CATALOGUE DE SOLUTIONS ET DE SERVICES - de confiance pour les collectivités territoriales, les établissements
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
CATALOGUE
DE SOLUTIONS ET DE SERVICES
de confiance pour les collectivités territoriales, les établissements
de santé, et les organismes au service des citoyens
ÉDITION
2023/2024
SOMMAIRE
Qui sommes-nous ? 04
Édito 06
Dossier 10
Parcours 1 : Fondation 31
Parcours 2 : Intermédiaire 40
Parcours 3 : Avancé 46
Parcours 4 : Renforcé 54
Fiches entreprises 63
3
QUI Keep It Safe and Secure
SOMMES-NOUS ? ©
HEXATRUST, Les offres et solutions Hexatrust répondent toutes à DASTRA
des exigences techniques de maturité et d’excellence.
LE GROUPEMENT
Elles sont reconnues en Europe et à l’international
DES CHAMPIONS par les plus grandes organisations et s’inscrivent
FRANÇAIS ET dans des logiques de certification et de souveraineté.
EUROPÉENS DE Les sociétés membres d’Hexatrust œuvrent ensemble
pour promouvoir et construire la confiance dans le
LA CYBERSÉCURITÉ
Cloud et l’excellence en matière de Cybersécurité,
ET DU CLOUD et contribuent ainsi au rayonnement numérique
DE CONFIANCE européen.
MEMBRES SPÉCIALISTES CHIFFRE D’AFFAIRES RÉALISÉ PAR
LES ADHÉRENTS D’HEXATRUST
Nos
valeurs EXCELLENCE CONFIANCE INNOVATION ACTION
Membre du Campus Cyber et
membre suppléant du CA au titre du
collège des associations
4 5
ÉDITO
Maintenance Lingerie Restauration Alarmes Supervision sûreté
Accès
Radiothérapie
Urgences
Recherche Radiologie
Incendie
Marc Loutrel
Directeur Expertise, Médicaux
Pharmacie
Innovation et International
Gestion
Réanimation ascenceurs
Achats
Blocs Para Patient Administratifs
Médicaux
Climatisation
Ventilation
A
Gestion Biologie
Stérilisation
près une période de pandémie qui Nous ne sommes jamais réellement prêts Financière
a entrainé une ouverture massive à ce type de crise et même à recevoir
des systèmes d’information autant de sollicitations médiatiques et de Dispositifs médicaux passifs DPI Dispositifs médicaux actifs
Chauffage
hospitaliers et des attaques massives reporting… et pourtant c’est précisément
sur 2020 et sur 2021, la cybermenace ce que les établissements de santé Gestion RH
ne diminue pas, et nous y sommes qui ont été victimes de cyberattaques
Énergie
collectivement un peu mieux préparés. doivent affronter : une communication
Téléphonie Communications Informatique / Réseaux
Après le premier plan de renforcement massive et des demandes d’analyse et Data Center
cyber décidé par le Président de la de comptes-rendus venant de toutes
République, et malgré les disparités par ts, notamment des institutions
entre les différents secteurs d’activité, (Ministère de tutelle, ARS, Préfectures…). Une task force a été montée en octobre du Ségur du numérique qui introduira,
le niveau de maturité a augmenté pour dernier pour élaborer avec les acteurs à cet égard, des exigences en sécurité
E n t a n t q u e C E RT S a n t é , e t p o u r d’administration centrale, mais aussi des systèmes d’information pour les
la santé. Et surtout, il y a maintenant
se préparer à la gestion de crise au régionale, le plan de renforcement solutions proposées aux professionnels
une réelle prise de conscience par les
ser vice des ES (Établissement de cyber massif dont les ES ont besoin, de santé par les entreprises du
pouvoirs publics, de l’échelle nationale à
Santé), nous avons été très fiers de notamment sur la partie infrastructure. numérique en santé.
l’échelle de l’établissement de santé, de la
coconstruire avec nos pairs en région, Cela est parfaitement intégré au projet
nécessité de progresser « collectivement »
des kits de cybercrise comprenant de la nouvelle feuille de route la e-santé To u t e s c e s i n i t i a t i v e s p o u r s e
sur ce sujet.
plusieurs niveaux, du débutant jusqu’au 2023-2027 en cours de concertation. déployer sur le terrain ont besoin
Les incidents récents du CHSF (Centre niveau avancé, qui nous l’espérons Il déterminera notamment pour la d’acteurs industriels bien au fait des
Hospitalier Sud-Francilien) de Corbeil- permettront aux structures sanitaires et cyber les sujets de : gouvernance, problématiques de cyber et ayant une
Essonnes et du Centre Hospitalier de médico-sociales de se préparer à une sensibilisation, ressources, exercices, réelle connaissance du secteur de la
Versailles démontrent, si cela était cybercrise. remédiation, financements et santé. À cet égard, Hexatrust fédère un
nécessaire, que la menace est encore certifications, hébergement. grand nombre d’acteurs proposant des
Le cas du CHSF a été le point de départ
bien présente et qu’il est nécessaire solutions souveraines indispensables
d’annonces politiques : une nouvelle
d’encore plus se préparer. En parallèle, l’Agence du Numérique en aux acteurs de la santé pour sécuriser
enveloppe de 20 millions d’Euros.
Santé prépare également la vague 2 leurs établissements.
6 7
en atteste la forte augmentation des souveraines et alignées sur les
ÉDITO attaques par malware ou ransomware
(+400% en 2021), et des fuites de
recommandations des Parcours cyber
de l’ANSSI. Il est dédié à tous ceux qui
données (+78% en deux ans). Avec veulent réaliser une transformation
l’utilisation croissante du numérique numérique résiliente et durable de
dans les organisations, le besoin de leur organisation, en résistant aux
se protéger et de protéger la chaîne cyberattaques, avec une démarche
de confiance est indissociable d’une responsable.
démarche responsable en matière de
Jean-Noël de Galzain Comme dit le proverbe chinois,
gouvernance.
