Les appels à projet


Les appels à projets sont une offre de service proposée par l’ANSSI aux ministères et à certaines collectivités territoriales dans le cadre de France Relance. Son objectif ? Cofinancer des projets de sécurisation de systèmes d’information de bénéficiaires dont le niveau de sécurité est suffisamment avancé, et le besoin suffisamment clair, pour que le projet soit mené hors du cadre des Parcours de cybersécurité. À travers ces projets, l’ANSSI ambitionne de participer à la dynamisation de l’écosystème français de la cybersécurité et d’élever significativement le niveau de cybersécurité des ministères et collectivités, en s’appuyant sur des prestataires et acteurs du secteur privé.

PROPOSER UN PROJET

Vous souhaitez proposer un projet et bénéficier de cette offre ? Contactez votre référent ANSSI (le délégué territorial) ou le FSSI de votre ministère de tutelle, selon votre situation. Celui-ci vous indiquera comment déposer un dossier de candidature.

LES CRITÈRES D’ÉLIGIBILITÉ

Les projets doivent être proposés par la chaîne SSI de l’organisation et doivent s’intégrer dans une stratégie globale de sécurisation du système d’information.

Au moyen d’un dossier de candidature, le porteur de projet devra démontrer en quoi son projet permettra de renforcer efficacement et durablement la sécurisation de son système d’information.

Les informations mentionnées ci-après devront être fournies.

  • Tous les éléments permettant d’apprécier la maturité en termes de cybersécurité du bénéficiaire et la description générale du niveau de sécurité de son système d’information (équipe SSI, moyens et solutions de cybersécurité mis en œuvre, etc.).
  • Tous les éléments permettant de démontrer que le projet renforcera efficacement et durablement la sécurisation du système d’information, avec des objectifs concrets à atteindre et des indicateurs de suivi.
    Par exemple :
    • Pour un projet en phase de cadrage : les besoins fonctionnels et de sécurité, le type d’hébergement envisagé, les rapports d’audits, etc. Le cas échéant, la stratégie d’homologation précisant les parties prenantes, le référentiel réglementaire dans lequel le projet s’inscrit, ainsi que les procédures d’exploitation de la sécurité peuvent également être indiqués.
    • Pour un projet en phase de lancement, en complément des éléments ci-dessus : l’analyse de risques, la description générale de l’architecture technique envisagée et, le cas échéant, les CCAP, le CCTP et les rapports d’audits de sécurité.
  • Tous les éléments permettant d’apprécier la capacité de cofinancement du bénéficiaire.
  • Tous les éléments de contexte détaillés : présentation du projet et du besoin auquel il répond, précisions sur les éventuelles solutions de cybersécurité envisagées et les prestations de services associées pour leur déploiement et leur maintenance, calendrier prévisionnel et budget envisagé (idéalement, le véhicule contractuel envisagé par le bénéficiaire et les potentiels devis associés).

L’ACQUSITION DE SOLUTIONS DE CYBERSECURITE

Les projets soumis peuvent notamment consister en l’acquisition de produits et services de cybersécurité. Différentes solutions ont déjà été identifiées par l’ANSSI comme pouvant faire l’objet d’un projet d’acquisition dans le cadre du plan France Relance. La liste ci-dessous n’est pas exhaustive de l’ensemble des familles de produits nécessaires à la sécurisation d’un système ou réseau.

  • Analyse de risques EBIOS Risk Manager : prestation de service pour l’analyse de risques de bout en bout et leur gestion dans le temps via un outil logiciel conforme aux principes et concepts de la méthode EBIOS Risk Manager.
  • Bug bounty : prestation de service complétant les mesures classiques (audit, conformité) et avancées (tests d’intrusion) de sécurisation, en encadrant le recours à une communauté de hackers pour rechercher sur une période donnée les vulnérabilités d’un système ou d’un produit connecté.
  • Endpoint Detection and Response : solution permettant de renforcer la protection des terminaux face aux menaces persistances avancées (attaquant en cours de latéralisation, rançongiciels, etc.).
  • Gestionnaire de vulnérabilités : logiciel permettant de scanner le système d’information pour identifier ses faiblesses (développement, configuration, obsolescence, etc.).
  • Pare-feu applicatif web (WAF) : logiciel analysant le trafic et les requêtes envoyées entre un utilisateur et un serveur web pour détecter et bloquer de nombreuses attaques.
  • Sauvegarde sécurisée : produits ou prestations de service permettant la restauration rapide des données en cas d’attaque sur le système informatique.
  • Sécurisation de l’Active Directory : solutions de contrôle du bon maintien en condition de sécurité de l’Active Directory Windows.
  • Sécurisation de la messagerie email : logiciels permettant de détecter et bloquer les emails malveillants (malwares, spam, phishing, etc.).

Les projets d’acquisition de ces solutions de cybersécurité doivent s’inscrire dans une stratégie globale de cybersécurité du bénéficiaire et ainsi permettre de répondre à des besoins de sécurisation existants.

Par ailleurs, des projets pour l’acquisition de solutions de cybersécurité ne figurant pas dans cette liste peuvent également être soumis. Comme l’ensemble des projets, ils seront évalués au cas par cas par l’ANSSI suivant différents critères exposés ci-après, et toujours dans l’objectif d’élever significativement le niveau de sécurité du bénéficiaire concerné.

LES CRITÈRES DE SÉLECTION

Un comité de sélection, présidé par le directeur général de l’ANSSI et réunissant les représentants des porteurs de projet et des experts de l’ANSSI, sélectionnera les projets retenus au regard des critères suivants :

  • Critère de sécurité : le projet doit permettre d’élever le niveau de cybersécurité du système d’information.
  • Critère de portée : la portée du projet sera appréciée (nombre d’agents ou de bénéficiaires concernés, caractère transposable ou transverse).
  • Critère de maturité : les contraintes calendaires portant sur le projet imposent de retenir des projets courts ou suffisamment avancés.
  • Critère de maîtrise budgétaire : la maîtrise budgétaire du projet sera appréciée (montant du cofinancement demandé à l’ANSSI, maintien de la solution au-delà du projet cofinancé par l’ANSSI).

CALENDRIER PREVISIONNEL

Les appels à projets proposés par l’ANSSI sont spécifiques au plan de relance, avec des campagnes annuelles prévues en 2021 et 2022, selon la disponibilité des budgets.

Les projets peuvent être déposés à tout moment après échange avec votre référent ANSSI territorial ou via votre FSSI ministériel. Ils seront instruits au fil de l’eau par l’ANSSI. Le prochain comité de sélection se réunira en juin 2021. D’autres comités de sélection auront lieu au cours de l’année.

COFINANCEMENT ET SOUTIEN A L’ACQUISITION

L’ANSSI, soucieuse d’élever significativement et durablement le niveau de cybersécurité des bénéficiaires, leur donne l’impulsion financière nécessaire à la réalisation d’un investissement pérenne.

Un apport minimum, à hauteur de 30% du montant total de l’acquisition, sera attendu de la part du bénéficiaire. Le montant du cofinancement de l’ANSSI sera défini suivant la maturité du projet et les objectifs du plan de relance et ne pourra excéder 100 000€ par collectivité territoriale.

En savoir plus avec la FAQ