République Tunisienne Premier Ministère La sécurité informatique: l expérience d un utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission

Transcription

1 République Tunisienne Premier Ministère La sécurité informatique: l expérience d un utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au Premier Ministère Tanger Janvier 2008

2 La sécurits curité informatique: Pourquoi? Comment?

3 Mais d abord qu est ce que la sécurité informatique? Au niveau le plus simple, il s agit d éviter le risque d erreurs provoquées par des utilisateurs pas suffisamment initiés et pas nécessairement mal intentionnés, le risque des erreurs de manipulation, A un niveau supérieur, il s agit d éviter toute intrusion dans le système et toute tentative d accès non autorisée, ayant pour but de prendre connaissance des données qui y sont consignées, ou de les modifier afin de semer le trouble.

4 La sécurits curité informatique: Pourquoi?

5 Disons le, la sécurité informatique, est d abord un souci politique, plus qu administratif ou technique. Mais il faut toujours convaincre les politiciens afin que le souci de sécurité ne freine pas le programme.

6 Pour l utilisateur: : le souci de sécurité se justifie par: La gestion d une matière sensible, en rapport avec l intérêt national, une matière qui engage la responsabilité politique et même civile à certains égards de plusieurs personnes, et qui peut revêtir un aspect confidentiel.

7 Un système n est crédible et fiable que quand il garantit la sécurité des informations qui y sont consignées. La relation entre le décideur qui a recours au système, qu il soit ministre ou autre, d une part, et le responsable du système, d autre part, repose sur l entière confiance et la conviction que le système est hautement sécurisé. C est pour cela que le système d information peut offrir une base de données exhaustive, puisque originellement elle est alimentée par toutes les informations utiles. Il n y a pas de rétention d information vis-à-vis du système.

8 Le moindre doute qui plane sur la sécurité, ou la moindre faille peut être fatale pour la crédibilité du système, voire pour sa survie. Elle remet en question, par la même, la confiance que le décideur place dans le responsable du système d information.

9 En fait, les politiciens, en général non techniciens, placent plus leur confiance dans la personne qui gère le système que dans le système de sécurité lui-même. Il faut savoir les mettre en confiance. Leur conception et leur vision de la sécurité passe par la personne qui la gère.

10 La sécurits curité informatique: Comment?

11 2 niveaux de réponses: Administratif, en tant qu utilisateur d un système, dont on doit garantir la sécurité, Technique, qui relève de la compétence des informaticiens, et des outils mis à leur disposition, mais reste toujours du domaine de responsabilité de l utilisateur, lui-même assumant l entière responsabilité devant le décideur.

12 Comme règle générale, les données revêtant un aspect hautement confidentiel ne doivent jamais figurer dans l application. Une donnée qui sort du support documentaire jalousement gardé dans une armoire fermée à clé, voire dans un coffre- fort des fois, court le risque d être révélée d une manière ou d une autre. La notion de transparence et de démocratisation de l accès à l information ne peut avoir qu une valeur relative quand il s agit d information ayant trait à la sécurité et à la souveraineté de l Etat, ou aux secrets personnels des individus.

13 Comme règle générale également, le système d information doit être conçu, autant que faire se peut, par des compétences nationales. Ainsi, le risque est moindre.

14 Au niveau administratif, Les mesures suivantes sont à prendre: A Concernant les personnes habilitées à accéder au système: Il faut: + En limiter le nombre et bien sélectionner celles qui travaillent sur le système et qui ont un apport réel. Le système est loin d être un élément du décor du bureau ou un cadeau à certains responsables. + Initier les personnes identifiées à la manipulation du système, pour éviter toute erreur qui pourrait être fatale.

15 B Concernant la gestion et les privilèges accordés aux utilisateurs: Il faut: Centraliser la saisie des données, ou tout au moins instaurer un outil de contrôle systématique de toutes les données saisies. Accorder des privilèges d accès différents en fonction des besoins réels et de la capacité de manipulation. Il faut déterminer de façon manipulation. Il faut déterminer de façon précise les privilèges d utilisation des uns et des autres (saisie, collationnement, consultation, ). La sélection doit être faite de façon très réfléchie et rationnelle

16 Par exemple, Le ministre ne peut avoir systématiquement le privilège de modifier; il est même recommandé qu il n ait n que la possibilité de consulter.

17 C Concernant le sécurité physique des ordinateurs Des consignes précises sont données aux utilisateurs de bien prendre soin de ordinateurs, soit: Ne pas permettre à des personnes étrangères au service de consulter l application, encore moins de la manipuler, la responsabilité pour chaque ordinateur étant strictement personnelle. Ne pas laisser l ordinateur ouvert en quittant le bureau. L emplacement même de l ordinateur doit être étudié.

18 Au niveau technique, Un train de mesures nous sont dictées par les techniciens; elles ne sont pas soumises à discussion; nous, utilisateurs, nous conformons presque strictement à ces mesures. Nous en citons en vrac quelques unes: + Isoler le système de l internet, en d autres termes, ne pas utiliser un ordinateur pour l application gouvernementale et l internet en même temps. + Utiliser un réseau dédié, physiquement isolé de tout autre réseau.

19 + Identifier un mot de passe personnel et régulièrement modifié pour toute personne habilitée à accéder au système. + Contrôler l accès au système de façon à détecter toute intrusion. Des tests et des simulations d attaque sont entrepris de façon régulière.

20 +La sauvegarde des données est effectuée quotidiennement. En outre, des opérations d audit sécurité sont entreprises que ce soit de façon programmée ou de façon improvisée auprès de tous les utilisateurs du système.

21 La dernière mesure est de rester à l écoute des techniciens et croire que de nouvelles mesures peuvent toujours être imaginées pour améliorer les conditions de sécurité.

22 Messieurs, Mesdames les techniciens, éclairez-nous: Nous avons fixé l objectif: zéro papiers

23 Peut-on parler du risque zéro?

24 شكرا Merci THANK YOU