RECOMMANDATIONS EN TERME DE SECURITE POUR LA MISE EN PLACE DE SERVICES INTRANET - INTERNET D ÉTABLISSEMENTS SCOLAIRES ET D ÉCOLES (S2i2e) PREAMBULE La généralisation de l utilisation des réseaux, l interconnexion de ces réseaux et leur raccordement à Internet permet de faciliter l accessibilité et la mutualisation des applications et des données pour chaque usager qu il soit acteur, ou partenaire de l Éducation Nationale. Le développement des usages liés à l'utilisation des TIC et l organisation du système d information doivent répondre à des nécessaires besoins de sécurité. Ce document présente des notions générales sur la sécurité informatique en milieu scolaire. Il n approfondit pas les aspects strictement techniques qui sont liés à l implémentation. La politique de sécurité associée à la mise en place des Services Internet / Intranet d Etablissements et d Ecoles doit couvrir plusieurs axes : Le respect des recommandations de l'éducation Nationale en terme de sécurité La sécurisation des données et des services au sein de l établissement. La sensibilisation et la responsabilisation des utilisateurs, notamment au travers de l'élaboration de chartes de bon usage de l'internet, des réseaux, et des ressources multimédias. L évaluation du niveau de sécurité. Une aide à la mise en place de la sécurité ainsi qu à la sensibilisation des utilisateurs devra être assurée par les services académiques. 1 Le respect des recommandations de l'éducation Nationale en terme de sécurité Le réseau de l établissement est ouvert sur l'extérieur, vers un Intranet académique et national et vers l'internet. Le niveau global de sécurité d'une chaîne est caractérisé par le niveau du maillon le plus faible. Par conséquent, le niveau des politiques de sécurité mises en place dans les établissements doit être homogène au niveau académique et donc respecter les critères communs établis au niveau national et académique. La politique de sécurité de chaque établissement est placée sous la responsabilité de la personne juridiquement responsable de l école ou de l établissement scolaire. Celle-ci doit veiller au respect des règles de sécurité minimales définies pour tous les établissements de même type. Elle s engage à afficher, à diffuser, et à faire res pecter les chartes liées aux problèmes de la sécurité émises par les services administratifs dont elle dépend. Les restrictions d usage qui dépendent de l organisation interne de l établissement ou qui découlent des choix pédagogiques doivent être clairement explicitées. Elles constituent un ensemble de règles propres à l établissement, dont il a la maîtrise mais qui ne peuvent que s ajouter au minimum académique et national pour ne pas compromettre le niveau de sécurité global. Les services compétents de l académie aideront à la mise en place de ce dispositif et assureront la maintenance logicielle (changement de version, ajout de nouvelles règles de sécurité académiques ou nationales, ). DA-DT/Version 1.0 08/03/2002 1/6
2 La sécurisation des données et des services au sein de l établissement Afin de mettre en place une politique de sécurité répondant le mieux possible aux besoins en terme d usage et aux impératifs de sécurité, il est nécessaire de distinguer différents domaines correspondant aux types d utilisateurs et aux types d usages du réseau. Dans les établissements d'enseignement, on distingue généralement : Les types d'utilisateurs suivants : les apprenants (majoritairement mineurs) la communauté pédagogique (les enseignants) la communauté administrative (les personnels d encadrement, les gestionnaires) la communauté externe (les parents d élèves, les collectivités, ) Et les usages pour les activités d'enseignement pour la vie scolaire pour les usages de gestion administrative. Aucun des domaines ne doit subir les contraintes exercées par un autre domaine. Historiquement, dans les établissements du second degré, les fonctions liées aux actions d enseignement (pédagogie) et les actions liées aux actes de gestion (administration) étaient effectuées dans des réseaux distincts, globalement liés aux types d utilisateurs (apprenants, enseignants d une part et administratifs d autre part) ; chaque réseau ayant sa propre sortie vers l Internet. La mutualisation des infrastructures et des ressources, conduit à repenser cette architecture réseau pour évoluer vers une sortie commune et une interconnexion sécurisée des différents réseaux de l'établissement. Pour reprendre les termes du S3IT, la distinction entre les usages (pédagogie, vie scolaire, gestion administrative ) est inappropriée pour ce qui concerne les infrastructures de télécommunication : les besoins de télécommunication sont globaux et concourent tous à une mission éducative. L interconnexion des réseaux administratifs et pédagogiques au sein d un établissement et son ouverture vers l extérieur doit respecter un niveau de sécurité dont le rôle est de définir notamment : Les règles d accès entre les réseaux internes à l établissement, Le filtrage d accès aux ressources Le contrôle par authentification La journalisation des accès Cette architecture cible au sein de l établissement permettra une supervision centralisée et créera ainsi un véritable intranet d établissement. DA-DT/Version 1.0 08/03/2002 2/6
