La sécurisation des services publics en ligne est une nécessité pour les collectivités publiques, les mairies, les administrations, les hôpitaux, ... Mais c'est aussi loin d'être une sinécure, et s'apparente parfois en un long chemin de croix. Pour aider les acteurs publics dans la protection de leurs services en ligne, l'agence nationale de la sécurité des systèmes d'information (Anssi) a lancé MonServiceSécurisé. Accessible gratuitement sur inscription, ce service propose différentes actions pour sécuriser et homologuer aussi bien des sites web, des applications mobiles que des API.
En bénéficiant d'une homologation de sécurité, les services publics concernés vont pouvoir attester de la mise en oeuvre de mesures de sécurité pour protéger un système d'information. Elle se base sur l'implication et la responsabilisation de l'ensemble des personnes concernées par sa sécurité. Précisons que l'homologation de sécurité est obligatoire pour l'ensemble des entités publiques au titre du règlement général de sécurité (RGS).
Un indice cyber qui n'engage pas l'Anssi en cas d'incident de sécurité
« MonServiceSécurisé permet de référencer un service numérique en projet, en cours de développement ou déjà en ligne puis de le décrire afin d'accéder à une liste personnalisée de mesures de sécurité élaborée par l'Anssi et obtenir une évaluation indicative du niveau de sécurité du service concerné, appelé indice cyber », explique notamment l'agence. Attention toutefois à ne pas prendre pour argent comptant cette notation : « Cette note ne constitue pas une preuve du niveau de sécurité du service mais une évaluation indicative basée sur les déclarations de l'équipe de l'entité ayant référencé le service. MonServiceSécurisé et l'Anssi ne peuvent en aucun cas être tenus responsables d'incidents de sécurité susceptibles d'affecter le service numérique, quelle que soit la note attribuée à ce dernier », prévient l'Anssi.
Pour aider à la réalisation d'une homologation de sécurité, l'agence liste plusieurs catégories de prestataires et d'outils. Comme par exemple utiliser un outil d'analyse de risque labellisé Ebios Risk Manager, un prestataire d'accompagnement et de conseil en sécurité des systèmes d'information qualifié et/ou d'audit de sécurité ou d'autres solutions référencées ou qualifiées par l'Anssi.