Pour qui ?
Ce module s’adresse :
- aux concepteurs d’applications (Direction Générale, Direction R&D, Chefs de Produits, Chefs de Projets, Direction Juridique, Directions métier) ;
- aux DSI et RSSI en charge de leur exploitation et de leur sécurisation ;
- aux entités en charge de vérifier la conformité au RGS.
Pourquoi ?
Parce que le respect du RGS est une obligation pour toutes les collectivités publiques !
Peut-on envisager de laisser les données d’un citoyen accessibles à tous ? De laisser un pirate accéder aux fiches de paye des employés ? De permettre à quiconque de réaliser une signature électronique au nom d’un décideur ou d’un élu ?
La sécurité n’est pas une option : elle est un réel besoin technique, juridique, et même moral.
La démarche
La démarche d’audit consiste :
- à vérifier que le RGS a été pris en compte dans la conception du ou des services concernés et de leur environnement d’exploitation (existence d’une étude de sécurité) ;
- à vérifier que les niveaux de sécurités retenus, de (*) à (***), sont respectés dans la réalité des faits ;
- à identifier les non-conformités et à proposer des solutions de mise à niveau.
Les livrables
Les livrables sont les suivants :
- le rapport de l’audit, comportant la liste des points conformes et non conformes ;
- un document de recommandations concrètes dans le but d’atteindre la conformité.
Les gains
Les gains principaux à attendre d’un tel audit sont :
- la vérification de la conformité ;
- une démarche pragmatique destinée à faciliter la mise en conformité plutôt qu’à sanctionner les écarts. ;
- le point de vue d’un expert de la sécurité et non d’un auditeur généraliste.
La durée
De 5 à 20 hommes.jours selon le projet.
Un exemple de mission
Ville du Havre : conformité RGS du Guichet Unique de la ville