Menu Fermer

La sécurité au cœur des systèmes d'information de l'AIFE

L’AIFE se doit de mettre à la disposition de tous les utilisateurs, aussi bien ceux du secteur public (ministères, établissements publics, collectivités locales) que ceux des entreprises privées, un système d’information fiable et répondant à leurs attentes en matière de protection de l’information.

Afin de conserver leur confiance, est ainsi mise en œuvre une politique de sécurité rigoureuse.

Politique de sécurité des systèmes d'information

L’AIFE inscrit sa politique de sécurité dans le cadre de la Politique de Sécurité des Systèmes d’Information de l’État (PSSIE) et de celle des ministères financiers dans le cadre de laquelle elle met en œuvre les standards de sécurité, à l’élaboration desquels elle participe.

Dans ce contexte, sont définies la démarche de sécurité de l’information de l’AIFE et sa déclinaison au sein des PSSI du SI interne, du SI Chorus et des applications Chorus hébergées.

A été mise en place une organisation adaptée aux enjeux majeurs de sécurité :

  • l’Autorité Qualifiée de Sécurité des Systèmes d’Information (AQSSI) est la directrice de l’AIFE qui est assistée d’un adjoint dédié ;
  • ont été désignés des Responsables Sécurité des Systèmes d’Information (RSSI) de Chorus et de l’AIFE ;
  • une équipe est dédiée à la sécurité des systèmes d’information au sein de l’AIFE.

Les agents de l’AIFE, aussi bien que les équipes externes travaillant pour elle, sont incités à signaler les incidents de sécurité, mais aussi à demander l’avis des responsables de la sécurité des systèmes d’information sur la conformité de tout processus organisationnel ou technique aux pratiques de sécurité de l’AIFE (PSSI, procédures de sécurité …). Ils doivent faire de même s’agissant des choix technologiques qui tiennent compte à la fois des besoins métiers et des exigences de sécurité. En tout, six processus sécurité sont intégrés au périmètre de la certification ISO 9001 de l’AIFE. La sécurité est présente à toutes les étapes du cycle de vie des applications du SI Chorus.

Le ministère utilisateurs

L’AIFE a souhaité que les ministères utilisateurs des briques du SI Chorus se prononcent sur le niveau de sécurité de ces systèmes.

Ainsi, c’est le Comité d’Orientation Stratégique du Système d’Information Financière de l’État (COS SIFE), instance de gouvernance rassemblant notamment tous les Directeurs des Affaires Financières des ministères et les directions réglementaires, qui est l’autorité d’homologation pour l’ensemble des briques du SI Chorus. Il se base sur les avis prononcés par la commission d’homologation, composée des FSSI des ministères, de l’adjoint à l’AQSSI de l’AIFE, du RSSI Chorus et du chef de projet.

Les données personnelles des usagers SI Chorus

Dans le cadre du Règlement Général sur la Protection des Données personnelles (RGPD), entré en vigueur le 25 mai 2018, l’AIFE a complété les mesures existantes de protection des données à caractère personnel pour respecter les exigences du RGPD :

  • la cartographie complète des données à caractère personnel et des traitements est tenue à jour selon les exigences du RGPD ;
  • les avenants ont été annexés aux marchés en cours et les clauses juridiques sont intégrées dans chaque appel d’offres ;
  • les mentions nécessaires à l’information des usagers du SI Chorus sont insérées dans les systèmes d’information Chorus ;
  • le règlement est pris en compte dans tous les processus liés à la conception de projet, à l’homologation, à la gestion des incidents de sécurité ainsi que dans les PSSI de l’AIFE.

Des sessions récurrentes de sensibilisation des agents de l’AIFE à la sécurité ont été menées en 2018 et en 2019 et sont renouvelées autant que de besoin. Elles permettent de présenter les enjeux du RGPD et la prise en compte de la protection des données à caractère personnel dans le cycle de vie des systèmes d’information mis en œuvre ou maintenus au sein de l’agence.

Les partenaires

L’équipe sécurité s’assure de la mise en œuvre des exigences de sécurité de l’AIFE par l’ensemble de ses partenaires et sous-traitants.

En amont, l’équipe sécurité participe à la rédaction des cahiers des charges des marchés en y définissant les exigences de sécurité. Elle instaure ensuite, pendant la mise en œuvre des systèmes d’information puis en phase de production, un dialogue régulier avec les partenaires et acte les choix tant techniques qu’organisationnels lors des comités de sécurité.

Bienvenue sur l'intranet AIFErvescence