|
| |
| SECURITE |
| Le Conseil Général de la Manche sensibilise ses services à la sécurité |
| Depuis 2003, la collectivité territoriale a entamé une démarche d'analyse de risque destinée à montrer que la DSI ne peut pallier à tout problème et que la responsabilisation de chacun améliore l'efficacité globale des systèmes.
(21/10/2004) |
|
Du fait de leur proximité avec le grand public, les services du Conseil Général de la Manche (CG 50) sont amenés, chaque jour, à manipuler des données au caractère souvent confidentiel.
Pour la direction du service informatique de la collectivité territoriale, la gestion de ces informations par l'ensemble des utilisateurs est apparue - dès 2003 - comme ne devant plus être considérée d'un seul point de vue technique mais aussi comportemental et organisationnel. Elle a - dans le cadre d'un appel d'offres plus global - fait appel aux services de conseil en sécurité de l'éditeur Symantec.
"Le projet de sécurité que nous avons mené a constitué une bonne opportunité de travailler dans le sens d'une responsabilisation et d'une démarche très axée sur la pédagogie. Nous considérons en effet que le phénomène de dématérialisation, par exemple, doit être abordé par le biais des systèmes mais aussi par une évolution comportementale, organisationnelle et culturelle", déclare Pierre Avoine, DSI
du CG 50.
Les lots de l'appel d'offres ont été attribués en mars 2003 à Symantec (analyse de risque), Intrinsec (audit technique) et le cabinet BSGL (plan de secours). Concernant l'analyse de risque, une première série d'entretiens s'est déroulée auprès de 6 directions métiers : paie/RH, finances, archives, social, tourisme et bibliothèque de prêt.
Les interviews - d'une durée de deux heures - ont été réalisées en 3 phases distinctes. Dans un premier temps, les responsables de service ont été invités à s'exprimer sur leurs attentes en termes de fiabilité du SI : des exigences fortes en sont ressorties. Ensuite, à travers une typologie des risques (infrastructure bâtiments / accessibilité aux locaux, risques informatiques / pannes de serveurs, comportements / négligence et malveillance mais aussi ressources humaines / charte comportementale et astreintes), une définition des responsabilités a été créée.
| "Les services savent désormais jusqu'où l'informatique est compétente" |
"Tout n'est pas du ressort de l'informatique, tous les acteurs font partie d'un ensemble global. Ce travail a permis de concrétiser le fait que l'informatique peut s'arrêter parce que l'infrastructure peut être en cause, ce qui nous a amené à une cartographie des risques", commente Pierre Avoine, à propos de cette deuxième étape.
La troisième étape a consisté à décomposer ce que le terme "fiabilité" recouvrait, à savoir la disponibilité des systèmes, leur intégrité et la confidentialité des données. "Nous sommes rentrés dans le détail, par exemple dans la politique de mots de passe. Si les gens sont exigeants, il faut qu'ils soient acteurs de cette exigence, on ne peut pas tout déléguer. Autre aspect, lié à la disponibilité : le service informatique n'a pas la capacité, en cas de crash, de garantir que les dispositifs sont redevenus fonctionnels, il faut donc que des personnes compétentes soient présentes pour le vérifier, d'où la question des astreintes", note Pierre Avoine.
Après cette première vague d'entretiens, toutes les autres directions sont en cours de consultation et ce, jusqu'à la fin 2005. Sur les 6 premiers services interrogés, une très nette amélioration de la maîtrise de leur périmètre de responsabilité a été constatée, selon Pierre Avoine. "Ils savent jusqu'où l'informatique est compétente, la gestion des risques est rentrée dans les habitudes, chacun sait qui prend à sa charge quel risque, une bonne répartition existe désormais", conclut le DSI.
La dernière étape consistera à contractualiser les nouvelles règles de conduite à travers la rédaction d'une charte à la fois technique et comportementale, permettant de délimiter les engagements de moyens et de résultats de chacun.
|
Le projet en bref
|
|
Société
|
Conseil Général de la Manche
|
|
Siège social
|
Saint-Lô
|
|
Secteur d'activité
|
Collectivité territoriale
|
|
Acteurs retenus
|
Symantec (offre consulting), Intrinsec (audit technique) et BSGL (plan de secours)
|
|
|
|
 |
Chaîne 
