Embed Size (px)
Citation preview
La Sécurité des Systèmes d’Information
Définitions et enjeux
IUFM de Bretagne – UBOSite de Rennes
19 janvier 2010
1) Une approche systémique ?2) Si vis pacem…3) Guide de survie ou promenade en forêt par une nuit
sans lune
La Sécurité des Systèmes d’InformationPlan suivi
La Sécurité des Systèmes d’Information1) Une approche systémique ?
Cartésianisme
David, Le serment des Horaces, musée du Louvre.
Systémique
C. Lièvre, académie de Rennes
La Sécurité des Systèmes d’Information1) Une approche systémique ?
Source : http://www.watchman.dsl.pipex.com/
Contrôle d’accès
Confinement de zones
Contrôle de variables
Antivirus
Tests d’intégrité
Détection d’intrusion
Respect des lois
Sensibilisation
Chiffrement
Pare-feu Contrôle de flux
La Sécurité des Systèmes d’Information1) Une approche systémique ?
Les niveaux de maturité
Source : http://www.dsna-dti.aviation-civile.gouv.fr
Cf. fiche de positionnement DCSSI
Le contexte national :
Comité Interministériel pour la Société de l’Information (1998) ; Convention de Budapest (novembre 2001) ; entrée en vigueur en France en juin 2003 ; PRSSI – Plan de Renforcement de la SSI de l’Etat (2004) ; Schéma Directeur SSI – MEN (2005) ; Circulaire du 18 février 2004 relative à la protection des mineurs.
La Sécurité des Systèmes d’Information1) Une approche systémique ?
La campagne de sensibilisation lancée par le ministère en 2005
La déclinaison académique :
La Sécurité des Systèmes d’Information 1) Une approche systémique ?
Source : SDSSI - MEN
PSSI
POSSI
La PSSI :
définit les orientations stratégiques de la politique de l’académie en matière de SSI ; fixe son périmètre, spécifie des critères de sécurité ; précise dans ses grandes lignes l’organisation mise en place ; organise les relations avec les organismes concernés ; introduit les documents recensant les règles de sécurité :
document cadre (PSSI elle-même) ; Programme Opérationnel de Sécurisation des SI (POSSI) ; charte d’usage, déclinée en plusieurs volets (élèves, personnels EN, organisations syndicales, administrateur des SI, usagers hors EN).
Elle doit se décliner à différents niveaux :- Services académiques ;- EPLE ;- Ecoles (peu prises en compte aujourd’hui).
La Sécurité des Systèmes d’Information1) Une approche systémique ? PSSI
Le POSSI :
il fédère l’ensemble des initiatives déjà entamées et les projets à mettre en oeuvre dans le cadre d’une programmation sur 2010-2012 ; il s’intéresse à :
la sécurité des infrastructures : cartographie ; échanges inter-sites ; disponibilité et qualité de service ; relations inter-académiques ;
la sécurité des données : installation d’une salle de secours ; sur les réseaux sans fil ; déclinaison de PIRANET au niveau académique ; accompagnement du développement de l’ENT ;
la sécurité des usagers : sensibilisation et formation des personnels ; filtrage d’URLs ; diffusion de modèles de chartes ; sensibilisation des élèves ; Respect de la législation (/ CNIL notamment).
La Sécurité des Systèmes d’Information 1) Une approche systémique ? POSSI
Objectifs : Anticiper Savoir réagir Améliorer
Source : SGDN
La Sécurité des Systèmes d’Information 1) Une approche systémique !
en ayant à l’esprit
cf. démarche qualité
La PSSI, déclinée au niveau des EPLE : pourquoi ?
l’AQSSI au niveau de l’EPLE est le chef d’établissement ; enjeux de proximité.
La Sécurité des Systèmes d’Information1) Une approche systémique : la sphère EPLE
Les obstacles potentiels :
la compétence technique ; les moyens.
Une PSSI en EPLE : pourquoi (suite) ?
