La protection des données est une priorité absolue face aux cyber menaces accrues et au nouveau règlement européen RGPD [1]
La Mission Ecoter alerte les collectivités territoriales : « Les cyber attaques perpétrées au cours de ces derniers mois, fortement médiatisées – DDoS, ransomwares, malwares - et qui ont rendu indisponible l’accès à des centaines de milliers de sites et d’ordinateurs en profitant de failles technologiques ou humaines, ont eu des effets à la fois dévastateurs sur l’opinion publique en ébranlant sa confiance, financiers sur les entreprises et les organismes atteints en les paralysant et révélateurs d’insuffisances organisationnelles sur la capacité à pouvoir résister et gérer le retour à la normale.
Il est important de garantir la confiance à l’heure des flux de données et du stockage, du big data, de la mobilité, de l’IoT, des projets reposant sur la transformation des données pour optimiser la gestion des collectivités et la mise en place de nouveaux services.
Les Élus, les directions générales sont invités à :
- changer de paradigme, car le règlement européen fera passer les collectivités territoriales d’un régime de déclaration et d’autorisation des traitements à un régime d’accountability, d’auto responsabilisation, et les oblige à désigner un DPO (data protection officer).
- être les garants d’une politique de sécurité dans l’ensemble des process : dans la conception des applications jusqu’à leur mise en production, dans les infrastructures, dans les achats, dans l’examen des clauses contractuelles, dans la gouvernance des données…
- s’appuyer sur des compétences : responsables de la sécurité des systèmes d’information, administrateurs réseaux…
- considérer résolument la cyber sécurité comme un investissement nécessaire et récurrent.
Si les collectivités sont encore inégalement armées pour répondre à ce défi (maturité, contraintes budgétaires, taille des collectivités), comment peut-on les accompagner et comment, elles-mêmes, s’organisent-elles pour anticiper, prévenir ou être résilientes, à l’heure des projets de transformation des administrations et des territoires ?
Ce colloque de la Mission Ecoter s’adresse aux Élus, aux directeurs généraux, directeurs des systèmes d’informations, de l’innovation, aux représentants des administrations ainsi qu’aux fournisseurs. »
Gestion de la sécurité dans les collectivités : une situation très contrastée
Aurélie COURTAUDON, analyste senior, proposait une restitution de l’enquête de Markess (extrait de l’Observatoire des Compétences et de la Maturité Numérique des Collectivités Locales – Edition 2017)
En 2020, la conformité au référentiel général de sécurité des applications Web et SAS (Software as a Service, logiciels fonctionnant dans le cloud) ne sera effective qu’à 59% des cas.
Et seulement 7% des collectivités seront prêtes en 2018 pour le RGPD, même si 57% d’entre elles s'y préparent.
Les collectivités pensent ne pas avoir les profils suffisants pour la gestion des données (61% des décideurs interrogés) : elles souhaitent donc investir dans ces compétences. Cependant, le data protection officer, rendu obligatoire par le RGPD sera le plus souvent assuré par le correspondant de la CNIL.
Quelles sont les actions privilégiées par les collectivités pour mettre à jour leur gestion de la sécurité des données ? Par ordre de priorité elles veulent : impliquer les agents dans les procédures, être attentives dès le démarrage des projets (Privacy by design), former les agents aux risques, nommer un Data Protection Officer, cartographier les traitements de données, tenir un registre des activités de traitement. Mais seulement 22% des collectivités mettent en place une analyse d'impact a posteriori.
Par ailleurs, le RGPD va modifier les modes de contractualisation avec les prestataires externes des collectivités selon 62% des communes et 71% des départements.
L'obligation de notification à l'usager en cas de violation des données est encore renforcée par le RGPD. On a attendu un an pour savoir qu’une cyber attaque avait permis de capter les données personnelles de 57 millions d’usagers d’UBER : des millions de noms, de numéros de téléphone, des adresses emails ont été volés. Ces données auraient fait l’objet d’une rançon de 100.000 US $.
La CNIL souhaite que cette notification soit faite dans les 24h, mais le règlement européen préconise seulement « dans les meilleurs délais ».
Intelligence Campus Entreprises, un projet piloté par la Direction du Renseignement Militaire
Pour faire face au défi de la révolution numérique caractérisé par une croissance exponentielle des données classifiées et un mur numérique de données en source ouverte, Michel Coutaudier présente ICE, conçu comme un moyen d’anticiper des mesures complexes nécessaires et de développer les compétences des entreprises dans le traitement de la donnée et l’intelligence artificielle.
