Ok

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. Ces derniers assurent le bon fonctionnement de nos services. En savoir plus.

ministere

  • La sécurité informatique des ministères ...

    En juillet dernier bien avant les recentes attaques informatiques contre Bercy et l'Elysée j'ai interrogé tous les ministres, par le biais d'une Question Ecrite (QE), sur les mesures prises pour assurer la sécurité informatique de leur ministère.

    La question était courte mais précise :

    "M. Lionel Tardy demande à M. le ministre XXX de lui donner des indications sur les mesures de sécurité informatique prises dans son ministère, afin d'éviter les intrusions extérieures et les vols de données numériques. Il souhaite savoir s'il fait appel, pour ces missions, à des prestataires extérieurs, ainsi que le coût de ces prestations en 2009. Il souhaite enfin connaître les mesures qu'il entend prendre pour mettre en oeuvre les règles de sécurité du référentiel général de sécurité du 6 mai 2010".

    J'ai eu un certain nombre de réponses, souvent longues et détaillées :

    J'attend encore la réponse des ministères de l'Intérieur, de l'Education nationale et du cabinet du Premier Ministre.

    Je ne peux pas m'empêcher de vous livrer, in extenso, la réponse de Bercy qui date du 12 octobre 2010 :

    "Dans les ministères économique et financier, le haut fonctionnaire de défense et de sécurité « anime la politique de sécurité des systèmes d'information (SSI) et en contrôle l'application ».

    Cette politique est mise en oeuvre par la délégation aux systèmes d'information du secrétaire général, chargée de coordonner l'action des directions en matière de systèmes d'information et qui mène également des actions transversales cohérentes et structurantes et par les directions des ministères, responsables de la sécurité de leurs systèmes d'information (SI). Pour la SSI, et conformément à la réglementation, chaque directeur est assisté d'une « autorité qualifiée pour la SSI (AQSSI) ».

    Les AQSSI veillent à ce que : un réseau de personnes de confiance et compétentes en SSI soit déployé dans sa direction pour conseiller les autorités hiérarchiques (administration centrale et services déconcentrés) ; soient tenues à jour les listes des informations et des applications sensibles et que pour chacune soit désigné un « acteur responsable » chargé d'en déterminer la sensibilité, les niveaux de risque acceptables, les personnes (ou les fonctions) y ayant accès et avec quels droits.

    En outre, les AQSSI élaborent et font approuver par leur hiérarchie la politique de SSI (PSSI) de leur direction, déclinaison de la PSSI ministérielle ; elles se prononcent sur les mesures de sécurité, non techniques et techniques, proposées par les maîtrises d'ouvrages des applications pour protéger les informations sensibles et sur les risques résiduels qu'elles laissent subsister ; elles organisent l'homologation des systèmes, qu'ils entrent ou non dans le champ du référentiel général de sécurité (RGS). Enfin elles organisent la sensibilisation des personnels de leur direction.

    En tout état de cause, et comme le prescrivent aussi bien la réglementation et la PSSI ministérielle qui en découle, la SSI des ministères économique et financier est une préoccupation prise en compte dans les actions menées par les directions dans la construction et l'exploitation de leurs systèmes d'information.

    Toutefois, le renforcement de la SSI de l'ensemble de nos ministères exige également des actions transversales cohérentes et structurantes afin qu'il n'y ait pas entre les directions des niveaux de sécurité trop hétérogènes. En outre, la mutualisation de certaines mesures permet d'obtenir des économies d'échelle non négligeables. Pour atteindre ces objectifs et pour assurer l'efficacité de la démarche prévue par l'Agence nationale pour le SSI (ANSSI), les axes de travail porteront sur ces principaux chantiers : la mise en oeuvre d'une procédure adaptée aux environnements des ministères économique et financier pour l'homologation des SI ; la mise en conformité des infrastructures de gestion de clés mise en oeuvre au sein de nos ministères.

    Les mesures techniques de sécurité appliquées par les directions des ministères économique et financier sont à l'état de l'art : défense périmétrique (pare-feux et dispositifs de filtrage de contenu et de décontamination de la messagerie et des accès Internet), surveillance active des tentatives d'intrusion ; surveillance des interconnexions et des flux circulant sur les réseaux internes ; défense en profondeur, notamment sur les postes de travail (antivirus ...) sécurisation des applications (études amont et audits de sécurité, tests de vulnérabilité ...), les points d'attention portant notamment sur le niveau de sensibilité des données, le contrôle d'accès aux données, la sécurisation des accès logiques et la sécurisation des accès physiques ; sensibilisation et formation des personnels (à l'aide, notamment, de modules d'autoformation en ligne).

