Délibération 14-1 du Jeudi 4 avril 2019
VILLE DE ROUEN - CONSEIL MUNICIPAL - SEANCE DU 4 AVRIL 2019
RAPPORT AU CONSEIL MUNICIPAL
SYSTEMES D’INFORMATION
REFERENTIEL GENERAL DE SECURITE
CONSTITUTION DES INSTANCES DE DECISION
AUTORISATION
M. Jean-Loup GERVAISE, Adjoint,
présente le rapport suivant :
MESDAMES,
MESSIEURS,
La sécurité des Systèmes d’Information est, depuis de nombreuses années, un sujet complexe et critique pour toutes les organisations tant leurs activités se sont digitalisées. Les trois objectifs de la sécurité des systèmes d’Information sont :
- la disponibilité du Système d’Information : Dès lors que les outils et les données sont indisponibles, l’activité se dégrade voire devient impossible. Le risque principal porte sur la qualité du service public rendu, pouvant dans une commune, avoir des incidences vitales (police, Résidences de Personnes âges etc.),
- la confidentialité : Les données sensibles, et en tout premier lieu les données personnelles, sont précieuses. Une fuite peut avoir des conséquences lourdes pour les personnes concernées. Avec le R.G.P.D., la responsabilité du responsable du traitement a été renforcée. Les risques principaux sont d’ordre juridique et d’image de marque pour la ville,
- l’intégrité : Elle concerne également les données qu’il convient de ne pas altérer ou d’être en mesure de restaurer en cas de perte. Le risque principal porte également sur la qualité du service public rendu.
Les mesures techniques existent mais ne sauraient suffire. Le volet organisationnel est très important. En outre, considérant que le risque zéro n’existe pas, il convient de dimensionner ces mesures, qui peuvent s’avérer extrêmement couteuses et complexes, pour se focaliser là où les risques sont jugés les plus graves et les plus probables. Il restera probablement un risque résiduel qu’il convient d’assumer collectivement.
Longtemps, les DSI ont agi seules en matière de sécurité du SI, en se focalisant sur les moyens. Des référentiels de bonnes pratiques, construits et promus par Agence Nationale de la Sécurité des SI (A.N.S.SI.). Ils ont abouti à un corpus réglementaire et méthodologique tel que le Référentiel Général de Sécurité (R.G.S.) V2. Mais au-delà de ce cadre réglementaire qui s’impose en particulier pour tous les téléservices mis en production depuis 2014, il faut considérer cette démarche comme une opportunité de prendre la question de la sécurité sous l’angle du service rendu au citoyen par la collectivité, et des risques que l’on souhaite éviter à ces deux acteurs.
L’analyse des risques encourus est alors une expression des métiers partagée avec la D.S.I. De même, les mesures techniques sont proposées et mises en œuvre par la D.S.I. alors que chacun applique les mesures organisationnelles qui lui incombent.
Ainsi, la Ville de ROUEN, en tant qu’autorité administrative chargé d’un système d’information, doit désigner une autorité d’homologation qui devra attester formellement auprès des utilisateurs de son système d’information que celui-ci est protégé conformément aux objectifs de sécurité défini par le R.G.S.
L’autorité d’homologation sera assistée par un Comité de Suivi de la Politique de Sécurité des Systèmes d’Information (C.S.P.S.S.I.) qui sera chargé de soumettre à l’Autorité d’Homologation R.G.S. (Référentiel Général de Sécurité) une proposition d’attestation d’homologation et de se réunir en urgence afin de gérer toute situation critique en matière de sécurité du Système d’Information (sinistre, attaque, etc.). Ce comité sera également en charge de la définition et l’évolution de la Politique de Sécurité des Systèmes d’Information.
Les membres permanents de ce comité pourront être :
- Le.a Directeur.trice Général.e des Services et ses adjoints,
- Le.a Directeur.trice en charge des Systèmes d’Information de la Ville, ou son adjoint,
- Le.a Directeur.trice en charge des Ressources Humaines de la Ville, ou son adjoint,
- Le.a Directeur.trice en charge des Affaires Juridiques de la Ville, ou son adjoint,
- Le.a Directeur.trice en charge de la Communication de la Ville, ou son adjoint,
- Le responsable de la Sécurité du Système d’Information, ou, à défaut, le.a chef.fe de service en charge des infrastructures des Systèmes d’Information, ou son adjoint,
- Le.a Délégué.e à la Protection des Données,
- L’élu.e de référence en charge des Systèmes d’Information,
- L’assistant.e de la Direction en charge des Systèmes d’Information de la Ville.
Les membres invités du .C.S.P.S.S.I. pourront être :
- Le.a Directeur.trice de Cabinet,
- Le.a Directeur.trice pilote du dispositif candidat à l’homologation, ou son représentant,
- Le.a chef.fe de projet informatique du dispositif candidat à l’homologation,
- Le.a chef.fe de projet métier pilote du dispositif candidat à l’homologation,
- Un représentant des prestataires ayant contribué au dossier d’homologation ou à la mise en œuvre du dispositif candidat.
