24
République Tunisienne République Tunisienne Premier Ministère Premier Ministère La sécurité La sécurité informatique: informatique: l’expérience d’un l’expérience d’un utilisateur Tunisien utilisateur Tunisien Présenté par Hassen Présenté par Hassen SOUKNI SOUKNI Chargé de mission au Chargé de mission au Premier Ministère Premier Ministère Tanger – Janvier 2008 Tanger – Janvier 2008

République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

Embed Size (px)

Citation preview

Page 1: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

République Tunisienne République Tunisienne Premier MinistèrePremier Ministère

La sécurité informatique:La sécurité informatique:l’expérience d’un utilisateur l’expérience d’un utilisateur

TunisienTunisienPrésenté par Hassen SOUKNIPrésenté par Hassen SOUKNIChargé de mission au Premier Chargé de mission au Premier

MinistèreMinistèreTanger – Janvier 2008Tanger – Janvier 2008

Page 2: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

La sécurité informatique:La sécurité informatique:

•Pourquoi?Pourquoi?

•Comment?Comment?

Page 3: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

Mais d’abord qu’est ce que la Mais d’abord qu’est ce que la sécurité informatique?sécurité informatique?

Au niveau le plus simple, il s’agit d’ éviter Au niveau le plus simple, il s’agit d’ éviter le risque d’erreurs provoquées par des le risque d’erreurs provoquées par des utilisateurs pas suffisamment initiés et pas utilisateurs pas suffisamment initiés et pas nécessairement mal intentionnés, le risque nécessairement mal intentionnés, le risque des erreurs de manipulation, …des erreurs de manipulation, …

A un niveau supérieur, il s’agit d’éviter A un niveau supérieur, il s’agit d’éviter toute intrusion dans le système et toute toute intrusion dans le système et toute tentative d’accès non autorisée, ayant tentative d’accès non autorisée, ayant pour but de prendre connaissance des pour but de prendre connaissance des données qui y sont consignées, ou de les données qui y sont consignées, ou de les modifier afin de semer le trouble.modifier afin de semer le trouble.

Page 4: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

La sécurité informatique:La sécurité informatique:

Pourquoi?Pourquoi?

Page 5: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

Disons le, la sécurité Disons le, la sécurité informatique, est d’abord un informatique, est d’abord un souci politique, plus souci politique, plus qu’administratif ou technique.qu’administratif ou technique.

Mais il faut toujours convaincre Mais il faut toujours convaincre les politiciens afin que le souci les politiciens afin que le souci de sécurité ne freine pas le de sécurité ne freine pas le programme. programme.

Page 6: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

Pour l’utilisateurPour l’utilisateur: le souci de : le souci de sécurité se justifie par:sécurité se justifie par:

La gestion d’une matière La gestion d’une matière sensible, en rapport avec sensible, en rapport avec l’intérêt national , une matière l’intérêt national , une matière qui engage la responsabilité qui engage la responsabilité politique et même civile à politique et même civile à certains égards de plusieurs certains égards de plusieurs personnes, et qui peut revêtir un personnes, et qui peut revêtir un aspect confidentiel.aspect confidentiel.

Page 7: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

Un systèmeUn système n’est crédible et fiable n’est crédible et fiable que quand il garantit la sécurité des que quand il garantit la sécurité des informations qui y sont consignées.informations qui y sont consignées.

La relation entre le décideur qui a La relation entre le décideur qui a recours au système, qu’il soit ministre recours au système, qu’il soit ministre ou autre, d’une part, et le responsable ou autre, d’une part, et le responsable du système, d’autre part, repose sur du système, d’autre part, repose sur l’entière confiance et la conviction que l’entière confiance et la conviction que le système est hautement sécurisé.le système est hautement sécurisé.

C’est pour cela que le système C’est pour cela que le système d’information peut offrir une base de d’information peut offrir une base de données exhaustive, puisque données exhaustive, puisque originellement elle est alimentée par originellement elle est alimentée par toutes les informations utiles. Il n’y a toutes les informations utiles. Il n’y a pas de rétention d’information vis-à-vis pas de rétention d’information vis-à-vis du système.du système.

Page 8: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

Le moindre doute qui plane sur la Le moindre doute qui plane sur la sécurité, ou la moindre faille peut sécurité, ou la moindre faille peut être fatale pour la crédibilité du être fatale pour la crédibilité du système, voire pour sa survie.système, voire pour sa survie.

