SlideShare une entreprise Scribd logo

LAIR_230330-SécuritéSAE.pdf

A
AssociationAF

d

Art & Photos
1  sur  7
Télécharger pour lire hors ligne
Les contraintes de cybersécurité dans les projets informatiques des services d’archives SAE et sécurité Journée d’étude Archives et cybersécurité AAF - Pierrefitte – 30 mars 2023 Jean-Séverin Lair
Une grille d'analyse des besoins en cybersécurité Le DICT ● 4 axes – Disponibilité : Il s'agit de garantir que les données sont rapidement accessibles en cas de besoin – Intégrité : Il s’agit de s’assurer de l'exactitude et de la cohérence des données qui ne sont pas modifiées, corrompues ou supprimées accidentellement ou intentionnellement – Confidentialité : Il s'agit de la protection des données contre les accès non autorisés – Traçabilité : Il s’agit de suivre et d’enregistrer toutes les actions effectuées sur le SI et les biens, y compris les accès, les modifications et les suppressions ● À prioriser de manière pragmatique et réaliste … A noter: il faut faire attention à la collision des concepts entre archivage, informatique et SSI
I > T > C > D ...une priorisation choquante? ● Intégrité: garantir la conservation est essentiel pour des archives, sur les données mais aussi sur les métadonnées – Quel bien à le plus de valeur? Le document ou le catalogue – Un outil essentiel pour l'intégrité à long terme: une version froide! ● Traçabilité: le suivi du cycle de vie des archives de la création à la destruction – La traçabilité est important dans le métier, mais elle l'est aussi et potentiellement foisonnante dans le technique ● Confidentialité: limitation de l'accès, contrôle d'accès et chiffrement – Mais attention!… en numérique à long terme elle peut être contraire à l'intégrité ● … et la Disponibilité: cela dépend des contraintes de rapidité d'accès mais ceci est rarement élevé – Même sans oublier que l'accès est la vraie finalité...
ChatGPT a tout compris... ● A la question «Quelle est l'importance relative des composantes des critères de sécurité DICT dans l'archivage?» ● Il répond: Les critères de sécurité DICT (Disponibilité, Intégrité, Confidentialité et Traçabilité) sont essentiels pour assurer la protection des données dans l'archivage. L'importance relative de chaque composante dépend des exigences spécifiques de l'organisation et du type de données archivées. Voici une brève analyse de chaque composante: – Disponibilité : Il s'agit de garantir que les données archivées sont accessibles en cas de besoin. L'importance de la disponibilité dépend de la fréquence d'accès aux archives et du niveau de service requis. Pour les organisations qui ont besoin d'accéder régulièrement à leurs archives, la disponibilité sera une priorité majeure. – Intégrité : L'intégrité fait référence à l'exactitude et à la cohérence des données archivées. Il est crucial de s'assurer que les données ne sont pas modifiées, corrompues ou supprimées accidentellement ou intentionnellement. L'importance de l'intégrité dépend du niveau de confiance requis pour les données archivées et des conséquences d'éventuelles erreurs ou manipulations. – Confidentialité : La confidentialité concerne la protection des données archivées contre les accès non autorisés. Elle est particulièrement importante pour les organisations qui gèrent des données sensibles ou confidentielles. Dans ce cas, la confidentialité sera une priorité absolue pour éviter les fuites d'informations et préserver la vie privée des individus concernés. Les mesures de confidentialité incluent le contrôle d'accès, le chiffrement des données et la gestion des droits d'accès. – Traçabilité : La traçabilité consiste à suivre et à enregistrer toutes les actions effectuées sur les données archivées, y compris les accès, les modifications et les suppressions. Elle permet de garantir la responsabilité et la transparence des processus d'archivage. La traçabilité est particulièrement importante pour les organisations soumises à des régulations strictes ou qui doivent être en mesure de prouver la conformité à des normes spécifiques. En résumé, l'importance relative de chaque composante des critères de