L'organisation de la sécurité : prédominance du facteur humain

 

L’Etat a mis en place une organisation fonctionnelle et opérationnelle en matière de SSI à tous les niveaux, pilotée par les services du premier ministre : Secrétariat Général à la Défense Nationale (SGDN), Agence Nationale pour la Sécurité des Systèmes d'Information (ANSSI). 

L'organisation de la chaine SSI au sein du ministère et de facto de l'académie s'inscrit dans cette structure nationale et il est demandé aux recteurs de veiller à une conformité totale (sous 3 ans) vis à vis de la politique de sécurité des systèmes d’information de l’Etat (PSSIE – circulaire du premier ministre N° 5725/SG du 17 juillet 2014)
Au sein du ministère, l’organisation s’applique à un vaste périmètre correspondant à l’administration centrale, l’administration déconcentrée (rectorats et EPLE), aux établissements publics sous tutelle du ministère…

Au niveau national

Une chaîne fonctionnelle de la sécurité des systèmes d'information est constituée. Elle respecte la recommandation interministérielle n°901 sur "la protection des systèmes d’information traitant des informations sensibles non classifiées de défense". En voici la composition :

  • Le Premier ministre,

    • Les ministres et ministres délégués,

      • Le haut fonctionnaire de défense (HFD) nommé auprès de chaque ministre,
      • Assisté d'un fonctionnaire de la SSI (FSSI),

        • Les autorités qualifiées pour la SSI (AQSSI) pour chaque entité du ministère (service déconcentré, établissement public, ...),
        • Assistés d'un responsable de la SSI (RSSI). 

 

Au niveau local

Au niveau local la chaine SSI se décline suivant les préconisations nationales donnant lieu à une structure dont les acteurs sont :

L’autorité hiérarchique qualifiée en SSI (recteur : AQSSI, chef d’établissement : Personne Juridiquement Responsable ) est juridiquement responsable de la sécurité des systèmes d’information de ses entités ou de son entité  et du respect des réglementations.

Sur le plan décisionnel et juridique, chaque service déconcentré (rectorat, DSDEN), chaque établissement (lycées, collèges) est responsable et décideur dans son périmètre.
L'autorité hiérarchique (recteur, inspecteur, proviseur, principal) est personnellement responsable, par convention.

Le responsable d'une entité déconcentrée académique agit sous l’autorité du recteur, AQSSI académique. 

L'AQSSI pour l'académie de Bordeaux est M le Recteur O. DUGRIP

Le recteur (AQSSI) est conseillé par un responsable opérationnel (le Responsable de la Sécurité des Systèmes d'Information RSSI).  Il arbitre la stratégie SSI et identifie les moyens associés.

Le Responsable SSI (RSSI) est nommé et mandaté par l’autorité qualifiée (M le Recteur) pour définir et veiller à la bonne réalisation de la politique de sécurité. Son rattachement direct auprès de l’AQSSI lui confère toute sa légitimité et lui permet d’assurer pleinement sa  mission. Il s’appuie lui même sur une chaîne de correspondants de Sécurité (CR) qu’il organise et dont il est le référent.

Monsieur Olivier Dugrip, recteur de l'académie de Bordeaux, chancelier des universités a ainsi nommé RSSI Monsieur Patrick Bénazet, par ailleurs DSI du rectorat de Bordeaux.

Le correspondant de sécurité.
Il est chargé de la mise en oeuvre de la sécurité pour son périmètre et notamment sur

  • l'infrastructure technique (équipements de sécurité, versions logiciels, carnets d'exploitations des serveurs) et sur les dispositifs spécifiques de sécurité (filtres, sondes de détections, antivirus, ...) 

Répondant aux préconisations nationales, la chaine ISR (Ingénieur Sécurité Racine) est représentée dans les services académiques (Rectorat et DSDEN), son domaine d'intervention s'étend aux établissements scolaires (gestion des fonctions et équipements de sécurité des EPLE)

  • les usages et leurs implications dans un environnement pédagogique 

Ainsi est organisé, une mise en commun de compétences académiques complémentaires au service du chef d’établissement s'appuyant sur la DANE (Délégation Académique au Numérique Educatif), DAEMI (Délégation Académique à l’Education aux Medias d’Information), DCVSAJ (Direction du Conseil, de la Vie Scolaire et des Affaires Juridiques), l'Inspecteur vie scolaire, la Déléguée académique à la vie scolaire, la CT Assistance Sociale, la Chargée de communication auprès du Recteur et la DSI. Deux chaines d'alertes principales sont issues de ces travaux collégiaux pour la protection des mineurs et les usages spécifiques des réseaux sociaux.

Tout le personnel, à son niveau, est acteur de la sécurité du système d'information. L'image du "maillon faible" est parfaitement adaptée pour représenter le rôle de chacun.
Le comportement inconscient ou négligent d'un seul agent peut générer une défaillance de sécurité lourde de conséquence.

Rectorat de Bordeaux - SSI | Plan du site | Recherche | Contact