L’ANSSI aide les services publics avec MonServiceSécurisé

Ces dernières années, les cyberattaques perpétrées à l’encontre des administrations publiques, des entités étatiques et des collectivités territoriales se sont multipliées. Afin de renforcer la cybersécurité des services publics en ligne, l’Agence nationale pour la sécurité des systèmes d’information a mis au point une solution baptisée MonServiceSécurisé.

Tout ce qu’il faut savoir sur MonServiceSécurisé

MonServiceSécurisé est un service novateur, gratuit et collaboratif créé par le laboratoire d’innovation de l’ANSSI dans le but de mieux armer les services publics sur internet. Plus précisément, cela concerne les sites web, les applications mobiles et les API.

Cela consiste à mettre en place une homologation de sécurité obligatoire pour toutes les entités publiques. Cette mesure entre dans le règlement général de sécurité ou RGS. Selon les responsables de l’Agence nationale :

« MonServiceSécurisé permet de référencer un service numérique en projet, en cours de développement ou déjà en ligne puis de le décrire afin d’accéder à une liste personnalisée de mesures de sécurité élaborée par l’Anssi et obtenir une évaluation indicative du niveau de sécurité du service concerné, appelé indice cyber ».

Ainsi, les RSSI et autres responsables de la sécurité comme les DPO (délégués à la protection des données) pourront veiller à la cybersécurité de leurs services en ligne en se basant sur une liste de mesures de sécurité à appliquer. L’obtention de l’homologation sera basée sur un indicateur (indice cyber), évaluant le niveau de sécurité d’une entité.

Quid des responsabilités ?

L’Agence a tenu à écarter toute ambiguïté dès le début en annonçant que :

« Cette note ne constitue pas une preuve du niveau de sécurité du service mais une évaluation indicative basée sur les déclarations de l’équipe de l’entité ayant référencé le service. MonServiceSécurisé et l’Anssi ne peuvent en aucun cas être tenus responsables d’incidents de sécurité susceptibles d’affecter le service numérique, quelle que soit la note attribuée à ce dernier ».

Les nouvelles entités d’Etat peuvent donc générer une demande d’homologation de sécurité pour leur site web, leur application mobile ou leur projet d’API et soumettre cette demande à l’autorité d’homologation compétente pour décision. Le signataire de cette décision doit être une personne occupant un « niveau hiérarchique suffisant » et sera tenu responsable de la mise en ligne du service numérique vis-à-vis des risques associés.

Des retours positifs

Plusieurs RSSI d’entités publiques ont fait part de leur satisfaction après avoir choisi MonServiceSécurisé. Voici quelques déclarations…

« Il y a véritablement un avant et un après. MonServiceSécurisé m’a permis de partager ma démarche d’homologation des téléservices avec les différents métiers impliqués et les chefs de projet. Ce qui nous permet d’anticiper les enjeux de sécurisation parfois dès la conception de nos services (« Security by design »), et de sensibiliser les acteurs des projets. De plus, cette solution nous permet de faire un inventaire exhaustif de tous nos téléservices et de nos portails, et de lister tous les points d’amélioration » explique Fabrice Idier, RSSI du département de la Seine-Saint-Denis.

« Que pouvait-il y avoir de mieux qu’un produit proposé par ANSSI ? Les outils classiques d’analyse de risque sont très complexes, pour qui n’est pas du métier. A l’inverse, MonServiceSécurisé est très accessible. Il nous permet de travailler avec les chefs de projet et l’ensemble des métiers qui n’appartiennent pas au domaine informatique. Autre avantage, non négligeable : l’interface est nettement plus agréable qu’un tableur classique. Et les résultats sont très probants : la synthèse finale et l’Indice Cyber offrent une vision panoramique et constituent une vraie plus-value. » raconte Marylyne Boubée, RSSI du Conseil Départemental De Haute-Garonne.

« MonServiceSécurisé a l’avantage d’être simple d’utilisation et d’être en même temps une solution de confiance, développée par l’ANSSI. Nous sommes éditeurs interministériels d’application dans le domaine des ressources humaines, et l’utilisation d’un outil porté par l’ANSSI pour réaliser les homologations de sécurité d’une partie de nos services peut constituer un gage de confiance pour nos partenaires. » dixit Matthieu Devallé, RSSI adjoint au Centre interministériel des services informatiques relatifs aux ressources humaines.

Du mouvement à la tête de l’ANSSI

Quelques jours après le lancement de MonServiceSécurisé, Guillaume Poupard a cédé son poste de Directeur général au profit de Vincent Strubel. Le DG sortant est parti du côté de Docaposte, filiale numérique de La Poste, pour officier en tant que Directeur général adjoint. Le dirigeant entrant, quant à lui, a été nommé par la Première Ministre Elisabeth Borne. Il a passé l’essentiel de sa carrière au sein de l’ANSSI, plus précisément à la Direction centrale de la sécurité des systèmes d’information. En attendant sa prise de fonction, dont la date est encore inconnue, c’est le Général Emmanuel Naegelen, directeur général adjoint de l’Agence Nationale, qui assure l’intérim.

Articles récents