Cette liste étant indicative, M. le Maire devra arrêter la composition du C.S.P.S.S.I.
Le C.S.P.S.S.I. devra proposer à l’autorité d’homologation une décision d’homologation pour chaque dispositif qui lui sera soumis selon un ordre du jour préalablement fixé. A cette fin, il sera convoqué autant que nécessaire par le.a Directeur.trice Général.e des Services, et au moins semestriellement pour suivre l’avancement des mesures de sécurité et de la Politique de Sécurité des Systèmes d’Information. Chaque dossier sera constitué d’une description complète du sous-système d’Information concerné (finalités, acteurs, architecture), de l’expression des évènements redoutés, des scenarios de menaces, d’une étude des risques, de mesures de sécurité mise en œuvre pour y faire face, et enfin des risques résiduels.
Le secrétariat du C.S.P.S.S.I. sera assuré par l’assistant.e de la Direction en charge des Systèmes d’Information. Il établit un compte-rendu à l’issue de chaque réunion qui est soumis à l’ensemble des participants et validé in fine par le représentant de la Direction Générale des Services.
Sur la proposition du CSPSSI, l’Autorité d’Homologation peut :
- prendre la décision d’homologation pour une durée limitée (par défaut, deux ans) qui sera rendue publique,
- ajourner la décision d’homologation afin de permettre d’apporter les mesures correctives ou éclairages complémentaires sur la sécurisation du dispositif.
J'ai donc l'honneur, MESDAMES, MESSIEURS, de vous demander de bien vouloir :
1.- désigner M. le Maire comme Autorité d’Homologation de la Commune de ROUEN,
2.- autoriser M. le Maire à déléguer la signature des attestations d’homologation à la Directrice Générale des Services,
3.- créer un Comité de Suivi de la Politique de Sécurité des Systèmes d’Information (C.S.P.S.S.I.) au sein de la Commune de ROUEN pour instruire les décisions de l’Autorité d’Homologation R.G.S. (Référentiel Général de Sécurité) ainsi que la définition et l’évolution de la Politique de Sécurité des Systèmes d’Information, selon l’organisation proposée dans le présent rapport,
4.- autoriser M. le Maire à arrêter la composition du C.S.P.S.S.I.
Si les conclusions de ce rapport recueillent votre accord, je vous propose d'adopter la délibération ci-jointe.
Délibération
VILLE DE ROUEN - CONSEIL MUNICIPAL – SEANCE DU 4 AVRIL 2019
DELIBERATION DU CONSEIL MUNICIPAL
SYSTEMES D’INFORMATION
REFERENTIEL GENERAL DE SECURITE
CONSTITUTION DES INSTANCES DE DECISION
AUTORISATION
Le Conseil Municipal de la Ville de ROUEN, régulièrement convoqué par son Maire, s’est réuni en séance publique, en l’Hôtel de Ville, le jeudi 4 avril 2019.
La séance est ouverte à 18 h 10 par M. Yvon ROBERT, Maire, Président.
Sur sa proposition, M. Robert PICARD est désigné comme secrétaire de séance.
PRESENTS : M. Yvon ROBERT, Maire.
Mme Christine ARGELES (représentée par M. Yvon ROBERT jusqu’à son arrivée en séance à 20 h), M. Jean‑Michel BEREGOVOY, Mme Hélène KLEIN (représentée par M. Didier CHARTIER après son départ de la séance à 22 h 20), M. Kader CHEKHEMANI (à partir de 20 h 37), Mme Christine RAMBAUD, M. Olivier MOURET, Mme Françoise LESCONNEC, M. Bruno BERTHEUIL, Mme Caroline DUTARTE, M. Ludovic DELESQUE (représenté par M. Guy PESSIOT jusqu’à son arrivée en séance à 20 h 40), Mme Céline MILLET, M. Manuel LABBE (représenté par M. Matthieu CHARLIONET après son départ de la séance à 20 h), M. Jean‑Loup GERVAISE (à partir de 19 h 44), Mme Florence HEROUIN-LEAUTEY (représentée par M. Bruno BERTHEUIL jusqu’à son arrivée en séance à 20 h 30), M. Frédéric MARCHAND (représenté par M. Jean-Michel BEREGOVOY jusqu’à son arrivée en séance à 19 h 20), Mme Fatima EL KHILI, Adjoints au Maire.
