Diapositive 1 - Bagnes · 2019. 11. 21. · Culture Police Service du Greffe Tourisme Contributions...
Transcript of Diapositive 1 - Bagnes · 2019. 11. 21. · Culture Police Service du Greffe Tourisme Contributions...
Commune de BagnesEvaluation de la fonction informatique 18/09/2018
Commune de Bagnes
09/2018
©copyright 2017
–Texte
Objectifs de l’étude
© ELCA - N°15870 / Commune de Bagnes / 2018 4
– L’objectif de la présente étude est de fournir une évaluation de l’informatique communale et de proposer des pistes d’amélioration
– Cette analyse porte notamment sur les applications, les infrastructures, les processus de gestion de l’informatique, les prestataires et la gestion de la sécurité
©copyright 2017
–Texte
Approche et limites
© ELCA - N°15870 / Commune de Bagnes / 2018
– La présente étude a été réalisée sur base d’entretiens et de revue de documentation
– Il n’a pas été établi de phase de récolte de preuves formelles au sens d’un audit
– Il s’agit d’une évaluation sur la base de l’expérience des auditeurs qui ont identifié les faiblesses principales et point d’amélioration majeurs.
– Ceux-ci devraient être traitées préalablement à toute éventuelle autre analyse plus détaillée.
6
Processus et domaines informatiques
2
©copyright 2017
–Texte
Evaluation de la fonction informatique par domaine
© ELCA - N°15870 / Commune de Bagnes / 2018 13
Infrastructure Poste de travail RéseauxServeurs
Hébergement
ApplicationsSolutions
maintenuesSolutionsHébergées
Solutionsidentifiées
Etat major Sécurité ArchitectureGouvernance Coordination
C
N
Gestion satisfaisante
Légende:
Gestion non satisfaisante
C
C
Amélioration possible
C
N
C CIGES
Net+
N
N
C
Positionnement de la fonction informatique –
Situation perçue
S1..7 : Service de la commune
Positionnement de la fonction informatique –
Situation réelle
S1..7 : Service de la commune
Positionnement de la fonction informatique –
Solution alternative
S1..7 : Service de la commune
Architecture et solution3
©copyright 2017
–Texte
Périmètre et zones d’amélioration
© ELCA - N°15870 / Commune de Bagnes / 2018 18
Activités de référence
Finances
Economie
Sociale Energie
SportsBâtiments
ConstructionsCulture
PoliceService du
Greffe
Tourisme
Contributions
Agriculture
EcolesJeunesse
Cadastre
VoiriesEspaces verts
TransportsTerritoires
UrbanismesHabitantsElections
– Les départements et services ont une appréciation globalement positive de l’outil informatique.
– Certains service ont cependant une faible satisfaction tant par la qualité de couverture fonctionnelle que par la réponse prestataire apportée.
Améliorationspossibles
Observation réduite
©copyright 2017
–Texte
Synthèse sur le système d’information 1/2
– Une solution communale ancienne (début 2000) : stable et acceptée
– Bon niveau de satisfaction de la majorité des utilisateurs
– Peu de prise en compte des spécificités bagnardes dans les solutions métier.• Contrôle des habitants -> flux saisonnier
• Construction -> gestion des autorisation de construire
– Des solutions métier parfois peu intégrées entre elles et dans l’organisation• Gestion des chantiers/routes -> solution mixte Proconcept et GeFI
• Gestion des parking - -> intégration CIGES /Net+/simnet
• GED : -> liens outils métier et remplacement dossier windows
• SIT et SITV : deux solutions pilotées par trois entités (COB, ALTIS, Canton VS)
• Police, pompiers : -> solutions Alpha hors périmètre CIGES
© ELCA - N°15870 / Commune de Bagnes / 2018 19
©copyright 2017
–Texte
Synthèse Système d’information 2/2
© ELCA - N°15870 / Commune de Bagnes / 2018 20
– Un portefeuille de projets qui prend du volume sans être piloté
• Le projet de migration vers Abacus est peu défini, tant en délai, modalités que périmètre
• Le projet d’évolution des postes de travail /office365 / W10 avancent peu• Le projet téléphonie n’est pas coordonné avec le projet poste de travail • Le nouveau site internet est peu intégré dans le paysage applicatif COB
• Lien CIGES / SIT (portail citoyen?)
• Prise en compte des aspects de sécurité
• Les besoins en équipement du projet St Marc restent à positionner dans le paysage informatique COB
Focus sécurité4
©copyright 2017
–Texte
Synthèse gestion de la sécurité
– La Commune partage une partie de son environnement informatique avec la société Altis (e.g. salles serveurs, réseau LAN, domaine Windows, serveur de messagerie), ce qui expose ses données aux vulnérabilités dont souffre potentiellement Altis, et inversement.
• Cette situation est particulièrement problématique dans la mesure où les deux sociétés ont des enjeux de sécurité différents de par la nature de leurs activités
– Les rôles et responsabilités des différents prestataires informatiques de la Commune en ce qui concerne la sécurité de l’information ne sont actuellement pas formalisés. • Cette situation fait planer une incertitude quant à l’exhaustivité des mesures de sécurité déployées et
risque d’entraîner un rejet de responsabilités en cas d’incident.
– La Commune ne dispose pas de ressource interne compétente dans le domaine de la sécurité de l’information. • Cette situation génère des latences dans le processus de décision ainsi que des failles de sécurité liées
au manque d’indications fournies aux prestataires sur le niveau de service attendu.
© ELCA - N°15870 / Commune de Bagnes / 2018 22
Synthèse du diagnostic
5
©copyright 2017
–Texte
Synthèse du diagnostic
© ELCA - N°15870 / Commune de Bagnes / 2018 27
– La fonction informatique n’est pas portée en interne, tant dans ses aspects stratégique que managériale
– L’organisation historique en gestion déléguée sur un prestataire de référence n’est plus satisfaisante
– La structure est peu préparée à conduire des projets informatiques transverses ou importants qui devraient arriver
– Un partage d’infrastructure avec Altis qui augmente les risques et crée peu de bénéfices
– Une répartition des responsabilités en termes de sécurité peu claire et peu formalisée
Recommandations
6
copyright 2018
Recommandations majeures
© ELCA - N°15870 / Commune de Bagnes / 2018 29
Renforcer la
gouvernance
Institutionnaliser la fonction informatique dans la commune et la doter d’une reconnaissance forte et d’un processus de gouvernance transversal.
Maitriser
l’informatiqueOrganiser en interne la coordination et le pilotage de l’informatique (sécurité, architecture, coordination projets, relation prestataires,)
Solidifier les
infrastructures
Séparer les architectures réseau entre Altis et COB.
Redéfinir les politiques d’accès et renforcer/simplifier la traçabilité
Optimiser les
solutions
Adapter les solutions informatiques au contexte et spécificités de la commune.
Organiser l’influence sur l’évolution fonctionnelle des solutions
Encadrer les
projets
Doter COB de processus, et compétences pour préparer, contribuer et accompagner
les gros projets des années à venir
Redéfinir et clarifier le rôles des prestataires principaux (CIGES. Net+)
Renforcer les compétences internes pour porter les exigences communales et
règlementaires (LPD, RGPD,..)
