Sécurité numérique des collectivités territoriales L’essentiel de la réglementa

Sécurité numérique des collectivités territoriales L’essentiel de la réglementation SÉCURITÉ NUMÉRIQUE DES COLLECTIVITÉS TERRITORIALES – 01 TABLE DES MATIÈRES Préambule 04 PARTIE I : CADRE RÉGLEMENTAIRE 06 CHAPITRE I – Renforcer la confiance des usagers dans les services numériques 08 I / Le cadre national du référentiel général de sécurité (RGS) 09 II / L’apport européen du règlement no910/2014 dit « eIDAS » 13 III / L’articulation entre RGS et eIDAS 19 CHAPITRE II – Renforcer la sécurité des données à caractère personnel 21 I / Le cadre européen du règlement général sur la protection des données (RGPD) 23 II / L’hébergement de Données de Santé (HDS) 29 CHAPITRE III – Transformation numérique de l’État 34 I / Le service de coffre-fort numérique 35 II / L’envoi recommandé électronique et la lettre recommandée électronique 36 III / L’archivage électronique 37 CHAPITRE IV – Renforcer la sécurité des acteurs critiques (OIV, OSE) 40 I / Les dispositions ordinaires de la loi de programmation militaire 2014-2019 (LPM) 41 II / La directive européenne Network and Information Systems (NIS) 47 PARTIE II : RECOMMANDATIONS 54 FICHE No1 – Aide à la mise en œuvre des réglementations 56 I / Mise en œuvre du RGS 57 II / Mise en œuvre du règlement eIDAS 59 III / Mise en œuvre du RGPD 60 IV / Mise en œuvre de HDS 60 02 – SÉCURITÉ NUMÉRIQUE DES COLLECTIVITÉS TERRITORIALES V / Mise en œuvre de la LPM 61 VI / Mise en œuvre de la directive NIS 61 FICHE No2 – Se préparer et réagir en cas d’incident de sécurité 62 I / La préparation 64 II / La détection 64 III / La qualification / l’évaluation 66 IV / La réaction 67 V / Tirer les enseignements 71 FICHE N o3 – L’usage de la signature électronique 73 I / Qu’est-ce que la signature électronique ? 74 II / Cadre juridique de la signature électronique 75 III / Se procurer un certificat de signature électronique 77 FICHE N o4 – Ouvrir un téléservice dans le respect des règles de sécurité 80 I / L’analyse de risques 81 II / Les objectifs de sécurité 82 III / La mise en œuvre des mesures de sécurité 83 IV / L’homologation de sécurité du système d’information 85 V / Le suivi opérationnel de la sécurité du système d’information 86 FICHE N o5 – Ouvrir un service numérique au public dans le contexte eIDAS 88 I / Démarche générale 89 II / Quelle particularité dans le contexte eIDAS ? 89 FICHE N o6 – Recourir à l’externalisation pour la gestion du système d’information 93 I / Risques liés à l’externalisation 94 II / Synthèse des recommandations liées à l’externalisation 99 FICHE No7 – Mise en œuvre d’un système de management de la sécurité de l’information (SMSI) dans le contexte HDS 105 I / Présentation succincte de l’ISO/CEI 27001:2013 106 II / Principe de mise en œuvre du SMSI 106 SÉCURITÉ NUMÉRIQUE DES COLLECTIVITÉS TERRITORIALES – 03 III / La certification 109 Table des illustrations 110 Glossaire 111 Bibliographie 118 N.B. : les termes définis dans le glossaire sont suivis d’une étoile (*) lorsqu’ils apparaissent pour la première fois dans le texte. 04 – SÉCURITÉ NUMÉRIQUE DES COLLECTIVITÉS TERRITORIALES PRÉAMBULE Les collectivités territoriales (CT) sont engagées dans une trans- formation numérique profonde, autant pour répondre à des obligations règlementaires qu’à un souci de rendre un meilleur service aux citoyens. Cette dépendance de plus en plus forte aux systèmes d’information (SI), couplée à l’hétérogénéité de la taille des communes, crée une fragilité, soulignée dans la Revue stratégique de cyberdéfense (RSC) de 2018. Au même titre que les SI de l’État, des opérateurs d’importance vitale (OIV) ou des opérateurs de services essentiels (OSE), la protection des SI des collectivités territoriales fait partie des champs prioritaires définis par la RSC pour consolider le modèle national de cyberdéfense. Au-delà de l’application de mesures, qu’elles soient d’hygiène ou techniques, de gouvernance, organisationnelles et humaines, la dimension règlementaire et juridique est essentielle pour assurer une meilleure prise en compte des risques numériques. Pour répondre au défi de la sécurité du numérique des collectivités territoriales, la France, soit directement par son droit national, soit via les règlements et directives pris au niveau de l’Union Européenne, s’est dotée d’un cadre règlementaire. Ce dernier participe à la protection de ces sys- tèmes d’information et a pour objectifs : ■ ■ le renforcement de la confiance des usagers dans l’utilisation des ser- vices numériques ; ■ ■ le renforcement de la sécurité des données à caractère personnel ; ■ ■ la transformation numérique des administrations l’État ; ■ ■ le renforcement de la sécurité des acteurs critiques pour l’État. ■ ■ Ces réglementations s’architecturent autour de trois principes fonda- mentaux : ■ ■ la gouvernance qui vise à impliquer l’ensemble des acteurs (décideurs, SÉCURITÉ NUMÉRIQUE DES