Glossaire TSIC SLSI

🔴

Sécurité & Attaques

DICT

Les 4 piliers de la sécurité des SI : Disponibilité, Intégrité, Confidentialité, Traçabilité.

Ransomware → viole la Disponibilité. Fichier modifié sans autorisation → viole l'Intégrité. Accès non autorisé → viole la Confidentialité. Logs effacés → violent la Traçabilité.

DICT = les 4 propriétés à citer dans TOUT sujet sécurité.

WAF

Web Application Firewall. Pare-feu applicatif filtrant le trafic HTTP/HTTPS. Protège contre injections SQL, XSS, etc.

Un WAF bloque une tentative d'injection SQL dans un formulaire de connexion ou une attaque XSS dans un champ commentaire.

WAF = pare-feu niveau applicatif (couche 7 OSI).

Injection SQL

Attaque insérant du code SQL malveillant dans un formulaire pour manipuler la base de données.

Saisir ' OR '1'='1 dans le champ mot de passe d'une requête non sécurisée permet de se connecter sans connaître le vrai mot de passe.

Protection : requêtes préparées (prepared statements) et validation des entrées utilisateur.

Ransomware

Logiciel malveillant chiffrant les données et exigeant une rançon (cryptomonnaie) pour la clé de déchiffrement.

WannaCry (2017) a infecté 300 000 machines dans 150 pays. NotPetya a paralysé des hôpitaux et entreprises mondiales.

Parade principale : sauvegardes hors-ligne (règle 3-2-1) + mises à jour régulières du SI.

OWASP Top 10

Liste des 10 vulnérabilités web les plus critiques. A2-Broken Auth (64% sanctions CNIL), A5-Broken Access Control (46%), A3-Sensitive Data Exposure (32%).

Sanctions CNIL liées à : mots de passe en clair (A3), absence d'authentification forte (A2), accès aux données d'un autre utilisateur par modification d'URL (A5).

A2 Broken Auth = vulnérabilité n°1 dans les sanctions CNIL (64%).

VPN

Virtual Private Network. Tunnel chiffré permettant à un poste distant d'accéder au réseau interne comme s'il y était physiquement.

Agent en télétravail : son poste NOEMI établit un tunnel VPN IPsec vers le réseau du ministère via Internet. Les données sont chiffrées même sur un Wi-Fi public.

VPN nomade = IPsec ou TLS + authentification forte (carte à puce, certificat).

IPsec

Internet Protocol Security. Suite de protocoles sécurisant les communications IP par chiffrement et authentification mutuelle. Couche 3 OSI.

Les postes NOEMI utilisent IPsec pour établir un tunnel VPN sécurisé vers le réseau ministériel depuis n'importe quelle connexion Internet.

IPsec = VPN site-à-site ou nomade. Opère en couche réseau (3), contrairement à TLS (couche 7).

SSL/TLS

Protocoles de chiffrement des communications. TLS (version moderne) remplace SSL (obsolète et vulnérable).

Quand tu visites https://www.interieur.gouv.fr, ton navigateur établit une session TLS. Les données (login, données personnelles) sont chiffrées pendant tout l'échange.

SSL = obsolète, ne plus utiliser. Toujours dire TLS dans les réponses de concours.

HTTPS

HTTP sécurisé via TLS. Port 443. Garantit 2 choses : identité du serveur (certificat) + chiffrement des données en transit.

HTTP (port 80) : le mot de passe voyage en clair — lisible par un attaquant sur le réseau. HTTPS (port 443) : tout est chiffré, l'attaquant ne voit qu'un flux illisible.

HTTP=80 non sécurisé. HTTPS=443 sécurisé. Deux garanties : identité + chiffrement.

Certificat SSL/TLS

Fichier numérique émis par une Autorité de Certification (CA) attestant l'identité d'un serveur.

Pour sécuriser le site intranet DGCL : générer une CSR avec OpenSSL, l'envoyer à une CA (CertEurope, IGC/A du ministère), installer le certificat reçu sur le serveur web.

CSR = demande de certificat. CA = organisme qui signe. IGC = CA interne à l'organisation.

TPM

Trusted Platform Module. Puce carte mère générant des clés de chiffrement uniques liées à une machine spécifique.