Gérer la sécurité
informatique
copyright 2018
Fin de présentation
Questions / réponses
© ELCA - N°15870 / Commune de Bagnes / 2018 33
Annexes
7
©copyright 2017
–Texte
Annexe 1
– Détail du diagnostic et des recommandations du focus Sécurité
© ELCA - N°15870 / Commune de Bagnes / 2018 35
©copyright 2017
–Texte
Diagnostic sécurité - Résultats détaillés (1/15)
© ELCA - N°15870 / Commune de Bagnes / 2018
ISO/IEC 27001:2013 Observation Recommandation Explication
A5 politiques de
sécurité de
l’information
La CoB dispose d’une politique de sécurité fournie par son fournisseur CIGES, basée sur
les exigences ISO27002:2005. Cette version
de la norme est obsolète et ne couvre pas
tous les domaines de sécurité pertinents
actuels.
La politique de sécurité devrait être mise à jour
pour refléter les évolutions de la norme
ISO27001 publiées en 2013.
N/A
Cette politique de sécurité est mise en œuvre de façon partielle par la commune
uniquement, ce qui laisse des domaines de la
sécurité non-couverts (comme en attestent
les faiblesses rapportées dans le présent
document)
Evaluer dans quelle mesure la politique de
sécurité fournie par CIGES s’applique à l’environnement de la CoB, avec quelles
limitations et comment gérer ces limitations.
Le fait de disposer d’une politique de sécurité ne constitue pas une fin en soi. Le gros du travail
consiste à implémenter effectivement les
préceptes de la politique.
36
©copyright 2017
–Texte
Diagnostic sécurité - Résultats détaillés (2/15)
ISO/IEC 27001:2013 Observation Recommandation Explication
A6 Organisation de la
sécurité de l’informationSous l’égide de son fournisseur CIGES, la
commune (représentée par Nicolas
Guilhaume) participe à un comité sécurité
trimestriel regroupant les actionnaires de
CIGES et où sont discutées des
problématiques concrètes.
N/A N/A
A.6.1.1 Fonctions et
responsabilités liées à la
sécurité de l’information
La CoB n’a actuellement pas de référant
disposant de compétences dans le domaine
de la sécurité, capable de challenger les
propositions de ses fournisseurs et de
coordonner leurs efforts. Cette situation
donne lieu à des dysfonctionnements
préjudiciables à la sécurité du patrimoine
informationnel de la CoB.
Il serait souhaitable de se doter de compétences
en sécurité capable de gérer les sujets qui se
rapportent à ce domaine.
A.6.1.1 Fonctions et
responsabilités liées à la
sécurité de l’information
La gestion de la sécurité de l’information de la CoB semble déléguée de façon implicite aux
fournisseurs de prestations informatiques
CIGES et Net+ Entremont. Il n’existe toutefois aucun accord détaillant les responsabilités et
engagements de chacun des acteurs dans
cette relation.
Définir les prérogatives de chacun des acteurs en
termes de gestion de la sécurité de l’information et les formaliser sous la forme de SLA’s et/ou de
contrats détaillant les engagements de moyens
de la part des deux fournisseurs, ainsi que les
exclusions le cas échéant.
A.6.1.1 Fonctions et
responsabilités liées à la
sécurité de l’information
Il n’existe actuellement pas d’instance de décision du côté de la CoB concernant les
sujets relatifs à la sécurité de l’information. Cette situation mène parfois à des blocages
(e.g. renouvellement des firewalls /
ségrégation supplémentaire du réseau)
Il serait souhaitable de mettre en place une
instance de décision relative aux sujets liés à la
sécurité de l’information.
37
©copyright 2017
–Texte
Diagnostic sécurité - Résultats détaillés (3/15)
© ELCA - N°15870 / Commune de Bagnes / 2018
ISO/IEC 27001:2013 Observation Recommandation Explication
A.6.1.2 Séparation des
tâches
Les entretiens menés auprès des acteurs
métier de la CdB ont révélé une prise en
compte adéquate des principes de séparation
des tâches / 4-yeux (e.g. service financier:
validation supplémentaire des factures >5
KCHF).
N/A N/A
A6.2.1 Politique en
matière d’appareils mobiles
Le personnel dispose d’un accès à la messagerie électronique depuis les
équipements mobiles (smartphones,
tablettes). La messagerie est protégée par le
produit Airwatch.
N/A N/A
38
©copyright 2017
–Texte
Diagnostic sécurité - Résultats détaillés (4/15)
© ELCA - N°15870 / Commune de Bagnes / 2018
ISO/IEC 27001:2013 Observation Recommandation Explication
A7 Sécurité des
ressources humaines
A7.1.1 Sélection des
candidats
Un processus de vérification des antécédents
des candidats à l’embauche est mené en fonction de la sensibilité du poste. Par
conséquent, la CoB ne dispose d’une forme d’assurance concernant l’intégrité de ses futurs collaborateurs.
N/A Ce processus contribue à la mitigation du risque
de malversation interne.
A.7.1.2 Termes et
conditions d’embaucheLes employés bénéficiant d’un accès partiel
aux données du contrôle des habitants
signent un engagement de confidentialité. Si
cette initiative est louable, elle ne concerne
qu’un axe de la sécurité (préservation de la confidentialité) appliqué à un type de
données.
L’ensemble des employés de la CdB accédant à
des données devrait être soumis à une
déclaration de confidentialité, et l’ensemble des employés devraient s’engager à se conformer à un code de conduite relatif à l’utilisation correcte des actifs.
A.7.2.2 Sensibilisation,
apprentissage et
formation à la sécurité
de l’information
Une sensibilisation régulière des employées
aux risques liés aux systèmes d’information est effectuée au travers d’un outil d’e-
learning.
N/A La sensibilisation des utilisateurs est l’un des fondamentaux de la sécurité de l’information.
39
©copyright 2017
–Texte
Diagnostic sécurité - Résultats détaillés (5/15)
© ELCA - N°15870 / Commune de Bagnes / 2018
ISO/IEC 27001:2014 Observation Recommandation Explication
A8: Gestion des actifs
A8.1.1 Inventaire des
actifs
La CoB ne dispose pas d’inventaire consolidé de ses moyens de traitement de l’information.La CoB ne sait pas non-plus dans quels centre
d’hébergement de ses fournisseurs (CIGES, Sateldranse, Téléverbier) ses serveurs sont
stockés.
Etablir et maintenir à jour un inventaire des actifs
incluent leur localisation quand il s’agit de serveurs.
Un prérequis à la protection de ses actifs est de
les connaître.
A8.1.2 Propriété des
actifs
Les actifs associés aux moyens de traitement
de l’information ne sont pas affectés à un
propriétaire. Cette carence peut entraîner un
sentiment d’irresponsabilité des collaborateurs vis-à-vis de la protection de
l’information.
Affecter les actifs figurant à l’inventaire à un propriétaire
Selon les bonnes pratiques, le propriétaire est
responsable de l’application de la politique de sécurité de l’organisation en ce qui concerne ses actifs.
A8.2.1 Classification des
actifs
Il n’existe actuellement pas de documentréférence classifiant les informations traitées
par la CoB selon leurs exigences légales ou
leur criticité sur les plans de la confidentialité,
intégrité ou disponibilité. De ce fait, la CoB ne
dispose pas d’une vision claire de ses enjeux en termes de sécurité de l’information.
Etablir une classification des principaux types de
données traitées par la CoB, incluant un
propriétaire qui sera responsable de l’application de la politique de sécurité de l’organisation pour ces données.
Une classification des données constitue un
élément de base de toute stratégie de sécurité.
40
©copyright 2017
–Texte
Diagnostic sécurité - Résultats détaillés (6/15)
© ELCA - N°15870 / Commune de Bagnes / 2018
ISO/IEC 27001:2014 Observation Recommandation Explication
A9: Contrôle d’accèsA9.1.2 Accès aux réseaux
et aux services réseau
Les ports non-utilisés du réseau de la CoB ne
sont pas désactivés.
