MonServiceSécurisé, l’homologation des services publics en ligne

Développée par le laboratoire d’innovation de l’agence, MonServiceSécurisé permettra aux responsables de la sécurité des systèmes d’information (RSSI) et aux délégués à la protection des données (DPO) d’améliorer la cybersécurité des services publics en ligne sous leur responsabilité grâce à une liste personnalisée de mesures de sécurité à mettre en œuvre, un indicateur pour évaluer leur niveau de sécurité et une “homologation clé en main”.

Le laboratoire d’innovation de l’agence a développé un outil qui permettra aux responsables de la sécurité des systèmes d’information (RSSI) et aux délégués à la protection des données (DPO) d’améliorer la cybersécurité des services publics en ligne sous leur responsabilité. Cet outil leur fournira une liste personnalisée de mesures de sécurité à mettre en œuvre, ainsi qu’un indicateur pour évaluer leur niveau de sécurité et une « homologation clé en main ».

Homologation par MonServiceSécurisé

La start-up d’État sera capable de générer, en quelques étapes, une décision d’homologation de sécurité pour un site Web, une application mobile ou un API en projet, puis de soumettre cette décision à la signature de l’autorité d’homologation. Selon le site, cette fonctionnalité sera « bientôt disponible ». L’autorité d’homologation, qui peut être un maire dans une municipalité ou un directeur général dans un ministère, doit être placée à un « niveau hiérarchique suffisant », car elle sera responsable de la mise en ligne d’un service numérique en tenant compte des risques associés.

Indice Cyber de MonServiceSécurisé

L’indice cyber sera calculé en fonction des mesures de sécurité déjà mises en place, en pondérant le score total entre celles considérées comme « indispensables » et celles « recommandées ». Le site précise cependant que cette note « ne constitue pas une preuve du niveau de sécurité du service, mais une évaluation indicative basée sur les déclarations de l’équipe de l’entité ayant référencé le service ».

Un mode collaboratif permet également d’inclure toutes les parties prenantes, comme les directions des systèmes d’information ou les chefs de projet, pour les sensibiliser aux enjeux de la cybersécurité dès les premières phases de développement d’un projet.

Avec MonServiceSécurisé, l’Anssi accompagne les administrations et ainsi tous les agents du service public, quel que soit leur niveau de cybersécurité, en leur offrant un outil pédagogique pour simplifier leurs démarches de sécurisation et d’homologation. Cette solution est également un gage de confiance pour leurs partenaires et leurs usagers.

Emmanuel Naëgelen, directeur général adjoint de l’agence.

Quels types de services numériques doivent être homologués ?

Un service public numérique (ou « téléservice » dans le RGS) doit être homologué par une autorité administrative s’il permet des échanges de données entre l’administration et les usagers ou entre administrations, en particulier lorsqu’ils permettent des démarches administratives en ligne.

Les services numériques sont concernés par l’homologation de sécurité, que ceux-ci aient été développés en interne ou par un prestataire au profit d’une autorité administrative, ou qu’ils aient été obtenus sur étagère gratuitement ou achetés auprès d’un fournisseur.

Quels services ne peuvent pas être référencés sur MonServiceSécurisé ?

• Les services essentiels au fonctionnement de la société ou de l’économie, des opérateurs désignés opérateurs de services essentiels (loi n° 2018-133 du 26 février 2018 qui présente les mesures de transposition de la direction européenne sur la sécurité des réseaux et des systèmes d’information, décret n° 2018-384 du 23 mai 2018 en détaillant les modalités d’application).
• Les services pour lesquels l’atteinte à la sécurité ou au bon fonctionnement engendrerait des conséquences importantes sur le potentiel scientifique et technique (décret n° 2011-1425 du 2 novembre 2011 portant application de l’article 413-7 du code pénal relatif à la protection du potentiel scientifique et technique de la nation).
• Les services pour lesquels l’atteinte à la sécurité ou au fonctionnement engendrerait des conséquences importantes sur le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation (article 22 de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 et 2019).
• Les services traitant d’informations protégées par le secret de la défense nationale ou équivalent, ou de niveau diffusion restreinte (IGI 1300 relative au secret de la défense nationale, l’IGI 2102 relatives aux informations ou supports classifiés de l’Union européenne, l’IGI 2100 relative à la protection des supports classifiés dans le cadre de l’OTAN, l’IGI 901 définissant les règles relatives à la protection des informations sensibles et à diffusion restreinte).

Ces services et l’ensemble des systèmes d’information non couverts par MonServiceSécurisé doivent être homologués conformément à la méthode d’homologation de sécurité de l’ANSSI décrite dans :

• le Guide de l’homologation en 9 étapes
• le Guide Agilité et sécurité numérique adapté aux projets agiles