La Sécurité des Systèmes d’Information1) Une approche systémique : la sphère EPLE
Source : Mémento SSI, académie de Rennes
Une PSSI en EPLE : comment ?
des outils (modèles de chartes élèves et personnels, mémento SSI, documents de sensibilisation, espace SSI, fiches d’activités de sensibilisation pour les élèves) ; la mise en place d’un réseau : ISSI / CSSI les moyens : hier et aujourd’hui
La Sécurité des Systèmes d’Information1) Une approche systémique : la sphère EPLE
Une PSSI en EPLE : comment (suite) ?
Importance des actions de sensibilisation (80% des incidents SSI < utilisateurs) Moments possibles :
pour les élèves : activités liées au B2i, analyse et signature de la charte ; journée portes ouvertes ; pour les personnels : pré-rentrée, activités liées au C2i, demi-journée banalisée, animations par le CSSI ; pour les parents : réalisation de panneaux présentés lors de la journée portes ouvertes et/ou des rencontres parents/professeurs.
Rôle des chartes (élèves et personnels). Autres points essentiels (cf. circulaire du 18 février 2004) :
Le filtrage (perfectible aujourd’hui) ; La surveillance des traces de connexion ; Le respect des procédures d’urgence : cf. chaîne d’alerte
P.S.S.I.formalisation
La Sécurité des Systèmes d’Information1) Une approche systémique : la sphère EPLE
La Sécurité des Systèmes d’Information2) Si vis pacem…
Ouvrage de Schoenenbourg (Bas-Rhin) appartenant à la ligne Maginot. Source : Wikimedia commons
Défense en profondeur
La Sécurité des Systèmes d’Information2) Si vis pacem…
Ex. Archives et chiffrement
Ex. Timeo Danaos et dona ferentes (Virgile, Enéide, II, 49)
Ex. Ne pas consommer après la date indiquée…
Web visible : 25 000 000 000 documents
Web invisible : 6800 000 000 000 documents
Messagerie
P2P
Usenet
IRC FTP
La Sécurité des Systèmes d’Information2) Si vis pacem… / l’Internet, c’est quoi ?
La Sécurité des Systèmes d’Information2) Si vis pacem… / l’Internet, c’est quoi ?
Source : http://www.internetworldstats.com/stats.htm - janvier 2009
Source : http://www.domaintools.com/internet-statistics/ - septembre 2009
La Sécurité des Systèmes d’Information2) Si vis pacem… / l’Internet, c’est quoi ?
Images propriétés de l’académie de Rennes (6et 7), du MEN (4 et 5), du CNDP (10), sous licence libre (1, 2, 3, 8, 9 et 12), ou avec l’autorisation de Poisaya (11)
12
3
4
7
6
5
8
109 11
12
PIRATAGE
PÉDOPORNOGRAPHIEVIOLENCE
IMAGES DE GUERRE
RÉVISIONNISME
VIRUSIN
CITATIO
N AU T
ERRORISME
AP
OL
OG
IE D
E C
RIM
E
PORNOGRAPHIE
SPAM
VENTE DE PRODUITS ILLÉ GAUX
APO
LOG
IE DU
SUIC
IDE
BARBARIE
INCITATION à LA HAINEESCROQUERIE
SITES PÉDOPHILES
La Sécurité des Systèmes d’Information2) Si vis pacem… / l’Internet, c’est quoi ?
Les logiciels malveillants : Les adwares Les wabbits Les logiciels espion (spywares) Les virus Les vers (worms) Les chevaux de Troie (trojan horses) Les portes dérobées (backdoors) Les keyloggers (cf. spywares) Les rootkits
Les joies de la messagerie :
Le Spam et le Scam 419
Les Canulars (hoax)
Cf. les définitions sur www.commentcamarche.com ou sur www.wikimedia.org.