La Direction du Renseignement Militaire vient de donner le coup d'envoi au premier « Intelligence Campus Entreprise », à Creil dans l'Oise, son nouveau pôle d'expertise réunissant start-up, grandes entreprises, écoles et instituts de recherche. L'objectif du nouveau campus sera de développer des solutions innovantes dans l'exploitation des données. ICE agira selon trois piliers : formation des entreprises et collectivités, investissement dans l’industrie, la formation et la recherche en associant le ministère des armées et certaines collectivités territoriales.
L'ICE s'adresse aux grands groupes et startup tels que Thales, Axa, Airbus, Safran, Keyrus, Photonis, CAE Aviation, Smart Me Up, V-Cult, Luciad, Geo4i, etc… Ce partenariat avec les industriels est adossé à un Fonds d’investissement « Arquebuse Capital ». Des discussions sont en cours avec les interlocuteurs académiques pour l’accueil du labo de l’Université Technologique de Compiegne sur la base campus.
Le data center souverain (cloud souverain) est il une priorité pour les collectivités ? Ce serait une meilleure solution plus sécurisée que de s'en remettre aux clouds étrangers.
Quelle stratégie nationale pour la sécurité numérique ?
Comment accompagner les acteurs publics face aux menaces ?
La formation et la sensibilisation des Français à la sécurité du numérique est un enjeu majeur, c’est pourquoi l’Agence nationale de la Sécurité des Systèmes d’Information (ANSSI), représentée par Véronique Brunet, chef de projet SecNumacadémie, met à disposition des entreprises, des administrations et des individus des moyens permettant d’assurer la prévention et la défense contre les cyber-risques et la sensibilisation à la sécurité informatique.
L’ANSSI propose au public une large palette de documents de référence concernant aussi bien les produits de sécurité qualifiés, les prestataires de services de confiance qualifiés, des recueils de lois et règlements, ainsi que des formations de deux niveaux.
Afin d’assurer formation et sensibilisation du public et des personnels de l'administration, l’ANSSI dispose de deux moyens : les CFSSI (Centres de Formation à la Sécurité des Systèmes d’Information) pour des formations en présentiel et un premier cours en ligne, le Mooc SecNumacadémie, qui rend la cyber sécurité accessible à tous avec une formation en ligne de quatre modules de cinq unités. Un succès considérable puisque 43287 participants y sont inscrits. Ces modules sont hébergés durant trois ans et disponibles en continu. L’obtention du Mooc se fait par validation progressive des unités et à 80% de succès : il n'est pas certifiant, mais délivre une attestation de réussite. Grâce à ce Mooc, les utilisateurs pourront apprendre et assimiler des notions de base de la sécurité. Il est à noter que le site n’assure pas le suivi des utilisateurs, car il prend très peu d’information, précisément pour éviter les risques de fuite de données.
L’Agence nationale est un organisme interministériel qui ne fait pas du renseignement, mais qui assure également depuis 2016 la coordination territoriale des délégués à la sécurité numérique territoriaux en France.
Un dispositif national d'assistance aux victimes :le GIP ACYMA (Actions contre la cyber malveillance) a ouvert un site cybermalveillance.gouv.fr qui propose assistance et prévention du risque numérique.
Face à l’augmentation verticale des attaques informatiques, ce dispositif a été inauguré en 2015 par l’ANSSI et copiloté par le ministère de l’intérieur pour venir en aide aux particuliers, entreprises et collectivités. Il a trois missions : l’assistance, accueil via une plateforme numérique, mise en relation avec des prestataires de proximité, redirection vers des plateformes existantes. Des fiches réflexes sont proposées selon une démarche transversale : diagnostic complet, avec incrimination pénale, article du code pénal en vue de dépôt de plainte.
Sa deuxième mission est la prévention et la sensibilisation à la sécurité numérique pour les collectivités, avec des campagnes de sensibilisation et l’aide à la formation des policiers et gendarmes.
La troisième mission consiste à la mise en place d’un observatoire de la menace numérique afin d’organiser la remontée d'informations par les prestataires référencés, analyser la donnée et partager la statistique au niveau gouvernemental. L’idée est d'assécher les sources.