La connexion au réseau de la CoB ne nécessite
pas d’authentification (Network Access Control)
Considérer l’implémentation d’une fonctionnalité de Network Access Control.
Un acteur malveillant bénéficiant d’un accès physique aux locaux de la CoB est en mesure de
se connecter au réseau librement et peut tenter
de perpétrer des attaques depuis ce point
d’entrée.A9.1.2 Accès aux réseaux
et aux services réseau
La connexion aux postes de travail par les
collaborateurs nécessite une authentification
forte. Par contre, l’accès à distance au réseau de la CoB ne nécessite qu’un identifiant et un mot de passe, ce qui constitue une
incohérence et un risque.
Appliquer l’authentification forte au canal d’accès à distance au réseau.
Les différents canaux d’accès à une ressource devrait être protégée de façon homogène sans
quoi le principe du maillon le plus faible rend
inefficace l’authentification forte.
A9.2.3 Gestion des droits
d’accès à privilègesBien que CIGES soit théoriquement en charge
de la gestion des systèmes d’exploitation de la CoB, Net+ Entremont dispose de droits
d’administration du domaine, lui permettant de réaliser tous types d’opérations, y compris malveillantes en théorie, sur les machines
Windows (serveurs + stations de travail) de la
CoB.
Il serait préférable que CIGES ne délègue pas
l’administration du domaine à un tiers. A titre exceptionnel, et pour un motif légitime
prédéterminé, il est acceptable que Net+
Entremont puisse bénéficier de droits à privilèges
accordés provisoirement par un administrateur
CIGES.
Au-delà du risque de malversation de la part de
Net+ Entremont, un attaquant externe ayant
compromis le réseau de Net+ Entremont pourrait
s’en prendre facilement à la CoB.
A9.2.5 Revue des droits
d’accès utilisateursUn processus de revue des droits d’accès existe mais n’est pas appliqué de façon homogène dans les départements.
Appliquer le processus de revue des droits de
façon régulière (1 fois/an) et systématique.
N/A
41
©copyright 2017
–Texte
Diagnostic sécurité - Résultats détaillés (7/15)
© ELCA - N°15870 / Commune de Bagnes / 2018
ISO/IEC 27001:2014 Observation Recommandation Explication
9.2.5 Revue des droits
d’accès utilisateursLes rapports concernant les habilitations dans
GEFI fournis par CIGES sont peu explicites et
rendent la revue des droits d’accès complexe.
Il serait appréciable que CIGES fournisse des
rapports montrant les droits d’accès par profil métier plutôt que par module technique.
N/A
A.9.4.1 Restriction
d’accès à l’informationCIGES utilise un outil de gestion des accès aux
fichiers (Varonis). Cet outil ne journalise pas
les actions. En particulier il ne détecte pas les
tentatives refusées d’accès, qui constituent en général un signe de tentative d’accès frauduleux.
La CoB devrait définir avec son fournisseur CIGES
les mesures de sécurité relatives au contrôle
d’accès.
N/A
42
©copyright 2017
–Texte
Diagnostic sécurité - Résultats détaillés (8/15)
© ELCA - N°15870 / Commune de Bagnes / 2018
ISO/IEC 27001:2014 Observation Recommandation Explication
A11 Sécurité physique et
environnementale
Les serveurs de la CoB sont répartis dans les
salles serveurs de plusieurs fournisseurs
(CIGES, Sateldranse, Téléverbier), sans que la
CoB ne connaisse les détails. Cette absence de
maîtrise est préjudiciable à la protection des
actifs.
Il serait souhaitable qu’un inventaire consolidé
soit tenu à jour et communiqué à la CoB, et que
la répartition des serveurs dans les différentes
salles soit effectuée sous le contrôle de la CoB.
La répartition des serveurs a un impact sur la
continuité de l’activité.
A.11.1.1 Périmètre de
sécurité physique
L’une des salles serveurs où sont stockées les
équipements de la CoB, au moins, présente
des points de faiblesse (e.g. présence d’une fenêtre facilement accessible depuis
l’extérieur), ce qui augmente le risque de subir un vol ou une détérioration desdits
équipements et des données qu’ils contiennent.
Veiller à ce que les bonnes pratiques en termes
de protection physique des équipements soient
appliquées.
Cela passe notamment par un stockage dans des
lieux ne présentant pas de faiblesse de nature à
faciliter une intrusion.
A11.1.3 Sécurisation des
bureaux, des salles et des
équipements
Les moyens de protection physique des
bureaux de la CoB ne semblent pas être
suffisants dans la mesure où la disparition de
dossiers papier a déjà été constatée.
Tirer les enseignements par rapport à l’incident de sécurité vécu et adopter les mesures de
protection supplémentaires nécessaires pour
éviter la réitération d’un tel événement (e.g.
fermeture à clé des bureaux et des armoires de
stockage des dossiers, gestion des clés, etc.)
N/A
43
©copyright 2017
–Texte
Diagnostic sécurité - Résultats détaillés (9/15)
© ELCA - N°15870 / Commune de Bagnes / 2018
ISO/IEC 27001:2014 Observation Recommandation Explication
A12 Sécurité liée à
l’exploitationCertaines pratiques adoptées par Net+
Entremont dans la gestion des équipements
réseau de la CoB ne sont pas alignées avec les
meilleures pratiques de sécurité, mais
répondent plutôt à des impératifs de
facilitation du travail, e.g. compte
d’administration générique (i.e. non nominatif) commun à tous les équipements. Ces
pratiques augmentent le risque de
compromission des actifs de la CoB.
La CoB et Net+ Entremont devraient s’entendre sur les standards de sécurité à appliquer
concernant la gestion des actifs de la CoB et les
formaliser.
N/A
A12.2.1 Menaces contre
les logiciels malveillants
Les mesures mises en œuvre par les fournisseurs de la CoB pour lutter contre les
logiciels malveillants semblent être adaptées
au niveau de risque, dans la mesure où
aucune déficience n’est à déplorer.
N/A N/A
A12.3.1 Sauvegarde des
informations
Les mesures de sauvegarde des données
mises en œuvre par les fournisseurs de la CoB
semblent en adéquation avec le niveau de
risque encouru, dans la mesure où aucune
déficience n’est à déplorer.
N/A N/A
44
©copyright 2017
–Texte
Diagnostic sécurité - Résultats détaillés (10/15)
© ELCA - N°15870 / Commune de Bagnes / 2018
ISO/IEC 27001:2014 Observation Recommandation Explication
A13 Sécurité des
communications
A13.1.1 Contrôle des
réseaux
Les ports non-utilisés du réseau de la CoB ne
sont pas désactivés.
La connexion au réseau de la CoB ne
nécessite pas d’authentification (Network Access Control)
Considérer l’implémentation d’une fonctionnalité de Network Access Control.
Un acteur malveillant bénéficiant d’un accès physique aux locaux de la CoB est en mesure de
se connecter au réseau librement et peut tenter
de perpétrer des attaques depuis ce point
d’entrée.A13.1.3 Cloisonnement
des réseaux
La CoB partage son infrastructure réseau avec
le fournisseur d’énergie Altis, sans ségrégation
particulière. Actuellement, les deux sociétés
partagent notamment le même firewall et le
même serveur de messagerie.
Il est recommandé de procéder à une isolation
logique plus conséquente du réseau de la CoB
par rapport au tiers Altis. Des équipements
dédiés devraient notamment être mis en place.
Dans la configuration actuelle, la CoB pourrait
subir les conséquences d’une faille de sécurité affectant Altis.
