Examen professionnel d ingénieur principal des systèmes d information et de communication «Session 2011» "ETUDE DE CAS" Meilleure copie du SUJET N 1 Note obtenue : 17,25 / 20 Je suis responsable SIC (chef SDSIC), responsable de la sécurité des systèmes d information (RSSI de la DDI / Préfecture) et correspondant SIC départemental d une préfecture de 750 000 habitants. Le préfet me fixe pour objectif d organiser techniquement l accueil des directions départementales. Après une description des grandes orientations nationales, complétée par un état des lieux des systèmes d information (réseau, messagerie), je recense les besoins en termes de SI et de communication qu il convient de couvrir pour assurer la mise en place opérationnelle des directions départementales. Dans une seconde partie, je vais m attacher à préciser les moyens à mettre en œuvre pour répondre aux besoins, à la fois sur le plan technique et organisationnel en m attachant à prendre en compte systématiquement les problématiques SSI liées à la mise en œuvre de ces moyens. La démarche retenue par la DSIC prévoit une organisation en mode projet, que je vais suivre. Enfin, dans une troisième partie, je propose un plan d action pour atteindre l objectif fixé par le préfet. Ce plan d action fera apparaître les missions qui relèvent de ma responsabilité et de celle du niveau national. PARTIE 1 : L organisation de la réforme de l administration territoriale de l Etat, dans le contexte RGPP, impulsée par les instructions de la circulaire du 11 juin 2009, a deux objectifs : - assurer une articulation efficace au sein du niveau départemental - affirmer le caractère interministériel des nouvelles directions départementales interministérielles (DDI).
Cette réorganisation a été confiée à la Mirate et les directives d application sont fixées par la RéATE au travers du GTSI qui a en charge le suivi de ces actions. Le niveau départemental s articule autour de deux ou trois directions départementales en fonction du nombre d habitants du département, dont le seuil est fixé à 400 000 habitants, conformément à la RGPP. Considérant que la préfecture a 750 000 habitants, il sera donc retenu le schéma suivant : - Direction Départementale des Territoires = DDT - Direction de la Cohésion Sociale = DDCS - Direction de la Protection de la Population = DDPP Ces directions départementales se composeront comme suit : - La DDT regroupera l essentiel de la DDE et de DDAF (directions déjà regroupées dans 55 départements pour former une DDEA) et une partie des services de la préfecture. - La DDPP regroupera la direction des services vétérinaires (DDSV), l unité départementale de la concurrence, de la consommation et de la répression des fraudes (DDCCRF) - La DDCS regroupera la partie sociale de la DDASS, la délégation du droit des femmes, le personnel des préfectures intervenant sur l accès au logement ou la politique de la ville, les DD de la jeunesse et des sports. Afin de mettre en œuvre ces trois directions départementales au sein de la DDI / Préfecture, je viens de recenser tous les services, ce qui va me permettre de faire un état des lieux des architectures techniques sur lesquelles repose le système d information. Cet état des lieux va me permettre de recenser les réseaux et les applications nécessaires à la poursuite de la mission du ministère qui composent la DDI, mais encore de préciser les objectifs de sécurité, au travers d une analyse de risques qui préparera la mise en place de la PSSI-RéATE et les directives d application fixées par la RéATE au travers du GTSI, qui a en charge le suivi de ces actions. Le tableau suivant va me permettre de fixer cet état des lieux : Direction Départementale Ministères Réseaux Applications DDT SIMAAP MOREA AGORHA (RH) SIMEEDDM MOREA CHORUS SI Préfecture RGT Application Permis de conduire ISIS MAAP OSIRIS Etc DDCS SIMAAP SIMEIE SIMSS MOREA RENAVA MISTRAL X Y Z DDPP SIMAAP SIMEIE MOREA RENAVA SIGAL J ai donc recensé les besoins de chaque direction départementale, composant la DDI, à ses applications métiers (non exhaustives ) et les réseaux qui permettent d y avoir accès. Sans oublier les applications de vie courante ou sociale, qui nécessiteraient soit l interconnexion soit l interopérabilité des réseaux, ce qui est interdit au MIOMCT, par la DPPSN, Pôle SSI.
