E n
je u
1 Sûreté des ouvrages du Grand Paris Express Prise en compte et gestion des risques de sécurité et de sûreté pouvant survenir durant la phase de construction et d exploitation des ouvrages du Grand Paris Express (vis-à-vis d action malveillantes de la part de tiers, y compris la cybersécurité).
R is
q u
es
Sécurité des chantiers Cybersécurité des systèmes du Grand Paris Express Sécurité informatique de la Société du Grand Paris
Le risque porte sur l éventualité d une défaillance des dispositifs visant à assurer la sûreté de l enceinte et les dispositions de protection des chantiers du Grand Paris Express. Cette défaillance serait entrainée par toute intrusion externe ou malveillante (vol, dégradation, sabotage). Le risque porte également sur l éventualité d une sécurité insuffisante sur les chantiers. Sur le volet sécurité, un accident aurait des conséquences sur des dommages corporels ou matériels pouvant entrainer un arrêt de chantier ou un retard significatif dans l avancement des travaux.
En tant que Systèmes d Information d Importance Vitale (SIIV), la Société du Grand Paris se doit de maîtriser les enjeux et le niveau de sécurité imposée par la loi de programmation militaire (LPM) dont le but est de renforcer la sécurité des systèmes d information en exploitation. Le risque couvre la bonne maîtrise du processus complet de mise en conformité au cadre de référence cybersécurité :
définition des orientations applicables à tous les systèmes déployés dans le cadre du Grand Paris Express ; déclinaison des exigences de « cybersécurité » adaptées aux systèmes ; mise en cohérence avec le dossier d homologation du Grand Paris Express ; déploiement et intégration des règles homologuées dans les systèmes du Grand Paris Express.
Ce risque est accentué par le contexte géopolitique ou ambiant qui peut s avérer hostile vis-à-vis d infrastructures exposées, médiatisées, représentantes des intérêts de l État français telles que le Grand Paris Express.
Il s agit du risque que l intégrité, la disponibilité ou la confidentialité des données des systèmes d information de la Société du Grand Paris soit obérées ne permettant plus une conduite pérenne du projet. L exposition à ce risque augmente pour l ensemble des entreprises, notamment en période de travail à distance. Les causes peuvent être techniques (par exemple, dimensionnement des systèmes), matérielles (par exemple, pannes de serveurs) ou humaines (par exemple, des erreurs dans des migrations ou montées de version, ou d éventuels défauts de modélisation dans les outils de représentation géographique ou spatiale de l information). Le risque inclut également la malveillance (intrusion dans les systèmes d information du maître d ouvrage).
P la
n d
a ct
io n
s
Renforcement des dispositifs de maîtrise des risques et de l organisation
Mise en place d un marché d audit de sécurité des chantiers Charte de sécurité et de sûreté des travaux Clarification de l organisation et des responsabilités dans la chaîne pour suivi et traitement des dommages aux tiers Renforcement de la présence de la maîtrise d ouvrage sur les chantiers par le recrutement des chargés de sécurité
Mise en place de dispositifs de couverture face au risque Couverture assurantielle pour les dommages
Renforcement des dispositifs de maîtrise des risques en place Comité pour l alignement des politiques de sécurité du ou des systèmes d information côté Société du Grand Paris Assistant à maîtrise d ouvrage Cybersécurité pour la préparation de la mise en conformité à la LPM Politique de sécurité des systèmes d information du Grand Paris Express Mise en place d un groupe de travail tripartite autour de la cybersécurité avec IdFM et RATP-GI Assistance de l Agence nationale de la sécurité des systèmes d information
Réorganisation du périmètre Conformité de la Société du Grand Paris aux dispositions du règlement général sur la protection des données Sensibilisation / communication interne (tests de phishing, campagne de communication sur les règles SSI) Outsourcing des datacenters Responsable de la sécurité des systèmes d informations (RSSI) rattaché à la direction des systèmes d informations, ainsi qu un responsable opérationnel pour le suivi au quotidien Renforcement de l assistance juridique afin de se prémunir en cas d attaque
Renforcement des dispositifs en place Charte de sécurité informatique et politique SSI Plan de reprise informatique et des processus de gestion de crise informatique Mise en œuvre des recommandations de la mission Cybersécurité
IDENTITÉ
RISQUES ET ENJEUX
Risques
DÉM ARCHE RSE
AC TIVITÉ 2020