Accès distant à Agendis 95 : quelles règles respecter au SDIS 95 ?

Cybersécurité
Pompier en uniforme SDIS consultant un logiciel de planification Agendis sur un poste informatique administratif

Quand un sapeur-pompier du Val-d’Oise consulte ses plannings ou pose une demande de congé depuis chez lui, il se connecte à Agendis 95, l’application métier du SDIS 95. Cette connexion à distance, aussi banale qu’elle paraisse, active un cadre juridique et technique précis. Comprendre ces règles évite des blocages d’accès, protège les données personnelles des agents et met le service en conformité avec la réglementation nationale.

Sommaire
Agendis 95 et accès distant : ce que recouvre réellement la connexion hors caserneAuthentification multifacteur imposée par l’ANSSI pour les accès distantsPourquoi le SDIS 95 est directement concernéRGPD et analyse d’impact : les obligations du SDIS 95 sur les données AgendisCe que l’AIPD doit couvrir pour l’accès distantConnexion à Agendis depuis l’étranger : le piège du transfert hors UEResponsabilités de l’agent et du SDIS 95 sur la sécurité de l’accès

Agendis 95 et accès distant : ce que recouvre réellement la connexion hors caserne

Agendis est le logiciel utilisé par le SDIS du Val-d’Oise pour gérer les plannings, le temps de travail et certaines données RH des agents. L’accès se fait via un navigateur, avec un matricule et un mot de passe.

A lire aussi : Mise à jour logiciel : importance, conséquences et solutions adaptées !

Tant que l’agent se connecte depuis le réseau interne d’une caserne ou d’un site administratif du SDIS, le flux reste dans un périmètre maîtrisé. Le sujet change dès qu’il ouvre Agendis depuis son domicile, un réseau Wi-Fi public ou, plus délicat encore, depuis l’étranger.

À ce moment-là, la connexion emprunte l’internet ouvert. Les données personnelles (identité, horaires, absences) circulent sur un canal qui n’est plus contrôlé par le SDIS. C’est ce passage qui déclenche des obligations réglementaires spécifiques.

Lire également : Alternatives à CCleaner pour le nettoyage de votre PC

Agente administrative du SDIS 95 en télétravail accédant à distance au portail sécurisé Agendis depuis son domicile

Authentification multifacteur imposée par l’ANSSI pour les accès distants

Vous vous connectez à Agendis avec un simple couple matricule/mot de passe. Depuis l’extérieur, ce niveau de sécurité est jugé insuffisant par l’ANSSI.

Le Guide d’hygiène informatique de l’ANSSI et ses recommandations 2023-2024 imposent le recours à une authentification multifacteur (MFA) pour tout accès distant à des systèmes contenant des données sensibles d’agents publics. L’agence recommande fortement d’interdire les accès simples par login/mot de passe depuis l’internet ouvert pour les applications de type SIRH ou gestion des plannings opérationnels.

Concrètement, le MFA ajoute une étape après la saisie du mot de passe : un code temporaire envoyé par SMS, une notification sur une application dédiée ou l’utilisation d’une clé physique. L’idée est simple : même si le mot de passe est compromis, l’accès reste verrouillé sans le second facteur.

Pourquoi le SDIS 95 est directement concerné

Agendis contient des données de planification opérationnelle et des informations RH. Ce type d’application entre dans le périmètre visé par l’ANSSI. Un accès distant sans MFA expose le SDIS à un risque de non-conformité et, plus directement, à une compromission de comptes en cas de vol d’identifiants.

Si vous constatez qu’aucun second facteur ne vous est demandé lors d’une connexion depuis votre domicile, le dispositif MFA n’est peut-être pas encore déployé sur votre profil, ou la connexion transite par un VPN qui simule un accès interne. Dans les deux cas, la question mérite d’être posée à votre correspondant informatique.

RGPD et analyse d’impact : les obligations du SDIS 95 sur les données Agendis

Le RGPD et la loi Informatique et Libertés modifiée encadrent le traitement des données personnelles des agents. Or Agendis gère un suivi systématique des temps de travail à l’échelle du département.