Président d’Hexatrust « ce n’est pas le but qui compte mais
Pilote du projet Cybersécurité
Les acteurs industriels réunis autour le chemin » . Alors faisons un bout de
au sein du Comité Stratégique de
Filière « Industries de sécurité » d’Hexatrust ont donc constitué ce chemin ensemble, et suivez le guide...
catalogue de solutions cyber et
numériques de confiance, innovantes,
C
ette seconde brochure Ce dispositif confié à l’ANSSI depuis
capacitaire Hexatrust est un 2021 a insufflé une dynamique
guide pratique des solutions ver tueuse de modernisation des
cyber françaises, destiné à faciliter la protections cyber en agissant sur les
prise de décision et l’acquisition de compétences, l’audit et le financement
solutions pour faire face aux risques d’équipements appropriés, essentiel
numériques et aux cyberattaques. l e m e n t f ra n ç a i s e t e u ro p é e n s . L a
méthodologie retenue consiste à
Elle s’inscrit dans la continuité des
réaliser un audit, avant de suivre un
travaux du projet de cybersécurité
parcours de cybersécurité adapté à
au cœur de la stratégie nationale
l’état d’urgence des organisations
française lancée en 2021 par le
publiques et privées pour faire face à
Président de la République. Son
la menace des cyberattaques.
objectif, à travers le volet cybersécurité
de France Relance, est de renforcer la Car il y a urgence !
résilience des collectivités territoriales,
L’état de la menace cyber est élevé
des établissements de santé et des
comme jamais. Elle est devenue
organismes au service de tous, tout
en 2022 le risque majeur selon les
en dynamisant l’écosystème industriel
dirigeants des entreprises interrogés
français.
par le cabinet PWC dans le monde,
8 9
COLLECTIVITÉS ET SECTEUR
HOSPITALIER :
DES SOLUTIONS SOUVERAINES
EXISTENT POUR PARER LES
RISQUES CYBER
Le numérique irrigue aujourd’hui l’en et établissements de santé sont donc
semble des activités des établissements exposés à des enjeux particulièrement
publics. Collectivités territoriales comme forts en matière de sécurisation de leur
établissements de santé l’ont largement système d’information et des données
intégré dans leurs activités : relations qu’il contient.
dématérialisées avec les usagers, travail à
distance des agents, utilisation du cloud, Ces acteurs ne peuvent se protéger seuls
stockage des données patients, etc. face à des acteurs cybercriminels qui se
spécialisent, se professionnalisent et se
Cet usage accru du numérique améliore structurent en véritables organisations.
la qualité du service rendu au public, Des solutions souveraines existent
mais il amène également son lot de pour les aider à sécuriser leur système
contraintes, dans un contexte où les d’information et accroître leur niveau
risques cyber sont, chaque année, plus global de sécurité.
importants. Le principal danger est celui
d’une perturbation voire une paralysie de
l’activité en cas d’atteinte sur le système
d’information.
Le secteur des collectivités locales et
celui de la santé traitent des données
personnelles (comme l’état civil) et /
ou sensibles (comme les données de
santé). D’éventuelles perturbations dans
leur fonctionnement peuvent avoir des
conséquences graves. Collectivités locales
10 11
PAS DE RÉPIT POUR
LES COLLECTIVITÉS
RÉPARTITION DES ENTITÉS VICTIMES PAR
RANÇONGICIEL DANS LE CADRE DES INCIDENTS
TRAITÉS PAR L’ANSSI EN 2021
Les systèmes d’information de nos des enjeux cyber pour mieux protéger
52 % 3%
collectivités se sont complexifiés ces les données qu’elles manipulent et limiter PME/ Établissement
d’enseignement
dernières années, avec l’apparition (voire éviter) la perturbation de leurs TPE/ETI
supérieur
de nouveaux usages (e-ser vices, activités en cas de cyberattaque.
vidéoprotection, télétravail, objets
Les principaux risques auxquels sont
connectés, WiFi public). Les collectivités
exposées les collectivités sont le rançon
manipulent au quotidien de grandes
giciel, l’hameçonnage, le piratage de
qu a n t i t és d e d onné e s à carac tère
personnel en lien avec leurs activités, qui
compte et la violation de données (en forte
hausse)*.
19 % 7%
Collectivité Établissement
relèvent, pour certaines d’entre elles, du territoriale/ public de
domaine juridique ou politique. Elles sont locale santé
également tenues d’assurer la continuité
du service public, et leur maturité en
matière de sécurisation des systèmes 10 %
Entreprise
d’information est très hétérogène. Autant stratégique
d’éléments qui en font des cibles de
choix, quelle que soit leur taille, pour les
organisations cybercriminelles.
Pour les collectivités, l’inaccessibilité de
tout ou partie des documents financiers et QUELLES D’une part, toutes les attaques visant un système d’information n’ont pas
administratifs peut avoir des répercussions CONSÉQUENCES le même niveau de gravité. D’autre part, les collectivités n’ont pas toutes le
multiples, en particulier dans le domaine même niveau de préparation, ni les mêmes capacités de réponse à incident.
EN CAS DE
juridique. Elles ont donc Voici quelques exemples de conséquences de cyberattaque sur le
CYBERATTAQUES fonctionnement d’une collectivité :
tout intérêt à se saisir
VISANT DES
P erturbation et dysfonctionnement des services publics locaux :
COLLECTIVITÉS
restauration scolaire, gestion des finances publiques, état civil, versement
TERRITORIALES ? d’allocations, gestion de l’eau, parkings, piscines, etc ;
uite de données à caractère personnel (conséquences juridiques) ;
F
erte de données (parfois irrémédiable) ;
P
Coût et délai de reconstruction du SI ;
Atteinte à l’image et à la réputation, avec altération du lien de confiance
avec les citoyens ;
Impact psychologique sur les agents, sur l’équipe IT.
