L’Anssi accompagne 230 collectivités dans leur "parcours cyber"

"La situation n’est pas bonne, la menace croît et personne n’est à l’abri", a résumé Guillaume Poupard à l’occasion de la présentation le 10 juin 2021 du rapport annuel de l’Agence nationale de la sécurité des systèmes d’information (Anssi) qu’il dirige. Les incidents traités par l’agence sont en effet passés de 54 à 192, avec une "explosion" du nombre de victimes de rançongiciels en 2020. Parmi elles, de nombreux hôpitaux et collectivités territoriales dont la protection figure désormais au rang des "priorités" de l’agence. "Il ne faut cependant pas attendre que l’État déploie un bouclier cyber", a mis en garde le directeur, invitant chaque acteur à "prendre conscience des dangers".

Aide conditionnée par l’existence d’un RSSI

Pour les collectivités, il y cependant une véritable urgence, raison pour laquelle l’État a mobilisé une enveloppe de 136 millions d’euros dans le cadre du plan de relance (voir notre article du 4 septembre 2020), dont 60 millions d’euros spécifiquement dédiés aux collectivités territoriales. Gwenaëlle Martinet, cheffe de projet à l’Anssi, a fait un point d’étape sur les différentes lignes de l’enveloppe collectivités. Les "parcours cybersécurité" ont ainsi démarré dans 230 structures dont il n’a pas été détaillé le profil. Adaptés au profil cyber de chaque collectivité, du parcours "fondation" au parcours "renforcé", ces audits réalisés par des prestataires privés visent notamment à établir un "cyberscore" de protection, base d’un plan d’actions. Une chose est certaine : ces parcours ne concernent que de grandes collectivités. "Il n’y a pas de seuil de population pour bénéficier de notre appui, a assuré Gwenaëlle Martinet, mais il nous faut absolument un interlocuteur qualifié, quelqu’un avec qui nous puissions discuter et qui pourra suivre le plan d’action comme les marchés publics de cybersécurité." En clair, il faut que la collectivité possède un responsable de la sécurité des systèmes d’information (RSSI) pour avoir l’appui de l’Anssi, poste qui n’existe que dans quelques centaines de collectivités. Aussi l’agence incite-t-elle les petites collectivités à "mutualiser " leurs ressources pour se doter de compétences en la matière (voir notre article du 9 juin 2021).

Cybersécurité : la gendarmerie au chevet des petites communes

En attendant cette structuration qui pourrait prendre des années, l’accent est mis sur la sensibilisation des petites communes aux bases de l’hygiène informatique. Un dossier transmis au GIP cybermalveillance.gouv.fr qui a conçu une série de vidéos et témoignages d’élus dont le troisième volet a été mis en ligne le 27 mai, avec six témoignages de structures moyennes sur les volets formation et sécurisation du système d’information. Manquait cependant le relais "terrain" pour porter la bonne parole dans les toutes petites communes. Celui-ci semble désormais trouvé : ce seront les gendarmes du pôle national de lutte contre les cybermenaces qui vont être mobilisés. Une unité spécialisée créée en 2019 dont les effectifs devraient passer de 5.000 à 7.000 personnes en 2022 selon le magazine L’essor. Ces militaires du "Comcyber gend" devraient réaliser prochainement des actions de sensibilisation. Parallèlement, un kit de sensibilisation élaboré en collaboration avec l’AMF sera transmis aux maires. En cas de cyberattaque, ils constitueront aussi des interlocuteurs privilégiés pour les maires en les aidant notamment à porter plainte, beaucoup d’élus hésitant encore à rendre public un événement vécu comme honteux (voir notre article du 17 décembre 2020).

Appels à projets et CERT régionaux

Le plan de relance finance ensuite des appels à projets ciblant des projets mutualisés dans le domaine de la cybersécurité. "En début d’année, un premier appel à projet était a ciblé les ministères et nous examinons actuellement les projets présentés par des collectivités", a expliqué Gwenaëlle Martinet. Son résultat devrait être connu sous peu. Les territoires devraient enfin bénéficier de nouveaux interlocuteurs de proximité avec la mise en place de centres de réponse territoriaux (CERT). Selon l’Anssi, des contacts sont en cours dans les 13 régions métropolitaines, "chacune avançant à son rythme". La nature du portage juridique est en cours de définition et les équipes de ces CERT devraient être formées au cours de deux sessions programmées en 2022. "Les DOM ne seront pas oubliés", a promis l’Anssi, les cyberattaques sur des hôpitaux isolés pouvant y prendre un caractère beaucoup plus dramatique qu’en métropole. En pratique, ces CERT bénéficieront de ressources mutualisées, notamment sur la connaissance des risques, et pourront recourir aux logiciels et algorithmes de détection de l’agence. Ces fonctions support et formation seront hébergées sur le Campus Cyber de la Défense dont l’ouverture est annoncée pour la fin de l’année 2021. Ce pôle parisien sera centré sur les relations avec "l’écosystème", les fournisseurs de solutions, un autre pôle devant ouvrir à Rennes en 2022 avec 200 agents (à termes) travaillant sur la R&D, le big data cyber et les problématiques spécifiques à l’Etat.