Soutien IN.CRT: 

 

Lorem ipsum dolor sit amet, consectetur adipiscing elit.

Tous droits réservés - IN.CRT 2020

 

AGORA CYBER: JULIEN BUI

23/06/2021

AGORA CYBER: JULIEN BUI

Billet de Julien BUI, RSSI (CISO) du Conseil Général du Morbihan. 

Initialement paru dans l’Observatoire de la Cybersécurité, « France release 2021, June »: La cybersécurité dans les collectivités locales

 

Les collectivités territoriales (communes, départements, régions) et leurs groupements, sont des administrations publiques œuvrant à une échelle locale pour leurs citoyens. Elles fournissent de nombreux services comme la culture, l’enseignement, les sports, la jeunesse ainsi que l’action sociale et médico-sociale. Comme à l’échelle nationale, elles sont engagées dans une profonde transformation numérique notamment dans les projets de dématérialisation des services fournis aux citoyens. De ce fait, elles détiennent une quantité de données très sensibles (données personnelles des citoyens, données stratégiques ou économiques). Cette démarche entraine une dépendance au numérique attirant également de nombreux cybercriminels dont les collectivités territoriales sont devenues des cibles de choix depuis plus d’un an.


D’après une étude du CLUSIF(1) en juin 2020, 30% des collectivités ont déjà été victimes d’un rançongiciel : ce type d’attaque – accessible à tous à présent – ne cesse d’augmenter depuis. La place de la cybersécurité au sein des collectivités – quelle que soit leur taille – est désormais un sujet préoccupant tendant à devenir une priorité d’organisation.


Afin d’encadrer cette transition numérique, le cadre réglementaire a évolué avec l’apparition de nouveaux textes de lois dont le RGS(2), la LPM(3), le RGPD(4), etc. Leurs objectifs étant de renforcer la confiance des citoyens dans les services numériques, garantir la protection des données personnelles et des infrastructures qui les hébergent mais également de renforcer la sécurité des activités d’importance vitale et des services essentiels prodigués par certaines collectivités.


De par les disparités de tailles, de budgets, de priorités entre les différentes collectivités, la mise en oeuvre – et le contrôle – de ces réglementations ainsi que les bonnes pratiques qui leurs sont liées est un réel casse-tête pour le gouvernement français mais également pour les professionnels en charge de la sécurité.


À titre d’exemple, sur les 35 000 communes françaises, un grand nombre ne compte pas plus de 500 habitants là où d’autres dénombrent des milliers voire des centaines de milliers d’habitants. Ainsi, on observe que les plus petites communes n’ont pas les ressources humaines et financières suffisantes pour considérer la sécurité informatique comme une priorité. Il est évident que la sécurité n’attend pas et encore moins les cyber-attaquants. Seule la mutualisation peut permettre de compenser ce handicap lié à la taille de la collectivité et la faible capacité d’action qui en découle.


Il est nécessaire de se doter d’une gouvernance mobilisant efficacement les services ainsi que les élus (dans le meilleur des cas, un élu dédié aux sujets numériques devrait être nommé). Ces synergies doivent opérer des choix stratégiques et budgétaires en faveur de la cybersécurité pour leur territoire. Il est également important de se rapprocher de structures telle que l’IN.CRT(5), créé au FIC(6) 2020, qui vise aujourd’hui à être une plateforme d’échange d’idées et à devenir un centre de ressources au service des collectivités territoriales. Ces structures rassemblent également élus et acteurs de la cybersécurité autour d’ateliers, d’évènements, de formations et de sensibilisation.


Dans le meilleur des cas, le recrutement d’un RSSI – véritable « couteau suisse » de la sécurité – avec des moyens dédiés permettra d’organiser la sécurité selon un contexte défini de surveiller et de réagir en cas d’attaques. La priorité du RSSI est dans un premier temps de sensibiliser sa direction générale sur les actions prévues dans son plan de sensibilisation et de sécurisation des agents afin d’en démontrer leurs bénéfices et de ne pas être considéré comme un frein au sein de l’organisation.


Il devra tout de même se heurter à certaines difficultés telles que les fortes interdépendances entre les services et les procédures de validation qui y sont associées. C’est la réalité organisationnelle de ces structures territoriales. Même s’il s’agit d’une simple action à mettre en oeuvre, différents niveaux de validation sont demandés sans compter une forte anticipation quant aux plannings de déploiement. Lorsqu’il s’agit de projet de sécurité, la validation passe par différents niveaux de comités (mensuel, trimestriel, etc.) apportant une dimension chronophage à la gouvernance globale.


Un deuxième frein potentiel est le niveau d’acculturation de nombreux agents qui ne verront pas la nécessité et la pertinence des sujets de cybersécurité pourtant indispensables. C’est donc le rôle du RSSI de sensibiliser, et d’acculturer afin d’éviter d’être restreint dans ses actions. Il doit être compris et vu comme un facilitateur de ces sujets notamment pour les métiers.
Enfin, le dernier point sensible concerne les partenaires et les prestataires : les collectivités locales n’ayant pas le même statut que les entreprises privées, les tierces parties n’accordent pas le même niveau d’attention au secteur public en termes de sécurisation de leurs environnements et projets. Tel que mentionné précédemment, en raison de nombreuses disparités, les RSSI travaillant en collectivité doivent être forts et patients face à leurs prestataires de services. La mise en oeuvre de projets et de services sécurisés avec des tiers peut être un véritable challenge pour eux, d’autant plus lorsque l’organisation interne ne coopère souvent pas. C’est ainsi une barrière supplémentaire à la sécurisation des environnements hybrides, toujours liés à l’évolution des technologies pour les collectivités.


Comme pour la transformation numérique, les sujets de cybersécurité sont récents pour les collectivités. Avec l’aide du gouvernement français (plan de relance, aides, ANSSI7) ainsi que des structures indépendantes (associations, instituts, universités, etc.), les territoires peuvent enfin opérer pour l’amélioration de la sécurité de leurs systèmes d’information.
Il est important pour toute la communauté des RSSI en France de travailler de concert car ils partagent les mêmes enjeux .et à quelques différences près, les mêmes priorités.


1 Association de référence de la sécurité du numérique en France.
2 Référentiel général de sécurité, fixe le premier cadre français de la confiance numérique pour les téléservices au sein de l’administration.
3 Loi de programmation militaire, garantit la protection des activités d’importance vitale.
4 Règlement général sur la protection des données, responsabilise les acteurs publics et privés quant à la protection des données personnelles
5 Institut National pour la Cybersécurité et la Résilience des Territoires
6 Forum International de la Cybersécurité
7 Agence nationale de la sécurité des systèmes d’information, autorité chargée d’assister le Premier ministre dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale.

AGORA DU FIC: Quelles priorités pour la prochaine Présidence française de l’UE ?