Patrick Paillloux, directeur général de l’ANSSI, a rappelé, lors de son discours de clôture des Assises de la sécurité et des systèmes d’information 2011, la nécessité du respect, encore trop peu fréquent, des règles élémentaires de sécurité par les autorités administratives. De sont côté, la Cnil a également publié des règles élémentaires de sécurité.

A l’évidence, de telles failles de sécurité sont susceptibles de mettre en cause la responsabilité des administrations. En effet, l’ordonnance du 8 décembre 2005 et le décret du 2 février 2010 sur le Référentiel général de sécurité (RGS) mettent à la charge des autorités administratives de :

  • déterminer les fonctions et le niveau de sécurité, après avoir identifié les risques et objectifs de sécurité ;
  • attester formellement auprès des utilisateurs de la conformité des téléservices au RGS ;
  • s’assurer de la conformité des produits et services au RGS.

Les délais de mise en conformité au RGS sont :

  • de trois ans, pour les systèmes d’information existant au 6 mai 2011 ;
  • d’un an, pour les applications créées dans les six mois suivant le 6 mai 2011 ;
  • immédiatement, pour les autres.

Rappelons que les autorités administratives sont tenues, en application de la Loi Informatique et Libertés, de veiller à la sécurité des données à caractère personnel. Malgré l’absence de sanction expresse du RGS, la responsabilité des autorités administratives peut donc être engagée pour manquement à leur obligation de sécurité.

Afin de limiter ces risques de mise en cause de leur responsabilité, les autorités administratives devront démontrer la réalisation de diligences suffisantes en termes de sécurité. Cette démarche de sécurité devra être adoptée en amont, dès la conception du système d’information.

Une fois l’analyse des risques, des besoins et des mesures réalisée, il conviendra d’adopter une politique de sécurité. Les autorités administratives devront veiller à formaliser les engagements en matière de sécurité de l’information dans :

  • leurs conditions d’utilisation des téléservices ;
  • les marchés conclus avec les prestataires techniques, y inclus les sous-traitants.

Enfin, le recours aux produits et services de sécurité qualifiés doit être envisagé comme alternative à la vérification par l’autorité administrative elle-même de leur conformité. Ce n’est que dans ces conditions que les autorités administratives pourront se prémunir contre les risques de mise en jeu de leur responsabilité, tant civile que pénale.

ANSSI, Communiqué du 8-10-2011
Décret n° 2010-112 du 2-2-2010
Ord. 2005-1516 du 8-12-2005