* S ource ANSSI : https://www.cert.ssi.gouv.fr/uploads/20220309_NP_WHITE_ANSSI_panorama-menace-ANSSI.pdf
12 13
QUEL PLAN D’ACTION POUR 2021-2022, intégré à la Stratégie
UNE VAGUE DE CYBERATTAQUES RENFORCER LA CYBERSÉCURITÉ Nationale de Cybersécurité dans le cadre
DÉFERLE SUR LES COLLECTIVITÉS DES COLLECTIVITÉS ET du plan « France 2030 ». Ainsi, elles se
ADMINISTRATIONS ? sont vu attribuer 60 millions d’euros (sur la
PLUSIEURS COLLECTIVITÉS TERRITORIALES
ONT ÉTÉ VICTIMES DE CYBERATTAQUES EN 2022*
base du volontariat et d’une candidature),
Des collectivités territoriales particuliè sur une enveloppe de 136 millions d’euros
rement affectées par les attaques par afin d’élever leur niveau de cybersécurité,
rançongiciel : en finançant concrètement :
JAN FEV MARS AVRIL MAI JUIN JUIL AOÛT SEPT OCT NOV DÉC
es projets et des parcours de cyber
D
Les collectivités locales constituent
1 0 2 1 0 1 1 0 2 3 3 1 sécurité de systèmes d’information
la deuxième catégorie de victime la
existants (avec un accompagnement de
plus affectée par des attaques par
rançongiciel derrière les TPE, PME l’ANSSI adapté au niveau de maturité
et ETI. Elles représentent ainsi de chaque acteur),
23 % des incidents en lien avec des a création de centres régionaux de
L
> Faulquemont rançongiciels traités par ou rapportés réponse à des incidents cyber (CSIRT).
> Conseil départemental de Seine-Maritime à l’ANSSI en 2022. Les conséquences
(district urbain, mairie,
syndicat des eaux) de ces attaques sont particulièrement Le déblocage d’une enveloppe sup
importantes pour les collectivités plémentaire de 30 millions d’euros à
> Conseil régional de Normandie
concernées. Ces attaques parfois destination des collectivités, PME et
> Ville de St-Cloud destructrices perturbent notamment ETI pour 2023 a été annoncé par Jean-
> Ville des Mureaux les services de paie, le versement Noël BARROT, Ministre délégué chargé
> Ville de Maison-Alfort des prestations sociales et la gestion de la Transition numérique et des
> Conseil > Ville de Chaville de l’état civil. Passé la découverte
départemental Télécommunications. Concernant les
> Ville de Brunoy de l’attaque, le fonctionnement de collectivités, l’objectif est notamment de
d’Indre-et-Loire
ces entités continue d’être dégradé le
prolonger les parcours de sécurisation
temps de la reconstruction, affectant
de 125 d’entre elles, et d’ouvrir l’accès à
> Communauté de communes durablement les services à destination
de Montesquieu > Ville d’Aix-les-Bains des administrés. ces parcours à 50 collectivités supplém
entaires. À la fin de l’année 2023, plus de
1 000 collectivités et administrations
Accompagner les collectivités dans auront suivi ce parcours de sécurisation.
> Conseil le renforcement de leur niveau Enfin, cette enveloppe financera
départemental de cybersécurité est aujourd’hui également la création d’une plateforme
des Alpes-Maritimes indispensable, mais sur tout urgent. de services mutualisés. L’objectif de cette
Les actions de sécurisation por tent plateforme clé en main est notamment
> Conseil notamment sur la disponibilité du système
départemental de permettre aux collectivités et à toutes
d’Ardèche
d’information, l’intégrité des services les communes, même les plus petites,
fournis et des informations manipulées, de bénéficier d’un nom de domaine,
> Conseil régional ou encore la confidentialité des données
de Guadeloupe d’une messagerie et de services en ligne
gérées. sécurisés.
Les collectivités territoriales ont été
les principales bénéficiaires (avec les
établissements de santé) du volet
Panorama de la cybermenace 2022 - ANSSI
*Liste non exhaustive en raison du trop grand nombre de collectivités touchées et de l’absence de communication de cybersécurité du plan France Relance
certaines d’entre elles.
14 15
LES ÉTABLISSEMENTS QUELLES CONSÉQUENCES
21 août 2022, le Centre Hospitalier Sud
Francilien a été victime d’une attaque par
DE SANTÉ SOUS TENSION EN CAS DE CYBERATTAQUES
VISANT LES ÉTABLISSEMENTS
rançongiciel revendiquée par le groupe
Lockbit. L’indisponibilité d’une partie des
DE SANTÉ ? données et des applications portées par
le système d’information a contraint les
Les différentes activités du secteur de services hospitaliers à fonctionner en mode
la santé reposent aujourd’hui presque dégradé. En outre, le 23 septembre 2022,
en totalité sur le numérique. Résultat :
11 gigaoctets de données exfiltrées lors
tout incident de sécurité informatique
de la compromission ont été publies sur le
peut avoir des conséquences directes
ou indirectes sur la prise en charge site web du groupe cybercriminel. Parmi les
des patients. éléments divulgués figuraient notamment
des données médicales et personnelles liées
En fonction de la gravité de l’attaque
et du niveau de préparation de aux patients et au personnel hospitalier.
