"La question ce n'est pas de savoir si on a t touch par une cyberattaque mais quand est-ce qu'
"La confiance se gagne en gouttes mais elle se perd en litres". Il en va de même avec la confiance numérique. Dans un monde de plus en plus numérisé, l’actualité illustre qu’il existe un besoin de bâtir un environnement de confiance numérique pour les collectivités : Marseille, Toulouse, Martigues, Charleville-Mézières, Mitry-Mory, et plus récemment Vincennes… Les pirates profitent généralement du faible niveau de sensibilisation et de sécurisation des collectivités pour commettre leurs forfaits. En France, en 2019, 1.200 collectivités sont venues chercher de l’assistance auprès de cybermalveillance.gouv.fr, dispositif d'assistance aux victimes d’actes de cybermalveillance, lancé il y a trois ans. Le site met à disposition un guichet unique qui permet en autres la mise en relation avec pas moins de 1.000 prestataires locaux, répartis sur tout le territoire.
La honte
"On a vu des mairies de 4.000 habitants tout perdre : données de paie, de compta, etc.", témoigne Emmanuel Vivé, président de Déclic, réseau d’échange d’informations entre structures de mutualisation informatique (SMI) et opérateurs publics de services numériques (OPSN) intervenant lors du webinaire. Il évoque les "faux mails de Pôle emploi, de l'Urssaf, de Microsoft". "On observe une montée en puissance de ces problèmes", témoigne celui qui est aussi le directeur de l’Association pour le développement et l’innovation numérique des collectivités (Adico). Une montée en puissance qui va de pair avec l’amélioration des cyberattaques, "leur vraisemblance" c’est certain, mais aussi avec une levée du sentiment de honte. "Avant, on n'en parlait pas." "On ne portait pas plainte". "La question ce n’est pas de savoir si on a été touché par une cyberattaque mais quand est-ce qu’on le sera", tranche Jean-Michel Mis, député de la Loire, vice-président des groupes d’études "Cybersécurité et souveraineté numérique". Désormais, le phénomène est mieux cerné. Cybermalveillance.gouv.fr en a fait l’une de ses missions : aider les collectivités victimes de cybermalveillance, les informer sur les menaces numériques et leur donner les moyens de se défendre. Malgré tout, Jérôme Notin, son directeur général, évoque le "chiffre noir" de la cybersécurité, pour parler de l'écart entre la malveillance connue et inconnue des services de police dans la mesure où aucune plainte n'a été déposée. "Si le mal est fait, il faut prévenir la gendarmerie nationale, ça va aider à remonter les filières", répète-t-on lors du webinaire.
Sensibiliser les élus
L’un de rôles de Cybermalveillance.gouv.fr consiste à "sensibiliser des élus", rappelle Amandine Del Amo, chargée de partenariat. Elle en profite pour mentionner l’existence d’un programme de sensibilisation des élus lancé mi-octobre ainsi qu’un kit de sensibilisation. D’autres outils existent. Ainsi le guide de l’Agence nationale de la sécurité des systèmes d'information (Anssi) (lire notre article du 24 novembre). Et le celui de la Banque des Territoires, publié le lendemain (lire notre encadré ci-dessous). Aux interrogations d'un participant sur la différence entre les deux guides, Anne Le Henanff, adjointe au maire Vannes, répond que celui de l'Anssi est plus technique tandis que celui de la Banque des Territoires propose une vision stratégique qu’elle recommande plutôt en première intention pour "entrer en matière". L’adjointe au maire Vannes, également titulaire de la chaire cybersécurité à l’université de Bretagne Sud, témoigne du fait que les documents d’urbanisme dans les collectivités devraient faire l'objet d’une attention particulière, de même que celles concernant les Ehpad qui gèrent des données de santé, sensibles. "Il arrive que l’on y prête pas attention mais les échanges sont entre de multiples acteurs", tels que la CAF, médecins, hôpitaux, les familles, etc., illustre l’élue. Elle conseille par ailleurs d’inclure partout une clause de "security by design", qui consiste à inclure la notion de risque dans son projet dès la phase de conception. Au titre des nombreux conseils, l’on retiendra également celui d'investir dans l’humain : "Une formation d’une demi-journée consacrée à la responsabilité face aux données et la cybersécurité avec des cabinets extérieurs a été très bien reçue à Vannes." La formation semble en effet centrale. D'ailleurs, au terme de la conférence, il a été annoncé que mi-janvier 2021, Cédric O devrait présenter sa feuille de route cybersécurité. Elle devrait prévoir un volet financement de l’innovation et de la recherche, un volet éducation et un autre... formation à destination des élus.
ncG1vNJzZmivp6x7o63NqqyenJWowaa%2B0aKrqKGimsBvstFoo5plk6S7p7XAp5qeZZ6quqa%2ByKqsnmWgpMKzecueqmabn6G5pq%2FToq2irJWo