|
Photocopie électronique, cliquez sur l'icône |
|
Ministère DE L'AGRICULTURE, DE L'ALIMENTATION, DE LA Pêche,
de la ruralité et de l'aménagement du territoire
|
SECRÉTARIAT GÉNÉRAL |
CABINET DU MINISTRE |
|
NOTE DE SERVICE |
|
|
Date de mise en
application : immédiate |
Objet : Homologation de sécurité des
systèmes d'information
Résumé :La présente note de service a pour objet de préciser aux
structures d'administration centrale, aux directions régionales de
l'alimentation et de l'agriculture et de la forêt, aux directions de
l'alimentation, de l'agriculture et de la forêt, pour les départements
d'outre-mer, aux établissements d'enseignement agricole et aux établissements
sous tutelle la procédure d'homologation de sécurité d'un système d'information
dans le cadre de l'application du référentiel général de sécurité (RGS).
Mots-clés : HOMOLOGATION - RGS
|
Destinataires |
|
|
Pour exécution : |
Pour information : |
Bases
juridiques
Cadre
général
La
sécurité des systèmes d'information au sein du ministère chargé de
l'agriculture
Autorité
administrative et autorité d'homologation
Organisation
mise en place au niveau ministériel
Services
déconcentrés (DRAAF/DAAF)
Établissements
publics d'enseignement agricole
Établissements
publics sous tutelle
Conséquences
de la décision d'homologation
Contrôle
et renouvellement de l'homologation
Mise
en conformité
► Loi n° 2000-321 du 12 avril 2000
relative aux droits des citoyens dans leurs relations avec les administrations
► Ordonnance n° 2005-1516 du
8 décembre 2005 relative aux échanges électroniques entre les usagers et les
autorités administratives et entre les autorités administratives.
► Décret n° 2010-112 du 2
février 2010 pris pour l'application des articles 9, 10 et 12 de l'[Ordonnance]
relatif à la sécurité des informations échangées par voie électronique.
► Décret n°2001-272 du 30
mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif
à la signature électronique.
► Arrêté du 26 juillet 2004
relatif à la reconnaissance de la qualification des prestataires de services de
certification électronique et à l'accréditation des organismes qui procèdent à
leur évaluation.
► Arrêté N° AGRU0753396A du
27 avril 2007 " portant désignation des autorités qualifiées de sécurité
des systèmes d'information... "
► Arrêté du 6 mai 2010
portant approbation de la première version du RGS.
► Circulaire
SG/SM/SDSI/MSSI/C2007-1402 CAB/MD/C2007-0001 du 10 février 2007 relative à la
politique de sécurité des systèmes d'information de l'Agriculture
Élaboré conformément à
l'article 9 de l'ordonnance n°2005-1516 du 8 décembre 2005 relative aux
échanges électroniques entre les usagers et les autorités administratives
ainsi qu'entre les autorités administratives, le RGS fixe les règles que
doivent respecter les fonctions des systèmes d'information contribuant à la
sécurité des informations échangées par voie électronique.
Les autorités administratives, principalement les administrations de l'État,
les collectivités territoriales, les établissements publics à caractère
administratif, les organismes chargés de la gestion d'un service public
administratif, doivent attester formellement auprès des utilisateurs de leurs
systèmes d'information que ceux-ci sont protégés conformément aux objectifs de
sécurité.
L' " attestation formelle " appelée homologation de sécurité du
système d'information est obligatoire.
L'homologation est un préalable à la mise en service opérationnelle de tout
système d'information, puis doit être régulièrement réexaminée, afin de prendre
les mesures que peuvent imposer les évolutions du système, de ses composants,
de son emploi, du contexte humain ou organisationnel, ou encore bien sûr de la
menace.
Afin de permettre d'identifier, d'atteindre puis de maintenir un niveau de
risque de sécurité acceptable pour un système d'information, compte tenu du
besoin de protection requis, une démarche d'homologation globale doit être
conduite.