Cryhod utilise le TPM pour valider que le disque chiffré est sur la bonne machine. Branché sur un autre PC → déchiffrement impossible → données protégées même en cas de vol.

TPM = clé liée à la machine physique. Versions : TPM 1.2 et TPM 2.0 (rétrocompatibilité limitée).

Cryhod

Logiciel de chiffrement de disque du Ministère de l'Intérieur pour postes nomades. Utilise TPM + authentification utilisateur.

Agent perd son portable NOEMI dans le train. Grâce à Cryhod, les données sont illisibles sans authentification sur la bonne machine → aucune fuite d'information.

Cryhod = équivalent BitLocker/VeraCrypt, spécifique MI. Toujours citer avec TPM dans les sujets.

Chiffrement asymétrique

Paire de clés : clé publique (chiffrer/vérifier) + clé privée (déchiffrer/signer). Algorithme RSA le plus courant.

Pierre signe avec sa clé privée → Sophie vérifie avec la clé publique de Pierre (authenticité). Pierre chiffre avec la clé publique de Sophie → seule Sophie déchiffre (confidentialité).

Public = chiffrer + vérifier signature. Privé = déchiffrer + signer. Les deux sont mathématiquement liées.

DMZ

Zone Démilitarisée. Zone réseau tampon entre Internet et le réseau interne, hébergeant les serveurs accessibles publiquement.

Serveur web public → DMZ. Pare-feu externe filtre Internet→DMZ. Pare-feu interne filtre DMZ→intranet. Si le serveur web est compromis, l'intranet reste protégé.

Serveurs web, mail, DNS → DMZ. Jamais directement sur le réseau interne.

Station blanche

Poste isolé dédié à la désinfection des supports amovibles (clés USB, disques externes) avant connexion au réseau.

Agent rapporte une clé USB d'une conférence externe. Avant de la brancher sur son poste, il passe par la station blanche qui scanne, nettoie et valide le support.

Obligatoire dans les environnements sensibles. Empêche les infections par vecteur USB (technique utilisée par Stuxnet).

ACL

Access Control List. Règles sur routeurs/pare-feux définissant le trafic autorisé selon IP source/destination et port.

ACL serveur web DMZ : autoriser TCP 443 depuis Internet, refuser tout le reste. ACL SSH : autoriser port 22 uniquement depuis le réseau d'administration.

ACL réseau ≠ droits utilisateurs AD. ACL = filtrage trafic réseau sur équipements actifs.

IGC

Infrastructure à Gestion de Clés (PKI). Permet à une organisation de créer et gérer ses propres certificats numériques sans CA externe.

Le MI dispose de l'IGC/A (IGC de l'Administration française) pour émettre des certificats aux agents et serveurs sans dépendre d'une CA commerciale (souveraineté).

IGC = CA interne. Avantage : souveraineté et coût. Contrainte : gérer la révocation et la durée de vie.

🔵

Réseau & Protocoles

Modèle OSI — 7 couches

Modèle de référence découpant les communications réseau en 7 couches indépendantes.

1-Physique (câbles) → 2-Liaison (Ethernet/MAC) → 3-Réseau (IP) → 4-Transport (TCP/UDP) → 5-Session → 6-Présentation (TLS/chiffrement) → 7-Application (HTTP, SMTP, DNS).

IP=couche 3. TCP=couche 4. HTTP/SMTP=couche 7. TLS=couche 6. Retenir ces associations pour les QCM.

SMTP

Simple Mail Transfer Protocol. Protocole d'envoi de courriers électroniques. Couche 7. Port 25 (serveur) ou 587 (client authentifié).

Cliquer "Envoyer" dans Outlook → SMTP transmet au serveur de messagerie. POP3 (port 110) et IMAP (port 143) servent à recevoir les mails.

SMTP=envoi (25/587). POP3=réception sans synchro (110). IMAP=réception avec synchro multi-appareils (143).

SNMP

Simple Network Management Protocol. Supervision et administration des équipements réseau via agents. Utilise OID et MIB.

Récupérer via SNMP : nombre d'impressions d'un copieur, erreurs d'un switch, charge CPU d'un routeur → affiché dans une console centrale (Nagios, Zabbix, PRTG).

SNMP = supervision. Agent sur équipement, manager sur console. MIB = base de données des objets supervisables.

