Les collectivités accusent un véritable retard matière de cybersécurité et leurs équipes sont insuffisamment formées sur ces questions. Leur sensibilisation sur le sujet semble donc être une nécessité. Et ce d’autant plus, que la responsabilité pénale des élus est mise en jeu en cas de vols de données. Etat des lieux de la cybersécurité au niveau local.
Rendue nécessaire par la développement d'une «administration numérique», la sécurité des systèmes d'information semble pourtant insuffisante au sein des collectivités locales. Quels sont donc les outils mis à la disposition des collectivités pour protéger leur environnement informatique? Et comment font-elles de leur cybersécurité une arme efficace? Janvier 2015. La sécurité informatique des collectivités est mise à mal. Dans la foulée des attentats perpétrés contre Charlie Hebdo et l'Hyper Casher de la Porte de Vincennes, nombre de sites internet de mairies, de conseils généraux et régionaux se sont vus détournés par des hackers. Même s'il s'agissait pour l'essentiel d'entre eux de «défacage» et de prise de contrôle de leurs pages d’accueil, cette inédite vague de cyberattaques sonne comme un véritable avertissement pour les collectivités.
«Les attaques étaient d'une relative simplicité. Il n'y avait aucune technique derrière. Les sites internet qui en ont été victimes n'étaient tout simplement pas entretenus et les équipes insuffisamment spécialistes des questions de sécurité numérique», affirme Jérôme Saiz, expert du Cercle européen de la sécurité et des systèmes d'information.
Une «cyber-incompétence»?
Inéluctable dans le contexte actuel de modernisation de l'action publique et de croissante dématérialisation des services publics (état civil, appels d'offres, permis de construire, …), la cybersécurité semble donc insuffisamment prise en compte à l'échelon local. Certaines collectivités accusent un retard en la matière et ignorent même que leurs élus sont pénalement responsables en cas de vol de données à caractère personnel.
Même si elles ont «conscience du danger qu'impliquent les nouvelles technologies et leur utilisation au quotidien dans les services publics, les équipes demeurent insuffisamment préparées […] et méconnaissent leur parc informatique», constate une étude de l'association Primo France,réalisée en septembre dernier et consacrée aux conséquences du «cyber risque» dans lescollectivités locales. 10% des sondés ne sont ainsi «purement et simplement» pas au courant de lapaternité du site sur lequel ils postent des informations.
Sensibiliser les collectivités, un défi
Pour inspirer confiance et apparaître comme sûres aux yeux des citoyens, les collectivités ont la nécessité de «grimper en maturité et de se sensibiliser à la cybersécurité» affirme Pierre Gacic, responsable du dispositif territorial de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information. Un défi de taille donc, sachant que seules 10% des collectivités interrogées par Primo France déclarent organiser des formations de sensibilisation pour leurs agents et que leur vulnérabilité numérique ne cesse d'évoluer.
« Pour les dernières cyberattaques, il s'agissait essentiellement de ransomware (un logiciel prenant en otage des données contre une demande de rançon, ndlr). La technique ne pouvait rien. Les collectivités qui ont été les mieux protégées sont celles où les utilisateurs étaient sensibilisés et donc moins imprudents» souligne Benoît Liénard du Syndicat National des Directeurs Généraux des Collectivités Territoriales (SNDGCT). En définitive, les solutions ne manquent pourtant pas pour initier cette « culture » de la sécurité des systèmes d'information. L'ANSSI, par exemple, propose, sur son site internet, un large panel de documents d'accompagnement pour contrer les cyberattaques et des associations telles que le CLUSIF, le Club de la sécurité de l'information français ou la Mission Ecoter réunissent collectivités et entreprises pour les sensibiliser aux enjeux de la cybersécurité. Des clubs où « le partage d'expériences entre le public et le privé est réel» affirme Élodie Bouigues, responsable des programmes à la Mission Ecoter, une association oeuvrant au développement des systèmes de communication et d'information dans les collectivités territoriales. Le besoin d'une plus grande sensibilisation des agents subsiste toutefois, confie Sylvain Gibassier, directeur des systèmes d'information (DSI) à la mairie de Saint-Germain-en-Laye (Yvelines) : «Les DSI des collectivités territoriales sont très sensibles aux questions de cybersécurité. A nous désormais de savoir comment expliquer la situation en interne et sensibiliser les agents de nos institutions ».
Une sécurisation optimale
Sensibiliser est une chose, agir et se protéger efficacement en est une autre. Pour faire de leur usage informatique, un usage utile et efficace, les collectivités se doivent donc de mettre en place une véritable politique de sécurité. Qu'il s'agisse de pratiques simples (création de mots de passe robustes, mise à jour des logiciels d'exploitation comme les navigateurs et les antivirus, ...) ou de l'installation d'une véritable direction des systèmes d'information, «les collectivités ne peuvent échapper à la sécurité de leurs systèmesinformatiques» affirme Jacques Beyou, DSI de Brest Métropole (Finistère).