    Le comportement de la plupart des agents est prudent et, comme le leur demande la PSSI, ils signalent assez spontanément, en général, les incidents qu'ils constatent. Des difficultés subsistent cependant, qui ne sont d'ailleurs pas propres aux ministères économique et financier, quand certaines catégories de personnels doivent être équipées de matériels ou de logiciels dont il n'a pas été possible de vérifier l'innocuité. Ce constat n'a pas échappé à I'ANSSI lors de l'inspection de la SSI des ministères qu'elle a conduite il y a quelques années, inspection dont les recommandations ont été appliquées.

    Le montant du recours aux prestataires spécialisés en SSI peut être évalué s'agissant du ministère du budget, des comptes publics et de la réforme de l'État à 7,5 MEUR environ en 2009, ces prestations portant tant sur des études et audits de sécurité que sur la conception et la réalisation des infrastructures de sécurité du ministère.

    Le référentiel général de sécurité (RGS) fixe les règles pour suivre une démarche globale de sécurisation de ces SI pour assurer la cohérence d'ensemble du dispositif de sécurité. Cette démarche rend obligatoires les bonnes pratiques et recommandations publiées de longue date par l'ANSSI et largement reprises dans la PSSI ministérielle ; elle prévoit : d'identifier les risques et de déterminer les besoins de SSI ; d'adapter la SSI selon les enjeux et les besoins de sécurité des ministères économique et financier afin d'y consacrer les moyens financiers et humains adaptés ; d'élaborer une politique de sécurité au niveau ministériel pour partager la vision stratégique de la SSI et la décliner pour une mise en oeuvre opérationnelle au niveau directionnel ; d'utiliser les produits et prestataires labellisés par l'ANSSI, attestant ainsi du respect des exigences du RGS ; viser une amélioration continue de la SSI permettant d'assurer l'efficacité du système de sécurité face à l'évolution des menaces.

    La mise en place d'un processus d'homologation est rendue obligatoire par décret et précisé dans l'arrêté RGS pour l'ensemble des SI présents au sein de l'administration. L'organisation et la mise en oeuvre de ce processus reste limitée au niveau de l'autorité administrative. Pour apporter les éclaircissements nécessaires et ainsi favoriser l'application de ces exigences dans les délais prévus par le RGS, soit le 6 mai 2011 pour les nouveaux systèmes et le 6 mai 2013 pour les systèmes existants, une réflexion est en cours pour définir une procédure d'homologation générique qui puisse s'adapter aux étapes et acteurs de l'essentiel des projets réalisés au sein des ministères économique et financier, certains systèmes exceptionnels par leur taille et leur complexité, existants, déjà partiellement en service ou encore en développement nécessiteront probablement des réflexions spécifiques.

    En tout état de cause, l'homologation sera systématiquement effectuée pour les nouveaux projets, à compter du 6 mai 2011. Pour le stock existant d'échanges électroniques entre administrations et avec les usagers, elle sera effectuée progressivement en respectant les contraintes calendaires fixées par le RGS pour obtenir une mise en conformité au plus tard pour le début du mois de mai 2013. La direction des SI (DSI) a mis en place dès 2001 une infrastructure de gestion de clés qui permet à toutes les directions des ministères économique et financier de pouvoir coexister dans un espace commun de confiance sans devoir définir des mesures de protection à l'égard les unes des autres. Dès aujourd'hui tous les serveurs de télé-procédures des ministères, indépendamment de leur appartenance directionnelle sont dotés de certificats qui les identifient sur Internet et qui assurent la confidentialité des transactions.

    L'informatique de gestion et de communication (IGC) ministérielle organise en outre un service de filialisation proposé aux directions des ministères économique et financier qui souhaitent mettre en place I'IGC pour leurs propres besoins. Les règles fixées par le RGS relatives à la mise en oeuvre des infrastructures de gestion de clés doivent permettre, pour l'essentiel : l'établissement d'un ou plusieurs niveaux de sécurité des certificats électroniques adapté aux besoins des applications utilisatrices ; l'utilisation de produits de sécurité référencés pour l'authentification des agents dans les SI mis en oeuvre ; la validation des certificats par l'État.