RADIUS

Remote Authentication Dial-In User Service. Centralise l'authentification des accès réseau (Wi-Fi, VPN, commutateurs). AAA = Auth + Authorization + Accounting.

Connexion Wi-Fi préfecture : identifiants envoyés au serveur RADIUS → consulte l'AD → si valide, accès réseau accordé avec droits correspondants (VLAN agents, VLAN invités...).

RADIUS = AAA centralisé. Souvent couplé à l'Active Directory pour la vérification des comptes.

SSH vs Telnet

SSH (port 22) : administration distante sécurisée et chiffrée. Telnet (port 23) : administration distante NON chiffrée — INTERDIT.

ssh admin@192.168.1.10 → connexion chiffrée au serveur Linux. Toutes les commandes passent dans un tunnel TLS. Telnet enverrait les mots de passe en clair sur le réseau.

SSH=22 sécurisé ✓. Telnet=23 interdit ✗. Remplacer tous les Telnet par SSH dans un audit sécurité.

RDP

Remote Desktop Protocol. Bureau à distance graphique Windows. Port 3389. Cible fréquente des attaques → protéger par VPN.

Technicien N2 prend la main sur le PC d'un utilisateur via RDP pour résoudre un problème à distance. En production : toujours via VPN, jamais exposé directement sur Internet.

RDP port 3389. Ne jamais exposer RDP sur Internet sans VPN (cible privilégiée des ransomwares).

IP / TCP / UDP

IP (couche 3) : adressage et routage. TCP (couche 4) : transport fiable avec accusé de réception. UDP (couche 4) : transport rapide sans garantie.

HTTP, SMTP, SSH utilisent TCP (fiabilité). DNS, streaming vidéo, jeux en ligne utilisent UDP (rapidité). VoIP utilise UDP (la perte d'un paquet audio est préférable à un retard).

TCP = fiable mais lent (handshake). UDP = rapide mais sans garantie. IP = couche 3, TCP/UDP = couche 4.

Ports importants

Numéros de ports standards à connaître absolument pour le concours TSIC.

HTTP=80 | HTTPS=443 | SSH=22 | Telnet=23 | FTP=21 | SMTP=25 | IMAP=143 | POP3=110 | RDP=3389 | DNS=53 | LDAP=389 | LDAPS=636.

Ports < 1024 = ports "bien connus" réservés aux services standards. Les mémoriser évite les erreurs en QCM.

🟣

Active Directory & Identités

Active Directory (AD)

Annuaire Microsoft centralisant la gestion des utilisateurs, ordinateurs, groupes et politiques de sécurité dans un domaine Windows.

Préfecture : 500 comptes agents dans l'AD. Nouvel agent → compte créé dans l'AD → accède immédiatement à tous les postes du domaine avec ses droits. Agent muté → compte désactivé en 1 clic → plus d'accès nulle part.

AD = annuaire centralisé. Protocole LDAP (port 389/636). Sans AD = chaque poste gère ses comptes localement (ingérable).

Contrôleur de domaine

Serveur hébergeant l'AD. 2 rôles principaux : authentification des utilisateurs + application des GPO.

Agent se connecte le matin : le contrôleur de domaine vérifie login/mdp, applique les GPO (fond d'écran, restrictions USB, verrouillage auto), autorise l'accès aux lecteurs réseau selon les groupes AD.

2 rôles = Authentification + GPO. Toujours déployer minimum 2 contrôleurs de domaine (redondance).

GPO

Group Policy Object. Politique de configuration et sécurité appliquée automatiquement sur les postes/utilisateurs via l'AD.

GPO "Sécurité postes nomades" : verrouillage auto après 5 min, désactivation des ports USB, fond d'écran ministériel imposé, mdp minimum 12 caractères + majuscule + chiffre + caractère spécial, historique 10 mdp.

GPO s'applique sur les OU. Peut cibler utilisateurs ou ordinateurs. Appliquée au démarrage ou à la connexion.

OU

Unité d'Organisation. Conteneur AD regroupant utilisateurs, ordinateurs, groupes pour leur appliquer des GPO spécifiques.

OU "Direction" → GPO accès étendu, pas de restrictions. OU "Accueil" → GPO restrictive (pas Internet, écran verrouillé). OU "Techniciens" → GPO avec droits d'administration locale.