Premier élément à prendre en compte par les collectivités: l'évaluation du niveau de sécurité nécessaire pour leurs systèmes d'information. «Les collectivités doivent avoir conscience de leurdegré de criticité puis décider du niveau de sécurité le plus adapté. Et ce, de manière à ne pas être dans une position passive ou subie» affirme Benoît Liénard du SNDGCT. Une nécessité dont l'ANSSI s'est fait le porte-parole au travers du RGS, le Référentiel général de sécurité. Créé en 2010, il propose une méthodologie de sécurisation des systèmes d'information au travers d'une démarche d’homologation en 9 étapes. Ce cadre réglementaire comprend «les règles permettant aux autorités administratives de garantir aux citoyens et aux autres administrations un niveau de sécurité de leurs SI adapté aux enjeux et risques liés à la cybersécurité», précise l'ANSSI.
Des prestations de qualité
Pour une sécurisation optimale de leurs systèmes informatiques, les collectivités doivent ensuite avoir recours à des prestations de confiance. Rien ne sert en effet de connaître le degré de vulnérabilité de sa collectivité si les moyens mis en place pour l'endiguer ne sont pas adéquats. Sur le sujet, l'ANSSI offre également son expertise aux collectivités. Son «Guide d'achat de produits de sécurité et de services de confiance qualifiés» entend ainsi «faciliter le choix par les administrations - lors des appels d'offres – de produits de sécurité et de prestataires de services de confiance ayant fait l'objet d'une labellisation, dans le cadre du RGS». Néanmoins cette acquisition de produits «responsables» se doit d'être mieux encadrée lors des appels d'offres concède Jaques Beyou, DSI de Brest Métropole: «Dans les cahiers des charges desmarchés publics, les collectivités devraient insérer un contenu sur la cybersécurité et surtout sur son maintien dans le temps. Il ne faut pas seulement se préoccuper de la sécurité à l'achat mais de manière permanente».
La mutualisation comme solution ?
Qu'une politique de sécurité soit, ou non, définie, une question primordiale demeure toujours à l'esprit des collectivités: celle du montant des moyens financiers et humains alloués à la sécurisation de leurs systèmes d'information. «Ce n'est pas dans ce domaine que les économies sont à chercher», martèle Jacques Beyou.
«En étant plus attentif aux contrats passés avec les prestataires et en sensibilisant les agents sur les bonnes pratiques, les collectivités peuvent accroître leur sécurité informatique sans aucune incidence budgétaire» tempère Benoît Liénard du SNDGCT.
Le manque semble pourtant se faire sentir. Selon une enquête du Club de la sécurité de l'information français (CLUSIF) consacrée aux menaces informatiques et aux pratiques de sécurité en France, plus d'un RSSI (responsable de la sécurité des systèmes d'information) sur quatre estimait, en 2012, ne pas avoir suffisamment de moyens budgétaires pour conduire ses missions. Alors comment une petite commune peut-elle se protéger efficacement si elle ne dispose pas de moyens budgétaires suffisants? «Par la mutualisation des ressources et des connaissances», répond Élodie Bouigues de la Mission Ecoter.
Le Creatic 59 ou Centre de ressources e-administration et technologies de l'information et de la communication du Centre de Gestion du Nord, par exemple, entend ainsi accompagner les collectivités dans leur développement informatique. «Nous essayons aussi de mutualiser les compétences informatiques au niveau des intercommunalités. Dans chacune d'entre elles, un responsable informatique ou numéricien y est installé» précise Maurice De Bosscher, responsable technique du Creatic 59.
Dans le contexte actuel de baisse des dotations, la mutualisation apparaît donc comme une solution pour sécuriser les systèmes informatiques des collectivités. Reste encore à savoir si elle suffira à relever les défis sécuritaires qui s'imposeront prochainement aux collectivités: l'ouverture des données publiques et le développement des services connectés au travers, notamment, des smartcities (villes intelligentes).
ENTRETIEN
Pierre Gacic, responsable du dispositif territorial de l'ANSSI et Stéphane Meynet pour la région Auvergne-Rhône-Alpes
Créée en 2009, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) apporte son expertise et son assistance technique aux administrations et entreprises. Depuis décembre 2015, elle déploie des référents en régions. Objectifs: renforcer la prévention et sensibiliser les acteurs locaux aux bonnes pratiques informatiques.
Les collectivités locales sont-elles suffisamment sensibilisées aux questions de cybersécurité ?
