Un plan triennal ambitieux
Le rapport sur la sécurité des systèmes d'information de l'Insee présente un constat clair et précis de nos ressources informatiques avec ses points vulnérables. Il propose une stratégie triennale d'amélioration de ce système bâtie sur 27 préconisations à mettre en oeuvre par l'ensemble des acteurs de l'Institut.
La CFDT approuve ces préconisations et demande que les moyens humains et financiers soient débloqués pour pouvoir les mettre en oeuvre.
Le Ministère des Finances constate une multiplication des cyberattaques visant à détruire ou modifier les données, à ralentir ou supprimer les services.
L'Insee n'a pour l'instant pas été ciblé par ces grosses attaques, mais n'en est pas pour autant à l'abri.
Le rapport 2017 met en exergue plusieurs failles et points d'amélioration de la sécurisation de notre système d'information. Les préconisations sont regroupées en axes de travail qui touchent 5 domaines d'action.
Le premier d'entre eux vise à accroître la robustesse de l'ensemble de l'architecture de notre système d'information sur un plan matériel et technique. Pour cela, 3 axes sont définis.
Le premier porte sur la sécurisation des locaux, qu'ils soient partagés avec d'autres administrations ou non. Un état des lieux des modalités d’accès aux différents locaux de l’Insee sera réalisé, tant pour les agents de l’Institut que pour les visiteurs.
Le deuxième se focalise sur la sécurisation des accès logiques au système d’information (datacenter, réseaux locaux, postes de travail).
Le dernier axe consiste en la mise en place de solutions pour préserver notre patrimoine numérique en cas d’incidents majeurs.
Le second domaine d'action a pour ambition d'améliorer la compréhension et l'expertise des sujets relatifs à la sécurité de notre système d'information. Pour cela, 2 axes sont identifiés.
Le premier consiste à développer, partager et accompagner l'expertise dans le domaine de la sécurité des systèmes d'information.Le second consiste à développer une culture opérationnelle de la gestion des incidents, fondée sur la pratique et l’apprentissage, mais aussi sur un protocole préétabli et testé en situation réelle.
Le troisième domaine d’action vise à mettre en place les référentiels de travail permettant à chaque acteur de contribuer, à son échelle, au renforcement de la sécurité de notre système d'information.
Le quatrième domaine d'action se situe entre les solutions techniques et les choix d’organisation. Il a pour objectif de fiabiliser le processus de reprise d’actvité suite à un incident majeur, et de disposer d’outils de pilotage du risque.
Le dernier domaine d'action se trouve à la croisée de la maîtrise humaine des risques et des choix d’organisation. Son objectif est d'apporter, au-delà des seuls efforts de communication, un service de conseils et d’accompagnement, mais aussi une capacité d’écoute, pour s’assurer que les règles de sécurité soient appliquées mais aussi tout simplement applicables au quotidien.
Ainsi, ce rapport engage l'ensemble des agents de l'Insee. Chacun doit faire preuve d'une indispensable volonté conjointe permettant d'améliorer la sécurité de notre système d'information.
La sensibilsation de chaque acteur est importante mais ne peut se faire sans la prise en compte de la réalité du terrain de tous les établissements, notamment lorsque les agents sont en multi-sites.
Il revient ainsi à la Direction générale de s'enrichir des retours d'expériences des établissements qui ont subi la réforme territoriale pour évaluer l'impact des nouvelles organisations, plus ou moins centralisées, sur la sécurité.
Vos représentants CFDT
Nathalie Bailly
Stéphane Dupin
Antony Barille
CR RSSI 161018