OU peut contenir : utilisateurs, ordinateurs, groupes, autres OU. Structure hiérarchique = héritage des GPO.

Identification / Auth / Autorisation

3 étapes distinctes : Identification (qui êtes-vous ?), Authentification (prouvez-le), Autorisation (que pouvez-vous faire ?).

1. Je déclare être "dupont.jean" (identification). 2. Je saisis mon mot de passe + carte à puce (authentification forte). 3. Accès au dossier RH ? Oui si membre du groupe AD "RH-Lecture", Non sinon (autorisation).

IAA = les 3 sont nécessaires. L'authentification sans autorisation donne accès à tout — dangereux.

SSO

Single Sign-On. Authentification unique : une seule connexion donne accès à toutes les applications autorisées sans re-saisie.

Agent se connecte le matin à Windows (AD). Accède ensuite à messagerie, application métier, portail intranet, GED Alfresco → sans jamais ressaisir son mot de passe. Le SSO (LemonLDAP ou CAS) gère tout.

SSO = confort + sécurité. Un seul mdp fort plutôt que 10 mdp faibles. Solutions : LemonLDAP:NG, CAS, ADFS.

LemonLDAP:NG

Solution open source française de SSO et IAM (Identity Access Management). Très utilisée dans l'administration française.

La DNUM utilise LemonLDAP:NG : les agents s'authentifient une fois via leur carte agent + code PIN, puis accèdent à toutes les applications du portail ministériel sans ressaisie.

LemonLDAP:NG = alternative open source à Microsoft ADFS. Recommandée dans les SI publics (souveraineté).

CAS

Central Authentication Service. Protocole web de SSO par tickets. Toutes les requêtes via HTTPS. TGC = Ticket Granting Cookie = passeport de session.

Accès GED → redirigé serveur CAS → saisie identifiants → reçoit TGC + ticket service → redirigé vers GED avec ticket → accès. Accès messagerie ensuite → TGC existant → ticket direct → pas de re-saisie.

CAS = SSO par tickets. TGC stocké uniquement dans le navigateur, jamais transmis aux applications.

🟡

Infrastructure & Stockage

NAS vs SAN

NAS : stockage fichiers partagés sur réseau (SMB/NFS). SAN : réseau dédié stockage haute performance pour serveurs (iSCSI/Fibre Channel).

NAS : partage de documents entre agents (lecteur réseau Z:\). SAN : base de données Oracle du SI préfectoral (accès bloc direct, hautes performances, faible latence).

NAS = simple partage fichiers. SAN = haute performance pour serveurs. RAID ≠ sauvegarde !

RAID 0 / 1 / 5

Gestion des disques en grappe pour performance (0), redondance (1) ou les deux (5).

RAID 0 : 2×1To = 2To, vitesse ×2, 0 tolérance panne. RAID 1 : 2×1To = 1To, miroir exact, survit 1 panne. RAID 5 : 3×1To = 2To utilisables, parité répartie, survit 1 panne.

RAID ≠ sauvegarde ! RAID protège contre panne matérielle, pas contre ransomware ou suppression accidentelle.

Hyperviseur Type 1 vs 2

Type 1 (bare-metal) : directement sur le matériel, pour la production. Type 2 (hosted) : dans un OS existant, pour les tests.

Type 1 : VMware ESXi sur serveur datacenter héberge 10 VMs (Windows Server, Linux...) — production. Type 2 : VirtualBox sur le Windows d'un technicien pour tester une VM Linux — développement/tests.

Type 1 production : ESXi, Hyper-V, Proxmox, KVM. Type 2 test/dev : VirtualBox, VMware Workstation.

Docker

Conteneurisation : environnements applicatifs isolés et légers partageant le noyau OS. Plus rapide et léger qu'une VM.

Déployer appli web : docker-compose lance conteneur PHP + conteneur MySQL en 30 secondes, reproductible sur n'importe quel serveur. En prod : Docker Swarm ou Kubernetes pour orchestrer.

Conteneur ≠ VM. Conteneur = processus isolé (léger, démarrage rapide). VM = OS complet (lourd, démarrage lent, plus isolé).

IaaS / PaaS / SaaS

3 modèles cloud selon le niveau de délégation à l'hébergeur.