sécurité DICT dépend des besoins et des exigences de l'organisation concernée, ainsi que du type de données archivées. Il est essentiel d'évaluer ces besoins et d'adapter les mesures de sécurité en conséquence. Une approche équilibrée, tenant compte de toutes les composantes, permet de garantir un niveau de sécurité adéquat pour l'archivage des données. Dans certains cas, certaines composantes pourraient être plus importantes que d'autres. Par exemple, pour une entreprise du secteur de la santé qui traite des informations médicales sensibles, la confidentialité et l'intégrité des données pourraient être considérées comme prioritaires. En revanche, pour une organisation dont les archives sont principalement consultées à des fins de recherche historique, la disponibilité et la traçabilité pourraient être les aspects les plus importants. Il est recommandé de travailler avec des experts en sécurité de l'information et en archivage pour évaluer les besoins spécifiques de l'organisation et mettre en place les politiques, les procédures et les technologies appropriées pour assurer la protection des données archivées. Les organisations doivent également s'engager dans une formation et une sensibilisation continues pour leur personnel, afin qu'ils comprennent les enjeux liés à la sécurité de l'archivage et les bonnes pratiques à adopter. Enfin, il est important de surveiller et d'évaluer régulièrement les mesures de sécurité mises en place pour s'assurer qu'elles restent efficaces et adaptées aux évolutions technologiques et aux menaces potentielles. Cela peut inclure des audits de sécurité, des tests d'intrusion et des mises à jour régulières des politiques et des procédures.
La sécurité... une démarche standard ● Une stratégie systématique – Analyse de risque (partant d'ailleurs du DICT sur les biens essentiels) – Audits (techniques et organisationnels) – Remédiation (amélioration permanente) – Acceptation des risques résiduels (décision assumée par le métier) ● Des expertises multiples – Métiers (Archivistes, Juristes) – Informaticiens (Développeurs, Administrateurs, Exploitants) – SSI
Un mythe à déconstruire… la sécurité cryptographique ● On peut utiliser la cryptographie – pour chiffrer, mais cela pose le problème de la pérennité et de la perte des clés – et pour signer et horodater, mais cela pose le problème de renouvellement des certificats ● Une autre voie? Le choix de la NF Z42-013 2020… la sécurité systémique avec une forte traçabilité technique, une conservation soignée des journaux, une multiplication des supports... (approche plus «droit public» par faisceaux de preuve…) 1 https://www.ssi.gouv.fr/uploads/2016/06/eidas_conservation-signatures-cachets-qualifies_v1.0_anssi.pdf
En bref... ● Une démarche de sécurité propre est nécessaire et en prenant bien en compte le contexte Caveat: il y a collision de certains concepts entre archivistes et informaticiens (intégrité, confidentialité…) il faut donc bien se mettre d’accord sur ce dont on parle ● Il y a une difficulté structurelle pour les petits acteurs en général sur la sécurité des SI, la mutualisation est donc essentielle – Cadre d’analyse de risque SAE à mettre en commun comme des canevas ou des instruments de référence (par exemple pour les Directions Départementales au niveau du SIAF? Ou d’autres structures types au niveau de l’AAF) – Insertion dès que possible à la démarche sécurité du SI en général – Partage REX sur incidents, il est difficile mais tellement profitable de partager ses problèmes, erreurs et corrections – Utilisation de SAE en mode service, soit par mutualisation entre acteurs de même type soit en achat de service (mais toujours en ayant fait sa propre démarche sécurité) ● Attention la réglementation est encore en mouvement: ANSSI 2016, NF Z42-0132009 puis 2020, NIS 2016 et NIS 2 à venir en 2024… Il faut donc avant tout être sûr de ses fondamentaux … et si vous ne retenez qu’une chose: quand on n’a plus rien, reste les sauvegardes froides voire externalisées (données ET métadonnées) (PCA, PSBC…). L’absence de fait d’original dans le numérique permet des choses inenvisageables dans le papier...

