Projet d'Appui Conjoint Ã la Bonne Gouvernance dans les ...

More documents

Recommendations

Info

PROJET D’APPUI CONJOINT À LA BONNE GOUVERNANCE DANS LES DOMAINES DES FINANCES PUBLIQUES ET DE LA STATISTIQUE (PAC) ADE - ATC Consultants Certaines applications révèlent des failles dans leur fonctionnement et autorisent des saisies en double ou des impressions de bulletins et bordereaux en double (cas du buffer d’impression de Sicope non vidé après interruption accidentelle) ce qui entraine un double paiement de ces bordereaux (cas avéré mais qui semble être résolu à ce jour). Sur un plan physique l’accès aux salles informatiques est souvent peu régulé avec la plupart du temps une simple clé. La majorité d’entre elles ne possède aucun système de détection et d’alarme incendie (une installation est en cours au ministère, bloc technique) et leur système électrique n’est pas aux normes (voir supra). La sécurité physique des équipements n’est donc pas assurée, mettant en danger l’existence des données. 9.2 Besoins exprimés et constatés La plupart des besoins exprimés sur ce sujet concerne la sécurité électrique (onduleurs, générateurs), la protection contre les virus et les sauvegardes. La sécurité physique des serveurs est évoquée par la volonté de mettre en œuvre de véritables salles informatiques. Des besoins procéduraux sont pourtant bien réels, avec un manque manifeste de règles encadrant les interventions sur les données et les codes sources, la gestion des mots de passe et des droits d’accès sur les réseaux, le comportement des utilisateurs vis-à-vis d’Internet, etc. 9.3 Avis de la mission La sécurité d’un SI revêt de nombreux aspects. Elle concerne tout aussi bien l’informatique que l’Humain, premier maillon de la chaîne informatique et souvent élément le plus difficile à sécuriser ! Le rôle de la DOI doit plus que jamais être renforcé sur ce chapitre. Nous l’avons déjà indiqué, mais cette direction doit être le centre de gouvernance du SI et donc être garante de la sécurité des données. Un responsable de la sécurité des systèmes d’information (RSSI) doit être nommé et avoir des compétences claires en matière de surveillance du SI et de proposition de règles et procédures pour améliorer la sécurité. Il doit être consulté lors de chaque projet informatique pour étudier les impacts en termes de sécurité. Il doit également être informé de tous travaux d’infrastructure, qu’ils visent le réseau informatique ou le réseau électrique, et avoir la capacité de les faire modifier si des risques sont identifiés. Pour faciliter la mise en place de règles de sécurité efficaces, tous les postes de travail de toutes les structures du ministère doivent être intégrés dans un domaine disposant d’un mécanisme de gestion à distance des droits d’utilisateurs. Active Directory sous Windows 2003 et Windows 2008 est à privilégier en raison des outils déjà disponibles au sein du ministère. Le RSSI et les administrateurs réseaux doivent alors réfléchir aux différents groupes d’utilisateurs à créer et des droits qu’il convient de leur attribuer, que ce soit pour l’accès aux ressources du réseau (stockage, Internet, etc.) ou pour l’accès aux applicatifs métier. Sur cette base le RSSI, en concertation avec les autorités du ministère, devra proposer et mettre en œuvre une politique globale de sécurité qui concernera la gestion des mots de Version provisoire – 10 juin 2011 Page 82
PROJET D’APPUI CONJOINT À LA BONNE GOUVERNANCE DANS LES DOMAINES DES FINANCES PUBLIQUES ET DE LA STATISTIQUE (PAC) ADE - ATC Consultants passe, l’utilisation des supports amovibles, les solutions antivirales à adopter globalement au ministère (il devra faire garantir le financement des abonnements), le mécanisme des sauvegardes de données, l’utilisation d’Internet (afin d’assurer une bonne utilisation de la bande passante disponible), etc. Cette politique doit être validée au niveau du Ministre et être acceptée par toute la hiérarchie qui devra se l’approprier pour la rendre applicable. Des audits réguliers seront fait par le RSSI pour vérifier l’application de cette politique et, selon les besoins, l’améliorer. Le trop grand nombre d’interventions manuelles dans la chaine de traitement de l’information est une cause non négligeable de failles de sécurité. Par conséquent une intégration plus forte des différents applicatifs métier est à rechercher. Cela doit se faire avec les responsables des infrastructures réseau et applicative (interconnexion fiable des réseaux, dialogue automatisé entre applications via un EAI et/ou un data warehouse, etc.) sous la coordination de la DOI et avec l’implication du RSSI. Enfin la sécurité physique des équipements doit être assurée. Cela passe par le réseau électrique, mais également des systèmes de détection incendie, de contrôle d’accès aux salles informatiques (badges, caméras). Recommandations : • renforcer le rôle institutionnel de la DOI pour l’ensemble du ministère et des organismes associés • créer le poste de Responsable Sécurité des Systèmes d’Information (RSSI) au sein de la DOI • définir une politique globale de sécurité des SI et la faire valider par le Ministre des Finances • organiser des ateliers de sensibilisation à destination des conseillers, directeurs et chefs de service pour qu’ils se l’approprient • organiser les mécanismes de vérification de la bonne application de cette politique et de sa mise à jour • favoriser l’achèvement des travaux de modernisation du réseau informatique (financement, assistance technique, matériel, etc.) • favoriser la réalisation des interconnexions entre les applications (EAI, data warehouse) • garantir la sécurité physique des équipements (électricité, accès aux salles, détection incendie, etc.) Version provisoire – 10 juin 2011 Page 83
Page 1 and 2:
Lettre de marché N° 2010/257973 C
Page 3 and 4:
PROJET D’APPUI CONJOINT À LA BON
Page 5 and 6:
Page 7 and 8:
Page 9 and 10:
Page 11 and 12:
Page 13 and 14:
Page 15 and 16:
Page 17:
Page 21 and 22:
Page 23 and 24:
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32: PROJET D’APPUI CONJOINT À LA BON
Page 33: PROJET D’APPUI CONJOINT À LA BON
Page 132 and 133:
Page 134 and 135:
Page 136 and 137:
Page 138 and 139:
Page 140 and 141:
Page 142 and 143:
Page 144 and 145:
Page 146 and 147:
Page 148 and 149:
Page 151 and 152:
Page 153:
Page 156 and 157:
Page 158 and 159:
show all

Projet d'Appui Conjoint Ã la Bonne Gouvernance dans les ...

Create successful ePaper yourself

Delete template?

Save as template?