IaaS (OVH) : loue serveur virtuel, tu gères tout depuis l'OS. PaaS (Heroku) : déploie ton code, la plateforme gère les serveurs. SaaS (Microsoft 365) : utilise Word dans ton navigateur, Microsoft gère tout.

IaaS=admins système. PaaS=développeurs. SaaS=utilisateurs finaux. Plus tu montes, moins tu gères.

Cloud privé / public / hybride

Privé = infra propriétaire. Public = hébergeur tiers (AWS, Azure). Hybride = combinaison des deux avec communication.

MI : données sensibles sur cloud privé (serveurs internes). Hybride : auth sur privé + débordement AWS en pic de charge. Données très sensibles (classifiées) : jamais sur cloud public.

Données sensibles État → cloud privé ou souverain (OVH, Outscale). Justification = souveraineté numérique.

UEFI

Unified Extensible Firmware Interface. Successeur du BIOS. Secure Boot, support GPT, interface graphique, démarrage plus rapide.

Poste NOEMI : UEFI configuré avec Secure Boot activé, ordre de boot sur disque interne uniquement. Empêche le démarrage sur une clé USB malveillante ou un OS non signé.

UEFI + Secure Boot = protection contre bootkits et OS non autorisés. Remplace BIOS (limité à 2,2To et 4 partitions).

Souveraineté numérique

Capacité d'un État à maîtriser ses données et infrastructure numérique, sans dépendance étrangère.

Pourquoi Mistral plutôt que ChatGPT dans les administrations ? Mistral = IA française, données traitées en France, pas de transfert vers des serveurs américains soumis au CLOUD Act.

Souveraineté = argument clé pour justifier : cloud privé, logiciels open source, solutions françaises (OVH, Mistral, Joomla, LibreOffice).

🟢

Déploiement de postes

MDT

Microsoft Deployment Toolkit. Automatise le déploiement complet : OS, pilotes, logiciels, intégration domaine AD, GPO.

Déploiement 50 postes nomades : MDT crée une séquence → installe Windows 10, pilotes constructeur, McAfee, LibreOffice, rejoint le domaine AD, applique GPO sécurité. Durée : 45 min/poste sans intervention humaine.

MDT = chef d'orchestre. Crée des images WIM distribuées par WDS via PXE. Alternative : SCCM (plus complet mais payant).

WDS

Windows Deployment Services. Rôle Windows Server gérant le boot réseau PXE et la distribution d'images système sur le réseau.

Poste démarre en PXE → contacte DHCP (obtient IP) → contacte serveur WDS → télécharge image de boot MDT → démarre l'installation automatique → MDT prend le relai.

WDS nécessite : DHCP + DNS sur le réseau. Stocke les images WIM. Fonctionne avec MDT pour le déploiement complet.

PXE

Preboot eXecution Environment. Protocole de démarrage réseau : le poste boot sur le réseau sans OS ni support physique.

Ordre complet : 1) UEFI configuré pour booter réseau en priorité → 2) PXE contacte DHCP (IP) + TFTP (fichier boot) → 3) WDS envoie l'image MDT → 4) MDT installe et configure le poste automatiquement.

PXE = boot réseau. Nécessite DHCP + TFTP + WDS. Sécuriser : limiter PXE au VLAN déploiement.

🟠

Sauvegarde & Continuité

Règle 3-2-1

3 copies des données, sur 2 supports différents, dont 1 copie hors site (idéalement déconnectée du réseau).

Copie 1 : serveur de production (SAN). Copie 2 : NAS local (support différent). Copie 3 : bande magnétique hors site dans un autre bâtiment. Ransomware → chiffre copies 1 et 2 sur le réseau → copie 3 hors-ligne intacte → restauration possible.

La copie hors-site DOIT être déconnectée du réseau pour résister aux ransomwares.

Types de sauvegardes

Complète : tout sauvegardé. Différentielle : depuis dernière complète. Incrémentale : depuis dernière sauvegarde (complète ou incrémentale).

Lundi complète (100Go, 3h). Mardi incrémentale (5Go, 15min). Mercredi incrémentale (3Go, 10min). Restauration mercredi = complète lundi + incrément mardi + incrément mercredi.

Incrémentale = plus rapide à sauvegarder, plus lente à restaurer. Différentielle = compromis. Complète = lente mais restauration simple.

