L’Arrêté du 8 décembre 2023

L’Arrêté du 8 décembre 2023 déploie, au sein des administrations publiques, l’obligation de contrôles annuels de maintenance préventive des systèmes d’information.

Sont visés par cette nouvelle instruction tous les systèmes d’information en réseau qui totalisent 500 heures d’utilisation mensuelle (l’usage est estimé par multiplication du nombre usuel d’utilisateurs et leur durée habituelle d’usage) ou plus de 10 000 requêtes par mois.

Responsabilité des maîtres d’ouvrage

Les maîtres d’ouvrage et donneurs d’ordre sont responsables du bilan annuel de maintenance. Ils peuvent déléguer la maintenance préventive et la réalisation des points de contrôle à la maîtrise d’œuvre de leur choix.

Les points de contrôle

Les points de contrôle sont les suivants :

Traçabilité

Les contrôles ne sont pas nécessairement réalisés le même jour, mais ils sont synthétisés dans une fiche datée par rubrique qui reprend les articles de cette annexe dans l’ordre.

Sauvegardes et capacité de redémarrage

Des données de sauvegardes, locales et distantes, sont restaurées. En particulier, il est contrôlé l’âge des dernières sauvegardes exploitables, après déchiffrement éventuel pour les sauvegardes distantes. Tout âge de dernière sauvegarde supérieur à une semaine est justifié.

Une relance machine vérifie les capacités de redémarrage sans assistance manuelle, et évalue la durée d’un tel redémarrage. Tout temps de service machine continu ” uptime ” supérieur à un an est justifié.

Contrôle des composants par rapport à des failles connues et au support

Les versions des composants sont comparées aux bases d’inventaires des failles connues.

La filière sécurité des systèmes d’information est chargée de tenir à jour la panoplie d’outils permettant l’automatisation de ces contrôles. Exemple à date des outils recommandés pour les piles technologiques les plus courantes du ministère, des couches les plus basses aux plus hautes.

– Linux : audit Lynis ;

– Conteneur : scan docker ou trivy ;

– Java : rapport dependency-check ;

– Php : rapport symfony security-checker ou repman security scanner ;

– Node.js : rapport npm audit.

Ce contrôle s’assure aussi du support de l’éditeur ou d’une communauté active, par exemple via le référentiel https://endoflife.date.

Toute utilisation d’un composant présentant une faille connue avec un score CVSS supérieur ou égal à 7 ou sans support depuis 6 mois est justifié.

Mises à jour des enregistrements

La maîtrise d’ouvrage actualise les inventaires suivants :

– cartographie des acteurs dans les registres d’aide à l’exploitation et à la gestion d’incident (portail support produits et services SPS) ;

– description des tests de supervision réalisés par le pôle de supervision informatique national (PSIN) ;

– abonnements aux fils d’alerte de sécurité des composants ;

– échéances d’homologation SSI, déclaration CNIL.

Revue des incidents

La maîtrise d’œuvre synthétise les événements d’exploitation notables de la période extraits de :

– historique des indisponibilités non programmées ;

– tickets d’incidents et problèmes récurrents.

Le référentiel général de sécurité

Pour rappel, l’ordonnance no 2005-1516 dite « ordonnance RGS » définit des fonctions de sécurité telles que l’identification électronique, la confidentialité, la signature électronique ou encore l’horodatage électronique.

Le référentiel général de sécurité (RGS), pris en application de cette ordonnance, vise à instaurer la confiance numérique dans les échanges électroniques.

Cette confiance numérique s’appuie sur la sécurisation des systèmes d’information mis en œuvre par les autorités administratives dans leurs relations entre elles et avec les usagers, le RGS contient essentiellement deux grandes familles d’exigences :

La première obligation et la plus importante est celle de conduire une homologation de sécurité : débutant par une analyse de risques, l’homologation   permet de déterminer les besoins de sécurisation spécifiques au système étudié et d’en déduire les mesures nécessaires et suffisantes pour y répondre ;

Sur la base de cette analyse de risques et en cas de recours à une ou plusieurs des fonctions de sécurité listées ci-dessus, l’autorité administrative définit le niveau de sécurité à viser et met en œuvre des services conformes aux exigences du RGS. Le recours à un service qualifié au titre du RGS vaut présomption de conformité au RGS pour le niveau de qualification visé.

À qui s’adresse cette réglementation ?

Le RGS s’applique aux autorités administratives, définies dans l’ordonnance et visant :

les administrations de l’État ;
les collectivités territoriales ;
les établissements publics à caractère administratif ;
les organismes gérant des régimes de protection sociale ;
les autres organismes chargés de la gestion d’un service public administratif ;
les commissions de coordination des actions de prévention des expulsions locatives.

Le référentiel général de sécurité s’adresse également aux organismes publics et privés qui fournissent des produits ou des services de confiance. Il détaille les normes et exigences à appliquer ;

Le référentiel s’adresse enfin aux organismes chargés de la qualification des produits et services de confiance. Pour les produits, c’est actuellement l’ANSSI qui délivre les qualifications et pour les services de confiance, c’est un organisme privé accrédité par le COFRAC et habilité par l’ANSSI, LSTI.  

De façon générale, pour tout autre organisme souhaitant organiser la gestion de la sécurisation de ses systèmes d’information et de ses échanges électroniques, le référentiel général de sécurité se présente comme un guide de bonnes pratiques conformes à l’état de l’art.

Quelles sont ses principales dispositions ?

Le référentiel général de sécurité :

Fixe une liste d’exigences et de recommandations pour les autorités administratives :

Des exigences de suivre une démarche en cinq étapes comprenant une démarche d’homologation de sécurité (chapitres 1 et 2)

Des recommandations relatives à la méthodologie, aux procédures et à l’organisation de la sécurité des systèmes d’information (chapitre 7)

Les règles et les recommandations de sécurité pour les téléservices nécessitant l’emploi de certificats électroniques (annexe A1)

Des règles et recommandations relatives à la cryptographie et à la protection des échanges électroniques (chapitres 3 et 4 et annexes B1 à B3)

Fixe une liste d’exigences relatives à la mise en œuvre de service de confiance dans le domaine de l’identification électronique, de la signature ou du cachet électronique, de l’horodatage électronique et de l’audit de sécurité des systèmes d’information (chapitre 5 et annexes A2 à A5 et annexe C)

Pour se mettre en conformité avec ces exigences, les autorités administratives peuvent recourir à des prestataires de services de confiance qualifiés par un organisme de qualification habilité par l’ANSSI.

Quel est le rôle de l’ANSSI ?

L’ANSSI, en co-construction avec la Direction interministérielle du numérique, est responsable du maintien à jour des exigences du référentiel général de sécurité.

L’ANSSI accompagne les autorités administratives dans l’application du RGS en leur fournissant des outils de compréhension des exigences et publie des guides explicatifs ; Elle peut également être contactée via l’adresse [email protected] pour tout besoin de complément d’information.

L’ANSSI habilite les organismes chargés de la qualification des services de confiance.

L’ANSSI qualifie les produits de sécurité