Ainsi, s'appuyant sur une gestion globale des risques de sécurité concernant
l'ensemble du système d'information, l'homologation de sécurité inclut dans son
périmètre les aspects techniques et organisationnels.
La sécurité des
systèmes d'information au sein du ministère chargé de l'agriculture
Lancé par le Premier
ministre en 2003, le plan de renforcement de la sécurité des systèmes
d'information (PRSSI) prévoyait notamment la formalisation d'une Politique de
Sécurité des Systèmes d'Information (PSSI) pour les ministères.
La Politique de Sécurité des Systèmes d'Information (PSSI) ministérielle,
accompagnée de son plan d'action, a été approuvée par le Cabinet du ministre en
charge de l'agriculture le 10 février 2007.
La PSSI - Agriculture formalise l'organisation de sécurité et les exigences de
sécurité mises en œuvre sur l'ensemble du ministère et des établissements
publics d'enseignement agricole. Dans le cadre de la déclinaison de ce plan, le
contrôle systématique de la PSSI au sein des services est effectif depuis
l'année 2010 (service du HFDS).
De manière complémentaire, le ministère a mis en œuvre en 2008 la méthode
d'intégration de la sécurité dans les projets (ISP) pour les applications
nationales.
La méthode ISP s'appuie sur les documents de référence suivant :
► la PSSI du Ministère en
charge de l'agriculture ;
► la circulaire PIMENT
(Pilotage et manageMENT) ;
► la méthode MAREVA (Méthode
d'Analyse et de REmontée de la VAleur) ;
► la méthode d'Expression
des Besoins et Identification des Objectifs de Sécurité (EBIOS v2) élaborée par
la DCSSI1 ;
► Le Référentiel Général de
Sécurité (RGS) ;
► Le Guide d'Intégration de
la Sécurité des Systèmes d'Information dans les Projets (GISSIP) de l'Agence
nationale de la sécurité des systèmes d'information (ANSSI).
La méthode ISP accompagne les acteurs des projets (maîtrise d'ouvrage, maîtrise
d'ouvrage déléguée, assistance à maîtrise d'ouvrage, maîtrise d'œuvre,
exploitation, sous-traitants) dans l'intégration des aspects liés à la Sécurité
des Systèmes d'Information, pour l'ensemble du cycle de vie du projet et du
système cible (maintien en condition opérationnelle du système cible, retrait
en fin de vie, etc.).
Elle permet de disposer de produits finaux (applications, services, logiciels,
progiciels, architecture...) offrant un niveau de sécurité en adéquation avec
les besoins de sécurité du projet exprimés par la maîtrise d'ouvrage et en
conformité avec la PSSI-Agriculture.
Autorité
administrative et autorité d'homologation
L'ordonnance n°2005-1516 du
8 décembre 2005 précise que les autorités administratives sont
les administrations de l'État, les collectivités territoriales, les
établissements publics à caractère administratif, les organismes gérant des
régimes de protection sociale relevant du code de la sécurité sociale et du
code rural ou mentionnés aux articles L. 223-16 et L. 351-21 du code du travail
et les autres organismes chargés de la gestion d'un service public
administratif.
L'autorité administrative désigne une autorité d'homologation,
personne responsable du système d'information, en charge de prononcer la
décision d'homologation de sécurité du système d'information.
L'autorité d'homologation est choisie au sein de l'autorité administrative.
Lorsque le système est sous la responsabilité de plusieurs autorités administratives,
l'autorité d'homologation est désignée conjointement par les autorités
administratives concernées.
Les autorités administratives à considérer sont :
► Le ministère de
l'agriculture, de l'alimentation, de la pêche, de la ruralité et de l'aménagement
du territoire (MAAPRAT : Administration Centrale, DRAAF et DDAF) ;
► Les établissements publics
d'enseignement agricole ;
► Les établissements publics
sous tutelle.