Les autres besoins sont principalement la messagerie et l accès aux Intranets sécurisés du MIOMCT (rssi.mi et ssi.mi ), et les sites préfectures, les Intranets collaboratifs. Deux cas peuvent se présenter : Premier cas : Les directions départementales rejoignent la préfecture, je prévois : - un poste de travail - accès à la messagerie - accès téléphonique - accès aux Intranets sécurisés - accès à la passerelle ORION - accès ADER (pour les applications métiers, sociales et vie courante de leur ministère de tutelle) Deuxième cas : Les directions départementales restent dans leurs locaux d origine : par exemple DDCS et DDPP qui sont connectées au réseau RENAVA. Le projet MISTRAL leur offre déjà certaines fonctionnalités et propose une solution réseau et messagerie. Ces directions départementales ont donc les mêmes besoins que celles qui rejoignent la préfecture : - connexion WAN - accès distant pour la messagerie de la Préfecture - haute dispo (PRA) - support pour infogérance - accès VIP 24/24 etc. PARTIE 2 : Je soumettrai une note de rappel, à la signature du préfet AQSSI, pour rappeler l interdiction de connecter les réseaux d origine différente entre eux. J applique les recommandations du GTSI de la RéATE. Primo : Elles préconisent l ouverture de certains ports pour permettre la connexion aux Intranets du MIOMCT. La DPPSN permet déjà l accès aux Intranets rssi.mi et ssi.mi, le FTP. Les Intranets de la préfecture sont également ouverts et accessibles par ADER. Secundo : Ouverture de la messagerie interministérielle grâce à FIMAD (Fédérateur Interministériel de Messagerie et d Adressage Départemental). Les moyens mis en place : Deux cas se présentent comme dans la partie 1 :
Premier cas : Les DD rejoignent la préfecture : je propose alors au préfet la solution de la RéATE et de la DPPSN : - Utiliser le même réseau de câblage de la préfecture, dans une couleur différente depuis l armoire de brassage et ce jusqu au bureau concerné. - Installer un commutateur différent et dédié à cette liaison et pour finir un routeur séparé donnant vers le réseau extérieur (autre que RGT), convergeant vers plusieurs réseaux ou vers ADSL. - Mettre en place des Intranets sécurisés pour partager l information sociale et collaborative - Donner l accès aux Intranets MIOMCT via la passerelle ADER Deuxième cas : Les services qui composent les directions départementales restent dans leurs locaux (MISTRA entre autre) : - je leur donne accès au service de messagerie (distant) - je m assure qu ils ont un accès ADER - accès aux Intranets MIOMCT - accès aux Extranets - haute dispo - infogérance - gestion VIP 24/24 Dans les deux cas, il est envisagé de mettre en réseau chaque fois que cela est possible, les autocoms téléphoniques, même de technologies différentes, au travers du protocole QSIG. Il en va de même pour la mise en place de la mutualisation des standards téléphoniques. Sur le plan organisationnel, la démarche retenue par la DSIC prévoit une organisation en mode projet avec application du diagramme de GANT (Jalon 0 à Jalon 5) : - un chef de projet est désigné - des groupes de travail sont constitués, validation des besoins - des ressources sont allouées - un planning et un calendrier - des livrables identifiés - validation note de cadrage (J0) - validation du lancement (J1) - validation de la conception (J2) - validation de la réalisation (J3) - validation du fonctionnement Pilote (J4) - validation du fonctionnement du service (J5) et fin du projet. PARTIE 3 : Plan d action :
Les questions qui relèvent de ma responsabilité : J ai proposé au préfet de nommer un correspondant local SSI par direction départementale ainsi que le plan d action suivant : - je vais me servir de la roue de DEMING pour PLANIFIER, AMELIORER, CONTRÔLER et DEPLOYER le SI dans la DDI / Préfecture, sur la base de l ISO/IEC 27001 (SMSI = Service de Management du SI), - je vais faire une analyse de risque conformément à l ISO 27005 qui me permettra de déterminer l importance de la SSI au sein de la préfecture et de la DDI, soumise à des contraintes et à des risques. Ceci pour faire exprimer des besoins et surtout une échelle des besoins, en termes de disponibilité, intégrité