Pour aider les décideurs des collectivités à mieux comprendre la réalité de la menace cyber et les accompagner dans la mise en œuvre de leur plan de prévention des cyber-risques, SMACL Assurances publie un guide de bonnes pratiques consacré à la prévention des cyber-risques. En partenariat avec le Centre national de prévention et de protection (CNPP) et l’Association des ingénieurs territoriaux de France (AITF), nous partageons des retours d’expérience et des témoignages de collectivités ayant subi des cyberattaques et vous proposons des conseils concrets et simples à mettre en place.
Qu'est-ce que le cyber-risque ?
Par définition, un cyber-risque représente l'éventualité de subir une cyber-attaque pouvant ainsi entraîner une perte financière, une interruption de l'activité ou encore une atteinte à l'image de la collectivité (plus d'informations sur le site gouvernement.fr).
Les collectivités territoriales n’échappent plus à la cybermalveillance. Si elles n’en avaient pas pleinement conscience, elles ne peuvent plus nier ce risque désormais au regard de la multiplication des cyberattaques dont elles font l’objet. Selon l’ANSSI (L'Agence nationale de la sécurité des systèmes d'information), en 2020, les signalements d’attaques par rançongiciel ont été multipliés par 3,5 par rapport à 2019. Toutes les collectivités sont concernées, quelle que soit leur taille.
Sournoise, subversive, impalpable, la cybermalveillance profite des failles techniques laissées par la collectivité mais également celles qui relèvent de l’organisation.
Les agents doivent être sensibilisés à l’anonymisation des données : le premier problème de la cybersécurité est interne.
Virginie Bensoussan-Brulé, Avocate, directrice du pôle Contentieux numérique, Lexing Alain Bensoussan
Cyberattaques : comment se protéger face aux menaces ?
Les nombreuses attaques le démontrent : commune rurale, intercommunalité, métropole, région, centre hospitalier..., aucune structure n’est épargnée. Les pratiques évoluent (dématérialisation des documents, démarches en ligne, télétravail…) et les collectivités deviennent de plus en plus dépendantes de leur système informatique, ce qui les expose à de réelles vulnérabilités. Les conséquences des cyberattaques peuvent être irrémédiables si elles conduisent à la destruction d’un fichier vulnérable ou à l’indisponibilité d’une ou plusieurs ressources névralgiques.
Grâce à ce guide, nous vous aidons à construire un plan de prévention des cyber-risques efficace pour protéger vos données et votre activité.
Quand on quitte son domicile, on ferme ses portes et fenêtres. Agissons de même avec nos systèmes informatiques.
Philippe Loudenot, Délégué cybersécurité, administrateur du CESIN (Club des experts de la sécurité de l’information et du numérique)
Qui prévenir en cas d'attaque informatique ?
Lors d'une cyberattaque, la priorité consiste bien entendu en la suppression de l'accès à votre site Internet ou en la déconnexion du réseau de vos ordinateurs ou autres matériels infectés. Si des données à caractère personnel ont été dérobés, vous avez l'obligation d'avertir la Cnil (Commission nationale de l'informatique et des libertés) dans les 72h et l'ANSSI (Agence nationale de la sécurité des systèmes d'information) dans les meilleurs délais si vous êtes un opérateur d'importance vitale. Nous vous suggérons également de porter plainte. Pour en savoir plus, consultez le site de cybermalveillance.gouv.fr
Découvrez notre nouveau guide : La prévention des cyber-risques, préparé en partenariat avec CNPP et AITF :
Contre la cybermalveillance, adoptez la cybervigilance !
La meilleure des pratiques réside dans l’anticipation. L’adoption d’une gestion de risque classique autour des trois piliers de la prévention (technique, humain, organisationnel) est une étape déterminante dans la mise en œuvre du dispositif de cybervigilance. Deux témoignages de la ville de Vannes et du directeur général de Soluris traitent le sujet de la cyber sécurité.
"Les villes intelligentes ou smartcities sont-elles compatibles avec la cyber sécurité ?"
