Le SDIS 17 (Service Départemental d’Incendie et de Secours) a engagé une démarche d’homologation de sécurité au Référentiel Général de Sécurité (RGS) de son Système d’Information et de Communication (SIC).
Stéphane Villain, Président du Conseil d’Administration du SDIS 17 et le Lieutenant-Colonel Gilles Rivet, responsable du Pôle Ressources du SDIS 17, ont répondu à nos questions concernant cette démarche.
Pourquoi l’homologation RGS est-elle indispensable pour le SDIS 17 ?
Gilles Rivet : « Par delà l’obligation légale de le faire, le SDIS est un service public d’urgence : une perturbation de fonctionnement peut engendrer des morts ou des dégâts supplémentaires en termes d’incendies, de développements de sinistres ou de catastrophes. Derrière tout appel manqué, c’est potentiellement le décès d’une personne parce qu’on ne lui a pas apporté les soins d’urgence.
En ces périodes de temps troublés, nous avions été alertés en 2023 par le Ministère de l’Intérieur, dont le SDIS relève, que les risques d’attaque pourraient être décuplés en 2024 du fait de l’organisation des Jeux Olympiques à Paris, en tant que vitrine mondiale.
De plus, en octobre 2023, un SDIS a été impacté par une cyberattaque, ce qui a conduit au remplacement de son parc informatique.
Ces deux faits nous ont fortement sensibilisés, c’est pourquoi nous avons désigné Benoît Costes comme RSSI et mis en place sous sa houlette, et avec l’aide de Soluris, toute la démarche de sécurité selon le référentiel RGS. L’homologation du Système d’Information et de Communication a été validée lors de la Commission du 10 juin dernier. »
Quand a commencé la préparation de cette homologation et en quoi consiste-t-elle ?
Stéphane Villain : « C’est une démarche en cinq étapes, que nous avons démarrée fin 2023. La première est l’analyse des risques, donc l’identification et l’évaluation des menaces pouvant affecter la sécurité des systèmes information. Puis la définition des objectifs de sécurité, et l’établissement des cibles de sécurité à atteindre, ensuite vient la mise en œuvre des mesures de protection par des actions concrètes pour réduire les risques à un niveau acceptable, plutôt techniques en ce qui concerne le SDIS.
La quatrième étape est la validation officielle des mesures de sécurité par le Président du SDIS lors de la Commission d’homologation, pour une durée de trois ans. La cinquième étape démarre alors avec le suivi opérationnel de la gestion de continuité et de protection, la surveillance des évènements, la réalisation d’audits et de réponses aux incidents pour répondre parfaitement aux attentes de sécurité à l’origine de la démarche. »
Gilles Rivet : « Dans ce cadre, un expert indépendant a réalisé cet été un audit technique avec des tests d’intrusion pour révéler des failles éventuelles. Cet audit a permis de mesurer concrètement la robustesse de notre système d’information et des axes d’amélioration ont été intégrés dans le plan d’action présenté lors de la Commission d’homologation en juin dernier. »
Quel a été l’accompagnement de Soluris auprès du SDIS17 ?
Gilles Rivet : « Soluris nous a accompagnés à chaque étape. Concrètement l’inventaire et la cartographie des actifs numériques ont été réalisés avec le Service Confiance Numérique de Soluris et son responsable, Damien Alexandre. Cette cartographie a révélé que nos points faibles étaient souvent des failles de sécurité de logiciels extérieurs, utilisés chez nous ou chez nos prestataires. Soluris nous a aidé aussi à établir l’évaluation de la maturité du SDIS en sécurité numérique, la conception d’un plan de traitement des risques et la préparation complète du dossier d’homologation.»
Stéphane Villain : « C’est un accompagnement assez pointu, car je crois qu’on peut dire que le SDIS17 est pionnier en la matière, au niveau national ! Soluris a eu un rôle d’AMO (Assistance à Maitrise d’Ouvrage), de consultant qui nous était nécessaire pour nous lancer dans cette démarche. Soluris nous a permis surtout d’identifier les enjeux liés à l’homologation RGS et au RGPD, de bien réaliser que les services de secours sont des cibles privilégiées et que face à cette menace nous avions intérêt à nous montrer innovants » !
Gilles Rivet : «La nouvelle directive européenne NIS2 * va aider à cette prise de conscience des risques encourus par les collectivités, et qu’il vaut mieux traiter de manière préventive ces problématiques de sécurité, avant de subir une attaque informatique bien plus coûteuse en temps et financièrement, et sans attendre d’y être contraints par des amendes.
La démarche d’homologation au RGS du SIC permet de s’inscrire dans NIS2 bien en amont : le SDIS 17 a donc pris les devants par rapport à la nouvelle réglementation européenne. L’expertise de Damien Alexandre en la matière va permettre de mesurer finement les écarts qu’il reste entre les mesures que nous avons prévu de mettre en place et ce que nous impose la nouvelle directive NIS2.
Et pour finir, Soluris poursuit son accompagnement pour l’adoption de mesures à un niveau plus organisationnel, afin de pérenniser la conformité au RGS et au RGPD. »
Stéphane Villain : « Et pour contrôler le SIC et ces questions d’homologation RGS et RGPD, le SDIS 17 a mis en place un Comité de Confiance Numérique, avec Damien Alexandre de Soluris en consultant. Travailler avec lui est rassurant car il maîtrise parfaitement les sujets RGS et RGPD, et il a déjà accompagné d’autres collectivités adhérentes dans cette démarche.
Nous retravaillerons avec Soluris au printemps pour préparer le dossier de renouvellement d’homologation pour la nouvelle commission d’homologation en juin 2025 ».
Si le SDIS est pionner et exemplaire en matière de sécurité des données et du système d’information et de communication, les collectivités de toutes tailles sont concernées par ces obligations de conformité, et par la réalité des faits (cyberattaques, etc).
Ainsi, la commune d’Angoulins-sur-mer par exemple est accompagnée par Soluris depuis plusieurs années pour son homologation au RGS. Le service Confiance Numérique de Soluris met son savoir-faire au service de tout adhérent qui souhaite entamer une démarche d’homologation au RGS.
Pour en savoir plus : projets@soluris.fr.
*NIS2 : Network and Information Security ou SRI en français : Sécurité du Réseau Informatique : ce sont des nouvelles directives de cybersécurité au niveau européen (et non des règlements comme le RGPD).
