Texte de la REPONSE :
|
Le ministère de la culture et de la communication veille attentivement à assurer la sécurité de son système d'information en prenant en compte cette préoccupation dans l'ensemble de son activité : intégration de clauses sur les conditions de sécurité dans tous les achats et développements qu'il réalise ou fait réaliser, mise à jour systématiquement des logiciels utilisés, installation et mises à jour permanentes de logiciels anti-virus sur son réseau et chaque poste de travail, renforcement des contrôles d'accès à son système d'information (barrières de sécurité). Dans ce cadre, le ministère de la culture et de la communication est régulièrement inspecté, comme l'ensemble des ministères, par les services du Premier ministre (SGDSN/ANSSI). L'objet de ces inspections est de mesurer le niveau de sécurité effectif des installations informatiques et de donner, le cas échéant, les recommandations nécessaires. L'inspection réalisée en 2007 a conduit à un certain nombre de préconisations dont un suivi précis a été mené. La majorité des prescriptions ont été mises en oeuvre (84 % des priorités 1). Notamment, une politique générale de sécurité des systèmes d'information a été rédigée ; elle devrait être diffusée d'ici la fin de l'année. Le système d'information a été fortement sécurisé, les préconisations restantes sont mises en place au fur et à mesure des évolutions intervenant dans le système. Une nouvelle inspection périodique est programmée par l'ANSSI pour 2010. Concernant le déroulement des projets informatiques, conformément au Référentiel général de sécurité (RGS), la sécurité est prise en compte dès le début du projet et fait l'objet, pour ceux dont l'enjeu le nécessite, d'études de risques et de recettes de sécurité pour mesurer la bonne prise en compte et l'efficacité des infrastructures mises en place. Ces prestations, nécessitant des compétences pointues et une analyse en toute indépendance, sont externalisées et réalisées par des prestataires extérieurs spécialisés en sécurité des systèmes d'information. En 2009, le ministère de la culture et de la communication a dépensé 0,24 MEUR auprès de prestataires spécialisés pour des interventions spécifiquement destinés à la sécurité de son système d'information ou de ses composants. Concernant les mesures à prendre pour mettre en oeuvre les règles de sécurité du RGS, elles comprennent d'abord la passation d'un marché (en cours de notification) pour être en capacité de solliciter un prestataire pour la réalisation d'études de risques et d'audits techniques. Ensuite, un comité d'homologation interne au ministère va être constitué. Enfin, une refonte en cours de la méthode de réalisation des projets informatiques inclura les différentes étapes préconisées par le RGS, dont l'homologation des systèmes par le comité constitué.
|