Longueil-Sainte-Marie définit les lignes blanches informatiques (60)

Face à l’aggravation des menaces informatiques, la commune de Longueil-Sainte-Marie s’est dotée d’un plan d’actions pour sécuriser son système d’information. Un projet mené grâce à l’expertise de l’Association pour le développement et l’Innovation numérique des collectivités (Adico).

Dans l’Oise, pas moins d’une cinquantaine de collectivités ont été victimes d’un rançongiciel ! Un contexte anxiogène qui a pesé dans le choix de Longueil-Sainte-Marie de se faire accompagner par l’Adico, la structure de mutualisation informatique locale, (voir encadré) pour une homologation « référentiel général de sécurité » (RGS) ou plus simplement la sécurisation de son système d’information. Car même si la commune ne compte que dix ordinateurs (écoles exclues) et cinq logiciels métier, elle n’est pas à l’abri d’un rançongiciel susceptible de paralyser totalement son fonctionnement.

Des lignes blanches souvent franchies

« Je ne savais pas trop à quoi m’attendre en m’engageant dans ce projet. J’ai découvert qu’en matière de sécurité informatique, c’est comme sur la route : il y a des lignes blanches à ne pas dépasser. Or on les dépassait quotidiennement sans en avoir conscience », raconte Stanislas Bartelemy, maire de Longueil-Sainte-Marie. Un exemple ? Jusqu’à peu, la mairie ne sécurisait pas l’accès à ses bureaux, rendant très facile une intrusion. « Sachant que ce n’est pas un mot de passe Windows qui va arrêter un hacker pour accéder à un poste », ajoute le maire. En pratique, cette homologation RGS - qui doit son nom au référentiel de l’État sur les obligations des administrations -    se déroule sur deux journées et passe par quatre étapes.

Cartographie des outils

Dans un premier temps, l’expert cybersécurité de l’Adico a travaillé avec l’adjoint aux travaux et la directrice générale des services pour déterminer le périmètre du système d’information. Car celui-ci ne s’arrête pas aux dix ordinateurs de la mairie mais intègre aussi le site internet, les écoles, les équipements réseaux de la collectivité... Une fois ce périmètre défini, une cartographie a été élaborée, autrement dit un état des lieux de tous les outils informatiques et logiciels avec leur version, leur usage et les agents qui y ont accès. « Nous l’avons souhaité simple pour être compris par un non-spécialiste, souligne Louis Corre, Directeur de la confiance numérique à l’Adico. Cette étape a permis par exemple de montrer que les signatures électroniques de la mairie étaient toutes au nom du maire alors qu’il convient d’opérer des délégations pour être en mesure de tracer les usages : qui, quoi, quand… ».

Évaluation des risques

Une fois cet état des lieux finalisé, une analyse des « risques cyber » a été discutée entre l’expert et la mairie. « Nous avons une liste de 42 scénarios et il s’agit de vérifier s’ils sont susceptibles de se produire dans la structure » détaille l’expert. Cela peut être par exemple une personne qui s’introduit dans les locaux ou encore un risque d’hameçonnage via un message électronique. « On ne fait pas assez attention aux mails que l’on reçoit, or ceux-ci peuvent contenir une pièce jointe vérolée ou émaner d’une personne qui cherche à nous extorquer un mot de passe », souligne le maire.

La sensibilisation avant tout

Dès lors, un plan d’actions a été bâti. Parmi la dizaine d’actions programmée, la sensibilisation des agents aux bonnes pratiques figure en bonne place. La mairie va notamment se doter d’une charte sur les bons usages des outils informatiques municipaux. « Un document que je souhaite réaliste. Il ne s’agit pas de poser des contraintes intenables comme interdire tout usage personnel de l’informatique. Cela ne marche pas », insiste le maire. Du reste, la charte sera complétée par des exercices pratiques avec un outil simulant une tentative d’hameçonnage par mail. Car même avec tous les logiciels de sécurité de la terre, la faille reste souvent humaine.

Commune de Longueil-Sainte-Marie

Nombre d'habitants :

1924
1 rue du Grand Ferré
60126 Longueil-Sainte-Marie

Stanislas Bartelemy

Maire

Association pour le développement et l’innovation numérique des collectivités

PAE du Tilloy - 5 rue Jean Monnet BP 20683
60006cedex Beauvais

Louis Corre

Directeur confiance numérique