A.13.2.4 Engagements de
confidentialité ou de
non-divulgation
La CoB ne dispose pas d’un engagement de confidentialité de la part de ses fournisseurs,
notamment CIGES, qui est censé être son
fournisseur informatique principal.
Faire signer systématiquement des engagements
de sécurité aux personnes physiques et morales
amenées à traiter des données de la CoB.
En cas de violation des règles de confidentialité,
la CoB disposerait d’un recours juridique.
45
©copyright 2017
–Texte
Diagnostic sécurité - Résultats détaillés (11/15)
© ELCA - N°15870 / Commune de Bagnes / 2018
ISO/IEC 27001:2014 Observation Recommandation Explication
A14 Acquisition,
développement et
maintenance des
systèmes d’information
La CdB s’apprête à acquérir la solution de
guichet virtuel proposée par la société i-com,
sans garantie concernant la sécurité de ladite
solution.
S’enquérir des moyens mis en œuvre par i-com
pour s’assurer que sa solution ne comporte pas de bugs de sécurité (e.g. principes de
développement sécurisé, veille en vulnérabilités,
audits de sécurité, etc.)
N/A
46
©copyright 2017
–Texte
Diagnostic sécurité - Résultats détaillés (12/15)
© ELCA - N°15870 / Commune de Bagnes / 2018
ISO/IEC 27001:2014 Observation Recommandation Explication
A 15 Relations avec les
fournisseurs
La société CIGES est certifiée ISO27001:2013.
Le périmètre couvert par la certification inclut
les prestations d’infogérance fournies à la CdB. Cependant, la CdB a recours a d’autres fournisseurs (tels que Net+ Entremont par
exemple) dont les pratiques ne sont pas
forcément alignées avec un standard de
sécurité.
Exiger des fournisseurs l’application de bonnes pratiques communes.
N/A
CIGES fait appel a des sous-traitants pour
gérer certaines applications utilisées par la
CdB (e.g. application GEFI sous Oracle, gérée
par Optisa et Trivadis), sans s’assurer des moyens mis en œuvre par ces tiers pour réduire les risques de faille de sécurité.
Dans le cadre de la gestion de ses fournisseurs,
CIGES devrait formaliser les mesures de sécurité
mises en œuvre par les tiers intervenant sur les systèmes utilisés par la CdB.
N/A
47
©copyright 2017
–Texte
Diagnostic sécurité - Résultats détaillés (13/15)
© ELCA - N°15870 / Commune de Bagnes / 2018
ISO/IEC 27001:2014 Observation Recommandation Explication
A16 Gestion des
incidents lés à la sécurité
de l’information
Il n’existe pas de processus permettant une
gestion des incidents coordonnée entre les
deux fournisseurs principaux CIGE et Net+
Entremont. La CdB risque de pâtir de latence
en cas d’incident touchant les domaines de responsabilité des deux acteurs (e.g. une
infection malware).
Un processus de gestion d’incidents devrait être élaboré permettant une collaboration entre tous
les protagonistes en fonction du scénario
envisagé.
Dans la plupart des cas d’incidents, la rapidité de réaction et de mise en place de mesures de
contingence constituent un point essentiel dans
le processus de résolution.
48
©copyright 2017
–Texte
Diagnostic sécurité - Résultats détaillés (14/15)
© ELCA - N°15870 / Commune de Bagnes / 2018
ISO/IEC 27001:2014 Observation Recommandation Explication
A17 Aspects de sécurité
de l’information dans la gestion de la continuité
de l’activitéA.17.2.1 Disponibilité
des moyens de
traitement de
l’information
D’un point de vue général, les mécanismes de
redondance mis en œuvre par les fournisseurs de la CdB permettent de maintenir un niveau
de disponibilité des systèmes en accord avec
les exigences.
N/A N/A
49
©copyright 2017
–Texte
Diagnostic sécurité - Résultats détaillés (15/15)
© ELCA - N°15870 / Commune de Bagnes / 2018
ISO/IEC 27001:2014 Observation Recommandation Explication
A18 Conformité La CdB ne dispose pas des processus
nécessaires pour se conformer au RGPD/à la
LPD révisée (e.g. informations des personnes
concernées, traitement des requêtes de la part
des personnes concernées, etc.)
Procéder à une analyse des écarts concernant les
nouvelles exigences légales relatives à la
protection des données personnelles et définir
une stratégie basée sur le risque et en fonction
des moyens disponibles pour atteindre un niveau
de conformité adéquat.
Les activités à réaliser sont listées en annexe.
50
©copyright 2017
–Texte
Annexe 2
– Description détaillée des 6 recommandations
© ELCA - N°15870 / Commune de Bagnes / 2018 51
©copyright 2017
–Texte
I.01 : Encadrer les projets
© ELCA - N°15870 / Commune de Bagnes / 2018 52
Initiatives I.01
Parties prenantes
Tous les services COB
Prestataires Informatiques
Bénéfices visés Résultats attendus Indicateurs
Encadrer les projets
Objectifs Description, Périmètre, Démarche, Atteinte des résultats
Renforcer les capacités interne de COB dans la
gestion de projets informatique. Poser des bonnes
pratiques de gestion de projets et de coordination.
Identifier et former les chefs de projets potentiels.
Le périmêtre concerne tous les projets ou chantiers informatiques.
Compte tenu de la taille et des pratiques des prestataires la démarche vise principalement à livrer :
-> Une méthode simple et partagée de conduite des projets informatiques pour l'ensemble de la commune
-> Des pratiques 'juste assez' pour les deux filières identifiées (avant projets, projets)
-> Des points de passages simplifiés mais structurés pour partager en interne ett échanger avec les prestataires sur une
base commune et objective.
La démarche comporte trois volets,
1-> La définition de bonnes pratiques adaptées à la taille et la réalité de COB
2-> la formation sur un tronc commun des acteurs majeurs de COB
3 -> un accompagnement pour lancer et réaliser les premiers projets
Maitrise des projets , meilleure anticipation Meilleure anticipation et qualité du SI
Economie de charges internes Visibilité partagé du portefeuille
Meilleur ambiance de travailMeilleure gestion ressources et
priorités
©copyright 2017
–Texte
I.01 : Encadrer les projets
© ELCA - N°15870 / Commune de Bagnes / 2018 53
2018
2019
2020
Ressources externes Profil Jours CHF TTC Acteurs internes Charge Durée
Consulting externe
1 documentation des pratiques 20 40 000
Outillage
Actions prévues Jalons Livrables
Cadrage de la démarche et idenfication des acteurs internes 31.12.2018 plan de travail et soummissionaire validé
Recherche de partenaires pour le mandat d'accompagnement
Formation des acteurs 30.04.2019 acteurs formés
Recueil des pratiques et définition des pratiques applicables 31.03.2019 bonnes pratiques COB validées
Mise en place et coordination des projets informatiques 31.05.2019 Portefeuille de projets en place et coordonné
Documentation d'une feuille de route pluriannuelle 30.09.2019 Budget 2020 alimenté par le portefeuille
Rôle
©copyright 2017
–Texte
I.02 : Optimiser les solutions
© ELCA - N°15870 / Commune de Bagnes / 2018 54
Initiatives I.02
Parties prenantes
Tous les services COB
demandeurs
Prestataires Informatiques
Fournisseurs de solutions
Optimiser les solutions
Objectifs Description, Périmètre, Démarche, Atteinte des résultats
Doter les différents services demandeurs de solutions
adaptées aux spécificités du contexte COB.
Améliorere l'efficience du SI
Définir, choisir et mettre en place des solutions qui visent à améliorer l'excellente opérationnelle des
services et notamment suivant le premier inventaire de l'audit :
-> La gestion des saisonniers, la gestion du centre st marc, le comptabilité chantier des services de voirie,
la gestion des autorisations de construction, le poste de travail 2020
Faire un inventaire des principaux besoins a couvrir et evaluer une budget annuel d'amélioration pour
s'inscrire dans la durée
Pour chaque besoin identifié et validé :
>Rédiger des cahiers des charges pour définir les solutions souhaitées et bénéfices attendues.
>Consulter le prestataire de référence pour obtenir une feuille de route et/ou organiser la consultation du
marché pour y répondre et comparer les solutions
>Prendre connaissance ,evaluer et choisir une solution pour chaque besoin.
>Dérouler le projet de mise en service de la solution
Livrer et accompagner les utilisateurs
Communiquer les bénéfices aux clients
Poursuivre pour un autre besoin en paralléle ou en suivant selon les ressources affectées
©copyright 2017
–Texte
I.02 : Optimiser les solutions
© ELCA - N°15870 / Commune de Bagnes / 2018 55
2018
2019
2020
2021
Ressources Profil Jours CHF Acteurs impliqués Charge Durée
Consulting externe
cahier des charges 15 20 000
dev solutions 30 000
intégration ise /sm /ged/…
Outillage
licences logiciel 20 000
Cahier des charges 28.02.2019
30.09.2019
Inventaire et budgetisation des différents chantiers 31.12.2018
Solutions livrées par lot, livraison lot 1
Réalisation Externe Solutions livrées par lot livraison lot 1
Soumission CIGES
Réalisation CIGES ou consultation du marché
31.03.2019 dossier de consultation
Feullle de route des évolutions
rédaction premier cahier des charges
Réalisation autre solution selon priorités e budget
30.09.2019
Réalisation autre solution selon priorités e budget
Rôle
Actions prévues LivrablesJalons
©copyright 2017
–Texte
I.03 : Maitriser l’informatique
© ELCA - N°15870 / Commune de Bagnes / 2018 56
Initiatives I.03
Parties prenantes
Autorités communales
Tous les services COB
CIGES / NET +
Autres prestataires
informatiques
Bénéfices visés Résultats attendus Mesure du résultat
Activités informatiques pilotées et maitrisées
Responsabilités IT clairement établis définition de fonction et raci en placeDélai et budget maitrisée
Performance informatique améliorée
Maitriser l'informatique
Objectifs Description, Périmètre, Démarche, Atteinte des résultats
Disposer d'une structure de pilotage et de
coordination des activités informatiques COB Créer un point central de convergence des questions informatiques pour piloter les différentes
actions tant internes qu externes et faire le lien avec les autorités communales.
La mise en place de cette fonction passe par la définition du profil de compétence, son
positionnement dans l'organisation COB et son role tant auprès des prestataires externes
qu'envers les différents services de la commune.
La seconde partie concerne la recherche de la personne, sa mise en place, et potentiellement
un accompagnement a la miseen place de la fonction. Plusieurs approches sont possibles a ce
stade : interim externe, recrutement, promotion interne.
La dernière étape va concerner la mise en place de la fonction et notamment la reprise en
main des opérations et activités informatiques ainsi que les relations avec les prestataires.
©copyright 2017
–Texte
I.03 : Maitriser l’informatique
© ELCA - N°15870 / Commune de Bagnes / 2018 57
2018
2019
2020
2021
Ressources Profil Jours CHF Acteurs impliqués Charge Durée
Consulting externe
si besoin cdc et coaching cons orga 10 20 000
50-60%
Outillage
Jalons
31.03.19 fonction pourvue
et en place
30.06.19 fonction en
maturité
Mise en placefonction pourvue et plan de montée en maturité lancée
et abouti
Actions prévues Livrables
cadrage fonction
31.12.2018 choix du
dispositf fait et préparation
lancée
cdc et dispositif documenté
Rôle
resp informatique porteur de la fonction
©copyright 2017
–Texte
I.04 : Renforcer la gouvernance informatique
© ELCA - N°15870 / Commune de Bagnes / 2018 58
Initiatives I.04
Parties prenantes
Autorités communales
Services de la commune
CIGES / Net +
Bénéfices visés Résultats attendus Mesure du résultat
partage de la question informatique
Processus et structures définis et
opérationnelsMaturité de décision sur le thème
Renforcer la gouvernance
Objectifs Description, Périmètre, Démarche, Atteinte des résultats
Clarifier les processus et roles des structures de
décision de COB pour les sujets informatiques et les
partager avec les prestataires externes
Poser la matrice de gouvernance de COB pour préciser les centres de décision et les processus
d'instruction et de publication.
Permettre une vision claire des capacités de décision entre les différents services de la
commune et la fonction informatique.
Proposer un choix entre plusieurs modèles pour fixer les responsabilités et les décisions.
Mettre en place et organiser ensuite l'animation des structures identifiées (architecture,
projet, services sla ...).
©copyright 2017
–Texte
I.04 : Renforcer la gouvernance informatique
© ELCA - N°15870 / Commune de Bagnes / 2018 59
2018
2019
2020
2021
Ressources Profil Jours CHF Acteurs impliqués Charge Durée
Consulting externe
a voir selon résultat initiative3 15 30 000
Outillage
Jalons
30.06.2018
31.12.2018Réalisation de la nouvelle gouvernance
Défnition du modèle et partage avec les prestataires
Dispositif opérationnel
Actions prévues Livrables
Rôle
©copyright 2017
–Texte
I.05 : Gérer la sécurité informatique
© ELCA - N°15870 / Commune de Bagnes / 2018 60
Initiatives I.05
Parties prenantes
COB
ciges
Net+ entremont
autres prestataires
Conformité règlementaire
Analyse de risques COB
Politique de sécurité documentée
Plan d'actions défini et lancé
Disponibilité des résultatsMaitrise des risques informatiques
Sécurité de fonctionnement de l'organisation
Bénéfices visés Résultats attendus Mesure du résultat
Gérer la sécurité informatique
Objectifs Description, Périmètre, Démarche, Atteinte des résultats
Couvrir les risques informatiques inhérents à
l'activité, l'organisation et les processus de COB
Poser les bases de la politique de sécurité informatique pour COB. Sur base de l'activité et de
l'organisation de SIB , effectuer une analyse des risques informatiques COB.
Parallèlement lancer les actions rapidement les actions issues de l'audit et proposer une politique de
sécurité avec son plan d'action moyen termes.
Le champ d'application couvre l'ensemble des actifs informatiques sans limitation d'usage ou de
localisation. Il prend en compte les aspects disponibilité/ continuité de service, confidentialité, intégrité
et conformité vis à vis des contraintes règlementaires relatives aux des données personnelles.