3 L acceptation de chartes de bon usage de l'internet, des réseaux, et des ressources multimédias Les mécanismes de sécurité mis en place dans l'établissement ou l'école doivent nécessairement être accompagnés d'une sensibilisation des utilisateurs aux notions relatives à la sécurité. La charte de bon usage de l'internet, des réseaux, et des services multimédias doit permettre à l'établissement scolaire ou à l'école de définir contractuellement avec les utilisateurs les responsabilités de chacun. Cette charte permet de garantir la mise en place d une politique de sécurité compatible avec les niveaux de sensibilité des informations traitées et la prise en considération de la présence de mineurs au sein desétablissements. Elle s accompagne d une implication des personnes juridiquement responsables de l établissement et d'une sensibilisation des utilisateurs aux problèmes de sécurité. La charte type fournie permet d'aider les établissements à élaborer un tel document s intégrant à leur règlement intérieur. Elle reconnaît également l existence d une commission, composée de représentants de niveau académique, dont l objectif est la définition des critères d interdiction d accès à certaines ressources Internet (création de listes noires, par exemple) selon le type d utilisateur. Le respect de ces critères doit pouvoir être contrôlé a priori, mais également a posteriori. Ainsi, au sein d un établissement, le contrôle des accès aux ressources Internet doit respecter ces recommandations. 4 L évaluation du niveau de sécurité L étude des accès journalisés et une veille technologique participent au contrôle du niveau de sécurité. De plus, outre la certification des règles minimales de sécurité, effectuée par une expertise indépendante du ministère et des fournisseurs, des tests de vulnérabilité et d intrusion seront périodiquement réalisés. 5 Règles spécifiques et minimales à respecter par tout système destiné aux S2i2e 5.1. Architecture Avec la mutualisation des infrastructures de télécommunication et afin de se prémunir contre les attaques extérieures, le dispositif de sécurité délimite des zones susceptibles de répondre au même niveau d exigence en terme de sécurité. On peut ainsi, d'une manière générale, distinguer au moins quatre zones : zone administrative : pour la gestion de l école ou de l établissement scolaire. zone d enseignement et d éducation : pour toutes les activités pédagogiques et éducatives. zone sas : pour les services accessibles, sous certaines conditions, par la zone administrative, par la zone d enseignement et d éducation et éventuellement par le grand public (zone Internet). zone Internet : pour la connexion vers l Internet au travers d un accès RNIS, ADSL, ligne spécialisée,.. Il est possible de distinguer plus finement les zones d'accès selon les niveaux d'utilisateurs et les types d'usages, afin de mettre en place une politique de sécurité répondant le mieux possible aux besoins de l'école ou de l'établissement scolaire. Ainsi, la présence d une zone sas publique dans les établissements de type collèges ou lycées permettraient d accroître la sécurité d accès des données des systèmes d informations présents au sein de ces établissements. Les règles de sécurisation d accès aux services entre les différentes zones doivent respecter les contraintes suivantes : Les utilisateurs de la zone administrative doivent pouvoir accéder à la zone Internet et, selon leur accréditation, aux autres zones de l'établissement. Les utilisateurs de la zone d'enseignement doivent pouvoir accéder à la zone Internet mais ne doivent pas pouvoir accéder à la zone administrative Certaines ressources doivent pouvoirêtre accessibles à la fois à partir des zones administratives et d'enseignement sans être accessibles à partir de la zone Internet. DA-DT/Version 1.0 08/03/2002 3/6
Certaines ressources doivent pouvoirêtre accessibles à partir de la zone Internet sans que les zones administratives et d'enseignement ne soient accessibles. 5.2. Accès Internet 5.2.1. Authentification L accès Internet doit être authentifié, mais doit pouvoir, si besoin est, se faire également de manière anonyme. L accès authentifié par le service d annuaire doit pouvoir associer l identification de l utilisateur avec un type de profil (mineurs / majeurs, élèves / éducateurs, ) pour permettre un filtrage par type d utilisateur. L accès Internet depuis les zones administratives et élèves doit pouvoir être défini selon des plages horaires qui peuvent être différentes selon le profil et la zone concernée. 