PRA vs PCA

PCA = maintenir la continuité (éviter l'interruption). PRA = reprendre après une interruption. Complémentaires.

PCA : onduleur + groupe électrogène → les serveurs restent actifs lors d'une coupure électrique. PRA : si le datacenter brûle malgré tout → procédure de bascule sur site de secours en 4 heures (RTO=4h).

PCA = avant/pendant sinistre. PRA = après sinistre. Les deux sont dans le Plan de Continuité d'Activité global.

RTO / RPO

RTO = durée max d'interruption acceptable. RPO = perte de données max acceptable exprimée en temps.

Système de paie : RTO=4h (max 4h d'indispo), RPO=1h (max 1h de données perdues) → sauvegardes toutes les heures + site de secours opérationnel en 4h. Si RTO=0 → haute disponibilité en cluster actif/actif.

RTO = temps reprise. RPO = données perdues. Plus faibles = plus coûteux. À négocier avec la direction.

UPS / Onduleur

Uninterruptible Power Supply. Alimentation secours sur batteries. Fait partie du PCA car maintient la continuité électrique.

Coupure électrique 14h00. L'onduleur prend le relai instantanément — serveurs continuent 15-30 min. Temps suffisant pour que le groupe électrogène démarre ou que les sauvegardes en cours se terminent proprement avant arrêt.

Onduleur = PCA. Protège aussi contre surtensions et micro-coupures qui corrompent les données sur disques.

🔵

Logiciels & Applications

API

Application Programming Interface. Interface permettant à deux applications de communiquer en exposant des fonctionnalités de façon contrôlée et sécurisée.

Application RH expose une API REST HTTPS. Application de paie appelle GET /agents/dupont → reçoit les données nécessaires sans accès direct à la BDD RH. Sécurisation : token JWT + HTTPS + rate limiting.

API = contrat entre applications. Sécurité : authentification token, HTTPS obligatoire, limitation du débit, journalisation des accès.

Framework

Cadre de développement fournissant structure, outils et bibliothèques réutilisables pour accélérer le développement.

Sans framework : coder auth, BDD, routes, templates from scratch = mois de travail + risques sécurité. Avec Symfony (PHP) : tout est intégré, sécurisé, documenté → le dev se concentre sur la logique métier.

Exemples : Symfony/Laravel (PHP), React/Angular (JS frontend), Django/Flask (Python), Spring (Java). Cités dans sujet 2020.

GED — Alfresco

Gestion Électronique de Documents. Centralise, sécurise, trace et partage les documents. Alfresco = solution open source utilisée dans le MI (OCMI).

Courrier reçu à la préfecture → numérisé → versé dans Alfresco → indexé automatiquement → droits attribués (lecture agents, modification chef bureau) → modifications tracées → accessible en mobilité via VPN.

GED ≠ partage de fichiers. GED = cycle de vie complet : création, versioning, droits, traçabilité, archivage.

CMS — Joomla

Content Management System. Système de gestion de contenu web. Joomla préconisé par le CCT MI pour sites intranet institutionnels.

Refonte intranet DGCL : Joomla v3.x (qualifié CCT), hébergé DINUM, rôles configurés (éditeur, admin, lecteur). Interface WYSIWYG = agents mettent à jour les contenus sans HTML.

Joomla v3.x = qualifié CCT pour intranet MI. WordPress = non recommandé (pas dans le CCT). Hébergement DINUM.

GLPI

Gestionnaire Libre de Parc Informatique. Ticketing + inventaire automatique + gestion actifs. Open source, très utilisé dans les administrations.

Agent appelle helpdesk → ticket GLPI créé (priorité, matériel, description) → N1 tente résolution → escalade N2 si besoin → résolution tracée → rapport mensuel : 200 tickets, 85% résolus N1, délai moyen 2h.

Compte par défaut GLPI = glpi/glpi → CHANGER IMMÉDIATEMENT (vulnérabilité classique citée dans OWASP/sujet 2020).

Niveaux N1 / N2 / N3

Niveaux de support selon la complexité des incidents. Escalade si le niveau courant ne peut pas résoudre.

N1 (helpdesk SIDSIC) : réinit mdp, imprimante en pause. N2 (technicien) : panne carte réseau, config VPN. N3 (expert DNUM / éditeur) : bug critique applicatif, restauration après sinistre majeur.