Une plateforme "guichet unique" est destinée à faire un diagnostic et proposer la bonne solution avec accès à prestataires références dans la Region (3500).
Une expérimentation menée dans la région Hauts de France montre que la menace majeure est la contamination par des « rançongiciels », puis l’escroquerie par de faux supports techniques par page captive qui visent, par divers procédés (alerte sonore, clignotement de la page, dramatisation) à instiller une émotion, un sentiment d'urgence et de peur qui amène l’usager à contacter le site attaquant pour obtenir son aide. Le service est ouvert depuis un mois et il a besoin d'une communication maximale. La plateforme est encore très peu connue.
Territoires intelligents, mais défis cyber sécuritaires
Valorisation et traitement des données pour transformer les administrations face aux vulnérabilités et menaces émergentes : comment les partenaires répondent-ils aux besoins des collectivités ?
Trois intervenants présentent des solutions pour assurer la cyber sécurité des partenaires collectivités territoriales et entreprises : Alexandre Garret - Stratégie et Affaires Publiques – Orange, Sébastien GELGON - Directeur des opérations cybersécurité – Atos, Jean-Noël de GALZAIN - Président-directeur-général – Wallix Group
« Il y a deux types d'entreprises : celles qui ont été attaquées et celles qui ne le savent pas encore. »
On recense environ 430 millions de variantes de programmes malveillants, et un nouveau programme voit le jour toutes les 4 secondes. Si 18 millions de français ont été attaqués et 117300 attaques ont lieu chaque jour dans le monde. Il s’agit de constituer une base de connaissances et de sensibilisation. Alors qu’une mairie par semaine est victime d'un effaçage de site, les PME sont aussi massivement attaquées : 87% d’entre elles ont subi une attaque ces 12 derniers mois, mais seulement 37% se considèrent réellement préparées. 50% des mairies sont prêtes à souscrire une cyber assurance.
Les acteurs s’emploient à développer de nouvelles technologies autour du Big data afin de mettre en place une sécurité prospective. C’est ainsi que les grandes collectivités vont instaurer de nouveaux services autour du Big data pour les citoyens.
ATOS Codex, par exemple propose une application pour les collectivités sous la forme d’un contrat de transparence autour des enjeux essentiels : respect de la vie privée, interdiction des impacts dans le monde réel, garantie de la traçabilité.
La cybersécurité pour les territoires intelligents s’articule autour de cinq principes fondateurs selon ATOS : la sécurité par conception, la réduction de la surface d’exposition au risque, le besoin d’en connaître, la protection de la donnée partout, le traçage de toute opération sur les données pour détecter les fraudes, les évasions de données.
Le « besoin d'en connaître » mérite une explication : en effet, tout le monde n'a pas besoin de tout connaître. Il faut donc définir cette notion pour chaque donnée, chaque utilisation et chaque utilisateur. Mais il est aussi impératif de reprendre la main sur la gouvernance des identités et des accès.
Pour Jean-Noël de Galzain PDG de Wallix Group, la protection des identités est essentielle à l'ère de la mobilité. Wallix est référencé à l’UGAP et propose des solutions de sécurité dans la gestion des accès des comptes à privilèges, et édite des coffres forts de mots de passe (Password vault), ou des solutions de chiffrement des communications entre élus.
La sécurité numérique est en phase de transformation des usages : il s’agit de moderniser l'action publique et de protection des citoyens. Le risque de fuite de données est le grand défi : la cyber sécurité est donc partie intégrante du numérique, dès la conception. Il est impératif de mettre en place des solutions de confiance certifiés par l'ANSSI, car la sécurité est un domaine dans lequel il ne faut pas faire d'économies. « On en a toujours pour son argent en terme de sécurité ».
Des exemples concrets sont aujourd’hui visibles : celui de l’Estonie notamment. « L'Estonie c'est nous demain » : l’Estonie vient en effet d’inventer une « nation digitale ». Ce pays a mis en place un système d'identité numérique pour chaque citoyen estonien et conçu une plateforme contenant toutes les identités des estoniens et des prestataires, des intervenants, etc. pour rationaliser tous les services numériques en fournissant des interfaces utilisables dans tous les matériels et pour tous les services : santé, impôts, élections, transports etc. Le concept est celui de "Governement as a service". Les citoyens ont accès en toute sécurité à des applications auxquelles ils n'avaient pas accès auparavant : ils ont donc accepté cette identité numérique.
