses) n Les portes dérobées (backdoors) n Les keyloggers (cf. spywares) n Les rootkits Les joies de la messagerie : n Le Spam et le Scam 419 n Les Canulars (hoax) Cf. les définitions sur www. commentcamarche. com ou sur www. wikimedia. org.

La Sécurité des Systèmes d’Information 2) Si vis pacem… / temps de survie Source

La Sécurité des Systèmes d’Information 2) Si vis pacem… / temps de survie Source : http: //www. dshield. org/ - oct 09 – jan 10

La Sécurité des Systèmes d’Information 2) Si vis pacem… / la grippe… Document utilisé

La Sécurité des Systèmes d’Information 2) Si vis pacem… / la grippe… Document utilisé avec l’aimable autorisation de Trend Micro Incorporated ; © 2002 Trend Micro Incorporated. All Rights Reserved

La Sécurité des Systèmes d’Information 2) Si vis pacem… / les attaques massives

La Sécurité des Systèmes d’Information 2) Si vis pacem… / les attaques massives

La Sécurité des Systèmes d’Information 2) Si vis pacem… / les attaques massives (suite)

La Sécurité des Systèmes d’Information 2) Si vis pacem… / les attaques massives (suite) Source : CLUSIF, Panorama de la cybercriminalité 2005

La Sécurité des Systèmes d’Information 2) Si vis pacem… / évolution de la cybercriminalité

La Sécurité des Systèmes d’Information 2) Si vis pacem… / évolution de la cybercriminalité Vers Kiazha-A : « Prépare 10 euros en crédits de jeux ou je ne marche plus »

La Sécurité des Systèmes d’Information 2) Si vis pacem… / la pornographie sur le

La Sécurité des Systèmes d’Information 2) Si vis pacem… / la pornographie sur le WEB En septembre 2007, on peut estimer à environ : - 3 000 000 le nombre de pages WEB pornographiques pour 9 000 de noms de domaines (environ 12% du total) ; - 5 000 000 $ le chiffre d’affaire annuel généré par l’industrie pornographique sur l’Internet ;

La Sécurité des Systèmes d’Information 2) Si vis pacem… / contenus inappropriés aux mineurs

La Sécurité des Systèmes d’Information 2) Si vis pacem… / contenus inappropriés aux mineurs - Quelques faits marquants : n Environ un accès sur quatre à des sites pornographiques est involontaire ; n Tous les ans, 40 000 noms de domaines qui ont expiré sont récupérés et renvoient à des contenus pornographiques (cybersquatting) ; n Un élève détenteur d’une boîte de messagerie sur deux a déjà reçu des messages non sollicités (pourriels ou spam), plus de la moitié de ces messages vantent les contenus de sites pornographiques, le plus souvent images à l’appui ; n En 2001, 70% des garçons élèves de l’enseignement secondaire canadien visitaient des images réelles d’accidents, de torture ou de mutilation ;

La Sécurité des Systèmes d’Information 2) Si vis pacem… / la pédopornographie - Elle

La Sécurité des Systèmes d’Information 2) Si vis pacem… / la pédopornographie - Elle touche de nombreux protocoles de l’internet : n Le WEB (relativement peu) ; n L’IRC ou Internet Relay Chat (beaucoup) ; n Forums sur Usenet ou newsgroups (beaucoup) ; n La messagerie électronique traditionnelle (beaucoup) ; n Les salons de chat publics et privés (beaucoup) ; n Les réseaux P 2 P (de plus en plus, en particulier les réseaux chiffrés de type Freenet) ;

La Sécurité des Systèmes d’Information 2) Si vis pacem… / la pédopornographie Source :

La Sécurité des Systèmes d’Information 2) Si vis pacem… / la pédopornographie Source : Internet Watch Foundation, rapport 2007 de juin 2008.

La Sécurité des Systèmes d’Information 2) Si vis pacem… / publication et exposition… La

La Sécurité des Systèmes d’Information 2) Si vis pacem… / publication et exposition… La publication d’informations personnelles : Les messageries instantanées : - Elles ne sont pas suffisamment sécurisées ; - Attention au chat vidéo !

La Sécurité des Systèmes d’Information 2) Si vis pacem… / Big Brother is watching

La Sécurité des Systèmes d’Information 2) Si vis pacem… / Big Brother is watching you ? Source : http: //www. google. com

La Sécurité des Systèmes d’Information 2) Si vis pacem… / le téléchargement illégal P

La Sécurité des Systèmes d’Information 2) Si vis pacem… / le téléchargement illégal P 2 P : ce que prévoit la loi DADVSI (actuellement) : - Peine maximale encourue : 3 ans de prison et 300 000 euros d’amende ; - Trois niveaux de responsabilité : - auteurs/distributeurs de logiciels P 2 P : peines dissuasives ; - mise à disposition d’œuvres protégées : sanctions lourdes ; - téléchargement illégal (sanctions pécuniaires, limitation de l’abonnement internet).

