La vulnérabilité des collectivités territoriales en matière de cybersécurité a été tristement mise en lumière par les nombreuses attaques qui ont fait l’actualité des derniers mois. Quelle que soit leur taille, les collectivités ont pris le virage du numérique, produisant et stockant un volume de données toujours croissant mais trop peu sécurisé en raison d’une appréhension biaisée du sujet de la cyber. Perçue comme l’apanage des experts techniques, la cybersécurité est délaissée par des collectivités territoriales démunies. La résilience numérique du maillon garant d’une proximité essentielle à nos sociétés est aujourd’hui érigée au rang des priorités nationales. Les annonces et les initiatives se multiplient et 136 millions d’euros seront consacrés au sujet sur la période 2021-2022 dans le cadre du plan de relance.Plongée au coeur du quotidien cyber des collectivités.
Par Philipine Colle
Une nécessaire prise de conscience générale
Si la numérisation des administrations est porteuse de promesses en termes de proximité et de continuité des services elle est également à l’origine de nouvelles fragilités pour les collectivités territoriales. Richard Lizurey, ancien directeur général de la Gendarmerie nationale et adjoint au maire de Chartres explique « Originellement, la dématérialisation a été pensée pour réduire les coûts de fonctionnement des collectivités, les logiciels de services initiaux ont été produits rapidement, sans considération de sécurité by design. Cela se répercute maintenant par des brèches ». Et David Ofer, Vice-Président ITrust et Président de la Fédération française de la cybersécurité d’ajouter « Le passage au tout numérique a très nettement augmenté la surface de risque ». La cybersécurité reste malgré les alertes et les prises de conscience encore reléguée au second plan tant par les développeurs de logiciels sur le marché de niche que représentent les services publics numériques que par les agents territoriaux et les élus qui n’ont pas toujours conscience du potentiel d’impact violent de ces vulnérabilités.
Dès lors, des efforts sont attendus quant à la mise en lumière du sujet de la cyber. Cyril Bras, Vice-Président de l’Institut National pour la Cybersécurité et la Résilience des Territoires, RSSI de Grenoble-Alpes Métropole confirme « La cybersécurité n’est pas encore perçue comme stratégique, hormis dans la douleur. Quelqu’un qui affirme ne jamais avoir été attaqué l’a surement été sans même le savoir. Au-delà de l’impact purement technique se trouvent donc des enjeux de confiance essentiels ». C’est pourquoi un travail doit être réalisé afin de montrer que la cybersécurité n’est pas uniquement l’affaire des techniciens mais qu’elle concerne des enjeux politiques et décisionnels. Une sensibilisation qui commence par l’adoption d’un vocabulaire qui parle aux élus, « il est nécessaire de ne pas parler en termes de menaces mais plutôt en termes d’impacts concrets pour la collectivité et son réseau de services » plaide Philippe Loudenot, Administrateur du CESIN, Délégué cybersécurité du Conseil Régional des Pays de la Loire. Et de poursuivre « Le risque numérique doit devenir cause nationale pour que l’on puisse faire de l’éducation populaire au même titre que pour la sécurité routière par exemple. Au-delà des collectivités, il faut vraiment que l’ensemble des citoyens prennent en compte ce risque, car la prise de conscience constitue notre première défense ».
Une réallocation des budgets
La prise de conscience généralisée de l’importance des enjeux liés à la cybersécurité est un moteur de l’acceptabilité de l’allocation de budget à la sécurisation des données. La cybersécurité pâtit en effet parfois d’une priorisation des investissements qui ne tient compte de la gravité des conséquences des cyberattaques. « Certains pensent à tort que la simple installation d’un anti-virus protège de tous les malwares. Cela engendre des blocages politiques et des allocations budgétaires déconnectées de la réalité de la menace comme dans une commune, où, pour maximiser la sécurité, 1,5 million d’euros ont été alloués à la vidéo surveillance pour seulement 5000 euros de budget cyber ! » illustre David Ofer. Un point de vue partagé par Jean Larroumets, Président Fondateur d’EGERIE qui défend le développement d’incitations à la mise en conformité cyber « Il est nécessaire d’aider les élus à sanctuariser une part des budgets de la DSI à la cybersécurité, notamment grâce à des certifications ou des règlementations plus ou moins contraignantes. La perception du risque n’est pas, aujourd’hui, en adéquation avec sa réalité. Tant que cela sera le cas, l’incitation et la contrainte seront nécessaires ». La réflexion dans le fléchage des budgets doit aussi avoir lieu au niveau des territoires. Si les investissements ont tendance à se concentrer sur les grandes métropoles, il est essentiel d’adresser et de ne pas oublier les plus petites collectivités qui représentent des cibles de choix dont la compromission entraînerait une réaction en chaîne. Richard Lizurey préconise ainsi de « centrer premièrement les efforts sur les plus petites collectivités » et d’ajouter « Les collectivités territoriales sont une galaxie de réalités. Il y a donc une pluralité de besoins. Il faut rester dans la simplicité pour lutter contre les cybermenaces et toujours placer les citoyens au cœur du débat ».
