L’Anssi va financer des audits de sécurité des systèmes d’information des collectivités

Hasard de calendrier, la publication de la stratégie nationale de cybersécurité s’est produite au moment même où les hôpitaux de Dax et de Villefranche-sur-Saône étaient paralysés par le rançongiciel Ryuk. Et lundi 15 février, l’Agence nationale de la sécurité des systèmes d'information (Anssi) annonçait la compromission d’une version du logiciel français de télémaintenance Centreon susceptible d’affecter de nombreuses administrations et des entreprises du CAC 40... Ces cyberattaques "multipliées par quatre", selon l’agence (voir notre article), n’épargnent personne, nulle part, leur explosion étant imputable à "l’industrialisation des modes opératoires" des cybercriminels.

Promouvoir des solutions tricolores

C’est précisément après avoir écouté les témoignages des hôpitaux de Dax et Villefranche-sur-Saône qu'Emmanuel Macron a annoncé ce jeudi 18 février un plan doté d’un milliard d’euros pour tenter de mettre un terme à la litanie des attaques. Des financements "nouveaux"… mais où s’additionnent des montants issus du programme d'investissements d'avenir (PIA) et du plan de relance. Le milliard intègre aussi 280 millions d'euros de cofinancements privés. Dans le détail, 500 millions d'euros seront affectés à des projets R&D portés par des acteurs tricolores, 140 millions à la création d’un écosystème dont 74 millions affectés à un campus cybersécurité implanté à La Défense. 176 millions seront pilotés par l’Anssi pour le "soutien de la demande" - comprendre la mise à niveau des systèmes d’information, la certification de solutions tricolores, la création de pack cyber et l’information du grand public – dans lesquels figurent 136 millions de financements aux collectivités et hôpitaux. Le solde du milliard sera affecté à la formation et à des investissements en fonds propres dans les jeunes pousses de la cybersécurité.

Audit et mise à niveau financés

Guillaume Poupard, le directeur général de l’Anssi, a détaillé l’affectation des 136 millions pilotés par l’agence pour "élever de manière durable le niveau de sécurité d'acteurs publics au sens large" sur la période 2021-2022. Dit autrement, le périmètre d’intervention de l’Anssi dépasse désormais officiellement celui des opérateurs d’importance vitale (OIV) et des opérateurs de services essentiels (OSE) soumis à des réglementations particulières. Dans le détail, 60 millions d'euros sont affectés aux collectivités territoriales et 25 millions aux établissements de santé. Ces crédits financeront les audits de sécurité des systèmes d’information des collectivités territoriales, pris intégralement en charge par l’agence afin de leur faire "prendre conscience du niveau réel de la sécurité pour ensuite définir un plan d'action". Ensuite, l’Anssi subventionnera en partie les travaux de mise à niveau, avec des montants forfaitaires définis par taille de collectivité, "d’autres sources de financement étant à rechercher dans la durée". L’agence va enfin créer un "numéro d’urgence" pour apporter une assistance aux administrations victimes de cyberattaques, distinct du dispositif cybermalveillance.gouv.fr. Une hotline collectivités qui s’appuiera sur les CERT (Computer Emergency Response Team) régionaux amenés à travailler en réseau, en lien étroit avec l’Anssi. Ceux-ci auront notamment pour missions d’améliorer les actions préventives et d’assurer une meilleure diffusion des alertes de sécurité.

Toutes les collectivités aidées

L’architecture de ce dispositif avait été soumise pour avis aux principales associations d’élus locaux au cours des derniers mois dans une note qui avait fuité dans la presse. Celles-ci ont obtenu que les financements n’aillent pas qu’aux grandes collectivités - un seuil de 50.000 habitants avait été proposé initialement par l’Anssi - mais puissent aussi bénéficier aux structures de mutualisation du type syndicats informatiques ou GIP, mieux à même d’accompagner les petites communes. Le dossier de presse ne fait du reste pas mention de seuil et précise que l’aide bénéficiera aux "collectivités de toutes tailles" et à "tous les organismes publics". Reste à savoir quel sera le mode opératoire pour bénéficier des financements, non détaillé à ce stade.

Anticiper les menaces sur les objets connectés

Les rançongiciels ne sont cependant pas les seules cybermenaces qui pèsent sur les collectivités. Les risques à venir concernent notamment les infrastructures technologiques des "smart territoires" et autres "smart cities". Le volet R&D du plan veut anticiper les risques en s’intéressant plus particulièrement aux objets connectés, aux dispositifs permettant d’automatiser leur contrôle et de les restaurer en cas de cyberattaque. Un appel à projets dans le cadre du PIA, doté de 40 millions d'euros (qui permettent d’atteindre les 176 millions évoqués ci-dessus) est par ailleurs attendu d’ici l’été. Il ciblera les métropoles, départements et régions souhaitant atteindre une "sécurisation globale de leur territoire", intégrant autrement dit capteurs et autres mobiliers connectés. Le montant des subventions de l’Etat, accordé à la suite d’une sélection des projets, pourrait s’échelonner entre 20 et 70%.