L'analyse de risque pourra conduire une évaluation de vulnérabilité sur des points spécifiques. le dernier
point de la démarche est l'identification du porteur de la fonction sécurité informatique en interne: ce
dernier va porter la réalisation du plan d'actions
©copyright 2017
–Texte
I.05 : Gérer la sécurité informatique
© ELCA - N°15870 / Commune de Bagnes / 2018 61
2018
2019
2020
2021
Ressources Profil Jours CHF Acteurs impliqués Charge Durée
Consulting externe
conduite des reco de l'audit 10 20 000
analyse de risques /plan d'actions 10 20 000
Mise en place fonction sécurité 10 20 000
RGPD/LPD 10 20 000
Outillage
Alignement LPD/RGPD fonction sécurité en place
Rôle
Analyse de risques et plan d'actions moyen termesPolitique de sécurité revue , responsable sécurités informatique en place, gouvernance
de la sécurité opérationnelle
Actions prévues Livrables
Préparation et lancement des actions issues de
l'audit31.12.2018 Plan détaillé livré et premières recommandations traitées
30.06.2019
31.12.2019
Jalons
©copyright 2017
–Texte
I.06 : Solidifier les infrastructures
© ELCA - N°15870 / Commune de Bagnes / 2018 62
Initiatives I.06
Parties prenantes
COB
Prestataires COB
Bénéfices visés Résultats attendus Mesure du résultat
simplification, économie
réseau IT et phonie séparés
Inventaires et cartographie a jourréseaux séparés, cartographie disponible et a jourmaitrise des risques informatiques
Solidifier les infrastructures : Réseaux, accès, hébergements
Objectifs Description, Périmètre, Démarche, Atteinte des résultats
Doter COB d'infrastructure identifiées, propres, et
sécurisées Faire l'état des lieux détaillé des serveurs, appplications, réseau et hébergement.
Conduire les quatre projets majeurs de consolidation.
1 Etudier les impacts et conduire la segmentations des réseaux Altis et COB
2 Evaluer la qualité des différents centres d'hébergement et conduire le plan de
consolidation des serveurs sur des sites validés
3 Revoir les politiques d'accès bureau mobile et redéfinir les processus de
gestion des accès et de tracabilité
4 Redéfinir les processus critiques d'administration des composants délégués au
prestataires.
©copyright 2017
–Texte
I.06 : Solidifier les infrastructures
© ELCA - N°15870 / Commune de Bagnes / 2018 63
2018
2019
mars.19
2020
2020
Ressources Profil Jours CHF Acteurs impliqués Charge Durée
Consulting externe
segmentation réseaux 15 50 000
politique d'accès 5 10 000
hébergements 5 10 000
processus critiques 5 10 000
Outillage
firewall, equip reseau… 50 000
Achèvement des actions de sécurité de l'audit et plan des d'actions nouveaux processus
Stratégie d'hébergement établi et plan lancé
Revue des processus critiques d'administration
Réorganisation des hébergements et de
l'administration des serveurs
Jalons
juin.19Segmentation des réseaux réseaux séparés
Actions prévues Livrables
plan de segmentation avec étude d'impacts. déc.18 plan détaillé
déc.20 Nouvelle stratégie d'hébergement en place.
Rôle
juin.19 Stratégie d'hébergement
Contact:Mail: [email protected]: +41 22 307 15 15
Audit du service des constructions
de la Commune de Bagnes
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 18 sept. 2019
PRESENTATION AU CONSEIL GENERAL
SYNTHESE DE L’AUDIT
1. Avant-Propos
2. Nature de l’audit3. Mission commandée
4. Exécution de l’audit5. Conclusions et recommandations
6. Remerciements
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
Audit du service des constructions
de la Commune de Bagnes
• Affaire des constructions illicites dans le
village de Verbier est à l’origine des tensions apparues au sein de l’administration communale
• Services particulièrement touchés:
– Service des constructions et des bâtiments
– Service de l’aménagement du territoire
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
1. AVANT-PROPOS
• Tensions à l’égard des usagers• Intervention de l’Etat par des contrôles plus
fréquents et des recommandations
• Problèmes de la délivrance des permis
d’habiter pour les constructions réalisées• Incompréhension des usagers en lien avec le
changement de paradigme
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
1. AVANT-PROPOS
• Décision du Conseil général du 12 décembre 2018
de refuser le budget du service des constructions
• Création d’une commission paritaire (CC – CG)
pour tenter de trouver une solution aux blocages
• Décision de mandater un audit externe
• Audit confié à J.-L. Barraud et à J. Henchoz
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
2. NATURE DE L’AUDIT
1. Champ d’investigation– Service des constructions pour lui-même, service
des bâtiments et de l’AT dans leur interaction avec le premier
2. Domaine d’analyse– Processus d’analyse des dossiers (durée, respect
du cadre légal, etc)
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
3. MISSION COMMANDEE
- Communication (propriétaires, archit., services cnaux - cantonaux)
- Organisation générale du service en différents sous-services (analyse des dossiers – Police des constructions)
- Analyse des outils à disposition, notamment des outils informatiques
- Rôle de l’architecte communal
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
3. MISSION COMMANDEE
- Implémentation du rapport du Conseil d’Etat au sujet des constructions illicites de Verbier et de ses 18 exigences imposées à la commune
- Mise en œuvre de la révision totale du plan des zones et du nouveau règlement des constructions, notamment dans l’optique de la fusion Bagnes-Vollèges
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
3. MISSION COMMANDEE
- Externalisation d’une partie du travail d’analyse ou de police des constructions
- Analyse de la répartition des tâches et des
responsabilités entre les services des
constructions, des bâtiments, de l’AT - Suivi du développement du site de Curala et
des principaux projets communaux
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
3. MISSION COMMANDEE
• Répartition des tâches entre JLB et JHZ
• Durée de l’audit de 3 mois à partir du 29 mars 2019• 43 personnes ont été entendues (dont 9 par les deux
auditeurs séparément)
– Autorité
– Collaborateurs communaux
– Mandataires externes
– Usagers
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
4. EXECUTION DE L’AUDIT
• Personnes sélectionnées par les auditeurs
• Personnes ayant demandé à être entendues
• Questionnaires préparés en fonction des types
de personnes rencontrées
• Notes de séance rédigées pour chaque
interview
• Délivrance d’une charte de confidentialité
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
4. EXECUTION DE L’AUDIT
• Bon accueil réservé aux auditeurs de la part
des personnes rencontrées
• Personnes bien préparées qui ont parfois
délivré des documents
• Accès sans restriction aux documents
demandés
• Forte attente du résultat de l’audit
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
4. EXECUTION DE L’AUDIT
• La charte de confidentialité a permis aux
personnes rencontrées de se livrer
• Beaucoup de conflits de personnes
• Accusations faites à l’égard des collègues des usagers ou de la hiérarchie
• Beaucoup de révélations ne relevant pas de la
mission confiée aux auditeurs
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
4. EXECUTION DE L’AUDIT
• Profil des personnes rencontrées
– Collaborateurs communaux soumis à de fortes
pressions en raison du changement de pratiques
imposé par le canton
– Usagers reprochant à l’administration son excès de zèle
– Personnes profitant de l’audit pour exprimer leur désarroi et le traitement qu’ils subissent en raison de conflits de personnes
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Diagnostic
– Effort manifeste du bureau technique pour
répondre aux exigences du CE
• Application de l’adaptation du RCCZ
• Séances préalables
• Procédures
• Check-lists pour les techniciens
• Première analyse des projets en trois jours
• Tableau de bord (Optimiso)
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Réunions hebdomadaires interservices dès 2019
• Système informatique permettant à chaque service
consulté d’introduire ses remarques et consultable par tous.
