Actualités
Twitter iconFacebook iconLinkedIn icon

Comment prévenir les cyber-risques ?

Publiée le 22/02/2021
En partenariat avec l’Association des ingénieurs territoriaux de France et CNPP Cybersecurity, SMACL Assurances publie un guide de bonnes pratiques consacré à la prévention des cyber-risques. Pour accompagner les décideurs dans la mise en œuvre de leur plan de prévention, la Mutuelle et ses partenaires exposent les points de vigilance et présentent plusieurs bonnes pratiques à appliquer par les collectivités territoriales.

Qu'est-ce que le cyber-risque ?

Par définition, un cyber-risque représente l'éventualité de subir une cyber-attaque pouvant ainsi entraîner une perte financière, une interruption de l'activité ou encore une atteinte à l'image de la collectivité (plus d'informations sur le site gouvernement.fr).

Les collectivités territoriales n’échappent plus à la cybermalveillance. Si elles n’en avaient pas pleinement conscience, elles ne peuvent plus nier ce risque désormais au regard de la multiplication des attaques dont elles font l’objet. Peu de décideurs territoriaux acceptent de témoigner des attaques qu’elles ont subies. Le témoignage de la ville de Vannes est intéressant à cet égard car, avec quelques années de recul, les élus ont un retour d’expérience enrichissant.

Sournoise, subversive, impalpable … la cybermalveillance emporte de nombreuses critiques. Elle profite des failles techniques laissées par la collectivité mais également celles qui relèvent de l’organisation. Pour mettre en place des bonnes pratiques, les décideurs territoriaux peuvent s’appuyer sur un réseau de structures de mutualisations, à l’image de Soluris, basé en Charente-Maritime.

 

La prévention des cyber-risques

Les nombreuses attaques récentes le démontrent : commune rurale, intercommunalité, métropole, région, centre hospitalier..., aucune structure n’est épargnée. Les conséquences des attaques de fichiers vulnérables peuvent être irrémédiables si elles conduisent à la destruction d’un fichier vulnérable ou à l’indisponibilité d’une ou plusieurs ressources névralgiques. La matière est abrupte : risque relativement récent, vocabulaire technique, fossé numérique entre les agents ou entre les élus..., la maîtrise n’est pas simple. Pour autant, la cybermalveillance appelle une cybervigilance à tous les niveaux de la collectivité !

Découvrez le nouveau guide préparé en partenariat avec CNPP Cybersecurity :
 


Contre la cybermalveillance, adoptez la cybervigilance !

La meilleure des pratiques réside dans l’anticipation. L’adoption d’une gestion de risque classique autour des trois piliers de la prévention (technique, humain, organisationnel) est une étape déterminante dans la mise en œuvre du dispositif de cybervigilance. Deux témoignages de la ville de Vannes et du directeur général de Soluris traitent le sujet de la cyber sécurité.

De nombreuses collectivités se demandent "comment assurer les cyber-risques ?". Découvrez l'offre d'assistance Solucrise de SMACL Assurances qui vous accompagne dans le gestion de crise, notamment en termes de communication.


Anne le Hénanff

"Les villes intelligentes ou smartcities sont-elles compatibles avec la cyber sécurité ?"

Anne le Hénanff, adjointe au maire de Vannes, en charge de la performance de l’action publique et de la transformation numérique - vice-présidente de Villes Internet

 
Il ne faut pas se mentir : les collectivités, comme toute organisation publique ou privée, sont attaquées quotidiennement, en France comme ailleurs. Mais en février 2016, nous avons vécu une attaque qui aurait pu être plus virulente que d’autres. Les dommages ont été limités puisque seuls 5 ou 6 agents ont cliqué sur un lien malveillant qui contenait le virus "Locky" qui s’est introduit dans nos systèmes d’information. Néanmoins, notre DSI a eu l’honnêteté de m’indiquer que les systèmes d’information ne supporteraient pas une attaque de plus.
J’ai stoppé tous les nouveaux projets de dématérialisation pour investir dans la sécurité de nos systèmes. Jusque-là, je travaillais sur les usages –  la Ville de Vannes était plutôt innovante sur ce domaine -  mais peu sur la vulnérabilité technique ; j’ai compris dès lors que les deux étaient indissociables. C’est une orientation politique qui a nécessité un budget et une réflexion transversale. Comme le RGPD arrivait en même temps, nous avons englobé ce sujet dans le vaste projet.
Avec le recul, je pense que j’aurais porté plainte au nom de la collectivité. Souvent les collectivités ne veulent pas rendre publique une attaque d’envergure. Le maire de Vannes accepte que nous témoignions, c’est un acte courageux.
Notre direction informatique est historiquement forte. En effet, mon prédécesseur élu était un « geek » et a beaucoup œuvré sur les usages. 800 agents sur les 1 200 de la Ville sont sur PC.
Un cabinet spécialisé nous a aidés à construire le plan de sécurité, en démarrant par la cartographie de l’ensemble des données produites et collectées dans l’ensemble des services. Il faut se donner le temps de réaliser ce travail en co-construction avec l’ensemble des parties prenantes. Par ailleurs, il ne faut pas confier ses risques à n’importe qui : sans connaître les détails du contrat (les niveaux, les démarches qualité…).
En parallèle de cette démarche, nous avons travaillé sur la sensibilisation et la formation, y compris pour nos élus qui ont des tablettes. 80 % des attaques résultent d’une "erreur" humaine. Les cybermalveillants jouent avec nous, il ne faut pas rentrer dans leur jeu.  Les agents sont tous formés, même s’ils n’utilisent pas l’ordinateur de la commune. Ainsi, ils sont sensibilisés pour les risques liés à leur vie privée.
  
