Des données perdues, volées ou détruites, un service en ligne interrompu, des réseaux de télécommunication saturés, de l’espionnage… voilà les quatre principaux risques informatiques auxquels sont confrontées les administrations. Pour y faire face, l’État a publié un “ Référentiel général de sécurité ” (RGS) rédigé par l’ Agence nationale de sécurité des systèmes d’information ( l’ANSSI ). Ce guide recense l’ensemble des moyens à mettre en oeuvre pour garantir la protection du matériel informatique et des données qu’il contient. Il fixe les bonnes pratiques à mettre en place dans les échanges électroniques entre les différentes administrations comme avec les administrés.

Le RGS demande de connaître les risques mais aussi de déterminer les qualités que doivent posséder les systèmes informatiques : disponibilité, intégrité, confidentialité, possibilité d’authentifier les personnes concernées et traçabilité.

Ensuite, le RGS propose six grands principes pour sécuriser les systèmes d’information :
- adopter une démarche globale ;
- adapter la sécurité en fonction des enjeux ;
- gérer les risques ;
- élaborer une politique de sécurité des systèmes d’information ;
- utiliser des produits et des prestataires labellisés ;
- améliorer constamment les systèmes.

Avant sa mise en service définitive, un système d’information doit d’ailleurs recevoir une homologation de sécurité qui atteste de sa conformité au RGS. Enfin, et plus généralement, l’intégration de bonnes pratiques de sécurité face aux différents cycles de vie d’un système d’information doit permettre de gagner en efficacité technique. Cela doit permettre de rationaliser les coûts.

Le RGS date du 6 mai 2010 mais il est appelé à évoluer. Il est issu de l’ordonnance du 8 décembre 2005 relative aux échanges électroniques entre les usagers et l’administration et entre les administrations. Il s’inscrit dans un mouvement de modernisation de l’État, de simplification des démarches administratives et de facilitation de l’accès aux différents services publics.

Une aide pour sécuriser son système informatique

En Aquitaine, l’ Observatoire zonal de la sécurité des systèmes d’information sud-ouest ( OzSSI-SO ) assiste les administrations souhaitant mettre en conformité leurs systèmes d’information par rapport au RGS (lire ci-contre).

Relais local de l’Agence nationale de sécurité des systèmes d’information depuis 2009, l’OzSSI est placé sous l’autorité du préfet de la zone de défense et de sécurité Sud-Ouest. Il agit dans les régions Aquitaine, Poitou-Charentes, Limousin et Midi-Pyrénées.

Enfin, il anime un réseau de partage d’expériences et d’entraide destiné aux responsables informatiques présents au sein des services déconcentrés de l’État, des collectivités territoriales, des organismes ayant une mission de service public, des opérateursd’importance vitale et des entreprises sensibles.

Contact : Gil Jaspard , responsable de l’OzSSI sud-ouest.

Mots clefs
---3---Identité et sécurité - ---5----Usages - ---6--- Gouvernance et territoires - Aquitaine - bonnes-pratiques - collectivités - cybercriminalité - données - e-administration - Economie numérique - état - Gouvernance et territoires - Identité et sécurité - juridique - Usages