les attaques informatiques, de plus en plus nombreuses, une situation que les services d'information ne prennent pas à la légère (photo d'illustration Adobe Stock)
Les collectivités territoriales comme les entreprises, astreintes à assurer, pendant les périodes de confinement, la connexion avec des agents placés en télétravail, ont du même coup ouvert, sans le savoir, des portes par lesquelles se sont engouffrés les pirates du Net. Des accès qui ont fait courir un risque avéré aux structures concernées, ces dernières n’étant pas forcément préparées à ces attaques.
Selon l’ANSSI (Agence nationale de la sécurité des systèmes d'information) et le CLUSIF, association de référence de la sécurité du numérique en France, au cours de l’année 2019, 159 collectivités ont officiellement signalé une cyberattaque en France et, en 2020, elles étaient la première cible des rançongiciels (20% des attaques). Ces attaques connaissent un développement exponentiel, avec près de 10 000 organisations victimes de piratage en 2021. De quoi faire frémir les DSI (Directeur des services d’information), qui gèrent le parc informatique et les accès digitaux des collectivités territoriales. Certaines collectivités, lourdement attaquées, à l’exemple d’Angers dans le Maine-et-Loire victime d’une attaque de type ransomware, ont dû verrouiller certains services ouverts au public, pendant plusieurs jours, le temps de remettre à niveau les systèmes de sécurité.
Désormais la cybersécurité s’impose comme un métier à part entière, dans les entreprises comme dans les collectivités locales et territoriales, comme l’affirmait le Général Chistophe GOMART, ancien directeur du renseignement militaire, lors de matinales organisées pas Seine-et Yvelines Numérique, l’opérateur numérique du département, en décembre dernier. « Le premier risque en entreprise est désormais le risque Cyber », indiquait le Général GOMART.
« La question n’est pas de savoir si mais quand on va se faire attaquer. Et face au risque cyber, les collectivités sont particulièrement vulnérables car elles n’ont souvent pas en interne les compétences et outils nécessaires pour se protéger ou gérer les attaques. Les principales cibles étant les agents et les élus, via du « phishing » » détaille Eric GLACE, Directeur Cybersécurité de Seine-et-Yvelines Numérique
Seine-et-Yvelines Numérique, qui accompagne depuis 2016 collectivités et établissements publics des Yvelines et des Hauts-de-Seine, s’est penché sur cette problématique dès 2020. L’opérateur a d’abord réalisé, avec l’aide du cabinet-conseil spécialisé en cybersécurité Excube, une phase d’étude afin d’analyser les besoins avec les DSI et RSSI de quelques organisations représentatives.
Selon l’opérateur, cette phase d’évaluation a permis de mesurer des niveaux de maturité hétérogènes sur l’équipement et sur la conscience même du risque et de sa probabilité. Il en est ressorti la nécessité de construire une offre adaptable et clé-en-main pour les collectivités.
Selon l’ANSSI (Agence nationale de la sécurité des systèmes d'information) et le CLUSIF, association de référence de la sécurité du numérique en France, au cours de l’année 2019, 159 collectivités ont officiellement signalé une cyberattaque en France et, en 2020, elles étaient la première cible des rançongiciels (20% des attaques). Ces attaques connaissent un développement exponentiel, avec près de 10 000 organisations victimes de piratage en 2021. De quoi faire frémir les DSI (Directeur des services d’information), qui gèrent le parc informatique et les accès digitaux des collectivités territoriales. Certaines collectivités, lourdement attaquées, à l’exemple d’Angers dans le Maine-et-Loire victime d’une attaque de type ransomware, ont dû verrouiller certains services ouverts au public, pendant plusieurs jours, le temps de remettre à niveau les systèmes de sécurité.
Désormais la cybersécurité s’impose comme un métier à part entière, dans les entreprises comme dans les collectivités locales et territoriales, comme l’affirmait le Général Chistophe GOMART, ancien directeur du renseignement militaire, lors de matinales organisées pas Seine-et Yvelines Numérique, l’opérateur numérique du département, en décembre dernier. « Le premier risque en entreprise est désormais le risque Cyber », indiquait le Général GOMART.
« La question n’est pas de savoir si mais quand on va se faire attaquer. Et face au risque cyber, les collectivités sont particulièrement vulnérables car elles n’ont souvent pas en interne les compétences et outils nécessaires pour se protéger ou gérer les attaques. Les principales cibles étant les agents et les élus, via du « phishing » » détaille Eric GLACE, Directeur Cybersécurité de Seine-et-Yvelines Numérique
Seine-et-Yvelines Numérique, qui accompagne depuis 2016 collectivités et établissements publics des Yvelines et des Hauts-de-Seine, s’est penché sur cette problématique dès 2020. L’opérateur a d’abord réalisé, avec l’aide du cabinet-conseil spécialisé en cybersécurité Excube, une phase d’étude afin d’analyser les besoins avec les DSI et RSSI de quelques organisations représentatives.