Au moment du confinement nous sommes passés de 30 à 325 télétravailleurs sans souci majeur, aucun agent n’a cliqué sur un mail malveillant.
Il ne s’agit plus de faire comprendre que le risque existe, les élus l’ont intégré. Mais il y a un vrai enjeu autour des villes intelligentes. De plus en plus de services sont digitalisés : l’énergie, la mobilité, l’éclairage public, les déchets… Sont-ils compatibles avec la cyber sécurité ? Selon moi ils sont vraiment vulnérables : en s’infiltrant dans le système d’information, il serait possible de détourner le système de chauffage dans une école ou un EHPAD et de bloquer les radiateurs à 10° en hiver ou à 40° en plein été ! Comment faire pour que la Smart city ne soit pas source de catastrophe ? C’est l’enjeu de demain.

Benoît Lienard


"Les cyber risques nous contraignent à raisonner par risque et non par habitude."

Benoît Liénard, directeur général de Soluris


 
Soluris est le syndicat de mutualisation informatique des collectivités territoriales de Charente-Maritime. Nous avons été créés il y a une trentaine d’années pour mutualiser les coûts matériels. Nos missions autour des usages se sont développées avec l’arrivée d’internet et de son impact dans l’organisation des collectivités, en interne mais aussi dans leurs relations avec l’Etat ou les administrés. 
La sensibilité des collectivités a évolué ces deux dernières années, il était alors difficile de leur faire admettre qu’elles étaient concernées. Aujourd’hui ce n’est plus un souci d’alerter et de retenir l’attention sur ces sujets. Les exemples voisins tels que celui de l’agglomération de Cognac sont là pour leur rappeler que la menace peut être à leur porte.  
C’est pourquoi nos supports d’information, nos ateliers pour certains déconcentrés, sont  très appréciés. Les problématiques sont les mêmes entre collectivités, mais les décideurs se retrouvent souvent seuls face à leurs interrogations. C’est encore plus vrai pour les cyber-risques. 
Nous nous refusons de culpabiliser telle ou telle pratique imprudente. Nous travaillons sur la cartographie des risques et des enjeux pour qu’ensuite les décideurs choisissent leur chemin de progression vers la sécurité. Il faut trouver un consensus entre les agents et responsables de services qui aimeraient tout sécuriser et les élus qui ont une vision budgétaire de la prévention.
Le consensus est ce qu’on appelle la sécurité assumée : on choisit ce qui ne sera pas sécurisé, il faut y aller progressivement.
Les mesures prioritaires sont des mesures organisationnelles et ne relèvent d’ailleurs pas toujours d’une solution informatique. Par exemple, on ne classe pas un document confidentiel dans un tiroir ouvert à tous, il est dans un coffre. Pour un fichier, c’est la même logique, un fichier sensible doit être conservé dans un endroit sécurisé, même si c’est plus simple au quotidien de pouvoir ouvrir ce fichier depuis son bureau.
Les cyber risques nous contraignent à raisonner par risque et non par habitude.
 
Aujourd’hui les usages sont généralisés, les élus ont l’habitude de signer électroniquement, tout le monde sait que le numérique n’est pas un lieu de plénitude mais ce n’est pas parce que nous sommes conscients de ce risque que nous sommes proactifs. Il reste une marche à franchir et il y a des réticences au changement.

 
4 réflexes sont essentiels :
  1. Mots de passe suffisamment robustes
  2. Sauvegarde régulière des données
  3. Mises à jour régulières des postes de travail. Un poste Windows mis à jour écarte 99 % des attaques
  4. Vigilance de la part des utilisateurs. Si un mail provenant d’une personne connue de l’utilisateur paraît suspect, on décroche son tél pour vérifier qu’il l’a envoyé
Nous sommes membres de l’association Déclic qui réunit des structures de mutualisation de toute la France (syndicats mixtes, GIP, associations, centres de gestion...).  Le maillage des structures d’accompagnement permet quasiment à toute collectivité, quel que soit son département, d’accéder à une prestation telle que celle que nous proposons pour les communes de Charente-Maritime.

Plusieurs réussites sont à saluer grâce à la force du groupe :
  • La collaboration avec l’ANSSI qui a conduit à la création d’un pôle collectivités. Avec l’ANSSI nous nous entendons sur un ensemble de bonnes pratiques et de recommandations à mettre en œuvre dans les collectivités. L’ANSSI propose aux membres de Declic des formations pour nous tenir à jour des évolutions techniques et réglementaires. 
  • Soluris a conçu un logiciel d’accompagnement des communes à la mise en place du RGPD. Nous ne trouvions pas sur le marché ce qui répondait à nos besoins, nous l’avons donc fait développer sous le nom de MADIS et l’avons partagé aux membres de Déclic qui souhaiteraient le diffuser à leurs adhérents. MADIS est aujourd’hui le 1er logiciel sur ce sujet, c’est la force du réseau qui a permis ce succès.

Ombré de séparation - SMACL Assurances
PLUS D'INFOS ​
> Découvrez toutes les solutions prévention de SMACL Assurances pour les collectivités
> Contactez le Pôle prévention
Toutes les actualités