Fermer

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Menu

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Cybersécurité

La cybersécurité, l’affaire de tous

Publié le 30/05/2022 • Par Alexandre Léchenet Gabriel Thierry • dans : France

Une atta­que informatique a visé il y a peu un centre de gestion, déstabilisant son organisation.
Une atta­que informatique a visé il y a peu un centre de gestion, déstabilisant son organisation. D.R.
Chaque semaine ou presque, une cyberattaque contre une collectivité, grande ou petite, est rendue publique. Le nombre de ces atteintes a explosé depuis 2019. Leurs conséquences, parfois fâcheuses, peuvent persister plusieurs mois. La dématérialisation et la manipulation de données personnelles rendent les collectivités sensibles aux attaques. Une sécurité informatique renforcée et une prévention constante permettent d’éviter les dégâts.

Ma Gazette

Sélectionnez vos thèmes et créez votre newsletter personnalisée

Cet article fait partie du dossier

La cybersécurité, l'affaire de tous

Bien souvent, c’est une attaque informatique qui va servir d’électrochoc. A ­Sequedin (4 800 hab., Nord), tout le système d’information a été revu. La ville a été victime d’une sévère atteinte par rançongiciel en juillet 2019, à la suite de laquelle il a fallu environ six mois pour rétablir la situation. « Nos points faibles étaient les connexions à distance et les sauvegardes », explique ­Xavier ­Dewidehem, le directeur général des services.

Désormais, les logiciels métier ne sont plus installés sur les postes informatiques de la collectivité mais sont utilisables à distance. Une solution qui permet à la commune, qui n’a pas les moyens d’embaucher un informaticien, de se reposer sur les ­compétences de ses prestataires. Et pour les sauvegardes, si elle n’a pas encore trouvé la recette « pleinement satisfaisante », un enregistrement physique a été mis en place pour ne pas être pris au dépourvu lors d’une attaque.

Un soutien à l’achat de services de base

Une externalisation partagée par de nombreuses communes, surtout les moins dotées. Le groupement d’inté­rêt public (GIP) Action contre la cybermalveillance, pilote de l’ouver­ture, en 2017, de « ­cybermalveillance.gouv.fr », la ­plateforme ­nationale ­de ­sensibilisation, de prévention et d’assistance aux victimes, a mené une enquête auprès de celles de moins de 3 500 habitants, d’août à décembre 2021, dont les conclusions viennent de paraître. Plus de trois quarts des répondantes ont indiqué ne pas avoir de ­responsable informatique et externalisent la gestion de leur parc, souvent ­composé de moins de cinq postes. Elles pourront recevoir l’appui du GIP, missionné, dans le cadre du plan de relance, pour ­accompagner les plus petites collectivités.

Les régions aideront celles de taille moyenne avec leurs centres de réponse aux incidents cyber. Quant aux plus grosses, 300 d’entre elles ont pu bénéficier, l’an dernier, de parcours de ­sécurité chapeautés par l’Agence nationale de la ­sécurité des systèmes d’infor­mation, l’Anssi.

De plus, le « ­cyberpompier de l’Etat » vient de lancer un dispositif pour faciliter l’achat et le déploiement de produits de ­cybersécurité dans les collectivités. Il s’agit de soutenir l’acquisition de services de base qui peuvent manquer aux petites communes, du gestionnaire de mots de passe à la solution de sécuri­sation des messageries, ou encore le chiffrement des postes de travail. Le syndicat mixte ­Mégalis ­Bretagne (64 collectivités, 3,35 millions d’hab.), qui encourage le ­développement des usages des réseaux de communication électronique, planche sur l’installation, au bénéfice de tous les agents publics bretons, d’une solution de sensibilisation contre l’­hameçonnage. Dans le Nord, le Pas-de-­Calais et la ­Somme, c’est le déploiement d’un antivirus qui est envisagé.

Enfin, à l’Association pour le développement et l’inno­vation numérique des collectivités (Adico), on travaille sur l’achat de quatre solutions : un gestionnaire de mots de passe, un antivirus, une solution de protection de la messagerie et un outil pour sensibiliser à l’hameçonnage. Le millier de collectivités membres pourront en choisir deux. Ces dispositifs, financés à hauteur de 22 centimes par habitant, doivent permettre d’éviter d’être une victime collatérale d’­actions de plus grande ampleur. « Les petites communes sont rarement attaquées volontairement, c’est plutôt parce qu’un mail lié à la collectivité a été pris dans une nasse », rappelle ­Emmanuel ­Vivé, directeur général de l’­Adico et président du réseau des opérateurs publics de services numériques ­mutualisés, Déclic.

