Gouvernance & sécurité des systèmes d'information

Qui a autorité pour autoriser — ou ne pas autoriser — un système d'information dans une académie ?

Derrière chaque système d'information déployé dans une académie se cache une question de fond. Qui décide ? Qui engage sa responsabilité ? Et surtout, qui répond de ses conséquences ? En effet, la réponse tient en un empilement d'autorités précises, dont la maîtrise conditionne à la fois la sécurité des données et la protection juridique des agents.

L'AQSSI, autorité juridique du périmètre

Tout d'abord, le recteur est l'autorité qualifiée de sécurité des systèmes d'information (AQSSI), au sens du référentiel général de sécurité. Concrètement, il s'appuie sur un responsable de la sécurité des systèmes d'information (RSSI). Ce dernier est désigné au sein des services académiques pour appliquer les dispositions ministérielles ou interministérielles.

Ainsi, les AQSSI sont les responsables juridiques du périmètre concerné. C'est donc à leur niveau que s'exerce :

  • la maîtrise d'ouvrage, c'est-à-dire la définition des enjeux de sécurité liés aux systèmes d'information ;
  • la responsabilité de passer des actes contractuels (marchés publics) ;
  • la responsabilité de mettre en place des organisations, comme le comité de pilotage de la SSI ou la logistique de crise ;
  • les arbitrages budgétaires ;
  • la possibilité, le cas échéant, d'intenter une action en justice ;
  • la désignation d'un RSSI pour l'assister.
Par ailleurs, l'AQSSI est notamment chargée :
  • de définir des objectifs de sécurité. Pour les systèmes traitant d'informations classifiées, ces objectifs découlent de l'instruction interministérielle n°1300, portée par l'arrêté du 30 novembre 2011 ;
  • de s'assurer que les dispositions réglementaires et contractuelles sur la sécurité des systèmes d'information sont bien appliquées ;
  • de faire appliquer les consignes et les directives internes ;
  • de s'assurer que des contrôles internes de sécurité sont régulièrement effectués ;
  • d'organiser la sensibilisation et la formation du personnel, en particulier sur les systèmes d'information ;
  • de veiller à la mise en œuvre des procédures d'homologation des systèmes, d'agrément des dispositifs de sécurité, et de gestion des articles contrôlés de la sécurité des systèmes d'information (ACSSI) ;
  • de désigner les autorités d'homologation des systèmes relevant de sa responsabilité.

Le RSSI, responsable opérationnel mandaté

Ensuite, le RSSI est nommé et mandaté par l'AQSSI. Sa mission : mettre en place la politique générale de sécurité des systèmes d'information. Lors de sa désignation, l'AQSSI précise le périmètre de ses attributions ainsi que sa dépendance hiérarchique.

La distinction est donc nette et structurante : les AQSSI sont les responsables juridiques du périmètre concerné. Les RSSI, eux, en sont les responsables opérationnels.

Concrètement, le RSSI peut notamment être chargé :

  • d'être le contact privilégié des utilisateurs du système pour les questions de sécurité ;
  • d'assurer la formation et la sensibilisation des responsables, des informaticiens et des usagers ;
  • de tenir à jour la liste des personnels ayant accès aux systèmes d'information ;
  • de faire surveiller en permanence les activités des personnes extérieures intervenant sur les systèmes d'information ;
  • de s'assurer que les personnels d'exploitation et les utilisateurs appliquent bien les règles de sécurité prescrites ;
  • d'assurer leur sensibilisation aux mesures de sécurité et de les informer de tout changement ;
  • de veiller à la mise en œuvre des mesures de protection, d'établir des consignes particulières et d'en contrôler l'application ;
  • d'assurer la gestion, la comptabilité et le suivi des ACSSI, et d'en réaliser périodiquement l'inventaire ;
  • d'établir les consignes de sécurité relatives à la conservation, au stockage et à la destruction des ACSSI ;
  • de vérifier périodiquement l'installation et le bon fonctionnement des dispositifs de sécurité ;
  • de veiller au respect des procédures opérationnelles de sécurité propres au système ;
  • de surveiller les opérations de maintenance ;
  • et de rendre compte de toute anomalie ou de tout incident de sécurité.

Menaces et vulnérabilités des systèmes d'information

Qu'ils soient utilisés en local ou via les réseaux de télécommunications, les systèmes d'information présentent des fragilités. Ces menaces peuvent être environnementales (météo, incendie…), intrinsèques (conception, technologies…), ou encore humaines — externes, internes, délibérées, par erreur ou par négligence.

