| Section F.O.-DGFiP des Directions Nationales et Spécialisées
Adr.: 10 rue du Centre Bureau 1720 Aile Sud 93465 NOISY LE GRAND Cedex Tél.: 01-57-33-80-29 Mèl : fo.dresgdgfip.finances.gouv.fr Site web : https://www.fo-dgfip-sd.fr/B31 |
| Section F.O.-DGFiP des Directions Nationales et Spécialisées
Adr.: 10 rue du Centre Bureau 1720 Aile Sud 93465 NOISY LE GRAND Cedex Tél.: 01-57-33-80-29 Mèl : fo.dresgdgfip.finances.gouv.fr Site web : https://www.fo-dgfip-sd.fr/B31 |
Une réunion d’information s’est tenue, le 9 février, sous la présidence de M Cantin, secrétaire général adjoint du MEFR, pour présenter le projet de déploiement d’une carte ministérielle Rossignol dès 2022.
En réponse à des problématiques de sécurité, le projet de carte « Rossignol », initié par le service du Haut fonctionnaire de défense et de sécurité du Secrétariat Général, devrait être déployé dès 2022.
Actuellement, l’authentification des agents aux systèmes d’informations ministériels (ouverture de sessions sur poste de travail, accès aux applications…) est réalisée par différents moyens :
couples identifiant / mot de passe ;
certificats électroniques implantés sur le poste de travail avec code secret ;
certificats électroniques sur carte à puce « contact » avec code secret (par exemple : carte Cybele de la DGDDI).
Les bonnes pratiques de cyber sécurité préconisent la généralisation de l’authentification à double facteur, c’est-à dire l’utilisation par l’agent de deux preuves d’identité distinctes pour s’authentifier, afin de limiter le risque d’une usurpation de son identité à des fins malveillantes.
L’utilisation de certificats électroniques sur carte à puce avec code secret, ou sur un composant interne sécurisé avec code secret, répond déjà à ces critères mais le projet de carte « Rossignol » présente toutefois un niveau de sécurité supérieur.
Le projet présenté vise à déployer une carte personnelle et unique, permettant :
l’utilisation simple et sécurisée des systèmes d’information, à l’aide d’une puce « contact », contenant des certificats électroniques et présentant un niveau de confiance élevé ;
l’ensemble des usages sans contact utiles au sein du ministère, en lien avec les directions.
L’objectif poursuivi est à la fois :
un renforcement de la sécurité des usages contact et sans contact ;
une simplification du quotidien de l’agent.
Les différentes bases de données utilisées ne seront pas modifiées et demeureront cloisonnées. La carte n’enregistrera aucune information sur les activités de l’agent.
En réponse aux inquiétudes des fédérations, l’administration a rappelé que la jurisprudence interdisait tout suivi de l’agent via les outils techniques et que Bercy la respectait scrupuleusement.
Le projet inclut la fourniture de la carte en elle-même, la production et la gestion des certificats électroniques implantés sur la carte. Ce service d’émission de certificats est porté par le Secrétariat Général du MEFR, en tant qu’« autorité de certification » et par la société IN Groupe, assurant la fabrication et l’émission des certificats.
La direction ou le service de rattachement de l’agent, en tant qu’ « autorité d’enregistrement », restera l’interlocuteur de l’agent à toutes les étapes de la gestion de la carte.
La direction devra synchroniser son annuaire avec le système de gestion des cartes et certificats exploité par IN Groupe.
Seules les données indispensables des agents sont concernées par cette synchronisation : nom, prénom, civilité, matricule ministériel, entité de rattachement, identifiants informatiques et numéro de téléphone professionnel, photo.
Les certificats émis seront valables 3 ans, renouvelable 1 fois par l’agent, soit une durée de 6 ans de validité pour la carte.
Il sera également possible de mettre à disposition des cartes temporaires, pour les stagiaires ou en cas de perte.
Dans ce dernier cas, l’agent devra immédiatement prévenir l’administration afin de désactiver sa carte.
Les fédérations ont demandé qu’aucune sanction ne soit appliquée à l’agent.
Aujourd’hui à la DGDDI, la perte de la carte Cybele donne lieu à des sanctions, ce qui est inadmissible.
Les agents des ministères économiques et financiers ont par ailleurs régulièrement recours à des systèmes sans contact pour l’accès bâtimentaire, le pointage horaire, l’identification pour paiement en restauration collective, etc.
Des discussions sont ainsi en cours avec l’AGRAF, s’agissant de la restauration parisienne.
Sur la question de ces usages sans contact, ils feront l’objet de futurs échanges et pourraient être différents selon la direction.
L’administration a souhaité que cette carte réponde à une qualification dite RGS2*, c’est-à-dire un niveau de confiance élevé.
Dès l’obtention de cette qualification, normalement en mai 2022, les premiers déploiements commenceront à la DGDDI en remplacement de la carte Cybele.
L’ensemble Secrétariat Général et administration centrale devrait suivre au 2ème semestre 2022.
Le Secrétariat Général s’est engagé à communiquer aux fédérations des éléments plus précis au fur et à mesure de la progression de ce projet.