Dans un contexte où l’échange et le stockage d'informations au format numérique sont devenus la norme, Cre@tic accompagne les collectivités dans la gestion de leur système d’information et en particulier sur l'ensemble des aspects liés à la sécurité.

Cette démarche d’amélioration continue et de management des risques est renforcée par une cellule d’assistance opérationnelle liée à la gestion des incidents de sécurité. Son champ d’intervention reste limité aux conseils et à l’accompagnement de 1er niveau des collectivités dans la résolution de leurs incidents.

Navigation rapide  

 

 


Cre@tic accompagne les collectivités dans leurs bonnes pratiques liées à la sécurité de leur système d’information (SSI) et si nécessaire à la remise à niveau de leur infrastructure. Sa démarche vise à créer un environnement numérique de confiance favorable à la dématérialisation, au partage et à l’échange de données. Elle ne se limite pas qu’à lutter contre des virus informatiques.

En effet, le système d’information ne se réduit pas qu'à l’informatique ; il regroupe l’ensemble des moyens humains, techniques et organisationnels visant à assurer le traitement, le stockage et l’échange d’informations nécessaires aux activités quotidiennes. La finalité de la sécurité est de lutter, de manière préventive, contre les risques auxquels est exposé le Système d'Information. Les risques sont soit d'origine environnementale (inondation, incendie, rongeurs,...), technique (bug, surcharge, défaut de conception,...), humaine (utilisateurs, informaticiens, prestataire,...). L’objectif de sécurité est donc de protéger l’outil de travail (disponibilité), les données (confidentialité, disponibilité, intégrité, preuve), le personnel et la collectivité.

Afin de mener sa démarche, Cre@tic propose une méthode basée sur des outils professionnels et un accompagnement modulaire permettant :

  • d’identifier les enjeux métiers et dégager des objectifs de sécurité ;
  • répertorier les différents risques pesant sur le système d’information ;
  • de cartographier les risques par ordre de gravité ;
  • et enfin, de bâtir un plan d’actions technique et organisationnel adapté.

La démarche globale de sécurisation des systèmes d’information proposée par Cre@tic se déroule en plusieurs étapes successives.

1ère étape, l'état des lieux

L’initialisation de la démarche consiste en un état des lieux de la sécurité (diagnostic ISO 27002) mené sur site par un technicien de Cre@tic. Il va permettre de mesurer le niveau de maturité de la sécurité de la collectivité au regard de :

  • son contexte ;
  • son organisation ;
  • son mode de fonctionnement.

Le type d'accompagnement Cre@tic est déterminé par le niveau de maturité de la sécurité qui découle de cet état des lieux.

Cependant, cet état des lieux ne représente qu’une première étape dans la recherche de la sécurisation du système d’information et ne suffit pas pour appréhender tous les risques et impacts. Envisager de sécuriser son système d'information nécessite de déployer une démarche d'analyse de risques et de mettre en œuvre un plan d’actions de traitements de ces risques.

2ème étape, l’analyse de risques et l'élaboration du plan d'actions

L’analyse de risques va, au regard des éléments mis en évidence par l'état des lieux (niveau de maturité de la sécurité, taille de la collectivité et présence de compétences internes informatiques), être menée soit par Cre@tic (pour les collectivités dépourvues d'un service informatique) soit par un prestataire SSI (via un marché public pour les collectivités dotées d'un service informatique) avec coordination ou non par Cre@tic.

L’analyse de risques va permettre d’identifier et de qualifier les menaces pouvant affecter le système d’information et ainsi mettre en relief avec précision les besoins en matière de sécurité.

Concrètement, il s'agit :

  • d’effectuer un inventaire exhaustif des risques ;
  • de les cartographier ;
  • les classer par ordre de gravité (ampleur) et de vraisemblance (probabilité d'occurrence).

Le résultat de l'analyse de risques, matérialisé par le plan d'actions, permet de présenter :

  • les risques les plus forts pesant sur les activités ;
  • et les actions nécessaires pour les réduire, les éviter, les transférer ou les accepter.

 

3ème étape : la restitution du plan d’actions technique et organisationnel en collectivité

Le plan d'actions s'apparente à une feuille de route détaillant les propositions de chantiers sécurité tant sur la partie technique qu'organisationnelle ; ces propositions étant chiffrées et hiérarchisées. Le plan d'actions est personnalisé et adapté aux enjeux, aux besoins de sécurité et aux moyens de chaque collectivité.

Il vise à instaurer les conditions institutionnelles, méthodologiques, organisationnelles, techniques et financières en vue d'une amélioration continue du système d'information. Sa restitution en collectivité, sa bonne lecture et sa stratégie de déploiement constituent une étape clé pour les décideurs et acteurs locaux, c'est pourquoi Cre@tic peut les assister à réaliser les bons choix en termes :

  • de sélection d'actions simples et immédiates, à bas coûts, pouvant créer de grands effets ;
  • d’arbitrage des premiers chantiers d'envergure à lancer ;

 tout en les sensibilisant sur les risques résiduels pour lesquels ils auront décidé de ne pas agir.

4ème étape : assistance à la mise en œuvre opérationnelle du plan d’actions

Pour les collectivités dépourvues d'un service informatique, Cre@tic propose la mise à disposition de personnels spécialisés dans le suivi des projets de sécurité ou de remise à niveau de l’infrastructure. Ces phases d'assistance à la mise en œuvre par excellence nécessitent des compétences techniques en matière de sécurité, des outils et une connaissance approfondie du système d’information tant sur le plan organisationnel que technique ; compétences que la cellule Cre@tic est à même de mettre au service des collectivités via sa convention de mise à disposition de personnel.

Exemples d’accompagnement de Cre@tic :

  • A distance
    - étude des solutions techniques simple avec chiffrage ;
    - étude des solutions techniques complexes avec chiffrage ;
    - étude de faisabilité de vos nouveaux projets ;
    - réalisation de devis chiffrés ;
    - aide à la rédaction des marchés publics et analyse des offres.
  • Sur site
    - suivi des prestataires : réunion de cadrage et contrôle des prestations ;
    - intervention technique simple sur site ;
    - contrôle annuel du système d’information avec mise à jour de la cartographie des risques et du plan d’actions.

Modalités de mise en oeuvre

Les étapes s'organisent généralement comme suit :

 cliquer pour agrandire le schéma

 

Si vous souhaitez mettre en œuvre une collaboration entre nos services :

  • contactez-nous via le formulaire en ligne ci-contre ;
  • un 1er rendez-vous téléphonique de cadrage est alors planifié ;
  • peuvent s'en suivre un état des lieux, une analyse de risques et une assistance à la mise en oeuvre du plan d'actions en fonction des besoins ;
  • enfin, un devis peut être communiqué sur demande.

Toute prestation Cre@tic payante donne lieu à la signature de la convention «relative à la mise à disposition d’un agent du Centre de gestion de la Fonction Publique Territoriale du Nord pour une mission relative au système d'information", disponible ci-contre. Elle doit faire l'objet d'une décision de l'assemblée délibérante.

Coût et type d'accompagnement

  • coût Cre@tic : sur devis | 400 euros / jour ;
    Intervention : Etat des lieux, Analyse de Risques ; assistance à la mise en oeuvre du Plan d’Actions.
  • coût prestataire : marché public ;
    Etat des lieux, Analyse de Risques, mise en oeuvre du Plan d’Actions (avec coordination possible de Cre@tic pour le compte de la collectivité).


Attaque ou perte de données, les premiers réflexes à adopter !

Les collectivités représentent l’échelon territorial qui détient le plus de données. Il est tentant de penser que seulement « les autres » seront atteints par un cryptolocker ou par un incendie. La prévention des risques est utile mais demeure insuffisante pour protéger les collectivités. Il est essentiel de mettre en place un dispositif de crise préparé, testé, diffusé et maintenu dans la durée.

Par exemple, en cas d’atteinte du système d’information, il convient d’isoler et de neutraliser le cryptolocker. En cas de corruption ou de perte de données, il sera nécessaire de procéder à une restauration.

Des erreurs à éviter en cas d’incident sécurité… Les conseils de la cellule SSI Cre@tic

En réaction à un incident, les erreurs stratégiques et techniques qu’il est possible de commettre sont nombreuses. Afin de limiter ces nouveaux risques et donc de mettre en œuvre les bons reflexes de 1er niveau, Cre@tic conseille les collectivités dans la réponse ou la résolution de leurs incidents sécurité.

Désormais, toute collectivité impactée, peut joindre la "cellule gestion incidents sécurité" et ainsi échanger avec son personnel dédié. Cette cellule s’inscrit dans la démarche de sécurité opérationnelle volontariste du Cdg59. Son périmètre d'actions reste limité aux conseils et à l’accompagnement de 1er niveau des collectivités dans la sécurisation de leur système d'information ; Cre@tic ne pouvant se substituer à un prestataire.

Modalités de mise en oeuvre

L’intervention Cre@tic est organisée en fonction du sinistre :

  • à distance, sous forme d’assistance téléphonique (ex : défiguration de site internet) ;
    ou
  • sur site pour les failles de sécurité plus importantes (ex : virus de type cryptolocker, incendie, dégât des eaux, destruction du Système d'Iinformation...).

avec la collectivité ou son prestataire informatique (ou DPO, ANSSI...),

Coût et durée de l'accompagnement

  • Coût : une prestation gratuite favorisant l’accès rapide aux conseils pour la résolution d’incidents ;
  • Durée de la mission : variable en fonction de la gravité du sinistre.
image de lien externe FORMULAIRE DE DECLARATION
        D'INCIDENT


        ou Tel. : 03.59.56.88.13