Anne le Hénanff, adjointe au maire de Vannes, en charge de la performance de l’action publique et de la transformation numérique - vice-présidente de Villes Internet
1/ De nombreuses collectivités subissent des attaques importantes depuis quelques mois sur internet. Votre expérience dans ce domaine remonte à quelques années. Que s’est-il passé ?
Il ne faut pas se mentir : les collectivités, comme toute organisation publique ou privée, sont attaquées quotidiennement, en France comme ailleurs. Mais en février 2016, nous avons vécu une attaque qui aurait pu être plus virulente que d’autres. Les dommages ont été limités puisque seuls 5 ou 6 agents ont cliqué sur un lien malveillant qui contenait le virus "Locky" qui s’est introduit dans nos systèmes d’information. Néanmoins, notre DSI a eu l’honnêteté de m’indiquer que les systèmes d’information ne supporteraient pas une attaque de plus.
2/ Comment avez-vous réagi ?
J’ai stoppé tous les nouveaux projets de dématérialisation pour investir dans la sécurité de nos systèmes. Jusque-là, je travaillais sur les usages – la Ville de Vannes était plutôt innovante sur ce domaine - mais peu sur la vulnérabilité technique ; j’ai compris dès lors que les deux étaient indissociables. C’est une orientation politique qui a nécessité un budget et une réflexion transversale. Comme le RGPD arrivait en même temps, nous avons englobé ce sujet dans le vaste projet.
Avec le recul, je pense que j’aurais porté plainte au nom de la collectivité. Souvent les collectivités ne veulent pas rendre publique une attaque d’envergure. Le maire de Vannes accepte que nous témoignions, c’est un acte courageux.
3/ Comment avez-vous construit votre plan de prévention ?
Notre direction informatique est historiquement forte. En effet, mon prédécesseur élu était un « geek » et a beaucoup œuvré sur les usages. 800 agents sur les 1 200 de la Ville sont sur PC.
Un cabinet spécialisé nous a aidés à construire le plan de sécurité, en démarrant par la cartographie de l’ensemble des données produites et collectées dans l’ensemble des services. Il faut se donner le temps de réaliser ce travail en co-construction avec l’ensemble des parties prenantes. Par ailleurs, il ne faut pas confier ses risques à n’importe qui : sans connaître les détails du contrat (les niveaux, les démarches qualité…).
En parallèle de cette démarche, nous avons travaillé sur la sensibilisation et la formation, y compris pour nos élus qui ont des tablettes. 80 % des attaques résultent d’une "erreur" humaine. Les cybermalveillants jouent avec nous, il ne faut pas rentrer dans leur jeu. Les agents sont tous formés, même s’ils n’utilisent pas l’ordinateur de la commune. Ainsi, ils sont sensibilisés pour les risques liés à leur vie privée.
Au moment du confinement nous sommes passés de 30 à 325 télétravailleurs sans souci majeur, aucun agent n’a cliqué sur un mail malveillant.
4/ Quels défis attendent les élus dans le domaine de la cybersécurité et l'informatique ?
Il ne s’agit plus de faire comprendre que le risque existe, les élus l’ont intégré. Mais il y a un vrai enjeu autour des villes intelligentes. De plus en plus de services sont digitalisés : l’énergie, la mobilité, l’éclairage public, les déchets… Sont-ils compatibles avec la cyber sécurité ? Selon moi ils sont vraiment vulnérables : en s’infiltrant dans le système d’information, il serait possible de détourner le système de chauffage dans une école ou un EHPAD et de bloquer les radiateurs à 10° en hiver ou à 40° en plein été ! Comment faire pour que la Smart city ne soit pas source de catastrophe ? C’est l’enjeu de demain.
"Les cyber risques nous contraignent à raisonner par risque et non par habitude."
Benoît Liénard, directeur général de Soluris
1/ Quelles sont les missions et la vocation de Soluris ?