Récemment le Label Hexatrust a été créé : il est née de la volonté commune de PME et ETI françaises, 29 acteurs complémentaires experts de la sécurité des systèmes d’information, de la cybersécurité et de la confiance numérique. Il permet de proposer des solutions certifiées de sécurité.
Investir, mutualiser, s’organiser, former… que font les collectivités pour leur cybersécurité ?
Quelles sont les stratégies des collectivités dans l’appréhension de la cybersécurité ?
Les collectivités s’organisent autour de pôles dédiés et de pratiques systématiques de formation et de sensibilisation.
Damien ALEXANDRE - Responsable du Pôle Infrastructure Cloud et Sécurité en Charente maritime - expose les solutions proposées par SOLURIS (Solutions numériques territoriales innovantes), une structure publique de mutualisation créée en 1985 et utilisée par 540 collectivités adhérentes.
Le document du Clusif [2] sur les menaces informatique et pratiques de sécurité en France montre que 78% des collectivités ayant répondu à l’enquête ont un sentiment de dépendance à l'informatique (elles n’étaient que 68% en 2012, soit +10% en 4 ans).
Les agents et des élus sont désormais sensibilisés à l’interne, et des « Matinales sécurité » sont organisées trois fois par an avec un référent de l'ANSSI. SOLURIS assure aussi la préparation au RGPD en six étapes selon les livrables de la CNIL
Geneviève DESCHARLES, Responsable Groupements de Commandes pour les Services de Communications Electroniques et les SIG – SIPPEREC [3] présente la boîte à outil qui permet d’accompagner les 90 collectivités adhérentes dans la transformation numérique. Avec son groupement de commandes diverses, y compris pour l'équipement numérique des écoles, le SIPPEREC est un acteur fédérateur des données territoriales.
La Cybersécurité est essentielle, car elle recouvre un vaste ensemble beaucoup plus complexe que la seule Sécurité Informatique. En effet, outre les questions liées à la sécurité des systèmes d’information, sécurité de l’information, des processus, des ressources humaines et des réseaux, la Cybersécurité comprend tout particulièrement les enjeux économiques, les enjeux stratégiques et les enjeux politiques. Une approche globale est donc nécessaire.
Les enjeux pour les collectivités sont grands en raison de la raréfaction des ressources humaines, des compétences et de l’expertise : il est de ce fait indispensable de partager, de sensibiliser et de former au fil de l'eau. La difficulté est encore accrue pour les communes de moins de 4000 habitants qui n’ont pas les moyens de répondre aux obligations légales du RGPD. La solution est alors la mutualisation, la mise à disposition de marchés tout faits pour sécuriser les systèmes, la mise en conformité avec la loi, la protection de l'image des institutions et donc des élus.
Jalal BOULARBAH - Directeur Systèmes d’Information et Usages Numériques - Communauté Urbaine Grand Paris Seine et Oise, présente les solutions particulières mises en œuvre dans ce vaste territoire.
Ici, pas de salle de serveurs : tout est dans le Cloud computing, le Rssi (responsable de la sécurité des systèmes d'information) est externalisé. On privilégie la protection des données sensibles en évitant le blocage sécuritaire, car « la sécurité absolue entraîné la mort de la donnée, et pas de sécurité entraîné aussi la mort de la donnée ». Une grande partie des incidents est due à la faille humaine, c’est pourquoi des parcours de sensibilisation à la sécurité de l'information sont mis en place pour les agents publics, avec des matinées dédiées à la sensibilisation à la sécurisation des données et des fichiers, à la prévention prévenir des fuites.
La cybersécurité représente bien un énorme chantier dont on a déjà bien pris la mesure au niveau de l’Etat, des collectivités territoriales, des entreprises et des acteurs du numérique. Les enjeux sont extraordinaires et demandent des solutions à la fois profondes et radicales pour faire face à la disruption numérique qui pourrait abattre totalement le système et tout remettre en cause y compris notre indépendance nationale.
Et si l’Estonie avait trouvé la SOLUTION ? Le débat est ouvert.
[1] Règlement général sur la protection des données : règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
[2] CLUSIF : Club de la sécurité de l’information français, association indépendante de professionnels de la sécurité, utilisateurs et offreurs
[3] Syndicat intercommunal de la périphérie de Paris pour les énergies et les réseaux de communication
Michel Perez