• Ensemble des plans numérisés
• Modifications de projets après EP et consultation des
opposants et au besoin nouvelle EP
• Pratique relative au transfert de densité adaptée
• Respect des délais
• Diminution du temps de traitement des dossiers
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Problème du responsable du bureau
technique
– Très bonnes connaissances métier
– Manque de communication à l’égard des autres services communaux
– Attitude inadéquate à l’égard des usagers et de certains collègues de l’administration
– Manque de discrétion
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Pistes d’amélioration– Recadrer le responsable et lui signifier des
avertissements en cas de récidive
– Participation obligatoire aux séances interservices
– Etre à l’écoute des usagers (service public)– Accepter de rencontrer les architectes pour dénouer
des situations difficiles
– Donner l’accès aux dossiers (physique et informatique) et entretiens aux autres services
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Police des constructions
– Responsable compétent mais fragile et débordé
– Manque de ressources pour exécuter les tâches
ordinaires et le rattrapage suite au rapport du CE
– Organisation pas suffisamment claire entre le
responsable, les chargés de sécurité et BTEE
– Fonctionnement indépendant des autres
collaborateurs en charge de la police des
constructions
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Pistes d’amélioration– Nommer un chef de la PC capable d’avoir une
vision d’ensemble des tâches à accomplir– Etablir des procédures claires entre les différents
acteurs
– Identifier la tâche des PH à délivrer sur les anciens
PC et planifier les régularisations en tenant
compte des exigences du CE
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Evaluer les RH et les renforcer au besoin
• Impliquer la PC plus en amont dans l’analyse des dossiers et tenir compte de son avis
• Impliquer la PC dans la réalisation des projets
et la soutenir lors d’éventuels arrêts de travaux
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Constructions – Bâtiments & Aménagement
– Coordination insuffisante
– Culture orale
– Mise en jeu finances publiques
– Appartenance & dicastères
– Niveau stratégique différent (AT- Constr. / Bat.)
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Pistes d’amélioration– Réunion Constructions & Aménagement territoire
– Redistribuer & renforcer ressources AT
– Service des bâtiments indépendant
– Direct. chantiers communaux à Constructions
– Opportunité de la fusion Vollèges
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Rôle de l’architecte communal - relations
– Compétences professionnelles – archi EPFL
– Capacité managériale insuffisante
– Imprévisible et sûr de sa valeur
– Collaboration et contacts difficiles
– Perte de légitimité
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Pistes d’amélioration– Replacer le chef de service à un autre niveau de la
hiérarchie
– Utiliser ses compétences pour des tâches moins
stratégiques ou de gouvernance
– Favoriser la prise en charge de missions
d’enseignement ou de formation– Nommer un nouveau chef de service
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Relations externes & communication
– Service public à la population
– Centre de compétences; pas de sanctions
– Circulation information insuffisante
– Complexité des outils de communication
– Forme des courriers
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Pistes d’amélioration– Plus grande compétence au service
– Adapter la typologie des correspondances
– Courrier CC réservé aux décisions
– Plages – horaires pour rôle « centre de
compétences »
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Externalisation
– Ne se justifie pas a priori
– Structure interne assure connaissance du
territoire, valeurs matérielles et immatérielles
– Lisibilité de la Cne et autonomie
– Mandats spécifiques et suivi
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Implémentation rapport du Conseil d’Etat– Principes activité administrative respectés
– Fournir pièces & inf. complémentaires au Cd’E– Police des constructions
• Priorité pour rattrapage des PH
• Attribuer les ressources nécessaires
• Etablir des rapports circonstanciés pour chaque cas d’espèce
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Fusion avec Vollèges & révision du RCCZ
– Révision du RCCZ (étude en soi)
– COPIL « Fusion » constitué selon organigramme
structure technique (AT-Constructions-Bâtiments)
– Mise à plat des études
– Veiller à une étroite coordination
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Site Curala
– Cadre programmatique stratégique
– Priorité au parking public (2 ans – 650 places)
– Coordination & suivi : Service des constructions
– Moyen terme:
• Adaptation du programme global
• Ressources complémentaires pour coordi. / suivi
• Cas échéant : CDD
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
5. CONCLUSIONS ET RECOMMANDATIONS
• Nous remercions:
– Les autorités
– Les collaborateurs des services concernés
– Les architectes
Pour l’accueil qu’ils nous ont réservé, la mise à disposition de leur temps, des documents délivrés
et pour la qualité des dialogues et la franchise des
témoignages, qui nous ont permis de dresser un
constat avec objectivité.
Jacques Henchoz
Jean-Lou Barraud Auditeurs indépendants 20 août 2019
6. REMERCIEMENTS
Plénum 18.09.2019
Page no 1
05. DÉCISIONS
01. Crédit complémentaire
01. Mise en place Normes ISO
Administration généraleCHF 170’000.-
Par M. Eloi Rossier
Plénum 18.09.2019
Page no 2
21.11.2018: Motion approuvée par le CG tendant à l’implémentation des normes ISO.
Le CC a approuvé cette démarche, il considère en effet qu’il s’agit d’une opportunité à saisir pour moderniser le fonctionnement de l’Administration communale. Il prépare ainsi avec ambition la nouvelle administration de la Commune de Val de Bagnes qui
sera effective dès le 1er janvier 2021.
12.06.2019 : Information au CG sur les démarches entreprises, en particulier :
- Implémentation d’Optimiso dans les services communaux- Contacts pris auprès de Sociétés spécialisées, avec recommandation d’engager
une ressource interne supplémentaire. En effet, la certification ISO pour l’ensemble des services communaux va au-delà de l’implémentation d’Optimiso et nécessite l’engagement d’un spécialiste Qualité-Sécurité-Environnement (QSE) pour mener à
bien ce projet d’envergure.
05. DÉCISIONS01. Crédit complémentaire
01. Mise en place Normes ISO
Plénum 18.09.2019
Page no 3
05. DÉCISIONS01. Crédit complémentaire
01. Mise en place Normes ISO
Coût du projet :
- Mandat externe CHF 50’000.-
- Un EPT QSE (Qualité, Sécurité, Environnement) CHF 120’000.-
TOTAL CHF 170’000.-
Plénum 18.09.2019
Page no 4
ACCEPTEZ-VOUS LA DEMANDE DE CRÉDIT
COMPLÉMENTAIRE DE CHF 170’000.-
POUR LA MISE EN PLACE DES NORMES
ISO ?
05. DÉCISIONS
Plénum 18.09.2019
Page no 1
05. DÉCISIONS
01. Crédit complémentaire
02. Arche de Noël (aide à fonds perdu)
Affaires socialesCHF 140’000.-
Par Mme Anne-Michèle Lack
Plénum 18.09.2019
Page no 2
05. DÉCISIONS
Arche de Noël à Champsec :« Il faut tout un village pour élever un enfant »
Plénum 18.09.2019
Page no 3
05. DÉCISIONS
Historique
• La famille Guigoz, famille d’accueil, puis familled’accueil professionnelle a accueilli une centained’enfants.
• Une association et un comité d’association (1995)est crée pour soutenir le couple pilier.
• La succession des Guigoz est difficile, un essaiavec une nouvelle famille pilier n’est pasconcluant.
• Le comité de l’Arche et le SCj (service cantonal dela jeunesse) prennent contact avec Cité Printemps
Plénum 18.09.2019
Page no 4
05. DÉCISIONS
3 partenaires
• L’Arche de Noël, association propriétaire des bâtiments
• La Fondation Cité Printemps, exploitante
• L’Etat du Valais, reconnaissance de l’utilité publique,service placeur, mandat de prestation signé avec lafondation Cité Printemps.
Plénum 18.09.2019
Page no 5
05. DÉCISIONS
Atouts
• L’arche de Noël, une association solide qui faitréférence et une région acquise au soutien d’enfantsdéfavorisés.
• La Fondation Cité Printemps qui a une expertise enmatière de placement d’enfants et qui assurera lagestion administrative, éducative et financière.