l’établissement, le délai de remise Une situation similaire s’est répétée
à niveau peut varier de quelques quelques mois plus tard au Centre Hos-
jours à plusieurs mois, avec des pitalier de Versailles. (source panorama de
conséquences parfois critiques : la cybermenace 2022- ANSSI)
Mise en place d’un fonctionnement en L’action des équipes techniques du
mode dégradé du système de prise en Centre Hospitalier, assistées par l’ANSSI
charge des patients, arrêt temporaire et par plusieurs prestataires, a permis
de certaines activités de soins ;
un redémarrage des services critiques.
ysfonctionnement de l’établis
D La reconstruction sécurisée du système
sement : accueil des patients, matériel d’information ainsi que le retour à un
médical, accès, parking, restauration, fonctionnement normal nécessiteront un
Avec de nombreux systèmes connectés et Il s’agit de se préparer à la survenue énergie, biologie, etc ;
un matériel biomédical supporté par des d’une cyberattaque, en particulier par travail de long terme.
systèmes informatiques hétérogènes, les rançongiciel, qui fait figure de risque ise en danger potentielle des
M
patients avec risque vital pour
établissements de santé constituent des numéro 1. Il y a aujourd’hui urgence à
certains d’entre eux, dans le cas
cibles vulnérables pour les cyberattaquants. investir dans la protection cyber des
d’attaque de grande ampleur ;
Ces établissements traitent de grande établissements de santé pour leur
quantité de données de santé que les permettre de continuer à assurer leurs isque de publication de données
R
de santé à caractère personnel...
cybercriminels cherchent à se procurer. missions quotidiennes et accueil et
orientation des patients, fonctionnement
Dans ce contexte de grande vulnérabilité,
des objets médicaux connectés, gestion
le risque cyber est désormais mieux pris en Si le nombre d’attaques par rançongiciel
de la restauration, organisation des
compte par les établissements de santé. Le est en baisse sur l’année 2022, leurs consé-
services administratifs, protection des
niveau de maturité en sécurité informatique quences demeurent très importantes, plus
données médicales, etc. Il faut à la fois
de ces établissements progresse, mais pas particulièrement dans des secteurs critiques
mieux équiper les établissements de santé,
encore assez vite pour faire face à une comme la santé. Outre les conséquences
leur permettre de recruter davantage
menace cyber qui augmente (à la fois en financières, ce type d’évènement peut
d’exper ts en sécurité informatique
volume et en sophistication) et à des groupes également avoir un impact sur le suivi
(en mutualisant les compétences) et
cybercriminels qui forment désormais une des patients et la confidentialité́ de leurs
sensibiliser leur personnel au risque cyber.
véritable industrie. données de santé. Dans la nuit du 20 au
16 17
L’INTENSIFICATION
733
DE LA MENACE CYBER ÉTABLISSEMENTS DE SANTÉ TOUCHÉS
PESANT SUR LES PAR UNE CYBERATTAQUE EN 2022
ÉTABLISSEMENTS
DE SANTÉ déclarations d’incident
ont été gérées par
Les attaques par rançongiciel sont en
le CERT Santé JAN FEV MARS AVRIL MAI JUIN JUI AOÛT SEPT OCT NOV DÉC
recrudescence depuis cinq ans. Elles sont en 2021
désormais menées par des groupes qui se 2 0 1 1 1 0 0 1 1 1 0 3
professionnalisent. Les cybercriminels font
X2
même désormais pression sur leurs cibles
en les menaçant de divulguer les données
exfiltrées pour les amener à payer une
rançon. Parce qu’ils assurent des activités
soit le double
particulièrement critiques et détiennent par rapport
> Centre Hospitalier Sud Francilien (Corbeil-Essonnes)
de grandes quantités de données de > Maternité des Bluets (Paris)
à 2020*.
> Centre Hospitalier (Argenteuil) - déjouée
santé, les établissements de santé sont
> Hôpital André-Mignot (Versailles)
particulièrement exposés au risque cyber. > Clinique Léonard de Vinci de
Chambray-lès-Tours
L’année 2022 a été marquée par deux
cyberattaques d’envergure visant des
> Hôpital de Saint-Dizier
établissements de soins : l’une sur le et de Vitry-le-François
Centre Hospitalier Sud Francilien (CHSF)
à Corbeil-Essonnes, le 21 août, et l’autre > Cité sanitaire de
sur le Centre Hospitalier de Versailles Saint-Nazaire
(CHV), le 3 décembre. Dans les deux cas, > Centre Hospitalier
les établissements ont déclenché leur plan de Mâcon
blanc et réussi à maintenir la sécurité des
soins. Des patients ont été transférés vers
d’autres établissements. Tous les incidents
> Hôpital de Cahors
de sécurité affectant des établissements
de santé n’atteignent pas ce niveau de
> CHU de Nice - déjouée
gravité, mais ils sont fréquents.
> Hôpital de Castelluccio
à Ajaccio
* Source : https://esante.gouv.fr/sites/default/files/media_entity/documents/mss_ans_rapport_public_observatoire_
signalements_issis_2021_vf.pdf
18 19RENFORCER a permis aux acteurs de la santé de
LA CYBERSÉCURITÉ financer des prestations et des produits
DES ÉTABLISSEMENTS de cybersécurité.
20 millions d’euros supplémentaires
DE SANTÉ : PLAN D’ACTION
ont été attribués à l’ANSSI pour la
Les établissements de santé ne peuvent cybersécurité des établissements de santé
relever seuls le défi de la cybersécurité. suite à l’attaque du Centre Hospitalier sud
L’État s’engage à leurs côtés et les soutient francilien. Objectif : financer des actions de
pour leur permettre d’améliorer leur niveau renforcement du niveau de cybersécurité
de résilience en matière de cybersécurité. des établissements de santé.
