« Dans notre démarche de développement, la sécurité est une priorité absolue, suivant le principe du “Security by Design” »
Chers adhérents de la Mission Ecoter-France et Territoires Numériques,
Au nom de MGDIS, je suis honoré de vous adresser cette tribune sur un sujet qui nous tient particulièrement à cœur : la cybersécurité et son impact sur nos territoires. MGDIS, en tant qu’acteur investi dans le domaine des solutions logicielles pour les collectivités territoriales, considère la sécurité comme une priorité absolue. Nous souhaitons partager avec vous nos convictions, nos bonnes pratiques et notre engagement indéfectible en matière de cybersécurité.
Aujourd’hui, la transformation numérique est une réalité incontournable pour l’ensemble des acteurs publics. Le Gouvernement Français a fait du Cloud un élément central de sa stratégie, visant à accélérer la modernisation de l’administration tout en garantissant la sécurité des données des citoyens et des entreprises. MGDIS est pleinement aligné avec cette vision, et nous soutenons cette politique Cloud avec détermination.
En 2020, près de 60 % des victimes de cyberattaques étaient des PME et des collectivités territoriales. En 2021 et 2022, ce chiffre a continué d’évoluer, démontrant que la protection des PME/TPE/ETI et des collectivités face à ces menaces est plus cruciale que jamais.
Le temps n’est plus aux constats et aux promesses mais aux actes avec la mobilisation de moyens proportionnés pour répondre à cet enjeu. La mobilisation de MGDIS se mesure par :
- 2 experts dédiés à notre pôle RSSI,
- 1 juriste spécialisé dans la sécurité,
- Formations spécifiques pour nos équipes techniques, de développement et tests et le MOOC de l’ANSSI obligatoire pour tous nos collaborateurs,
- 2 audits de sécurité réalisés chaque année par une société certifiée PASSI,
- Plus de 100 000 contrôles de vulnérabilité effectués annuellement,
- Des dizaines de correctifs de sécurité appliqués chaque année suivant les évolutions des menaces,
- L’exploitation de plus de 250 environnements sécurisés,
- Le déploiement et pilotage d’un Système de Management de la Sécurité de l’Information (SMSI),
- Une démarche de certification ISO 27001 en cours,
- MGDIS lauréate du dispositif d’accompagnement à la qualification SecNumCloud,
- Aucune faille de sécurité exploitée à ce jour.
Dans notre démarche de développement, la sécurité est une priorité absolue, suivant le principe du “Security by Design“. Nous intégrons les exigences de sécurité dès la conception de nos produits, grâce à des analyses de risques méthodiques. Notre architecture micro-services à base de containers garantit une sécurité distribuée et une protection des communications.
La cybersécurité est un engagement continu, avec une détection précoce des vulnérabilités tout au long du processus de développement et de la production logicielle. Nos solutions sont soumises à une surveillance constante, avec une attention particulière aux attaques potentielles. Notre Plan d’Assurance Sécurité (PAS), conforme au CCSC, couvre tous les aspects de la sécurité, de la politique à la résolution des différends.
Par ailleurs, MGDIS est fière de collaborer avec différentes écoles et d’accueillir des alternants. Cette démarche nous permet d’apporter un regard neuf et de contribuer à la formation des futurs experts en sécurité (interventions en 2023, notamment, à l’ENSIBS, l’ESNA, l’ISTIC, l’IRIAF…).
Nous ne nous contentons pas de garantir la sécurité de nos produits, mais nous étendons notre engagement à nos services en ligne. Notre solution logicielle “Portail Aiden” est reconnue comme une solution de confiance par OVH. L’hébergement est réalisé dans un datacenter respectant la réglementation européenne, notamment le “code de conduite” européen CISPE sur la protection des données et celui sur la réversibilité des données, facilité par la Commission Européenne. MGDIS bénéficie du label OpenTrustedCloud.
Nous travaillons main dans la main avec nos clients, en collaborant étroitement, en toute transparence avec leurs équipes RSSI. Nous participons activement aux homologations RGS, aidons à l’analyse des risques, et facilitons la réalisation de tests d’intrusion ou de configuration en mode service en ligne.
Une illustration concrète de notre engagement est le récent Bug Bounty mené en partenariat avec le Conseil Départemental de la Haute Garonne, l’association COTER Numérique et le Club des RSSI des collectivités territoriales. Cette initiative a permis de détecter des vulnérabilités et d’intégrer leur résolution dans notre processus de correction et dans le cycle des sorties des versions mensuelles, illustrant notre engagement envers une amélioration continue de la sécurité de nos logiciels.
Madame Marilyne Boubée, RSSI du Conseil Départemental de la Haute Garonne, témoigne de notre engagement en affirmant que « MGDIS est un éditeur mature qui intègre les exigences de sécurité à tous les niveaux de son processus d’édition logicielle. Les résultats du Bug Bounty démontrent une prise en compte totale de ces exigences.
Au sein du Club RSSI, nous croyons en une démarche constructive et collaborative avec les éditeurs de logiciels. Nous sommes convaincus que cette transparence peut bénéficier à l’ensemble des collectivités territoriales. »
La sécurité est un objectif stratégique de MGDIS et les moyens humains et financiers nécessaires sont mobilisés pour le tenir.
Nous sommes convaincus que les acteurs du numérique qui n’ont pas pris la mesure de cet enjeu auront disparu dans les 3 années à venir. Chacun à son niveau doit s’assurer de limiter les d’impacts potentiels d’une attaque sur son système en vérifiant qu’au-delà des promesses écrites dans un contrat de partenariat ou une réponse à un appel d’offre, les moyens humains et financiers mis en œuvre sont réels et proportionnés. La sécurité représente une responsabilité collective, et les acteurs qui refusent ou négligent d’assumer le coût associé, mettent en péril l’ensemble du groupe.
Ensemble soyons vigilants pour bâtir un avenir numérique plus sûr et plus prospère pour tous.
Frank MOSSER – Président MGDIS