Sécurité informatique : les petites communes à la traîne

Le cyber et les collectivités territoriales. Tel était le thème du colloque organisé à Paris, le 1er juin, par le Centre de recherche de l’école des officiers de la gendarmerie nationale (CREOGN). Un sujet très vaste que six intervenants ont abordé en long et en large durant un peu plus de trois heures, évoquant la question de la sécurité des systèmes d’information sous plusieurs angles devant notamment des professionnels travaillant au sein de mairies.

Des décideurs peu réceptifs

L’une des interventions les plus riches du colloque fut sans nul doute celle de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), par l’intermédiaire de Pierre Gacic, qui dirige le bureau de coordination territoriale.
Si l’Anssi a déployé des agents dans quatre régions en décembre dernier, elle continue de faire face à un problème majeur : toucher les décideurs. En particulier dans les petites communes.

“On ne sait pas comment le faire à ce stade”, a admis Pierre Gacic. “Si on dit qu’il faut consacrer 5% du budget informatique à la sécurité des systèmes d’information, il faut que quelqu’un prenne cette décision. Pour ça, il faut toucher l’élu. C’est lui qui doit le faire. Les acteurs sur place se cassent les dents les uns après les autres. Les décideurs ne viennent pas aux petits-déjeuners, de peur que le sujet les embête, qu’on leur demande de l’argent. C’est très facile de sensibiliser les grandes collectivités mais pas les petites”, a-t-il expliqué.

L’intercommunalité, le bon échelon de sensibilisation ?

La réponse au monologue de l’Anssi est venu du public. Anne Le Hénanff, maire-adjointe de la ville de Vannes (Morbihan), en charge de la communication, des systèmes d’information et du développement numérique, a invité l’Agence à se pencher sur deux structures qui permettraient, selon elle, de sensibiliser les collectivités et leurs DSG.

“Pour moi, le bon échelon de sensibilisation, c’est l’intercommunalité. Pourquoi ? Parce qu’on lui confie de plus en plus de compétences. Notre regard se tourne en permanence vers l’intercommunalité, avec qui on a un vrai lien de proximité”, a-t-elle affirmé. Avant d’ajouter : “La deuxième solution consiste à intervenir auprès de l’Association des maires de France. On a fait des réunions dans le département 56 où il y avait 10 ou 15 maires. C’est peu mais après ça parle. Et on peut imaginer que plus tard, il y aura ainsi plus de monde.”

La cybersécurité, un problème encore sous-évalué

A travers le colloque, les intervenants ont tous délivré un message clair et assez similaire, visant, chacun dans leur domaine, à inviter les collectivités territoriales à prendre au sérieux la problématique de la cybersécurité. Ainsi du volet formation, assuré par la Mission Ecoter, qui a rappelé son but, celui d’informer les acteurs des villes, départements et régions à propos de “l’incidence du numérique sur leur fonctionnement et leur organisation”.

Thomas Graiff, directeur commercial entreprise et responsable secteur public chez Marsh a lui expliqué l’intérêt de l’assurance permettant de couvrir les risques encourus tout en évoquant l’étude menée par Primo (Association dédiée à la gouvernance du risque et à la gestion des risques) en septembre 2015. Celle-ci avait notamment mis en évidence un décalage important entre la conscience et l’action.

Audrey Paris, expert sécurité des systèmes d’information chez ENGIE-Ineo s’est attelée à rappeler que les conséquences pouvaient être directes – fonctionnement altéré de la collectivité, perte de données personnelles – mais aussi indirectes, la sécurité des personnes pouvant notamment être mise en danger. “Imaginez les conséquences si quelqu’un de malveillant passait tous les feux au vert sur un carrefour”, s’est-elle exclamée.

Benoît Liénard, Directeur général du réseau Soluris (Solutions numériques territoriales innovantes), membre du SNDGCT a lui fait part de son expérience sur le terrain. Il a notamment rappelé que peu de collectivités disposaient finalement d’informaticiens ou de personnes comprenant la réalité du cyber-risque.

“Imprimer le guide de l’Anssi, le RGS, et le donner à la collectivité, c’est simple. Faire en sorte qu’elle se l’approprie, c’est compliqué”, a-t-il lancé.
Il a également détaillé son travail auprès des communes, à savoir réaliser une forme d’audit permettant de cerner les faiblesses et les besoins de chacun. “Les techniciens sont très satisfaits que la démarche ait été effectuée parce qu’ils ont trouvé un moyen de dialoguer, échanger avec leur DGS ou leur maire. Et les maires sont très contents car ils ont l’impression d’avoir fait leur devoir”, a-t-il conclu.