Dans le cadre du plan France Relance
2021-2022, 25 millions d’euros ont été
attribués au secteur de la santé pour la UN NOUVEAU
sécurisation des établissements de santé,
du ministère et des organismes qui en GUIDE
dépendent. Concrètement, ce montant CYBERSÉCURITÉ
À DESTINATION
DU MÉDICO-SOCIAL
142
Ce guide d’information et
de sensibilisation
répond à 13 questions
concrètes que se posent
établissements de santé les établissements et
désignés « Opérateurs de services médico-sociaux,
DE NOUVEAUX Élaboration d’un plan blanc numérique
services essentiels » ressources et conseils à ENGAGEMENTS POUR au premier trimestre 2023 « pour doter
(OSE) l’appui. RENFORCER LA CYBERSÉCURITÉ les établissements des réflexes et
pratiques à adopter si un incident cyber
DES ÉTABLISSEMENTS
survient »,
13
DE SANTÉ ONT ÉTÉ PRIS PAR
LE GOUVERNEMENT EN Mutualisation des ressources compé
DÉCEMBRE 2022* : tentes au niveau de chaque région en
lien avec les agences régionales de
CHU désignés Lancement d’un programme de prépa
santé (ARS),
« Opérateurs ration aux incidents cyber, avec pour
d’importance vitale » objectif que « 100 % des établissements Création d’une task force pour bâtir d’ici
(OIV) de santé les plus prioritaires aient mars 2023 un nouveau projet de plan
réalisé de nouveaux exercices d’ici cyber pluriannuel, dans le cadre de la
mai 2023 », nouvelle feuille de route 2023-2027 du
numérique en santé.
*Source : Agence du numérique en santé https://esante.gouv.fr/actualites/un-nouveau-guide-cybersecurite-
destination-du-medico-social
20 21PRIVILÉGIER ET SOUTENIR
LES SOLUTIONS DE
CONFIANCE NATIONALES
CHOISIR DES SOLUTIONS RÉPONDRE À L’URGENCE
SOUVERAINES NUMÉRIQUE
Ces menaces font désormais peser de Les établissements publics doivent
grands risques sur la poursuite d’activité rapidement se doter de solutions et services
des collectivités ainsi que sur des secteurs pour répondre à l’urgence numérique et
stratégiques de notre pays. Ces enjeux, devenir davantage résistants, à court
par nature géopolitique, appellent une terme, face aux cyberattaques.
réponse réfléchie qui pose la question
Dans ce domaine, l’offre française s’est
et l’opportunité de choix techniques et
grandement enrichie et diversifiée, à
technologiques forts.
tel point qu’il est désormais possible
Placer la souveraineté au cœur de nos de choisir des solutions françaises ou SOUTENIR L’ÉCOSYSTÈME Soutenir l’écosystème national de la
décisions d’achat devient un enjeu de européennes répondant aux standards cybersécurité contribue à valider la
FRANÇAIS DE LA
cyber résilience. Maintenir nos données de qualité nécessaires, tout en respectant proposition de valeur d’entreprises
CYBERSÉCURITÉ
sur le sol européen, préserver notre R&D les règles de la commande publique. françaises, lesquelles contribuent aux
ainsi qu’une partie des emplois de demain Nous pouvons nous appuyer sur un tissu À plus long terme, investir dans des finances publiques via le paiement des
deviennent le corollaire nécessaire pour industriel français très actif. Ce catalogue solutions souveraines est une démarche charges sociales et de l’impôt sur les
rendre la chaîne de valeur cohérente de solutions et de services le prouve. Celui- responsable. La transformation et la sociétés. Cela permet également de
et impliquée. La cybersécurité est une ci permet aux collectivités, établissements sécurisation de nos établissements reconnaître la qualité des formations
compétence stratégique. Il est essentiel de santé, structures sanitaires, sociales et publics passent par le choix de solutions et d’accompagner le développement
de la développer et de la maintenir sur médico-sociales de trouver des solutions de confiance nationales. Opter pour des de l’emploi dans les territoires. Pouvoir
notre sol et d’accompagner les synergies concrètes, souveraines et adaptées aux solutions françaises permet d’être certain s’appuyer au quotidien sur une équipe
entre les territoires et les entreprises made besoins de sécurisation de leur système que nos données soient bien protégées fo r m é e et d i s p o n i b l e e st u n a t o u t
in France de cybersécurité et du cloud. d’information. conformément aux réglementations en certain pour lutter contre les menaces
L’industrie cyber française est dynamique vigueur. cyber pesant actuellement sur les
Choisir ces solutions innovantes et
et son offre est diversifiée. établissements publics.
souveraines permet de répondre aux
exigences des recommandations cyber
de l’ANSSI et d’atteindre les objectifs
opérationnels de ses différents parcours.
22 23Alain BOUILLÉ Antoine TRILLARD Jean-Paul BONNET Luména DULUC
Délégué Général du CESIN Président de Coter-Numérique Président de la commission Directrice du Clusif
« Cybersécurité et Protection de l’information »
du Club des directeurs de sécurité des entreprises
Le CESIN est fier d’apporter son soutien à la La complexité des SI de nos collectivités L’actualité le démontre jour après jour : aucune Prendre en compte le risque cyber doit
deuxième édition de cette brochure capacitaire par l’apparition de nouveaux usages depuis organisation ou collectivité, quelle que soit sa désormais être considéré comme une
mettant en avant les solutions de cybersécurité plusieurs années (e-services, vidéoprotection, taille ou sa mission, n’est à l’abri d’actes de priorité absolue par les organisations. Il est
« made in France ». télétravail, IoT, WiFi Public) et la montée en cybermalveillance aux conséquences parfois impératif de prendre des mesures pour le
La transformation numérique des entreprises charge de la cybercriminalité ces dernières désastreuses. gérer efficacement. L’actualité en fait écho,
et des administrations entraine de facto une années, font de la sécurité informatique un les menaces en ligne peuvent causer des
augmentation de leur surface d’attaque et se axe prioritaire de nos collectivités. Ainsi, dans un monde toujours plus connecté, dommages considérables à la vie privée,
protéger correctement devient un véritable la protection des systèmes d’information et à l’économie et menace jusqu’à l’intégrité
challenge voire un casse-tête pour leurs La sécurité des SI reste une problématique de des données de toute organisation, salariés, physique des personnes. Les organisations
dirigeants. Toutes les entreprises n’ont pas les tous les instants. agents, usagers ou clients devient une doivent donc mettre en place des mesures
moyens d’être soutenues par un spécialiste de préoccupation constante. Afin de limiter le de sécurité solides pour protéger à la fois
la sécurité numérique et cette brochure doit C’est pourquoi il est nécessaire d’être risque d’ingérence malveillante et de mieux leur capital informationnel et leurs données
permettre au dirigeant d’y voir plus clair en extrêmement vigilant sur les incontournables protéger ses données, il devient crucial de sensibles. Il est également important de
matière de protection contre les cyberattaques. de la sécurité (sauvegarde immuable, AD renforcer sa posture de cybersécurité en se former les employés à la cybersécurité.
