L’Anssi lance MonServiceSécurisé, plateforme d’homologation des téléservices publics
L’Agence nationale pour la sécurité des systèmes d’information (Anssi) a annoncé l’ouverture de sa plateforme de certification des téléservices publics à toutes les administrations et collectivités. Une initiative qui doit faciliter la mise en conformité des téléservices au référentiel général de sécurité.
En test dans plusieurs territoires depuis quelques mois, MonServiceSécurisé a été lancé officiellement par l’Anssi le 13 décembre. Conçu par le laboratoire d'innovation de l'agence avec l’appui de l'incubateur de la Dinsic, BetaGouv, ce service gratuit entend aider tous les organismes publics gérant des téléservices à les sécuriser en vue d’obtenir leur homologation. Celle-ci est obligatoire au titre du référentiel général de sécurité (RGS) visant au renforcement de la confiance des usagers dans les services publics numériques.
Site ou application mobile
Tous les services numériques proposés par des collectivités sont concernés à partir du moment où ils comportent "des échanges de données entre l'administration et les usagers ou entre administrations", précise la foire aux questions de la plateforme. Sont exclus ceux qui relèvent de la règlementation sur les services essentiels ou impactant la sécurité et la défense nationale. Tout type de téléservice peut être homologué, qu’il s’agisse d’un formulaire en ligne, d’un portail citoyen, d’une application mobile ou d’un connecteur web (API). Ce téléservice peut avoir été développé en interne ou acquis auprès d’un éditeur. Cette homologation nécessite pour la collectivité de désigner un responsable. La FAQ recommande que l'autorité d'homologation soit "placée à un niveau hiérarchique suffisant" par exemple, un maire, un adjoint ou un DGS, son instruction pouvant être déléguée à un chef de service.
Plateforme collaborative
L’homologation est un processus itératif qui permet de sécuriser un téléservice existant ou en cours de développement. Elle passe par une plateforme hébergée dans un cloud de confiance. Après authentification et description de son téléservice, la collectivité accède à une liste personnalisée de mesures de sécurité permettant d’établir un "indice cyber", soit une évaluation indicative du niveau de sécurité du téléservice. L’homologation proprement dite nécessite plusieurs étapes et la mobilisation de l’équipe de la plateforme appelée à fournir des avis sur chacune des briques du service. Le processus, entièrement en ligne, permet la collaboration des métiers concernés par la téléprocédure. Une fois ces étapes franchies, le téléservice est soumis à la signature de l’autorité d’homologation.
Homologation plus rapide
Avec cette plateforme "permettant une homologation beaucoup plus rapide", l’Etat espère aussi une meilleure application de la réglementation RGS – publié en 2010, l’homologation RGS datant de 2014 – restée peu accessible aux petites collectivités. Elle vise aussi à éviter la fuite de données en intégrant cette problématique en amont de la création de téléservices, ceux-ci manipulant souvent des données sensibles dont la dissémination accidentelle peut avoir des conséquences fâcheuses.
Testée et validée par plusieurs collectivités
Plusieurs territoires ont expérimenté la plateforme avec succès selon l’Anssi. "Elle est plus simple qu’un tableur Excel et nous permet de travailler avec les chefs de projet et l’ensemble des métiers", fait valoir le conseil général de Haute Garonne. Au département de Seine-Saint-Denis, on apprécie le principe de la "check list exhaustive" des critères et leur "partage" avec les équipes métier ainsi sensibilisées aux risques cyber. Il restera à savoir si des structures plus petites seront aussi à l’aise.