Elle remet en question, par la même, Elle remet en question, par la même, la confiance que le décideur place la confiance que le décideur place dans le responsable du système dans le responsable du système d’information.d’information.

Page 9: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

En fait, les politiciens, en général non En fait, les politiciens, en général non techniciens, placent plus leur techniciens, placent plus leur confiance dans la personne qui gère confiance dans la personne qui gère le système que dans le système de le système que dans le système de sécurité lui-même. Il faut savoir les sécurité lui-même. Il faut savoir les mettre en confiance. Leur conception mettre en confiance. Leur conception et leur vision de la sécurité passe et leur vision de la sécurité passe par la personne qui la gère.par la personne qui la gère.

Page 10: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

La sécurité informatique:La sécurité informatique:

Comment?Comment?

Page 11: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

2 niveaux de réponses:2 niveaux de réponses: Administratif, en tant qu’utilisateur d’un Administratif, en tant qu’utilisateur d’un

système, dont on doit garantir la système, dont on doit garantir la sécurité,sécurité,

Technique, qui relève de la compétence Technique, qui relève de la compétence des informaticiens, et des outils mis à des informaticiens, et des outils mis à leur disposition, mais reste toujours du leur disposition, mais reste toujours du domaine de responsabilité de domaine de responsabilité de l’utilisateur, lui-même assumant l’entière l’utilisateur, lui-même assumant l’entière responsabilité devant le décideur. responsabilité devant le décideur.

Page 12: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

Comme règle générale, les données revêtant Comme règle générale, les données revêtant un aspect hautement confidentiel ne doivent un aspect hautement confidentiel ne doivent jamais figurer dans l’application. Une donnée jamais figurer dans l’application. Une donnée qui sort du support documentaire qui sort du support documentaire jalousement gardé dans une armoire fermée jalousement gardé dans une armoire fermée à clé, voire dans un coffre-fort des fois, court à clé, voire dans un coffre-fort des fois, court le risque d’être révélée d’une manière ou le risque d’être révélée d’une manière ou d’une autre.d’une autre.

La notion de transparence et de La notion de transparence et de démocratisation de l’accès à l’information ne démocratisation de l’accès à l’information ne peut avoir qu’une valeur relative quand il peut avoir qu’une valeur relative quand il s’agit d’information ayant trait à la sécurité s’agit d’information ayant trait à la sécurité et à la souveraineté de l’Etat, ou aux secrets et à la souveraineté de l’Etat, ou aux secrets personnels des individus.personnels des individus.

Page 13: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

Comme règle générale Comme règle générale également, le système également, le système d’information doit être conçu, d’information doit être conçu, autant que faire se peut, par des autant que faire se peut, par des compétences nationales. Ainsi, compétences nationales. Ainsi, le risque est moindre.le risque est moindre.

Page 14: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

Au niveau administratif,Au niveau administratif,Les mesures suivantes sont à prendre:Les mesures suivantes sont à prendre:A – Concernant les personnes habilitées à A – Concernant les personnes habilitées à

accéder au système:accéder au système:Il faut:Il faut:

+ En limiter le nombre et bien sélectionner + En limiter le nombre et bien sélectionner celles qui travaillent sur le système et qui ont celles qui travaillent sur le système et qui ont un apport réel. Le système est loin d’être un un apport réel. Le système est loin d’être un élément du décor du bureau ou un cadeau à élément du décor du bureau ou un cadeau à certains responsables.certains responsables.+ Initier les personnes identifiées à la + Initier les personnes identifiées à la manipulation du système, pour éviter toute manipulation du système, pour éviter toute erreur qui pourrait être fatale. erreur qui pourrait être fatale.

Page 15: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

B – Concernant la gestion et les privilèges B – Concernant la gestion et les privilèges accordés aux utilisateurs:accordés aux utilisateurs:

Il faut:Il faut: Centraliser la saisie des données, ou tout Centraliser la saisie des données, ou tout

au moins instaurer un outil de contrôle au moins instaurer un outil de contrôle systématique de toutes les données saisies.systématique de toutes les données saisies.

