LA SECURITE AU CŒUR DES SYSTEMES D’INFORMATION DE L’AIFE

LA SECURITE AU CŒUR DES SYSTEMES D’INFORMATION DE L’AIFE

L'AIFE se doit de mettre à la disposition de tous les utilisateurs de son système d’information, aussi bien du secteur public (ministères, établissements publics, collectivités locales) que des entreprises privées, un système d'information fiable et répondant à leurs attentes en matière de protection de l’information.

Afin de conserver la confiance de tous, l’AIFE met ainsi en œuvre une politique de sécurité rigoureuse.

Politiques de sécurité des systèmes d’information

L’AIFE inscrit sa politique de sécurité dans le cadre de la Politique de Sécurité des Systèmes d’Information de l’État (PSSIE) et de celle des ministères financiers. Elle met en œuvre les standards de sécurité ministériels, à l’élaboration desquels elle participe.

Dans ce contexte, la direction définit la démarche de sécurité de l’information de l’AIFE et la formalise à travers les PSSI qui traitent de la sécurité du SI interne, du SI Chorus et des applications Chorus hébergées.

Elle met en place l’organisation adaptée aux enjeux de sécurité :

  • l’Autorité Qualifiée de Sécurité des Systèmes d’Information (AQSSI) est la directrice de l’AIFE qui est assistée d’un adjoint dédié ;
  • les Responsables Sécurité des Systèmes d’Information Chorus et de l’AIFE ;
  • et l’équipe sécurité des systèmes d’information au sein de l’AIFE.

Les agents de l’AIFE aussi bien que les équipes externes travaillant pour l’agence sont incités à signaler les incidents de sécurité, mais aussi à demander l’avis des responsables de la sécurité des systèmes d’information sur la conformité d’un processus organisationnel ou technique aux pratiques de sécurité de l’AIFE (PSSI, procédures de sécurité …). Ils doivent faire de même concernant des choix technologiques qui tiennent compte à la fois des besoins métiers et des exigences de sécurité. La sécurité est ainsi présente à toutes les étapes du cycle de vie des applications du SI Chorus.

Les ministères utilisateurs

L’AIFE a souhaité que les ministères utilisateurs des briques du SI Chorus se prononcent sur le niveau de sécurité de ces systèmes.

Ainsi, c’est le Comité d’Orientation Stratégique du Système d’Information Financière de l’État (COS SIFE), instance de gouvernance rassemblant notamment tous les Directeurs des Affaires Financières des ministères et les directions réglementaires, qui est l’autorité d’homologation pour l’ensemble des briques du SI Chorus. Il se base sur les avis prononcés par la commission d’homologation, composée des FSSI des ministères, de l’adjoint à l’AQSSI de l’AIFE et du chef de projet.

En 2017, la commission d’homologation a donné un avis favorable à l’homologation des applications Chorus DT jusqu’à la fin de son service, programmé pour fin 2019. Il en a fait de même pour l’Intranet Diapason, pour une durée de 3 années.

Les données personnelles des usagers des SI Chorus

2017 est aussi l’année de la préparation à la mise en conformité avec le Règlement Général sur la Protection des Données personnelles (RGPD). Ce règlement européen entrera en application le 25 mai 2018.

Le projet de mise en conformité au RGPD, mené en liaison avec les services des ministères économiques et financiers, implique tous les services de l’AIFE.

Les grandes lignes de ce projet visent à compléter la cartographie des données à caractère personnel selon les exigences du RGPD. Il faut également établir les clauses juridiques à inclure dans les marchés et dans les appels d’offres. Les mentions d’information à l’intention des usagers du SI Chorus sont renforcées. Enfin, il faut prendre en compte le RGPD dans tous les processus liés à la conception de projet, et à l’homologation de sécurité afin d’être en conformité avec le principe du « privacy by design », ainsi que dans les PSSI de l’AIFE.

La session d’automne de sensibilisation des agents de l’AIFE à la sécurité a permis de leur présenter les enjeux du RGPD et sa prise en compte dans le cycle de vie des systèmes d’information mis en œuvre ou maintenus au sein de l’agence.

Les partenaires

L’équipe sécurité s’assure de la mise en œuvre des exigences de sécurité de l’AIFE par l’ensemble de ses partenaires et sous-traitants.

En amont, l’équipe sécurité participe à la rédaction des cahiers des charges. Elle instaure ensuite, pendant la mise en œuvre des systèmes d’information puis en phase de production, un dialogue régulier avec les partenaires et acte les choix tant techniques qu’organisationnels lors des comités de sécurité pluriannuels.