Sécurité des SI

LA SECURITE AU CŒUR DES SYSTEMES D’INFORMATION DE L’AIFE

L'AIFE se doit de mettre à la disposition de tous les utilisateurs, aussi bien ceux du secteur public (ministères, établissements publics, collectivités locales) que ceux des entreprises privées, un système d'information fiable et répondant à leurs attentes en matière de protection de l’information.

Afin de conserver leur confiance, est ainsi mise en œuvre une politique de sécurité rigoureuse.

Politiques de sécurité des systèmes d’information

L’AIFE inscrit sa politique de sécurité dans le cadre de la Politique de Sécurité des Systèmes d’Information de l’État (PSSIE) et de celle des ministères financiers dans le cadre de laquelle elle met en œuvre les standards de sécurité, à l’élaboration desquels elle participe.

Dans ce contexte, sont définies la démarche de sécurité de l’information de l’AIFE et sa déclinaison au sein des PSSI du SI interne, du SI Chorus et des applications Chorus hébergées.

A été mise en place une organisation adaptée aux enjeux majeurs de sécurité :

  • l’Autorité Qualifiée de Sécurité des Systèmes d’Information (AQSSI) est la directrice de l’AIFE qui est assistée d’un adjoint dédié ;
  • ont été désignés des Responsables Sécurité des Systèmes d’Information (RSSI) de Chorus et de l’AIFE ;
  • une équipe est dédiée à la sécurité des systèmes d’information au sein de l’AIFE.

Les agents de l’AIFE, aussi bien que les équipes externes travaillant pour elle, sont incités à signaler les incidents de sécurité, mais aussi à demander l’avis des responsables de la sécurité des systèmes d’information sur la conformité de tout processus organisationnel ou technique aux pratiques de sécurité de l’AIFE (PSSI, procédures de sécurité …). Ils doivent faire de même s’agissant des choix technologiques qui tiennent compte à la fois des besoins métiers et des exigences de sécurité. En tout, six processus sécurité sont intégrés au périmètre de la certification ISO 9001 de l’AIFE. La sécurité est présente à toutes les étapes du cycle de vie des applications du SI Chorus.

Les ministères utilisateurs

L’AIFE a souhaité que les ministères utilisateurs des briques du SI Chorus se prononcent sur le niveau de sécurité de ces systèmes.

Ainsi, c’est le Comité d’Orientation Stratégique du Système d’Information Financière de l’État (COS SIFE), instance de gouvernance rassemblant notamment tous les Directeurs des Affaires Financières des ministères et les directions réglementaires, qui est l’autorité d’homologation pour l’ensemble des briques du SI Chorus. Il se base sur les avis prononcés par la commission d’homologation, composée des FSSI des ministères, de l’adjoint à l’AQSSI de l’AIFE, du RSSI Chorus et du chef de projet.

Les données personnelles des usagers des SI Chorus

Compte tenu de l’entrée en vigueur le 25 mai 2018 du Règlement Général sur la Protection des Données personnelles (RGPD), la mise en conformité avec ce règlement a été menée en collaboration avec tous les départements de l’AIFE.

Les grandes lignes de cette démarche visaient à compléter la cartographie des données à caractère personnel selon les exigences du RGPD. Il s’agissait également de se mettre en position d’insérer les clauses juridiques nécessaires dans les marchés et dans les appels d’offres. Certaines mentions à l’intention des usagers du SI Chorus devaient être insérées pour leur information. Enfin, il a fallu prendre en compte le règlement dans tous les processus liés à la conception de projet, à l’homologation, à la gestion des incidents de sécurité ainsi que dans les PSSI de l’AIFE.

Les sessions récurrentes de sensibilisation des agents de l’AIFE à la sécurité se sont poursuivies en 2018. Elles ont permis de présenter les enjeux du RGPD et sa prise en compte dans le cycle de vie des systèmes d’information mis en œuvre ou maintenus au sein de l’agence.

Les partenaires

L’équipe sécurité s’assure de la mise en œuvre des exigences de sécurité de l’AIFE par l’ensemble de ses partenaires et sous-traitants.

En amont, l’équipe sécurité participe à la rédaction des cahiers des charges des marchés en y définissant les exigences de sécurité. Elle instaure ensuite, pendant la mise en œuvre des systèmes d’information puis en phase de production, un dialogue régulier avec les partenaires et acte les choix tant techniques qu’organisationnels lors des comités de sécurité.