« Un pour tous et tous pour un »
Pour se développer, maintenir et renforcer leur attractivité, les collectivités territoriales doivent mettre en œuvre une transformation numérique, en cela inciter par l’État à plus de dématérialisation des services « administratifs » fournis aux citoyens. Cette évolution structurelle touche des secteurs aussi variés que les réseaux électriques, les transports publics, le traitement de l’eau potable ou encore la gestion des infrastructures aéroportuaires régionales. Elle repose principalement sur la gestion des données, que ce soient des données personnelles ou des données économiques ou stratégiques manipulées par les collectivités territoriales et leurs entités connexes (délégataires de services publics, sous-traitants, etc.). Les projets de Smart Cities (territoires intelligents) accélèrent cette transformation et de facto la dépendance au numérique.
Or cette dépendance au numérique a longtemps négligé l’impérieuse nécessité de se protéger contre une menace réelle bien que mal perçue : les agressions cyber (espionnage, sabotage, subversion, escroquerie).
Sous-estimé ou relégué en priorité basse par les agglomérations moyennes ou les territoires ruraux, le risque numérique est pourtant bien réel comme l’illustre l’année que nous venons de traverser avec la démultiplication des attaques sur des collectivités territoriales de toutes tailles. S’il est bien un premier constat que l’on peut établir, c’est que la petite taille d’une organisation, collectivité territoriale ou PME-PMI n’est désormais plus un paravent.
La question n’est plus « est-il possible que je sois attaqué ? » mais bien « Quand le serai-je ? »
Dans le cas des collectivités territoriales la forme de cybercriminalité la plus visible est actuellement le rançongiciel (ransomware) :
Auparavant, les pirates s’introduisaient dans les systèmes grâce au phishing (cible visée par courriel personnalisé grâce à l’ingénierie sociale), puis volaient ou détruisaient des données. Cette forme d’attaque a évolué : après avoir pénétré et cartographié le système informatique, les agresseurs détruisent les sauvegardes, puis chiffrent les données et demandent une rançon pour les déchiffrer. Si la collectivité refuse de payer, le pirate peut soit détruire les données, soit procéder à leur diffusion, ce qui placera la collectivité en défaut face à ses responsabilités légales (RGPD) et en position de faiblesse en termes d’image.
Les lois ou règlements que sont le règlement général de sécurité (RGS), l’Electronic IDentification Authentication and trust Services (eIDAS européen), la réglementation des Données de santé, la directive Sécurité des réseaux et de l’information (SRI, NIS en anglais), la loi de programmation militaire (LPM), le règlement général de protection des données (RGPD) sont autant de règles (liste non exhaustive) qui s’appliquent aux collectivités territoriales. Pour mémoire, le règlement général de sécurité (RGS), visant à établir un niveau de confiance pour les échanges numériques dans la sphère publique, a été publié en 2010. Combien de collectivités appliquent aujourd’hui ce règlement ? Combien de collectivités se préoccupent aujourd’hui de la sécurité numérique des infrastructures, comme celles de la distribution d’eau par exemple, tel que ces réglementations le prévoient ?
La cybersécurité des agglomérations, communautés de communes ou syndicats mixtes est une composante de la résilience, son absence présente donc un risque important face à une menace croissante. Les responsables de ces collectivités ne peuvent plus faire l’impasse sur ce domaine.
Les besoins des collectivités territoriales ? Stratégies, compétences, moyens techniques et humains
Sur les quelques 34.000 communes françaises, la majorité d’entre elles ne compte pas plus de 500 habitants. Une mairie de 500 habitants n’a qu’un permanent. On comprend dès lors pourquoi le risque cyber n’apparaît pas comme une priorité pour le maire, trop peu souvent sensibilisé à cette problématique et dont le manque de moyens humains autant que financiers, constitue un véritable frein.
Quels sont pourtant les besoins identifiés ?
- Sensibiliser et former les élus, les directeurs généraux des services (DGS), les directeurs généraux (DG) métiers et l’ensemble du personnel pour que, très simplement, chacun à son niveau, puisse acquérir les clés de compréhension lui permettant de mener à bien ses missions avec le bon niveau de sécurité ;
- Identifier et comprendre les réglementations s’appliquant à la collectivité ;
- Intégrer progressivement la sécurité numérique dans les métiers, comme cela a été fait dans le passé avec d’autres compétences ;
- Associer la dimension de sécurité numérique à tout projet de transformation numérique et de Territoire intelligent (Smart City) et cela, dès l’origine du projet. Le « security by design » tant au niveau technique que de la gouvernance constitue ainsi un impératif pour les collectivités qui doivent mettre en œuvre une transformation numérique.
