Informations réservées aux membres.
> En savoir plus
> Se connecter
Synthèse
Les démarches en ligne et certaines applications, sont en lien direct avec les usagers et/ou avec leurs données. Pour que les usagers aient confiance envers les transactions numériques que nous effectuons, la ville de Vannes doit leur assurer de mettre les moyens nécessaires à la protection de leurs informations.
En informatique, comme dans les autres domaines, le risque zéro n’existe pas.
La démarche d’homologation de sécurité a pour objectif de faire connaître et faire comprendre à la direction générale des services (DGS) les risques liés à l’exploitation des systèmes d’information (SI). Elle doit être adaptée aux enjeux de sécurité des SI. Elle a pour but de trouver un équilibre entre le risque acceptable et les coûts de sécurisation.
L’homologation de sécurité est d’autant plus nécessaire, aujourd’hui, que les SI de la Ville et du CCAS sont de plus en plus complexes et que les impacts potentiels d’un incident sont de plus en plus graves. L’homologation est aussi un préalable à l’instauration de la confiance dans les échanges électroniques entre la collectivité et ses usagers et est recommandée par l’Agence Nation de Sécurité des Systèmes d’Information (ANSSI).
Pour les téléservices, la démarche d’homologation est rendue obligatoire par le référentiel général de sécurité (RGS). Le comité de pilotage de protection de l’information a décidé d’étendre l’homologation aux applications sensibles, dont les besoins de sécurité en disponibilité, en intégrité ou en confidentialité sont classifiés niveau 4 (essentiel/confidentiel) ou niveau 5 (vital/secret), conformément à notre politique de sécurité des systèmes d’information (PSSI).
Actions
Pour initier le projet d’homologation de sécurité à la Ville et au CCAS, il a été décidé d’élaborer 2 dossiers de sécurité :
- 1 dossier de sécurité pour le téléservice de gestion des candidatures RH ;
- 1 dossier de sécurité pour l’application sensible de suivi des dossiers de soin de l’EHPAD du CCAS.
L’élaboration d’un dossier de sécurité équivaut en fait à réaliser une analyse de risques (méthode EBIOS). Les dossiers ont été réalisés par le responsable de la sécurité des systèmes d’information (RSSI) en concertation avec le chef de projet métier et le chef de projet informatique.
Un COPIL spécial a été réuni avec pour objectifs :
- Présenter la démarche d’homologation de sécurité et rappeler nos obligations réglementaires RGS ;
- Valider la création de la commission d’homologation ;
- Présenter et homologuer les 2 dossiers de sécurité.
La commission d’homologation est composée à minima du DGS, de la DSI, du RSSI/DPO et en fonction de la direction métier concerné par les dossiers, du DGA du pôle, du chef de projet métier et du chef de projet informatique.
Pour réduire le risque sur l’application sensible de l’EHPAD, la commission a décidé de mettre en œuvre une mesure de sécurité, c’est-à-dire la réalisation d’un test d’intrusion sur le SI de l’EHPAD par un tiers certifié par l’ANSSI.
Résultats
La commission d’homologation de sécurité a été créée. Un arrêté portant création de la commission a été rédigé.
Le DGS, désigné autorité d’homologation, a prononcé l’homologation des 2 dossiers de sécurité (5 ans pour le téléservice RH et 3 ans pour l’application de l’EHPAD). Cela veut dire que le DGS atteste de sa connaissance du SI et des mesures de sécurité mises en œuvre et accepte les risques qui demeurent, qu’on appelle des risques résiduels.
Deux arrêtés portant homologation des dossiers de sécurité ont été rédigés.
Liens
Bénéfices
Recommandations
Outils
Prestataires & Partenaires
Services3
- Des actions de sensibilisation aux questions de sécurité sur internet (identité numérique du citoyen, désinformation, cyber-sécurité…)
- La confidentialité, le droit d'accès et de modification des données personnelles (création et actualisation du registre des activités de traitement...)
- L'évaluation et la démarche qualité sur les usages internes du numérique
