article content:

Sécurité informatique

RGS
Trois questions sur la gouvernance de la donnée
slider donnees

Rencontre avec Isabelle Lyon, responsable du service Gouvernance de la donnée, au SIEEEN

donnees

Qu’est-ce que la gouvernance de la donnée ?

On regroupe sous cette appellation l’ensemble des pratiques, normes, règles et procédures qu’une organisation met en œuvre pour gérer de façon sécurisée les flux de données internes et externes. Toutes les collectivités doivent, aujourd’hui, se mettre en conformité en respectant les différents décrets et les différentes lois en vigueur dont le RGPD du 4 avril 2016, le décret du 2 février 2010 et RGS 2.0 du 13 juin 2014, la loi pour une république numérique du 7 octobre 2016. La gouvernance est constituée des personnes décisionnaires de l’organisation. Celles-ci doivent définir une politique de mise en conformité des données. Les finalités de la gouvernance des données sont multiples. Le nouveau service dédié du SIEEEN s’est fixé pour missions d’aider les collectivités nivernaises à définir les politiques sécuritaires de leurs moyens informatiques, des utilisations de ces derniers et du traitement des données, entre autres. Nous proposons, ainsi, un accompagnement dans la sécurisation et la protection des droits des administrés et des personnes sur l’utilisation de leurs données personnelles. En mettant en œuvre la gouvernance des données, les collectivités vont améliorer la qualité de leurs données et assurer leur disponibilité, leur accessibilité, leur intégrité et leur sécurité. Comment valoriser, en effet, de façon optimale certaines données dans des cadres plus généraux tels que les smart city, les objets connectés ou au sein des services des collectivités ? Le SIEEEN dispose des compétences pour accompagner les élus et les aider à concevoir et mettre en œuvre leurs plans d’actions.

Quelles sont les responsabilités des élus lorsqu’on évoque les données ?

L’article 24 du Règlement général sur la protection des données (RGPD) rappelle que le responsable du traitement doit mettre en œuvre toutes les mesures techniques et organisationnelles pour s’assurer du traitement conforme des données personnelles au sein de sa collectivité. Le maire ou le président est légalement responsable, c’est son rôle. Il est également responsable de la façon dont son système informatique est exploité. Au sein de toute collectivité, l’ensemble des utilisateurs de matériels informatiques doit être sensibilisé aux risques de la cybermalveillance. La collectivité a-t-elle une charte informatique et smartphone qui réglemente l’usage informatique, et, qui prémunit des mésusages ? L’élu responsable a-t-il scénarisé les risques liés à la gestion des infrastructures au sein de son environnement (incendie, intrusion, destruction…) ? A-t-il donné des instructions à ses sous-traitants pour garantir le niveau de sécurité exigé ? Toutes ces questions sont fondamentales ! Il appartient au maire ou au président de sécuriser son organisation. J’insiste sur le fait que le transfert de compétence au SIEEEN porte sur la compétence matérielle, logicielle et la maintenance. Le Syndicat garantit la qualité des services rendus dans ce cadre précis. L’élu demeure responsable légal face à la cybermalveillance. Il doit s’assurer, de ce fait, que toutes les dispositions ont été prises pour garantir la sécurité informatique au sein de sa collectivité (utilisation, hébergement, sauvegarde…). Pour cela, il peut appliquer les 42 mesures de sécurité préconisées par l’Autorité nationale en matière de sécurité et de défense des systèmes d'information (ANSSI) publiées dans son guide d’hygiène informatique.

Sans gouvernance de la donnée, on ne peut disposer d’un écosystème numérique de confiance…

C’est exact ! De plus en plus de services sont dématérialisés. Il est important que les collectivités comprennent l’importance de prendre des mesures adaptées pour sécuriser leurs données, les transmissions d’informations des usagers ainsi que les traitements des données au sein de leur structure. Les collectivités doivent se conformer au référentiel général de sécurité 2.0 de 2014 sur la sécurisation des données entre les administrés et leurs administrations. Toute cyberattaque ou mésusage entrainant l’arrêt des services ou la diffusion non autorisée de données porte atteinte à la confiance de l’administré en sa collectivité. L’accompagnement du SIEEEN vise à renforcer et pérenniser cette confiance. L’homologation des collectivités au Référentiel Général de Sécurité (RGS 2.0) y contribue, justement.