N1→N2→N3 = escalade selon complexité. GLPI gère et trace toutes les escalades.

LLM / IA générative

Large Language Model. Modèle IA entraîné sur de vastes corpus textuels pour générer du langage naturel.

Mistral (français, Mistral AI Paris), Claude (Anthropic, USA), GPT-4 (OpenAI, USA), Gemini (Google). Dans les administrations : Mistral préféré pour la souveraineté des données (traitement en France, pas soumis au CLOUD Act américain).

Mistral = LLM français = souveraineté numérique. Mentionné dans le sujet TSIC 2025.

RGAA

Référentiel Général d'Amélioration de l'Accessibilité. Obligatoire pour tous les sites publics. Garantit l'accès aux personnes handicapées.

Conformité RGAA : <img alt="Logo Ministère de l'Intérieur"> pour image informative. <img alt=""> pour image décorative (non lue par lecteur d'écran). Titres H1→H2→H3 hiérarchisés. Navigation au clavier possible.

alt="" = image décorative (lecteur d'écran l'ignore). alt="description" = image informative (lecteur d'écran la lit).

OnlyOffice / LibreOffice

Suites bureautiques libres compatibles formats Microsoft Office. Alternatives souveraines à MS Office.

LibreOffice = installation locale, compatible .docx/.xlsx/.pptx, format natif ODF. OnlyOffice = suite web auto-hébergeable, édition collaborative temps réel dans le navigateur, intégrable avec Alfresco/Nextcloud.

OnlyOffice = collaboration en ligne. LibreOffice = bureau local. Les deux compatibles formats Microsoft. Préconisés pour la souveraineté logicielle.

🔴

RGPD & Juridique

RGPD

Règlement Général sur la Protection des Données. En vigueur depuis le 25 mai 2018 dans l'UE. Encadre collecte, traitement et protection des données personnelles.

Préfecture collecte données administrés pour cartes d'identité : informer les personnes (transparence), collecter le minimum nécessaire (minimisation), sécuriser (art. 32), permettre accès/correction/suppression à la demande.

25 MAI 2018. Art. 32 = sécurité = le plus sanctionné. 72h = délai notification violation. 70% des sanctions CNIL ont une cause technique.

CNIL & Amendes RGPD

Autorité de contrôle française. Deux niveaux d'amendes selon la gravité.

Défaut sécurité (art. 32) : mots de passe en clair, HTTP au lieu de HTTPS → jusqu'à 2% CA ou 10M€. Violation grave (droits non respectés, données sensibles exposées) → 4% CA ou 20M€.

2% / 10M€ = défaut sécurité. 4% / 20M€ = violation grave ou récidive. 70% des sanctions ont une cause sécurité.

DPO

Délégué à la Protection des Données. Obligatoire dans tous les organismes publics. Conseille, sensibilise, tient le registre des traitements, interlocuteur CNIL.

DPO préfecture : tient le registre des traitements, donne son avis sur les nouveaux projets SI, répond aux demandes des administrés (accès, effacement), notifie la CNIL en cas de violation.

DPO conseille mais n'est pas responsable des violations — c'est le responsable de traitement. Obligatoire dans les organismes publics.

Notification violation (72h)

En cas de violation de données personnelles : notification CNIL obligatoire dans les 72h. Notification des personnes si risque élevé.

Ransomware vendredi 18h chiffre données administrés → délai 72h = lundi 18h max pour notifier CNIL. Si données médicales de 10 000 personnes compromises → notification individuelle obligatoire de chaque personne.

72h = 3 jours calendaires (week-end compris !). La notification doit décrire : nature, données, conséquences, mesures prises.

Droits des personnes

Droits RGPD : accès, rectification, effacement (oubli), portabilité, opposition. Délai de réponse : 1 mois (3 mois si complexe).

Administré demande accès à ses données → préfecture a 1 mois pour répondre. Demande d'effacement → traité en 1 mois si données obsolètes. Refus possible si obligation légale de conservation (registres d'état civil = conservation permanente).

Délai réponse = 1 mois extensible à 3 mois. Refus doit être motivé. Le droit à l'oubli n'est pas absolu.

Marchés publics

Procédure obligatoire pour tout achat de matériel/service par l'administration. Garantit transparence et égalité de traitement.