La menace est toujours très présente, mais durci, MàJ, EDR, sécurisation (mail,web,vpn). tournant vers des solutions souveraines, de
l’anticipation lorsqu’elle est mise en œuvre confiance. Ce catalogue offre un bon aperçu Au-delà du partage de connaissance et
Enfin dans le cadre du plan de relance pour d’une offre tricolore efficace et innovante, en d’expériences issu de ses publications
porte ses fruits et des mesures bien orchestrées
les collectivités, le parcours cyber de l’ANSSI capacité de répondre aux besoins de tout un et de ses conférences, le Clusif soutient
de prévention, protection et détection sont à la
permet d’établir pour chacune d’elles une feuille chacun, quelle que soit l’organisation. toute action qui vise à renforcer la sécurité
portée de toutes les organisations pour peu
de route claire avec des priorités réalisables et informatique de nos organisations.
que la prise de conscience par le dirigeant
la mise en place d’outils français financés par
n’arrive pas post-crise.
ce plan répondant à des besoins réels.
24 251 Ce parcours est adapté aux
PARCOURS
COMMENT
organisations disposant
FONDATION de ressources limitées
(humaines, financières et
techniques)
UTILISER
CE DOCUMENT 2
PARCOURS
Ce parcours est destiné
aux organisations
souhaitant recruter un
INTERMÉDIAIRE référent en cybersécurité
Ce document a été conçu pour répondre aux
besoins de toute organisation, publique ou
ou disposant en interne
privée, cherchant à améliorer son niveau de d’un référent junior à faire
cybersécurité et recherchant des solutions, monter en compétence
produits et offres de confiance disponibles
dans ce domaine.
Pour faciliter l’utilisation de ce
document, nous avons gardé 3 Ce parcours est prévu
pour les organisations
la démarche appliquée par PARCOURS
l’ANSSI, permettant ainsi qui disposent, en interne
d ’a c c o m p a g n e r l e v o l e t AVANCÉ et à temps plein, d’un
investissement du pack relais. spécialiste en cybersécurité
Cette démarche s’appuie sur ou d’un RSSI
4 Parcours de cybersécurité,
chaque parcours s’articulant
autour de 8 thèmes adaptés, PARCOURS
déclinés en fonction des enjeux
et des menaces de chaque
organisation. 4
PARCOURS
Ce parcours vise à obtenir
un niveau comparable à
celui des organisations
RENFORCÉ d’un opérateur essentiel
ou vital
* https://www.ssi.gouv.fr/agence/cybersecurite/
france-relance/
26 27Nous avons donc réparti les solutions face au risque numérique » a été divisé
de ce guide selon ces parcours et ces en deux sous-thèmes : « Identification
thèmes. Toutefois certaines remarques des partenaires » et « Sensibilisation ».
doivent être prises en compte : ertains sous-thèmes apparaissent
C
our une meilleure lisibilité du document,
P dans plusieurs parcours et plusieurs
nous avons simplifié et regroupé certains thèmes. Les parcours étant disjoints,
sous-thèmes détaillés par l’ANSSI dans nous avons répété les sous-thèmes
les parcours de cybersécurité. Ainsi dans chaque parcours. Par exemple, le
par exemple le thème 1 du parcours sous-thème « Gestion des logs » apparaît
fondation « Je m’organise et je sensibilise ainsi dans les parcours « Intermédiaire »
et « Avancé ».
Le s t a b l e a u x q u i s u i ve n t ( u n p a r
parcours) comportent donc chacun :
THÈME
1 elon les lignes horizontales, les différents
S
thèmes et sous-thèmes du parcours
Je m’organise considéré.
THÈME
et je sensibilise
face au risque THÈME 4 elon les colonnes verticales, les sociétés
S
offrant des solutions et/ou services en
2
numérique
Je sécurise réponse aux thèmes et sous-thèmes
mes équipements associés.
