Marylyne Boubée, RSSI du Département de la Haute-Garonne, souligne l’importance d’une sécurité intégrée dès le début des projets SI. Grâce à une collaboration étroite avec MGDIS, des actions comme le Bug Bounty avec le coter numérique et l’anticipation de NIS2 renforcent la maturité cyber de la collectivité.
Documents et informations sécurité fournis par MGDIS au lancement du projet
Au démarrage du projet : tous les documents nécessaires au projet, un dossier d'architecture technique et autres dossiers d'exploitation ont été fournis. C'est aussi des documents qui nous ont été fournis et aussi sur lesquels on échange pas mal avec Vivian Pelissou, RSSI de MGDIS, et aussi dans le cadre de nos rédactions de fiches réflexes en cas de problèmes cyber. "Quels sont les interlocuteurs ?" C'est nécessaire d'avoir ces éléments-là, et surtout quelles sont les actions à faire de part et d'autres.
L’accompagnement de MGDIS dans la mise en œuvre de la sécurité
Il est important de savoir aussi que nous avons une relation de confiance avec le RSSI de MGDIS qui nous permet d'avoir vraiment un échange très concret sur la sécurité et les évolutions à avoir.
C'est aussi cet échange-là qui est très important pour avoir une dynamique et avoir des réponses à nos questions qu'on trouve peut-être pas forcément dans les documents ou qui sont noyés dans les documents ! Il y a des réunions de travail et une collaboration je dirais entre MGDIS et le CD 31 qui nous permet de pouvoir être plus sereins.
Sécurité des SI : une approche proactive et collaborative
Comme tout projet « Système d’Information », il est important de prendre la sécurité dès le début du projet, de se reposer régulièrement les bonnes questions. AIDEN est une plateforme que nous mettons à disposition de tiers, les collectivités ont obligation de faire une homologation RGS de la plateforme. Donc pour cette homologation, nous avons mené des tests de vulnérabilité, des scans de vulnérabilité. Avec l’association des collectivités territoriales; le coTer numérique, nous avons mené un projet de bug bounty notamment sur AIDEN, fin 2022. Ca a été vraiment donc un beau travail d’équipe et c’est important de se reposer les questions régulières sur les projets systèmes d’information quels qu’ils soient puisque la sécurité évolue, les technologies évoluent et puis l’imagination des attaquants évolue également !
MGDIS et NIS2 : une conformité anticipée et une collaboration renforcée
Selon moi, MGDIS se positionne déjà sur la réglementation NIS2. Vous avez travaillé sur donc votre plateforme AIDEN et sur une plateforme SecNumCloud. C’est déjà en avance sur la réglementation. Un des points importants c’est que cet échange, on va dire entre le client et vous, qui nous permet notamment de pouvoir avoir une vision de nos tiers dans le cas de la réglementation NIS2.
Ces échanges que nous faisons régulièrement ainsi que tous les documents qui ont été fournis et autres, permettent de voir vers quoi on va et surtout de connaître on va dire la maturité cyber de MGDIS. Ce qui va être aussi demandé dans le cadre de de NIS2 que nous comme le Département de la Haute-Garonne va être logiquement dans les entités dénommées « entités essentielles » au sens de NIS2 par effet rebond, nous allons devoir demander à nos prestataires un certain nombre de choses pour vérifier leur maturité cyber et également vérifier s’il y a des failles, etc… C’est le travail que nous avons déjà mené depuis quelques années déjà avec MGDIS donc on est vraiment dans cette dynamique de continuité.
Sécurité des SI : évaluer la maturité cyber et bâtir un plan d’actions efficace
Je dirais qu’en premier il est important de se poser la question sur la maturité cyber du prestataire, lui poser des questions de base qui en gros sont un peu on va dire à l’image du « Guide essentiel de l’ANSSI« . Et ensuite aller plus loin dans la démarche en ayant un dialogue constructif entre partenaires afin de pouvoir après analyser point par point la sécurité de la plateforme. Donc nous, pour le travail qu’on a fait avec MGDIS, on a eu ces questionnaires et on s’est appuyé sur « mon service sécurisé de l’ANSSI« , la plateforme qui permet de pouvoir, selon le système d’information, d’avoir une liste d’exigences qui est nécessaire, afin que le service soit garanti.
