Référentiel Général de Sécurité appliqué aux collectivités
La genèse…
Poursuivant un triple objectif de modernisation des services, de simplification des démarches et de recherche d’une plus grande efficacité, l’État a entamé un processus de modernisation de son administration dans le développement de services en ligne depuis 2005.
La mise en place de ces relations dématérialisées avec les usagers citoyens, agents de l’Administration, entreprises, … nécessite une confiance reconnue et partagée par les différents acteurs.
Afin de favoriser l’émergence de ce climat de confiance mutuelle propre au développement de ces télé-services, est né le Référentiel Général de Sécurité (RGS) permettant la définition d’un cadre général de sécurisation pour lesdits télé-services.
La réglementation
Le RGS pose alors le principe de l’homologation de sécurité des télé-services. Ainsi le terme homologuer signifie la prise en compte de la sécurité des systèmes d’information tout au long de son projet en fonction de son niveau de maturité en SSI. Cette prise en compte s’effectue par le biais d’une méthode (EBIOS) reposant sur l’analyse des risques qui pèsent sur le télé-service étudié afin de mieux les apprécier et les maitriser.
Ladite méthode, intégrée au processus de gestion de projets de l’organisme doit également prendre en considération des risques sur la vie privée. En effet, les télé-services dans leur globalité traitent dans la quasi-totalité des cas de données personnelles. A cette fin la CNIL a élaboré un guide pour gérer les risques sur les libertés et la vie privée.
Ou en sommes-nous ?
Selon les rapports annuels du CLUSIF les collectivités territoriales affichent encore une faible adhésion à cette démarche compte tenu de leur contexte particulier. Celles-ci manquent encore trop souvent de budget, de personnel qualifié, de connaissances et d’organisation en termes de méthodologies.
Enfin, les freins rencontrés par nos collectivités incombent aussi aux éditeurs de télé-services qui sont encore trop peu à fournir des éléments concrets de conformité aux différents référentiels (RGS, EBIOS, CNIL) quant à leurs offres de services.
Et concrètement ?
Fort de ses retours d’expériences sur cette thématique en contexte variés, SRC Solution a développé une offre spécifique pour accompagner les administrations et collectivités désireuses d’intégrer la sécurité dans leurs projets pour viser la conformité règlementaire et homologuer leurs systèmes d’information et télé-service de manière proportionnée et adaptée à leurs enjeux.
Stéphane Descous
Consultant Sécurité des SI