Pierre Gacic : Elles n'accusent pas plus de retard qu'un certain nombre d'acteurs économiques (PME, PMI, …) mais restent insuffisamment sensibilisées sur le sujet. Les maires lisent les journaux et ont connaissance des cyberattaques. Pour autant, ils ne voient pas la réalité de la menace, ses conséquences et les moyens relativement simples qui peuvent être mis en place pour les contrer. Notre mission est de sensibiliser les collectivités et de les faire gagner en « maturité SSI » (sécurité des systèmes d'information, ndlr). Dans beaucoup d'entre elles, nous avons affaire à des systèmes informatiques anciens où la SSI (sécurité des systèmes d'information, ndlr) n'a pas été intégrée suffisamment tôt. Sur notre site internet, les collectivités trouveront donc un certain nombre de recommandations et de bonnes pratiques qui sont à la portée de tout le monde. 10% des mesures simples permettent, en effet, de contrer 90% des menaces.
Les collectivités ont-elles conscience de la menace ?
Stéphane Meynet: Oui et la vague de cyberattaques de janvier 2015 y est pour beaucoup. Nombre de collectivités nous ont contactés pour manifester leurs inquiétudes. Tant qu'elles n'avaient pas eu un incident, les collectivités ne prenaient pas conscience des menaces. Il faut donc être à leurs côtés pour les écouter et pour les faire communiquer entre elles. Une cyberattaque n'est jamais isolée, votre voisin peut avoir la même. Dès que les acteurs se mettent autour de la table, le retour d'expériences devient possible et la lutte s'organise.
Quel est le dispositif territorial de l'ANSSI ?
Pierre Gacic: La sensibilisation des collectivités locales ne date pas d'hier. Les OzSSI (Observatoires zonaux de la sécurité des systèmes d'information), mis en place en 2008, permettaient déjà de réunir les acteurs. Aujourd'hui, l'ANSSI a décidé d'envoyer un référent dans chacune des 13 nouvelles régions. Implanté dans la préfecture de la région, ce référent travaillera en étroite liaison avec ceux qui sont chargées de la sécurité informatique au sein des services de l'État. Il lui revient de relayer le discours de l'ANSSI et de sensibiliser les acteurs du territoire aux enjeux de cybersécurité. Cela passe notamment par l'organisation de rencontres entre les acteurs d'un même secteur ou non. Pour les régions Île-de-France, Bretagne, Nord-Pas-de-Calais et Auvergne-Rhône-Alpes, les premiers référents ont été désignés en décembre 2015. La mise en place de ces mêmes référents devrait se poursuivre à l'été prochain et le dispositif devrait être complet d'ici à la fin de l'année ou début 2017.
ENTRETIEN
Pierre Gündelwein, directeur préfigurateur des systèmes d'information à la Région Grand Est
« Le RGS : indispensable pour instaurer la confiance dans le système d'information »
« Deux missions m'ont été confiées : poursuivre le travail de convergence des systèmes d'information des trois anciennes régions (Alsace, Champagne-Ardenne et Lorraine) et proposer une nouvelle organisation de la Direction des Systèmes d'Information. Le travail est en cours et les premiers rendus devraient avoir lieu avant l'été. Cette mutualisation est fondamentale à la sécurité informatique. Faire converger trois systèmes d'information peut se révéler compliqué mais il faut le faire et le plus rapidement possible. Chaque politique publique engagée par l'exécutif régional nécessitera la mise en place d'un support informatique et d'un seul support. Nous allons donc prendre le meilleur de chacun, le diffuser sur l'ensemble de la région Grand Est pour ensuite homogénéiser les pratiques. Dans le lancement des projets, nous prenons dès à présent en compte l'aspect sécurité. L'objectif étant de formaliser une politique de sécurité qui s'appliquera à tous les projets de la région Grand Est. Dans chacun d'entre eux, un « référent » RSSI veillera à la bonne application des règles de sécurité et rendra, le cas échéant, des arbitrages. Nous suivons les préconisations de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, et respectons les prescriptions de leur RGS (référentiel général de sécurité) mais il faut sensibiliser les usagers à la sécurité. À titre d'exemple, à la maison de la Région, à Metz (Moselle), des réunions d'information ont été organisées pour sensibiliser les agents à la sécurité informatique (nécessité de mots de passe complexes, …). »
GLOSSAIRE
Quelles cyber-menaces pour les collectivités ?
• Le défacage ou défiguration du site internet: manière par laquelle un hacker modifie l'apparence d'un site internet et particulièrement sa page d’accueil. Les répercussions sont moindres puisque le défacage porte essentiellement atteinte à l'image de l'administration et à sa réputation.
• Ransomware ou rançongiciel: logiciel chiffrant des données et les prenant en otage contre une demande de rançon. Les conséquences sont plus graves étant donné le risque d'une publication ou d'une (ré)utilisation des données à caractère personnel par exemple.
• Attaque par déni de service: mode opératoire consistant à rendre indisponible l'accès à un serveur et empêchant le bon fonctionnement de certains services (transports, électricité, eau, …) au sein de la collectivité.
Bastien Scordia
Inscrivez-vous dès maintenant sur le groupe Facebook Paroles de Maires pour obtenir des informations quotidiennes sur l'actualité de vos missions.
