Depuis plusieurs mois, les structures publiques de tous types sont confrontées à de nombreuses cyberattaques. En septembre dernier, la mairie de Caen a, par exemple, subi une attaque d’envergure qui a fortement impacté ses services internes et externes. Le coût de l’attaque et sa prise en charge se situerait autour de 100 000 à 300 000 euros.Pour d’autres, comme la Mairie de Bondy attaquée en 2020, la facture peut être plus salée et peut perturber leur fonctionnement interne pendant de nombreux mois, voire des années.
La transition numérique augmente les risques
Les risques auxquels s’exposent les collectivités locales sont également accentués par la transition numérique et l’adoption du télétravail qui peuvent avoir de lourdes conséquences comme la perte de données ou la défiance des citoyens. Afin de s’en prémunir, il est primordial de penser à des usages numériques plus sûrs et plus vertueux pour assurer une protection généralisée, sécurisant donc l’ensemble des structures publiques (services municipaux, crèches, bibliothèques, etc.).
Se concentrer sur l’essentiel pour réduire son exposition au risque Comme nous l’avons évoqué, les organismes publics ne bénéficient pas en interne d’équipes qui peuvent prendre en charge le sujet de la cybersécurité de manière efficace et notamment pour les plus petites structures. En ce sens, se tourner vers l’extérieur et s’appuyer sur des environnements de confiance est une nécessité. Les élus doivent en effet pouvoir instaurer une politique de cybersécurité globale et durable au sein de leur collectivité.
Dès lors, il est nécessaire d’identifier et sécuriser tous les équipements connectés au réseau de la collectivité et qui accèdent à Internet (ordinateurs, serveurs, objets connectés type caméras, bornes wifi, téléphones IP, etc..). Il est indispensable aussi d’authentifier tous les collaborateurs et usagers et de mettre en place un dispositif de détection et de filtrage performant pour être très réactif en cas de cyberattaque.
Attention également à prendre en compte une dimension de souveraineté dans sa réflexion. En effet, les collectivités sont des structures qui échangent des données particulièrement sensibles. Les solutions utilisées par les entités publiques doivent alors respecter différents critères comme les recommandations de l’ANSSI ou encore la législation en vigueur : CNIL, RGPD, etc... Sur ces points, les concepteurs de technologies français proposent de réelles garanties.
Bien prendre en compte le facteur humain
Dernier point, le facteur humain est également un enjeu majeur en terme de cybersécurité ; il est indispensable d’informer et de former ses élus et agents aux bonnes pratiques de sécurité numérique, de sensibiliser son personnel et ses administrés aux usages informatiques à risques (partage de mots de passe, usage pro/perso des outils numériques, …). Le facteur humain est bien souvent le point d’entrée utilisé par les cyberattaquants pour accéder au système informatique de la collectivité.
Au même titre que les chefs d’entreprise, les élus doivent donc s’emparer du sujet de la cybersécurité et choisir les bonnes options pour ne pas subir des cyberattaques qui pourraient avoir de grandes conséquences pour leurs administrés. Il incombe aux éditeurs français de les accompagner dans leurs démarches en leur proposant des dispositifs et solutions prenant en compte leurs spécificités : peu de moyens, peu de ressources et peu de connaissances en sécurité informatique. C’est à cette condition que les collectivités pourront évoluer dans une sphère numérique de confiance.
A propos de l'auteur :Pierre-Alain Lasserre est chargé du développement Secteur Public chez Ého.Link.