Lionel Tardy
Question N° 83974 au Ministère de l'Éducation
Question soumise le 13 juillet 2010
M. Lionel Tardy demande à M. le ministre de l'éducation nationale de lui donner des indications sur les mesures de sécurité informatique prises dans son ministère, afin d'éviter les intrusions extérieures et les vols de données numériques. Il souhaite savoir s'il fait appel, pour ces missions, à des prestataires extérieurs, ainsi que le coût de ces prestations en 2009. Il souhaite enfin connaître les mesures qu'il entend prendre pour mettre en oeuvre les règles de sécurité du référentiel général de sécurité du 6 mai 2010.
Réponse émise le 3 janvier 2012
Les mesures de sécurité prises afin d'éviter les intrusions extérieures et les vols des données numériques s'appuient d'une part sur la sécurisation du réseau et des accès par authentification forte et d'autre part sur la sécurisation des applications telles que décrites ci-après. La sécurisation du réseau et des accès : Le réseau national du ministère Racine est un réseau privé garantissant la sécurité des échanges. Il est structuré en zones de confiance permettant une étanchéité en fonction des besoins de sécurité. La nécessité d'authentification forte pour les accès depuis l'Internet à certaines applications hébergées sur le réseau Racinea été traitée par le déploiement de près de 250 000 clés OTP, basée sur l'utilisation d'un mot de passe valable une seule fois. La réponse au besoin de confiance entre les différents équipements structurants le réseau Racine, et au besoin de confiance des utilisateurs vis-à-vis des services exposés sur l'Internet a été apportée par la création et la distribution de près de 36 000 certificats numériques permettant de garantir l'identité des interlocuteurs. Ils ont été créés par l'infrastructure de gestion de clés (IGC) du ministère, installée à Toulouse, qui a été sursignée et qualifiée par l'IGC gouvernementale dédiée aux administrations (IGC/A). Sécurisation des applications : un pôle d'expertise dédié à la sécurité des systèmes d'informations, localisé à Aix-Marseille, a la charge, à la demande des maîtrises d'ouvrage, de mener des analyses de risques permettant d'identifier les mesures de sécurité nécessaires à la protection des « biens essentiels » tels que les services et les données. Il s'assure ensuite de la mise en place correcte des mesures identifiées au moyen d'audits de sécurité et de tests d'intrusions. Un accord-cadre dédié à ces activités a été mis en place afin d'armer le pôle face à l'ampleur de la tâche. Les coûts des prestations externes dédiées à la sécurité sont donc de deux ordres : des prestations d'assistance au maintien en conditions opérationnelles des dispositifs de sécurité (infrastructure de gestion de clés, administration du dispositif d'authentification et des clés OTP, systèmes de filtrage et de détection d'intrusion). Le budget annuel consacré à ce type de prestations est de l'ordre de 300 000 euros ; des prestations d'études de sécurité (EBIOS) en amont des évolutions du système d'information et d'audits de sécurité au moment des mises en production, puis en suivi de fonctionnement. Le budget annuel consacré à ces prestations pilotées par le pôle d'expertise interne est de l'ordre de 150 000 euros. En ce qui concerne les mesures prises par le ministère de l'éducation nationale pour mettre en oeuvre les règles du RGS : une cartographie des applications a été réalisée et a permis d'en identifier un peu moins de 2 000 dont 150 devant être homologuées RGS. Une démarche d'analyse de risques métier permettant de simplifier les analyses des applications est en cours. La réalisation d'un dossier type de demande d'homologation est aussi en cours d'élaboration afin d'optimiser la réalisation du document pour une application identifiée et facilitant sa lecture par le comité d'homologation. Les applications en production concernées vont être priorisées et homologuées en parallèle des nouvelles applications. Une commission d'homologation RGS va être constituée dans le courant du 1er trimestre 2012.
Aucun commentaire n'a encore été formulé sur cette question.