Cybersécurité. La CNSS cible l’homologation de ses systèmes d’information

La Caisse nationale de sécurité sociale (CNSS) envisage de rendre ses systèmes d’information conformes à la directive nationale sur la sécurité des systèmes d’information (DNSSI) et à la loi 05-20 sur la cybersécurité.

Les systèmes d’information sensibles visés par ce projet sont les systèmes de production du régime général et ceux de l’AMO (Assurance maladie obligatoire).

En effet, l’homologation d’un système d’information est destinée à faire connaître aux responsables des établissements les risques liés à l’exploitation de leurs systèmes d’information. D’après les directives édictées par la DGSSI, la démarche d’homologation devrait suivre quatre phases avant sa validation : la planification, la maîtrise des risques, la décision d’homologation, et le suivi et maintien de l’homologation.

Un appel d’offres a été lancé dans ce sens. Il fait suite à une série de marchés destinés à renforcer la cybersécurité de la CNSS, notamment après la fuite de données survenue en avril 2025.

La phase la plus importante dans la démarche d’homologation est celle relative à la maîtrise des risques, durant laquelle le mandataire doit réaliser un audit technique de sécurité.

Cet audit se formalisera par un rapport d’analyse des risques complet selon la norme ISO 27005 ou EBIOS, incluant l’identification des événements redoutés, des scénarios et une estimation des risques, ainsi que par une cartographie graphique des risques (HeatMap) prenant en compte les critères de sécurité de l’information : disponibilité, intégrité, confidentialité et traçabilité (DICT).

À l’issue de cette analyse, un plan de traitement des risques détaillé sera établi, comprenant des fiches actions, les ressources nécessaires, les priorités et les échéances, ainsi qu’un support de restitution de l’analyse des risques.

Après la validation de l’homologation des SI de la CNSS par le comité de pilotage du projet, le mandataire devra également définir une démarche pour en assurer sa mise en œuvre effective.

Cette démarche portera sur l’appréciation continue des risques de sécurité au sein du système d’information et devra s’appuyer sur un cadre de gouvernance dédié, incluant :

une méthodologie et des référentiels d’appréciation des risques en sécurité pour la mise en place d’un processus clair ;
la définition des rôles et responsabilités des acteurs impliqués dans la gestion des risques ;
un plan et un cadre de sensibilisation interne pour informer et former le personnel aux risques de sécurité.

LIRE AUSSI

https://medias24.com/2025/04/10/ce-que-vous-devez-savoir-pour-detecter-reagir-et-vous-proteger-efficacement/

https://medias24.com/2025/06/03/apres-les-attaques-il-est-temps-de-changer-notre-approche-de-la-cybersecurite-expert/

Amine Bouwafoud

Nador West Med. Un potentiel de près de 100.000 emplois

Transport maritime : les grands axes de la nouvelle stratégie nationale

Aradei Capital vise plus de 1 MMDH de chiffre d’affaires et engage 3,3 MMDH d’investissements à l’horizon 2030

Le CHU Mohammed VI d’Agadir se dote de sa première plateforme de chirurgie robotique