↵
Le terme cybersécurité est employé de plus en plus souvent, de quoi parle-t-on exactement ?
Qu’il s’agisse d’ordinateurs, de tablettes, d’objets connectés, de réseaux informatiques ou de télécommunications, toutes ces nouvelles technologies dont nous sommes de plus en plus dépendants envahissent notre société, notre économie et l’ensemble de nos activités. Cette dépendance comporte des risques accrus qui doivent être appréhendés. Cette prise en compte repose autant sur des actions de prévention que sur une capacité de réaction. Soit un ensemble de réponses à la fois techniques, organisationnelles et méthodologiques. Il y a une réelle prise de conscience de l’aspect stratégique de ces questions et un engagement de l’Etat français sur les réponses à apporter.
Les collectivités sont-elles vulnérables ?
Nous sommes tous vulnérables. Les collectivités locales le sont aussi tout comme les petites et les grandes entreprises, les grands groupes et les administrations centrales. En partie parce qu’un certain nombre d’entre elles ne peuvent se permettre d’avoir une direction des services d’information pléthorique, avec des spécialistes de la sécurité. Souvent, leur taille modeste ou leurs missions ne justifient pas de disposer de personnes consacrées spécifiquement à ces activités.
De même, les collectivités ne sont pas toutes égales en termes d’exposition. Certaines sont évidemment plus visibles, plus exposées, plus intéressantes pour les attaquants potentiels. Il faut être conscient que chacun d’entre nous détient des données potentiellement intéressantes puisque toute donnée possède une valeur marchande aujourd’hui. C’est une évolution fondamentale. Des acteurs malveillants peuvent être tentés de les capturer pour en faire des exploitations diverses.
Concrètement, quels sont les risques auxquels les collectivités s’exposent si elles ne protègent pas leurs systèmes d’information ?
Il existe une « typologie d’attaques » qui peuvent affecter les collectivités locales. En premier lieu, elles se manifestent par la diffusion d’un virus informatique qui va se propager, de manière indiscriminée et sans viser une victime particulière, dans un ordinateur. C'est notamment le cas des « rançongiciels », des logiciels assez répandus depuis plusieurs mois, qui prennent en otage les données qu’ils vont chiffrer. Une rançon sera exigée pour rendre à la collectivité l’accès à ses données. Ce peut être catastrophique pour une collectivité, un particulier ou une petite organisation qui n’aura pas pensé à sauvegarder ses données.
Plus discrètes, certaines attaques visent spécifiquement une organisation. Les attaquants pénètrent dans le réseau informatique par l’ordinateur d’un utilisateur ou par le biais du site web, capturent toutes les données afin de les exfiltrer. Souvent, ce type d’attaque s’installe dans la durée. Les données sont capturées au fur et à mesure. Elles seront revendues au plus offrant ou directement réutilisées.
La dernière grande catégorie d’attaques concerne des actions visibles qui s’apparentent à du sabotage, des actions terroristes ou de déstabilisation. Toutes ces attaques sont potentiellement applicables à des collectivités, que ce soit pour récupérer des données, mener des actions revendicatrices, porter atteinte à l’image d’une collectivité ou encore détruire ses systèmes d’information.
Quels sont les moyens d’action dont disposent les collectivités locales pour prévenir ces risques ?
Il est important de connaître et mettre en place des mesures de prévention efficaces grâce auxquelles l’essentiel des attaques potentielles vont échouer. Pour répondre à ces besoins, l’Agence labellise des prestataires privés spécialisés, par exemple, dans la détection d’attaques informatiques. Ce sont des interlocuteurs vers lesquels les collectivités locales pourront se tourner en toute confiance. Un guide d'achat de produits de sécurité et de services de confiance qualifiés, élaboré en concertation avec le service des achats de l’État et la direction des affaires juridiques des ministères économiques et financiers, contient toutes les informations pratiques facilitant le recours à des produits et des services qualifiés dans le respect du code des marchés publics . C’est notre rôle d’éclairer l’offre de services privée. Une prévention efficace commence toutefois par la mise en place de bonnes pratiques qui relèvent du bon sens. A commencer par la mise à jour régulière des logiciels, le choix de mots de passe de qualité, la mise en place d’un système de sauvegarde, etc. Il faut par ailleurs éviter de brancher des terminaux personnels sur le réseau professionnel. Ces mesures très simples sont répertoriées dans l’ensemble des guides publiés par l’ANSSI (bonnes pratiques, hygiène informatique) ainsi que dans les notes techniques. Toutes ces ressources sont disponibles sur le site internet de l’agence.
