rapport (corrigé)

SUJET NATIONAL POUR L’ENSEMBLE DES CENTRES DE GESTION
ORGANISATEURS
TECHNICIEN TERRITORIAL PRINCIPAL DE 2ème CLASSE
SESSION 2014
EPREUVE
Rédaction d’un rapport technique portant sur la spécialité au titre de laquelle le
candidat concourt. Ce rapport est assorti de propositions opérationnelles.
Durée : 3 heures
Coefficient : 1
SPECIALITE : INGENIERIE, INFORMATIQUE, ET SYSTEMES D’INFORMATION
INDICATIONS DE CORRECTION
RAPPEL DE LA COMMANDE
Vous êtes technicien territorial principal de 2ème classe à la direction des systèmes
d’information de la commune de Techniville qui compte 50 000 habitants.
Cette direction, qui vient d’achever son premier Schéma Directeur Informatique
(Modernisation de ses équipements, apport de la mobilité pour les monades,
nouvelles applications métier, e-services pour les administrés, dématérialisation de
certains flux avec d’autres établissements publics…), souhaite maintenant mettre
en oeuvre un projet pluriannuel en matière de sécurité.
Dans cet objectif, le Directeur des Systèmes d’Information vous demande dans
un premier temps de rédiger à son attention, exclusivement à l’aide des documents
ci-joints, un rapport technique présentant un état des lieux en matière de sécurité
informatique dans les collectivités territoriales.
Externe 08 points
Interne 12 points
Dans un second temps, vous lui proposerez un plan d’action en vue d’assurer la
sécurité informatique à l’échelle de Techniville, en tenant compte des enjeux et des
contraintes (techniques, juridiques, humaines et financières).
Externe 12 points
Interne 08 points
Pour traiter cette seconde partie, vous mobiliserez également vos connaissances.
Liste des documents joints :
Document 1 : « Le niveau de sécurité informatique des collectivités s’améliore mais reste
perfectible » - site www.blog.grandesvilles.org - juillet 2012 - 1 page
Document 2 : « Encore des efforts à faire pour la sécurité informatique des collectivités
locales ? » site www.technicites.fr - juillet 2012 - 1 page
Document 3 : « Les données informatique des collectivités locales ne sont pas assez
protégées » - La Gazette des communes - janvier 2013 - 2 pages
Document 4 : « Les collectivités ont des pratiques inégales en sécurité informatique » Rubrique Collectivités Territoriales du site www.weka.fr - mars 2013 - 1 page.
Document 5 : « La prévention des risques informatiques » - Le guide Info Maires –
septembre 2012 - 2 pages.
Document 6 : « Archivage électronique sécurisé » - Site de l’ANSSI - 2012 - 5 pages.
Document 7 : « 10 conseils pour la sécurité de votre système d’information » - CNIL - 2
pages - 12 octobre 2009.
Document 8 : « Le Référentiel Général de Sécurité » - Portail de la modernisation de l’Etat
– 2 pages - mars 2010.
Document 9 : « Le Référentiel Général de Sécurité et les certificats de signature
électronique » - Site www.economie.gouv.fr - mai 2013 - 4 pages.
2
Document 10 : « La sécurité informatique trop souvent l’affaire de la seule DSI ? » - Rapport
du CLUSIF – février 2013 – 3 pages
Document 11 : « Politique de sécurité des systèmes d’information » - Site de l’ANSSI –
Octobre 2011 – 3 pages
Documents reproduits avec l'autorisation du C.F.C.
Certains documents peuvent comporter des renvois à des notes ou à des documents non
fournis car non indispensables à la compréhension du sujet.
RESUME DES DOCUMENTS
Document 1 : « Le niveau de sécurité informatique des collectivités s’améliore mais reste
perfectible » - site www.blog.grandesvilles.org - juillet 2012 - 1 page
Ce document dresse un état des lieux de la sécurité informatique dans les collectivités. Le grand
point faible des collectivités concerne leurs équipements mobiles. Il rappelle quelques
préconisations de la CNIL en matière de sécurité. Il précise que le volet « sécurité » n’est pas
suffisamment pris en compte dans les procédures de dématérialisation.