Double authentification, chiffrement…

Le développement d’outils mutualisés semble être une solution pour les collectivités de taille plus modeste qui n’ont pas les moyens d’avoir des agents dédiés. « Dans l’­Aveyron, l’informatique d’une mairie, c’est bien souvent deux ou trois ordinateurs derrière une box internet, observe ­Emilien ­Rolland, responsable de la ­sécurité des systèmes d’information [RSSI] du syndicat mixte Smica [431 adhérents, ­Aveyron]. Mais c’est une solution qui peut aussi avoir des limites. »

Après l’attaque par ­rançongiciel dont elle a été ­victime, la mairie de Saint-­Affrique (8 200 hab., ­Aveyron) a, par exemple, choisi de bénéficier du service d’héber­gement du Smica. « La mutualisation reste la meilleure solution pour répondre aux enjeux de ­cybersécurité », ­constate, de façon générale, ­Emilien ­Rolland. Des outils qui doivent s’accompagner de nouvelles pratiques chez les agents et d’une meilleure « hygiène numérique ».

Avant de quitter ­Grenoble, Cyril Bras, ancien RSSI de la métropole (lire l’encadré), a ­commencé à travailler sur le sujet de la classification de l’infor­mation. Un préambule nécessaire à la question de l’intérêt du chiffrement des pièces. « Si l’on veut que les agents chiffrent les ­documents, il faut que les opérations soient simples », ­confirme ­Marylyne ­Boubée, la RSSI du conseil départemental de la Haute-­Garonne.

C’est aussi le cas pour la double authentification (valider la connexion d’un appareil avec un second), qui est d’autant plus adoptée qu’elle est bien ­comprise. Le fait que les agents en aient déjà l’usage pour accéder aux services de leur banque permet qu’elle soit plus facilement utilisée dans la sphère professionnelle. « Il faut que les agents compren­nent que les données que nous possédons sont importantes », poursuit-elle.

Des espaces d’échanges sur les risques

A ­Marseille (870 700 hab.), touchée par un rançongiciel au printemps 2020, ­Jérôme ­Poggi, le RSSI, anime des réunions régulières avec les correspondants informatiques des établissements de la collectivité. Ainsi, début mars, lors de la dernière, il a présenté les tendances et le bilan de l’année écoulée en matière de menaces informatiques. Et il a briefé les agents sur les évolutions à venir sur l’informatique de la métropole, à l’instar de la solution antivirale bientôt déployée. « Cela permet de leur donner un planning, de leur expliquer l’intérêt du changement et d’avoir des remontées des utilisateurs », analyse-t-il.

Un autre espace d’échanges est également en train d’être mis en place, cette fois destiné aux décideurs. La création d’un comité de pilotage a pour objectif de les informer sur ce qui est fait, une manière de rappeler que la ­sécurité informatique n’est pas qu’une ligne budgétaire : elle permet aussi d’obtenir des résultats concrets. Et que le RSSI n’est pas qu’un poste purement technique. « On laisse trop ­souvent la problématique à des directions techniques, remarque ­Didier ­Spella, directeur général de l’­­Institut national pour la ­cybersécurité et la résilience des territoires au statut associatif. Il faut remettre le directeur général des services au centre, avec l’élu qui doit donner la stratégie. »

En effet, il faut que la ­c­­­ybersécurité soit pensée dans tous les services, ainsi qu’avec les prestataires. « Dans les marchés publics, on peut mettre des clauses sur la ­cybersécurité, mais les intentions des prestataires ne reflètent pas toujours la réalité, indique ­Marylyne ­Boubée. Ils se retranchent parfois sur le fait que l’on serait les seuls à demander une évolution ou une amélioration. L’une des solutions peut être de mutualiser les expériences et de se rassembler pour contacter les éditeurs et donner du poids à la demande. »

Plusieurs espaces existent pour ces échanges utiles, que ce soit l’association Coter numérique ou le réseau des RSSI de collectivités. Ils permettent de ­discuter des risques et des mesures prises ou de se rassembler afin de faire front commun. Les acteurs pourront également bientôt compter sur les centres de réponse aux incidents cyber, en déploiement.

