2.1. Les reformatages et les reconstructions de machines pour raison de sécurité sont décomptés et catégorisés. Les catégories incluent au minimum :
- le type de machines touchées : poste de travail, serveur, machine virtuelle ;
- la nature des moyens de détection : signalement utilisateur, supervision interne, signalement externe ;
- le type d'infection.
2.2. Les événements remarquables de l'année sur le périmètre de l'autorité qualifiée de sécurité des systèmes d'information font l'objet d'un recensement et d'une analyse synthétique. Ils sont côtés selon trois axes : confidentialité, intégrité et disponibilité.
2.3. Les homologations de l'année sont recensées avec mention des décisions prises (dates de commission, durées, réserves, autorisations provisoires d'emploi).
Le catalogue des téléservices ou applications rentrant dans le champ du règlement général de sécurité (RGS) mais non homologués est établi et indique l'autorité d'homologation compétente.
2.4. Les infrastructures mutualisées, dédiées ou essentielles à la cybersécurité font l'objet d'un inventaire annuel spécifique mentionnant pour chacun leur statut d'homologation, les audits et principaux événements au cours de l'année.
Cette catégorie de systèmes comprend les services d'informatique en nuage internes et services d'hébergement, les contrôles d'accès logiques ou de régulation des flux (authentification unique [SSO], annuaires, systèmes de courriels, passerelles réseaux ou internet, consoles ou bastions d'administration, réseaux privés virtuels, infrastructures de gestion de clés), les systèmes de traçabilité (collecteurs de journaux, systèmes de signature électronique, sondes) et de résilience (systèmes de sauvegardes, de supervision et de reconstruction).
2.5. Sont recensés les audits de l'année, qu'il s'agisse d'inspection de services de tutelle (Agence nationale de la sécurité des systèmes d'information, service du haut fonctionnaire de défense et de sécurité) ou des audits commandités par l'entité auprès de prestataires.
2.6. Le bilan du maintien en condition de sécurité est apprécié par un décompte extrait de l'inventaire des parcs utilisant des composants obsolètes (notamment systèmes d'exploitation, navigateurs, clients de courriel, grandes suites éditeurs) et par une synthèse des scans de vulnérabilité (périmètres scannés, vulnérabilités découvertes).
2.7. Les ressources humaines impactant ou affectées à la cybersécurité font l'objet d'un suivi des nouvelles autorités d'homologation, des effectifs et des formations dispensées pendant l'année.
Les prises de fonction des autorités d'homologation sont recensées avec mention des actions d'accompagnement.
Les effectifs sont dénombrés en équivalents-temps-pleins (ETP) à la fin de l'année, en comptabilisant les emplois dont le titre sur la fiche de poste mentionne la cybersécurité, ou les emplois au sein de cellules dédiées à la sécurité des systèmes d'information. Les ETP assurés par les prestataires sont intégrés à l'inventaire et catégorisés comme tel.
Les volumes de formations sont cumulés en équivalent jours × hommes, qu'elles soient dispensées par le centre de formation à la sécurité des systèmes d'information (CFSSI), l'institut de la gestion publique et du développement économique (IGPDE) ou d'autres organismes.
