Présentation de la SSI (Sécurité des Systèmes d’Information) - Gendarmerie Nationale
Document Details
Uploaded by Deleted User
Tags
Summary
Ce document présente la Sécurité des Systèmes d'Information (SSI) pour la Gendarmerie Nationale. Ce document explique les définitions, enjeux et besoins de sécurité, ainsi que les différents textes de références et l'organisation de la formation. Les menaces cyber et la cybersécurité font partie des points importants du document.
Full Transcript
Gendarmerie nationale Commandement des Écoles de la Gendarmerie Nationale Centre National de Formation aux Systèmes d’Information et de Communication de la Gendarmerie Sécurité des Systèmes d’Information Présentation de la SSI Présentation Objectif du cour...
Gendarmerie nationale Commandement des Écoles de la Gendarmerie Nationale Centre National de Formation aux Systèmes d’Information et de Communication de la Gendarmerie Sécurité des Systèmes d’Information Présentation de la SSI Présentation Objectif du cours : Comprendre les motivations et le besoin de sécurité des systèmes d’information. Présentation Plan de la séance 1 – Définitions 2 – Enjeux de la SSI 3 – Les besoins de sécurité 4 – Les textes de référence 5 – Organisation de la formation Présentation Plan de la séance 1 – Définitions 2 – Enjeux de la SSI 3 – Les besoins de sécurité 4 – Les textes de référence 5 – Organisation de la formation 1/ Définitions Système d’information Un système d’information est un ensemble organisé de ressources (matériels, logiciels, personnels, données et procédures) qui permettent de regrouper, de classifier, de traiter et de diffuser de l’information. 1/ Définitions Sécurité des systèmes d’information Ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la mise en place de moyen visant à empêcher l’utilisation non autorisé, le mauvais usage la modification ou le détournement du système d’information. 1/ Définitions Cybermenace Menace : cause potentielle d’un incident, qui pourrait entraîner des dommages sur un bien 1/ Définitions Cyberespace Espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques. Cybercriminalité Actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d’information comme moyens de réalisation d’un délit ou d’un crime, ou les ayant pour cible. Cyberdéfense Ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d’information jugés essentiels. 1/ Définitions Cybersécurité État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense. 1/ Définitions Présentation Plan de la séance 1 – Définitions 2 – Enjeux de la SSI 3 – Les besoins de sécurité 4 – Les textes de référence 5 – Organisation de la formation 2/ Enjeux de la SSI La sécurité a pour objectif de réduire les risques pesant sur le système d’information, pour limiter leurs impacts sur le fonctionnement et les activités métiers des organisations Elle contribue à la qualité de service Elle garantit un niveau de protection aux utilisateurs du système d’information 2/ Enjeux de la SSI Face à quelles menaces? Rendre inaccessible un site web institutionnel ; Espionnage, revente d’informations confidentielles (N° de Carte Bancaire; @mail…); Créer une application malveillante (virus, ransomware); Lancer une campagne de spams (email, SMS, etc.); Infiltrer et récupérer des données d’une organisation; Pirater des comptes utilisateurs (mail, réseau social, entreprise…) Qui ? Hackers isolés Activistes / Organisations Etats Terroristes criminelles Objectif Visé Renommée, Destruction, Profit Vol de données, Profit Atteinte à Sabotage l’image 2/ Enjeux de la SSI Avec des conséquences dans le monde « réel » Impacts financiers Impacts sur l’image et la réputation Menaces Impacts juridiques Impacts et réglementaires organisationnels et humain Présentation Plan de la séance 1 – Définitions 2 – Enjeux de la SSI 3 – Les besoins de sécurité 4 – Les textes de référence 5 – Organisation de la formation 3/ Les besoins de sécurité Différences entre sûreté et sécurité Sûreté Sécurité Protections contre les Protections contre les actions dysfonctionnements et malveillantes volontaires accidents involontaires Exemple de risque : blocage Exemple : saturation d’un de service, modifications point d’accès, panne d’un d’informations, vol disque, erreur d’exécution d’information Quantifiable statistiquement Non quantifiable (ex : ma durée de vie moyenne statistiquement, mais il est d’un disque) possible d’évaluer en amont le Parades : sauvegarde, niveau de risque et les impacts dimensionnement redondance Parades : contrôle d’accès, des équipements veille de sécurité, configuration renforcée, filtrage 3/ Les besoins de sécurité Le triangle de la sécurité Fonctionnalité Privilégier la sécurité implique moins de fonctionnalité et d’ergonomie Sécurité Ergonomie Pour être acceptée, la sécurité doit être adaptée 3/ Les besoins de sécurité Critères de la SSI Disponibilité : garanti la qualité de l’accès aux données Intégrité : garanti l’exactitude et la complétude des données Confidentialité : garanti le besoin d’en connaître Preuve : garanti l’imputabilité des actions sur un systèmes d’information (implique les notions d’identification, d’authentification et de traçabilité) 3/ Les besoins de sécurité Actions de sécurité Veille : recherche et anticipation de nouvelles menaces Détection : surveillance et découverte d’un évènement de sécurité Réponse à incident : remédiation face à un évènement grave de sécurité Audit : vérification de l’application des directives en matière de sécurité Présentation Plan de la séance 1 – Définitions 2 – Enjeux de la SSI 3 – Les besoins de sécurité 4 – Les textes de référence 5 – Organisation de la formation 4/ Textes de référence Usage du système d’information Circulaire n° 94855 du 15 septembre 2011 relative aux règles générales d’emploi des moyens informatiques et des traitements automatisés de données à caractère personnel dans la gendarmerie nationale. Note Express n° 95943 relative à la charte d’utilisation de système d’information de la gendarmerie nationale Circulaire n° 17500 relative à l’usage d’Internet sur les postes de travail de la gendarmerie nationale 4/ Textes de référence Organisation de la SSI Circulaire n°15120 du 17 avril 2009 relative à la politique de sécurité des systèmes d’information et de communication de la gendarmerie Circulaire n° 27100 du 1er septembre 2016 relative à l’organisation de la sécurité des systèmes d’information de la gendarmerie. 4/ Textes de référence Protection de la donnée Instruction générale interministérielle n°1300 relative à la protection du secret de défense nationale Instruction Interministérielle n°910 relative aux articles contrôlés de la sécurité des systèmes d’information Instruction interministérielle n°901 relative à la protection des systèmes d’informations sensibles Circulaire n°16000 du 01 juillet 2021 relative à la protection du secret de la défense nationale au sein de la gendarmerie nationale Instruction n°70000 du 15 juin 2011 relative à l’exploitation à l’emploi et au maintien en condition opérationnelle du poste ISIS 4/ Textes de référence Textes spécifiques à la chaîne SIC Circulaire n°42000 du 31 mai 2012 relative à l’organisation et aux missions d’appui opérationnel des unités SIC de la gendarmerie Instruction n°9900 du 17 janvier 2013 relative à l’exercice et à la pratique du contrôle par les officiers des systèmes d’information et de communication de la chaîne SIC gendarmerie Circulaire n°8200 du 21 août 2007 relative au traitement de la sécurité dans les projets de systèmes d’information et de communication de la gendarmerie Circulaire n°31400 du 7 novembre 1991 relative à l’application par la gendarmerie des dispositions de la loi concernant l’informatique, les fichiers et les libertés Présentation Plan de la séance 1 – Définitions 2 – Enjeux de la SSI 3 – Les besoins de sécurité 4 – Les textes de référence 5 – Organisation de la formation 5/ Organisation de la formation La SSI en tant qu’utilisateur du système d’information La SSI en tant que technicien SIC Les menaces sur les systèmes d’information Présentation de la SSI Questions 28
