Le but de la SSI, c'est avant tout de garantir le bon déroulement des activités et des missions.

La sécurité des systèmes d'information a pour objectif de protéger les valeurs essentielles de l'éducation nationale et de l'académie de Strasbourg. Ces valeurs essentielles sont :

• La tenue d’engagement de satisfaction de la mission de service public.
• La sécurité juridique des établissements et des personnes.
• La sécurité financière / des investissements.
• La protection des personnes et des biens.
• Le respect des intérêts des partenaires.
• La protection de l’image du ministère et de l’académie.

Pour y arriver, il est nécessaire d’identifier les risques et les dommages sur les valeurs essentielles de l’académie puis de formaliser les moyens pour s’en prémunir.

Il existe plusieurs types d'atteintes. Voici les quatre principaux :

L'atteinte sur la disponibilité

L'incapacité d'accéder à certaines informations ou ressources ou de les utiliser est un risque pouvant être lourd de conséquences sur le bon fonctionnement de nos établissements. Exemple: la base élèves, les emplois du temps, le traitement de la paye, la messagerie électronique ou encore le téléphone.

L'atteinte sur l'intégrité

Certaines informations ou ressources sont fortement sensibles au risque de modification non autorisée. Les notes du baccalauréat, le budget de l'académie ou bien certaines pages du site Internet de l'académie sont, par exemple, des informations qui doivent être rigoureusement intègres.

L'atteinte sur la confidentialité

Certaines informations, tels que les données à caractère personnel, les sujets d'examens ou les notes du baccalauréat ne doivent en aucun cas  être divulguées à des personnes non autorisées. Leur confidentialité constitue un enjeu essentiel pour se prémunir d'un impact juridique sur l'académie et les personnels.

L'atteinte sur la traçabilité

Les données de traces ou indices permettant d'imputer une responsabilité  ou de garantir la non répudiation d'action sont soumises à certaines obligations d'ordre réglementaire.

Un système d'information gère des biens qui sont essentiels au fonctionnement du ministère de l'Education Nationale et des académies. 

Exemple : la base élèves est un bien, un élément essentiel qu'un établissement d'enseignement souhaite toujours disponible et protégé de la divulgation.

• Les biens sont sensibles à des menaces tels que les accidents, les erreurs, les négligences ou les malveillances.
• Ces menaces sont liées à des vulnérabilités du système d'information (bogues, faille, absence ou méconnaissance des règles, etc.).

Exemple :

Un document confidentiel est dans une armoire non fermée à clef.

• Le bien : le document confidentiel
• La vulnérabilité : une armoire non fermée à clef
• Une menace : le vol du document

Le risque c'est l'opportunité de l'exploitation par une menace d'une vulnérabilité qui affecte un bien.

Exemple :

Le risque : vol du document classé confidentiel mais non protégé

L'appréciation des risques

L'appréciation du risque consiste à l'évaluer en fonction :

• de sa vraisemblance : quelle est la probabilité que le danger survienne ?
• des dommages ou impacts qu'il est susceptible de provoquer sur les valeurs essentielles (atteintes juridiques, perte d'image, etc.). On parle aussi de la gravité du risque.

Identifier les biens à protéger, apprécier les risques qui pèsent sur ces derniers permet de mettre les investissements, les exigences et les contraintes là où ils sont incontournables.

Pour être comprises et acceptées, les mesures de sécurité doivent être adaptées et répondre aux besoins de l'organisation.