- Mener une analyse de risques, même sommaire, identifiant les systèmes essentiels aux missions de la collectivité ;
- Dresser un plan de sécurité des systèmes d’information identifiant les principales mesures à opérer (mesures de prévention technique, duplication des données, mises à jour régulières, formation des collaborateurs …) voire des mesures plus approfondies pour les collectivités les plus avancées (audits, tests de pénétration, sondes, surveillance 24/7 par un SOC …) ;
- Adopter un plan de continuité d’activité (PCA) et de reprise d’activité (PRA) avec des exercices associés ;
- Identifier, former et pérenniser les ressources humaines nécessaires pour renforcer la sécurité numérique et créer de l’emploi ;
- Procéder aux mesures réglementaires de protection des données personnelles (conformité au RGPD) ;
- Consolider et mutualiser les besoins et les ressources ;
- Avoir accès à des compétences techniques pointues et utilisables en cas de crise ponctuelle ou avec des volumes d’utilisation faibles en ayant la possibilité de mutualiser ces fonctions à l’échelle d’un service intercommunal ou départemental.
C’est pour répondre à ces besoins que l’Institut National de Cybersécurité et de Résilience des Territoires fut créé en juin 2020 a l’issue d’une étude et d’une réflexion ayant débuté sur le FIC de janvier 2020.
Placé sous la présidence du GA (2S) Marc Watin-Augouard, ses trois missions sont :
- Sensibiliser et informer par l’organisation sur et avec les territoires d’exercices de conduite de crise cyber ;
- Accompagner les territoires médians et ruraux dans la conception et la mise en place – sur le terrain – de stratégies et d’organisations permettant leur montée en puissance en termes de cybersécurité et de résilience en la conjuguant avec création d’emplois et attractivité économique et ceci autours du triptyque Observation – Formation – Mutualisation technique et humaine ;
- Porter et structurer une réflexion sur la cybersécurité et la résilience des territoires en lien avec les acteurs institutionnels, les forces de sécurité, l’industrie et les territoires.
Avec cet objectif – clair et pragmatique – l’INCRT mène actuellement plusieurs types d’action avec plusieurs territoires :
- La mise en place de systèmes de mutualisation humaine (Groupements d’employeurs Cyber) ;
- La mise en place de systèmes de mutualisation technique (Centre de Ressources Cybersécurité) ;
- La mise en place d’un observatoire de la cybersécurité en France Ultra-Marine ;
- La mise en place d’une formation diplômante (Bachelor) spécifiquement créée pour la Cybersécurité des EPCI médians et ruraux avec le groupe AEN et qui est d’ores et déjà ouvert aux inscriptions sur 4 campus ;
- Des ateliers Cyber à destination des EPCI et de leur composante infrastructurelle ;
- La réflexion avancée pour la mise en place d’un Observatoire National Cybersécurité des EPCI ;
- Une veille quotidienne permettant à la fois de veiller le front des incidents cyber et de sécurité des collectivités territoriales, mais aussi tel point juridique ou telle expérience locale ;
- Un colloque annuel (CYBERTERROIRES 2021) ayant pour sujet principal la Cybersécurité des Infrastructures locales dont la première édition aura lieu le 7 octobre 2021 à Vannes ;
- L’animation sur le FIC 2021 d’une conférence sur la Cybersécurité des Territoires :
- La mise en place d’un groupe de travail permanent entre les territoires (élus et RSSI), les forces de sécurité (Gendarmerie Nationale), les groupes industriels fournisseurs des territoires, et des experts en Cybersécurité, qui se penche sur la Cybersécurité des infrastructures locales.
Porté par un esprit de service public, l’INCRT a été créé afin d’être une plateforme d’idées et de gestion de projets au service des territoires afin que Cybersécurité et Résilience se conjuguent aussi avec attractivité économique et création d’emplois locaux pérennes en Cybersécurité.
T +33(0)9 88 28 83 71
Directeur Générale INCRT