La cybersécurité dans les collectivités
Avec la digitalisation des services publics, les collectivités doivent être particulièrement vigilantes face aux attaques informatiques, en constante augmentation.
Depuis 2019, les attaques informatiques contre les collectivités françaises se multiplient. Certaines d’entre elles, par rançongiciel, peuvent avoir un impact sur plusieurs mois. La dématérialisation des services publics et la manipulation de données personnelles rendent les collectivités particulièrement sensibles à ce type de risques.
Si les innovations technologiques avancent vite dans le numérique, les moyens de les détourner aussi. « Nous avons les moyens de nos ambitions. Mais nos attaquants sont eux aussi plus nombreux. C’est toujours une course pour aller aussi vite qu’eux, protéger le cœur de notre souveraineté nationale, notre économie, nos entreprises et nos citoyens », souligne Guillaume Poupard, directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
L’agence vient d’ailleurs de lancer un dispositif pour faciliter l’achat et le déploiement de produits de cybersécurité dans les collectivités. Le but de l’opération vise notamment à soutenir l’acquisition de services de base qui peuvent manquer aux petites communes, allant du gestionnaire de mots de passe à la solution de sécurisation des messageries, ou encore le chiffrement des postes de travail.
Dans de nombreuses collectivités, les moyens manquent pour bénéficier des services à plein temps d’un responsable informatique. Le groupement d’intérêt public Action contre la cyber-malveillance a mené une enquête auprès de communes de moins de 3.500 habitants, d’août à décembre 2021. Il en résulte que plus de trois quarts ont indiqué ne pas avoir de responsable informatique.
L’une des solutions pour remédier à la situation consiste à externaliser la gestion de leur parc d’appareils numériques, qui représentent souvent moins de cinq postes. Ainsi, les logiciels métier ne sont plus installés sur les postes informatiques de la collectivité mais sont utilisables à distance. Cela permet de se reposer sur les compétences des prestataires.
Dans le cadre du plan de relance, ces villes pourront recevoir l’appui du groupement d’intérêt public. De leur côté, les régions pourront aider celles de taille moyenne. En 2021, les communes les plus importantes ont pu bénéficier de parcours de sécurité chapeautés par l’ANSSI.
Le développement d’outils mutualisés semble être une solution pour les collectivités de taille plus modeste qui n’ont pas les moyens d’avoir des agents dédiés. Toutefois, ces outils doivent s’accompagner de nouvelles pratiques chez les agents, ce qui implique une sensibilisation aux risques et aux moyens de sécuriser les données.
D’après l’enquête de cybermalveillance.gouv.fr, les deux tiers des communes sondées pensent que le risque numérique est faible ou ne savent pas l’évaluer. Les obligations juridiques en vigueur sont mal connues et les élus et les agents utilisent leurs appareils personnels dans le cadre de leurs fonctions. Une formation est donc nécessaire.
Pour garantir une protection, il faut aussi que les opérations soient simples. Le cas de la double authentification, qui consiste à valider la connexion d’un appareil à l’aide d’un second, est par exemple d’autant plus adoptée qu’elle est comprise. De nombreux agents utilisent déjà ce système pour accéder aux services de leur banque, notamment, ce qui permet une utilisation plus simple dans la sphère professionnelle.
Dans les plus grandes collectivités, le Responsable de la sécurité des systèmes d’information (RSSI) est chargé de la cybersécurité. « On laisse trop souvent la problématique à des directions techniques », remarque Didier Spella, directeur général de l’Institut national pour la cybersécurité et la résilience des territoires. « Il faut remettre le directeur général des services au centre, avec l’élu qui doit donner la stratégie. »
Une question aussi stratégique que la cybersécurité doit être envisagée dans tous les services, ce qui implique un véritable dialogue transversal sur cette thématique. Plusieurs espaces existent pour ces échanges, de l’association Coter numérique en passant par le réseau des RSSI des collectivités. Ils permettent de discuter des risques et des mesures prises ou de se rassembler afin de faire front commun.
Des outils existent pour garantir la sécurité numérique des utilisateurs, d’autant plus alors que les appareils gagnent de plus en plus en mobilité.
Ceux-ci permettent d’assurer la confidentialité et la sécurité des utilisateurs en empêchant les interférences extérieures et la manipulation des données DNS (Domain Name System) avec le protocole DoH (DNS over HTTPS).
Une solution de gestion de parc numérique unifiée permet de garantir une protection complète grâce à une approche centralisée de la sécurité. Elle englobe aussi bien les utilisateurs que leurs données, le réseau, le terminal, ou encore les applications. Une telle solution UEM (Unified Endpoint Management), permet notamment de gérer les restrictions, la configuration des applications, ou encore la qualité des mots de passe.