Un plan de formation en projet

Mais les outils techniques ou les experts ne sont pas suffisants. « La plus grosse menace vient de l’utilisateur et de sa posture », rapporte ­Marylyne ­Boubée. Si les actions de sensibilisation qu’elle mène se font, pour l’instant, sur la base du volontariat, elle estime qu’il faut aller plus loin. « Cela ne peut pas être optionnel. Je suis en train de travailler à un plan de formation spécifique afin de mieux les organiser », dévoile-t-elle.

D’après l’enquête de « cybermalveillance.gouv.fr », les deux tiers des communes sondées pensent que le risque numérique est faible ou ne savent pas l’évaluer. Les obligations juridiques en vigueur sont mal connues et les élus et les agents utilisent leurs appareils personnels dans le cadre de leurs fonctions.

« Nous réalisons des opérations de sensibilisation des élus et des agents : “Comment bien faire attention à son hygiène numérique ou à l’hameçonnage ?” détaille ­Xavier ­Dewidehem, à ­Sequedin. Mais les mauvaises habitudes reviennent vite, comme le fait de quitter son ordinateur en laissant sa session ouverte durant la pause méridienne… » A ­­Grenoble, l’ancien RSSI insistait ainsi sur le droit des agents à se tromper, une manière de créer ensuite du dialogue. La cyber­sécurité est un sport ­collectif.

« Il faut être pédagogue et se mettre au niveau des utilisateurs »

PHOTO - IMG_1717345_02.jpg
Cyril Bras, directeur de la cybersécurité de l’entreprise Whaller et ancien RSSI de la métropole de Grenoble

« Il faut donner les moyens au respon­sable de la ­sécurité des systèmes d’information [RSSI] d’être entendu, l’écouter, et en faire un directeur de la ­cybersécurité pour le positionner au bon niveau. Certes, le RSSI doit bien connaître le terrain qu’il a à défendre, comme le sujet de l’infor­matique industrielle, mais ce n’est pas seulement une ­compétence technique. Il faut qu’il soit un bon ­communicant, sinon il n’arrivera pas à se faire entendre.

Plus nous allons déployer du numérique, moins les citoyens seront enclins à tolérer des problèmes. La sensibilisation est donc indispensable. Il faut être pédagogue, se mettre au niveau des utilisateurs et arrêter de dire, de façon un peu méprisante, qu’il ne s’agit que d’un problème d’interface entre l’homme et le clavier. »

Cet article fait partie du Dossier

La cybersécurité, l'affaire de tous

Sommaire du dossier

  1. La cybersécurité, l’affaire de tous
  2. Comment se prémunir contre les rançongiciels
  3. Cybersécurité : les centres de réponse se déploient, sous la houlette des régions
  4. Cybersécurité : les collectivités territoriales, des cibles potentielles sous surveillance
  5. « Il est important de ne pas réduire la cybersécurité à des questions techniques »
  6. Cybercriminalité : « Nous ne voulons plus qu’un élu nous dise qu’il ne savait pas »
  7. Les données personnelles d’agents du Grand Annecy diffusées cinq mois après la cyberattaque
  8. Cyberattaques : les collectivités de plus en plus transparentes
  9. Cybersécurité : quand les collectivités prennent la mesure du problème
  10. Fuite de données six mois après la cyberattaque contre la métropole d’Aix-Marseille-Provence
  11. Le responsable de la sécurité des SI, aux avant-postes de la lutte contre les cyberattaques
  12. Ces spécialistes de la cybersécurité que l’on s’arrache
  13. Quelles solutions mettre en place pour une sécurité informatique accrue ?
  14. Les failles de la smart city mises en lumière par deux ingénieurs
  15. Sécurité informatique : les collectivités peuvent mieux faire
  16. Les 10 chapitres du guide d’hygiène informatique de l’Anssi
  17. Sécurité informatique : les petites communes à la traîne
  18. Former et sensibiliser les agents à la sécurité informatique pour réduire les risques
  19. « Cloud » et souveraineté numérique : le débat fait rage
  20. Plusieurs milliers de sites Internet de communes mal sécurisés
  21. Cloud souverain : « Google et Amazon ont annoncé la création de data centers en France »
  22. Inculquer le virus de la sécurité informatique

Thèmes abordés

Réagir à cet article
marche online

Aujourd'hui sur les clubs experts gazette

Nos services

Prépa concours

CAP

Évènements

Gazette

Formations

Gazette

Commentaires

La cybersécurité, l’affaire de tous

Votre e-mail ne sera pas publié

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement