rapport (corrigé)
Transcription
rapport (corrigé)
SUJET NATIONAL POUR L’ENSEMBLE DES CENTRES DE GESTION ORGANISATEURS TECHNICIEN TERRITORIAL PRINCIPAL DE 2ème CLASSE SESSION 2014 EPREUVE Rédaction d’un rapport technique portant sur la spécialité au titre de laquelle le candidat concourt. Ce rapport est assorti de propositions opérationnelles. Durée : 3 heures Coefficient : 1 SPECIALITE : INGENIERIE, INFORMATIQUE, ET SYSTEMES D’INFORMATION INDICATIONS DE CORRECTION RAPPEL DE LA COMMANDE Vous êtes technicien territorial principal de 2ème classe à la direction des systèmes d’information de la commune de Techniville qui compte 50 000 habitants. Cette direction, qui vient d’achever son premier Schéma Directeur Informatique (Modernisation de ses équipements, apport de la mobilité pour les monades, nouvelles applications métier, e-services pour les administrés, dématérialisation de certains flux avec d’autres établissements publics…), souhaite maintenant mettre en oeuvre un projet pluriannuel en matière de sécurité. Dans cet objectif, le Directeur des Systèmes d’Information vous demande dans un premier temps de rédiger à son attention, exclusivement à l’aide des documents ci-joints, un rapport technique présentant un état des lieux en matière de sécurité informatique dans les collectivités territoriales. Externe 08 points Interne 12 points Dans un second temps, vous lui proposerez un plan d’action en vue d’assurer la sécurité informatique à l’échelle de Techniville, en tenant compte des enjeux et des contraintes (techniques, juridiques, humaines et financières). Externe 12 points Interne 08 points Pour traiter cette seconde partie, vous mobiliserez également vos connaissances. Liste des documents joints : Document 1 : « Le niveau de sécurité informatique des collectivités s’améliore mais reste perfectible » - site www.blog.grandesvilles.org - juillet 2012 - 1 page Document 2 : « Encore des efforts à faire pour la sécurité informatique des collectivités locales ? » site www.technicites.fr - juillet 2012 - 1 page Document 3 : « Les données informatique des collectivités locales ne sont pas assez protégées » - La Gazette des communes - janvier 2013 - 2 pages Document 4 : « Les collectivités ont des pratiques inégales en sécurité informatique » Rubrique Collectivités Territoriales du site www.weka.fr - mars 2013 - 1 page. Document 5 : « La prévention des risques informatiques » - Le guide Info Maires – septembre 2012 - 2 pages. Document 6 : « Archivage électronique sécurisé » - Site de l’ANSSI - 2012 - 5 pages. Document 7 : « 10 conseils pour la sécurité de votre système d’information » - CNIL - 2 pages - 12 octobre 2009. Document 8 : « Le Référentiel Général de Sécurité » - Portail de la modernisation de l’Etat – 2 pages - mars 2010. Document 9 : « Le Référentiel Général de Sécurité et les certificats de signature électronique » - Site www.economie.gouv.fr - mai 2013 - 4 pages. 2 Document 10 : « La sécurité informatique trop souvent l’affaire de la seule DSI ? » - Rapport du CLUSIF – février 2013 – 3 pages Document 11 : « Politique de sécurité des systèmes d’information » - Site de l’ANSSI – Octobre 2011 – 3 pages Documents reproduits avec l'autorisation du C.F.C. Certains documents peuvent comporter des renvois à des notes ou à des documents non fournis car non indispensables à la compréhension du sujet. RESUME DES DOCUMENTS Document 1 : « Le niveau de sécurité informatique des collectivités s’améliore mais reste perfectible » - site www.blog.grandesvilles.org - juillet 2012 - 1 page Ce document dresse un état des lieux de la sécurité informatique dans les collectivités. Le grand point faible des collectivités concerne leurs équipements mobiles. Il rappelle quelques préconisations de la CNIL en matière de sécurité. Il précise que le volet « sécurité » n’est pas suffisamment pris en compte dans les procédures de dématérialisation. Document 2 : « Encore des efforts à faire pour la sécurité informatique des collectivités locales ? » site www.technicites.fr - juillet 2012 - 1 page Ce document rapporte des extraits du rapport du CLUSIF (Club de la Sécurité l’Information Français) qui pointe la faiblesse de la sécurité dans les collectivités. Document 3 : « Les données informatique des collectivités locales ne sont pas assez protégées » - La Gazette des communes - janvier 2013 - 2 pages Ce document parle des données non protégées des collectivités. Les risques et les menaces que ce manque de sécurité fait courir aux collectivités et quelles sont les priorités pour lesdites collectivités. Document 4 : « Les collectivités ont des pratiques inégales en sécurité informatique » Rubrique Collectivités Territoriales du site www.weka.fr - mars 2013 - 1 page. Ce document montre que la mobilisation des collectivités territoriales en matière de sécurité informatique est très différente selon leur taille. Il existe un manque de sensibilisation et met en avant le problème du « coût » de la sécurité. Document 5 : « La prévention des risques informatiques » - Le guide Info Maires - septembre 2012 - 2 pages. Ce document présente un guide de prévention des risques. Le mode SaaS comme solution ? Il propose d’autres solutions potentielles. Document 6 : « Archivage électronique sécurisé » - Site de l’ANSSI - 2012 - 5 pages. Ce document porte sur l’archivage électronique. Il présente les obligations juridiques d’une collectivité et propose une architecture à prévoir pour un tel projet. Il présente également les difficultés de mise en œuvre. 3 Document 7 : « 10 conseils pour la sécurité de votre système d’information » - CNIL - 2 pages 12 octobre 2009. Ce document présente les recommandations principales de la CNIL. Document 8 : « Le Référentiel Général de Sécurité » - Portail de la modernisation de l’Etat - 2 pages - mars 2010. Ce document présente le référentiel général de sécurité (RGS). Il présente les objectifs du RGS et l’intérêt de ce référentiel. Document 9 : « Le Référentiel Général de Sécurité et les certificats de signature électronique » Site www.economie.gouv.fr - mai 2013 - 4 pages. Ce document présente le RGS et les obligations qui s’exercent pour les certificats de signature depuis mai 2013. La notion de certificats 1*, 2* ou 3*. Document 10 : « La sécurité informatique trop souvent l’affaire de la seule DSI ? » - Rapport du CLUSIF – février 2013 – 3 pages Ce document présente la nécessité de sensibiliser différents acteurs au sein d’une entreprise ou d’une collectivité territoriale à la question de la sécurité informatique. Ce qui n’est pas encore suffisamment le cas actuellement. Document 11 : « Politique de sécurité des systèmes d’information » - Site de l’ANSSI – Octobre 2011 – 3 pages Ce document présente un ensemble de recommandations à mettre en place dans le cadre d’une politique de sécurité des systèmes d’information et rappelle quelques règles de base qui sont également importantes en terme de sécurité informatique. 4 INDICATIONS DE CORRECTION Intérêt du sujet Le dossier donne un aperçu du domaine de la gestion de la sécurité et de l’état de l’art en la matière dans les collectivités. Il s’agit de transcrire cet état des lieux dans un rapport construit et suffisamment clair pour que le Directeur des Services Informatiques comprenne ce sujet complexe. Il s’agit pour le candidat d’extraire les processus les plus importants mis en œuvre et d’attirer l’attention du Directeur des Services Informatiques sur les résultats des actions menées. Ce rapport passe aussi par un rappel des principaux piliers qui régissent la sécurité des systèmes d’information (RGS, ANSII, …). Le candidat résumera le plus exhaustivement possible les risques qui peuvent exister En ce qui concerne les propositions, ce que l’on recherchera chez le candidat sera son aptitude à hiérarchiser et à prioriser les actions qu’il compte mener. Toute la difficulté réside sur sa capacité à « convaincre », de par l’ordre des opérations à prévoir, de par l’analyse technique pour les mener à bien et de par une évaluation financière phasée des opérations à mener. Il ne doit pas s’agir d’une liste de courses sans argumentation. Il doit faire ressortir les obligations juridiques auxquelles la collectivité doit faire face. Il doit être source de conseil pour le Directeur des Services Informatiques. Le correcteur sera particulièrement attentif aussi à l’expérience personnelle ou à la créativité que le rapport pourra refléter sur certains points, à condition bien sûr que cette créativité soit pertinente et sans exagération. Les informations contenues dans le dossier et que l’on doit voir apparaître dans le rapport sont les suivantes : Photographie de la « Sécurité des SI » dans les collectivités - Exemples décrivant la situation dans les collectivités, avec chiffres à l’appui - Niveau de protection dans les collectivités - La nécessité d’un plan « Sécurité des SI» face à la vulnérabilité des communes, en mentionnant le contexte de la mise en conformité RGS Droits et devoirs - Parler de l’ANSSI Parler du RGS Parler de la CNIL Où placer les responsabilités et quelles sanctions pénales 5 Identification de tous les points de vulnérabilité - Usurpation d’identité Perte de données Panne de courant Catastrophe naturelle Pas d’antivirus ou pas de mise à jour Les accès logiques (authentification avec mot de passe,…) Les accès physiques Les processus de dématérialisation et le SAE (Système d’Archivage Electronique) … Plan d’actions - - - Commencer par les actions les plus simples, notamment celles recommandées par la CNIL (contraintes « organisationnelles et humaines » – temps homme nécessaire, « financière » – investissement sur équipements actifs de protection, « technique » – prise en main des équipements actifs – formations) : sécurisation logique, sécurisation physique,… Nommer un CIL Instaurer une « culture » sécurité – Communication/Formation/Sensibilisation (avec des contraintes financières et organisationnelles) Faire respecter à minima les référentiels en matière de sécurité des SI (ANSSI, RGS) Le SAAS comme réponse partielle à la question de sécurité des SI (contrainte financière) Intégrer les rapides évolutions des SI : les processus de dématérialisation qui prennent de l’ampleur mais sans qu’on en mesure les risques potentiels, l’accroissement des équipements nomades dans les collectivités (tablettes, smartphones,…) PRA, PCA (contraintes techniques et surtout financières) Elaboration d’un PSSI et création du poste de RSS La « Sécurité des SI », c’est l’affaire de tous et à tous les niveaux, partant de l’agent territorial jusqu’à l’élu. Raisonner par priorités et établir un plan pluriannuel. L’ensemble des actions précitées à encadrer (à travers un mode de gestion de projets) Penser à un mode de gouvernance. Plan proposé à titre indicatif Introduction I – La sécurité informatique : cadre réglementaire et mise en oeuvre A) Un état des lieux mitigé et une réglementation à connaître B) Les processus de mise en œuvre et détection des points de vulnérabilité II – Un plan d’action à l’intention de tous A) Instaurer une culture « sécurité » B) Définition d’un plan pluriannuel de sécurité et détermination des besoins Sanctions pour la présentation générale du devoir (- 2 points) Formalisme (objet, date, destinataire) Copie négligée (soin..) Orthographe ou grammaire (+ de 10 fautes), mauvaise écriture 6