5.2.2. Filtrage 5.2.2.1. Mécanismes L accès à des ressources externes dont la qualité et la pertinence peuvent s'avérer nuisibles (contenus illicites, violents, pornographiques,...) nécessite un mécanisme de filtrage afin de protéger les utilisateurs (notamment les mineurs) de ce type de contenu. Les mécanismes de filtrage suivants devront pouvoir être mis en place : liste noire : la consultation des sites est autorisée à priori, hormis les sites ou ressources y figurant, liste blanche : la consultation des sites est interdite à priori, hormis les sites ou ressources y figurant, contrôle à posteriori : au moins, traçabilité des sites les plus visités, des sites appartenant à une liste de sites prédéfinis, des sites accédés par adresse IP, des sites accédés par identification. Certains types de filtrage doivent pouvoir être combinés afin d augmenter la sécurité d accès aux ressources Internet. Ainsi, d'autres mécanismes de filtrage (le filtrage par contrôle sémantique par exemple) peuventêtre mis en œuvre simultanément afin d'optimiser le niveau global de fiabilité du filtrage. Toutefois, les mécanismes de filtrage ne garantissent pas, quel que soit leur niveau, une sécurité absolue. Afin d'assurer un niveau de sécurité optimal, il est donc nécessaire d'accompagner la mise en place par une sensibilisation des usagers aux risques encourus lors de la consultation de sites Internet. 5.2.2.2. Validation des listes noires et des expressions sémantiques La composition des listes noires et leur suivi doit être validée par un comité placé sous une autorité nationale, puis rediffusée vers les écoles et les établissements scolaires. Cette liste éducation nationale sera la liste de référence. C est la liste minimale à installer dans tous les systèmes. Le comité de validation sera représentatif des différents acteurs du système éducatif. La personne juridiquement responsable d une école ou d un établissement scolaire pourra, évidemment, rajouter à cette liste commune, des sites qu elle jugerait inadéquat et ceci dans une liste interne à son système. Elle pourra également, si elle le juge nécessaire, soumettre une liste de sites à interdire au comité. DA-DT/Version 1.0 08/03/2002 4/6
5.3. La traçabilité L'ouverture des systèmes d'information de l'éducation Nationale aux usagers, personnels et partenaires au travers de réseaux publics de télécommunication implique une politique de contrôle des accès au niveau utilisateur afin de se prémunir contre les actes malveillants. Dans ce cadre, il est nécessaire de prévoir des mécanismes de journalisation des accès, afin de pouvoir engager la responsabilité d'un utilisateur dérogeant à la charte. La durée de conservation de ces données està définir par la personne juridiquement responsable de l école ou de l établissement. La mise en place de tels mécanismes doit être signalée dans le règlement intérieur du site (charte de bon usage des réseaux, de l'internet et des ressources multimédias) afin d'en informer les usagers. 6 Evolutions 6.1. Certification du dispositif de sécurité L adéquation de l implémentation de la sécurité et des exigences attendues est faite par une certification basée sur une chaîne de qualification technique. Celle-ci appartient à l éducation nationale afin de garantir son évolutivité avec celles des exigences sécuritaires. La certification assure la vérification du niveau de sécurité requis et permet aux établissements scolaires de s inclure dans l Intranet académique sans risque majeur. La mise en œu vre de cette chaîne de qualification technique est actuellement en cours. 6.2. Authentification forte La mise en œuvre de mécanismes d authentification forte nécessaires à la réalisation de projets en cours comme celui sur la signature électronique apportera une liberté supplémentaire dans les usages tout en gardant le même niveau de sécurité. Ainsi, les échanges entre la zone administrative et les systèmes d information de l intranet du rectorat se feront à travers d un réseau privé virtuel reposant sur une infrastructure de gestion de clés préalablement mise en place pour la signature électronique, et pourront utiliser le réseau public Internet en toute confidentialité. Les mécanismes d authentification forte, associés à la carte professionnelle, supprimeront également les frontières géographiques des zones tout en assurant les mêmes niveaux de sécurité d accès. L enseignant pourrait par exemple accéder à des services interdits aux élèves en toute sécurité même en restant dans sa salle de classe. DA-DT/Version 1.0 08/03/2002 5/6
7 Références et standards 7.1. Normes et standards de l'internet Les systèmes de sécurisation informatiques mis en place dans l'établissement ou l'école doivent être conformes aux normes et standards ouverts de l'internet IETF - Internet Engineering Task Force http://www.ietf.org 7.2. Recommandations interministérielles Il est également nécessaire de respecter les recommandations interministérielles concernant la mise en place de solutions de sécurisation : DCSSI - Direction Centrale de la Sécurité des Systèmes d'information http://www.ssi.gouv.fr ATICA - Agence pour les Technologies de l'information et de la Communication dans l'administration http://www.atica.pm.gouv.fr 7.3. Protection des personnes CNIL Commission Nationale Informatique et Libertés http://www.cnil.fr 7.4. Protection des mineurs Lutte contre les réseaux incitant à la pédophilie Protection des mineurs sur Internet https://www.internet-mineurs.gouv.fr DA-DT/Version 1.0 08/03/2002 6/6