Depuis plusieurs mois, les structures publiques de tous types sont confrontées à de nombreuses cyberattaques. En septembre dernier, la mairie de Caen a, par exemple, subi une attaque d’envergure qui a fortement impacté ses services internes et externes. Le coût de l’attaque et sa prise en charge se situerait autour de 100 000 à 300 000 euros. Pour d’autres, comme la Mairie de Bondy attaquée en 2020, la facture peut être plus salée et peut perturber leur fonctionnement interne pendant de nombreux mois, voire des années.
Ces événements récurrents mettent clairement en lumière que les structures publiques sont aujourd’hui une cible de choix pour les hackers et selon un rapport du Sénat, au cours de l’année 2020, 30% des collectivités locales en auraient été victimes. Au même titre que les TPE et les PME, qui ne disposent que de peu de moyens en matière de cybersécurité, elles doivent prendre la mesure des menaces existantes et faire évoluer leurs dispositifs pour protéger au mieux leur système d’information d’attaques toujours plus complexes.
Les risques auxquels s’exposent les collectivités locales sont également accentués par la transition numérique et l’adoption du télétravail qui peuvent avoir de lourdes conséquences comme la perte de données ou la défiance des citoyens. Afin de s’en prémunir, il est primordial de penser à des usages numériques plus sûrs et plus vertueux pour assurer une protection généralisée, sécurisant donc l’ensemble des structures publiques (services municipaux, crèches, bibliothèques, etc.).
Se concentrer sur l’essentiel pour réduire son exposition au risque
Comme nous l’avons évoqué, les organismes publics ne bénéficient pas en interne d’équipes qui peuvent prendre en charge le sujet de la cybersécurité de manière efficace et notamment pour les plus petites structures. En ce sens, se tourner vers l’extérieur et s’appuyer sur des environnements de confiance est une nécessité. Les élus doivent en effet pouvoir instaurer une politique de cybersécurité globale et durable au sein de leur collectivité.
Dès lors, il est nécessaire d’identifier et sécuriser tous les équipements connectés au réseau de la collectivité et qui accèdent à Internet (ordinateurs, serveurs, objets connectés type caméras, bornes wifi, téléphones IP, etc..). Il est indispensable aussi d’authentifier tous les collaborateurs et usagers et de mettre en place un dispositif de détection et de filtrage performant pour être très réactif en cas de cyberattaque.
Attention également à prendre en compte une dimension de souveraineté dans sa réflexion. En effet, les collectivités sont des structures qui échangent des données particulièrement sensibles. Les solutions utilisées par les entités publiques doivent alors respecter différents critères comme les recommandations de l’ANSSI ou encore la législation en vigueur : CNIL, RGPD, etc… Sur ces points, les concepteurs de technologies français proposent de réelles garanties.
Dernier point, le facteur humain est également un enjeu majeur en terme de cybersécurité ; il est indispensable d’informer et de former ses élus et agents aux bonnes pratiques de sécurité numérique, de sensibiliser son personnel et ses administrés aux usages informatiques à risques (partage de mots de passe, usage pro/perso des outils numériques, …). Le facteur humain est bien souvent le point d’entrée utilisé par les cyberattaquants pour accéder au système informatique de la collectivité.
Au même titre que les chefs d’entreprise, les élus doivent donc s’emparer du sujet de la cybersécurité et choisir les bonnes options pour ne pas subir des cyberattaques qui pourraient avoir de grandes conséquences pour leurs administrés. Il incombe aux éditeurs français de les accompagner dans leurs démarches en leur proposant des dispositifs et solutions prenant en compte leurs spécificités : peu de moyens, peu de ressources et peu de connaissances en sécurité informatique. C’est à cette condition que les collectivités pourront évoluer dans une sphère numérique de confiance.
Pierre-Alain LASSERRE, Chargé du développement Secteur Public chez Ého.Link