Recommandé

Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobitYoussef Bensafi
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfsaadbourouis2
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDFbadrboutouja1
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfFootballLovers9
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 

Recommandé

Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobitYoussef Bensafi
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfsaadbourouis2
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDFbadrboutouja1
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfFootballLovers9
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesThierry Pertus
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfFootballLovers9
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssikabengniga ibrahima soro
 
Gouvernance & cycle de vie du document avec Everteam & EI-Technologies
Gouvernance & cycle de vie du document avec Everteam & EI-TechnologiesGouvernance & cycle de vie du document avec Everteam & EI-Technologies
Gouvernance & cycle de vie du document avec Everteam & EI-TechnologiesEverteam
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’informationlara houda
 
Comment sécuriser vos données sensibles
Comment sécuriser vos données sensiblesComment sécuriser vos données sensibles
Comment sécuriser vos données sensiblesFrederic Truong
 
Comment réussir un projet de supervision de sécurité #SIEM #Succès
Comment réussir un projet de supervision de sécurité #SIEM #SuccèsComment réussir un projet de supervision de sécurité #SIEM #Succès
Comment réussir un projet de supervision de sécurité #SIEM #SuccèsDavid Maillard
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...Walter Michael TACKA
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfkhalid el hatmi
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Sébastien Rabaud
 
Quel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdfQuel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdfErol GIRAUDY
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesChristophe Elut
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelleDominique Gayraud
 
L’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaireL’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaireDidier Labonte
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsAssociationAF
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsAssociationAF
 

Contenu connexe

Similaire à LAIR_230330-SécuritéSAE.pdf

resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesThierry Pertus
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfFootballLovers9
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
Gouvernance & cycle de vie du document avec Everteam & EI-Technologies
Gouvernance & cycle de vie du document avec Everteam & EI-TechnologiesGouvernance & cycle de vie du document avec Everteam & EI-Technologies
Gouvernance & cycle de vie du document avec Everteam & EI-TechnologiesEverteam
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’informationlara houda
 
Comment sécuriser vos données sensibles
Comment sécuriser vos données sensiblesComment sécuriser vos données sensibles
Comment sécuriser vos données sensiblesFrederic Truong
 
Comment réussir un projet de supervision de sécurité #SIEM #Succès
Comment réussir un projet de supervision de sécurité #SIEM #SuccèsComment réussir un projet de supervision de sécurité #SIEM #Succès
Comment réussir un projet de supervision de sécurité #SIEM #SuccèsDavid Maillard
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...Walter Michael TACKA
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfkhalid el hatmi
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Sébastien Rabaud
 
Quel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdfQuel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdfErol GIRAUDY
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesChristophe Elut
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelleDominique Gayraud
 
L’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaireL’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaireDidier Labonte
 

Similaire à LAIR_230330-SécuritéSAE.pdf (20)

resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Gouvernance & cycle de vie du document avec Everteam & EI-Technologies
Gouvernance & cycle de vie du document avec Everteam & EI-TechnologiesGouvernance & cycle de vie du document avec Everteam & EI-Technologies
Gouvernance & cycle de vie du document avec Everteam & EI-Technologies
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
 
Comment sécuriser vos données sensibles
Comment sécuriser vos données sensiblesComment sécuriser vos données sensibles
Comment sécuriser vos données sensibles
 
Comment réussir un projet de supervision de sécurité #SIEM #Succès
Comment réussir un projet de supervision de sécurité #SIEM #SuccèsComment réussir un projet de supervision de sécurité #SIEM #Succès
Comment réussir un projet de supervision de sécurité #SIEM #Succès
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdf
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
 
Quel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdfQuel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdf
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
 
L’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaireL’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaire
 

Plus de AssociationAF

RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsAssociationAF
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsAssociationAF
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsAssociationAF
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsAssociationAF
 
Presentation_RASAD_AMICHI_V1_20230126.pdf
Presentation_RASAD_AMICHI_V1_20230126.pdfPresentation_RASAD_AMICHI_V1_20230126.pdf
Presentation_RASAD_AMICHI_V1_20230126.pdfAssociationAF
 
20231019.1.2_TransitionDroitsCulturels_Conference.pdf
20231019.1.2_TransitionDroitsCulturels_Conference.pdf20231019.1.2_TransitionDroitsCulturels_Conference.pdf
20231019.1.2_TransitionDroitsCulturels_Conference.pdfAssociationAF
 
Les archives de AIDES militer agir transformer
Les archives de AIDES militer agir transformerLes archives de AIDES militer agir transformer
Les archives de AIDES militer agir transformerAssociationAF
 
Chacun cherche son SAE table ronde colloque
Chacun cherche son SAE table ronde colloqueChacun cherche son SAE table ronde colloque
Chacun cherche son SAE table ronde colloqueAssociationAF
 
Quand sobriété rencontre archives table ronde
Quand sobriété rencontre archives table rondeQuand sobriété rencontre archives table ronde
Quand sobriété rencontre archives table rondeAssociationAF
 
20231018.1_RecolerLogicielsApplis_Conference.pptx
20231018.1_RecolerLogicielsApplis_Conference.pptx20231018.1_RecolerLogicielsApplis_Conference.pptx
20231018.1_RecolerLogicielsApplis_Conference.pptxAssociationAF
 