COLLECTIVITÉS TERRITORIALES – 05 agents, etc.) des collectivités territoriales dans la sécurité par la définition et le suivi d’une politique de sécurité des systèmes d’information (PSSI) ; ■ ■ la gestion des risques qui doit amener les collectivités territoriales à s’interroger sur les menaces auxquelles elles sont exposées et les mesures à mettre en œuvre pour s’en protéger tout en tenant compte d’un certain nombre de contraintes (financière, humaine, sociale, etc.) ; ■ ■ l’amélioration continue qui permet à la collectivité d’évaluer régu- lièrement son niveau de sécurité afin d’identifier les domaines dans lesquels elle doit progresser. Pour les non-spécialistes et, singulièrement, pour les élus déjà en proie avec une multitude de règles et de textes à appliquer, le cadre règle- mentaire national participant à la protection des systèmes d’information des collectivités territoriales méritait un guide. Ce document se veut donc synthétique, pratique et abordable en particulier par les élus et les cadres territoriaux chargés d’en garantir l’application et la conformité. PARTIE I : CADRE RÈGLEMENTAIRE CHAPITRE I Renforcer la confiance des usagers dans les services numériques SÉCURITÉ NUMÉRIQUE DES COLLECTIVITÉS TERRITORIALES – 09 I / Le cadre national du référentiel général de sécurité (RGS) EN BREF : En tant qu’autorités administratives, les collectivités territoriales ont l’obligation de respecter le référentiel géné- ral de sécurité (RGS). Ce texte règlementaire s’inscrit dans la politique publique de dématérialisation des démarches administratives et de confiance en l’économie numérique instauré par l’État. Il définit les exigences de sécurité (ana- lyse de risque, homologation, etc.) pour tous les systèmes d’information (appelés téléservices*) mis à disposition des usagers et autorités administratives en vue de réaliser di- verses démarches ou formalités administratives (déclaration d’imposition, règlement d’une contravention, plateforme de dématérialisation des marchés publics, etc.). Le RGS définit également un processus de qualification des prestataires de services de confiance (délivrance de certi- ficats électroniques, service d’horodatage électronique, etc.) sur lesquels les collectivités territoriales peuvent s’appuyer dans la mise en œuvre de leurs téléservices. 10 – SÉCURITÉ NUMÉRIQUE DES COLLECTIVITÉS TERRITORIALES A Qu’est-ce que le RGS ? Le RGS est l’outil règlementaire permettant de sécuriser les échanges entre les autorités administratives et entre elles et leurs usagers. Le RGS a pour objectif le renforcement de la confiance des usagers dans les téléser- vices mis à disposition par les autorités administratives. Il s’impose ainsi à l’administration et peut être adapté aux enjeux et besoins de chacun. Le RGS est pris en application du décret no 2010-112 du 2 février 2010, lui-même pris en application de l’article 9 de l’ordonnance no 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives. B À qui s’adresse-t-il ? Le RGS s’impose spécifiquement aux téléservices mis en œuvre par les autorités administratives dans leurs relations avec les usagers et dans leurs relations entre elles. Les collectivités territoriales font partie des au- torités administratives visées par l’article 1er de l’ordonnance no 2005-1516 du 8 décembre 2005 et sont, par conséquent, soumises aux obligations qui découlent de ce texte. Sont des téléservices les systèmes d’information qui permettent : ■ ■ l’inscription des enfants à l’école ou à la cantine par Internet ; ■ ■ le paiement des factures d’eau par Internet ; ■ ■ la plateforme de dématérialisation des marchés publics ; ■ ■ une demande de prestation sociale par Internet ; ■ ■ les transferts de données vers une préfecture (par exemple contrôle de légalité) par Internet ; ■ ■ etc. Indirectement, le RGS s’adresse à l’ensemble des prestataires de services et des éditeurs de produits de sécurité proposant des services et des produits qualifiés au sens du RGS. SÉCURITÉ NUMÉRIQUE DES COLLECTIVITÉS TERRITORIALES – 11 De façon générale, pour tout autre organisme du secteur public ou privé souhaitant organiser la gestion de la sécurisation de ses systèmes d’information et de ses échanges électroniques, le RGS se présente comme un guide de bonnes pratiques conformes à l’état de l’art. C Que contient-il ? Le RGS se compose d’un corpus documentaire s’adressant aussi bien aux autorités administratives qu’aux prestataires de services de confiance tels que la délivrance de certificats électroniques, l’horodatage électronique ou encore l’audit de sécurité des systèmes d’information. Les documents intéressant uploads/s3/ anssi-guide-securite-numerique-collectivites-territoriales-reglementation1.pdf

Tags
Administrationsécurité collectivités territoriales numérique données
Documents similaires
  • 59
  • 0
  • 0
Afficher les détails des licences
Licence et utilisation
Gratuit pour un usage personnel Attribution requise
Partager