Les collectivités face au risque de piratage informatique (2/2) : Comment se prémunir ?

Depuis la loi de 1978 dite « Informatique et libertés », les pouvoirs publics ont pris la mesure des risques qui pèsent sur chacun des acteurs de notre société. Revenons sur les dernières mesures prévues par la loi pour une République numérique de 2016, et explorons brièvement les actions souhaitables à l’échelle d’une collectivité ou d’une entreprise.

Les nouvelles obligations légales de la République numérique

La loi pour une République numérique, promulguée le 7 octobre 2016, met en avant la nécessité de renforcer la sécurité des systèmes d’information. Celle-ci est une condition sine qua non du développement du numérique, tant dans le domaine public que privé.

Ainsi, à partir de mai 2018, les collectivités auront l’obligation de conserver « une trace des moyens techniques et organisationnels qu’elles auront mis en œuvre pour assurer la sécurité des données ». Les acteurs publics constatant une perte de données du fait de leur responsabilité devront également en informer le public. La multiplication des objets connectés et leur utilisation par les collectivités seront autant de nouvelles vulnérabilités.

Ainsi, les collectivités sont face à un défi de taille, qu’elles ne peuvent désormais plus négliger. L’enjeu est aujourd’hui d’en prendre la mesure et de former tous les personnels aux bonnes pratiques essentielles en matière de sécurité informatique. Pour cela, différents outils existent, allant du plus basique au plus élaboré.

Un guide de l’ANSSI

Pour aider les collectivités et les entreprises à se protéger contre d’éventuelles attaques, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié en janvier 2017 un Guide d’hygiène informatique. 42 mesures, réparties en 9 thématiques, permettent de diagnostiquer et de dresser un plan d’actions pour la sécurisation d’un système informatique :

  1. Sensibiliser et former : diffuser des bonnes pratiques auprès des utilisateurs, maîtriser les risques liés à l’infogérance.
  2. Connaître le système d’information : connaître son réseau et ses vulnérabilités, mettre en place des procédures d’entrée et de sortie du réseau.
  3. Authentifier et contrôler les accès : identifier les personnes accédant au réseau, définir des règles de dimensionnement des mots de passe, protéger les mots de passe stockés.
  4. Sécuriser les postes : homogénéiser les politiques de sécurité, prendre en compte les risques provenant de supports amovibles, chiffrer les données sensibles
  5. Sécuriser le réseau : segmenter le réseau pour éviter la propagation de virus, contrôler les accès aux salles serveurs et locaux techniques.
  6. Sécuriser l’administration : interdire l’accès à internet pour les postes dédiés à l’administration du système, utiliser un réseau dédié.
  7. Gérer le nomadisme : chiffrer les données, sécuriser les connexions, adopter des politiques de sécurité dédiées.
  8. Maintenir le système d’information à jour : définir une politique de mise à jour
  9. Superviser, auditer, réagir : désigner un référent sécurité des SI (RSSI) et le faire connaître, définir des procédures de gestion des incidents.

Un MOOC sur la sécurité numérique

Le 18 mai, l’ANSSI a publié un MOOC (plate-forme de formation en ligne) dédié à la sécurité numérique. Il s’adresse aux particuliers comme aux professionnels et décrit de façon claire et synthétique les acteurs du numérique, les enjeux en matière de sécurité ainsi que les règles d’or pour se protéger d’une attaque.

À travers des vidéos, des présentations interactives et des quizz, chaque internaute peut découvrir les bonnes pratiques à mettre en œuvre chez soi et dans son environnement professionnel. Quelques heures suffisent pour compléter la formation et obtenir l’attestation de formation. Cet investissement peut s’avérer très utile dans la mesure où nombre d’attaques peuvent être évitées à condition que chaque utilisateur applique des principes très simples (déconnexion de sessions, choix de mots de passe complexes, prudence vis-à-vis des mails reçus, etc).

D’autres modules seront mis en ligne prochainement : sécurité de l’authentification, sécurité de l’internet, sécurité du poste de travail et nomadisme.

cybersécurité collectivités territoriales
Source : Freepik.com

Parmi les autres initiatives de l’ANSSI, notons que Guillaume Poupard annonçait ce matin sur BFM TV le lancement d’une plate-forme de mise en relation des victimes et des entreprises compétentes en matière de sécurité informatique, avec un système d’évaluation de chaque prestataire. Ce projet a pour ambition d’aider les victimes de cyberattaques et de rassembler des informations sur ces attaques.

Face à l’importance de ce phénomène, l’enjeu est aujourd’hui de pouvoir collecter des informations sur ces cyberattaques pour mieux les neutraliser, qu’elles soient l’œuvre de pirates isolés, de groupuscules ou encore d’État.

Share Button

Les cyber-risques et la cyber-sécurité dans les collectivités territoriales

Le Directeur du Développement de la Cyber-sécurité de SOGETI, Yves Le Floch, dresse sur le forum de l’Association PRIMO dédiée à la gouvernance du risque et à la gestion du risque public, un panorama des cyber-risques dans les collectivités territoriales ainsi des recommandations en matière de cyber-sécurité.

cyber Pirate

1/ A quels cyber risques les collectivités locales et autres entités publiques peuvent-elles avoir à faire ?

tags cyber risquesLa cybersécurité sert principalement à protéger trois aspects du système d’information : la confidentialité, l’intégrité et la disponibilité des données.

Ces données peuvent être attaquées par trois types d’agresseurs, qui ont leurs propres motifs et des capacités techniques de plus en plus avancées.

Le premier type de cyber-agresseur sera le délinquant, qui volera les données pour les revendre au plus offrant. Ou encore utilisera un « ransomware » ou « rançongiciel » : ce logiciel malveillant permet de chiffrer les dossiers, de prendre en otage les données et parfois de bloquer l’accès à un réseau ; les propriétaires doivent alors payer la rançon pour récupérer leurs données, sans jamais être certains de leur récupération correcte ni du fait que le tout n’ait pas été revendu.

On peut aussi avoir affaire à une cyber-agression d’ordre idéologique, telle que le vol de données confidentielles ou privées à des fins de publication en ligne, pour ainsi ternir l’image de la personnalité ou de l’organisme visé. Un autre type d’agression est la défiguration d’un site web, celui d’une mairie par exemple, en changeant des photos ou insérant des messages politiques. De nombreuses collectivités territoriales sont chaque année victimes de tels agissements.

Les deux premiers agresseurs ont aussi un mode d’attaque en commun, qui est de saturer les sites visés, provoquant ainsi un sabotage nommé « attaque en déni de service » qui empêche tout accès au site.

Il existe aussi des agresseurs d’ordre stratégique, souvent très sophistiqués, qui sont eux liés à des Etats et récupéreront des données technologiques, opérationnelles ou stratégiques à des fins d’espionnage.

2/Le cyber-terrorisme est-il une menace réelle ? Quelles formes peut-il prendre ?

Cyber_tagsPour l’instant, le cyber-terrorisme reste une menace virtuelle, sans effet significatif à ce jour, mais il est de plus en plus redouté. Les attaques porteraient sur des opérateurs d’importance vitale : hôpitaux, transports, énergie, communications… déréglant ainsi leurs systèmes d’opération et provoquant la confusion, le sabotage, voire l’arrêt total des activités. Le cyber-terrorisme pourrait créer des dommages physiques importants, car de plus en plus de services sont connectés, via internet ou tout autre réseau, et sont ainsi vulnérables.

N’oublions pas de mentionner la distribution des eaux, qui pourrait également être attaquée à distance, et là aussi, l’arrêt de l’activité est à craindre, voire un surdosage d’un élément dangereux, menant à un empoisonnement. Ou même les feux rouges, lorsque ceux-ci sont régulés par des systèmes reliés, directement ou indirectement, aux réseaux publics. Les saboter à distance pourrait provoquer des accidents et bloquerait une bonne partie de la circulation.

3/ De plus en plus de mairies et d’agences de l’Etat offrent des services numérisés, comme des demandes en ligne de documents administratifs. Quels sont vos conseils pour éviter l’usurpation d’identité ou le piratage des données ? Le problème en France est qu’il n’y a pas de système d’authentification à distance fiable, car les politiques ont toujours reculé sur la création d’une carte d’identité à puce utilisable pour prouver son identité via internet. Ainsi, lors d’une demande administrative en ligne, il n’y a aucun moyen sûr de savoir si le demandeur n’est pas un imposteur, car n’importe qui peut se faire passer pour moi.

cyber-securiteIl n’y a pas de solution vraiment sûre pour régler cette question de l’authentification, il faut donc se contenter de systèmes existant. Pour une demande d’état civil, par exemple, aucune preuve d’identité n’est demandée ; pour l’accès au dossier fiscal, Bercy se contente d’identifiants transmis par courrier ; pour des échanges vraiment sensibles, l’administration française doit trouver d’autres solutions.

Un moyen simple est d’ouvrir un compte personnel en mairie, après justification de son identité, avec attribution d’un mot de passe personnel. Le mot de passe est loin d’être un moyen sûr, mais c’est déjà un début d’authentification. Et dans tous les cas, le chiffrement des données est un impératif, dès lors qu’il s’agit de données sensibles ou personnelles, aussi bien lors des échanges que lors du stockage.

Mais je vais surtout insister sur un point particulier : les collectivités territoriales, et les entités publiques en général sont tenues par la loi d’appliquer le Référentiel Général de Sécurité*, notamment pour les téléservices. Le RGS est un document technique, qui explique les démarches professionnelles à effectuer, comme l’analyse des risques auxquels on est exposé. Il est important de le respecter et de le faire respecter, y compris lorsque l’on confie certains services ou développements informatiques à une entreprise prestataire.

4/ La ville « hyper-connectée » paraît avoir une certaine popularité auprès des élus : beaucoup veulent promouvoir un ensemble de services accessibles depuis n’importe quelle connexion internet, afin de désengorger les mairies et leurs annexes. Pensez-vous  que ces technologies seront viables sur le long terme ? La numérisation des données ne comporte-t-elle pas le risque d’être détournée par une source malveillante ? Que conseilleriez-vous à une collectivité locale qui veut promouvoir l’outil numérique ?

Oui, bien sûr, ces technologies sont viables ! Hors de question de revenir à la Préhistoire. Quant au détournement par une source malveillante, ce danger est à prendre avec le plus grand sérieux, bien entendu. Il faut mettre en œuvre une démarche professionnelle de prise en compte de la sécurité, comme l’impose le RGS.

Cyber-3Un site « plaquette », basique, où l’on présente seulement des informations générales (horaires d’ouverture, adresse de la mairie…), ne requiert pas de mécanisme poussé de sécurité. En revanche, dès lors qu’un site devient « transactionnel », avec des services interactifs en ligne et une collecte de données personnelles, de forts enjeux de sécurité apparaissent. Ce type de site doit être réalisé avec professionnalisme. Les entités publiques doivent investir correctement dans l’outil informatique, sous peine d’être très vite dépassées et de voir leurs données (et celles de leurs administrés) piratées par les cyber-agresseurs mentionnés ci-dessus.

Ainsi, il faut impérativement appliquer le RGS pour développer les différents services en ligne et veiller aussi au respect des exigences « informatiques et liberté » portant sur les données personnelles. Ces deux références jouent sur des tableaux différents, l’une étant tournée vers le juridique et l’autre vers la pratique, mais utilisées en plein complémentarité, elles permettent une nette diminution du risque sécuritaire. Sans pour autant le supprimer totalement, malheureusement.

Je recommande également la sensibilisation du personnel aux questions de sécurité, car un point faible de tout système de sécurité, aussi développé et impénétrable soit-il, reste l’homme. Des campagnes de sensibilisation qui peuvent prendre plusieurs formes : une formation d’une à deux heures tous les ans, des affiches, des articles périodiques, etc. Une sensibilisation légère mais régulière.

Pour les collectivités importantes, il est nécessaire de disposer d’un responsable des questions de sécurité des systèmes d’information, pas nécessairement un spécialiste avec cinq ans d’études dans le domaine, mais une personne correctement formée, qui connaîtrait les aspects aussi bien techniques que juridiques de la question. Il serait ainsi responsable des campagnes de sensibilisation, du conseil aux projets informatique, se tiendrait informé des différentes réglementations et pourrait également être chargé des questions « informatique et liberté ».

Une autre recommandation est de toujours tester et vérifier la sécurité, par exemple en faisant réaliser des tests nommés « pentests » (pour « penetration testing »), où des prestataires chargent des professionnels de la sécurité, naturellement sous contrat avec l’entreprise, d’essayer de pénétrer les systèmes pour vérifier la solidité des barrières. Ces hackers éthiques font ensuite rapport sur la viabilité de la sécurité et le client peut alors améliorer ce qui est déjà mis en place.

Enfin, j’aimerais terminer en rappelant que le plus important dans l’organisation de la sécurité reste de s’assurer qu’un responsable compétent est bien identifié et dispose des moyens d’exercer sa mission.

Pour en savoir plus sur le RGS et la CNIL, cliquez sur les liens suivants : http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/ http://www.cnil.fr/

Share Button