Une plateforme pour sécuriser les services publics en ligne

© AdobeStock

I - Une obligation de sécurité

Cette plateforme répond à des obligations légales. L’ordonnance n° 2005-1516 du 8 décembre 2005 oblige ainsi toutes les administrations à sécuriser leurs téléservices, entendus comme toutes les démarches et formalités administratives en ligne (état civil, élections, urbanisme…). Celles-ci doivent être «homologuées » au titre du référentiel général de sécurité (RGS).

L’homologation était jusqu’alors assez complexe et, de fait, réservée à des structures dotées des compétences pour la mener à bien. Le règlement européen sur la protection des données (RGPD) oblige par ailleurs, depuis mai 2018, les administrations à assurer la protection des données personnelles qu’elles traitent, sous peine de sanctions.
 

II - Une plateforme accessible à tous

« MonServiceSécurisé » vise à simplifier l’homologation et à étendre le périmètre des services couverts. Les services déployés, en développement comme en projet, peuvent être homologués. Un formulaire d’abonnement à une newsletter, l’inscription d’un enfant à la cantine ou au centre de loisirs, une billetterie en ligne, la réservation d’une salle, une application mobile de signalement…, tous les services en ligne aux usagers sont éligibles à «MonServiceSécurisé ».

La plateforme ne s’adresse pas qu’aux spécialistes de la cybersécurité mais à tous les agents gérant un site ou une application mobile. Un mode collaboratif permet de déléguer et de faire collaborer toutes les parties prenantes (directeur de systèmes d’information, directions métiers, chefs de projet).
 

III - Une sécurisation pas à pas

Sur la plateforme, les collectivités doivent d’abord décrire leur service. En fonction de sa nature, leur est soumis une série de questions pour évaluer les risques et la robustesse du service. Parmi les points abordés, les habilitations, la gestion des mises à jour, la protection des données traitées, l’information des usagers…

Pour chacun d’entre eux, il s’agira d’indiquer si c’est « fait », « en cours » ou « non fait ». À partir de cet état des lieux, la plateforme adresse à la collectivité une liste personnalisée de mesures de sécurité à mettre en œuvre. Elle calcule un « indice cyber » de 1 à 5.

Si le service a un score inférieur à 1, il ne sera pas homologué. Plus le score sera élevé, plus longue sera la durée de validité de l’homologation, pour un maximum de trois ans. En fin de parcours, la collectivité se voit remettre une attestation précisant l’indice cyber et la durée de l’homologation.
 

IV - Prestataires internet sous contrôle

Accessible gratuitement, la plateforme est réservée aux agents publics mais les administrations peuvent mandater leur prestataire pour réaliser la ­procédure d’homologation. De fait, beaucoup de services en ligne sont conçus et opérés par des ­éditeurs ou des prestataires internet.

La plateforme va cependant conférer aux collectivités la possibilité de mieux les contrôler en imposant à ces derniers d’apporter la preuve que leur service est bel et bien sécurisé. Le responsable des traitements, tel que le maire, reste en effet destinataire du rapport final de la plateforme qui précise son niveau de sécurité mais aussi les éventuels points à améliorer.

En cas de fuite de données sensibles et de contrôle de la Commission nationale de l’informatique et des libertés (Cnil), ces documents permettront aussi de clarifier les responsabilités. 
 

Suivez Maires de France sur Twitter: @Maires_deFrance