Les administrations sont régulièrement la cible de cyberattaques ou le théâtre de problèmes de sécurité. En 2011, un cheval de Troie avait ainsi réussi à récupérer des informations du ministère des finances. Et l’année dernière, ce même ministère s’était fait prendre alors qu’il faisait un mauvais usage des certificats de l’Anssi (Agence nationale de sécurité des systèmes d’information). Pour minimiser les risques, non seulement de fuite de données confidentielles, mais aussi d’atteinte à la vie privée des usagers, l’État est en train de se doter d’une Politique de sécurité des systèmes d’information (PSSIE) commune à l’ensemble de ses administrations que chaque ministère aura la responsabilité d’appliquer.
Lancée par la circulaire du premier ministre du 17 juillet, la PSSIE doit être mise en application d’ici trois ans par les administrations de l’État (ministère, établissements publics, services déconcentrés, etc.). Elle concerne l’ensemble des systèmes d’informations de ces entités sauf ceux traitants d’informations classifiées défense.
Le document d’une quarantaine de pages publié par l’Anssi liste l’ensemble des règles de sécurité que doivent appliquer les administrations. Il s’appuie sur 10 principes stratégiques et détaille l’ensemble des bonnes pratiques à appliquer pour les mettre en œuvre.
Les données sensibles hébergées sur le sol national
Les administrations devront notamment analyser les risques liés à leur système d’information (SI) selon la méthode préconisée dans le RGS (référentiel général de sécurité) et en avoir une cartographie précise. L’Anssi détaille aussi la manière de gérer les prestataires externes : quels contrôles effectuer ? quelles règles de sécurité appliquer ? Les données sensibles seront nécessairement hébergées sur le territoire national.
Les moyens humains et financiers affectés à la sécurité devront être planifiés et quantifiés en fonction des ressources globales. Chaque agent utilisant un SI devra être formé et sensibilisé à la cybersécurité. Les sanctions encourues seront clairement spécifiées dans les chartes d’usage des SI.
Les opérations de gestion et d’administration devront être tracées et contrôlées. Des solutions d’authentification forte des agents de l’État seront notamment mises en place pour accéder à des données sensibles, en privilégiant les cartes à puce. Plus généralement, l’accès à toute ressource non publique se fera avec une identification et une authentification individuelle.
Le document détaille aussi les règles de sécurité à appliquer pour les réseaux, le stockage, la téléphonie, les imprimantes. Enfin, les administrations devront utiliser des produits et des services validés par l’Anssi.
Si les SI doivent être en conformité totale d’ici trois ans, les administrations ont jusqu’au premier janvier 2015 pour définir un plan d’action à court et long terme et pour mettre à jour leur politique de sécurité. De son côté, l’Anssi est chargée de suivre la mise en œuvre de la PSSIE aux côtés, notamment, des services du Premier ministre, et de la Disic (Direction interministérielle des systèmes d’information et de communication).
PSSIE :
Aucun commentaire:
Enregistrer un commentaire