Le fabuleux destin des archivistes communiquants : les archives de la MEL
Le fabuleux destin des archivistes communiquants : les archives de la MELLe fabuleux destin des archivistes communiquants : les archives de la MEL
Le fabuleux destin des archivistes communiquants : les archives de la MELAssociationAF
 
Les archives municipales et métropolitaines d'Orléans
Les archives municipales et métropolitaines d'OrléansLes archives municipales et métropolitaines d'Orléans
Les archives municipales et métropolitaines d'OrléansAssociationAF
 
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24AssociationAF
 
table ronde j'archive bien ne t'en fais pas
table ronde j'archive bien ne t'en fais pastable ronde j'archive bien ne t'en fais pas
table ronde j'archive bien ne t'en fais pasAssociationAF
 
20231017_ArchivesWallonie_Conference.ppt
20231017_ArchivesWallonie_Conference.ppt20231017_ArchivesWallonie_Conference.ppt
20231017_ArchivesWallonie_Conference.pptAssociationAF
 
A la poursuite de l'intelligence artificielle
A la poursuite de l'intelligence artificielleA la poursuite de l'intelligence artificielle
A la poursuite de l'intelligence artificielleAssociationAF
 
2023_Valenciennes_2023OdysseeTransTer_V2.pptx
2023_Valenciennes_2023OdysseeTransTer_V2.pptx2023_Valenciennes_2023OdysseeTransTer_V2.pptx
2023_Valenciennes_2023OdysseeTransTer_V2.pptxAssociationAF
 
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdf
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdfDUBOIS_Presentation_cyberattaque_Bondy_vf.pdf
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdfAssociationAF
 
MEIGNEN_Presentation-AAF-SAE-sécurité.pdf
MEIGNEN_Presentation-AAF-SAE-sécurité.pdfMEIGNEN_Presentation-AAF-SAE-sécurité.pdf
MEIGNEN_Presentation-AAF-SAE-sécurité.pdfAssociationAF
 
SEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdfSEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdfAssociationAF
 

Plus de AssociationAF (20)

RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - Supports
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - Supports
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - Supports
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - Supports
 
Presentation_RASAD_AMICHI_V1_20230126.pdf
Presentation_RASAD_AMICHI_V1_20230126.pdfPresentation_RASAD_AMICHI_V1_20230126.pdf
Presentation_RASAD_AMICHI_V1_20230126.pdf
 
20231019.1.2_TransitionDroitsCulturels_Conference.pdf
20231019.1.2_TransitionDroitsCulturels_Conference.pdf20231019.1.2_TransitionDroitsCulturels_Conference.pdf
20231019.1.2_TransitionDroitsCulturels_Conference.pdf
 
Les archives de AIDES militer agir transformer
Les archives de AIDES militer agir transformerLes archives de AIDES militer agir transformer
Les archives de AIDES militer agir transformer
 
Chacun cherche son SAE table ronde colloque
Chacun cherche son SAE table ronde colloqueChacun cherche son SAE table ronde colloque
Chacun cherche son SAE table ronde colloque
 
Quand sobriété rencontre archives table ronde
Quand sobriété rencontre archives table rondeQuand sobriété rencontre archives table ronde
Quand sobriété rencontre archives table ronde
 
20231018.1_RecolerLogicielsApplis_Conference.pptx
20231018.1_RecolerLogicielsApplis_Conference.pptx20231018.1_RecolerLogicielsApplis_Conference.pptx
20231018.1_RecolerLogicielsApplis_Conference.pptx
 
Le fabuleux destin des archivistes communiquants : les archives de la MEL
Le fabuleux destin des archivistes communiquants : les archives de la MELLe fabuleux destin des archivistes communiquants : les archives de la MEL
Le fabuleux destin des archivistes communiquants : les archives de la MEL
 
Les archives municipales et métropolitaines d'Orléans
Les archives municipales et métropolitaines d'OrléansLes archives municipales et métropolitaines d'Orléans
Les archives municipales et métropolitaines d'Orléans
 
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24
 
table ronde j'archive bien ne t'en fais pas
table ronde j'archive bien ne t'en fais pastable ronde j'archive bien ne t'en fais pas
table ronde j'archive bien ne t'en fais pas
 
20231017_ArchivesWallonie_Conference.ppt
20231017_ArchivesWallonie_Conference.ppt20231017_ArchivesWallonie_Conference.ppt
20231017_ArchivesWallonie_Conference.ppt
 
