Outre les actions de prévention et de surveillance, il est nécessaire de prévoir les réactions en cas de survenance d'un incident de sécurité afin de réagir le plus efficacement et le plus rapidement possible.

Pour cela, l'académie de Strasbourg met en œuvre une gestion des incidents de sécurité.

Les incidents sur le système d’information de l’établissement doivent remonter par la voie fonctionnelle du ministère de l’éducation nationale, en assurant l’information des autres partenaires, avec si nécessaire une concertation sur les suites à donner telles que les dépôts de plainte.

En cas d'incident, l’information des autorités hiérarchiques et du RSSI est obligatoire lorsque celui-ci peut mettre en cause l’entité dans son fonctionnement, sa sécurité, sa discipline interne, son image et si il est susceptible d’implications juridiques.

Outre cette obligation, chaque établissement peut solliciter une aide en cas d'incident de sécurité. Cette aide peut être :

• juridique (conseils, etc.),
• technique (analyse à posteriori, rétablissement),
• psychologique.

Pour déclarer un incident de sécurité, utilisez l'assistance informatique (KRIST@L) (utilisez le mot clé "signaler").

Inversement, chaque établissement sera informé par la chaîne hiérarchique de l’académie et par la chaîne opérationnelle SSI en cas d’événements graves justifiant le déclenchement d’alertes nationales. La mise en œuvre des plans de posture (VIGIPIRATE) ou d’intervention (PIRANET) est déclinée au sein de l’académie par le recteur, le RSSI et les responsables informatiques concernés.

Un incident de sécurité est la concrétisation d'un risque. Autrement dit c'est un évenement qui porte atteinte à la disponibilité, la confidentialité ou l'intégrité d'un bien.

Cet évènement porte atteinte aux valeurs essentielles avec un niveau d'impact plus ou moins élevé.

Un évènement peut donc être qualifié d'incident de sécurité lorsque :

• il perturbe le bon déroulement des activités et des missions de l'établissement,
• il provoque un risque d'ordre juridique pour l'établissement ou ses personnels,
• il porte atteinte à l'image de l'établissement,
• etc.

Utilisation illégale d'un mot de passe, usurpation d'identité ou abus de droits

Un personnel découvre que sa boîte aux lettres est lue par une autre personne et à son insu. Des actions sont réalisées à l'aide de ses codes d'accès (envoi de messages frauduleux, etc.).

Un membre du personnel profite de ses droits d'accès aux applications pour modifier les données d'un personnel dans le but soit de le favoriser soit de le desservir,

Utilisation d'une ressource informatique par une personne mal intentionnée.

Une personne mal intentionnée utilise une ressource de l'établissement pour mener des actions illicites. Par exemple : la diffusion de messages injurieux, diffamants ou pour mener une action de piratage informatique (intrusion)

Vol ou perte d'un équipement informatique, etc.

Un personnel se fait voler sur ordinateur portable ou bien une clef USB sur lequel étaient stockées des documents confidentiels (données à caractère personnel, codes d'accès, etc.).

Intrusion ou tentative d'intrusion dans un fichier, une application, etc.

Un programme malveillant (cheval de Troie) tente de s'installer ou est installé sur un poste de travail et permet par exemple, un contrôle à distance. Une application présentant une faille de sécurité est corrompue suite à l'injection et l'exécution de code.

Un portable infecté par un programme malveillant est connecté au réseau interne d'un établissement (Rectorat, EPLE, etc.) dans lequel se propage le programme.

Divulgation de données sensibles

Un membre du personnel diffuse intentionnellement ou par erreur des informations sensibles telles que ses codes de connexion à un mauvais destinataire ou bien les résultats des épreuves d’examens avant la date officielle de diffusion des résultats.

Un membre du personnel réalise qu'il a accès à des informations auxquelles il n'est pas censé avoir accès.

Information sans garantie d'origine

Un membre du personnel d'une académie reçoit par messagerie électronique une demande de renseignement (ex : sur une orientation, une affectation), par un individu se faisant passer pour la personne concernée.

Saturation ou perturbation du système informatique

Un attaquant ou un groupe d'attaquants réalise un déluge de requêtes fictives sur un serveur d'inscription à un concours, empêchant les candidats de s'inscrire.

Indisponibilité après une modification mal maitrisée du système informatique.

Non respect des recommandations et règles de sécurité

L'accès physique à un serveur est facilité par l'absence de protection et de contrôle d'accès.

Indiscrétion d'un poste de travail durant une absence. Le poste n'est pas verrouillé et l'application de gestion des notes n'est pas fermée.