    La mise en oeuvre de la politique de référencement des produits de sécurité est d'ores et déjà engagée par la direction générale de la modernisation de l'État (DGME) en liaison avec les ministères les plus concernés, dont les ministères économique et financier, et en coordination avec l'ANSSI en charge des phases amont de qualification des produits de sécurité. Afin de répondre à l'exigence de validation des certificats par l'État, qui vise à garantir l'authenticité d'un certificat électronique issu de l'administration, l'IGC ministérielle a conduit, par anticipation, en 2008 une démarche vis-à-vis de I'IGC de l'administration (IGC-A) gérée par l'ANSSI afin d'être reconnue dans la chaîne de confiance de l'administration française, chaîne dont l'IGC-A est le point d'entrée. Néanmoins, la validation des certificats par l'État reste partielle pour l'existant des ministères économique et financier.

    Certaines IGC directionnelles restant à filialiser pour être reconnues dans la chaîne de confiance de l'administration française. En amont de cette étape, et pour répondre à l'obligation de mise en oeuvre du RGS, d'autres travaux viseront à : valider les mises à jour, auprès des directions utilisatrices des certificats émis, des politiques de l'IGC ministérielle de façon à en limiter les impacts sur les applications ; programmer les évolutions des systèmes ; anticiper la qualification des IGC et le référencement des certificats d'authentification qu'elles émettent. Ces différentes tâches se poursuivront au cours des trois prochaines années.

    ... bref une réponse très technocratique ... que je vous laisse analyser en détail à la lumière des évènements récents.

  • Coût de communication des sites internet des ministères

    Vu sur le site www.pcinpact.com :

    Depuis plusieurs mois, le député Lionel Tardy interroge chaque ministère pour connaître les coûts de communication de leur site internet.

     A chaque fois, la question est identique :

    « M. Lionel Tardy demande à M. le Premier ministre de lui donner des indications sur les dépenses de communication sur Internet engagées par ses services. Il souhaite notamment connaître le montant, pour 2009, des dépenses destinées à accroître la visibilité de la communication institutionnelle de son ministère sur Internet, comme par exemple l'achat de mots clés ou l'utilisation d'autres techniques destinées à améliorer le référencement sur les moteurs de recherche »

    Plusieurs ministères ont déjà répondu, plus ou moins complètement. Voici les premiers éléments de réponse pour 2009.

    Premier ministre (
    la réponse) Total annoncé : 1,02 million d’euros  

    • 88 000 euros référencement de gouvernement.fr
    • 242 000 euros référencement de pandemie-grippale.gouv.fr
    • 12 000 euros promotion de Gouvernement.fr (via E-regie, régie internet gouvernementale)
    • 69 000 euros référencement de journalofficiel.gouv.fr, Legifrance.gouv.fr, boamp.fr, bodacc.fr, circulaires.gouv.fr, info-financière.fr, Ladocumentationfrançaise.fr, service-public.fr, vie-publique.fr et formation-publique.fr
    • 55 000 euros pour Boamp.fr
    • 335 000 euros pour bodacc.fr (promotion presse écrite et web).
    • 228 000 euros pour Service-public.fr (dont promotion radiophonique). Sommes payées en 2009 pour une campagne organisée fin 2008.

    Ministère de la Justice (la réponse) Total annoncé : 29 000 euros

    Du côté de la Chancellerie, les sites ont été développés en interne rendant difficile le décompte.

    • 24 000 euros achats d’espace pub (pour la seule valorisation des classes préparatoires des écoles de la justice)
    • 5 000 euros autres actions de communication (non détaillées)

    « Des achats d'espace peuvent être aussi effectués par les directions lors de campagnes de recrutement, notamment pour les surveillants pénitentiaires. »


    Écologie (la réponse) Total annoncé : 108 842 euros

    • 102 842 euros Refonte du site (initiée en 2008, des milliers de pages…) www.développement-durable.gouv.fr

    « En ce qui concerne la visibilité du site, le MEEDDM s'appuie principalement sur la mobilisation du réseau (services déconcentrés, établissements publics, partenaires), pour créer une dynamique de liens entrants et sur une stratégie éditoriale et de développement, pour optimiser le référencement naturel des contenus. » Le ministère précise qu’il peut « avoir recours au référencement payant pour accroître la visibilité des sites événementiels » mais ne détaille pas.


