Les collectivités face au risque de piratage informatique (2/2) : Comment se prémunir ?

Depuis la loi de 1978 dite « Informatique et libertés », les pouvoirs publics ont pris la mesure des risques qui pèsent sur chacun des acteurs de notre société. Revenons sur les dernières mesures prévues par la loi pour une République numérique de 2016, et explorons brièvement les actions souhaitables à l’échelle d’une collectivité ou d’une entreprise.

Les nouvelles obligations légales de la République numérique

La loi pour une République numérique, promulguée le 7 octobre 2016, met en avant la nécessité de renforcer la sécurité des systèmes d’information. Celle-ci est une condition sine qua non du développement du numérique, tant dans le domaine public que privé.

Ainsi, à partir de mai 2018, les collectivités auront l’obligation de conserver « une trace des moyens techniques et organisationnels qu’elles auront mis en œuvre pour assurer la sécurité des données ». Les acteurs publics constatant une perte de données du fait de leur responsabilité devront également en informer le public. La multiplication des objets connectés et leur utilisation par les collectivités seront autant de nouvelles vulnérabilités.

Ainsi, les collectivités sont face à un défi de taille, qu’elles ne peuvent désormais plus négliger. L’enjeu est aujourd’hui d’en prendre la mesure et de former tous les personnels aux bonnes pratiques essentielles en matière de sécurité informatique. Pour cela, différents outils existent, allant du plus basique au plus élaboré.

Un guide de l’ANSSI

Pour aider les collectivités et les entreprises à se protéger contre d’éventuelles attaques, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié en janvier 2017 un Guide d’hygiène informatique. 42 mesures, réparties en 9 thématiques, permettent de diagnostiquer et de dresser un plan d’actions pour la sécurisation d’un système informatique :

  1. Sensibiliser et former : diffuser des bonnes pratiques auprès des utilisateurs, maîtriser les risques liés à l’infogérance.
  2. Connaître le système d’information : connaître son réseau et ses vulnérabilités, mettre en place des procédures d’entrée et de sortie du réseau.
  3. Authentifier et contrôler les accès : identifier les personnes accédant au réseau, définir des règles de dimensionnement des mots de passe, protéger les mots de passe stockés.
  4. Sécuriser les postes : homogénéiser les politiques de sécurité, prendre en compte les risques provenant de supports amovibles, chiffrer les données sensibles
  5. Sécuriser le réseau : segmenter le réseau pour éviter la propagation de virus, contrôler les accès aux salles serveurs et locaux techniques.
  6. Sécuriser l’administration : interdire l’accès à internet pour les postes dédiés à l’administration du système, utiliser un réseau dédié.
  7. Gérer le nomadisme : chiffrer les données, sécuriser les connexions, adopter des politiques de sécurité dédiées.
  8. Maintenir le système d’information à jour : définir une politique de mise à jour
  9. Superviser, auditer, réagir : désigner un référent sécurité des SI (RSSI) et le faire connaître, définir des procédures de gestion des incidents.

Un MOOC sur la sécurité numérique

Le 18 mai, l’ANSSI a publié un MOOC (plate-forme de formation en ligne) dédié à la sécurité numérique. Il s’adresse aux particuliers comme aux professionnels et décrit de façon claire et synthétique les acteurs du numérique, les enjeux en matière de sécurité ainsi que les règles d’or pour se protéger d’une attaque.

À travers des vidéos, des présentations interactives et des quizz, chaque internaute peut découvrir les bonnes pratiques à mettre en œuvre chez soi et dans son environnement professionnel. Quelques heures suffisent pour compléter la formation et obtenir l’attestation de formation. Cet investissement peut s’avérer très utile dans la mesure où nombre d’attaques peuvent être évitées à condition que chaque utilisateur applique des principes très simples (déconnexion de sessions, choix de mots de passe complexes, prudence vis-à-vis des mails reçus, etc).

D’autres modules seront mis en ligne prochainement : sécurité de l’authentification, sécurité de l’internet, sécurité du poste de travail et nomadisme.

cybersécurité collectivités territoriales
Source : Freepik.com

Parmi les autres initiatives de l’ANSSI, notons que Guillaume Poupard annonçait ce matin sur BFM TV le lancement d’une plate-forme de mise en relation des victimes et des entreprises compétentes en matière de sécurité informatique, avec un système d’évaluation de chaque prestataire. Ce projet a pour ambition d’aider les victimes de cyberattaques et de rassembler des informations sur ces attaques.

Face à l’importance de ce phénomène, l’enjeu est aujourd’hui de pouvoir collecter des informations sur ces cyberattaques pour mieux les neutraliser, qu’elles soient l’œuvre de pirates isolés, de groupuscules ou encore d’État.

Share Button

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*