Fermer

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Menu

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement
  • Accueil
  • Actualité
  • A la une
  • Sécurité informatique : « on ne pourra pas faire d’e-administration sans inspirer confiance » – Marc Dovero, RSSI

Informatique

Sécurité informatique : « on ne pourra pas faire d’e-administration sans inspirer confiance » – Marc Dovero, RSSI

Publié le 25/10/2013 • Par Sabine Blanc • dans : A la une, France

Coffre fort
Fotolia
Alors que se tient le premier mois européen de la sécurité dans une relative indifférence, la Gazette des communes a interviewé Marc Dovero, premier responsable de la sécurité des systèmes d'information (RSSI) du conseil général des Bouches-du-Rhône. Son travail a valu au département d’être pilote pour l’élaboration d'un guide d'application du référentiel général de sécurité (RGS) établi par l’Anssi, l’agence nationale de la sécurité des systèmes d’information, auquel les collectivités doivent se conformer depuis mai 2013 en ce qui concerne les certificats électroniques.

Le premier mois de la sécurité en Europe a lieu durant tout le mois d’octobre, un ensemble d’événements organisés dans chaque pays à l’initiative de l’ENISA, l’Agence européenne chargée de la sécurité des réseaux et de l’information. En France, le moins que l’on puisse dire, c’est que cette campagne de sensibilisation passe inaperçue : le programme est léger, contrairement à certains de nos voisins.

La sécurité informatique, c’est le quotidien de Marc Dovero, le premier responsable de la sécurité des systèmes d’information (RSSI) du conseil général des Bouches-du-Rhône. Depuis 2007, il gère un parc de 6 500 postes de travail pour 7 000 agents, sur plusieurs sites. Auparavant, cet ingénieur formé au Conservatoire national des arts et métiers (Cnam) était dans le privé, chez Tiscali France.

En quelques années, il a accompli un travail qui a valu au conseil général d’être pilote pour l’élaboration d’un guide d’application du référentiel général de sécurité, créé par l’article 9 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives et établi par l’Anssi, l’agence nationale de la sécurité des systèmes d’information. Les collectivités territoriales doivent s’y conformer depuis mai dernier en ce qui concerne les certificats électroniques (arrêté du 6 mai 2010).

Si Marc Dovero juge que la sécurité des collectivités laisse encore à désirer, il souligne aussi qu’une bonne sécurité est avant tout question de bon sens et pas forcément de gros sous.

Les collectivités territoriales se protègent-elles correctement aujourd’hui ?

Il y a encore des améliorations à apporter, c’est un chantier qui commence. Certaines commencent à avoir un bon niveau de maturité. Il y a par contre plus de difficultés pour gérer ces problématiques dans les petites collectivités.

Les collectivités locales étrangères gèrent-elles mieux la sécurité de leurs SI ?

Tout dépend des contraintes réglementaire, d’autres pays leur en imposent déjà. En France, nous avions des obligations sectorielles de faire de la sécurité des systèmes d’information dans la banque avec des accords comme Bâle II, les assurances, les sociétés cotés, les opérateurs. Sur les collectivités, il n’y avait pas grand chose, on était donc en retard. Il y avait bien des obligations réglementaires générales telle que la loi Informatique et libertés, la loi Godfrain ou la Lopssi 2, mais il n’existait pas de réglementation spécifique. Depuis, le RGS est paru, qui permet d’augmenter la confiance et de donner des obligations.

Quels sont les cas de failles les plus courantes nuisant aux collectivités ?

Il y a des malversations, comme des liaisons Internet qui sont rendues indisponibles et qui peuvent rendre inaccessibles des sites mais aussi des flux financiers ou des communications entre les collectivités locales et leurs partenaires. Et Dieu sait si les collectivités locales sont interconnectées et dialoguent avec beaucoup de partenaires.

Il y a eu des cas d’informations sensibles rendues disponibles par erreur humaine.

On peut aussi regarder l’attaque contre Bercy, l’Elysée, ou des préfectures qui s’étaient fait défacer (modification d’un site, par exemple pour faire passer un message de protestation ou juste « signer » le geste, ndlr)… Ce qui veut dire que des collectivités locales ne sont pas à l’abri de ce type de malversations (elles l’ont été déjà, ndlr).

Quels sont les freins et comment faire de la pédagogie, sachant que la sécurité n’est pas la priorité première pour beaucoup de collectivités ?

