L'organisation
Introduction
La Sécurité des Systèmes d'Information c'est avant tout une organisation.
L'organisation sous forme de chaîne fonctionnelle de la Sécurité des Systèmes d'Information (SSI) est conforme à la directive interministérielle n°901 sur la protection des systèmes d'information traitant des informations sensibles non classifiées de défense.
Le niveau national
La prise en compte de la Sécurité des Systèmes d'Information se fait au plus haut niveau de l'Etat :
Au niveau académique
- L'autorité hiérarchique.
Sur le plan décisionnel et juridique, chaque service déconcentré (rectorat, inspection académique), chaque établissement public (lycées, collèges) est responsable et décideur dans son périmètre.
L'autorité hiérarchique (recteur, inspecteur d'académie, proviseur, principal) est personnellement responsable, par convention. Elle est appelée "Personne Juridiquement Responsable" (PJR). La PJR est de fait l'Autorité Qualifiée en Sécurité du Système d'Information (AQSSI).
- Le responsable de la sécurité des systèmes d'information (RSSI).
L'autorité hiérarchique s'appuie sur une personne qu'il aura nommée appelée "RSSI".
Le champ d'intervention du RSSI du rectorat de Strasbourg est élargi aux autres services académiques ainsi qu'aux établissements scolaires de l'académie.
Il est assisté d'un RSSI adjoint.
Voir les missions du RSSI de l'académie de Strasbourg.
- Le correspondant de sécurité.
Il est chargé de la mise en oeuvre de la sécurité pour son périmètre et notamment sur l'infrastructure technique (versions logiciels, carnets d'exploitations des serveurs) et sur les dispositifs spécifiques de sécurité (filtres, sondes de détections, antivirus, ...).
Le correspondant de sécurité s'engage à respecter la charte nationale "administrateurs" par laquelle il est informé de ses droits et devoirs.
- Tout le personnel.
A son niveau, le personnel est responsable de la sécurité du système d'information. L'image du "maillon faible" est parfaitement adaptée pour représenter le rôle de chacun. Le comportement inconscient ou négligent d'un seul agent peut générer une défaillance de sécurité lourde de conséquence.