L’acculturation des élus et la formation des agents pour répondre aux enjeux de ressources humaines
Les investissements consentis par les collectivités concernent non seulement les technologies de cybersécurité mais également les ressources humaines. En raison de la richesse et de la complexité des missions qui leurs incombent, et bien que leur acculturation aux enjeux numériques soit nécessaire, les maires et les élus ne peuvent pas se consacrer à la cybersécurité à temps plein. « Dans la commune de Marseille il y a près de 1300 serveurs et 7000 postes de travail, des agents aux profils très variés, la sécurisation et la sensibilisation de tout le monde sont d’autant plus difficiles » illustre Jérôme Poggi, RSSI de la ville de Marseille. Selon une étude menée par le CLUSIF entre janvier et mars 2020, 64% des collectivités territoriales ont défini des politiques de complexité et de renouvellement des mots de passe. Cependant, la configuration spécifique des collectivités peut rendre ces actions de base longues et complexes. « C’est le manque de ressources humaines dans l’accompagnement des collectivités qui est le plus souvent souligné par les acteurs locaux. Le marché de la cyber est riche, les technologies sont opérationnelles, c’est une bonne nouvelle car nous savons que l’offre la plus adaptée à chaque collectivité existe. En revanche, il faut être expert pour s’y retrouver et cela pose problème. Les collectivités ont besoin d’aide pour clarifier leurs besoins en adéquation avec les technologies disponibles. Cela passe autant par des offres mutualismes que par des services d’accompagnement en matière d’expertise humaine » explique Jean-Baptiste Voron, CTO cybersécurité ATOS France. Pour répondre à ce besoin, la Fédération française de la cybersécurité développe aussi une assistance pour les collectivités et se prépare à lancer dès cet été de nouvelles formations, accessibles sans condition de diplôme, et visant à former des jeunes ayant une appétence pour la cyber aux tâches de base et à l’accompagnement des RSSI dans les petites structures. Pour David Ofer, son président « les collectivités n’ont pas besoin d’actions coup de poing mais d’un compagnonnage, d’une assistance de long terme leur permettant de déclencher un mouvement de mise en conformité ou une arrivée à maturité en termes de cyber ».
Le partage et l’échange pour mieux prévenir les menaces
Dans un contexte où la menace cyber est grandissante, chaque collectivité est ou sera victime. Aucune ville ou région n’est à l’abri. Ce qu’il s’est passé en 2020 à Marseille peut arriver ailleurs. L’échange et le partage d’informations sur les modes opératoires, les stratégies d’endiguement et les moyens mis en œuvre pour récupérer les données sont porteurs pour les collectivités qui doivent se préparer à de prochaines attaques. Jean Larroumets constate que« les attaquants, eux, partagent sur le darkweb. Ils sont dans la co-construction de l’attaque. Dans les collectivités, les plateformes sont semblables, donc le partage est particulièrement bienvenu afin de permettre aux collectivités d’adapter leur posture de cybersécurité en étant pragmatique. Cela permet de prioriser les mesures pour plus d’efficacité ». La communication entre les collectivités est donc un pilier de la construction d’une posture préventive et les efforts à fournir en termes de cybersécurité sont donc indissociables d’une meilleure collaboration entre les acteurs. « Le renforcement des échanges entre RSSI et la constitution de réseaux permet aux collectivités d’être plus fortes, mieux reconnues, mieux préparées et plus réactives » souligne Jérome Poggi et d’ajouter « la gestion de la crise cyber est éprouvante. Les équipes sont mises à mal et sur le plan psychologique aussi. Le partage d’informations dans des cercles et des réseaux de confiance est aussi vital en amont que pendant ou post crise. »
Un réseau comprenant une centaine de membres venant de différents horizons, villes, métropoles, départements, régions de l’ensemble du territoire national est aujourd’hui en construction avec l’ambition de développer des actions notamment préventives « car en cybersécurité aussi, prévenir coûte moins cher que guérir ! » conclut Philippe Loudenot.