L'autorité d'homologation assume la responsabilité afférente à la
décision d'homologation notamment pour accepter les risques résiduels. Cette décision
d'homologation est l'engagement par lequel l'autorité d'homologation
atteste, au nom de l'autorité administrative, que le projet a bien pris en
compte les contraintes opérationnelles de sécurité établies au départ, que les
exigences de sécurité sont bien déterminées et satisfaites, que les risques
résiduels sont maîtrisés et acceptés, et que le système d'information est donc
apte à entrer en service. Pour prendre cette décision d'homologation,
l'autorité d'homologation examine le dossier de sécurité du projet avec l'aide
du comité d'homologation.
Les sections suivantes présentent l'organisation à mettre en place pour chacune
des autorités administratives considérée.
Organisation mise
en place au niveau ministériel
Autorité d'homologation
S'agissant du périmètre
relatif aux systèmes d'information nationaux, le Secrétaire général est
l'autorité d'homologation, quels que soient les services utilisateurs de ces
systèmes.
L'autorité d'homologation
met en place un comité d'homologation chargé de l'assister et de préparer la
décision d'homologation.
S'agissant du périmètre relatif aux systèmes d'information nationaux, le comité
d'homologation est composé notamment de membres de droit :
► Le secrétaire général ou
son représentant, président du comité ;
► Le Chef de la Mission de
sécurité des systèmes d'information (MSSI) ou son représentant en tant que
secrétaire du comité d'homologation ;
► Le Haut fonctionnaire de
défense et de sécurité (HFDS) ;
► Le Fonctionnaire Sécurité
des Systèmes d'Information (FSSI) ;
► Le Chef de service de la
modernisation ;
► Le Président du CSI.
► Le Sous directeur des
systèmes d'information (SDSI) ou son représentant ;
► La Maîtrise d'ouvrage
(MOA) du projet ;
► L'Agent de sécurité des
systèmes d'information (ASSI) de la direction concernée ;
► Décision d'homologation
Afin que sa décision soit motivée et justifiée, l'autorité d'homologation
s'appuie sur un dossier de sécurité, constitué selon la méthode ISP.
Le dossier de sécurité est
composé des parties suivantes :
► l'étude des besoins de
sécurité qui identifie les objectifs de sécurité permettant de réduire les
risques au niveau accepté par la maîtrise d'ouvrage ; cette étude se présente
sous la forme d'une pré-étude de sécurité ISP, éventuellement complétée par une
étude plus complète si au moins un niveau de sensibilité ISP [parmi les 4
points examinés : Disponibilité, Intégrité, Confidentialité,
Preuve/Traçabilité] est noté 3 ou 4.
· les exigences de
sécurité qui sont spécifiées au plan organisationnel et technique - par la
maîtrise d'œuvre - pour répondre aux objectifs de sécurité définis par la
maîtrise d'ouvrage ;
· la politique de
sécurité du système d'information (PSSI) et/ou le plan d'action sécurité
qui définit notamment les modalités de suivi de la sécurité dans le temps ;
· les documents
d'application issus de la mise en œuvre des exigences de sécurité, du plan
d'action sécurité et de la PSSI ;
· les documents de tests
des fonctions de sécurité : cahier de recette, les comptes-rendus de
qualification et de recette, la documentation des tests unitaires ;
· le rapport concernant les
tests d'intrusion ;
· si le niveau de
sensibilité le justifie, le rapport concernant l'audit sécurité.
En fonction de la sensibilité du système d'information considéré, évaluée par
le responsable de sécurité des systèmes d'information (RSSI) de l'autorité
administrative considérée, le dossier sécurité doit comporter tout ou partie
des éléments cités supra.
L'évaluation de la sensibilité du système d'information est effectuée dans le
cadre de la pré-étude de sécurité ISP par la mission de sécurité des systèmes
d'information (MSSI).
Services
déconcentrés (DRAAF/DAAF)
Autorité d'homologation
En services déconcentrés,
pour les systèmes d'information pour lesquels la décision de lancement et la
conduite de projet sont assurées localement, les directeurs sont les autorités
d'homologation.
L'autorité d'homologation
met en place un comité d'homologation chargé de l'assister et de préparer la
décision d'homologation.
Le directeur, le responsable de la mission des systèmes d'information (RMSI) et
l'ASSI de la structure sont membres de droit.
Décision
d'homologation et dossier de sécurité
Afin que sa décision soit
motivée et justifiée, l'autorité d'homologation s'appuie sur un dossier de
sécurité.
Ce dossier peut être constitué selon la méthode ISP ou suivant toute autre
méthode garantissant que les aspects essentiels du système a fait l'objet d'une
étude de besoin de sécurité. Le dossier comporte notamment une analyse des
besoins de sécurité, une étude de compatibilité au regard des obligations
portées par la PSSI et, dans le cas où le système est exposé hors des seuls
sites du service déconcentré, le résultat des tests d'intrusion. Dans le cas où
le système est déployé sur plusieurs services déconcentrés, les tests
d'intrusion conduits sur un service déconcentré sont considérés comme valables
pour l'ensemble des services déconcentrés utilisateurs du système.
Établissements
publics d'enseignement agricole
Autorité d'homologation
Pour les établissements
d'enseignement agricole, le directeur général ou le chef d'établissement est
l'autorité d'homologation pour les systèmes d'information pour lesquels la
décision de lancement et la conduite de projet sont assurées localement.
L'autorité d'homologation
met en place un comité d'homologation chargé de l'assister et de préparer la
décision d'homologation.
Le chef d'établissement ou le directeur général et l'ASSI de la structure sont
membres de droit.
Décision
d'homologation et dossier de sécurité
Afin que sa décision soit
motivée et justifiée, l'autorité d'homologation s'appuie sur un dossier de
sécurité.
Ce dossier peut être constitué selon la méthode ISP ou suivant toute autre
méthode garantissant que les aspects essentiels du système a fait l'objet d'une
étude de besoin de sécurité. Le dossier comporte notamment une analyse des
besoins de sécurité, une étude de compatibilité au regard des obligations
portées par la PSSI et, dans le cas où le système est exposé sur internet, le
résultat des tests d'intrusion. Dans le cas où le système est constitué sur une
base progicielle, ce dernier aspect peut être remplacé par une attestation du
fournisseur du système précisant les engagements ou tests subis associés au
système.
Établissements
publics sous tutelle
Autorité d'homologation
Pour les établissements
sous tutelle, les directeurs généraux ou les présidents directeurs généraux
sont les autorités d'homologation pour leurs systèmes d'information.
Pour les établissements
publics sous tutelle, l'autorité d'homologation met en place son comité
d'homologation.
Pour les systèmes d'informations utilisés par l'administration centrale ou les
services déconcentrés du MAAPRAT, le secrétaire général du MAAPRAT, ou son
représentant, ainsi qu'une représentant de la direction compétence participent
au comité d'homologation.
Afin que sa décision soit
motivée et justifiée, l'autorité d'homologation s'appuie sur un dossier de
sécurité, constitué selon le modèle GISSIP.
Le dossier de sécurité est
composé des parties suivantes :
· l'étude des besoins de
sécurité qui identifie les objectifs de sécurité permettant de réduire les
risques au niveau accepté par la maîtrise d'ouvrage ;
· les exigences de
sécurité qui sont spécifiées au plan organisationnel et technique - par la
maîtrise d'œuvre - pour répondre aux objectifs de sécurité définis par la
maîtrise d'ouvrage ;
· la politique de
sécurité du système d'information (PSSI) et/ou le plan d'action sécurité
qui définit notamment les modalités de suivi de la sécurité dans le temps ;
· les documents
d'application issus de la mise en œuvre des exigences de sécurité, du plan
d'action sécurité et de la PSSI ;
· les documents de tests
des fonctions de sécurité : cahier de recette, les comptes-rendus de
qualification et de recette, la documentation des tests unitaires ;
· le rapport concernant les
tests d'intrusion ;
· si le niveau de
sensibilité le justifie, le rapport concernant l'audit sécurité.