Selon l’opérateur, cette phase d’évaluation a permis de mesurer des niveaux de maturité hétérogènes sur l’équipement et sur la conscience même du risque et de sa probabilité. Il en est ressorti la nécessité de construire une offre adaptable et clé-en-main pour les collectivités.
Sécuriser le système d’information selon son niveau de maturité
Dans le cadre Seine-et-Yvelines Numérique a construit un catalogue de solutions et de services « prêt-à-l’emploi » autour des 4 clés de la gestion du risque digital.
Dans un premier temps il s’agit de faire mieux comprendre le risque en sensibilisant les acteurs, les élus et les agents, à travers une plateforme de formation en e-learning, en s’appuyant sur un constat : « le risque exploite toujours une faille en premier lieu humaine ».
Ensuite, il s’agit d’évaluer le risque en établissant un cyber score et en définissant un plan d’action. Il faut également évaluer la surface d’attaque : services exposés, applications métier, infrastructure …
Puis se prémunir en cas d’attaque en mettant en place une sauvegarde externalisée, en souscrivant une assurance prenant en charge les sinistres digitaux. Il est également opportun d’être accompagné d’une assistance technique en cas de crise.
Enfin il faut se protéger au quotidien, en s’appuyant sur des partenaires externes pour un pilotage expert de sa sécurité, en proposer du soutien humain (RSSI et/ou DPO partagé, …) et des équipements de gestion avancée de la sécurité (EDR, SIEM, WAF, etc.).
« Cette offre apporte une réponse pragmatique et complète au risque cyber et à ses conséquences », souligne Laurent ROCHETTE, Directeur Général de Seine-et-Yvelines Numérique. « Elle contribue aussi à sensibiliser les acteurs publics à l’importance du capital confiance numérique, autrement dit la sécurisation des services et la protection des données qui est bien souvent une source de « valeur ajoutée » pour les collaborateurs, les habitants, les élus, et nos partenaires. »
L’offre est destinée à tous les acteurs publics des Hauts-de-Seine et des Yvelines qui le souhaitent (bloc communal, communautés de communes ou d’agglomérations, établissements publics tels qu’hôpitaux, musées, universités, etc.).
La mutualisation qui est au cœur de la mission de Seine-et-Yvelines Numérique, donne l’opportunité de bénéficier de l’expertise nécessaire face à des cyber-pirates eux aussi experts. Avec des solutions éprouvées, notamment pour les prestations de pilotage externalisé et de formation, les adhérents bénéficieront tous d’un niveau de service premium, à un coût mutualisé. Avec cette offre complète et encore unique sur le marché, Seine-et Yvelines Numérique renforce son éventail de services et structure son expertise cybersécurité comme une activité à part entière. Un exemple de pragmatisme face aux attaques dont les collectivités territoriales font l’objet, qui pourrait intéresser d’autres territoires.
Dans un premier temps il s’agit de faire mieux comprendre le risque en sensibilisant les acteurs, les élus et les agents, à travers une plateforme de formation en e-learning, en s’appuyant sur un constat : « le risque exploite toujours une faille en premier lieu humaine ».
Ensuite, il s’agit d’évaluer le risque en établissant un cyber score et en définissant un plan d’action. Il faut également évaluer la surface d’attaque : services exposés, applications métier, infrastructure …
Puis se prémunir en cas d’attaque en mettant en place une sauvegarde externalisée, en souscrivant une assurance prenant en charge les sinistres digitaux. Il est également opportun d’être accompagné d’une assistance technique en cas de crise.
Enfin il faut se protéger au quotidien, en s’appuyant sur des partenaires externes pour un pilotage expert de sa sécurité, en proposer du soutien humain (RSSI et/ou DPO partagé, …) et des équipements de gestion avancée de la sécurité (EDR, SIEM, WAF, etc.).
« Cette offre apporte une réponse pragmatique et complète au risque cyber et à ses conséquences », souligne Laurent ROCHETTE, Directeur Général de Seine-et-Yvelines Numérique. « Elle contribue aussi à sensibiliser les acteurs publics à l’importance du capital confiance numérique, autrement dit la sécurisation des services et la protection des données qui est bien souvent une source de « valeur ajoutée » pour les collaborateurs, les habitants, les élus, et nos partenaires. »
L’offre est destinée à tous les acteurs publics des Hauts-de-Seine et des Yvelines qui le souhaitent (bloc communal, communautés de communes ou d’agglomérations, établissements publics tels qu’hôpitaux, musées, universités, etc.).
La mutualisation qui est au cœur de la mission de Seine-et-Yvelines Numérique, donne l’opportunité de bénéficier de l’expertise nécessaire face à des cyber-pirates eux aussi experts. Avec des solutions éprouvées, notamment pour les prestations de pilotage externalisé et de formation, les adhérents bénéficieront tous d’un niveau de service premium, à un coût mutualisé. Avec cette offre complète et encore unique sur le marché, Seine-et Yvelines Numérique renforce son éventail de services et structure son expertise cybersécurité comme une activité à part entière. Un exemple de pragmatisme face aux attaques dont les collectivités territoriales font l’objet, qui pourrait intéresser d’autres territoires.