menu
L'expérience de nos cyber-consultants au service de votre organisation

Homologation de sécurité RGS d’un e-service

Actualité publiée par Coessi le 11/05/2018 | Mise à jour le 26/06/2018 à 15:36
Homologation de sécurité RGS d’un e-service

Étude de cas


Le problème à résoudre :

Un de nos clients, une collectivité territoriale, souhaitait mettre à disposition de ses administrés un e-service permettant de réaliser des démarches d’état civil en ligne. Ce e-service, accessible depuis l’espace citoyen du site web, facilite le processus de demandes d’actes d’état civil (mariage, naissance, décès). Les citoyens y renseignent leurs données personnelles et l’acte souhaité. Les données sont stockées sur le serveur de la collectivité, qui les extrait et utilise un logiciel pour générer l’acte d’état civil demandé. L’envoi final de l’acte se fait par e-mail. La collectivité voulait ainsi moderniser les relations qu’elle entretient avec ses citoyens, tout en suivant les directives de l’Etat concernant la modernisation et l’informatisation des autorités administratives (PAGSI de 1998 ; Plan France Numérique de 2012). Le décret 2010-112 fixe les règles de sécurité que doivent respecter les autorités administratives échangeant des informations par voie électronique avec leurs usagers ou entre elles. 

 
 
 

La solution mise en œuvre :

 
Les autorités administratives mettant à disposition un e-service se doivent de suivre une procédure d’homologation de sécurité constituée d’une analyse de risques, de l’application de mesures de sécurité et d’un suivi opérationnel de la sécurité du e-service. Afin de se conformer à cette démarche, CoESSI a proposé à la collectivité de suivre et d'adapter la méthode EBIOS au contexte "Informatique et Libertés". Des mesures de sécurité ont été préconisées et un plan d'action élaboré. Pour la mise en oeuvre des mesures de sécurité spécifiques (authentification, signature électronique, horodatage…), l'implication de Prestataires de Services de Confiance (PSCO) et de Services de Certificats Electroniques (PSCE), a été recommandée à la collectivité. 
 
 

Les résultats obtenus :

 
L’analyse de risques s’est focalisée sur les aspects liés à la confidentialité des données, l’intégrité des actes ou l’authentification des personnes. Les mesures préconisées étaient à la fois d’ordre technique et organisationnel, et permettaient de maintenir un niveau de sécurité acceptable conformément aux risques identifiés. Une politique de durcissement des mots de passe et une politique de conservation et d'archivage des données, ont été notamment recommandées. CoESSI a choisi d’homologuer le e-service pour une durée intermédiaire de 3 ans.
 
CoESSI a pu mettre à profit sa maitrise de nombreux référentiels et méthodes (EBIOS, ISO 27000…) pour conduire ce projet d’homologation RGS. Cette expérience nous a confrontés aux contraintes juridiques pesant sur les SI des autorités administratives françaises. L’homologation de sécurité n’étant pas exclusive au RGS – elle peut être effectuée pour d’autres référentiels de sécurité comme l’IGI 1300 ou la PSSIE. 
 
CoESSI, fort de cette nouvelle expérience, continue de renforcer son savoir-faire et à mener de nouveaux projets d'homologation de sécurité. 
expand_less