M. Gérard LARTIGUE, Mme Emmanuèle JEANDET‑MENGUAL (représentée par M. Olivier MOURET jusqu’à son arrivée en séance à 20 h 05) , M. Guy PESSIOT, M. Pierre LECOMTE, Mme Hortense HECTOR, M. Mamadou DIALLO (à partir de 18 h 50), M. Didier CHARTIER, Mme Béatrice BOCHET, M. Christophe DUBOC, M. Matthieu CHARLIONNET (représenté par M. Manuel LABBE jusqu’à son arrivée en séance à 19 h 55), M. Cyrille MOREAU (représenté par M. Christophe DUBOC jusqu’à son arrivée en séance à 19 h 15), M. Stéphane MARTOT, Mme Chloé ARGENTIN, M. Nicolas MAYER‑ROSSIGNOL (représenté par Mme Caroline DUTARTE jusqu’à son arrivée en séance à 19 h 30), Mme Anne‑Emilie RAVACHE, Mme Laura SLIMANI (représentée par Mme Françoise LESCONNEC jusqu’à son arrivée en séance à 19 h 56), Mme Régine MARRE, M. Patrick CHABERT, M. Bruno DEVAUX (de 19 h 05 à 21 h), M. Jean‑François BURES, M. Pierre‑Antoine SPRIMONT, M. Robert PICARD, M. Jean‑François BOLLENS, M. Guillaume PENNELLE, Mme Françoise COMBES, M. Jean‑Pierre TREDET, Conseillers Municipaux.
REPRESENTES : Mme Sarah BALLUET (représentée par Mme Françoise COMBES), Adjointe au Maire.
Mme Agnès LAHARY (représentée par Mme Hortense HECTOR), M. Kader FEHIM (représenté par M. Jean-Loup GERVAISE à partir de 19 h 44), M. Djamel BOUALI (représenté par Mme Christine RAMBAUD), Mme Gwénaëlle CORNU‑LE VERN (représentée par M. Pierre LECOMTE), Mme Christine de CINTRE (représentée par M. Mamadou DIALLO à partir de 18 h 50), M. Jack DUVAL (représenté par M. Bruno DEVAUX de 19 h 05 à 21 h), Mme Geneviève FARCIS‑NOLLET (représentée par M. Jean-François BURES), Mme Anne‑Sophie DESCHAMPS (représentée par M. Patrick CHABERT), Mme Claire PRADEL (représentée par M. Guillaume PENNELLE), Mme Marlène MAMEAUX (représentée par M. Pierre-Antoine SPRIMONT), Conseillers Municipaux.
ABSENTE (excusée) : Mme Marie‑Hélène ROUX, Conseillère Municipale.
VILLE DE ROUEN - CONSEIL MUNICIPAL – SEANCE DU 4 AVRIL 2019
DELIBERATION DU CONSEIL MUNICIPAL
SYSTEMES D’INFORMATION
REFERENTIEL GENERAL DE SECURITE
CONSTITUTION DES INSTANCES DE DECISION
AUTORISATION
LE CONSEIL MUNICIPAL,
- Sur le rapport de M. Jean-Loup GERVAISE, Adjoint,
VU :
- Le Code Général des Collectivités Territoriales et notamment son article L.2121‑29,
- L’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives ou entre autorités administratives,
- Le décret 2010-112 du 2 février 2010 pris en application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005,
- L’arrêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques, et en particulier son article 2.4.
CONSIDERANT :
- Que les systèmes d’information qui entrent dans le champ de l’ordonnance du 8 décembre 2005 doivent faire l’objet, avant leur mise en service opérationnelle, d’une décision d’homologation de sécurité. Egalement dénommée «attestation formelle» (art. 5, al. 1 du décret R.G.S.), elle est prononcée par une autorité d’homologation, désignée par la ou les autorités administratives chargées du système d’information,
- L’obligation faite à la Commune de ROUEN, en tant qu’autorité administrative, de désigner une Autorité d’Homologation dont le rôle sera d’attester formellement auprès des usagers du dispositif informatisé que celui-ci est protégé conformément aux objectifs de sécurité fixés,
- Que cette décision d’homologation s’appuiera sur un dossier d’homologation. Lorsqu’elle concernera un télé service, cette décision sera rendue accessible aux usagers,
- Que l’autorité d’homologation sera assistée par un comité de suivi de la politique de sécurité des systèmes d’information.
APRES EN AVOIR DELIBERE :
1.- désigne M. le Maire comme Autorité d’Homologation de la Commune de ROUEN,
2.- autorise M. le Maire à déléguer la signature des attestations d’homologation à la Directrice Générale des Services,
3.- crée un Comité de Suivi de la Politique de Sécurité des Systèmes d’Information (C.S.P.S.S.I.) au sein de la Commune de ROUEN chargé de soumettre à l’Autorité d’Homologation R.G.S. (Référentiel Général de Sécurité) une proposition d’attestation d’homologation et de se réunir en urgence afin de gérer toute situation critique en matière de sécurité du Système d’Information (sinistre, attaque, etc.). Ce comité sera également en charge de la définition et l’évolution de la Politique de Sécurité des Systèmes d’Information,
4.- autorise M. le Maire à arrêter la composition du C.S.P.S.S.I.
La délibération est adoptée à l’unanimité.
FAIT A ROUEN, en L’HOTEL DE VILLE, les jour, mois et an susdits.
p. extrait conforme,
LE MAIRE DE ROUEN,suivent les signatures,