La Sécurité des Systèmes d’Information2) Si vis pacem… / les codes malveillants
La Sécurité des Systèmes d’Information2) Si vis pacem… / temps de survie
Source : http://www.dshield.org/ - oct 09 – jan 10
La Sécurité des Systèmes d’Information2) Si vis pacem… / la grippe…
Document utilisé avec l’aimable autorisation de Trend Micro Incorporated ; © 2002 Trend Micro Incorporated. All Rights Reserved
La Sécurité des Systèmes d’Information2) Si vis pacem… / les attaques massives
La Sécurité des Systèmes d’Information2) Si vis pacem… / les attaques massives (suite)
Source : CLUSIF, Panorama de la cybercriminalité 2005
Vers Kiazha-A : « Prépare 10 euros en crédits de jeux ou je ne marche plus »
La Sécurité des Systèmes d’Information2) Si vis pacem… / évolution de la cybercriminalité
En septembre 2007, on peut estimer à environ :
- 3 000 000 000 le nombre de pages WEB pornographiques pour 9 000 000 de noms de domaines (environ 12% du total) ;
- 5 000 000 000 $ le chiffre d’affaire annuel généré par l’industrie pornographique sur l’Internet ;
La Sécurité des Systèmes d’Information2) Si vis pacem… / la pornographie sur le WEB
- Quelques faits marquants :
Environ un accès sur quatre à des sites pornographiques est involontaire ;
Tous les ans, 40 000 noms de domaines qui ont expiré sont récupérés et renvoient à des contenus pornographiques (cybersquatting) ;
Un élève détenteur d’une boîte de messagerie sur deux a déjà reçu des messages non sollicités (pourriels ou spam), plus de la moitié de ces messages vantent les contenus de sites pornographiques, le plus souvent images à l’appui ;
En 2001, 70% des garçons élèves de l’enseignement secondaire canadien visitaient des images réelles d’accidents, de torture ou de mutilation ;
La Sécurité des Systèmes d’Information2) Si vis pacem… / contenus inappropriés aux mineurs
- Elle touche de nombreux protocoles de l’internet :
Le WEB (relativement peu) ;
L’IRC ou Internet Relay Chat (beaucoup) ;
Forums sur Usenet ou newsgroups (beaucoup) ;
La messagerie électronique traditionnelle (beaucoup) ;
Les salons de chat publics et privés (beaucoup) ;
Les réseaux P2P (de plus en plus, en particulier les réseaux chiffrés de type Freenet) ;
La Sécurité des Systèmes d’Information2) Si vis pacem… / la pédopornographie
Source : Internet Watch Foundation, rapport 2007 de juin 2008.
La Sécurité des Systèmes d’Information2) Si vis pacem… / la pédopornographie
La publication d’informations personnelles :
Les messageries instantanées :
- Elles ne sont pas suffisamment sécurisées ;
- Attention au chat vidéo !
La Sécurité des Systèmes d’Information2) Si vis pacem… / publication et exposition…
La Sécurité des Systèmes d’Information2) Si vis pacem… / Big Brother is watching you ?
Source : http://www.google.com
P2P : ce que prévoit la loi DADVSI (actuellement) :
- Peine maximale encourue : 3 ans de prison et 300 000 euros d’amende ;
- Trois niveaux de responsabilité :
- auteurs/distributeurs de logiciels P2P : peines dissuasives ;
- mise à disposition d’œuvres protégées : sanctions lourdes ;
- téléchargement illégal (sanctions pécuniaires, limitation de l’abonnement internet).
La Sécurité des Systèmes d’Information2) Si vis pacem… / le téléchargement illégal
La Sécurité des Systèmes d’Information2) Si vis pacem… / droit et règles
Source : http://www-annexe.ac-rouen.fr/rectorat/etab_informatique/pdf/dossier_seminaire.pdf
La Sécurité des Systèmes d’Information2) Si vis pacem… / droit et règles (suite)
Source : http://www-annexe.ac-rouen.fr/rectorat/etab_informatique/pdf/dossier_seminaire.pdf
La Sécurité des Systèmes d’Information3) Guide de survie
Défense en profondeur
Anticiper Savoir réagir Améliorer
La Sécurité des Systèmes d’Information3) Guide de survie
Anticiper :
- Mesures techniques :
- Antivirus et pare-feu à jour
- Système et logiciels critiques à jour
- Sauvegarder intelligemment
- Prudence :
- pleine conscience des menaces
- la sécurité : un art simple et tout d’exécution
Savoir réagir :
- Disposer de procédures :
- pour prendre les bonnes décisions dans l’urgence (ex. intrusion) ;
- pour alerter ;
- pour restaurer.