Soluris est le syndicat de mutualisation informatique des collectivités territoriales de Charente-Maritime. Nous avons été créés il y a une trentaine d’années pour mutualiser les coûts matériels. Nos missions autour des usages se sont développées avec l’arrivée d’internet et de son impact dans l’organisation des collectivités, en interne mais aussi dans leurs relations avec l’Etat ou les administrés.
2/ Les cyber-risques sont-ils une préoccupation des collectivités ?
La sensibilité des collectivités a évolué ces deux dernières années, il était alors difficile de leur faire admettre qu’elles étaient concernées. Aujourd’hui ce n’est plus un souci d’alerter et de retenir l’attention sur ces sujets. Les exemples voisins tels que celui de l’agglomération de Cognac sont là pour leur rappeler que la menace peut être à leur porte.
C’est pourquoi nos supports d’information, nos ateliers pour certains déconcentrés, sont très appréciés. Les problématiques sont les mêmes entre collectivités, mais les décideurs se retrouvent souvent seuls face à leurs interrogations. C’est encore plus vrai pour les cyber-risques.
3/ Comment les accompagnez-vous ?
Nous nous refusons de culpabiliser telle ou telle pratique imprudente. Nous travaillons sur la cartographie des risques et des enjeux pour qu’ensuite les décideurs choisissent leur chemin de progression vers la sécurité. Il faut trouver un consensus entre les agents et responsables de services qui aimeraient tout sécuriser et les élus qui ont une vision budgétaire de la prévention.
Le consensus est ce qu’on appelle la sécurité assumée : on choisit ce qui ne sera pas sécurisé, il faut y aller progressivement.
4/ Quelles sont les mesures le plus couramment déployées ?
Les mesures prioritaires sont des mesures organisationnelles et ne relèvent d’ailleurs pas toujours d’une solution informatique. Par exemple, on ne classe pas un document confidentiel dans un tiroir ouvert à tous, il est dans un coffre. Pour un fichier, c’est la même logique, un fichier sensible doit être conservé dans un endroit sécurisé, même si c’est plus simple au quotidien de pouvoir ouvrir ce fichier depuis son bureau.
Les cyber risques nous contraignent à raisonner par risque et non par habitude.
Aujourd’hui les usages sont généralisés, les élus ont l’habitude de signer électroniquement, tout le monde sait que le numérique n’est pas un lieu de plénitude mais ce n’est pas parce que nous sommes conscients de ce risque que nous sommes proactifs. Il reste une marche à franchir et il y a des réticences au changement.
4 réflexes sont essentiels :
- Mots de passe suffisamment robustes
- Sauvegarde régulière des données
- Mises à jour régulières des postes de travail. Un poste Windows mis à jour écarte 99 % des attaques
- Vigilance de la part des utilisateurs. Si un mail provenant d’une personne connue de l’utilisateur paraît suspect, on décroche son tél pour vérifier qu’il l’a envoyé
5/ Quel est le maillage national des structures telles que Soluris ? Menez-vous des actions communes ?
Nous sommes membres de l’association Déclic qui réunit des structures de mutualisation de toute la France (syndicats mixtes, GIP, associations, centres de gestion...). Le maillage des structures d’accompagnement permet quasiment à toute collectivité, quel que soit son département, d’accéder à une prestation telle que celle que nous proposons pour les communes de Charente-Maritime.
Plusieurs réussites sont à saluer grâce à la force du groupe :
- La collaboration avec l’ANSSI qui a conduit à la création d’un pôle collectivités. Avec l’ANSSI nous nous entendons sur un ensemble de bonnes pratiques et de recommandations à mettre en œuvre dans les collectivités. L’ANSSI propose aux membres de Declic des formations pour nous tenir à jour des évolutions techniques et réglementaires.
- Soluris a conçu un logiciel d’accompagnement des communes à la mise en place du RGPD. Nous ne trouvions pas sur le marché ce qui répondait à nos besoins, nous l’avons donc fait développer sous le nom de MADIS et l’avons partagé aux membres de Déclic qui souhaiteraient le diffuser à leurs adhérents. MADIS est aujourd’hui le 1er logiciel sur ce sujet, c’est la force du réseau qui a permis ce succès.
