Vous êtes ici  :   Accueil > Politique académique de s...

Politique académique de sécurité numérique

Publié le Oct 16, 2017 Modifié le : Dec 5, 2019

Écrire à l'auteur

Le  Monday, October 16, 2017

Politique d'habilitation d'accès au système d'information

Gestion des droits d'accès des agents aux composantes du système d'information

  • Gestion des droits d'accès

     

    La gestion des habilitations a pour finalités de protéger l’accès aux ressources du système d’information et de contribuer à assurer la pleine transparence des actes pour les usagers qui confient leurs données à notre administration.

     

    Propriétaires de l'information

    Chaque composante informationnelle et ressource du système d'information a un propriétaire qui valide les accès à cette composante.

    On entend par composante informationnelle les données, informatiques ou non, les ressources et les applications informatiques qui traitent, stockent ou transportent de l'information.

    Le concept de propriétaire se comprend en termes de responsabilités, et non au sens de propriété juridique. Les propriétaires sont désignés au niveau académique de façon formelle par le secrétariat général.

    Au sein de chaque DSDEN le secrétaire général valide également de façon formelle le choix organisationnel retenu sur son périmètre.

     

    Le propriétaire de l'information est responsable de la sécurité de celle-ci. Il doit à ce titre :

    • s'assurer de la bonne mise en œuvre des mesures de sécurité retenues ;
    • identifier les exigences légales, réglementaires et contractuelles applicables en collaboration avec le correspondant juridique du service, le service des affaires juridiques, le responsable de la sécurité des systèmes d’information (RSSI), le relai informatique et libertés (RIL) du service et le délégué à la protection des données (DPD) ;
    • classer l'information dont il est le propriétaire selon le niveau de confidentialité correspondant aux exigences identifiées : public / usage interne / diffusion restreinte / secret ;
    • valider périodiquement de façon formelle les accès des différents services à l'information. Ces accès sont définis sous forme de profils d'accès relatifs aux données accédées, aux opérations réalisables et aux populations et périmètre concernés. Chaque profil d'accès est validé par le propriétaire des données pour une ou plusieurs missions identifiées d'un ou de plusieurs services donnés.

     

    Lors de la revue annuelle des habilitations, un état répertorie les différents profils d'accès ouvert par service. Il appartient aux propriétaires des données de s'assurer de la légitimité des différents accès et de modifier au besoin les ouvertures de profil d'accès.

     

    Le chef de service, responsable hiérarchique

    Le chef de service valide formellement toute demande d'attribution de modification ou de révocation de droits d'accès pour les agents sous sa responsabilité.

     

    Le chef de service est responsable :

    • de l'attribution des profils d'accès aux personnes de son service. En validant l'attribution d'un profil d'accès à une personne il garantit que cette dernière est bien positionnée en termes d'organisation sur une mission pour laquelle ce profil d'accès est ouvert ;
    • de la révocation de l'attribution des profils d'accès dès lors que la personne à laquelle il avait attribué un profil d'accès n'exerce plus la mission concernée (changement  d'affectation, mutation...) ;
    • de la sensibilisation des personnels de son service sur leurs obligations et sur les bonnes pratiques qu'ils doivent mettent en œuvre dans l'utilisation de ces profils d'accès.

     

    Lors de la revue annuelle des habilitations, chaque chef de service doit se prononcer sur le maintien, la fermeture ou la réattribution de chaque compte d'accès des personnels de son service.

     

    Sensibilisation des agents

    La charte des administrateurs doit être portée à la connaissance de tout agent ayant des droits d'administration ou des privilèges élevés, par son responsable hiérarchique.

    De même la charte du personnel doit être communiquée par le responsable hiérarchique à l'ensemble de ses agents, celle-ci rappelant la position que doit adopter l'agent dans la manipulation des données de l'administration.

    Il doit être expressément rappelé à tout agent ses obligations, devoirs et droits découlant de son statut et de la charte ainsi que l'interdiction de consultation ou traitement de données autres que celles nécessaires à la conduite de sa mission et ce, même si l'accès à ces données est techniquement possible.