Collectivités locales

Collectivités locales


Une profonde transformation numérique au sein des collectivités locales

Auteur : Julien Bui, RSSI du Département du Morbihan

Les collectivités locales (communes, départements, régions) et l’ensemble de leur groupe sont des administrations publiques travaillant à l’échelle locale pour leurs citoyens.

Elles fournissent de nombreux services tels que la culture, l’éducation, les sports, la jeunesse, ainsi que l’action sociale et médico-sociale. A l’échelle nationale, elles sont engagées dans une profonde transformation numérique, notamment dans des projets de dématérialisation des services rendus aux citoyens. Elles hébergent donc de nombreuses données sensibles (données personnelles des citoyens, données stratégiques ou économiques). Cette démarche entraîne une dépendance au numérique qui attire inévitablement de nombreux cybercriminels dont les collectivités locales sont des cibles privilégiées depuis plus d’un an. ISC Solutions, entreprise informatique à Aix-en-Provence fournit des prestations de cybersécurité aux entreprise et collectivités qui en auraient besoin.

Ransomware collectivités locales

Des collectivités locales victimes de ransomware

Selon une étude du CLUSIF (1) de juin 2020, 30% des collectivités locales ont déjà été victimes de ransomware : ce type d’attaque – désormais accessible à tous – ne cesse d’augmenter. La place de la cybersécurité au sein des collectivités locales – quelle que soit leur taille – est désormais une réelle préoccupation et tend à devenir une priorité de l’organisation.

Afin de gérer cette transition numérique, les cadres réglementaires ont évolué en s’appuyant sur l’émergence de nouvelles lois telles que le RGS (2), la LPM (3), le RGPD (4), etc. Leur objectif est de renforcer la confiance des citoyens dans les services numériques, de garantir la protection des données personnelles et des infrastructures qui les hébergent, mais aussi de renforcer la sécurité des activités vitales et des services essentiels assurés par certaines collectivités.

Prix cybersécurité

Une cybersécurité couteuse

En raison des disparités de taille, de budgets et de priorités entre les différentes collectivités, la mise en œuvre – et le contrôle – de cette réglementation et des bonnes pratiques qui y sont liées est un véritable casse-tête pour l’administration française, mais aussi pour les professionnels en charge de la sécurité informatique.

Par exemple, parmi les 35 000 communes françaises, beaucoup ne comptent pas plus de 500 habitants, alors que d’autres en comptent des milliers, voire plus. Ainsi, on constate que les plus petites communes ne disposent pas de ressources humaines et financières suffisantes pour considérer la sécurité informatique comme une priorité. Il est évident que la sécurité n’attend pas, et encore moins les cyberattaquants. Seule la mutualisation peut compenser ce handicap lié à la taille des collectivités locales et à la  » capacité limitée  » d’action qui en résulte.

Embaucher des responsables de la sécurité des systèmes d’informations

Il est nécessaire de mettre en place une gouvernance qui mobilise efficacement les services et les élus (dans le meilleur des cas, un élu dédié aux sujets numériques devrait être désigné). Ces synergies permettent de faire des choix stratégiques et budgétaires en faveur de la cybersécurité pour leur territoire local. Il est également important de se rapprocher de structures telles que IN.CRT (5) – créée à l’occasion du FIC (6) 2020 – qui a pour objectif d’être une plateforme de partage d’idées et de devenir un centre de ressources pour les collectivités locales. Ces structures réunissent également élus et acteurs de la cybersécurité autour d’ateliers, d’événements, de formations et de sensibilisation.

Le mieux est d’embaucher un responsable de la sécurité des systèmes d’informations – véritable « couteau suisse » de la sécurité – avec des ressources dédiées qui organisera la sécurité en fonction d’un contexte défini, de surveiller et de réagir en cas de cyberincidents. La première priorité du CISO est de sensibiliser le top management à ses programmes de cybersécurité afin d’en démontrer les bénéfices et de ne pas être perçu comme un frein au sein de l’organisation.

Problèmes collectivités locales

Faire face à des difficultés au sein des collectivités locales

Il devra néanmoins faire face à certaines difficultés telles que les fortes interdépendances entre les départements opérationnels et les procédures de validation associées ; c’est la réalité organisationnelle de ces structures territoriales. Même s’il s’agit d’une simple action de sécurisation à mettre en œuvre, différents niveaux de validation sont nécessaires, sans compter une forte anticipation de la planification du déploiement. Dans le cas des projets de sécurisation, la validation est effectuée par différents niveaux de comités (mensuels, trimestriels, etc.), ce qui ajoute une dimension chronophage à cette gouvernance globale.

Un autre obstacle potentiel est le niveau d’acculturation de nombreux employés qui ne verront pas la nécessité et la pertinence des questions de cybersécurité, pourtant essentielles. C’est donc le rôle du RSSI de sensibiliser, d’acculturer pour ne pas être limité dans ses actions. Il doit être compris et perçu comme un facilitateur de ses sujets, notamment au sein de ce type d’organisation.

Commentaires