C'est sur cette base-là que nous avons échangé avec MGDIS pour voir si les différents points étaient pris en compte Ce qui nous permet d'avoir un plan d'actions ; Pouvoir définir donc un plan d'actions sur la sécurité pour augmenter le niveau de sécurité, et par la même d'être aussi, comme on le disait tout à l'heure à la question précédente, être en conformité NIS2. L'idée c'est d'avoir un "plan d'actions sécurité", de se fixer des objectifs pour faire évoluer les actions des deux côtés. Et appliquer la sécurité à chaque étape du projet se reposer les bonnes questions. Si jamais il y a des interfaces qui sont mises en place au fur à mesure du projet, se reposer la question pour voir si en mettant en place des nouveaux modules ou autres on n'a pas dégradé la sécurité sur tel autre aspect. Le besoin est colossal et il est important d'y aller étape par étape et de façon pragmatique : se poser les bonnes questions. L'idée c'est pas d'être conforme à tous les sens du terme à telle ou telle réglementation, c'est de savoir où est-ce qu'il y a des efforts à faire et comment on fait pour faire mieux en fait.
Intelligence Artificielle et cybersécurité : un allié stratégique pour anticiper les menaces
L'Intelligence Artificielle peut nous aider sur la cybersécurité en général, comme automatiser certaines tâches répétitives, pour nous faire gagner du temps. Je vois l'IA comme un compagnon sur certaines tâches qui nous permettent de pouvoir rédiger un rapport d'audit plus facilement ou avoir aussi des éléments qui remontent de façon automatisée sur telle ou telle faille de sécurité. Au même titre que l'IA peut nous aider dans nos métiers, elle peut aussi aider les cyberattaquants donc l'idée c'est d'essayer d'avoir toujours un coup d'avance.
Je vois plutôt l'IA comme un compagnon ou un collègue qui nous permettrait de pouvoir automatiser certaines tâches. Je pense notamment l'analyse de certains incidents sécurité, l'IA peut faire un premier niveau d'analyse qui nous permet d'aller plus vite au fond des choses et gagner du temps sur ces aspects-là. Outre nos métiers de RSSI, je pense que l'IA peut aussi être une aide à l'utilisateur du système d'information dans son quotidien. Dans le sens où peut-être qu'une IA peut aider facilement à faire une première gestion d'incidents "premier niveau" ou "d'accompagnement premier niveau" sur un utilisateur pour une question basique que ça soit sur une application ou sur un problème système d'information sans forcément parler de cyberattaque.
Intelligence Artificielle et cybersécurité : un allié stratégique pour anticiper les menaces
Je trouve qu'on a vraiment un partenariat avec MGDIS très important pour moi et qui nous a permis de pouvoir travailler sereinement aussi sur cet aspect "Bug Bounty", "chasse aux vulnérabilité". Je pense qu'on a noué une relation qui est une relation de confiance et qui nous permet de pouvoir aborder sereinement les évolutions qui vont arriver aussi sur les outils. Certes on a une relation contractuelle mais moi je vois ça plus comme un partenariat entre RSSI; un partenariat et un échange aussi de bonnes pratiques entre pairs.
La plateforme AIDEN, en intégrant des mesures de sécurité rigoureuses dès le début du projet, incarne un modèle de collaboration réussie entre le Département de la Haute-Garonne et MGDIS. Ce partenariat de confiance, renforcé par des échanges réguliers et des initiatives comme le Bug Bounty, assure non seulement la conformité avec les normes NIS2, mais aussi une gestion proactive de la cybersécurité à chaque étape du projet.
