Outre les actions de prévention et de surveillance, il est nécessaire de prévoir les réactions en cas de survenance d’un incident de sécurité afin de réagir le plus efficacement et le plus rapidement possible. Tout le personnel, à son niveau, est responsable de la sécurité du système d’information. Le comportement inconscient ou négligent d’un seul agent peut générer une défaillance de sécurité lourde de conséquence.
Sur le plan décisionnel et juridique, chaque service déconcentré (rectorat, inspection académique), chaque établissement public (lycées, collèges) est responsable et décideur dans son périmètre.
L’autorité hiérarchique (recteur, inspecteur, proviseur, principal) est personnellement responsable, par convention. Elle est appelée « Personne Juridiquement Responsable » (PJR). La PJR est de fait l’Autorité Qualifiée en Sécurité du Système d’Information (AQSSI).
La prise en compte de la Sécurité des Systèmes d’Information se fait au plus haut niveau de l’Etat :
Les incidents sur le système d’information de l’établissement doivent remonter par la voie fonctionnelle du ministère de l’éducation nationale, en assurant l’information des autres partenaires, avec si nécessaire une concertation sur les suites à donner telles que les dépôts de plainte.
En cas d’incident, l’information des autorités hiérarchiques et du RSSI est obligatoire lorsque celui-ci peut mettre en cause l’entité dans son fonctionnement, sa sécurité, sa discipline interne, son image et si il est susceptible d’implications juridiques.
Outre cette obligation, chaque établissement peut solliciter une aide en cas d’incident de sécurité. Cette aide peut être :
- juridique (conseils, etc.),
- technique (analyse à posteriori, rétablissement),
- psychologique.
Inversement, chaque établissement sera informé par la chaîne hiérarchique de l’académie et par la chaîne opérationnelle SSI en cas d’événements graves justifiant le déclenchement d’alertes nationales. La mise en œuvre des plans de posture (VIGIPIRATE) ou d’intervention (PIRANET) est déclinée au sein de l’académie par le recteur, le RSSI et les responsables informatiques concernés.