Déliberation - DEL 2024 03 Annexe 01

Documents similaires

Déliberation - DEL 2024 03

Déliberation - DEL 2023 090 Annexe 02

Déliberation - DEL 2024 04 Annexe 01

Déliberation - DEL 2024 28 ANNEXE 01

Déliberation - DEL 2023 115 Annexe 02

Déliberation - DEL 2023 046 Annexe 01

Déliberation - DEL 2023 98 Annexe 01

Déliberation - DEL 2024 04 Annexe 02

Déliberation - DEL 2024 16 ANNEXE 01

Déliberation - DEL 2024 37 ANNEXE 01

Déliberation - DEL 2024 03 Annexe 01 Document publié le Lundi 29 janvier 2024 par la commune de Sillingy. Lien du pdf (Déliberation - DEL 2024 03 Annexe 01)Thèmes du document : Cybersécurité, Télécommunications et internet, Industrie, Cyber Premier Pas – Mai 2023 Page 1 / 10

Solutions de cybersécurité pour les

collectivités territoriales

Service «Cyber Premiers Pas»

Modalités et conditions administratives, techniques et

financières

Comité Syndical du SYANE du 13 octobre 2022Cyber Premier Pas – Mai 2023 Page 2 / 10

Sommaire

Sommaire__________________________________________________________________ 2

Préambule _________________________________________________________________ 3

Chapitre 1 : Dispositions générales ____________________________________________ 4

1) Objet _________________________________________________________________ 4

2) Domaine d’application __________________________________________________ 4

3) Modalités et conditions d’adhésion et de retrait _____________________________ 4

4) Entrée en vigueur ______________________________________________________ 5

5) Modification des conditions d’exercice du service Pack Cyber Premiers Pas _____ 5

6) Résiliation de l’adhésion au service _______________________________________ 5

7) Règlement des litiges ___________________________________________________ 5

Chapitre 2 : Le contenu du Pack Cyber Premier Pas _______________________________ 6

8) Contenu du module Sensibilisation et formation aux risques Cyber, notamment au phishing _________________________________________________________________ 6

9) Contenu du module Sauvegarde sécurisée et externalisée des données _________ 6

10) Contenu du module Sécurisation de la messagerie e-mail, dont l’anti-spam ____ 7

11) Contenu du module Gestionnaire et coffre-fort de mots de passe _____________ 8

Chapitre 3 : Les obligations et responsabilités des parties au service ________________ 8

12) Les obligations et responsabilités du SYANE______________________________ 8

13) Obligations et responsabilités de la Collectivité adhérente __________________ 9

Chapitre 4 : Dispositions financières __________________________________________ 10

14) Contribution financière au service Pack Cyber Premiers Pas ________________ 10

15) Cotisation financière spécifique ________________________________________ 10

16) Recouvrement des contributions financières _____________________________ 10

17) Modification des contributions financières _______________________________ 10Cyber Premier Pas – Mai 2023 Page 3 / 10

Préambule

Le SYANE dispose de la compétence « Contribution à la transition énergétique et numérique » sur l’ensemble du territoire du département de la Haute-Savoie, qui regroupe notamment les actions liées à l’article L. 1425-1 (réseaux et services locaux de communications électroniques) du Code Général des Collectivités Territoriales (C.G.C.T), et à l’article L. 1425-2 du C.G.C.T (établissement du Schéma Directeur Territorial d’Aménagement Numérique).

Dans ce cadre, le SYANE accompagne les communes et les établissements publics de coopération intercommunale (EPCI) du département sur différentes thématiques dans le domaine des usages et des services numériques pour lesquelles il existe un fort intérêt de mutualisation.

Le Syndicat est notamment la structure porteuse du Schéma Directeur Territorial d’Aménagement Numérique (SDTAN) dont le Schéma Directeur des Usages et des Services (SDUS) fait partie.

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a lancé un Appel à Projet (APP) France Relance au printemps 2022 permettant de soutenir le déploiement rapide de produits simples de cybersécurité dans les collectivités territoriales : l’ANSSI a nommé cet AAP « dispositif d’acquisition de produits et licences mutualisés au profit des collectivités territoriales ».

En sa qualité d’« Opérateur Public de Services Numériques » (OPSN), seul le SYANE pouvait y répondre pour le compte des communes (les 279 communes de Haute-Savoie moins Thonon-les-Bains) et des EPCI de notre département, dans une volonté de s’engager sur la création de nouveaux services mutualisés en matière de cybersécurité.

Le SYANE est désormais lauréat de cet AAP : cette aide conjoncturelle sur 3 ans va permettre de débuter une stratégie de cybersécurité plus globale pour l’inscrire de manière structurelle dans les bonnes pratiques numériques du territoire, avec une montée en puissance planifiée pour les cinq prochaines années.

C’est dans ce cadre que s’inscrit la mutualisation de nouveaux services numériques appelés Service « Cyber Premiers Pas ».Cyber Premier Pas – Mai 2023 Page 4 / 10

Chapitre 1 : Dispositions générales

1) Objet

L’objet du présent document est de fixer les modalités et conditions administratives, techniques et financières d’exercice du service « Cyber Premiers Pas » par le SYANE, sur le territoire des communes et EPCI à fiscalité propre du département de la Haute-Savoie qui souhaitent en bénéficier.

2) Domaine d’application

Le Syndicat propose aux communes et EPCI à fiscalité propre du département de la Haute-Savoie (ci- après dénommés « la Collectivité » ou « les Collectivités »), des solutions de cybersécurité appelées Service « Cyber Premiers Pas », décomposé en quatre modules :

1. Sensibilisation et formation aux risques Cyber notamment au phishing 2. Sauvegarde sécurisée et externalisée des données

3. Sécurisation de la messagerie e-mail, dont l’anti-spam

4. Gestionnaire et coffre-fort de mots de passe

Le Syane se réserve le droit d’augmenter le nombre de modules au cours de durée d’adhésion en fonction de l’évolution des risques cybersécurité, dans l’objectif d’accroître la maturité des collectivités territoriales sur ce sujet. Cette évolution devra toutefois faire l’objet d’une délibération du Comité Syndical.

3) Modalités et conditions d’adhésion et de retrait

Adhésion au service « Cyber Premiers Pas »

L’adhésion à ce service est réservée aux personnes morales suivantes, dont le siège est situé en Haute- Savoie :

- Communes,

- EPCI à fiscalité propre.

L’adhésion est soumise à l’approbation de l’assemblée délibérante de la Collectivité, selon ses propres règles internes. Cette décision est notifiée par courrier au SYANE, en joignant tout document justificatif permettant d’attester l’adhésion.

Le SYANE prend une délibération concordante d’intégration de la Collectivité au service.

Durée de l’adhésion

La Collectivité s’engage à adhérer au service pour une durée minimum de 4 ans, correspondant à la durée envisagée par le SYANE pour sa stratégie de cybersécurité.

A l’issue de cette durée, l’adhésion au service reste active jusqu’à ce que la Collectivité adhérente notifie au SYANE, par courrier recommandé avec accusé de réception, sa décision de retrait du service concerné.Cyber Premier Pas – Mai 2023 Page 5 / 10

Retrait du service « Cyber Premiers Pas »

A l’issue de la première période des quatre ans, chaque Collectivité adhérente peut décider de se retirer du service, après délibération de son assemblée délibérante ou suivant ses propres règles internes, suivant un préavis de 6 mois minimum. Cette décision est notifiée au SYANE, qui prend une délibération concordante de sortie de la Collectivité.

Cependant, tout engagement de la Collectivité adhérente dans le service, antérieur à sa sortie, devra être honoré jusqu’à son terme.

4) Entrée en vigueur

L’adhésion au service « Cyber Premiers Pas » entrera en vigueur à compter de la délibération de la Collectivité selon les conditions définies à l’article 3. Cette entrée en vigueur permettra à la Collectivité adhérente d’avoir accès à l’ensemble du service.

5) Modification des conditions d’exercice du service Cyber Premiers Pas

Toute modification des conditions d’exercice du service « Cyber Premiers Pas » devra recevoir l’approbation du Comité Syndical du SYANE.

Les Collectivités adhérentes seront informées de toute modification, via un représentant du Syane, par courrier et/ou par mail.

Les modifications d’ordre financier seront mises en œuvre selon les prescriptions définies à l’article 17.

6) Résiliation de l’adhésion au service

Dans l’hypothèse où une partie contreviendrait gravement aux obligations, mises à sa charge dans le cadre de cette adhésion, cette dernière pourra être résiliée par l’une ou l’autre partie, après mise en demeure restée infructueuse plus de 30 jours à compter de l’envoi par courrier électronique.

