L’Anssi accompagne 230 collectivités dans leur "parcours cyber"

À l’occasion de la présentation de son rapport annuel d’activité, l’Anssi a rappelé la priorité donnée à la sécurisation des services publics, plus particulièrement ciblés par les rançongiciels. 230 structures bénéficient aujourd’hui de "parcours de cybersécurité". L’agence se focalise cependant sur les collectivités dotées de RSSI. Pour les petites communes, un plan de sensibilisation est en cours de finalisation avec l’appui de la Gendarmerie nationale. 

"La situation n’est pas bonne, la menace croît et personne n’est à l’abri", a résumé Guillaume Poupard à l’occasion de la présentation le 10 juin 2021 du rapport annuel de l’Agence nationale de la sécurité des systèmes d’information (Anssi) qu’il dirige. Les incidents traités par l’agence sont en effet passés de 54 à 192, avec une "explosion" du nombre de victimes de rançongiciels en 2020. Parmi elles, de nombreux hôpitaux et collectivités territoriales dont la protection figure désormais au rang des "priorités" de l’agence. "Il ne faut cependant pas attendre que l’État déploie un bouclier cyber", a mis en garde le directeur, invitant chaque acteur à "prendre conscience des dangers".

Aide conditionnée par l’existence d’un RSSI

Pour les collectivités, il y cependant une véritable urgence, raison pour laquelle l’État a mobilisé une enveloppe de 136 millions d’euros dans le cadre du plan de relance (voir notre article du 4 septembre 2020), dont 60 millions d’euros spécifiquement dédiés aux collectivités territoriales. Gwenaëlle Martinet, cheffe de projet à l’Anssi, a fait un point d’étape sur les différentes lignes de l’enveloppe collectivités. Les "parcours cybersécurité" ont ainsi démarré dans 230 structures dont il n’a pas été détaillé le profil. Adaptés au profil cyber de chaque collectivité, du parcours "fondation" au parcours "renforcé", ces audits réalisés par des prestataires privés visent notamment à établir un "cyberscore" de protection, base d’un plan d’actions. Une chose est certaine : ces parcours ne concernent que de grandes collectivités. "Il n’y a pas de seuil de population pour bénéficier de notre appui, a assuré Gwenaëlle Martinet, mais il nous faut absolument un interlocuteur qualifié, quelqu’un avec qui nous puissions discuter et qui pourra suivre le plan d’action comme les marchés publics de cybersécurité." En clair, il faut que la collectivité possède un responsable de la sécurité des systèmes d’information (RSSI) pour avoir l’appui de l’Anssi, poste qui n’existe que dans quelques centaines de collectivités. Aussi l’agence incite-t-elle les petites collectivités à "mutualiser " leurs ressources pour se doter de compétences en la matière (voir notre article du 9 juin 2021).

Cybersécurité : la gendarmerie au chevet des petites communes

En attendant cette structuration qui pourrait prendre des années, l’accent est mis sur la sensibilisation des petites communes aux bases de l’hygiène informatique. Un dossier transmis au GIP cybermalveillance.gouv.fr qui a conçu une série de vidéos et témoignages d’élus dont le troisième volet a été mis en ligne le 27 mai, avec six témoignages de structures moyennes sur les volets formation et sécurisation du système d’information. Manquait cependant le relais "terrain" pour porter la bonne parole dans les toutes petites communes. Celui-ci semble désormais trouvé : ce seront les gendarmes du pôle national de lutte contre les cybermenaces qui vont être mobilisés. Une unité spécialisée créée en 2019 dont les effectifs devraient passer de 5.000 à 7.000 personnes en 2022 selon le magazine L’essor. Ces militaires du "Comcyber gend" devraient réaliser prochainement des actions de sensibilisation. Parallèlement, un kit de sensibilisation élaboré en collaboration avec l’AMF sera transmis aux maires. En cas de cyberattaque, ils constitueront aussi des interlocuteurs privilégiés pour les maires en les aidant notamment à porter plainte, beaucoup d’élus hésitant encore à rendre public un événement vécu comme honteux (voir notre article du 17 décembre 2020).

Appels à projets et CERT régionaux

Le plan de relance finance ensuite des appels à projets ciblant des projets mutualisés dans le domaine de la cybersécurité. "En début d’année, un premier appel à projet était a ciblé les ministères et nous examinons actuellement les projets présentés par des collectivités", a expliqué Gwenaëlle Martinet. Son résultat devrait être connu sous peu. Les territoires devraient enfin bénéficier de nouveaux interlocuteurs de proximité avec la mise en place de centres de réponse territoriaux (CERT). Selon l’Anssi, des contacts sont en cours dans les 13 régions métropolitaines, "chacune avançant à son rythme". La nature du portage juridique est en cours de définition et les équipes de ces CERT devraient être formées au cours de deux sessions programmées en 2022. "Les DOM ne seront pas oubliés", a promis l’Anssi, les cyberattaques sur des hôpitaux isolés pouvant y prendre un caractère beaucoup plus dramatique qu’en métropole. En pratique, ces CERT bénéficieront de ressources mutualisées, notamment sur la connaissance des risques, et pourront recourir aux logiciels et algorithmes de détection de l’agence. Ces fonctions support et formation seront hébergées sur le Campus Cyber de la Défense dont l’ouverture est annoncée pour la fin de l’année 2021. Ce pôle parisien sera centré sur les relations avec "l’écosystème", les fournisseurs de solutions, un autre pôle devant ouvrir à Rennes en 2022 avec 200 agents (à termes) travaillant sur la R&D, le big data cyber et les problématiques spécifiques à l’Etat.

  • Le casse-tête des assurances

La question des assurances cyber, notamment en mesure de couvrir le risque rançon, fait actuellement "débat" a expliqué Guillaume Poupard. "Si les assurances prennent en charge ce risque, les structures qui souscriront ces contrats seront les premières attaquées", a-t-il expliqué.  Et si le paiement de la rançon ne peut être totalement "interdit" à des acteurs privés, il doit être selon l’Anssi limité à des cas circonstanciés, car son paiement "alimente le marché". Les assureurs pourraient également être tentés de conditionner la couverture de ce risque à un cahier des charges "délirant", impossible à respecter. Des discussions sont en cours sur ce sujet entre les assureurs et Bercy, et les sénateurs, dans le cadre de leur mission "cybersécurité dans les entreprises", devraient faire des propositions prochainement.