Je maîtrise les accès de travail THÈME
à mon système
d’information THÈME
5
3
CHAQUE
Je protège
Je sécurise mes données, mon réseau
PARCOURS
mes applications
et services
numériques
S’ARTICULE THÈME
THÈME
6 8
AUTOUR DE J’intègre les enjeux de
Je sais détecter
8 THÈMES la sécurité numérique
à ma politique
THÈME
les événements
de sécurité et
d’administration 7 y réagir
Je connais
les vulnérabilités
de mon système
d’information
28 29PARCOURS
FONDATION
30 311
PARCOURS
TY
IES
I
FONDATION
UR
IT Y
OG
EC
UR
R
OL
KS
RS
UE
EC
ER
C
HN
AS
OR
BE
GR
CT
TS
LIQ
B
Y
CH
CY
TS
RE
C
CY
R
TW
. IO
IS
TE
E
EX
TE
EC
EC
ER
AT
AV
TA
AD
CU
LE
US
US
OF
YS
DE
N
N
NE
DS
LB
CI O
TD
RW
NW
CA
ME
O
TO
SIG
RV
SE
NS
TR
IN
R-
D
M
IE
MP
E
TA
OW
N
AR
NS
NT
AN
GO
TS
UR
TE
CO
YP
RC
BE
BE
BE
VE
ER
ER
AI
AI
UI
GI
SI
E
OU
AN
BO
CO
CO
BR
BR
CR
CR
AV
EQ
EG
DE
CY
CY
CY
6C
AL
EV
EB
AT
ER
DI
AI
Thème 1 : Je m’organise et je sensibilise face au risque numérique Thème 1 : Je m’organise et je sensibilise face au risque numérique
Identification des partenaires Identification des partenaires
Sensibilisation Sensibilisation
Thème 2 : Je maîtrise les accès à mon système d’information Thème 2 : Je maîtrise les accès à mon système d’information
Gestion centralisée des identités Gestion centralisée des identités
Gestion des mots de passe Gestion des mots de passe
Protection des accès distants Protection des accès distants
Thème 3 : Je sécurise mes données, mes applications et services numériques Thème 3 : Je sécurise mes données, mes applications et services numériques
Analyse des vulnérabilités Analyse des vulnérabilités
Protection de la messagerie Protection de la messagerie
Protection des services exposés sur Internet Protection des services exposés sur Internet
Thème 4 : Je sécurise mes équipements de travail Thème 4 : Je sécurise mes équipements de travail
Inventaire des équipements Inventaire des équipements
Antivirus Antivirus
Firewall Firewall
Gestion des mises à jour des postes de travail Gestion des mises à jour des postes de travail
Thème 5 : Je protège mon réseau Thème 5 : Je protège mon réseau
Cartographie du réseau Cartographie du réseau
Protection des accès réseau Wi-Fi Protection des accès réseau Wi-Fi
Filtrage Réseau Filtrage Réseau
Proxy Proxy
VPN VPN
Thème 6 : J’intègre les enjeux de la sécurité numérique à ma politique d’administration Thème 6 : J’intègre les enjeux de la sécurité numérique à ma politique d’administration
Gestion des comptes à privilèges Gestion des comptes à privilèges
Authentification et contrôle d’accès Authentification et contrôle d’accès
Sécurité des flux d’administration Sécurité des flux d’administration
Gestion des mises à jour des serveurs et applications Gestion des mises à jour des serveurs et applications
Dispositif de sauvegarde Dispositif de sauvegarde
Thème 7 : Je connais les vulnérabilités de mon système d’information Thème 7 : Je connais les vulnérabilités de mon système d’information
Scans de vulnérabilité du SI exposé sur Internet Scans de vulnérabilité du SI exposé sur Internet
Audit organisationnel de sécurité Audit organisationnel de sécurité
Thème 8 : Je sais détecter les événements de sécurité et y réagir Thème 8 : Je sais détecter les événements de sécurité et y réagir
Gestion d’incidents de sécurité Gestion d’incidents de sécurité
32 331
PARCOURS
UP
FONDATION
RO
P
OU
GG
GR
S
M
É
CIN
ER
SA
RI T
OR
AB
ER
UM
CK
FE
CE
R
RA
CH
S
E
EF
CU
LE
RE
EM
GL
AN
SA
LA
NC
AN
T
OT
M
I-T
AT
AT
D
E
MB
SÉ
U
AN
EU
ST
LE
NB
IN
RA
YS
IT
IN
FR
IN
SP
W
PS
EC
TO
X
PL
S
I
IA
RA
IN
BC
SY
AB
LIS
RF
AM
RO
RM
KE
X-
TS
ILI
LIO
TE
4F
ME
DI
AS
IM
EN
VI
G
O
HA
JSC
MA
MA
MO
ISE
HO
GA
ME
ME
ILE
KD
KU
FO
LO
GL
EX
EX
LE
F2
JA
JA
HI
ID
Thème 1 : Je m’organise et je sensibilise face au risque numérique Thème 1 : Je m’organise et je sensibilise face au risque numérique
Identification des partenaires Identification des partenaires
Sensibilisation Sensibilisation
Thème 2 : Je maîtrise les accès à mon système d’information Thème 2 : Je maîtrise les accès à mon système d’information
Gestion centralisée des identités Gestion centralisée des identités
Gestion des mots de passe Gestion des mots de passe
Protection des accès distants Protection des accès distants
Thème 3 : Je sécurise mes données, mes applications et services numériques Thème 3 : Je sécurise mes données, mes applications et services numériques
Analyse des vulnérabilités Analyse des vulnérabilités
Protection de la messagerie Protection de la messagerie
Protection des services exposés sur Internet Protection des services exposés sur Internet
Thème 4 : Je sécurise mes équipements de travail Thème 4 : Je sécurise mes équipements de travail
Inventaire des équipements Inventaire des équipements
Antivirus Antivirus
Firewall Firewall
Gestion des mises à jour des postes de travail Gestion des mises à jour des postes de travail
Thème 5 : Je protège mon réseau Thème 5 : Je protège mon réseau
Cartographie du réseau Cartographie du réseau
Protection des accès réseau Wi-Fi Protection des accès réseau Wi-Fi
Filtrage Réseau Filtrage Réseau
Proxy Proxy
VPN VPN
Thème 6 : J’intègre les enjeux de la sécurité numérique à ma politique d’administration Thème 6 : J’intègre les enjeux de la sécurité numérique à ma politique d’administration
Gestion des comptes à privilèges Gestion des comptes à privilèges
Authentification et contrôle d’accès Authentification et contrôle d’accès
Sécurité des flux d’administration Sécurité des flux d’administration
Gestion des mises à jour des serveurs et applications Gestion des mises à jour des serveurs et applications
Dispositif de sauvegarde Dispositif de sauvegarde
Thème 7 : Je connais les vulnérabilités de mon système d’information Thème 7 : Je connais les vulnérabilités de mon système d’information
Scans de vulnérabilité du SI exposé sur Internet Scans de vulnérabilité du SI exposé sur Internet
Audit organisationnel de sécurité Audit organisationnel de sécurité
Thème 8 : Je sais détecter les événements de sécurité et y réagir Thème 8 : Je sais détecter les événements de sécurité et y réagir
Gestion d’incidents de sécurité Gestion d’incidents de sécurité
34 351
PARCOURS
E
NC
FONDATION
NA
ER
OV
LG
R
E
E
BA
IV
D
RE
UP
K
I EL
KT
C
LO
LO
E
RO
L
L
E
OC
IO
PA
US
E
AV
IZ
OW
RO
R
SH
AT
AC
T IS
TG
IV
CY
XP
AB
A.
