4 février 2013

« Les données informatiques des collectivités locales ne sont pas assez protégées »


Dans un entretien accordé à La Gazette lundi 28 janvier 2013, lors du 5e forum international de la cybersécurité, le commandant Rémy Février, chargé de mission intelligence économique à l’état-major de la région de gendarmerie Nord-Pas Calais pointe du doigt la vulnérabilité des systèmes d’information des collectivités.
Rémy Février est ancien cadre du secteur privé et un ancien dirigeant d’un cabinet de consulting en stratégie. Il est désormais officier professeur sous contrat à la gendarmerie nationale.
Il enseigne l’intelligence économique et territoriale en masters spécialisés à l’école nationale d’administration, en écoles supérieures de commerce et à l’université. Il est également un ancien élu d’une ville de plus de 100 000 habitants.

En matière de cybersécurité, les collectivités sont-elles assez protégées ?

Non, mais il existe très peu données concrètes et aucune étude au niveau national. De plus, les collectivités sont réticentes à parler des problèmes rencontrés.
Cependant, à la vue de mon expérience de terrain et du sondage que j’ai pu réaliser auprès d’une soixantaine de collectivités du Nord-Pas de Calais dans le cadre de ma thèse, les lacunes des collectivités et en particuliers des communes dans ce domaine sont énormes. Ces résultats sont transposables à l’ensemble du territoire.

Pourquoi les communes sont-elles les plus vulnérables ?

C’est l’échelon territorial qui détient le plus de données sensibles et c’est aussi souvent là que les moyens pour se protéger sont les plus faibles. Pourtant, que ce soit la prise de contrôle à distance d’un poste de travail, la modification de documents sensibles, l’usurpation d’identité, ou tout simplement la perte de données, la menace est réelle. En cas de problèmes, la responsabilité des élus est clairement engagée.

Un élu peut se retrouver mis en examen pour avoir insuffisamment protégés ses systèmes d’informations ?

Tout à fait. Même si la réglementation dans ce domaine est jurisprudentielle, il ressort clairement qu’un élu, au même titre qu’un chef d’entreprise, peut être mis en examen pour ne pas avoir pris les mesures nécessaires pour se protéger. Or, 70 % des collectivités interrogées ne connaissent pas les responsabilités qui leur incombent !

Les collectivités sont-elles vraiment menacées ?

Avec le développement de l’e-democratie, de l’e-administration, ou de la dématérialisation des appels d’offres, le risque est réel. Il n’y a pas de raisons que les attaques que le secteur privé subit tous les jours ne soient pas transposées dans le secteur public.
Qu’est ce qui empêchera demain une entreprise d’aller voir l’offre faite pas ses concurrents dans le cadre d’un appel d’offre ? Qui pourra empêcher une personne mal intentionnée de diffuser des informations confidentielles collectées illégalement auprès d’une collectivité ?

Quels sont les points à améliorer d’urgence ?

Il s’agit avant tout de créer une culture de la sécurité des systèmes d’information à tous les niveaux et donc de former tout le personnel. Pour cela, les élus doivent être moteurs.
Dans un premier temps, des choses très simples peuvent êtres mises en œuvre comme, ne pas laisser le mot de passe sur un post-it sur l’écran du PC ou ne pas se débarrasser de ses anciens ordinateurs sans s’être au préalable assuré qu’il n’y ait plus de données dessus !

Le niveau des protections est-il vraiment si faible ?

Malheureusement oui. Plus de 65 % des collectivités interrogées n’ont pas de responsable informatique et les trois quarts n’ont pas de budget dédié à la sécurité de leurs systèmes d’information. Sans parler de malveillance, la simple sécurisation des données est déjà très problématique. Plus de 60 % des collectivités interrogées ne les externalisent pas. En cas d’incendie ou d’inondations, elles peuvent alors tout perdre et ne plus êtres capables de fonctionner correctement.

Que faut-il mettre en place pour sauvegarder efficacement des données ?

Il faut absolument qu’elles soient sauvegardées sur deux lieux différents, et pas simplement deux pièces d’une mairie ! Par exemple, il s’agit de déposer régulièrement ces données à la banque ou de faire appel à un prestataire extérieur. Dans ce cas, il s’agit de bien s’assurer de la fiabilité de ce prestataire. Par exemple, vérifier qu’il ne stockera pas les informations dans le cloud, qui n’est pas forcément le lieu le plus sécurisé !

Et pour se prémunir des attaques existe-t-il une recette ?

Du bons sens avant tout. 80 % des problèmes sont évitables avec de simples mesures de bon sens. Pour aider les collectivités à mieux se protéger, l’Etat a publié un très bon référentiel général de sécurité des systèmes d’informations [1].
Malheureusement, il ressort du sondage que les trois quarts des collectivités ne connaissent pas ce document et qu’à même proportion elles ne connaissent pas jusqu’à l’existence de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) qui est pourtant l’agence de référence. C’est toute une nouvelle culture qu’il faut aujourd’hui créer autour de ces nouveaux risques.

Aucun commentaire: