Offres
API
Connexion
Documents similaires
Déliberation - deploiement espace numerique de travail internet
Conseil Municipal - Charte informatique
unknown - 55 Charte informatique
unknown - Charte informatique telecom
unknown - 2021.34. PROJET DE CHARTE INFORMATIQUE
Déliberation - 12 approbation de la charte informatique
Déliberation - DM2026 017 Achat materiel securite informatique Xe
Déliberation - 2025.26 ANNEXE charte informatique
unknown - charte informatique dampniat 1
Conseil Municipal - 26 072 Charte informatique annexe
Déliberation - designation autorite dhomologation de securite informatique
Document publié le Mardi 12 juillet 2022 par la commune de Ploufragan.
Lien du pdf (Déliberation - designation autorite dhomologation de securite informatique)
Thèmes du document : Cybersécurité, Télécommunications et internet, Données personnelles,
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Département des Côtes d'Armor
Arrondissement de Saint-Brieuc
LU pe COMMUNE DE PLOUFRAGAN DELIBERATION DU CONSEIL MUNICIPAL
Ploufragan DU 12 JUILLET 2022
Convocation du 6 juillet 2022
Liste des délibérations affichée et publiée
sur internet le 15 juillet 2022
L'an deux mille vingt deux, le douze juillet, à 19h00, le Conseil Municipal de la commune de PLOUFRAGAN s'est réuni en session ordinaire, à l'hôtel de ville, après convocation légale, sous la présidence de M. Rémy MOULIN, Maire
PRESENTS : Rémy MOULIN, Christine ORAIN-GROVALET, Pascale GALLERNE, Pascal DUBRUNFAUT, Annie LABBE, Anthony DECRETON, Maryse LAURENT, Xavier BIZOT, Viviane BOULIN, Patrick COSSON, Mari COURTAS, Romuald LABARRE, Annick MOISAN, Marie-Ange LE FLANCHEC, Michel JUHEL, Gabrielle GOUEDARD, Emmanuel LE NOA, Julie LEMAIRE, Séverine TRETON, Pierre-Yves BRUNEL, David ROUALEN, Marie-Hélène PASCO, Jean-Pierre HAMON, Christophe TRONET, Paul PERSONNIC et Martial COLLET
ABSENTS : Bruno BEUZIT (donne pouvoir à Xavier BIZOT)
Maxime LE CRONC (donne pouvoir à Christine ORAIN-GROVALET)
Pierre-Jean SALAUN (donne pouvoir à Pierre-Yves BRUNEL)
Luc STRIDE (donne pouvoir à Mari COURTAS)
Céline PESTEL (donne pouvoir à Anthony DECRETON)
Pascale LABBE (donne pouvoir à Pascale GALLERNE)
Yann LE GUEDARD
SECRETAIRE DE SEANCE : Emmanuel LE NOA
Membres en exercice : 33
Présents : 26
Votants : 32
INFORMATIQUE
2022-441 DESIGNATION DE L’AUTORITE D'HOMOLOGATION DE SECURITE DES SYSTEMES D'INFORMATION DE LA VILLE DE PLOUFRAGAN
ET CREATION DE LA COMMISSION D'HOMOLOGATION DE SECURITE DES SYSTEMES D'INFORMATION DE LA VILLE DE PLOUFRAGAN
Monsieur le Maire de Ploufragan, sur proposition du Chargé de la Sécurité de lInformation de la Direction Mutualisée des Systèmes d'Information (DMSI), soumet au conseil municipal le rapport suivant :
L'essor d'internet, du nomadisme, des smartphones ou encore du cloud computing ont modifié les comportements et les usages, professionnels et personnels. L'administration a ainsi développé des services numériques aux usagers.
mis sur internet le 21 juillet 2022
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
La ville de Ploufragan s'est engagée dans cette mutation (téléservices sur internet, applications mobiles et traitement dématérialisés) faisant de son système d'information une ressource stratégique pour la délivrance de services publics.
Face à l'ensemble des exigences de sécurité au sein des administrations, l'ordonnance n°2005-1516 du 8 décembre 2008 relative aux échanges électroniques entre les usagers et l'administration et entre les autorités administratives a créé le Référentiel Général de Sécurité (RGS) qui constitue le cadre réglementaire permettant d'assurer la sécurité et d'instaurer la confiance dans les échanges au sein de l'administration et avec les citoyens.
Les conditions d'élaboration, d'approbation, de modification et de publication du RGS sont fixées par le décret n°2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance précitée. Dans ce cadre, la version 2.0 du RGS a été approuvée par l'arrêté ministériel du 13 juin 2014 et est applicable depuis le 1°" juillet 2014.
Ce référentiel fixe les règles auxquelles les systèmes d'information mis en place par les autorités administratives (collectivités territoriales et établissements publics notamment) doivent se conformer pour assurer la sécurité des informations échangées, et notamment leur confidentialité et leur intégrité, ainsi que la disponibilité et l'intégrité de ces systèmes et l'identification de leurs utilisateurs.
Il fixe ainsi, selon le niveau de sécurité requis, les règles que doivent respecter certaines fonctions contribuant à la sécurité des informations, parmi lesquelles la signature électronique, l'authentification, la confidentialité ou encore l'horodatage.
Les règles formulées dans le RGS s'imposent et sont modulées en fonction du niveau de sécurité retenu par l'autorité administrative dans le cadre de la sécurisation des services en ligne dont elle est responsable.
Le RGS impose aux autorités administratives d’homologuer leurs systèmes d’information et leurs téléservices (échanges d'informations entre Autorité Administratives ou Autorités Administratives et Usagers).
La décision d'homologation de sécurité, également dénommée « attestation formelle » est prononcée par l'autorité d'homologation, désignée par l'autorité administrative chargée du système d'information.
Cette décision, qui s'appuie sur un dossier d'homologation, atteste, au nom de l'autorité administrative, que le système d’information est protégé conformément aux objectifs de sécurités fixés et que les risques résiduels sont acceptés.
L'Agence Nationale de la Sécurité des Systèmes d’information (ANSSI) a élaboré un guide méthodologique pour aider les autorités administratives dans leur démarche d'homologation de sécurité.
Selon ce guide, les acteurs de l’homologation sont ainsi :
- autorité d'homologation,
- la commission d'homologation,
- d’autres acteurs susceptibles d'intervenir dans le processus.
Il est précisé que l'autorité d'homologation désignera un responsable du processus d'homologation qui mènera le projet d'homologation en son nom et qui, au regard du niveau de sécurité requis pour le système d’information concerné et/ou d’un besoin spécifique identifié, décidera de consulter les membres occasionnels.
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Telles sont les raisons qui nous incitent à proposer au conseil municipal de la ville de Ploufragan de prendre la délibération ci-après :
VU
Le Code Général des Collectivités Territoriales :
La loi n°2014-58 du 27 janvier 2014 de modernisation de l'action publique territoriale et d'affirmation des métropoles ;
La loi n°2015-991 du 7 août 2015 portant nouvelle organisation territoriale de la République ;
L'ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Le décret n°2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
L'arrêté ministériel du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques ;
CONSIDERANT
Que la ville de Ploufragan doit assurer la protection de ses systèmes d'information conformément au Référentiel Général de Sécurité ;
Que les téléservices de la ville de Ploufragan doivent, en application de la réglementation en vigueur, faire l’objet d'une décision d'homologation de sécurité attestant qu'ils sont protégés conformément aux objectifs de sécurité fixés et que les risques résiduels sont acceptés ;
Qu'il convient ainsi de désigner l'autorité d'homologation chargée de prononcer cette homologation de sécurité ;
Qu'il convient en outre de créer une commission d'homologation chargée, d’une part, d'assister l'autorité d'homologation pour l'instruction de l'homologation et, d'autre part, de préparer la décision d'homologation ;
Que l’homologation doit intervenir selon la procédure, jointe en annexe à la présente délibération ;
Après en avoir délibéré, le conseil municipal de la ville de Ploufragan, par vote à main levée, à l’unanimité,
- DESIGNE M. LE MAIRE en tant qu'autorité d'homologation de sécurité des systèmes d'information de la ville de Ploufragan.
Cette autorité désignera pour chaque téléservice, au sein de la direction métier concernée un responsable du processus d'homologation qui mènera le projet d'homologation en son nom.
- DÉCIDE la création d’une commission d'homologation de sécurité des systèmes d'information de la ville de Ploufragan composée des membres permanents suivants :
- le Responsable de la Sécurité des Systèmes d'Information ou son représentant ;
- le Délégué à la Protection des données ou son représentant ;
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
- le Directeur de la Direction Mutualisé des Systèmes d'Information ou son représentant.
- Le Directeur Général des Services de la commune de Ploufragan ou son représentant.
En fonction du niveau de sécurité requis pour le système d'information concerné et/ou d’un besoin spécifique identifié, le responsable du processus d'homologation, pourra compléter cette commission avec des membres occasionnels qui seront consultés, chacun en ce qui le concerne, sur le dossier d'homologation.
Ces membres occasionnels pourront être notamment des représentants d’autres directions concernées par le système d'information à homologuer, d’autres collectivités concernées, des autorités d'homologation des systèmes interconnectés ou des prestataires informatiques (hébergeur, développeur, chargé de maintenance d'applications, consultants, ...).
- AUTORISE M. LE MAIRE ou son représentant à signer les arrêtés d'homologation propres à chaque téléservice.
À Ploufragan, le 19 juillet 2022
Pour le Maire absent,
Christine ORAIN-GROVALET
L'Adjointe
C
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
PR SAINT une Date 17/06/2022 Service DMSI
PS Rauos Saint-Brieuc Auteur Anthony GUILLERM
“ Ploufragan
Homologation de sécurité
des téléservices
Procédure
PUBLIC
Version 1.0
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Page 2/21
TRAÇABILITÉ DU DOCUMENT
HISTORIQUE DES VERSIONS
N° Version
0.6
0.7
0.8
Date Prénom Nom Commentaires
31/03/2021 Anthony GUILLERM Rédaction du document
Réduction du périmètre aux seuls
Anthony GUILLERM téléservices, mise en adéquation avec la
proposition de délibération .
4,3,1 : la composition des membres
permanents de la commission
| d'homologation son identifié dans le cadre
17/06/22 | Anthony GUILLERM de l'arrêté
5.5.3 : l'arrêté d'homologation peut être
signé par un conseillé ou un DGA
03/05/22
derniére version SS-Procédure d homokigation_ des teléservices VO.8.docx Homologation de sécurité des téléservices - Procédure
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Page 3/21
Sommaire
1 Introduction A nsnennnnnnenennenennnannenenepnsansnennnenennens 5 1.1 Objet... nnenenennenenneeenneennnenenneemennennns 5
1.2 BESDIN nnnnnnrnnnerennneenernrrnearennernrnrnrrneennnnnnnrnnnrnennnneneneneenennneneneeeeneennnnnnn ennemies 5 2 Définitions sisi 6 3 Logigramme de la démarche d'homologation 7
4 CONHTIDUTEUTS id irnenenrneneenenennnnenesnnenenneennin nee 9 4.1 Autorité Administrative... is neneennnnenrenennnnnnenenenenennenens 9
4.2 L'autorité d'homologation (AH)... nine ennnenessnnns 9 4,3 LES ACHEUTS nn nnnerrrnmrrnnrrrnernrsrernnrnennnrensnsnsenrennnnnnenenenneesnnnenensnesenene es senneneeenesn ina nesnnneninnuns 10 4.3.1 La commission d'homologation... sn 10
4,3.2 La direction métier / le responsable du processus d'homologation... 10 4,3, LE RSSnninrnenenrinrnennrnreennnrennrennnennnrenenmennn een eneneenneneennnnee 10 4.3.4 Le Délégué à la protection des données (DPD/DPO) enr 11
4.3.5 Les prestataires... sn 11 4.3.6 Les systèmes interCONNECIÉS inner 11
5 Démarche d'homologation : ii nnennenneennunn 12
5.1 identification du besoin d'homologation et organisation de la démarche ss 12
5.1.1 Diagramme... sise 12 5.1.2 Identifie le besoin d'homologation d'un nouveau système où de ré-homologation / Identifie le besoin d'homologation d'un système existant ou d'une homologation en fin de validité... 12
5.1.3 Confirmer le besoin d'homologuer le téléservice........................... in 15 5,2 Analyse du risque... isiennnenneessennennnenenenennenennnnnenen 16
5,2,1 DIAgrAMME.......,............ nine 16 5.2.2 Analyse de risques SSI et Protection des données personnelles... 16 5.3 Identification des mesures de sécurité applicables à la mise en œuvre du système... 16 5.3.1 Diagramme... inner 16 5.3.2 Validation des orientations de sécurité..." ss 16 5,4 Évaluation de la sécurité du système... 17
5.4.1 Diagramme... nn 17 5,4,2 Audit de SÉCUTITÉ.... nier 17 5.5 Homologation du système et/ou validation de la feuille de route... 18 5.5.1 DIAgTAMME.................... dd inennnnnnnennnenenneneeennnns 18
55,2 Rédaction du AOSSIEF. nn nineneenoeneneunnennns 18
5,5.3 Homologation du système... snnanennnnnn 18 5,5.4 Suite de l'homologation nes 20
Index des figures
Figure 1 - Logigramme simplifié de la démarche d'homologation... 1 Figure 2 - Logigramme complet de la démarche d'homologation... 8 Figure 3 - Extrait de la synoptique d'audit « Identification du besoin d'homologation et organisation de la démarche » 12 Figure 4 - Arbre de décision «besoin d'homologation» 13
Figure 5 - Arbre de décision « audit »...............................,............. sn 15 Figure 6 - Extrait de la synoptique d'audit « Analyse du risque » 16
dernière version SSI-Procédure d homologation_des_télésenvices_ VU.8.docx Homologation de sécurité des téléservices - Procédure
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Page 4/21
Figure 7 - Extrait de la synoptique d'audit «identification des mesures de sécurité applicables à la mise en œuvre du système » teen ne nn en nn nn nee en teen nn 16 Figure 8 - Extrait de la synoptique d'audit «Évaluation de la sécurité
du SYSTÈME D... nr 17 Figure 9 - Extrait
de la synoptique d'audit «Homologation du système et/ou validation de la feuille de route » 18
vérin SSI Frxedue d Aagñton iles VGE.doc Homoiogenon de sécurité dec réiéoenicos Procédure
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Page 5/21
1 Introduction
1.1 Objet
Une homologation de sécurité est un acte formel par lequel l'autorité responsable d'un système engage sa responsabilité en
matière de gestion du risque.
Qu'il s'agisse d'une première demande ou une demande d'extension, un dossier d'homologation se prépare et s'anticipe.
Cette procédure vise donc à encadrer cette démarche au sein des systèmes informatiques sous responsabilité de Saint-
Brieuc Armor Agglomération, de la ville de Saint-Brieuc et de la Ville de Ploufragan.
Ce document décrit ainsi le protocole d'homologation d'un téléservice conformément au Référentiel Général de Sécurité
prévu par l'article 9 de l'ordonnance n°2005-1516 du 8 décembre 2005, de son décret d'application n°2010-11 2 du 2 février
2010 et de l'arrêté ministériel du 13 juin 2014 portant approbation du référentiel général de sécurité.
1.2 Besoin
Une décision d'homologation de sécurité est requise pour la mise en œuvre, le maintien ou ta modification d’un téléservice
en vue d'assurer la conformité du système au regard du Référentiel Général de Sécurité V2 ;
demiêre version SSl-Procédure_d_homologation des télésenices VO.8.docx Homologation de sécurité des téléservices . Procédure
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Page 6/21
2 Définitions
Analyse de risques : processus mis en œuvre pour comprendre la nature d'un risque et pour déterminer le niveau de risque.
Audit de sécurité : Étude des points forts et des points faibles d'un système d'information
DMSI: Direction Mutualisée des Systèmes d'Information
Téléservice : Système d'information permettant aux usagers de procéder par voie électronique à des démarches ou
formalités administratives.
RGPD : Règlement Général sur la Protection des Données
SSL: Sécurité des Systèmes d'Information
denièle version SSI-Procédure_d_ homologation _des_téléservices_VO.8.docx Homologation de sécurité des téléservices - Procédure
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Page 7/21
3 Logigramme
73, de la démarche
rs du besoin d'homologation et / | d ? homolo gation
/ organisation de la démarche
métiers RE —_——
Y mue he j
Analyse du risque /
Î
4
Mdentiication des mesures de sécurité |
‘ applicables à la mise en œuvre du
ll système
& — —
4
_ Évaluation de la sécurité du système
Homologation
donnée
pour
X années
Y
l
/ Homologation du système et/ou validatio
| de la feuille de route |
de _— __—_
Figure 1 - Logigramme simplifié de la démarche d'homologation
demiéte version SSI-Procédure_d_ homologation des téléceruces VO.8.docx Homologation de sécurité des téléservices - Procédure Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Fur — I J Auterib d'fe
Responsable d'expinitetion : du système ; î Prentekuire
LT) =
1
identiiezfion du bosoin | es
3 et omaniestion
06 la Lee à tee arr voue à rôti |
| ue
Her cetor des mesures
de sécurité spplicabion à la
ASE en Œuvre QU Système
“+ Évaluation ceia sécurré eu système
| =. É | evour NER2BON da le | | à 4 l tectie de me | | Î ; Î 1 4 st on 47 | Le tminaré
l /
Figure 2 - Logigramme complet de la démarche d'homologation
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Page 9/21
4 contributeurs
AT Autorité Administrative
Sont considérées comme autorités administratives au sens d l'Ordonnance n° 2005-1516 du 8 décembre 2005 relative aux
échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives les
administrations de L'État, les collectivités territoriales, les établissements publics à caractère administratif, les organismes
gérant des régimes de protection sociale relevant du code de la sécurité sociale et du code rural ou mentionnés aux articles
L. 223-16 et L. 351-21 du code du travail et les autres organismes chargés de la gestion d'un service public administratif
ainsi que les commissions de coordination des actions de prévention des expulsions locatives prévues à l'article 7-2 de la loi
n° 90-449 du 31 mai 1990 visant à la mise en œuvre du droit au logement.
Ainsi les autorités administratives concernées par le présent document sont :
° Saint-Brieuc Armor Agglomération ;
e La Ville de Saint-Brieuc ;
e La Ville de Ploufragan.
4.2 L'autorité d'homologation (AH)
L'autorité d'homologation est la personne physique qui, après instruction du dossier d'homologation, prononce
lhomologation de sécurité du système. C'est elle qui prend la décision d'accepter les risques résiduels identifiés sur le
système. L'autorité d'homologation doit être désignée à un niveau hiérarchique suffisant pour assumer toutes les
responsabilités. Il est donc nécessaire que l'autorité d'homologation se situe à un niveau de direction dans l'organisme.
Au sein de nos collectivités, l'autorité d'homologation est identifiée par l'intermédiaire d'une délibération propre à chaque
collectivité.
L'autorité d'homologation désigne un responsable du processus d'homologation parmi la direction métier, qui mènera le
projet d'homologation en son nom.
Lorsque le système est sous la responsabilité de plusieurs autorités, l'autorité d'homologation est désignée conjointement
par les autorités concernées.
derniére version SSI-Procédure d homolagation des télésenvises V'O.8 doc: Homologation de sécurité des téfésenvices - Procédure Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Page 10/21
4,3 Les acteurs
4.3.1 La commission d'homologation
La commission d'homologation assiste l'autorité d'homologation pour l'instruction de l'homologätion et est chargée de préparer la décision d'homologation.
En fonction des enjeux :
+ La taille et la composition de cette commission seront adaptées à la nature du système et proportionnées à ses enjeux.
+ La sollicitation de la commission sera opérée par mail ou par la tenue de réunions formelles.
Cette commission réunit les membres permanents identifiés par l'intermédiaire d'une délibération propre à chaque collectivité. Par défaut ils sont
les suivants :
° le Responsable de la Sécurité des Systèmes d'Information ou son représentant :
+ le Délégué à la Protection des Données ou son représentant ;
ele Directeur de la Direction Mutualisé des Systèmes d'Information ou son représentant.
En fonction du niveau de sécurité requis pour le système d'information concerné et/ou d'un besoin spécifique identifié, le responsable du processus d'homologation,
désigné par l'autorité d'homologation pourra compléter cette commission avec
des membres occasionnels qui seront consultés, chacun en ce qui le concerne, sur le dossier d'homologation.
La commission d'homologation est chargée de l'analyse de l'identification formelle du responsable du processus d'homologation, de l'analyse
de l'ensemble des documents versés au dossier d'homologation. Elle se prononce sur la
pertinence des livrables et peut les valider dans certains cas.
4.3.2 La direction métier / le responsable du processus d'homologation
La maîtrise d'ouvrage représente les acteurs métier et assure la bonne prise en compte des contraintes liées à l'utilisation du Système d'information. Elle
joue un rôle-clé dans plusieurs étapes de la maîtrise des risques, y compris dans les arbitrages
sur le traitement des risques.
En outre la direction métier par l'intermédiaire du responsable du processus d'homologation identifié en son sein est chargée du Suivi des plannings
d'homologation, d'accompagner le RSSI dans la constitution du dossier d'homologation et de convoquer la commission d'homologation et du secrétariat de la commission d'homologation.
43.3 Le RSSI
Le RSSI ou son représentant est impliqué dans la démarche d'homologation. || est ainsi chargé de la conduite de l'analyse de risque, de la définition de l'accompagnement
des audits et de la constitution du dossier d'homologation. Il est membre de
droit de la commission d'homologation.
dernière version SSI-Procédure_& homologation_des_téléservices_ VO.8,docx Homologation de sécurité des télésenices - Procédure
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Page 11/21
4.3.4 Le Délégué à la protection des données (DPD/DPO)
Le Délégué à la Protection des Données ou son représentant est impliqué dans la démarche d'homologation si le système
requiert une analyse d'impact relative à la protection des données (RGPD). Si c'est le cas, il est chargé de la conduite de
l'analyse d'impact relative à la protection des données. Il est membre de droit de la commission d'homologation.
4.3.5 Les prestataires
En fonction de leur statut (interne ou externe), de leur implication dans le projet et de leurs relations avec l'autorité
d'homologation, les prestataires peuvent être consultés en cas de besoin.
Ils remplissent un rôle d'assistance et produisent des livrables qui seront versés au dossier d'homologation ainsi que des
réponses aux interrogations de la commission d'homologation.
4.3.6 Les systèmes interconnectés
Les autorités d'homologation des systèmes interconnectés au système.concerné peuvent jouer un rôle dans l'homologation
et être associées à la démarche lorsque :
+ __ le système à homologuer a un impact sur leurs propres systèmes ;
+ ils émettent des avis ou des certificats qui peuvent concerner le système.
dernière version SSI-Procédure_d homologation des_téléservices VO.8.docx Homologation de sécurié des téféservices - Procédure Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
10
Page 12/21
> Démarche d'homologation :
5.1 Identification du besoin d'homologation et organisation de la
démarche
5.1.1 Diagramme
Î Acteurs de l'homologstion — _ L = pe—— RE e
L |
Autorité d' Î c | FA Es! Parpensante de Délégué à la protection | Responseb}s d'exploitation L ; © gl dt togati Syst ir 2 Gez données du système / Prestataire
{ = >: 1
= | 2 —
eme e de } ee
—
jets en | | | réa Éerure ou | SRÉMAGACE EDEN Or | | eu d'une qu em |
de étonnant, tre ln |
| | | ientification du besoin pi : | d'homologation et 5
ÿ Ï Adcntfic ia Dresance ce
| organisafion de La { Confrme le bassin dsmologrer te rétetrsice gécnées cersennehes 7 | | démarche | M mr
| | |
|! Î Ateure D bte | | pl arstasment da 24
/
Etre ; |
1
Figure 3 - Extrait de la synoptique d'audit « Identification du besoin
d'homologation et organisation de la démarche »
5.1.2 Identifie le besoin d'homologation d’un nouveau système ou de ré-homologation /
Identifie le besoin d'homologation d’un Système existant ou d’une homologation en fin de
validité
En premier lieu, deux cas d'initialisation d’une démarche d'homologation sont identifiés :
° L'un du fait de la direction métier en charge de la mise en œuvre d'un nouveau système ou de son évolution :
° L'autre du fait du RSSI pour homologuer / ré-homologuer les systèmes en activité rentrant dans le cadre du RGS
déjà en activité.
SCC Hrsialiganer te LécURé des Diecnvess Pirée
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
processus d'homologation :
Page 13/21
La maîtrise d'ouvrage peut se baser sur l'arbre de décision suivant afin d'identifier s'il est nécessaire d'enclencher le
Système à mettre en conformité
Le système est-il déjà existant?
\,
Oui \ eme come mme canine
Non
Le système est-il déja homologué?
Oui \
— . mo À
{ Î Î
æ
se
\
Le changement apporté amène t'il de
nouvelles interconnexions, de nouvelles,
\ +
tt
, fonctionnalités, une nouvelle | Le système est-il un
technologie, Un nouvel exploitant où un y EE a
‘nouveau fournisseur?
Non ou \ out | Non
| \ _
| - * me.
| Une homelogation ou réhomolagation de | |
| sécurité doït-être initiée Ë | 4 è 1
en Sn |
nn ne
D ee TT
De I
| U n'est
x
pas nécessaire de procéder à une | hamologation de sécurité i
Figure 4 - Arbre de décision «besoin d'homologation»
dernière version SSI-Procédure d_hornologatinn_ das 1éléservices VO.8.docx Homologation de sécurité des téléservices - Procédure
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Page 14/21
+ Comment savoir si mon système est un téléservice ?
Un téléservice est un système d'information permettant aux usagers de procéder par voie électronique à des
démarches ou formalités administratives. On peut donc y retrouver toute application permettant de réaliser des
démarches administratives que doit accomplir un usager pour effectuer des formalités telles que :
o paiement ;
e demande de pièces ou d'un service ;
° réservation de créneaux horaires :
e réservation d'un livre ;
+ Comment savoir si mon système est déjà homologué ?
Un référentiel des systèmes homologués sera maintenu à jour par le RSSI
dernière version SSI-Procédure d_ homologation des_téléser vices_VO,8.dücx Homologation de sécurité des télésenvices - Procédure 2.1.3
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Confirmer le besoin d’homologuer le téléservice
Pour la suite de l’homologation, la direction métier dépend le système ou le RSSI, doit :
Réunir la commission d'homologation et l'autorité d'homologation afin de :
Présenter la démarche d'homologation à la commission :
Valider le besoin d'homologation du système ;
Acter le démarrage de la procédure d'homologation ;
Identifier le responsable du processus d'homologation parmi la direction métier :
Page 15/21
Acter si un audit de sécurité doit être mené dans le cadre du projet. Pour ce faire, il sera possible de s'appuyer sur
l'arbre de décision suivant :
demière veision SSt-Pracédure_d_ homologation des_téléservices VO.8.docx Humologation de sécuïité des téléservices - Procédure Début
4
La système est) déjà sstant?
Hen lui qui c
La système cemposte-t-i plusieurs Lhoi
appications / techrotogies?
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
ra
rage 16/21
+
moigyation sst-efle
Fhomalogation Init'ate7
Î Hon ou
Len. à | .* _
4 4 |
Fr a d'un “éféruntie: de d | de laraiyse de éique | Réalisatisr de l'analyse de risque
Î 7
j ] Qui 27
| | |
Î Ï
j : |
$ L'analyse de risque met-elin Le système ent-S
accessible en avant de rouvéaux rieques ou
depiis irtarnett de rouvaller vuinérabfitées
î “ » ga
i ï ° Oui ; h
è Î | :
hon Ron
: | ; # La système est I géré par ns,
; :
un partenaire extéraurt # î
| | i |
| T ; ! i ox ip *
Ë x Î Lhemelagation peut fre pronznede
Î sans audit éompléroenteine | Î Le fumeur duititre éyaluéavacie - | |
: è { Russtiennalre sécurité Fsurnisseurs Cloud" 4 j
| EEE ne . i
:
; Pr g ,
——— ere , + Un audit srgenisabenmel
Le cahier des Re don reauérie at jou Bu de nfoema à metèrne
ui à ve un test d'intrasion ou bug Bounty annueï Un tent d'rtrunion où Bucit d'erchitecture doit être réalisé : j À charge du fumsseur d'architecture. doit Btre rénbré
Figure 5 - Arbre de décision « audit »
2.2 Analyse du risque
5.2.1 Diagramme
D ue _ Acteurs de Fhomoiogntion
Î | métier! Responsable de
Autorité d æhemologation Iresponseble du procaraus. Pa curé cu
+
LUE De Sa eé du
| 4 Béparaen * Î Analyse du risque SAT LUE :
Figure 6 - Extrait de la synoptique d'audit « A
FE SÉCHIME Je ste
; $ Délégué à ia protection d
das Gonnéez Ï du système ! Présiataire
; à
i ; j ; \ +
| pl ‘
Î Lou 1 D
| |
ss :
| TE ! ÿ io s,
| Réier en mat à lux 4 J £ Pan ee d'age à i
Matve à ds De PRECE TA ë
! ae Î
+ : i
nalyse du risque > »
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Page 17/21
5.2.2 Analyse de risques SSI et Protection des données personnelles
L'homologation de sécurité requiert une analyse de risque de sécurité qui sera réalisée sur la base de « la procédure de
gestion des risques cyber » maintenue par le RSSI et de la procédure d'analyse d'impact relative à la protection des
données maintenue par les DPO.
5.3 Identification des mesures de sécurité applicables à la mise en
œuvre du système
5.3.1 Diagramme
PU narmennene ee een man + . Acteurs da l'h Sation san ie
Direction métier / Pavponsstie cie } Déégué à m protection nm Imssponsatie c'explettation | a E L° du système / Prestataire
! " À go
Ÿ Idenlification des mesures i CAT Emme de. d.. à organise la raunion ds eu _ ET j
de sécurité applicables à la | j Î ! tan
mise en œuvre du système | | ;
me eme men y
| Autorité d'homologetion Commission lmrtise du processus. la Sécurité Gu
| |
|
| +
het" {$ Figure 7 - Extrait de la synoptique d'audit «identification des mesures de
sécurité applicables à la mise en œuvre du système »
5.3.2 Validation des orientations de sécurité
Sur des systèmes en cours de construction, à la lumière des analyses de risques, la commission d'homologation sera
convoquée afin de valider les mesures de sécurité à implémenter dès le début du projet. On notera que pour cela, le
système peut être théorique et cette démarche peut permettre d'alimenter le CCTP ou le cahier des charges.
5.4 Évaluation de la sécurité du système
9.4.1 Diagramme
Actaurs de Fhomologetion L
Bireution métier / Responsable de | Déiéqué à | un 7 Prortection Res Sable d' lotetion au le Li des Honnées Au eyetme” Énirtrl î
Î Sr
!
en es dre j
|
Évaluation de la sécurité du
système
j Î Î | | 1 3 Î }
Système »
5.4.2 Audit de sécurité
Des démarches de contrôle de la sécurité peuvent être réalisées afin de donner à l'autorité d'homologation une vision à
l'instant T des vulnérabilités applicables au système.
Le calibrage, et l'organisation d'un audit de sécurité pourront être réalisés par le RSSI si :
dernière version SSI-Pracédure d_ homologation _des_téléservices_V6.8 docy Homologation de sécurité des léléservices Procédure Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Page 18/21
l'autorité d'homologation, lors de la réunion initiale a acté la tenue d'un audit de sécurité, il
devra se tenir soit à l'issue de la mise en
œuvre du système ou d'une évolution majeure ;
l'analyse de risques à mis en évidence un besoin d'une analyse technique ou organisationnelle complémentaire validée par la commission d'homologation.
Ces démarches d'audit peuvent être de type :
+ Test d'intrusion (Action qui consiste à essayer plusieurs codes d'exploitation sur un Système d'information, afin de déterminer ceux qui donnent
des résultats positifs) ;
+ Bug bounty (programme qui offre des récompenses aux personnes qui reportent des vulnérabilités) :
* Audit organisationnel (Analyse des processus d'exploitation du système et du management de la sécurité) :
Audit d'architecture (Analyse d'un système au regard de l'état de l'art) :
Analyse d'écart (comparaison entre la situation actuelle et la situation projetée par le biais d'un référentiel).
denrière version SSI-Procédure_d_homologation_des_télésenvices VO.8.docx Homologation de sécurité des télésenvices - Procédure
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Page 19/21
°.5 Homologation du système et/ou validation de la feuille de
route
5.5.1 Diagramme
a — LL 7 acteurs de Fhomsiagetion UT D TT [. DT un Ponte de Délégué 4 la protection |Responsabis d'expiotation Anorité d' d'homologation Responsable ou | te Sécurité ton Ses données Qu Byetème / Prestatsire
done a ee annee meer DE me ae, anne ca, Lane x ruse |
Î
| [= Et k FRS el. { case À | rsser } | Homoiogslion Bu système TT
| Î |
| validation de is Fe Lee _ ... a L al ss hi |} feuitle de route
| | | in Tes ï 1/
L hasurs de sui Gas
|
|
LR J'asmensée |
| | Figure 9- Extrait de la synoptique d'audit «Homologation du système
et/ou validation de la feuille de route »
9.5.2 Rédaction du dossier
À l'issue des analyses de risques, des audits, le responsable du processus d'homologation accompagné du RSSI
composeront un dossier d'homologation complet comprenant :
e La description du système ;
e Une synthèse ;
e Les analyses de risques ;
e Les rapports d'audits
e Un avis d'homologation ;
Ce rapport sera mis à disposition de la commission d'homologation afin qu'ils puissent en prendre connaissance avant la
tenue de la réunion d'homologation.
9.5.3 Homologation du système
Le responsable du processus d'homologation sollicitera la commission d'homologation afin de revenir sur le Support de
synthèse et répondre aux interrogations restantes.
À l'issue de cet échange, chaque membre de la commission se donnera un avis consultatif qui sera consigné dans l'avis de
la commission d'homologation. Sur la base de ces avis et de son analyse propre, la, ou les Autorités d'Homologation
prendront une décision d'homologation qui sera consignée dans un arrêté qui sera signé par le maire ou le président ou via
délégation par un conseiller, le DGS ou un DGA.
dernière version SSI-Procédure_d_homologation_des_téléservices_ VO.8 docx Homologation de sécurité des iéléservices - Procédure
Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Page 20/21
Cette décision d'homologation peut être de 3 types :
Le refus d'homologation :
Si l'autorité d'homologation considère que les conditions ne sont pas réunies pour une homologation, la meilleure
Solution est de refuser l'homologation : cela implique que le téléservice ne doit pas être mis en œuvre ou qu'il doit
être désactivé.
L'homologation provisoire:
L'autorité d'homologation signe une attestation formelle autorisant la mise en service ou le maintien du système
d'information, du point de vue de la sécurité en acceptant les risques résiduels, définissant la durée de validité de
cette homologation (tous les ans par exemple) et actant le plan d'action permettant de traiter les risques résiduels,
mais intègre une clause de revoyure avant que :
de nouvelles fonctionnalités critiques ne soient ajoutées (à définir par le projet) ;
° Un nouveau palier de nombre d'utilisateurs ne soit franchi (défini à l'avance, en fonction des risques aSsOCIÉS) ;
© de nouvelles données à caractère personnel ne soient intégrées et traitées par le projet ;
sde nouvelles fonctionnalités liées à des paiements ne soient implémentées ;
° Un nouveau palier de volume de transaction ne soit dépassé :
° et bien sûr quand la date limite de l'homologation est atteinte N
Ce mode d'homologation est particulièrement pertinent sur des projets gérés en mode agile ou pour éviter un refus
d'homologation en assortissant cette homologation d'une durée courte (6 mois à 1 an), de conditions strictes et d'un
plan d'action précis, destiné à supprimer ces risques trop élevés avant la fin de cette homologation provisoire.
L'homologation ferme :
L'autorité d'homologation signe une attestation formelle autorisant la mise en service ou le maintien du système
d'information, du point de vue de la sécurité en acceptant les risques résiduels, définissant la durée de validité de
cette homologation (tous les 3 ans par exemple) et actant le plan d'action permettant de traiter les risques
résiduels,
Naturellement, cette homologation demeure valide uniquement tant que le système d'information est exploité dans
le contexte décrit dans le dossier d'homologation.
Les changements suivants doivent impliquer un réexamen du dossier, pouvant conduire à une nouvelle décision
d'homologation ou à un retrait de la décision :
° raccordement d'un nouveau site sur le système d'information |
° ajout d'une fonctionnalité majeure ;
° Succession de modifications mineures :
° réduction de l'effectif affecté à une tâche impactant la sécurité ;
° changement d'un ou de plusieurs prestataires :
demière version SSI-Procédure_d hamologation_des_téléservices VO.8.cocx Homologétion de sécurité des téléservices - Procédure Envoyé en préfecture le 20/07/2022
Reçu en préfecture le 20/07/2022
Affiché le
ID : 022-212202154-20220712-DB202212JUIL441-DE
Page 21/21
© prise de fonction d'une nouvelle autorité d'homologation ;
?_ NOn-respect d'au moins une des conditions de l'homologation :
° Changement du niveau de sensibilité des informations traitées
et, plus généralement, du niveau du risque ;
°__ évolution du statut de l'homologation des Systèmes interconnectés.
9.5.4 Suite de Phomologation
À l'issue de l'homologation,
+ Le responsable d'exploitation du système :
° Mettra en ligne la décision d'homologation attestant, au nom
de l'autorité administrative, que le système d'information est protégé
conformément aux objectifs de sécurité fixés et que les risques
résiduels sont acceptés.
e Le RSSI :
° Mettra à jour l'inventaire des solutions homologuées afin de
pouvoir organiser leurs ré homologation à l'issue de la période
actée par la commission.
e La Direction Métier :
° Mettra à jour le plan d'action afin de Suivre l'application des
mesures devant être mises en œuvre après l'homologation.
dernière version SSI Procédure. d homolgaïien des. téléserices.
VO.E.docx Homologation de sécurité des télécervices - Procédure