et confidentialité (DIC), en attribuant des valeurs de 0 à 4 (4 correspondant à un besoin fort) (0 sans objet = action nulle), - couvrir par des règles (ISO 27002), les besoins et les risques exprimés. Je m assure de la cohérence des règles choisies pour qu elles répondent au mieux aux besoins recensés, - je demande la livraison d une connexion au réseau RENAVA ou MOREA pour la direction départementale concernée qui s installe dans la préfecture, - j utilise le même réseau que celui de la préfecture mais brassé dans une autre couleur, depuis l armoire de brassage jusqu au bureau concerné, - je fais installer un commutateur différent et dédié, - un routeur également séparé et différent de celui du RGT, - je mets en place des Extranets et/ou je donne des accès pour ceux déjà ouverts, pour répondre aux besoins exprimés et cela pour partager l information de vie courante, sociale etc, la documentation, - je programme des accès aux Intranets du MIOMCT et attribue des comptes aux services des DD, - je prévois une imprimante pour le ou les postes qui sont recensés. Il est bien sûr évident que pour des raisons de sécurité, les postes de travail des DD ne pourront pas bénéficier des imprimantes en réseau sur le RGT, - je prévois une ligne téléphonique, - j applique la PSSI-RéATE et le panel des 101 règles, dont 33 à mettre en place pour fin 2010, le reste en 2011. Les questions qui relèvent du niveau national et de la responsabilité DPPSN, REATE, DSIC : - La DPPSN a en charge l animation du réseau des RSSI DDI / PRET. Elle assure cette animation également pour le déploiement national de la PSSI-RéATE, en s appuyant sur le niveau zonal = le RZSSI, qui est directeur du SZSIC - Le mandat de l ANSSI qui confie au MIOMCT le rôle d animation des RSSI et la question des incidents SSI (CNGESSI) - La responsabilité de l agence est engagée sur le futur réseau interministériel, en fibre optique, qui sera réalisé avec le grand emprunt d Etat (2012,2013). En résumé : Cette PSSI-RéATE et l analyse des risques m auront permis de définir les moyens à mettre en place et l organisation et de répondre ainsi aux objectifs que m a fixé le préfet, pour prendre en compte les problèmes résiduels, les évaluer et leur fixer une valeur en disponibilité, intégrité et confidentialité.
En conclusion : Ces actions permettant un gain d efficacité et de coût seraient principalement provoquées par : la création du futur réseau interministériel, proposée par l ANSSI au SGG. Ce réseau remplacera progressivement tous les réseaux existants et ce à l horizon 2015. Ce projet ambitieux permettrait de supprimer les postes de travail dédiés, augmenterait la qualité de service et surtout répondrait aux exigences de sécurité, telles qu elles découlent de l analyse de risque effectuée avec la méthode EBIOS (Evaluation des Besoins et Identification des Objectifs de Sécurité) de l ANSSI en attendant ce nouveau réseau, il faut soit développer soit ouvrir les Extranets sécurisés pour toute la DDI. TRESOR (Travail en Réseau des Services Locaux de l Ile de la Réunion), développé par la DSIC, pourrait préfigurer la mise en place d outils collaboratifs en DDI / Préfecture. Et pour finir, il faut espérer une mutualisation rapide des autocoms téléphoniques et des standards téléphoniques. Mais la sécurité des systèmes d information et de communication ne doit pas être perçue uniquement comme un coût dont le budget est le premier sacrifié en cas de difficultés. Elle constitue un investissement qui permet le développement de l administration d Etat et à plus court terme, représente tout simplement un élément clé de sa survie : le recours au management, à l organisation en mode projet et à des solutions (produits, systèmes, méthodes ), s appuyant sur une approche normative constitue un facteur clé de succès par rapport à cette exigence d optimisation de la SSI et surtout est nécessaire dans un contexte RGPP contraint. Enfin, sur le plan des ressources humaines (RH), et en particulier dans le domaine des compétences SIC, il conviendrait de veiller à obtenir une répartition équitable des compétences SIC, au sein de la DDI, entre le niveau régional et le niveau départemental.