Ces vulnérabilités sont d'ailleurs multipliées par plusieurs facteurs :

  • la banalisation, la complexité, l'automatisme et le nombre croissant d'utilisateurs, mais aussi le volume et la diversité des informations traitées ;
  • le partage d'infrastructures communes, qui complexifie le système de liaison : réseaux haut débit métropolitains ou régionaux, intranet académique très étendu, usages nomades via les environnements numériques de travail ;
  • des utilisateurs très hétérogènes : élèves mineurs, élèves et étudiants majeurs, enseignants, parents d'élèves, personnels administratifs, fournisseurs, partenaires et collectivités territoriales.

RGPD : sécurité des données et protection des données

Le Règlement Général sur la Protection des Données (RGPD) est entré en application le 25 mai 2018. Depuis, le délégué à la protection des données (DPO) est la personne chargée, au sein d'une organisation, de veiller à la conformité au règlement européen sur la protection des données personnelles.

Or, l'obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés, quelle que soit leur taille, dès lors qu'ils traitent des données personnelles. L'inscription au registre découle donc de la décision de l'AQSSI, au regard de sa politique de sécurité. Autrement dit, l'autorisation du recteur est un acte administratif unilatéral (AAU), en sa qualité de responsable des traitements sur son périmètre.

Protection des données et sécurité des données : quelle différence ?

La protection des données à caractère personnel repose sur plusieurs piliers : la transparence et la licéité, les droits des personnes concernées, la sécurité des données, la limitation des finalités, la minimisation des données, ainsi que la pertinence et la durée de conservation. Ainsi, la sécurité des données constitue l'un des piliers essentiels de cette protection.

Par ailleurs, le règlement impose de garantir un niveau de sécurité adapté au risque numérique. Il souligne aussi l'importance d'apprécier et de traiter les risques sur les personnes. Concrètement, il exige la mise en œuvre de « mesures techniques ou organisationnelles appropriées ». Cela peut inclure le chiffrement des données, ou encore des moyens garantissant leur confidentialité, leur intégrité, leur disponibilité et leur résilience.

Quelle protection pour les agents publics ?

Concrètement, l'autorisation de l'AQSSI conduit le DPO à inscrire le traitement du système d'information dans le registre des traitements. Grâce à cela, les fonctionnaires sont protégés contre d'éventuelles mises en cause civiles et pénales, dans l'exercice de leurs fonctions liées à l'usage des données personnelles.

En effet, les agents de la fonction publique sont soumis à des règles précises. L'essentiel a été fixé par la loi du 13 juillet 1983, relative au statut général des fonctionnaires. Ainsi, tout agent public — fonctionnaire ou contractuel, quel que soit son rang — doit se conformer aux instructions de son supérieur hiérarchique. Ce devoir d'obéissance impose de respecter les lois et les règlements de toute nature.

« Il n'y a pas de liberté sans sécurité, sans sécurité il n'y a pas de confiance, et sans confiance il n'y a pas de développement. » Pour la confiance numérique à l'École — pour l'École de la confiance
Avec les remerciements à Alexandre Monnet, Haut Fonctionnaire de Défense et de Sécurité des systèmes d'information, et à Xavier Inglebert, préfet, haut fonctionnaire de défense et de sécurité adjoint, pour leur aide.

Références réglementaires et sources

  • Décret n° 2012-383 du 20 mars 2012 relatif aux attributions du haut fonctionnaire de défense et de sécurité auprès du Premier ministre — Légifrance
  • Organisation de la mission de sécurité et de défense au sein des ministères en charge de l'éducation nationale, de l'enseignement supérieur et de la recherche — education.gouv.fr
  • Le haut fonctionnaire de défense et de sécurité : sécurité des systèmes d'information — education.gouv.fr
  • Instruction interministérielle n° 1300, relative à la protection des informations relevant du secret de la défense nationale — circulaire.legifrance.gouv.fr
  • RGPD — Renforcer la sécurité des données à caractère personnel — ssi.gouv.fr
  • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 — cnil.fr
  • Règlement européen sur la protection des données : ce qui change pour les professionnels — cnil.fr
  • Loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires (loi Le Pors) — Légifrance
  • Obligation d'obéissance hiérarchique — fonction-publique.gouv.fr
  • Rapport d'activité 2017 de la Commission nationale de l'informatique et des libertés (CNIL) — cnil.fr
  • Dépêche AEF n° 583814, Cyril Duchamp, 10 avril 2018 — « La CNIL veut un socle commun de principes généraux protecteurs des données personnelles pour l'Éducation nationale » (avec l'autorisation de l'AEF) — slideshare.net
  • Données numériques à caractère personnel au sein de l'Éducation nationale — Rapport conjoint IGEN / IGAENR, février 2018 — education.gouv.fr
  • Convention triennale sur la protection des données personnelles dans les usages numériques de l'Éducation — cnil.fr

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut