Sécurité informatique

RGS
RGS-web

SECURITE INFORMATIQUE : le Registre Général de Sécurité

Le référentiel général de sécurité est pris en application du décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives.

  • Le RGS (registre général de sécurité) version 2.0 a été publiée par arrêté du Premier ministre du 13 juin 2014. Elle est applicable depuis le 1er juillet 2014.
  • Le RGPD : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  • La loi informatique et libertés : Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Homologuer la sécurité de votre système d’information est-il pertinent ?

Le risque zéro n’existe pas, à vous de maitriser le risque en adoptant une démarche d’homologation.

Toutes les collectivités, quelle que soit leur taille, sont concernées par la cybermalveillance aux conséquences parfois dévastatrices.

  • Les impacts directs sont : interruption des services administratifs, inaccessibilité des documents financiers ou administratifs, fuites de données à caractère personnel…
  • Les impacts indirects sont : coûts financiers de rétablissements des services numériques, l’atteinte à la réputation, les conséquences juridiques…

Outre le fait que vous êtes soumis à la loi RGS de 2010, homologuer la sécurité de votre système d’information est bénéfique pour votre commune sur de nombreux aspects :

  • Protection de vos données et celles des administrés que vous traitez, vos services en ligne et votre système d’information et de communication
  • Sensibilisation de vos agents aux risques de cybermalveillance ;
  • Accroissement de la confiance de vos administrés…
Comment ?

L’homologation détermine les règles permettant aux autorités administratives de garantir aux citoyens et aux autres administrations un niveau de sécurité de leurs systèmes d’information adapté aux enjeux et risques liés à la cybersécurité.

En Cartographiant les données circulant dans votre système d’information et en déterminant la criticité de vos traitements, vous pourriez cibler les actions prioritaires à mettre en œuvre pour protéger vos missions.
A l’issue du diagnostic de sécurité et de l’homologation, vous serez en mesure d’apprécier et de valider votre niveau de risque résiduel.

Pour cela vous pouvez vous faire accompagner dans la démarche par le SIEEEN.

De plus, vous bénéficiez d’une subvention de France relance à hauteur de 210 euros.
Pour toute question ou pour manifester votre intérêt, cliquer ici.

Plan de relance - France Relance

Vous n’êtes pas à l’abris d’une attaque cyber, n’attendez pas et réagissez maintenant, renforcez votre système d’information !

Chiffres clés :
  • 30 % des collectivités territoriales ont été victimes d’un rançongiciel (Etude du Clusif, juin 2020),
  • 192 attaques ont été enregistrées en 2020, avec une rançon de 130.000 euros en moyenne. Le nombre de cyberattaques a été multiplié par quatre en France en 2020 (Source ANSSI).
  • En 2020, les signalements d’attaques par rançongiciel ont été multipliés par 3,5 par rapport à 2019. Toutes les collectivités sont concernées, quelle que soit leur taille (Source ANSSI).

En 2020 :

RGS recherche

Responsabilité des collectivités territoriales :

Les collectivités territoriales sont responsables de la sécurité des données qu’elles traitent et de leurs
services numériques vis-à-vis des autorités et des citoyens.

Quel risque pour la commune en cas de violation de données non déclarée ?

Le fait de ne pas de ne pas procéder à la notification d’une violation de données à caractère personnel à la CNIL est passible de 5 ans d’emprisonnement et de 300 000 euros d’amende (Article 226-17-1 du code pénal modifié par l’ordonnance n°2018-1125 du 12 décembre 2018).

Exemple de sanction en cas de faille de sécurité :

La CNIL (Délibération CNIL n°2018-003 du 21 juin 2018) a ainsi sanctionné une association en tant que responsable de traitement suite à un incident de sécurité sur son site internet rendant librement accessibles les données personnelles de ses utilisateurs au titre de l’article 34 de la loi du 6 janvier 1978 modifiée, et ce, alors même que le site a été développé par une société prestataire. L’ampleur de la violation (plus de 40 000 documents accessibles) et le degré de sensibilité des données concernées (références bancaires, numéros de sécurité sociale, salaires, passeports...) ont justifié la décision prise par la CNIL de sanctionner l’association à hauteur de 75 000 euros et de rendre publique cette décision.

chiffres clés

30
%
des collectivités territoriales
ont été victimes d’un rançongiciel
192
attaques ont été enregistrées en 2020
130 000
€ de rançon en moyenne