Le Conseil général compte eneffet 1 400 collaborateurs travaillant avec des tiers extérieurs, notamment avec des laboratoires départementaux, d’où l’importance de sécuriser leurs échanges. Plusieurs projets sont donc menés entre 2009 et 2011 notamment pour traiter deux problématiques :

Assurer la sécurisation des données critiques, stratégiques, sociales et en lien avec la loi CNIL

Avoir une politique de traçabilité des fichiers afin d’être capable d’en limiter l’accès aux personnes concernées et ne plus être victime de fuites de données.

A l’image des collectivités territoriales, le Conseil général est amené à manipuler des données stratégiques comme par exemple des plans parcellaires dans le cadre de constructions de route, des données sociales ou critiques telles que les dossiers médicaux de ses administrés. Les conséquences d’une fuite sur ce type de données pouvant êtres préjudiciables, le Conseil général fait appel en décembre 2010 à Imperva, dans un premier temps pour sécuriser l’accès à ses données, via la solution de firewall applicatif web d’Imperva (WAF).

Une fois l’accès web sécurisé, il était important de définir une politique de sécurité pour ces données afin d’en limiter l’accès aux utilisateurs légitimes. Comme suite logique, le Conseil général a donc enrichi en décembre 2011 son dispositif avec la solution de sécurisation d’accès aux fichiers d’Imperva (FAM). Véritable outil d’audit d’accès aux fichiers, la solution a permis d’identifier les droits utilisateur excessifs pour les re-configurer. « Lors de requêtes d’accès qui ne respectent pas la politique définie, ou encore lors de copies massives de fichiers, SecureSphere le signale et bloque l’utilisateur » précise Christophe Forgin, Responsable Sécurité des Systèmes d’Information du Conseil général de la Mayenne. Enfin, elle délivre en parallèle des analyses et rapports en temps réel permettant une réactivité optimale quant aux disfonctionnements identifiés.

La mise en œuvre fut extrêmement rapide (moins d’une journée) et les bénéfices immédiats. « La première phase consistait à observer et analyser les remontées d’information, dans un second temps l’outil nous a permis de revoir notre paramétrage et de le peaufiner. Ce fut le cas de plusieurs fichiers sensibles qui étaient potentiellement accessibles à un nombre de personnes trop important et sur lesquels nous avons pu rapidement intervenir » indique Christophe Forgin.

Après seulement 2 mois d’utilisation, les résultats sont en phase avec les attentes initiales ainsi qu’avec l’objectif de la norme ISO 27000. Les données de la collectivité ainsi que leur accès sont désormais sécurisés, chaque fichier est tracé afin d’en limiter la fuite ou du moins de pouvoir le justifier de manière précise. « Nous avions régulièrement des fichiers qui disparaissaient du système d’information, sans que personne ne puisse l’expliquer. Avec la solution SecureSphere nous pouvons désormais savoir qui a supprimé le fichier et à quel moment » conclut Christophe Forgin.