Améliorer :
- Analyse des fautes commises :
- identification des mesures correctrices ;
Impact sur l’anticipation et les procédures de crise
- Importance de l’exercice et de la simulation
Ex. du filtrage d’URLs
Le contrôle de l’information a priori et a posteriori
Mesures de formation, de sensibilisation, de responsabilisation, chartes
Mesures d’alerte
Suivi et mise en œuvre : http://www.educnet.education.fr/aiedu/(Accès à Internet pour l’EDUcation)
Texte de la circulaire :http://www.education.gouv.fr/bo/2004/9/MENT0400337C.htm
La Sécurité des Systèmes d’Information3) Guide de survie / protection des mineurs
La circulaire du 18 février 2004 :
La suite logicielle Kaspersky pour tous les établissements publics et les personnels, y compris pour une utilisation à domicile ;
Elle intègre : un antivirus, un anti-espion, un pare-feu, un module anti-spam (la messagerie académique dispose déjà de filtres qui bloquent environ 90% des pourriels reçus, soit 8 millions par an).
La Sécurité des Systèmes d’Information3) Guide de survie / suite de sécurité académique
Les chartes : cf. nouveaux modèles de chartes « élève » et « personnels » sur l’espace SSI académique (modèle « administrateur » à venir) :
http://www.ac-rennes.fr/ssi
plaquette « mémento de la SSI » à destination des personnels de direction sur :
http://www.ac-rennes.fr/ssi
des fiches d’activités de sensibilisation, disponibles à la rentrée : cf. exemple
Une rubrique SSI sur le CD de logiciels libres ou gratuits distribué à tous les enseignants du 2nd degré.
La Sécurité des Systèmes d’Information3) Guide de survie / les ressources académiques
Source : académie de Rennes
Code pénal : articles 227-22 (corruption de mineur), 227-23 (pédopornographie) et 227-24 (diffusion de contenus violents ou pornographiques) ;
Loi du 6 janvier 78 modifiée en août 2004 (Informatique et Libertés)
La circulaire du 18 février 2004 ;
La loi du 5/1/88 relative à la fraude informatique (loi Godfrain) ;
La législation relative à la propriété intellectuelle (cf. CPI, DADVSI notamment) ;
L’article 8 du code civil et l’art. 9 de la conv. eur. des droits de l’homme (vie privée et secret des correspondances) ;
Loi du 29 juillet 1881 sur la liberté de la presse ; version consolidée le 19 avril 2006 ;
La législation applicable en matière de cryptologie ;
La loi du 21 juin 2004 dite LCEN…
La Sécurité des Systèmes d’Information3) Guide de survie / les textes juridiques de référence
La Sécurité des Systèmes d’InformationConclusion : être responsable, une « drôle » de promenade
Source de l’image de la route : Wikimedia Commons, logo C2i propriété du MEN, B2i de Didier Quidu, académie de Rennes, cliparts libres de droits.
La Sécurité des Systèmes d’InformationConclusion : eppur si muove
La révolution informatique est en marche, mais elle ne fait que commencer ;
L’école est au cœur de cette révolution car son enjeu est bien plus la maîtrise d’une information protéiforme et tentaculaire que l’accès à cette information elle-même ;
Comment permettre aux enfants de dompter l’océan et de naviguer au milieu des récifs ? Comment échapper à l’attraction des étoiles supermassives, concentrant et contrôlant l’ensemble des chemins d’accès à la connaissance, capables aussi de devenir de terribles agents liberticides ?
L’école a la mission impossible de jongler avec des exigences complexes, voire contradictoires.
Etre et enseigner à être responsable dans le cadre du système éducatif ? Répondre à cette question revient finalement à en formuler beaucoup d’autres.
Mais est-ce finalement le défi le plus complexe que l’école doit relever ?
