L'ANSSI lance MonServiceSécurisé, une plateforme gratuite destiné à aider les services publics à sécuriser et homologuer rapidement leurs sites Web, applications mobiles et API. Une belle initiative pour lutter contre les cyberattaques !
Les administrations (communes, départements, collectivités, établissements publics…) mettent souvent à disposition de leurs usagers des services publics numériques. Le problème, c'est qu'ils sont de plus en plus la cible de cyberattaques dont les conséquences peuvent être très lourdes, y compris sur le plan financier. Le meilleur moyen pour éviter ça, c'est de prévenir le risque, en sensibilisant les agents aux bonnes pratiques – le site Cybermalveillance.gouv.fr est très utile –, en évaluant sa sécurité numérique et en homologuant les services en ligne. D'ailleurs, pour ce dernier point, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a développé une plateforme, baptisée MonServiceSécurisé, à destination des collectivités et des administrations afin de leur permettre de sécuriser rapidement leurs sites web, applications et autres API. Elle permettra notamment aux responsables de la sécurité des systèmes d'information (RSSI) et aux délégués à la protection des données (DPO) d'améliorer la cybersécurité de leurs services publics en ligne grâce à une liste personnalisée de mesures de sécurité à mettre en œuvre, un indicateur pour évaluer leur niveau de sécurité et une "homologation clé en main". Entièrement gratuite et collaborative, elle est disponible dès à présent sur le Web en version bêta – les retours des utilisateurs lui permettront de s'améliorer par la suite.
MonServiceSécurisé : homologation et indice cyber
La nouvelle start-up d'État est chargée d'accompagner la mise en œuvre du décret 2022-513 du 8 avril 2022. Cette réglementation oblige l'ensemble des entités administratives à homologuer leurs services numériques (sites, applications, API, formulaires, messageries…) afin de se conformer au Référentiel Général de Sécurité (RGS) et au Règlement général sur la protection des données (GPD) dès lors qu'ils traitent des données d'usagers. Cette homologation "atteste des mesures de sécurité mises en œuvre en vue de protéger un système d'information".
Dans le détail, MonServiceSécurisé permet de référencer un service numérique, et ce qu'il soit en développement ou déjà en ligne, et de le décrire. Ces informations donnent accès "à une liste personnalisée de mesures de sécurité élaborée par l'ANSSI" et à une évaluation indicative, qui prend la forme d'un "indice cyber", quant à sa sécurité. Il est calculé à partir des mesures déjà mises en place. Attention, car "cette note ne constitue pas une preuve du niveau de sécurité du service, mais une évaluation indicative basée sur les déclarations de l'équipe de l'entité ayant référencé le service", précise le site. À terme, MonServiceSécurisé générera "en quelques étapes une décision d'homologation de sécurité incluant un ou plusieurs avis des membres de l'équipe sur le projet de décision d'homologation" et soumettra la décision à la signature de l'autorité d'homologation.
MonServiceSécurisé : une plateforme accessible au plus grand nombre
MonServiceSécurisé se veut accessible aux agents publics, quels qu'ils soient (DSI, directions métiers, chefs de projet, etc.). En effet, les outils classiques d'analyse de risques peuvent se révéler très complexes pour qui n'est pas du métier, d'autant plus que toutes les entités n'ont pas la chance de bénéficier d'un RSSI en leur sein. C'est pourquoi la plateforme intègre un mode collaboratif qui permet d'inclure les différents corps de métier, en leur permettant d'initier une démarche ou de rejoindre l'équipe à tout moment. Elle met également à disposition des utilisateurs un ensemble de documentations et d'annexes très précieuses.
"Avec MonServiceSécurisé, l'ANSSI accompagne les administrations et ainsi tous les agents du service public, quel que soit leur niveau de cybersécurité, en leur offrant un outil pédagogique pour simplifier leurs démarches de sécurisation et d'homologation. Cette solution est également un gage de confiance pour leurs partenaires et leurs usagers", s'est réjoui Emmanuel Naëgelen, Directeur général adjoint de l'ANSSI. Cette solution n'est pas seulement un gain de temps et d'efforts, mais aussi d'image, puisque les administrations peuvent assurer à leurs partenaires et usages qu'elles respectent bien les préconisations de l'ANSSI.