"La question ce n'est pas de savoir si on a été touché par une cyberattaque mais quand est-ce qu'on le sera" 

Cyberattaques, vols de données, rançons numériques ou simples dysfonctionnements... face aux risques accrus dans le numérique, les collectivités doivent se préparer. Jeudi 17 décembre 2020, la Banque des Territoires a organisé en partenariat avec Cybermalveillance.gouv.fr un webinaire dédié à la confiance numérique. 

"La confiance se gagne en gouttes mais elle se perd en litres". Il en va de même avec la confiance numérique. Dans un monde de plus en plus numérisé, l’actualité illustre qu’il existe un besoin de bâtir un environnement de confiance numérique pour les collectivités : Marseille, Toulouse, Martigues, Charleville-Mézières, Mitry-Mory, et plus récemment Vincennes… Les pirates profitent généralement du faible niveau de sensibilisation et de sécurisation des collectivités pour commettre leurs forfaits. En France, en 2019, 1.200 collectivités sont venues chercher de l’assistance auprès de cybermalveillance.gouv.fr, dispositif d'assistance aux victimes d’actes de cybermalveillance, lancé il y a trois ans. Le site met à disposition un guichet unique qui permet en autres la mise en relation avec pas moins de 1.000 prestataires locaux, répartis sur tout le territoire. 

La honte 

"On a vu des mairies de 4.000 habitants tout perdre : données de paie, de compta, etc.", témoigne Emmanuel Vivé, président de Déclic, réseau d’échange d’informations entre structures de mutualisation informatique (SMI) et opérateurs publics de services numériques (OPSN) intervenant lors du webinaire. Il évoque les "faux mails de Pôle emploi, de l'Urssaf, de Microsoft". "On observe une montée en puissance de ces problèmes", témoigne celui qui est aussi le directeur de l’Association pour le développement et l’innovation numérique des collectivités (Adico). Une montée en puissance qui va de pair avec l’amélioration des cyberattaques, "leur vraisemblance" c’est certain, mais aussi avec une levée du sentiment de honte. "Avant, on n'en parlait pas." "On ne portait pas plainte". "La question ce n’est pas de savoir si on a été touché par une cyberattaque mais quand est-ce qu’on le sera", tranche Jean-Michel Mis, député de la Loire, vice-président des groupes d’études "Cybersécurité et souveraineté numérique". Désormais, le phénomène est mieux cerné. Cybermalveillance.gouv.fr en a fait l’une de ses missions : aider les collectivités victimes de cybermalveillance, les informer sur les menaces numériques et leur donner les moyens de se défendre. Malgré tout, Jérôme Notin, son directeur général, évoque le "chiffre noir" de la cybersécurité, pour parler de l'écart entre la malveillance connue et inconnue des services de police dans la mesure où aucune plainte n'a été déposée. "Si le mal est fait, il faut prévenir la gendarmerie nationale, ça va aider à remonter les filières", répète-t-on lors du webinaire. 

Sensibiliser les élus

L’un de rôles de Cybermalveillance.gouv.fr consiste à "sensibiliser des élus", rappelle Amandine Del Amo, chargée de partenariat. Elle en profite pour mentionner l’existence d’un programme de sensibilisation des élus lancé mi-octobre ainsi qu’un kit de sensibilisation. D’autres outils existent. Ainsi le guide de l’Agence nationale de la sécurité des systèmes d'information (Anssi) (lire notre article du 24 novembre). Et le celui de la Banque des Territoires, publié le lendemain (lire notre encadré ci-dessous). Aux interrogations d'un participant sur la différence entre les deux guides, Anne Le Henanff, adjointe au maire Vannes, répond que celui de l'Anssi est plus technique tandis que celui de la Banque des Territoires propose une vision stratégique qu’elle recommande plutôt en première intention pour "entrer en matière". L’adjointe au maire Vannes, également titulaire de la chaire cybersécurité à l’université de Bretagne Sud, témoigne du fait que les documents d’urbanisme dans les collectivités devraient faire l'objet d’une attention particulière, de même que celles concernant les Ehpad qui gèrent des données de santé, sensibles. "Il arrive que l’on y prête pas attention mais les échanges sont entre de multiples acteurs", tels que la CAF, médecins, hôpitaux, les familles, etc., illustre l’élue. Elle conseille par ailleurs d’inclure partout une clause de "security by design", qui consiste à inclure la notion de risque dans son projet dès la phase de conception. Au titre des nombreux conseils, l’on retiendra également celui d'investir dans l’humain : "Une formation d’une demi-journée consacrée à la responsabilité face aux données et la cybersécurité avec des cabinets extérieurs a été très bien reçue à Vannes." La formation semble en effet centrale. D'ailleurs, au terme de la conférence, il a été annoncé que mi-janvier 2021, Cédric O devrait présenter sa feuille de route cybersécurité. Elle devrait prévoir un volet financement de l’innovation et de la recherche, un volet éducation et un autre... formation à destination des élus. 

Guide pratique pour une collectivité numérique de confiance : cinq grands axes

Face à l’enjeu crucial de la confiance numérique, il est de la responsabilité de l’élu d’impulser la dynamique qui seule permet à la collectivité de mettre en place un projet cohérent, maîtrisé et sûr. À cette fin, "il n’est nul besoin que l’élu comprenne les rouages techniques du sujet : il doit même accepter de ne pas être un expert. Il lui faut cependant définir le cap et mobiliser ses cadres et agents territoriaux", estiment les équipes qui ont conçu le guide dédié à la confiance numérique que vient récemment de publier la Banque des Territoires, avec l’aide des associations d’élus, des industriels et des administrations, dont l’Anssi et cybermalveillance.gouv.fr. Ainsi, toutes les villes et intercommunalités sont concernées par cette problématique de "confiance numérique", ainsi que les départements et les régions. "C’est notamment vrai au travers de services d’état civil, d’urbanisme, de gestion administrative déjà largement digitalisés", détaillent les rédacteurs, avant de souligner que "toutes ces collectivités le seront de plus en plus au fur et à mesure que s’informatiseront leurs infrastructures de transport, énergie, eau et télécommunications, leur signalisation routière, leur éclairage, leurs systèmes de vidéoprotection, etc.". 
L’élu, plus spécifiquement, doit demander que la confiance numérique soit prise en compte selon les cinq grands axes suivants que sont la formation ou la sensibilisation, non seulement des agents, mais également des élus ; l’état des lieux numériques qui est l’entretien d’une connaissance à jour des systèmes et outils numériques auxquels recourt, directement ou indirectement, la collectivité ; la stratégie et priorités en matière de numérique ; les nouveaux projets numériques fiables et pérennes incluant maintenance, maîtrise de la dépendance technologique à un ou plusieurs prestataires, capacité de réaction en cas de crise numérique, etc. ainsi que la préparation au pire. Par cette expression, il faut comprendre se préparer pour mieux faire face au cas où les ordinateurs ne redémarrent plus, où des données sont volées, où des services municipaux ne fonctionnent plus, où des infrastructures dysfonctionnent. Le guide se veut un outil "pratique et pédagogique, pour porter ce message aux élus". La Banque des Territoires et cybermalveillance.gouv.fr ont par ailleurs publié quatre petites vidéos, sous le lien de publication du guide qui illustrent les problématiques liées à cette thématique grâce à des mises en situation.