Renforcement de la Sécurité des Systèmes d’Information : L’Arrêté du 8 Décembre 2023 et ses Implications pour les Administrations Publiques

Commenter / Numérique / Auteur :
Notez ce point juridique

L’Arrêté du 8 décembre 2023

L’Arrêté du 8 décembre 2023 introduit une obligation de contrôles annuels de maintenance préventive des systèmes d’information au sein des administrations publiques. Cette mesure vise à renforcer la sécurité et la fiabilité des systèmes d’information utilisés par les administrations.

Responsabilité des maîtres d’ouvrage

Les maîtres d’ouvrage et les donneurs d’ordre portent la responsabilité du bilan annuel de maintenance. Ils ont la possibilité de déléguer la maintenance préventive ainsi que la réalisation des points de contrôle à la maîtrise d’œuvre de leur choix. Cela signifie qu’ils peuvent faire appel à des prestataires externes pour s’assurer que les systèmes d’information sont correctement entretenus et sécurisés.

Les points de contrôle

Les points de contrôle à réaliser dans le cadre de cette obligation sont variés et couvrent plusieurs aspects essentiels de la sécurité des systèmes d’information.

Traçabilité

Les contrôles doivent être documentés de manière rigoureuse. Bien qu’ils ne soient pas nécessairement effectués le même jour, chaque contrôle doit être synthétisé dans une fiche datée par rubrique, reprenant les articles de l’annexe dans l’ordre. Cela permet de garantir une traçabilité complète des actions menées.

Sauvegardes et capacité de redémarrage

Il est impératif de vérifier les données de sauvegarde, tant locales que distantes. En particulier, l’âge des dernières sauvegardes exploitables doit être contrôlé. Si une sauvegarde a plus d’une semaine, une justification est requise. De plus, une relance machine doit être effectuée pour vérifier les capacités de redémarrage sans assistance manuelle, ainsi que pour évaluer la durée de ce redémarrage. Tout temps de service machine continu (« uptime ») supérieur à un an doit également être justifié.

Contrôle des composants par rapport à des failles connues

Les versions des composants utilisés doivent être comparées aux bases d’inventaires des failles connues. La filière sécurité des systèmes d’information est responsable de la mise à jour des outils permettant l’automatisation de ces contrôles. Par exemple, des outils comme Lynis pour Linux ou npm audit pour Node.js peuvent être utilisés pour s’assurer que les composants sont à jour et sécurisés.

Mises à jour des enregistrements

La maîtrise d’ouvrage doit actualiser plusieurs inventaires, notamment la cartographie des acteurs dans les registres d’aide à l’exploitation et à la gestion d’incidents, ainsi que les abonnements aux fils d’alerte de sécurité des composants. Ces mises à jour sont cruciales pour maintenir une bonne gestion des risques.

Revue des incidents

La maîtrise d’œuvre doit synthétiser les événements d’exploitation notables de la période, en se basant sur l’historique des indisponibilités non programmées et les tickets d’incidents. Cela permet d’identifier les problèmes récurrents et d’améliorer la gestion des incidents.

Le référentiel général de sécurité

Le référentiel général de sécurité (RGS) a pour objectif d’instaurer la confiance numérique dans les échanges électroniques. Il s’applique aux autorités administratives et aux organismes publics et privés fournissant des produits ou services de confiance.

À qui s’adresse cette réglementation ?

Le RGS s’applique à diverses entités, notamment les administrations de l’État, les collectivités territoriales, et les établissements publics à caractère administratif. Il s’adresse également aux organismes chargés de la qualification des produits et services de confiance.

Quelles sont ses principales dispositions ?

Le RGS fixe des exigences et recommandations pour les autorités administratives, incluant une démarche d’homologation de sécurité et des recommandations relatives à la méthodologie et à l’organisation de la sécurité des systèmes d’information. Les autorités peuvent recourir à des prestataires de services de confiance qualifiés pour se conformer à ces exigences.

Quel est le rôle de l’ANSSI ?

L’ANSSI est responsable du maintien à jour des exigences du RGS et accompagne les autorités administratives dans son application. Elle fournit des outils de compréhension des exigences et publie des guides explicatifs. Les autorités peuvent également contacter l’ANSSI pour toute question relative à la mise en œuvre du RGS.

Questions fréquentes

Quels types de systèmes d’information sont concernés par l’arrêté ?

Tous les systèmes d’information en réseau qui totalisent 500 heures d’utilisation mensuelle ou plus de 10 000 requêtes par mois sont concernés par l’arrêté.

Comment justifier un temps de service machine continu supérieur à un an ?

Il est nécessaire de fournir une documentation détaillant les raisons pour lesquelles le système a fonctionné sans interruption pendant plus d’un an, ainsi que les mesures de maintenance préventive mises en place.

Quels outils peuvent être utilisés pour les contrôles de sécurité ?

Des outils comme Lynis pour Linux, Trivy pour les conteneurs, et npm audit pour Node.js sont recommandés pour automatiser les contrôles de sécurité des systèmes d’information.

Comment se préparer à une homologation de sécurité ?

Il est conseillé de réaliser une analyse de risques préalable pour déterminer les besoins de sécurisation spécifiques au système étudié, puis de mettre en œuvre les mesures nécessaires pour répondre à ces besoins.
0 0 votes
Évaluation de l'article
S’abonner
Notification pour
guest
0 Commentaires
Le plus ancien
Le plus récent Le plus populaire
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x
Scroll to Top