    Défense (la réponse) Total annoncé : 380 000 euros

    • 320 000 euros Fonctionnement, hébergement, maintenance, animation de defense.gouv.fr
    • 30 000 euros Campagnes ponctuelles d’achat de mots-clés (du 15 juin au 14 juillet 2009)
    • 30 000 euros Opération de communication sur le recrutement, mises en place sur les sous-sites Internet des armées et du service de santé des armées

    Enseignement supérieur et recherche (la réponse) Total annoncé : 567 815,01 euros

    • 567 815 euros  Dépenses de communication sur Internet

    Dont :

    • 347 136 euros consacrés à la maîtrise d'ouvrage, à la réalisation et au développement des sites internet du ministère (www.enseignementsup-recherche.gouv.fr, www.etudiant.gouv.fr, www.nouvelleuniversite.gouv.fr).
    • 2209 euros pour l'achat de mots clés et bannières web

    Éducation nationale (la réponse) Total annoncé : 1 244 386,17 euros

    • 1 244 386,17  euros de budget total en 2009 au titre de la communication sur Internet,

    Dont :

    • 434 064,03 euros sur l'achat de mots clés, l'achat de bannières web ainsi que les reportages et entretiens vidéo mis en ligne sur la WebTV et la chaîne Dailymotion du ministère.

    Le ministère précise que Education.gouv.fr est le premier site ministériel et le quatrième site gouvernemental en terme d'audience derrière www.impôts.gouv.fr, www.service-public.fr et www.legifrance.gouv.fr. Chaque mois, près de 2,5 millions d'internautes en moyenne visitent le site et consultent plus de 11 millions de pages...

    Intérieur, outre-mer et collectivités territoriales (
    la réponse) Total annoncé : 13 950 euros

    • 13 950 euros pour accroître la visibilité de la communication institutionnelle du site Internet de la délégation à l'information et à la communication du secrétariat général du ministère de l'Intérieur, de l'outre-mer et des collectivités territoriales,

    Dont : 

    • 450 euros pour l'ouverture d'une photothèque en ligne, sur le site flickr.fr, achat de noms de domaine pour le site dédié à la réforme des collectivités territoriales, nommé www.laréformedescollectivites et doté des extensions.fr/, .com/, .eu/, .net/, et.org/, pour respectivement 220 euros et 230 euros.

    Espace rural et aménagement du territoire (la réponse) Total annoncé : 273 132 euros

    Les dépenses de communication sur Internet effectuées par la DATAR s'élèvent pour 2009 à 401 840 EUR en autorisations d'engagement et à 273 132 EUR en crédits de paiement.

    Ces montants recouvrent l'ensemble des sites développés par la DATAR (datar.gouv.fr ; competitivite.gouv.fr ; poles-excellence-rurale.gouv.fr ; territoires.gouv.fr ; cper.net et bop-datar.net ; SIME MUT ECO et grappes d'entreprises.gouv.fr) ainsi qu'un site géré pour le compte du MERAT (assises-territoires-ruraux.gouv.fr).

    Alimentation, agriculture et pêche (
    la réponse) Total annoncé : 137 513,80 euros
     

    • 137 513,80 euros de Communication institutionnelle sur Internet

    Dont :

    • 91 134 euros Marché relatif à la mise en ligne des vidéos de la WebTV
    • 18 489 euros Hébergement du site Parlonsagriculture

    formations des services départementaux à la technologie Agrispip (technologie utilisée pour 4 829,52 euros développer les sites internet et intranet des services du MAAP) 

    • 5 239,48 euros dépôt de noms de domaine
    • 17 820,40 euros Cartographie du web alimentation/agriculture/pêche (prestation en cours de réalisation) engagée sur le budget 2009

    Le total à ce jour dépasse les 3,5 millions d’euros.

    Le chiffre est à prendre avec des pincettes puisque d’une part, tous les postes budgétaires n’ont pas été communiqués et d’autre part, ces données sont intermédiaires : on attend toujours les indications financières d’autres ministères interrogés, comme celui du Travail, de la Santé, de la Prospective, de l’Immigration, de l’Économie, du Budget et des Affaires étrangères, ou de la Culture. Nous mettrons à jour cette actualité au fil des retours des ministères.

  • Journée de la Sécurité Intérieure à ANNECY

    La Journée de la Sécurité Intérieure (JSI), qui s'est tenue pour la première fois le 18 octobre 2008, a rencontré un vif succès.

    Le Ministre de l'Intérieur, de l'Outre-Mer et des Collectivités Territoriales a souhaité reconduire cette manifestation en 2009.

    Cette journée a été l'occasion de présenter au public les missions, les métiers et les moyens du ministère dans le domaine de la sécurité en montrant l'unité et la complémentarité de ses composantes :

    • police
    • gendarmerie
    • sécurité civile
    • préfecture

    La JSI s'inscrit dans la continuité de la thématique "la sécurité, une responsabilité partagée".

    De nombreux ateliers d'animations ont permis la participation du public, les faisant ainsi devenir des acteurs de leur sécurité.

    P10407261.JPG
    P10407311.JPG
    P10407341.JPG