Le magazine des maires et présidents d'intercommunalité
Maires de France


Pratique
05/09/2023
Numérique, réseaux sociaux

Une plateforme pour sécuriser les services publics en ligne

Lancée en 2022, la plateforme « MonServiceSécurisé » concerne les sites web, applications mobile et interfaces de programmation (API) des collectivités.

Par Olivier Devillers
Illustration
© AdobeStock
La numérisation des services aux usagers accroît la vulnérabilité des collectivités aux cyberattaques. Une évolution qui a conduit l’Agence nationale de la sécurité des systèmes d’information (Anssi) à concevoir la plateforme « MonServiceSécurisé » pour les aider gratuitement à colmater les brèches et à limiter les risques. Car une intrusion sur un site ou un téléservice, c’est potentiellement une fuite de données sensibles, voire la première étape d’une attaque plus dévastatrice, du type rançongiciel.
 

I - Une obligation de sécurité

Cette plateforme répond à des obligations légales. L’ordonnance n° 2005-1516 du 8 décembre 2005 oblige ainsi toutes les administrations à sécuriser leurs téléservices, entendus comme toutes les démarches et formalités administratives en ligne (état civil, élections, urbanisme…). Celles-ci doivent être «homologuées » au titre du référentiel général de sécurité (RGS).

L’homologation était jusqu’alors assez complexe et, de fait, réservée à des structures dotées des compétences pour la mener à bien. Le règlement européen sur la protection des données (RGPD) oblige par ailleurs, depuis mai 2018, les administrations à assurer la protection des données personnelles qu’elles traitent, sous peine de sanctions.
 

II - Une plateforme accessible à tous

« MonServiceSécurisé » vise à simplifier l’homologation et à étendre le périmètre des services couverts. Les services déployés, en développement comme en projet, peuvent être homologués. Un formulaire d’abonnement à une newsletter, l’inscription d’un enfant à la cantine ou au centre de loisirs, une billetterie en ligne, la réservation d’une salle, une application mobile de signalement…, tous les services en ligne aux usagers sont éligibles à «MonServiceSécurisé ».

La plateforme ne s’adresse pas qu’aux spécialistes de la cybersécurité mais à tous les agents gérant un site ou une application mobile. Un mode collaboratif permet de déléguer et de faire collaborer toutes les parties prenantes (directeur de systèmes d’information, directions métiers, chefs de projet).
 

III - Une sécurisation pas à pas

Sur la plateforme, les collectivités doivent d’abord décrire leur service. En fonction de sa nature, leur est soumis une série de questions pour évaluer les risques et la robustesse du service. Parmi les points abordés, les habilitations, la gestion des mises à jour, la protection des données traitées, l’information des usagers…

Pour chacun d’entre eux, il s’agira d’indiquer si c’est « fait », « en cours » ou « non fait ». À partir de cet état des lieux, la plateforme adresse à la collectivité une liste personnalisée de mesures de sécurité à mettre en œuvre. Elle calcule un « indice cyber » de 1 à 5.

Si le service a un score inférieur à 1, il ne sera pas homologué. Plus le score sera élevé, plus longue sera la durée de validité de l’homologation, pour un maximum de trois ans. En fin de parcours, la collectivité se voit remettre une attestation précisant l’indice cyber et la durée de l’homologation.
 

IV - Prestataires internet sous contrôle

Accessible gratuitement, la plateforme est réservée aux agents publics mais les administrations peuvent mandater leur prestataire pour réaliser la ­procédure d’homologation. De fait, beaucoup de services en ligne sont conçus et opérés par des ­éditeurs ou des prestataires internet.

La plateforme va cependant conférer aux collectivités la possibilité de mieux les contrôler en imposant à ces derniers d’apporter la preuve que leur service est bel et bien sécurisé. Le responsable des traitements, tel que le maire, reste en effet destinataire du rapport final de la plateforme qui précise son niveau de sécurité mais aussi les éventuels points à améliorer.

En cas de fuite de données sensibles et de contrôle de la Commission nationale de l’informatique et des libertés (Cnil), ces documents permettront aussi de clarifier les responsabilités. 
 

1 198 services homologués
« MonServiceSécurisé » a été lancé par l’Anssi, mi-2022, dans le cadre de sa stratégie d’appui aux collectivités pour améliorer leur résilience face aux cyberattaques. La plateforme a été conçue en «mode agile » et ­testée dans plusieurs territoires avant d’être déployée à l’échelle nationale. Elle comptait, en juillet 2023, plus de 2 300 utilisateurs et 1 198 services homologués. La plateforme fait l’objet d’améliorations régulières. Elle va par exemple faciliter une validation de services «par lot » pour éviter aux utilisateurs de ­ressaisir toutes les données pour des téléservices similaires. 

Suivez Maires de France sur Twitter: @Maires_deFrance


Raccourci : mairesdefrance.com/2248
Couverture

Cet article a été publié dans l'édition :

n°414 - JUILLET-AOUT 2023
Retrouver tous les articles de ce numéro :
Les offres d’abonnement
Toutes les éditions

Lire le magazine

NOVEMBRE 2023 N°417


class="couleur">
105e Congrès 2023

class="couleur1">
Finances locales 2024

class="couleur">
Cybersécurité

Dossiers d'actualité


Logo

Maires de France est le magazine de référence des maires et élus locaux. Chaque mois, il vous permet de décrypter l'actualité, de partager vos solutions de gestion et vous accompagne dans l'exercice de votre mandat. Son site Internet, mairesdefrance.com, vous permet d’accéder à toute l'information dont vous avez besoin, où vous voulez, quand vous voulez et sur le support de votre choix (ordinateur, tablette, smartphone, ...).