AI
LL
G
’X
RS
OW
R
O
OW
A
IZ M
RIC
DR
D
ME
NT
OH
AR
I
NA
NE
AL
TE
-X
TA
TR
TE
FE
IM
CL
KO
EL
VI
E
OO
QO
ON
NA
SN
OV
SA
SM
SU
PR
NE
NE
PR
PR
PA
OL
OL
SC
RE
SY
SE
SE
TE
SE
Thème 1 : Je m’organise et je sensibilise face au risque numérique Thème 1 : Je m’organise et je sensibilise face au risque numérique
Identification des partenaires Identification des partenaires
Sensibilisation Sensibilisation
Thème 2 : Je maîtrise les accès à mon système d’information Thème 2 : Je maîtrise les accès à mon système d’information
Gestion centralisée des identités Gestion centralisée des identités
Gestion des mots de passe Gestion des mots de passe
Protection des accès distants Protection des accès distants
Thème 3 : Je sécurise mes données, mes applications et services numériques Thème 3 : Je sécurise mes données, mes applications et services numériques
Analyse des vulnérabilités Analyse des vulnérabilités
Protection de la messagerie Protection de la messagerie
Protection des services exposés sur Internet Protection des services exposés sur Internet
Thème 4 : Je sécurise mes équipements de travail Thème 4 : Je sécurise mes équipements de travail
Inventaire des équipements Inventaire des équipements
Antivirus Antivirus
Firewall Firewall
Gestion des mises à jour des postes de travail Gestion des mises à jour des postes de travail
Thème 5 : Je protège mon réseau Thème 5 : Je protège mon réseau
Cartographie du réseau Cartographie du réseau
Protection des accès réseau Wi-Fi Protection des accès réseau Wi-Fi
Filtrage Réseau Filtrage Réseau
Proxy Proxy
VPN VPN
Thème 6 : J’intègre les enjeux de la sécurité numérique à ma politique d’administration Thème 6 : J’intègre les enjeux de la sécurité numérique à ma politique d’administration
Gestion des comptes à privilèges Gestion des comptes à privilèges
Authentification et contrôle d’accès Authentification et contrôle d’accès
Sécurité des flux d’administration Sécurité des flux d’administration
Gestion des mises à jour des serveurs et applications Gestion des mises à jour des serveurs et applications
Dispositif de sauvegarde Dispositif de sauvegarde
Thème 7 : Je connais les vulnérabilités de mon système d’information Thème 7 : Je connais les vulnérabilités de mon système d’information
Scans de vulnérabilité du SI exposé sur Internet Scans de vulnérabilité du SI exposé sur Internet
Audit organisationnel de sécurité Audit organisationnel de sécurité
Thème 8 : Je sais détecter les événements de sécurité et y réagir Thème 8 : Je sais détecter les événements de sécurité et y réagir
Gestion d’incidents de sécurité Gestion d’incidents de sécurité
36 371
PARCOURS
FONDATION
W
ER
FT
BO
K
LD
IT
SO
AC
EN
IL
Q
ER
HA
UI
IA
QU
TH
TIN
EH
RE
TB
ED
LIX
LL
OS
IK A
SW
EO
AN
E
EG
US
US
US
HA
RS
AL
D
G
TIX
UB
TH
VA
YO
TR
TR
TR
TR
TE
YE
W
W
Thème 1 : Je m’organise et je sensibilise face au risque numérique
Identification des partenaires
Sensibilisation
2
Thème 2 : Je maîtrise les accès à mon système d’information
Gestion centralisée des identités
Gestion des mots de passe
Protection des accès distants
Thème 3 : Je sécurise mes données, mes applications et services numériques
Analyse des vulnérabilités
Protection de la messagerie
Protection des services exposés sur Internet
Thème 4 : Je sécurise mes équipements de travail
Inventaire des équipements
Antivirus
Firewall
Gestion des mises à jour des postes de travail
Thème 5 : Je protège mon réseau
Cartographie du réseau
PARCOURS
Protection des accès réseau Wi-Fi INTERMÉDIAIRE
Filtrage Réseau
Proxy
VPN
Thème 6 : J’intègre les enjeux de la sécurité numérique à ma politique d’administration
Gestion des comptes à privilèges
Authentification et contrôle d’accès
Sécurité des flux d’administration
Gestion des mises à jour des serveurs et applications
Dispositif de sauvegarde
Thème 7 : Je connais les vulnérabilités de mon système d’information
Scans de vulnérabilité du SI exposé sur Internet
Audit organisationnel de sécurité
Thème 8 : Je sais détecter les événements de sécurité et y réagir
Gestion d’incidents de sécurité
38 39Vous pouvez aussi lire