Achat 50 PC : si montant > seuil MAPA → appel d'offres ouvert. Publication marché → réception offres → analyse → attribution → délai total : 3 à 6 mois. Prévoir ce délai dans la planification projet !

Marchés publics = contrainte majeure sur les délais projet. Types : MAPA (simplifié), appel d'offres ouvert, accord-cadre (commandes récurrentes).

🔷

Spécifique Ministère de l'Intérieur

NOEMI

Poste nomade sécurisé du Ministère de l'Intérieur. Chiffrement Cryhod/TPM + VPN IPsec + accès applications internes depuis l'extérieur.

Agent en déplacement dans un hôtel : Wi-Fi public potentiellement espionné. NOEMI établit automatiquement un VPN IPsec → trafic chiffré. Disque chiffré par Cryhod/TPM → si poste volé, données illisibles. Double protection : réseau + stockage.

NOEMI = 3 couches de sécurité : Cryhod (disque) + TPM (machine) + VPN IPsec (réseau).

SIDSIC

Service Interministériel Départemental des SIC. Structure IT départementale sous autorité du Préfet gérant le parc et le support.

SIDSIC du département : gère les PC de la préfecture, sous-préfectures et services déconcentrés (DDPP, DDETSPP...). Assure N1/N2, déploiement postes, gestion AD local. Incident N3 → escalade vers SGAMI régional.

C'est LE service d'affectation du TSIC. Hiérarchie : SIDSIC → SGAMI (région) → DNUM (national).

DNUM

Direction du Numérique du Ministère de l'Intérieur. Pilote stratégie numérique, CCT, projets SI nationaux, OCMI.

DNUM a développé l'OCMI (Alfresco), gère le CCT (Joomla, LibreOffice, Cryhod...), pilote le cloud souverain MI, intègre l'IA (Mistral) dans les usages administratifs. C'est la référence technique nationale.

DNUM = direction nationale de référence. Joomla hébergé par la DINUM (direction interministérielle du numérique).

CCT

Cadre de Cohérence Technique du MI. Référentiel des logiciels et technologies homologués/qualifiés pour usage dans le ministère.

CCT impose : Joomla v3.x pour CMS intranet, Alfresco pour GED, LibreOffice/OnlyOffice pour bureautique, Cryhod pour chiffrement postes nomades, solutions antivirus homologuées. Un technicien ne peut pas installer WordPress sans dérogation.

Toujours justifier ses choix par le CCT dans les réponses de concours. C'est l'argument d'autorité technique au MI.

OCMI / Alfresco

Offre Collaborative du Ministère de l'Intérieur. Basée sur Alfresco Community + développements spécifiques MI. GED + wiki + blog + FAQ + calendrier.

Sous-préfecture : OCMI pour partage procédures internes (wiki), gestion courriers numérisés (GED), calendrier réunions partagé. Gratuit pour le service, hébergé et maintenu par la DNUM. Accessible en mobilité via NOEMI + VPN.

OCMI = solution collaborative tout-en-un du MI. Gratuite, hébergée DNUM. Alfresco Community = base open source enrichie.

SGAMI

Secrétariat Général pour l'Administration du MI. Structure régionale de soutien (RH, logistique, informatique N3) des services déconcentrés.

SGAMI Île-de-France : gère RH et support N3 pour tous les SIDSIC de la région. Un SIDSIC ne peut pas résoudre un incident sur l'infrastructure réseau régionale → escalade SGAMI → si besoin → DNUM.

SGAMI = niveau régional. Entre SIDSIC (département) et DNUM (national). Gère la mutualisation régionale des ressources.

ANSSI

Agence Nationale de la Sécurité des Systèmes d'Information. Autorité nationale en cybersécurité, rattachée au Premier Ministre. Émet des recommandations et référentiels (RGS, PGSSI-S).

ANSSI publie des guides de bonnes pratiques (mots de passe, VPN, ransomware...) gratuitement. En cas d'incident majeur sur un OIV (Opérateur d'Importance Vitale), l'ANSSI intervient directement pour analyser et contenir l'attaque.

ANSSI ≠ CNIL. ANSSI = cybersécurité SI. CNIL = protection données personnelles. L'ANSSI conseille les administrations sur les produits à utiliser (liste des produits qualifiés).