La priorité, dans un premier temps, a été de réaliser un audit flash de conformité RGS (Référentiel Général de Sécurité) et CNIL (Commission Nationale Informatiques et Libertés). Puis, dans un second temps, de sensibiliser la Direction Générale aux enjeux, obligations et responsabilités liés à la protection de l’information et aux menaces, vulnérabilités et risques liés à la cybermalveillance.

A l’issue de la restitution de l’audit le en juin 2016, la Direction Générale a validé la démarche proposée par la DSI et le RSSI.

Un marché de prestations de services en matière de sécurité de l’information et de protection des données personnelles a été notifié en novembre 2016 à la société Ageris Group sous la forme d’un accord-cadre mono-attributaire pour une durée de 3 ans.

Une enveloppe budgétaire correspondant à 5% du budget d’investissement de la DSI a été inscrite.

Un comité de pilotage (COPIL) a été mis en place, constitué du DGS, des DGA, de la DSI, du service juridique et de l’élue en charge du numérique. Son rôle est de définir les orientations stratégiques du projet, d’arbitrer les propositions et de valider les étapes clés en donnant son feu vert pour passer à la suivante.

En janvier 2017, le COPIL a validé le plan d’actions et le calendrier de mise en œuvre.

Les référentiels de protection de l’information ont été rédigés et signés par le Maire et le DGS.

- Lettre d’engagement du Maire et du Directeur Général des Services

- Politique Générale de Protection de l’Information (PGPI)

- Politique Générale de Protection de la Vie Privée (PGPVP)

- Politique de Sécurité des Systèmes d’Information (PSSI)

- Lettre de mission du RSSI

- Lettre de mission du DPO

Des actions de sensibilisation ont réalisées en 2017.

- Formation de tous les agents la DSI à l’état de l’art de la sécurité des systèmes d’information (2 jours)

- Séminaire de sensibilisation au règlement européen sur la protection des données personnelles pour tous les encadrants

- Séminaire de sensibilisation à la protection de l'information pour les 1200 agents (6 sessions de 2h30)

- Séminaire de sensibilisation à la protection de l'information pour les 45 élus

Seuls les métiers sont légitimes, qualifiés compétents pour définir les besoins en terme de disponibilité, de confidentialité, d'intégrité, de traçabilité et d’en mesurer les impacts sur les valeurs essentielles de la Ville de Vannes. Une vingtaine d’interviews ont été réalisées auprès de chaque direction métier.

A l’issue des entretiens, une consolidation et une classification des besoins seront réalisée en vue d’un arbitrage et d’une validation par le comité de pilotage.

En fonction des résultats, des analyses de risques seront réalisées sur les activités métiers les plus critiques et sensibles.

En 2018, d’autres actions ont été menées :

- Réalisation d’une cartographie globale des risques du SI

- Réalisation d’un audit de conformité du SI existant avec les règles de la PSSI validée par la DSI et le RSSI

- Création d’une commission d’homologation de sécurité (obligation RGS)

- Réalisation des dossiers de sécurité des téléservices et des applications critiques en conformité avec les exigences RGS 2.0

- Intégration de la sécurité dans la vie du SI et dans les projets

En 2019, deux actions majeures sont menées :

- Mise en oeuvre d'une nouvelle charte utilisateurs avec accompagnement autour de la communication de cette charte. Elle sera effective au 1er janvier 2020

- Sensibilisation des agents de la collectivité à l'hameçonnage ou phishing. Voir fiche initiative spécifique.