Cette résiliation ne dégagera toutefois en aucune manière la Collectivité adhérente, des engagements préalablement pris auprès du SYANE au titre des commandes qu’il lui aura passées, ni pour le versement des contributions financières telles que définies au chapitre 4.

7) Règlement des litiges

Le SYANE et les Collectivités s’engagent, en cas de litige né ou à naître à l’occasion de l’interprétation et/ou de l’exécution de la présente, à faire tous leurs efforts pour le résoudre de manière amiable.

A défaut, le litige sera soumis à l’arbitrage du tribunal administratif de Grenoble.Cyber Premier Pas – Mai 2023 Page 6 / 10

Chapitre 2 : Le contenu du Cyber Premier Pas

8) Contenu du module Sensibilisation et formation aux risques Cyber, notamment au phishing : Solution Cyber Coach

Le module Sensibilisation et formation aux risques Cyber permet à l’Adhérent d’accéder aux prestations suivantes :

- la fourniture,

- l’installation et le paramétrage,

- le maintien en conditions opérationnelles

- selon le nombre de licences désirées par la collectivité,

d’une solution permettant des actions de sensibilisation et de formation aux risques cyber, notamment au phishing, incluant, a minima :

- des envois massifs (phishing) et des envois ciblés (spear phishing) à un utilisateur ou à un groupe d’utilisateurs ou à des sous-groupes d’utilisateurs, plusieurs fois dans l’année, par l’intermédiaire de modèles de mails personnalisables et permettant une montée en complexité graduelle, - des préventions des vulnérabilités humaines,

- des simulations d’attaques réalistes,

- des contenus de formation adaptés en retour d’erreurs / de clics malencontreux, - des retours sur erreurs,

- un pilotage de la progression des utilisateurs,

- et un tableau de bord accessible par l’utilisateur destinataire de la campagne, par la collectivité et par le Syane.

- L’interface d’administration permettra au Syane (dans le cas de petites collectivités sans équipes informatiques dédiées) ou à la collectivité (dotée d’une DSI ou d’une équipe informatique dédiée) de provisionner des utilisateurs, des groupes d’utilisateurs, des sous-groupes d’utilisateurs notamment en important des listings d’adresses mails (dans un format de texte délimité par exemple) ou en se connectant à un annuaire d’entreprise.

- La campagne de mails de faux phishing doit pouvoir être personnalisable jusqu’à pouvoir la charter aux couleurs du Syane ou de la collectivité.

9) Contenu du module Sauvegarde sécurisée et externalisée des données

Le module Sauvegarde sécurisée et externalisée des données permet à l’Adhérent d’accéder aux prestations suivantes :

- la fourniture,

- l’installation et le paramétrage,

- le maintien en conditions opérationnelles

- selon le nombre de licences désirées et la volumétrie désirée par la collectivité,

d’une solution (est désignée ici par le terme « solution » l’assemblage d’un agent logiciel à déployer sur un poste utilisateur et/ou un serveur + le stockage de la sauvegarde sur un Cloud souverain + les mécanismes de tests de restauration des données + les mécanismes de restauration des données) permettant des sauvegardes chiffrées et externalisées qui s’adaptent aux volumes de données communales et intercommunales, et qui les protègent a minima :

- dans des datacenters souverains, afin de garantir la résilience des données, la continuité et la reprise d’activité des services publics locaux,

- dans des compartiments sécurisés isolant les différentes versions de sauvegardes,Cyber Premier Pas – Mai 2023 Page 7 / 10

- permettant une supervision en permanence (volume des espaces de stockage par utilisateur, sous-groupes et groupes d’utilisateurs) ainsi qu’un rapport sur l’exécution des tâches de sauvegarde,

- permettant une restauration facile de fichiers, dossiers ou machines virtuelles, quels qu’en soient le volume et la fréquence des restaurations,

- et qui permettent de réaliser des tests de restauration par la collectivité. - La solution doit permettre d’effectuer des sauvegardes complètes, incrémentales, différentielles, à chaud, de bases de données et de les planifier pour qu’elles s’exécutent de manière automatique sur tout type de plateformes (PC poste de travail, portable et serveur sous MS Windows, Mac OS et Linux)

- La solution doit être administrable dans un système de gestion centralisée. - La solution se présentera sous la forme d’un agent logiciel à installer par poste utilisateur ; une collectivité pourra commander un à n agents logiciels de sauvegardes. - L’entreprise titulaire effectuera deux tests de restauration par an sur éléments désignés par la collectivité.

- L’entreprise titulaire fournira la documentation en français des procédures permettant à un utilisateur :

o de paramétrer la sauvegarde

o de superviser la sauvegarde

o de tester régulièrement la restauration des sauvegardes

o de restaurer les données

- L’entreprise titulaire doit documenter et mettre en œuvre des mesures de protection des sauvegardes conformément aux accès consentis à l’espace de sauvegarde et au contrôle de ces accès. Cette politique des contrôles d’accès doit prévoir une revue mensuelle des traces d’accès aux sauvegardes

- L’entreprise titulaire doit documenter et sauvegarder hors-ligne la configuration de l’infrastructure technique.

10) Contenu du module Sécurisation de la messagerie e-mail, dont l’anti- spam

Le module Sécurisation de la messagerie e-mail permet à l’Adhérent d’accéder aux prestations suivantes :

- La fourniture,

- l’installation et le paramétrage,

- le maintien en conditions opérationnelles

- selon le nombre de licences désirées par la collectivité,

d’une solution de sécurisation des messageries des agents et des élus contre les cyberattaques, incluant a minima :

- un anti-virus,

- un anti-phishing,

- un anti-spearphishing,

- un anti-spam,

- la détection des anomalies et une classification des e-mails, avec envoi de rapports quotidiens sur les e-mails bloqués à l’utilisateur et à l’administrateur,

- l’analyse des liens contenus dans les e-mails,

- l’analyse des pièces jointes contenues dans les e-mails,

- une demande d’authentification envoyée au correspondant souhaitant écrire à une adresse mail de la collectivité enregistrée dans la solution et lui permettant ainsi de légitimer son identité, - la possibilité pour l’utilisateur de constituer des listes blanches et des listes noires,Cyber Premier Pas – Mai 2023 Page 8 / 10

- le tout dans des datacenters souverains,

- la gestion centralisée des paramètres de la solution.

- La solution devra être compatible avec les principales solutions de messageries du marché (MS Exchange, Microsoft 365, Google Suite / Workplace, OVH, etc.).

- l’interface d’administration permettra au Syane (dans le cas de petites collectivités sans équipes informatiques dédiées) ou à la collectivité (dotée d’une DSI ou d’une équipe informatique dédiée) de provisionner des utilisateurs, des groupes d’utilisateurs, des sous-groupes d’utilisateurs notamment en important des listings d’adresses mails (dans un format de texte délimité par exemple) ou en se connectant à un annuaire d’entreprise.

11) Contenu du module Gestionnaire et coffre-fort de mots de passe

Le module Gestionnaire et coffre-fort de mots de passe permet à l’Adhérent d’accéder aux prestations suivantes :

- la fourniture,

- l’installation et le paramétrage,

- le maintien en conditions opérationnelles

- selon le nombre de licences désirées par la collectivité,

d’une solution chiffrée de gestion et de coffre-fort de mots de passe qui permette, a minima : - de renforcer les identifiants / mots de passe des utilisateurs / des groupes d’utilisateurs (pour les cas de partages d’accès à compte unique pour certaines applications métier) en permettant de définir une stratégie de mots de passe,

- de générer des mots de passe complexes,

- de sécuriser les mots de passe dans des coffres-forts numériques centralisés, - stockée dans des datacenters souverains, avec possibilité en option pour les collectivités dotées de DSI et des ressources informatiques en propre, de choisir un hébergement on-premise, - de s’interfacer avec les principaux navigateurs web,

- de suivre la force des mots de passe,

- de séparer les mots de passe professionnels et personnels,

- de pouvoir autoriser et révoquer un compte,

- d’être utilisée quel que soit le type de matériel (mobile et bureautique), - la gestion centralisée des paramètres de la solution,

- qui permette d’avoir une supervision précise sur les utilisateurs et les groupes d’utilisateurs accédant aux ressources,

- le tout impliquant l’ensemble des utilisateurs des collectivités, agents et élus.

Chapitre 3 : Les obligations et responsabilités des

parties au service

12) Les obligations et responsabilités du SYANE

Dans le cadre du service « Cyber Premiers Pas », le SYANE s’engage à : - En tant que seul bénéficiaire, sur le territoire de la Haute-Savoie, de la subvention de l’ANSSI relative à l’acquisition de produits et licences mutualisés, le SYANE s’engage à acquérir ce typeCyber Premier Pas – Mai 2023 Page 9 / 10

de produits et de licences, pour lesquels les Collectivités bénéficieront du service par leur adhésion, telle que définie à l’article 3.

A ce titre, le Syane a conclu 4 accords-cadres à bons de commande mono-attributaires, ayant pour objets les produits et licences de cybersécurité correspondant aux 4 modules du service, notifiés en date du 12 avril 2023, et ce pour une durée d’un an, renouvelable trois fois, soit une durée maximum de quatre ans.

- Lancer périodiquement des recueils des besoins à destination des collectivités adhérentes, au cours desquels ces dernières pourront manifester, identifier et quantifier leurs besoins en matière de cybersécurité.

- Mettre à disposition des collectivités adhérentes qui auront émis un besoin, les modules correspondants, après les avoir déclenchés, par bons de commande, au travers des accords- cadres précités

- Proposer, aux collectivités adhérentes, l’accompagnement et l’assistance d’un conseiller numérique, agent du SYANE, dans la définition de leurs besoins

- Présenter un bilan annuel du service « Cyber Premiers Pas », pouvant prendre la forme d’une réunion, d’un webinaire, ou d’un document

- Fournir l’assistance de niveau 1 de chaque module, étant le point de contact unique et en établissant le premier diagnostic en cas de d’anomalies ou de dysfonctionnements des modules. L’assistance pourra être déclenchée par le biais de l’outil de gestion de tickets mis en place par le Syane, ou à défaut par téléphone ou par mail

- Faire bénéficier les collectivités adhérentes éligibles, de la part de subvention de l’ANSSI, qui sera déduite du montant global des services mis à disposition

- Il est important d’établir que les collectivités adhérentes, quand bien même bénéficiaires des produits et licences achetés, n’ont aucun lien juridique avec les entreprises titulaires de ces accords-cadres. L’exécution des accords-cadres, incluant le suivi administratif et financier, incombera donc au SYANE, y compris tout problème ou litige éventuel en découlant

- Effectuer une veille en matière de cybersécurité et faire évoluer le service en conséquence

13) Obligations et responsabilités de la Collectivité adhérente

A l’issue de son adhésion au service, la Collectivité adhérente s’engage à :

- Participer aux recueils des besoins émis par le SYANE (périodiquement, vraisemblablement deux fois dans l’année) en identifiant et en quantifiant ses besoins en matière de cybersécurité. Pour bénéficier d’une quote-part de la subvention de l’ANSSI, la collectivité devra a minima sélectionner deux modules du service « Cyber Premiers Pas »

- Bénéficier des services dont elle a manifesté les besoins, auprès du SYANE, et en contrepartie payer la cotisation spécifique à l’usage du ou des modules, déduction faite de la subvention de l’ANSSI, le cas échéant (a minima 2 modules sélectionnés pour en bénéficier)Cyber Premier Pas – Mai 2023 Page 10 / 10

Chapitre 4 : Dispositions financières

Chaque Collectivité adhérente au service Cyber Premiers Pas participe financièrement à l’exercice du service, au travers des contributions financières annuelles définies par le Comité Syndical du SYANE, et présentées ci-après.

14) Contribution financière au service Pack Cyber Premiers Pas

La contribution financière de l’Adhérent est calculée selon les modalités suivantes, en fonction de son profil :

Type d’Adhérent Montant de la contribution annuelle

Commune 0.075€/habitant

Plancher de 87.50€

Plafond de 2500€

EPCI 0.025 €/habitant

Pas de plancher ni de plafond

15) Cotisation financière spécifique à l’usage des modules

En fonction du type de modules choisis et de la volumétrie souhaitée, l’Adhérent devra également s’acquitter d’une cotisation spécifique.

La cotisation spécifique sera déterminée par le volume que permettra la mutualisation, ainsi que par l’intégration de la quote-part de subvention de l’ANSSI, le cas échéant (uniquement si la collectivité sélectionne au moins 2 modules).

16) Recouvrement des contributions financières

La contribution financière annuelle est appelée auprès de chaque Adhérent, au plus tard au cours du 1er trimestre de l’année n+1 pour l’année n.

Le SYANE émet à l’attention de chaque Adhérent un titre de recettes, que l’Adhérent s’engage à régler sous 30 jours à compter de sa réception.

17) Modification des contributions financières

Toute modification des contributions financières fait l’objet d’une délibération en Comité Syndical du SYANE.

La modification de ces contributions ne peut intervenir que pour les années suivant la délibération.

Le SYANE s’engage à informer les Adhérents de toute modification des contributions financières, au minimum 3 mois avant sa mise en œuvre.