Il faut que cela devienne une priorité ! Et cela avance, car l’e-administration arrive et l’on ne pourra pas la développer sans inspirer confiance. Certaines ont bien avancé sur ce point, d’autres non, et là la sécurité est en-deça, tant qu’on n’a pas mis un coup d’accélérateur sur la relation avec les administrés de manière électronique.

Pour moi, la sécurité vient avec l’ouverture des systèmes d’information sur l’extérieur et dans le pire des cas, en réaction aux incidents qui vont en découler. On met toujours une alarme après s’être fait cambrioler. Idéalement, on anticipe et on essaye de la poser avant. Je suis assez optimiste sur l’évolution des RSSI en France.

Autre élément à développer : la sensibilisation faite auprès des décideurs. On peut ici citer les observatoires zonaux de la sécurité des systèmes d’information (OzSSI), des relais de l’Anssi qui commencent à prendre conscience (sic) et à faire passer la bonne parole et à expliquer les enjeux auprès des collectivités.

A contrario, notez-vous des excès qui peuvent nuire à la compréhension des enjeux ?

La sécurité mal faite peut nuire à la fluidité d’un système d’information et donc à la fluidité des processus d’une collectivité. Par contre, une sécurité bien faite accompagne et met des moyens à la hauteur des enjeux. Mais il ne faut pas se leurrer, la sécurité a un coût : nos contraintes imposent d’ajuster l’objectif de sécurité avec les moyens.

Qu’avez-vous mis en place au sein du conseil général des Bouches-du-Rhône, et à quel prix, pour arriver à ce bon compromis ?

Le conseil général avait, comme toute grosse collectivité, une direction des systèmes d’information dans laquelle on avait un certain nombre de spécialistes de la sécurité informatique. En 2007, une analyse des risques menée par la direction générale avait mis en évidence la nécessité de créer un poste de RSSI. On a mis en place une politique générale de sécurité qui cadre les enjeux et les responsabilités de chacun. La simple nomination d’un RSSI fait augmenter le niveau de sécurité car il y a quelqu’un qui coordonne ce que peuvent faire les équipes techniques, les directions, qui arrive à produire des discours compréhensibles par des managers et à traduire les concepts techniques auprès des décideurs.

On n’est pas, à l’heure actuelle dans une comptabilité analytique stricte des coûts et des gains de la sécurité des systèmes d’information. C’est un budget englobé dans celui de la direction informatique. Si on regarde avant et après 2007, pour moi les coûts d’investissements matériels n’ont pas forcément augmenté. Je suis plutôt dans une logique d’acheter moins d’équipement mais de mettre en place des processus qui finalement ne coûtent rien mais font augmenter le niveau de sécurité.

Un bon mot de passe changé, c’est mieux que d’acheter trois firewalls à 100 000 euros. La mise en place d’une politique de sécurité ne se joue pas sur l’achat de machines, mais sur le développement de bonnes pratiques, de processus qui permettent d’analyser les risques, de donner confiance au citoyen, de comprendre (et faire comprendre) les contraintes des utilisateurs ou des informaticiens. Des collectivités peuvent investir énormément en équipement mais globalement n’auront pas un bon niveau de sécurité. A contrario, d’autres ont des investissements très faibles mais un niveau plus que correct car elles ont des processus, elles savent s’organiser, gérer une crise, analyser les tableaux de bord, détecter les failles.

La mutualisation fait-elle partie des pistes pour abaisser les coûts ?

Oui, c’est pertinent. Pour l’instant nous ne sommes pas dans des réflexions de mutualisation avec d’autres collectivités ; par contre, nous regardons ce qui se passe du côté du cloud, ou la mutualisation au sein de nos directions : comme nous sommes une grosse collectivité, beaucoup de mutualisation sont possibles.

Dans le milieu hospitalier, il y a des exemples des postes de RSSI mutualisés sur plusieurs établissements. Les collectivités qui n’ont pas les moyens d’un RSSI à temps plein pourraient le partager, ou passer par un syndicat mixte. Les nouvelles lois de décentralisation vont peut-être nous amener à d’autres effets de mutualisation.

Le CG13 a été pilote pour l’élaboration d’un guide d’application du RGS. Ce document vous parait-il un bon point de départ ?

Pour moi, le RGS est le bon point de départ pour une collectivité qui se demande par où commencer. Mais il faut reconnaître que ce document n’est pas facile à lire pour quelqu’un qui n’est pas spécialisé dans la matière, il y a forcément besoin de se faire accompagner dans la mise en oeuvre. Malgré tout, elle peut se faire pour des coûts modestes. En sécurité, il y a souvent beaucoup de bon sens : le mot de passe, l’anti-virus à jour, faire attention aux mails qu’on reçoit et ne pas répondre quand on ne connait pas.

L’Anssi a porté ce référentiel. Elle reste une institution peu connue, qui communique peu, elle a refusé de nous répondre par exemple. Comment améliorer son rôle ?

Ils me répondent à moi déjà, ça va (rires). A leur décharge, il faut bien avoir conscience qu’ils sont en sous-effectif par rapport aux missions qui leur sont confiées ; ils sont en perpétuel recrutement. Ils ont 70 postes à pourvoir en ce moment. Ils ont déjà beaucoup à faire avec les opérateurs d’importance vitale et les ministères. Sur la partie collectivités locales, si les 36 000 communes de France se mettent à les appeler, je comprends qu’ils hésitent un peu.

Mais l’ANSSI a les bonnes missions, les bons experts, il faut leur laisser le temps de recruter pour qu’ils puissent se déployer et communiquer auprès de plus de monde.

Vous avez été le premier RSSI du département. Comptez-vous beaucoup de collègues de ce niveau en France ? Est-ce que votre fonction est dans l’ensemble similaire d’une collectivité territoriale à l’autre ?

On se voit entre RSSI de collectivités locales, principalement de conseils généraux. 20 à 30 départements doivent avoir créé ces postes. Certains sont à temps plein, d’autres non. Il y a des niveaux de maturité et des positions dans l’organigramme différents : certains sont rattachés à la direction générale, d’autres à la direction juridique… Chaque collectivité organise le rôle et les priorités selon ses enjeux, ses besoins et sa sensibilité. C’est très disparate.

Au CG13, je suis statutaire avec un salaire correspondant, après avoir été contractuel en début de carrière dans la fonction publique. Je dépend de la DSIT (direction du système d’information et des télécommunications) et j’ai une équipe de deux personnes. Quatre correspondants sécurité dans les services de la DSIT assurent mon relais. Les correspondants informatiques font de même dans les différentes directions et je travaille principalement avec les responsables fonctionnels des directions.

Est-ce que les collectivités territoriales sont un secteur attractif pour le recrutement ? Ou subissent-elles là encore la concurrence du privé, en particulier pour les postes d’encadrement ?

Le recrutement n’est pas évident car peu d’écoles forment à ces métiers. Les recrutés sont donc souvent des personnes qui ont une appétence pour la sécurité à un moment de leur carrière, qui viennent de formations variées, du juridique en passant par des profils techniques, ou d’ingénieurs. Quand on n’est pas en période de crise, les directions informatiques ont du mal à recruter car la sécurité de l’emploi n’est, pour nous, pas un argument.

Regrettez-vous d’avoir rejoint le secteur public ? Quelles sont vos conditions de travail ?

Ah non je ne regrette pas ! Nous sommes dans un milieu très dynamique, où beaucoup de choses sont à inventer. Il y a une autonomie de gestion et de décision dans les collectivités : on est maître de ses choix par rapport aux enjeux, ce qui n’est pas le cas d’un RSSI dans un pôle déconcentré de l’Etat. Et le public nous laisse des possibilités de mobilité intéressantes.

1 Réagir à cet article

Nos offres d'emploi

Plus de 1000 offres d'emploi !

TOUTES LES OFFRES D'EMPLOI

Aujourd'hui sur les clubs experts gazette

Nos services

Prépa concours

CAP

Évènements

Gazette

Formations

Gazette

Fournisseurs public expo Public Expo

Commentaires

Sécurité informatique : « on ne pourra pas faire d’e-administration sans inspirer confiance » – Marc Dovero, RSSI

Votre e-mail ne sera pas publié

Nathalie Ivision

06/10/2015 04h27

Il est certain que la priorité en matière de systèmes d’information des collectivités est la prise de conscience des décideurs. les organisations qui se lancent dans l’e-administration, la dématérialisation, les technologies de virtualisation risquent d’apprendre à leurs dépens ce qu’il coûte de ne pas mettre en place de politiques de sécurité, qu’il s’agisse de contrôler la fiabilité des infrastructures ou de mettre en place des procédures pour éviter les erreurs humaines.
Pour une prise de conscience, voici un article qui par des nouvelles menaces en matière de sécurité informatique : http://www.ivision.fr/cybersecurite-les-nouvelles-menaces-pour-les-entreprises/.

Commenter

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement
 
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêt. OK En savoir plus X