En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêt. OK En savoir plus X
Déposez votre CV Fournisseurs du secteur public

Logo Gazette.fr

2

Commentaires

Réagir

Numérique

Sécurité informatique : les collectivités territoriales, des cibles qui s’ignorent

Publié le • Par • dans : France

2

Commentaires

Réagir

cadenas open data © Flickr CC by sa Sarah Joy

Les collectivités territoriales n'ont pas encore pris conscience de la nécessité de sécuriser leur système d'information, alors même qu'elles sont des cibles potentielles. C'est le constat dressé par l'ensemble des intervenants du colloque organisé mercredi 16 mars par la Mission Ecoter, « Criticité des données, cybersécurité : comment anticiper les risques, évaluer, s'assurer ? »

 

« Avant ce colloque, j’avais confiance en ma commune, mon conseil départemental ou régional. Aujourd’hui, je n’ai plus confiance en personne car je m’aperçois qu’on ne se préoccupe pas de mes données dans les collectivités territoriales », s’exclame Patrick Belin. Une affirmation empreinte d’ironie, lancée par le conseiller technique de la Mission Ecoter en conclusion du colloque organisé mercredi 16 mars sur le thème « Criticité des données, cybersécurité : comment anticiper les risques, évaluer, s’assurer ? » Une provocation gentille qui résume malgré tout assez bien les propos tenus au cours de l’événément. A l’issue de celui-ci, une idée ressortait en effet clairement : les collectivités territoriales ne sont en rien prêtes à faire face au danger qu’elles encourent.

« Un décalage entre la conscience et l’action concrète »

Le colloque s’est ouvert sur l’intervention de Gérard Combe. Le président de Primo France, une association dédiée à la gouvernance et à la gestion du risque public, a détaillé les résultats d’une étude menée en septembre 2015 auprès d’une centaine de communes portant sur l’exposition des villes au cyber risque et à ses conséquences.

Une série de sondages a permis de prendre conscience de l’ampleur du problème. Seulement 10% des villes interrogées ont déclaré organiser des formations pour sensibiliser leurs agents, moins de 15% ont admis ne pas avoir pris connaissance du Référentiel Général de Sécurité (RGS) de l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information), auquel les collectivités territoriales doivent se conformer depuis mai 2013 en ce qui concerne les certificats électroniques. Aucune d’entre elles n’a eu recours au chiffrement des données.

 

 

« Il y a une conscience du risque au quotidien mais il y a un décalage entre cette conscience et l’action concrète », affirme Gérard Combe. Un constat partagé par Jean-Pierre Soler, directeur nouvelles technologies de la communauté d’agglomération Seine Essonne : « Trop peu de responsables sont conscients des failles de sécurité et de leurs infrastructures. » Avant de renchérir :

Je peux vous dire que l’on est mal vu dans les collectivités territoriales lorsque l’on met en place des procédures de sécurité. Passer de quatre à treize caractères pour les mots de passe, changer ce dernier toutes les quatre semaines, ne pas laisser un ordinateur allumé plus de cinq minutes lorsque l’on n’est pas à son poste : ce sont des mesures qui passent mal parce que personne n’a l’impression d’être une cible.

Quant aux élus, Jean-Pierre Soler ne les épargne pas non plus, rappelant qu’il est toujours plus vendeur auprès des électeurs « de garnir la ville de fleurs ou de proposer une jolie décoration de Noël » plutôt que de dégager un budget pour la sécurité numérique car « cela ne se voit pas ».

Un éventail de solutions

A l’occasion du colloque, la Mission Ecoter avait convié deux représentants de sociétés spécialisées dans la sécurité numérique, i-Tracing et EMC, qui ont exposé diverses solutions existant sur le marché pour protéger ses données. A commencer par la réplication de ces dernières avec la possibilité de mettre en place un PCA (Plan de Continuité de l’Activité) ou un PRA (Plan de Reprise de l’Activité), qui permettent dans un cas comme dans l’autre de faire face à un souci majeur touchant le système d’information.

 

Les intervenants ont aussi pris le temps d’expliquer que les collectivités territoriales étaient bien des cibles potentielles d’attaques, contrairement à ce que beaucoup d’entre elles tendent à penser. Des offensives qui pourraient notamment déboucher sur la perte de données sensibles. Mais pas uniquement dans la mesure où les communes, départements et régions peuvent aussi servir de leviers pour toucher d’autres organismes.

 

Jean-Christophe Bréchard, consultant en gestion des risques numériques et protection financière, a pour sa part rappelé l’existence d’assurances offrant une couverture globale, dès lors qu’il y a préjudice. « Trop souvent, a-t-il rappelé, l’assurance ne se met en route que lorsqu’une personne extérieure à l’affaire se manifeste. Or, ceux qui ont subi le préjudice doivent, dans de nombreux cas, débourser de l’argent pour prévenir les administrés ou les clients mais aussi faire venir des experts, etc.»

Homologuer son système d’information

Pour anticiper les problèmes, l’ANSSI a mis en place une démarche d’homologation en neuf étapes permettant aux collectivités territoriales de sécuriser leurs systèmes d’information. Un processus généralement assez lourd qui doit impérativement être adapté aux enjeux, au contexte d’emploi, à la nature des données et aux utilisateurs. Certains voudraient le généraliser, comme Jean-Pierre Soler, qui a enjoint l’ANSSI à utiliser de manière répétée « son fort pouvoir de coercition », pour contraindre les collectivités territoriales à « effectuer des audits » afin d’évaluer le degré de sécurité de leur système d’information.

Haut de page

2

Commentaires

Réagir
Publicité
Publicité

Télécharger
l'appli!

En savoir plus

Formations d’experts

Mots-clés

Thèmes abordés AdministrationInformatiqueNumérique

2 Commentaires

Ajouter un commentaire
  1. 1. Vincent L 04/04/2016, 14h57

    Je me permets de citer ici un article écrit par ITrust, qui souligne la même problématique : "Être conscient de menaces imminentes devrait pousser les PDG à traiter les cyber-menaces de la même façon qu’ils traitent les marchés boursiers (marché surveillé en temps réel). Bien sûr, il appartient aux DSI ainsi qu’aux RSSI de renforcer leurs défenses, de se transposer dans le rôle d’un pirate, mais sans une culture des bonnes pratiques en sécurité à tous les niveaux hiérarchiques de l’entreprise, les incidents vont inévitablement se reproduire."

  2. 2. Reflexe SSI 21/03/2016, 12h54

    Cet article montre de nouveau une approche parcellaire de la sécurité des systèmes d'information. L'informatique, ses outils, ses configurations, n'est que la partie émergée de l'iceberg.
    Seule une approche transversale de l'organisation et de ces différents processus peut garantir une sécurité et une conformité juridique optimales au sens des normes ISO 27001, 27002 et 27005.
    60 % des prescriptions de "bonnes pratiques" de la norme 27002 ne concernent pas directement le savoir faire informatique, et au final 80% des problèmes se situent entre la chaise et le clavier.

  1. Ajouter un commentaire

      Votre e-mail ne sera pas visible

    Conformément à la loi "Informatique et libertés" du 6 janvier 1978, vous pouvez accéder aux informations vous concernant, les rectifier ou vous opposer à leur traitement et à leur transmission éventuelle à des tiers en écrivant à : Groupe Moniteur - 17, rue d'Uzès 75018 Paris cedex 02 ou en cliquant ici.