Les réseaux d’information ont envahi l’espace de travail. Ces systèmes d’information (SI) professionnels contiennent de nombreuses données dont la protection est garantie par la réglementation et pour lesquels les principes en vigueur pour un usage personnel (voir fiche 15) ne peuvent suffire. L’adoption récente du règle- ment général de protection des données (RGPD) au niveau européen renforce considérablement la responsabilité de celui (administration ou entreprise) qui dispose de données, notamment en ce qui concerne les personnes avec les systèmes d’information des ressources humaines. De plus, en France, la CNIL (Commission Nationale Informatique et Libertés) instaurée en 1978 veille au respect des libertés individuelles, de l’identité et de la vie privée.
Développement numérique et sécurité
• L’agence nationale de la sécurité des systèmes d’information (ANSSI) est un service du premier ministre chargé d’accompagner et de sécuriser le développe- ment numérique. Elle apporte son expertise aux administrations et aux entre- prises (préparation des décisions gouvernementales, construction de réseaux sécurisés pour l’État, développement de la cybersécurité...).
• Pour la gendarmerie, les systèmes d’information sont organisés en réseau et un dysfonctionnement (intrusion d’un virus par exemple) peut avoir un impact sur plusieurs SI. Elle a donc veillé à instaurer une sécurité de haut niveau. La gendarmerie a mis en place une chaîne de sécurité des systèmes d’information (SSI) et chaque utilisateur certifie avoir pris connaissance d’une charte spécifique.
La chaîne SSI
• Il s’agit d’identifier de manière formelle les niveaux de responsabilité dans la SSI, en distinguant plusieurs types d’acteurs, tant pour la chaîne de commandement que pour celle des techniciens.
• Indépendamment des responsables étudiés ci-après, l’inspecteur général de la gendarmerie nationale (IGGN) prend l’appellation d’inspecteur SSI national (ISSIN) et dispose de deux bureaux spécialisés (bureau du contrôle de la SSI et bureau contrôle et évaluation des fichiers), lesquels peuvent à tout moment vérifier les connexions établies à partir de tout poste informatique de la gendarmerie.
Les acteurs du cadre général
Les commandants de région et groupement sont responsables de la SSI pour les unités qu’ils commandent. Ils prennent dans ce cas le titre d’officier de la SSI (OSSI) et sont assistés par le chef du service des systèmes d’information et de communication (SIC) local, voire d’un ou plusieurs adjoints qu’ils désignent. Ils font appliquer la réglementation et organisent le contrôle.
Les commandants de compagnie prennent le titre de correspondants SSI (CSSI) et mettent en œuvre les directives de l’OSSI.
Enfin, chaque utilisateur est responsable de l’usage qu’il fait des différents réseaux à sa disposition.
Les acteurs techniques
• Il s’agit des personnes spécialisées dans la conception et le fonctionnement des réseaux.
• Le chef du service des technologies et des systèmes d’information de la sécurité intérieure (STSI2, service commun à la gendarmerie et la police dirigé par un général de gendarmerie) est conseiller du DGGN pour tout ce qui concerne la SSI. Placés directement auprès du chef du STSI2, le responsable central de la SSI (RCSSI) et son adjoint conseillent les acteurs de la chaîne SSI et sont habilités à effectuer des audits SSI. Chaque service interne au STSI2 dispose de responsables SSI (RSSI) qui suivent les projets de développement informatique pour s’assurer du respect des normes de sécurité. Les chefs de section locale SIC ont pour fonction de conseiller les commandants de formation auprès desquels ils sont affectés.
• Enfin, 2 services ont des fonctions nationales particulières dans ce domaine. Il s’agit du groupe de sécurité opérationnelle (GSOP) qui assure la veille, l’alerte et la réponse aux vulnérabilités et incidents détectés, et du service central des réseaux et technologies avancées qui gère l’acheminement des articles faisant l’objet d’une protection SSI.
L’ensemble des acteurs est sensibilisé à ces responsabilités de SSI, soit lors de formations dédiées à la prise de poste pour ceux du cadre général, soit pendant les stages de formation continue pour les acteurs spécialisés. De plus, les responsables affectés au STSI2 pour ces missions sont réunis une fois par an.
La charte relative à la SSI
• À intervalle régulier (environ tous les 6 mois), tous les utilisateurs de SI au sein de la gendarmerie certifient électroniquement avoir pris connaissance de la charte relative à la SI. Cette charte s’impose à tout le personnel de la gendarmerie, quel que soit le statut des personnes (militaire ou civil) : le seul fait d’utiliser un système d’information de la gendarmerie ou accessible depuis un poste informatique gendarmerie impose de la signer au préalable.
• Cette obligation concerne tous les systèmes d’information de la gendarmerie : fichiers judiciaires, système d’information des ressources humaines... car tout manquement constituerait à la fois une atteinte à la sécurité des SSI, mais également une faute quant aux règles du secret professionnel voire une atteinte à la vie privée en fonction de la nature des informations divulguées.
• Il faut noter que le fait de refuser de signer la charte est passible de sanctions et bloque l’accès aux systèmes d’information.
• En résumé, cette charte indique que :
– la personne a pris connaissance de la réglementation, de l’obligation de n’utiliser que du matériel professionnel sur les réseaux du ministère de l’intérieur, de l’obligation de procéder à une analyse antivirale des supports externes connectés au poste de travail ;
– la messagerie est réservée à un usage professionnel ; il est en particulier interdit d’utiliser l’adresse courriel professionnelle sur des sites sans lien avec le service ou de participer à une chaîne de message ;
– l’accès à Internet est réservé à un usage professionnel ; les connexions sur Internet sont tracées pendant un an (voir ci-dessus le rôle de l’IGGN) et il est évidemment interdit de conserver sur Internet (système de Cloud par exemple) des données sensibles ou faisant l’objet d’une protection ;
– la responsabilité disciplinaire et pénale est engagée dans le cas où l’un des principes relatifs à la sécurité des fichiers n’est pas respecté, par négligence ou par malveillance.
Les 10 règles d’or de la SSI
Pour l’ensemble des utilisateurs, dix règles d’or doivent être respectées en toutes circonstances :
1 – Mon accès au système d’information est personnel et confidentiel.
2 – Je ne modifie pas la configuration de mon ordinateur.
3 – Je m’assure que mes données sensibles sont protégées.
4 – Je limite la connexion de supports de stockage amovible au strict minimum nécessaire.
5 – Mon poste est verrouillé lorsque je m’absente.
6 – Je respecte le niveau de confidentialité des informations et le secret des correspondances.
7 – Je ne fais pas suivre automatiquement mes messages sur une boite externe.
8 – Je suis vigilant vis-à-vis des messages que je reçois de personnes externes à l’institution.
9 – Je suis prudent dans mon usage professionnel d’internet.
10 – Je n’hésite pas à m’adresser à mon correspondant SSI.