Sécurité

Cybersécurité : des observatoires trop souvent méconnus

Par • Club : Club Techni.Cités

Alors que s'ouvre, le 21 janvier 2014, à Lille, le 6e Forum international de la cyber­sécurité, zoom sur les sept observatoires zonaux de la sécurité des systèmes d’information chargés de diffuser les bonnes pratiques en la matière, notamment auprès des collectivités.

Lors du Forum international de la cyber­sécurité, qui se tiendra à Lille les 21 et 22 janvier 2014, un atelier viendra rappeler que « la confiance numérique [est la] clé du succès de l’e-administration dans les collectivités ».
Pourtant un quart d’entre elles ont connu un incident de sécurité en 2011 et la plupart méconnaissent encore le référentiel général de sécurité (RGS), auquel elles doivent se conformer depuis mai 2013 en ce qui concerne les certificats électroniques (1).

Trouver des relais – Dès sa création, en 2009, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a adopté une organisation territorialisée avec la mise en place de sept observatoires ­zonaux de la sécurité des SI (OZSSI). Parmi leurs cibles se trouvent, outre les PME, « les entités publiques qui n’ont pas de chaînes fonctionnelles SSI, mairies et conseils généraux, par exemple », précise ­Stéphane ­Dubreuil, coordinateur sectoriel chargé des OZSSI à l’Anssi.
« L’objectif est d’aller vers des relais, comme l’Association des maires de France ou les ­Clusir [clubs de la sécurité de l’information régionaux, ndlr], pour obtenir un effet de levier », précise-t-il.

En décembre, l’Anssi a publié une plaquette de sensibilisation des collectivités. L’apport de connaissances est d’ailleurs réciproque, indique Stéphane ­Dubreuil : « De Paris, il est difficile d’avoir une idée claire des difficultés concrètes rencontrées par les directeurs des systèmes d’information (DSI) et les responsables de la sécurité des SI (RSSI) en province : qu’est-ce qui est difficile pour une municipalité de 500, 5 000 ou 50 000 habitants ? Les retours permettent d’adapter nos productions, et notre plaquette en est en partie issue ».

Adhésion gratuite – Peu connus ex abrupto, les OZSSI « apparaissent dans le périmètre dès que nos cibles commencent à s’intéresser au sujet », assure ­Stéphane Dubreuil. L’adhésion est gratuite, « un atout en ces temps de disette », relève Vincent Petit, responsable du service SI et communication au service départemental d’incendie et de secours du Puy-de-Dôme. Elle permet de bénéficier d’une information régulière.

Les membres peuvent ainsi assister à des réunions et formations thématiques. « Nous recherchions des informations pour la mise en place du RGS, témoigne Yvonne ­Gellon, DSI de Grenoble Alpes métropole (49 communes, 440 000 hab.). Nous avons donc démarché l’OZSSI qui a organisé une conférence à Lyon. »
« Les formations se déplacent », apprécie aussi Vincent Petit : un gain de temps vu la grande taille des sept zones. La structure apporte en outre son crédit aux préconisations des DSI et RSSI. Elle diffuse une newsletter, anime un forum en ligne et met à disposition des guides pratiques.
Dernier point, la fourniture d’informations « indépendantes, pour moins reposer sur une solution poussée par un industriel », relève Vincent Petit. L’Anssi liste ainsi des produits et des prestataires labellisés.

Moyens limités – Une réflexion est en cours sur l’évolution des OZSSI, mais nous n’en saurons pas plus. « Le public a des maturités différentes, il faudrait des réunions plus larges pour les décideurs et d’autres plus techniques destinées aux opérationnels, suggère Marc Dovero, RSSI du conseil général des Bouches-du-Rhône. Davantage de moyens permettraient de prendre vraiment de l’ampleur, le chantier est immense. »

Les pannes et virus plus courants que les piratages

Les pertes de services essentiels, les infections par des virus ne les visant pas spécifiquement et les pannes internes sont les principaux incidents de sécurité de l’information rencontrés par les collectivités, selon l’enquête 2012 du Club de la sécurité de l’information français (Clusif) sur les menaces informatiques et les pratiques de sécurité.
Viennent ensuite les vols ou disparitions de matériel et les erreurs d’utilisation. Si 25 % ont connu un incident de sécurité l’année précédente, seules 6 % ont subi une attaque logique ciblée, autrement dit les très médiatisés « piratages ».
L’enquête souligne aussi que ce sont les obligations réglementaires et les conséquences des incidents qui motivent les collectivités à améliorer leurs politiques de sécurité. Plus une collectivité est importante, plus ses pratiques sont structurées.

Commentaires

0  |  réagir

Ajouter un commentaire

Ce champ est obligatoire

Ce champ est obligatoire

Ce champ est obligatoire

Conformément à la loi "Informatique et libertés" du 6 janvier 1978, vous pouvez accéder aux informations vous concernant, les rectifier ou vous opposer à leur traitement et à leur transmission éventuelle à des tiers en écrivant à : Groupe Moniteur - Antony Parc 2, 10 place du Général de Gaulle, La Croix de Berny – BP 20156, 92 186 Antony Cedex ou en cliquant ici.

L'actu Technique

Offre découverte 30 jours gratuits !

dernières offres d’emploi

services

Thèmes abordés

Retrouvez tous nos produits sur La plateforme de mise en relation entre professionnels de la commande publique et fournisseurs

menu menu

Club Techni.Cités : l'information pour les techniciens de la FP
 
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêt. OK En savoir plus X