Document 2 : « Encore des efforts à faire pour la sécurité informatique des collectivités locales ? »
site www.technicites.fr - juillet 2012 - 1 page
Ce document rapporte des extraits du rapport du CLUSIF (Club de la Sécurité l’Information
Français) qui pointe la faiblesse de la sécurité dans les collectivités.
Document 3 : « Les données informatique des collectivités locales ne sont pas assez protégées »
- La Gazette des communes - janvier 2013 - 2 pages
Ce document parle des données non protégées des collectivités. Les risques et les menaces que
ce manque de sécurité fait courir aux collectivités et quelles sont les priorités pour lesdites
collectivités.
Document 4 : « Les collectivités ont des pratiques inégales en sécurité informatique » Rubrique Collectivités Territoriales du site www.weka.fr - mars 2013 - 1 page.
Ce document montre que la mobilisation des collectivités territoriales en matière de sécurité
informatique est très différente selon leur taille. Il existe un manque de sensibilisation et met en
avant le problème du « coût » de la sécurité.
Document 5 : « La prévention des risques informatiques » - Le guide Info Maires - septembre
2012 - 2 pages.
Ce document présente un guide de prévention des risques. Le mode SaaS comme solution ? Il
propose d’autres solutions potentielles.
Document 6 : « Archivage électronique sécurisé » - Site de l’ANSSI - 2012 - 5 pages.
Ce document porte sur l’archivage électronique. Il présente les obligations juridiques d’une
collectivité et propose une architecture à prévoir pour un tel projet. Il présente également les
difficultés de mise en œuvre.
3
Document 7 : « 10 conseils pour la sécurité de votre système d’information » - CNIL - 2 pages 12 octobre 2009.
Ce document présente les recommandations principales de la CNIL.
Document 8 : « Le Référentiel Général de Sécurité » - Portail de la modernisation de l’Etat - 2
pages - mars 2010.
Ce document présente le référentiel général de sécurité (RGS). Il présente les objectifs du RGS et
l’intérêt de ce référentiel.
Document 9 : « Le Référentiel Général de Sécurité et les certificats de signature électronique » Site www.economie.gouv.fr - mai 2013 - 4 pages.
Ce document présente le RGS et les obligations qui s’exercent pour les certificats de signature
depuis mai 2013. La notion de certificats 1*, 2* ou 3*.
Document 10 : « La sécurité informatique trop souvent l’affaire de la seule DSI ? » - Rapport
du CLUSIF – février 2013 – 3 pages
Ce document présente la nécessité de sensibiliser différents acteurs au sein d’une entreprise ou
d’une collectivité territoriale à la question de la sécurité informatique. Ce qui n’est pas encore
suffisamment le cas actuellement.
Document 11 : « Politique de sécurité des systèmes d’information » - Site de l’ANSSI –
Octobre 2011 – 3 pages
Ce document présente un ensemble de recommandations à mettre en place dans le cadre d’une
politique de sécurité des systèmes d’information et rappelle quelques règles de base qui sont
également importantes en terme de sécurité informatique.
4
INDICATIONS DE CORRECTION
Intérêt du sujet
Le dossier donne un aperçu du domaine de la gestion de la sécurité et de l’état de l’art en
la matière dans les collectivités. Il s’agit de transcrire cet état des lieux dans un rapport
construit et suffisamment clair pour que le Directeur des Services Informatiques comprenne
ce sujet complexe.
Il s’agit pour le candidat d’extraire les processus les plus importants mis en œuvre et
d’attirer l’attention du Directeur des Services Informatiques sur les résultats des actions
menées.
Ce rapport passe aussi par un rappel des principaux piliers qui régissent la sécurité des
systèmes d’information (RGS, ANSII, …).
Le candidat résumera le plus exhaustivement possible les risques qui peuvent exister
En ce qui concerne les propositions, ce que l’on recherchera chez le candidat sera son
aptitude à hiérarchiser et à prioriser les actions qu’il compte mener.
Toute la difficulté réside sur sa capacité à « convaincre », de par l’ordre des opérations à
prévoir, de par l’analyse technique pour les mener à bien et de par une évaluation
financière phasée des opérations à mener.
Il ne doit pas s’agir d’une liste de courses sans argumentation. Il doit faire ressortir les
obligations juridiques auxquelles la collectivité doit faire face. Il doit être source de conseil
pour le Directeur des Services Informatiques.
Le correcteur sera particulièrement attentif aussi à l’expérience personnelle ou à la
créativité que le rapport pourra refléter sur certains points, à condition bien sûr que cette
créativité soit pertinente et sans exagération.
Les informations contenues dans le dossier et que l’on doit voir apparaître dans le rapport sont les
suivantes :
Photographie de la « Sécurité des SI » dans les collectivités
- Exemples décrivant la situation dans les collectivités, avec chiffres à l’appui
- Niveau de protection dans les collectivités
- La nécessité d’un plan « Sécurité des SI» face à la vulnérabilité des communes, en
mentionnant le contexte de la mise en conformité RGS
Droits et devoirs
-
Parler de l’ANSSI
Parler du RGS
Parler de la CNIL
Où placer les responsabilités et quelles sanctions pénales
5
Identification de tous les points de vulnérabilité
-
Usurpation d’identité
Perte de données
Panne de courant
Catastrophe naturelle
Pas d’antivirus ou pas de mise à jour
Les accès logiques (authentification avec mot de passe,…)
Les accès physiques
Les processus de dématérialisation et le SAE (Système d’Archivage Electronique)
…
Plan d’actions
-
-
-
Commencer par les actions les plus simples, notamment celles recommandées par la CNIL
(contraintes  « organisationnelles et humaines » – temps homme nécessaire,
« financière » – investissement sur équipements actifs de protection, « technique » – prise
en main des équipements actifs – formations) : sécurisation logique, sécurisation
physique,…
Nommer un CIL
Instaurer une « culture » sécurité – Communication/Formation/Sensibilisation (avec des
contraintes financières et organisationnelles)
Faire respecter à minima les référentiels en matière de sécurité des SI (ANSSI, RGS)
Le SAAS comme réponse partielle à la question de sécurité des SI (contrainte financière)
Intégrer les rapides évolutions des SI : les processus de dématérialisation qui prennent de
l’ampleur mais sans qu’on en mesure les risques potentiels, l’accroissement des
équipements nomades dans les collectivités (tablettes, smartphones,…)
PRA, PCA (contraintes techniques et surtout financières)
Elaboration d’un PSSI et création du poste de RSS
La « Sécurité des SI », c’est l’affaire de tous et à tous les niveaux, partant de l’agent
territorial jusqu’à l’élu.
Raisonner par priorités et établir un plan pluriannuel.
L’ensemble des actions précitées à encadrer (à travers un mode de gestion de projets)
Penser à un mode de gouvernance.
Plan proposé à titre indicatif
Introduction
I – La sécurité informatique : cadre réglementaire et mise en oeuvre
A) Un état des lieux mitigé et une réglementation à connaître
B) Les processus de mise en œuvre et détection des points de vulnérabilité
II – Un plan d’action à l’intention de tous
A) Instaurer une culture « sécurité »
B) Définition d’un plan pluriannuel de sécurité et détermination des besoins
Sanctions pour la présentation générale du devoir (- 2 points)



Formalisme (objet, date, destinataire)
Copie négligée (soin..)
Orthographe ou grammaire (+ de 10 fautes), mauvaise écriture
6