A la poursuite de l'intelligence artificielle
A la poursuite de l'intelligence artificielleA la poursuite de l'intelligence artificielle
A la poursuite de l'intelligence artificielle
 
2023_Valenciennes_2023OdysseeTransTer_V2.pptx
2023_Valenciennes_2023OdysseeTransTer_V2.pptx2023_Valenciennes_2023OdysseeTransTer_V2.pptx
2023_Valenciennes_2023OdysseeTransTer_V2.pptx
 
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdf
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdfDUBOIS_Presentation_cyberattaque_Bondy_vf.pdf
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdf
 
MEIGNEN_Presentation-AAF-SAE-sécurité.pdf
MEIGNEN_Presentation-AAF-SAE-sécurité.pdfMEIGNEN_Presentation-AAF-SAE-sécurité.pdf
MEIGNEN_Presentation-AAF-SAE-sécurité.pdf
 
SEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdfSEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdf
 

LAIR_230330-SécuritéSAE.pdf

  • 1. Les contraintes de cybersécurité dans les projets informatiques des services d’archives SAE et sécurité Journée d’étude Archives et cybersécurité AAF - Pierrefitte – 30 mars 2023 Jean-Séverin Lair
  • 2. Une grille d'analyse des besoins en cybersécurité Le DICT ● 4 axes – Disponibilité : Il s'agit de garantir que les données sont rapidement accessibles en cas de besoin – Intégrité : Il s’agit de s’assurer de l'exactitude et de la cohérence des données qui ne sont pas modifiées, corrompues ou supprimées accidentellement ou intentionnellement – Confidentialité : Il s'agit de la protection des données contre les accès non autorisés – Traçabilité : Il s’agit de suivre et d’enregistrer toutes les actions effectuées sur le SI et les biens, y compris les accès, les modifications et les suppressions ● À prioriser de manière pragmatique et réaliste … A noter: il faut faire attention à la collision des concepts entre archivage, informatique et SSI
  • 3. I > T > C > D ...une priorisation choquante? ● Intégrité: garantir la conservation est essentiel pour des archives, sur les données mais aussi sur les métadonnées – Quel bien à le plus de valeur? Le document ou le catalogue – Un outil essentiel pour l'intégrité à long terme: une version froide! ● Traçabilité: le suivi du cycle de vie des archives de la création à la destruction – La traçabilité est important dans le métier, mais elle l'est aussi et potentiellement foisonnante dans le technique ● Confidentialité: limitation de l'accès, contrôle d'accès et chiffrement – Mais attention!… en numérique à long terme elle peut être contraire à l'intégrité ● … et la Disponibilité: cela dépend des contraintes de rapidité d'accès mais ceci est rarement élevé – Même sans oublier que l'accès est la vraie finalité...
  • 4. ChatGPT a tout compris... ● A la question «Quelle est l'importance relative des composantes des critères de sécurité DICT dans l'archivage?» ● Il répond: Les critères de sécurité DICT (Disponibilité, Intégrité, Confidentialité et Traçabilité) sont essentiels pour assurer la protection des données dans l'archivage. L'importance relative de chaque composante dépend des exigences spécifiques de l'organisation et du type de données archivées. Voici une brève analyse de chaque composante: – Disponibilité : Il s'agit de garantir que les données archivées sont accessibles en cas de besoin. L'importance de la disponibilité dépend de la fréquence d'accès aux archives et du niveau de service requis. Pour les organisations qui ont besoin d'accéder régulièrement à leurs archives, la disponibilité sera une priorité majeure. – Intégrité : L'intégrité fait référence à l'exactitude et à la cohérence des données archivées. Il est crucial de s'assurer que les données ne sont pas modifiées, corrompues ou supprimées accidentellement ou intentionnellement. L'importance de l'intégrité dépend du niveau de confiance requis pour les données archivées et des conséquences d'éventuelles erreurs ou manipulations. – Confidentialité : La confidentialité concerne la protection des données archivées contre les accès non autorisés. Elle est particulièrement importante pour les organisations qui gèrent des données sensibles ou confidentielles. Dans ce cas, la confidentialité sera une priorité absolue pour éviter les fuites d'informations et préserver la vie privée des individus concernés. Les mesures de confidentialité incluent le contrôle d'accès, le chiffrement des données et la gestion des droits d'accès. – Traçabilité : La traçabilité consiste à suivre et à enregistrer toutes les actions effectuées sur les données archivées, y compris les accès, les