Quels matériels les collectivités doivent-elles adopter ?
Il existe tout un ensemble de produits de sécurité - des pare-feu aux outils de chiffrement - dont un certain nombre a été labellisé par nos services. Cela signifie que nous en avons testé l’efficacité et que nous avons confiance dans les éditeurs concernés. L’externalisation peut constituer une solution intéressante à condition de bien l’encadrer. Le cloud, par exemple, permet à une petite structure de confier à un prestataire l’hébergement de ses données dans un datacenter avec une sécurité physique, des sauvegardes, des services bien configurés et des mises à jour. L’externalisation peut constituer une solution intéressante à condition de bien l’encadrer. Nous avons publié un guide sur l’externalisation rédigé à destination de non-informaticiens. Les petites structures ne doivent pas hésiter à se faire aider dans la mise en place de ces mesures. L’ANSSI propose sur son site internet des listes de prestataires de qualité et de confiance. Notre guide pour l’achat de produits informatiques indique les points d’attention à ne pas manquer et propose des clauses contractuelles types.
La mise en place d’une véritable stratégie de sécurité est-elle une nécessité ?
Tout le monde commence à prendre conscience qu’il existe des risques liés à l’invasion des nouvelles technologies. Or, ces risques sont encore trop souvent traités comme un problème d’informaticien dont personne d’autre ne veut s’occuper. Pourtant, la cybersécurité n’est pas un problème d’informaticien.
Une vraie gouvernance est nécessaire avec une prise en compte des risques au plus haut niveau de la collectivité. Dans une commune, quelle que soit sa taille, il est primordial que le maire soit au courant des risques, qu’il se sente concerné. Il doit savoir comment s’en prémunir au même titre que pour les risques juridiques ou les risques financiers, pris en compte depuis longtemps. C’est son rôle.
Ainsi, s’il confie à une entreprise privée la création d’un site web, il doit obligatoirement se poser la question des risques potentiels liés à cette prestation (cf. note technique sur la protection des sites web).
L’open data pourrait-il accroître les risques auxquels sont exposées les collectivités locales et les administrations publiques ?
D’une manière générale, toutes les évolutions technologiques – open data, objets connectés, big data, cloud- sont porteuses de risques intrinsèques. En aucun cas il ne faut arrêter le progrès. En revanche, il faut se poser la question des risques et accompagner ces évolutions technologiques. Tout comme il a fallu accompagner les smartphones de plus en plus intelligents. Une des missions de nos référents en région est notamment d’être des conseillers auprès des collectivités locales.
L’initiative « L’ANSSI en région » a été lancée en décembre 2015. Avec quel(s) objectif(s) ?
Depuis le mois de décembre 2015, l’ANSSI commence à déployer ses référents dans les treize régions métropolitaines. Une démarche destinée à partager notre expertise sur la prévention des incidents et remplir au mieux notre mission de sensibilisation aux bonnes pratiques informatiques. Ces interlocuteurs privilégiés pourront aussi relayer les besoins des collectivités locales et des entreprises auprès de l’administration centrale. Par ailleurs, les collectivités sont aussi invitées à mettre à jour leurs coordonnées dans l’annuaire des services publiques afin de pouvoir être alertées par l’ANSSI en cas d’attaque informatique à grande échelle.
Nous espérons toucher plus largement les collectivités et les sensibiliser à une meilleure protection de leurs systèmes d’information. Les quatre premiers référents sont partis fin 2015 en région. Les prochains seront nommés très prochainement.
Inscrivez-vous dès maintenant sur le groupe Facebook Paroles de Maires pour obtenir des informations quotidiennes sur l'actualité de vos missions.
