Lionel Tardy
Question N° 83978 au Ministère de l'Intérieur
Question soumise le 13 juillet 2010
M. Lionel Tardy demande à M. le ministre de l'intérieur, de l'outre-mer et des collectivités territoriales de lui donner des indications sur les mesures de sécurité informatique prises dans son ministère, afin d'éviter les intrusions extérieures et les vols de données numériques. Il souhaite savoir s'il fait appel, pour ces missions, à des prestataires extérieurs, ainsi que le coût de ces prestations en 2009. Il souhaite enfin connaître les mesures qu'il entend prendre pour mettre en oeuvre les règles de sécurité du référentiel général de sécurité du 6 mai 2010.
Réponse émise le 28 février 2012
« M. Lionel TARDY demande à M. le ministre de l'intérieur, de l'outre-mer et des collectivités territoriales de lui donner des indications sur les mesures de sécurité informatique prises dans son ministère, afin d'éviter les intrusions extérieures et les vols de données numériques. Il souhaite savoir s'il fait appel, pour ces missions, à des prestataires extérieurs, ainsi que le coût de ces prestations en 2009. Il souhaite enfin connaître les mesures qu'il entend prendre pour mettre en oeuvre les règles de sécurité du référentiel général de sécurité du 6 mai 2010 ». Le ministère de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration (MIOMCTI) a pris la mesure de la menace liée aux cyber-attaques depuis plusieurs années. Dans ce cadre, l'application des dispositions découlant du livre blanc sur la défense et la sécurité nationale du 17 juin 2008 s'est traduite par la montée en puissance du dispositif préexistant de protection des systèmes d'information relevant du ministère. Les mesures de sécurité des systèmes d'information (SSI) du ministère reposent sur deux piliers : la politique de sécurité des systèmes d'information (PSSI) du ministère diffusée en janvier 2009, et l'action de la chaîne SSI chargée de décliner et d'appliquer localement cette politique. Cette organisation relève de la responsabilité du Service du Haut Fonctionnaire de Défense (SHFD), placé auprès du Secrétaire Général du ministère, qui agit en coordination avec la direction des systèmes d'information et de communication (DSIC) et s'appuie sur le dispositif interministériel élaboré par l'agence nationale de sécurité des systèmes d'information (ANSSI). De plus, le ministère de l'intérieur réalise, sur le périmètre des directions départementales interministérielles (DDI) créées fin 2009, le suivi de l'application des mesures de sécurité. Pour le pilotage de l'ensemble de ces politiques, le service du HFD du ministère s'appuie sur une chaîne fonctionnelle : chaque direction, chaque préfecture, est responsable de l'application des politiques ministérielles sur son périmètre, en fonction des enjeux locaux et de l'analyse des risques. Chaque service a désigné un responsable de sécurité des systèmes d'information (RSSI). Ces RSSI, dont le nombre avoisine 350, rendent compte, sous l'autorité des préfets ou chefs de service, de la bonne application des politiques auprès du service du HFD, qui s'assure ainsi de l'efficacité des mesures de sécurité des systèmes d'information déployées localement, ainsi que de la conformité de celles-ci aux politiques du ministère et à la réglementation. Le ministère dispose, en outre, du Centre National de Gestion et d'Expertise de la SSI (CNGESSI), qui relève directement du service du HFD et exploite quotidiennement les « signaux faibles » émis par les systèmes et réseaux afin de détecter, anticiper et prévenir les cyber-attaques. Le ministère de l'intérieur, comme toutes les administrations, fait enfin l'objet d'inspections périodiques de l'ANSSI. La dernière a eu lieu en 2009-2010 et a permis de remettre à niveau et d'améliorer la sécurité sur certains points concernant des systèmes d'information anciens. S'agissant du recours à des prestataires extérieurs dans le cadre des missions de sécurité informatique, le ministère, et en particulier la DSIC, est effectivement amené à solliciter différentes compétences, essentiellement des prestations intellectuelles et des logiciels et matériels spécifiques de sécurisation des systèmes. Sur les logiciels et matériels d'une part, le maintien en condition de sécurité de l'ensemble des systèmes suivis par la DSIC représente un contrat de 400.000 euros. Le parc d'anti-virus et anti-malwares fait l'objet d'un marché spécifique de trois ans d'un montant de 900.000 euros, soit 300.000 euros par an en moyenne. Sur l'administration centrale seule, la mise à niveau de la sécurité des systèmes a été chiffrée à 70.000 euros pour 2011. D'autre part, des prestations intellectuelles concernent l'assistance dans la conduite d'analyses du risque pour certains projets menés par la DSIC. Elles font l'objet d'un marché à bons de commande dont la consommation est liée au rythme des projets. En 2011, ce marché représente 50.000 euros de dépenses. Enfin, chaque projet en sous-traitance intègre des clauses contractuelles de sécurité des systèmes d'information, engageant les fournisseurs, mais qui ne font pas l'objet d'une ligne budgétaire spécifique. Il convient enfin de citer la réalisation d'un grand projet ministériel dépassant le strict cadre des missions de sécurité des systèmes d'information, mais concourant à terme à l'amélioration considérable des mécanismes d'accès aux systèmes d'information au sein du ministère. La future carte agent ministérielle fournira aux agents du ministère un dispositif d'authentification forte, ainsi que de signature et de chiffrement. Ce dispositif est qualifié au sens du référentiel général de sécurité (RGS).
Aucun commentaire n'a encore été formulé sur cette question.