modifications et les suppressions. Elle permet de garantir la responsabilité et la transparence des processus d'archivage. La traçabilité est particulièrement importante pour les organisations soumises à des régulations strictes ou qui doivent être en mesure de prouver la conformité à des normes spécifiques. En résumé, l'importance relative de chaque composante des critères de sécurité DICT dépend des besoins et des exigences de l'organisation concernée, ainsi que du type de données archivées. Il est essentiel d'évaluer ces besoins et d'adapter les mesures de sécurité en conséquence. Une approche équilibrée, tenant compte de toutes les composantes, permet de garantir un niveau de sécurité adéquat pour l'archivage des données. Dans certains cas, certaines composantes pourraient être plus importantes que d'autres. Par exemple, pour une entreprise du secteur de la santé qui traite des informations médicales sensibles, la confidentialité et l'intégrité des données pourraient être considérées comme prioritaires. En revanche, pour une organisation dont les archives sont principalement consultées à des fins de recherche historique, la disponibilité et la traçabilité pourraient être les aspects les plus importants. Il est recommandé de travailler avec des experts en sécurité de l'information et en archivage pour évaluer les besoins spécifiques de l'organisation et mettre en place les politiques, les procédures et les technologies appropriées pour assurer la protection des données archivées. Les organisations doivent également s'engager dans une formation et une sensibilisation continues pour leur personnel, afin qu'ils comprennent les enjeux liés à la sécurité de l'archivage et les bonnes pratiques à adopter. Enfin, il est important de surveiller et d'évaluer régulièrement les mesures de sécurité mises en place pour s'assurer qu'elles restent efficaces et adaptées aux évolutions technologiques et aux menaces potentielles. Cela peut inclure des audits de sécurité, des tests d'intrusion et des mises à jour régulières des politiques et des procédures.
  • 5. La sécurité... une démarche standard ● Une stratégie systématique – Analyse de risque (partant d'ailleurs du DICT sur les biens essentiels) – Audits (techniques et organisationnels) – Remédiation (amélioration permanente) – Acceptation des risques résiduels (décision assumée par le métier) ● Des expertises multiples – Métiers (Archivistes, Juristes) – Informaticiens (Développeurs, Administrateurs, Exploitants) – SSI
  • 6. Un mythe à déconstruire… la sécurité cryptographique ● On peut utiliser la cryptographie – pour chiffrer, mais cela pose le problème de la pérennité et de la perte des clés – et pour signer et horodater, mais cela pose le problème de renouvellement des certificats ● Une autre voie? Le choix de la NF Z42-013 2020… la sécurité systémique avec une forte traçabilité technique, une conservation soignée des journaux, une multiplication des supports... (approche plus «droit public» par faisceaux de preuve…) 1 https://www.ssi.gouv.fr/uploads/2016/06/eidas_conservation-signatures-cachets-qualifies_v1.0_anssi.pdf
  • 7. En bref... ● Une démarche de sécurité propre est nécessaire et en prenant bien en compte le contexte Caveat: il y a collision de certains concepts entre archivistes et informaticiens (intégrité, confidentialité…) il faut donc bien se mettre d’accord sur ce dont on parle ● Il y a une difficulté structurelle pour les petits acteurs en général sur la sécurité des SI, la mutualisation est donc essentielle – Cadre d’analyse de risque SAE à mettre en commun comme des canevas ou des instruments de référence (par exemple pour les Directions Départementales au niveau du SIAF? Ou d’autres structures types au niveau de l’AAF) – Insertion dès que possible à la démarche sécurité du SI en général – Partage REX sur incidents, il est difficile mais tellement profitable de partager ses problèmes, erreurs et corrections – Utilisation de SAE en mode service, soit par mutualisation entre acteurs de même type soit en achat de service (mais toujours en ayant fait sa propre démarche sécurité) ● Attention la réglementation est encore en mouvement: ANSSI 2016, NF Z42-0132009 puis 2020, NIS 2016 et NIS 2 à venir en 2024… Il faut donc avant tout être sûr de ses fondamentaux … et si vous ne retenez qu’une chose: quand on n’a plus rien, reste les sauvegardes froides voire externalisées (données ET métadonnées) (PCA, PSBC…). L’absence de fait d’original dans le numérique permet des choses inenvisageables dans le papier...