La Sécurité des Systèmes d’Information 2) Si vis pacem… / droit et règles Source

La Sécurité des Systèmes d’Information 2) Si vis pacem… / droit et règles Source : http: //www-annexe. ac-rouen. fr/rectorat/etab_informatique/pdf/dossier_seminaire. pdf

La Sécurité des Systèmes d’Information 2) Si vis pacem… / droit et règles (suite)

La Sécurité des Systèmes d’Information 2) Si vis pacem… / droit et règles (suite) Source : http: //www-annexe. ac-rouen. fr/rectorat/etab_informatique/pdf/dossier_seminaire. pdf

La Sécurité des Systèmes d’Information 3) Guide de survie Défense en profondeur § Anticiper

La Sécurité des Systèmes d’Information 3) Guide de survie Défense en profondeur § Anticiper § Savoir réagir § Améliorer

La Sécurité des Systèmes d’Information 3) Guide de survie Anticiper : Savoir réagir :

La Sécurité des Systèmes d’Information 3) Guide de survie Anticiper : Savoir réagir : - Mesures techniques : - Disposer de procédures : - Antivirus et pare-feu à jour - Système et logiciels critiques à jour - pour prendre les bonnes décisions dans l’urgence (ex. intrusion) ; - pour alerter ; - Sauvegarder intelligemment - pour restaurer. - Prudence : - pleine conscience des menaces - la sécurité : un art simple et tout d’exécution Ex. du filtrage d’URLs Améliorer : - Analyse des fautes commises : - identification des mesures correctrices ; Impact sur l’anticipation et les procédures de crise - Importance de l’exercice et de la simulation

La Sécurité des Systèmes d’Information 3) Guide de survie / protection des mineurs La

La Sécurité des Systèmes d’Information 3) Guide de survie / protection des mineurs La circulaire du 18 février 2004 : n Le contrôle de l’information a priori et a posteriori n Mesures de formation, de sensibilisation, de responsabilisation, chartes n Mesures d’alerte n Suivi et mise en œuvre : http: //www. educnet. education. fr/aiedu/ (Accès à Internet pour l’EDUcation) Texte de la circulaire : http: //www. education. gouv. fr/bo/2004/9/MENT 0400337 C. htm

La Sécurité des Systèmes d’Information 3) Guide de survie / suite de sécurité académique

La Sécurité des Systèmes d’Information 3) Guide de survie / suite de sécurité académique n La suite logicielle Kaspersky pour tous les établissements publics et les personnels, y compris pour une utilisation à domicile ; n Elle intègre : un antivirus, un anti-espion, un pare-feu, un module anti-spam (la messagerie académique dispose déjà de filtres qui bloquent environ 90% des pourriels reçus, soit 8 millions par an).

La Sécurité des Systèmes d’Information 3) Guide de survie / les ressources académiques n

La Sécurité des Systèmes d’Information 3) Guide de survie / les ressources académiques n Les chartes : cf. nouveaux modèles de chartes « élève » et « personnels » sur l’espace SSI académique (modèle « administrateur » à venir) : http: //www. ac-rennes. fr/ssi n plaquette « mémento de la SSI » à destination des personnels de direction sur : http: //www. ac-rennes. fr/ssi n des fiches d’activités de sensibilisation, disponibles à la rentrée : cf. exemple n Une rubrique SSI sur le CD de logiciels libres ou gratuits distribué à tous les enseignants du 2 nd degré. Source : académie de Rennes

La Sécurité des Systèmes d’Information 3) Guide de survie / les textes juridiques de

La Sécurité des Systèmes d’Information 3) Guide de survie / les textes juridiques de référence n Code pénal : articles 227 -22 (corruption de mineur), 227 -23 (pédopornographie) et 227 -24 (diffusion de contenus violents ou pornographiques) ; n Loi du 6 janvier 78 modifiée en août 2004 (Informatique et Libertés) n La circulaire du 18 février 2004 ; n La loi du 5/1/88 relative à la fraude informatique (loi Godfrain) ; n La législation relative à la propriété intellectuelle (cf. CPI, DADVSI notamment) ; n L’article 8 du code civil et l’art. 9 de la conv. eur. des droits de l’homme (vie privée et secret des correspondances) ; n Loi du 29 juillet 1881 sur la liberté de la presse ; version consolidée le 19 avril 2006 ; n La législation applicable en matière de cryptologie ; n La loi du 21 juin 2004 dite LCEN…

La Sécurité des Systèmes d’Information Conclusion : être responsable, une « drôle » de

La Sécurité des Systèmes d’Information Conclusion : être responsable, une « drôle » de promenade Source de l’image de la route : Wikimedia Commons, logo C 2 i propriété du MEN, B 2 i de Didier Quidu, académie de Rennes, cliparts libres de droits.

La Sécurité des Systèmes d’Information Conclusion : eppur si muove n La révolution informatique

La Sécurité des Systèmes d’Information Conclusion : eppur si muove n La révolution informatique est en marche, mais elle ne fait que commencer ; n L’école est au cœur de cette révolution car son enjeu est bien plus la maîtrise d’une information protéiforme et tentaculaire que l’accès à cette information elle-même ; n Comment permettre aux enfants de dompter l’océan et de naviguer au milieu des récifs ? Comment échapper à l’attraction des étoiles supermassives, concentrant et contrôlant l’ensemble des chemins d’accès à la connaissance, capables aussi de devenir de terribles agents liberticides ? Etre et enseigner à être responsable dans le cadre du système éducatif ? Répondre à cette question revient finalement à en formuler beaucoup d’autres. L’école a la mission impossible de jongler avec des exigences complexes, voire contradictoires. Mais est-ce finalement le défi le plus complexe que l’école doit relever ?

La Sécurité des Systèmes d’Information Questions ? ? Contact : pierre. gardenat@ac-rennes. fr

La Sécurité des Systèmes d’Information Questions ? ? Contact : pierre. gardenat@ac-rennes. fr