La CNSS muscle sa cybersécurité

La Caisse nationale de sécurité sociale (CNSS) lance un projet d’envergure pour la sécurisation de son système d’information. Après avoir été confrontée, il y a cinq mois, à un incident majeur de fuite de données, et dans un contexte marqué par l’accélération de la transformation digitale, l’institution a décidé de renforcer sa gouvernance des technologies de l’information (IT) et de mettre en conformité ses dispositifs avec les exigences de la Direction générale de la sécurité des systèmes d’information (DGSSI) et de la Directive nationale de la sécurité des systèmes d’information (DNSSI). Cette mission vise à doter la CNSS d’une cartographie des risques IT complète, structurée, actualisée et alignée sur les bonnes pratiques internationales en matière de cybersécurité. Confiée dans le cadre d’un marché public, elle doit être réalisée en 90 jours et prévoit une revue critique de la cartographie existante afin d’identifier les faiblesses et d’y apporter des solutions concrètes.

Le cahier des prescriptions met en avant plusieurs objectifs stratégiques, parmi lesquels l’évaluation et la hiérarchisation des risques actuels et potentiels, la révision des dispositifs de maîtrise existants, l’intégration des risques liés aux prestataires et fournisseurs IT, ainsi que l’alignement de la cartographie avec le Plan de continuité d’activité et le Plan de secours informatique.

Le périmètre de la mission est vaste puisqu’il couvre l’ensemble du système d’information de la CNSS, incluant les applications critiques et vitales exposées aux réseaux internes et externes, les infrastructures techniques – comme les serveurs, bases de données et réseaux – les processus métiers, ainsi que les données sensibles, qu’elles soient personnelles ou financières.

Afin d’atteindre ces objectifs, le prestataire devra livrer un ensemble de documents essentiels, allant du rapport d’analyse critique de la cartographie IT existante à une cartographie consolidée conforme aux normes de la DGSSI et de la DNSSI, en passant par des plans d’action correctifs, des scénarios de risques détaillés, des recommandations organisationnelles, des supports de formation et un kit méthodologique destiné à assurer l’exploitation et la maintenance de la cartographie des risques.

À travers ce projet, la CNSS vise à protéger ses systèmes d’information et à garantir la sécurité des données de ses assurés. Cette initiative s’inscrit dans une dynamique nationale de cybersécurité et marque une étape clé dans la transformation digitale de l’institution, qui cherche à se prémunir contre des risques de plus en plus complexes et nombreux.

Pour rappel, la CNSS avait déjà annoncé, dans un communiqué publié en avril 2025, avoir été la cible d’une série d’attaques cybernétiques visant à contourner ses dispositifs de sécurité. Ces attaques avaient provoqué une fuite de données personnelles, dont certaines avaient été diffusées sur les réseaux sociaux. L’institution avait alors précisé que plusieurs de ces informations étaient «fausses, inexactes ou tronquées», tout en assurant avoir mis en place, en collaboration avec les autorités compétentes, un dispositif renforcé pour limiter l’impact de l’attaque et protéger davantage ses systèmes d’information.