Accorder des privilèges d’accès différents Accorder des privilèges d’accès différents en fonction des besoins réels et de la en fonction des besoins réels et de la capacité de manipulation. Il faut capacité de manipulation. Il faut déterminer de façon précise les déterminer de façon précise les privilèges d’utilisation des uns et des privilèges d’utilisation des uns et des autres (saisie, collationnement, autres (saisie, collationnement, consultation, …). La sélection doit être consultation, …). La sélection doit être faite de façon très réfléchie et faite de façon très réfléchie et rationnelle rationnelle

Page 16: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

Par exemple, Le ministre ne peut Par exemple, Le ministre ne peut avoir systématiquement le privilège avoir systématiquement le privilège de modifier; il est même de modifier; il est même recommandé qu’il n’ait que la recommandé qu’il n’ait que la possibilité de consulter.possibilité de consulter.

Page 17: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

C – Concernant le sécurité physique des C – Concernant le sécurité physique des ordinateursordinateurs

Des consignes précises sont données aux Des consignes précises sont données aux utilisateurs de bien prendre soin de utilisateurs de bien prendre soin de ordinateurs, soit:ordinateurs, soit:

Ne pas permettre à des personnes Ne pas permettre à des personnes étrangères au service de consulter étrangères au service de consulter l’application, encore moins de la l’application, encore moins de la manipuler, la responsabilité pour chaque manipuler, la responsabilité pour chaque ordinateur étant strictement personnelle.ordinateur étant strictement personnelle.

Ne pas laisser l’ordinateur ouvert en Ne pas laisser l’ordinateur ouvert en quittant le bureau.quittant le bureau.

L’emplacement même de l’ordinateur doit L’emplacement même de l’ordinateur doit être étudié.être étudié.

Page 18: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

Au niveau technique,Au niveau technique,Un train de mesures nous sont dictées par Un train de mesures nous sont dictées par

les techniciens; elles ne sont pas les techniciens; elles ne sont pas soumises à discussion; nous, soumises à discussion; nous, utilisateurs, nous conformons presque utilisateurs, nous conformons presque strictement à ces mesures. Nous en strictement à ces mesures. Nous en citons en vrac quelques unes:citons en vrac quelques unes:

+ Isoler le système de l’internet, en + Isoler le système de l’internet, en d’autres termes, ne pas utiliser un d’autres termes, ne pas utiliser un ordinateur pour l’application ordinateur pour l’application gouvernementale et l’internet en même gouvernementale et l’internet en même temps.temps.

+ Utiliser un réseau dédié, physiquement + Utiliser un réseau dédié, physiquement isolé de tout autre réseau.isolé de tout autre réseau.

Page 19: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

+ Identifier un mot de passe personnel + Identifier un mot de passe personnel et régulièrement modifié pour toute et régulièrement modifié pour toute personne habilitée à accéder au personne habilitée à accéder au système.système.

+ Contrôler l’accès au système de + Contrôler l’accès au système de façon à détecter toute intrusion. Des façon à détecter toute intrusion. Des tests et des simulations d’attaque tests et des simulations d’attaque sont entrepris de façon régulière.sont entrepris de façon régulière.

Page 20: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

+La sauvegarde des données est +La sauvegarde des données est effectuée quotidiennement.effectuée quotidiennement.

En outre, des opérations d’audit En outre, des opérations d’audit sécurité sont entreprises que ce soit sécurité sont entreprises que ce soit de façon programmée ou de façon de façon programmée ou de façon improvisée auprès de tous les improvisée auprès de tous les utilisateurs du système.utilisateurs du système.

Page 21: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

La dernière mesure est de rester à La dernière mesure est de rester à l’écoute des techniciens et croire que l’écoute des techniciens et croire que de nouvelles mesures peuvent de nouvelles mesures peuvent toujours être imaginéestoujours être imaginées pour pour améliorer les conditions de sécurité.améliorer les conditions de sécurité.

Page 22: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

Messieurs, Mesdames les Messieurs, Mesdames les techniciens, éclairez-nous:techniciens, éclairez-nous:

Nous avons fixé l’objectif: zéro Nous avons fixé l’objectif: zéro papierspapiers

Page 23: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

Peut-on parler du risque zéro?Peut-on parler du risque zéro?

Page 24: République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au

شكراشكرا

MerciMerci

THANK YOUTHANK YOU