🧠 SSI 01 – Sécurité des Systèmes d’Information

I. Qu’est-ce qu’un Système d’Information (SI) ?

• Définition :
• Un SI est un ensemble organisé de ressources (matérielles, humaines, logicielles, données, procédures) permettant de collecter, traiter, stocker et diffuser de l’information.
• Objectif :
• Assurer la circulation fluide et sécurisée de l’information au sein d’une organisation.
• Exemples de ressources :
• Ordinateurs, serveurs, logiciels métiers.
• Utilisateurs (agents, administrateurs).
• Procédures internes (accès, sauvegarde, partage).

II. Objectifs de la sécurité des SI

• Protéger les données et les systèmes contre :
• Les intrusions.
• Les pertes de données.
• Les altérations malveillantes.
• Les 4 piliers de la SSI :

1. Confidentialité : seules les personnes autorisées accèdent à l’information.
2. Intégrité : l’information ne doit pas être modifiée de manière non autorisée.
3. Disponibilité : les systèmes doivent être accessibles quand nécessaire.
4. Traçabilité : chaque action doit pouvoir être retracée.

• Référence réglementaire :
• Circulaire 15120 du 17 avril 2009 sur la SSI dans les services de l’État.

III. Chaîne fonctionnelle SSI

• Responsabilités :
• Sensibiliser les utilisateurs aux risques.
• Mettre en œuvre des mesures techniques (pare-feu, antivirus).
• Définir des procédures organisationnelles (gestion des accès, sauvegardes).
• Réaliser des audits et contrôles réguliers.
• Acteurs clés :
• Correspondant SSI.
• Administrateurs réseau.
• Utilisateurs finaux.

IV. Données à caractère personnel

• Définition :
• Toute information permettant d’identifier une personne, directement (nom, prénom) ou indirectement (numéro de dossier, adresse IP).
• Exemples :
• Nom, prénom, photo, numéro de téléphone, adresse mail.
• Cadre légal :
• Loi Informatique et Libertés du 6 janvier 1978 modifiée.

V. Organismes extérieurs liés à la SSI

• ANSSI (Agence nationale de la sécurité des systèmes d’information) :
• Veille sur les menaces.
• Réaction en cas d’attaque.
• Publication de guides de bonnes pratiques.
• CNIL (Commission nationale de l’informatique et des libertés) :
• Contrôle le respect des droits des citoyens.
• Peut sanctionner les manquements.
• Cybermalveillance.gouv.fr :
• Plateforme d’assistance aux victimes.
• Sensibilisation du grand public.

VI. Gestion des mots de passe

• Règles de sécurité :
• Mot de passe personnel et confidentiel.
• Longueur : entre 8 et 14 caractères.
• Validité : 6 mois.
• Interdiction de réutiliser les 3 derniers mots de passe.
• Changement obligatoire en cas de suspicion ou rappel.
• Bonnes pratiques :
• Combiner lettres, chiffres, symboles.
• Ne jamais partager son mot de passe.

VII. Types d’attaques informatiques

• Force brute : test de toutes les combinaisons possibles.
• Attaque par dictionnaire : test de mots courants.
• Sniffing : interception de données sur le réseau.
• Phishing : usurpation d’identité via faux site ou mail.

VIII. Les 10 règles d’or de la SSI

1. Utiliser un accès personnel et confidentiel.
2. Ne pas modifier la configuration du poste.
3. Protéger les données sensibles.
4. Limiter l’usage des supports amovibles (USB).
5. Verrouiller son poste en cas d’absence.
6. Respecter la confidentialité des informations.
7. Ne pas rediriger les mails vers l’extérieur.
8. Être vigilant face aux messages suspects.
9. Naviguer prudemment sur Internet.
10. Contacter le correspondant SSI en cas de doute.

IX. Risques liés aux réseaux sociaux

• Cyberharcèlement : insultes, menaces en ligne.
• Cyberdépendance : usage excessif des réseaux.
• E-réputation : image numérique d’une personne.
• Cyberviolence : incitation à la haine, harcèlement.
• Divulgation d’informations professionnelles : photos, lieux, missions.

X. VeraCrypt

• Outil de chiffrement :
• Permet de sécuriser les données sur clé USB.
• Crée un volume chiffré invisible ou protégé par mot de passe.
• Utile pour transporter des données sensibles.

📘 SSI 02 – RGPD : Règlement Général sur la Protection des Données

I. Présentation du RGPD

• Règlement européen : UE 2016/679.
• Entrée en vigueur : 25 mai 2018.
• Objectif : harmoniser la protection des données dans l’UE.
• Champ d’application :
• Données numériques (bases de données, fichiers).
• Données physiques (documents papier).

II. Acteurs institutionnels

• CNIL : autorité française de contrôle.
• CEPD : Comité européen de la protection des données.
• CJUE : Cour de justice de l’Union européenne (sanctions).

III. Données personnelles et sensibles

• Donnée personnelle : identifie une personne.
• Donnée sensible : race, religion, opinions politiques, santé, sexualité.
• Interdictions :
• Collecte sans finalité légitime.
• Traitement non sécurisé.
• Droit à la portabilité :
• L’utilisateur peut récupérer ses données (ex. Google Takeout).

IV. Les 8 règles d’or du RGPD

1. Liceité : traitement autorisé par la loi.
2. Finalité : usage précis et légitime.
3. Minimisation : ne collecter que ce qui est nécessaire.
4. Protection des données sensibles : traitement encadré.
5. Conservation limitée : durée définie.
6. Sécurité : mesures techniques et organisationnelles.
7. Transparence : informer les personnes concernées.
8. Droits des personnes : accès, rectification, suppression.

Souhaites-tu que je te fasse maintenant un tableau récapitulatif comme pour le RENS ?