En fonction de la sensibilité du système d'information considéré, évaluée par
le responsable de sécurité des systèmes d'information (RSSI) de l'établissement
public considéré, le dossier sécurité doit comporter tout ou partie des
éléments cités supra.
Conséquences de la
décision d'homologation
La décision d'homologation
doit intervenir avant la mise en service opérationnelle du système.
Selon les résultats de l'analyse effectuée lors de la démarche d'homologation,
l'autorité d'homologation pourra prononcer :
· une homologation
provisoire, assortie de réserves et d'un délai de mise en conformité des
défauts de sécurité rencontrés ;
· une homologation, assortie
le cas échéant de conditions, pour une durée déterminée de 3 à 5 ans ;
· un refus d'homologation,
si les résultats de l'audit font apparaître des risques résiduels jugés
inacceptables.
La mise en service du
système issu du projet soumis à décision ne peut intervenir qu'en cas de
décision - positive - d'homologation.
Cependant, de façon exceptionnelle, lorsque l'urgence opérationnelle le
requiert, il peut être procédé à une mise en service provisoire, sans attendre
l'homologation du système, en tenant compte de l'avancement de la procédure
d'homologation et des risques résiduels de sécurité. Dans ce cas, la mise en
service définitive interviendra ultérieurement, lorsque l'homologation de sécurité
aura été prononcée.
La mise en service provisoire d'un système d'information est décidée par
l'autorité d'homologation, qui en informe sans délai le service du HFDS.
Communication
des décisions d'homologation
Le service du HFDS est
destinataire de toute décision d'homologation portant sur les systèmes
d'information du ministère, de ses services déconcentrés et des établissements
publics sous tutelle et peut demander copie du dossier d'homologation
correspondant.
Pour le ministère et les établissements publics sous tutelle, l'autorité
d'homologation fait rapport sans délai pour information devant le Conseil des
systèmes d'information de ses décisions (homologation, homologation temporaire
ou de refus).
Les décisions d'homologation sont rendues accessibles par les autorités
administratives.
Dans le cas d'un téléservice, cette décision est rendue accessible aux usagers
conformément à l'article 4 de l'ordonnance du 8 décembre 2005.
Contrôle et
renouvellement de l'homologation
L'autorité d'homologation
fixe les conditions du maintien de l'homologation de sécurité au cours du cycle
de vie du système d'information. Elle contrôle régulièrement que le système
fonctionne effectivement selon les conditions qu'elle a approuvées, en
particulier après des opérations de maintien en condition opérationnelle.
L'autorité d'homologation examine le besoin de renouvellement de l'homologation
avant le terme prévu notamment lorsque :
· les conditions
d'exploitation du système ont été modifiées ;
· des nouvelles
fonctionnalités ou applications ont été installées ;
· le système a été
interconnecté à de nouveaux systèmes ;
· des problèmes
d'application des mesures de sécurité ou des conditions de maintien de
l'homologation ont été révélés, par exemple lors d'un audit de sécurité ;
· les menaces sur le système
ont évolué ;
· de nouvelles
vulnérabilités ont été découvertes ;
· le système a fait l'objet
d'un incident majeur de sécurité.
L'article 14.I du RGS
précise que les autorités administratives doivent mettre leurs systèmes
d'information (SI) existant à la date de publication du RGS le 18 mai 2010 en
conformité avec ce référentiel dans un délai de trois ans à compter de cette
date.
Les services du HFDS effectuent le recensement des systèmes d'information
entrant dans le périmètre du RGS et assurent le suivi de leur mise en
conformité.
Ils font rapport pour information au moins une fois par an au Conseil des
systèmes d'information.
|
Le Secrétaire général, |
Le Haut Fonctionnaire de défense et de sécurité |