Depuis 2018, les lignes directrices de la CNIL sur les analyses d’impact relatives à la protection des données (AIPD) précisent qu’une AIPD est obligatoire dès qu’un traitement concerne un suivi systématique et à grande échelle des personnels. Le SDIS 95, avec ses centaines d’agents suivis quotidiennement dans Agendis, entre dans cette catégorie.

Ce que l’AIPD doit couvrir pour l’accès distant

L’analyse d’impact ne porte pas seulement sur le logiciel lui-même. Elle doit intégrer les modalités d’accès distant. Voici les points que le SDIS doit documenter :

  • Les catégories de données accessibles à distance (plannings, absences, coordonnées personnelles) et leur niveau de sensibilité.
  • Les mesures techniques appliquées pour sécuriser la connexion hors site (MFA, chiffrement du flux, durée de session, verrouillage après inactivité).
  • Les risques résiduels identifiés, par exemple l’utilisation d’un terminal personnel non supervisé par la DSI du SDIS, et les mesures compensatoires retenues.
  • La procédure d’information des agents sur les conditions d’accès distant et les droits dont ils disposent sur leurs données.

Sans cette analyse, l’accès distant à Agendis 95 fonctionne dans un vide documentaire qui fragilise le SDIS en cas de contrôle de la CNIL ou d’incident de sécurité.

Techniciens informatiques du SDIS 95 vérifiant les règles d'accès distant au système Agendis dans une salle serveur

Connexion à Agendis depuis l’étranger : le piège du transfert hors UE

Un sapeur-pompier en vacances à l’étranger qui consulte son planning sur Agendis déclenche, au sens du RGPD, un transfert de données personnelles hors de l’Union européenne. La donnée ne quitte pas physiquement le serveur du SDIS, mais elle est rendue accessible depuis un pays tiers, ce que la CNIL assimile à un transfert.

Cette situation impose plusieurs précautions :

  • Le SDIS doit informer les agents que l’accès depuis un pays hors UE est encadré, voire restreint selon la politique de sécurité interne.
  • Si l’hébergeur ou le prestataire d’Agendis dispose d’un support technique situé hors UE, des clauses contractuelles types doivent être intégrées au contrat.
  • En pratique, bloquer l’accès distant depuis certaines zones géographiques reste la mesure la plus simple à mettre en place pour éviter toute qualification de transfert.

La DINUM et l’ANSSI recommandent aux collectivités de privilégier un accès distant via un VPN qui rattache la session au réseau français du SDIS, neutralisant ainsi la question du transfert géographique.

Responsabilités de l’agent et du SDIS 95 sur la sécurité de l’accès

La conformité ne repose pas uniquement sur la direction informatique. L’agent qui se connecte à Agendis depuis l’extérieur partage une part de responsabilité.

Le SDIS 95 doit fournir un cadre clair : charte informatique mise à jour, consignes sur les terminaux autorisés, politique de mot de passe, activation du MFA. De son côté, l’agent doit respecter ces consignes, ne pas enregistrer ses identifiants sur un appareil partagé et signaler toute anomalie de connexion.

L’absence de charte informatique actualisée prive le SDIS de recours disciplinaire en cas de négligence d’un agent. Ce document contractualise les règles d’accès distant et rend opposables les consignes de sécurité.

Le portail agent du SDIS 95 mentionne déjà la centralisation progressive des demandes RH via la plateforme SPHERE95. Cette évolution confirme une tendance : les accès numériques se multiplient, et chaque nouveau portail impose le même travail de conformité que celui décrit pour Agendis. Anticiper ces exigences sur l’ensemble des outils évite de recommencer l’exercice à chaque déploiement.

A voir sans faute

Recherche

Au coeur de l'actu

Web

Changement de compte dans Teams : procédure étape par étape

Changer de compte dans Teams peut sembler complexe, mais en suivant quelques

Web

Définition et principes de l’Internet en général

L'Internet, vaste réseau mondial, permet la connexion entre millions d'ordinateurs et d'appareils,

En vogue