Plénum 18.09.2019
Page no 6
05. DÉCISIONS
Offre
• 8-9 places pour des (0) 3-12 ans
• Des placements dit substitutifs dans une structure quipermet le maintien des fratries
• Destinés à des familles valaisannes ou résidentes enValais
• Organisés autour d’une équipe composée deprofessionnels de l’éducation (6,3 EPT créés àBagnes) s’appuyant sur un réseau de bénévoles(entretien du terrain, aide aux devoirs,accompagnements,…)
Plénum 18.09.2019
Page no 7
05. DÉCISIONS
Budget de financement et d’investissements
Financement
Subventions cantons et commune 98’000.00Contribution communes de l’Entremont En cours
(5.-/habitant), Loterie romande, dons divers
Emprunt bancaire 380’000.00Total 478’000.00Achat de 2 véhicules 70’000.00Achat mobilier, divers matériel 50’000.00Rénovation, isolation, électricité 480’000.00Rénovation intérieure 140’000.00TOTAL 740’000.00
Plénum 18.09.2019
Page no 8
05. DÉCISIONS
Proposition
• Les besoins en financement de la Fondation Cité Printemps de montent à CHF 262’000.00
• Le Conseil Communal de Bagnes vous propose d’accepter d’allouer à la Fondation un montant de CHF 140’000.00 correspondant au coût des rénovations intérieures de la maison.
• Montant accordé à fond perdu avec l’exigence que la Fondation alimente un fond de rénovation par le versement d’un montant annuel d’au minimum CHF 10’000.- pour éviter un système de subventionnement récurrent.
Plénum 18.09.2019
Page no 9
ACCEPTEZ-VOUS LA DEMANDE DE CRÉDIT
COMPLÉMENTAIRE DE CHF 140’000.-
POUR L’ARCHE DE NOËL ?
05. DÉCISIONS
Plénum 18.09.2019
Page no 1
05. DÉCISIONS
01. Crédit complémentaire
03. Fonds NER :attribution d’un créditpour la mobilité
EnergiesCHF 40’000.-
Par M. Norbert Fellay
Plénum 18.09.2019
Page no 2
05. DÉCISIONS
Le CG a approuvé l’allocation du fonds NER pour 2019 dont un crédit de CHF 20’000.- pour le subventionnement lors d’achat
d’un vélo électrique. Cette politique communale a eu un franc succès. À date (29.08.2019), 148 personnes ont bénéficié de subventions pour un montant total
de CHF ~45’000.-
Nous demandons donc une rallonge de CHF 40’000.- pour 2019 afin de pouvoir honorer les demandes en cours et futures.
Plénum 18.09.2019
Page no 3
ACCEPTEZ-VOUS LA DEMANDE DE CRÉDIT
COMPLÉMENTAIRE DE CHF 40’000.-
POUR LES FONDS NER ?
05. DÉCISIONS
Plénum 18.09.2019
Page no 1
05. DÉCISIONS
02. Cautionnement
01. Maison de la Santé de Sembrancher
FinancesCHF 6.7 mios
Par M. François Corthay
Plénum 18.09.2019
Page no 2
05. DÉCISIONS
02. Cautionnement solidaire01. Maison de la Santé de Sembrancher
Coût de construction Valeur comptable
31.12.18
Bâtiment A centre médical :
(loué) 4.2 mios 4,0 mios
Bâtiment B :
(presque totalement vendu) 4,0 mios 0,4 mio
1 terrain à construire : 0,5 mio 0,5 mio
Ambulance/hélico/parking 3,0 mios 2,9 mios
Plénum 18.09.2019
Page no 3
ACCEPTEZ-VOUS LA DEMANDE DE
CAUTIONNEMENT SOLIDAIRE DE
CHF 6,7 MIOS
POUR LA MAISON DE LA SANTÉ DE
SEMBRANCHER ?
05. DÉCISIONS
Plénum 18.09.2019
Page no 1
06. INFORMATION-PRÉSENTATION
04. Centre sportif de Verbier
01. Assurances – point sur la situation02. Procédure d’autorisation de construire
Par M. Jean-Baptiste Vaudan
Plénum 18.09.2019
Page no 2
06. INFORMATION-PRÉSENTATION04. Centre sportif de Verbier
01. Assurances – point sur la situation
Proposition Helvetia – Police All Risks (Incendie dégâts d’eau) 3 conventions d’indemnités
1. Bâtiment 20’000’000.-
2. Inventaire mobilier 800’000.-
3. Perte d’exploitationFrais supplémentaires 200’000.- (chauffage piscine ext., etc)
Perte de revenu locatif 230’000.-
TOTAL 21’230’000.-
Plénum 18.09.2019
Page no 3
06. INFORMATION-PRÉSENTATION04. Centre sportif de Verbier
01. Assurances – point sur la situation
Indemnités supplémentaires déjà versées par la Police All Risks(Incendie dégâts d’eau)consécutives au sinistre (montant non-compris dans les 3 conventions précitées) :
déblaiements–assainissement– mobilier - divers CHF 1’125’000.-
MONTANT TOTAL ASSURANCE ALL RISKS:
- 3 Conventions d’indemnités : CHF 21’230’000.-- Acompte restant acquis par la Cob : CHF 1’125’000.-
TOTAL CHF 22’355’000.-
Les modalités d’acceptation par le CC de l’offre de l’Helvetia seront présentées dans la première quinzaine du mois d’octobre prochain aux membres de la Commission de gestion et des Présidents de Commission du CG, avec nos mandataires.
Plénum 18.09.2019
Page no 4
06. INFORMATION-PRÉSENTATION04. Centre sportif de Verbier
02. Procédure d’autorisation de construire
5 oppositions en cours de traitement auprès du Canton
Plénum 18.09.2019
Page no 1
07. POSTULATS - MOTIONS
01. Situation
Libellé DateAppr. par
le CG leType Dicastère Remarques
Gestion rationnelle des
infrastructures publiques27.02.18 21.03.18 Postulat
Co Bâtiments et
T & C
CC 04.12.18 : transmis aux Co AdG & Tourisme
Co AdG 18.12.18 + CC 22.01.19: mandate la Co Bâtiments, avec Steve
Bregy, Bertrand Deslarzes, Yvan Carron pour analyser fonctionnement
réservation salles publiques
CG 15.04.19: 1ère partie de réponse donnée par M. A. Cretton => le
postulat est toujours ouvert
A chacun une place aux arrêts de
bus01.05.18 18.06.18 Postulat AT – Co Mobilité CC 04.12.18 : transmis à la Co Mobilité
Vision globale des transports
publics 30.04.18 18.06.18 Postulat AT Co Mobilité
21.09.18 : courrier adressé au CG, qui sera présenté formellement
ultérieurement.
CC 04.12.18 : transmis à la Co Mobilité
Management ISO de
l'Administration Communale09.11.18 21.11.18 Motion
Administration
générale
CC 04.12.18 : transmis à la Co Administration générale.
18.02.19 : le CC décide de contacter/inviter les Stés SQS et SGS,
spécialisées pour implémenter les normes ISO.
CG 12.06.19 : présentation situation intermédiaire
CG 18.09.19 : demande de crédit complémentaire
Pour la création d'un système de
réservation informatiséxx 15.04.19 Postulat Bâtiment CC 14.05, transmis à la Co Bâtiment en collaboration avec la Co T& C
Récupération des lavures et du
polystyrène13.03.19 15.04.19 Postulat Environnement CC 14.05, transmis à la Co Environnement
Routes cantonales traversant nos
villages - adaptation des vitesses17.03.19 15.04.19 Postulat Sécurité
CC 14.05, transmis à la Co Sécurité en collaboration avec la Co TP
CC 11.06.19 : ce postulat est porté par la Co Sécurité en collaboration avec
les TP et les services cantonaux