La sécurisation des téléservices publics à l'heure du passage à l'échelle
Opérationnelle depuis cinq mois, la plateforme d'homologation de services en ligne monservicesecurise compte 1.200 utilisateurs. En accueillant les éditeurs mandatés par les collectivités, la startup d'État de l'Anssi espère aussi toucher les petites communes.
Les sites internet des collectivités restent particulièrement exposés aux cyberattaques, avec un risque important de compromission de données personnelles dès lors qu’ils proposent des formulaires. Un constat qui a conduit l'Anssi à lancer monservicesécurisé, une startup incubée par beta.gouv.fr chargée de créer et d'animer une plateforme proposant un accompagnement de bout en bout des administrations publiques voulant sécuriser leurs téléservices.
Pas besoin d'être RSSI
Monservicesecurise compte aujourd’hui une équipe de 7 personnes chargées d’animer la plateforme et d’accompagner ses utilisateurs. "Le service est gratuit et ouvert à toutes les collectivités, qu’elles disposent ou non d’un responsable de la sécurité des systèmes d’information (RSSI)", a précisé Antoine Dupuy chargé de déploiement à l'occasion d'un webinaire de présentation le 9 février 2023. Si la plateforme est réservée aux agents publics, elle peut aussi être utilisée par des prestataires mandatés par les collectivités. Une ouverture destinée à favoriser la démocratisation de l’homologation de téléservices.
Site, application et API
La plateforme donne la possibilité d’homologuer un site internet, une application mobile ou une API (connecteur à une base de données). Son champ d'intervention ne s’arrête pas aux téléservices soumis à homologation (obligatoire) au sens de l’ordonnance 2005-1516. Il concerne aussi les formulaires et autres services traitant des données personnelles, que le RGPD impose de sécuriser. Son champ d’application est donc très large : formulaire de réservation de livres à la bibliothèque, inscription à une newsletter, téléservice de paiement du centre de loisir, plateforme de consultation des citoyens…
Indice cyber de 0 à 5
Tout service, qu’il soit existant, en cours de développement ou en projet, peut être soumis à la plateforme. Concrètement, les collectivités doivent répondre à une liste de questions personnalisées en fonction des caractéristiques du service décrites préalablement. Quatre thématiques sont abordées :
- gouvernance,
- protection,
- défense
- et résilience.
Protection des données, tests d’intrusion, gestion des mises à jour de sécurité, information des usagers… en fonction des réponses apportées (fait, en cours, non fait) le service se voit attribuer un "indice cyber" de 0 à 5 ouvrant droit à homologation. Avec un score inférieur à 1, le service ne sera pas homologué et plus le score est élevé, plus longue sera la durée de validité de l’homologation, pour un maximum de 3 ans.
Une preuve d'homologation
Cette homologation fait l’objet d’un relevé téléchargeable qui détaille les points contrôlés et ceux qui restent à améliorer. Il peut notamment être transmis par la collectivité au prestataire qui a conçu le service. "Ainsi un éditeur ne peut plus se contenter d’affirmer que son service est sûr, il doit le prouver", souligne Antoine Dupuy. Ouvert il y a cinq mois, le service compte 1.200 utilisateurs et près de 700 services faisant l’objet d’une homologation. Parmi eux, des régions, des métropoles et des communes. Pour ces dernières, la startup d’Etat compte cependant beaucoup sur l’ouverture du service aux prestataires mandatés et potentiellement sur les préfectures, l’une d’entre elle ayant déjà pris le parti de faire connaitre Monservicesecurise aux communes. Le service fait aussi l’objet d’améliorations constantes. Une fonctionnalité permettra ainsi prochainement de ne pas avoir à ressaisir l’ensemble des données pour des téléservices similaires.
Monservicesécurisé fait partie des startups d'État incubées par Beta.gouv, le programme d’accompagnement de services innovants de la Direction interministérielle du numérique (Dinum) lancé en 2013. Ce programme permet à des ministères et à des collectivités d’être accompagnés pendant 6 mois par les designers et développeurs de la Dinum pour créer des services numériques à vocation nationale. Les financements apportés par le Fonds d’accélération des Startups d’État et de territoires (FAST) sont de 50% dans la limite de 300.000 euros. Le dernier appel à projets, lancé début février 2023 invite les porteurs de projets à candidater avant le 15 mai 2023. Au total plus de 50 projets ont émergés dont plusieurs ciblent directement les territoires. On citera par exemple : la plateforme d’adressage (adresse.gouv.fr) utilisée désormais par les communes ; zéro logement vacant qui aide les collectivités à mobiliser les propriétaires de logements vacants et à les accompagner dans la remise sur le marché de leur logement ; Collectif objets qui aide les communes à protéger et valoriser leur patrimoine ou encore APIlos qui facilite l’accès des bailleurs sociaux aux données sur les APL. |