Partagez cet article
Sommaire de l’article
    Cybersécurité

    Regards croisés sur… « la Cybersécurité des collectivités locales : socle des territoires intelligents »

    Lors du dernier congrès des Régions de France à St Malo les 27 et 28 septembre dernier, de nombreux sujets, au cœur des préoccupations de nos collectivités, ont été discutés. Parmi ceux-ci, il fut question de cybersécurité. Retour aujourd’hui sur la table ronde « Cybersécurité des collectivités locales : socle des territoires intelligents » coorganisée avec Orange. Paroles d’élus a pu poser quelques questions aux différents intervenants : Jonas Haddad, Conseiller Régional de Normandie ; Christian Cevaër, délégué de l’ANSSI en Région Bretagne ; et Thomas Leclerc, Expert chez Orange Cyber Défense.

    « Faire de cette crise une opportunité »

    Subir les conséquences d’une cyberattaque, la Région Normandie sait concrètement ce que cela veut dire. Au début du mois de décembre 2022, la collectivité a dû faire face à une intrusion qui a paralysé entièrement son système informatique. Cette expérience a permis selon Jonas Haddad une vraie prise de conscience. Le conseiller régional explique ainsi la démarche : « Une délégation au numérique ça se concrétise de cette façon, vous allez toucher à quasiment tous les sujets aujourd’hui car le numérique est partout mais en réalité, il faut déterminer rapidement quelles sont les priorités de la collectivité. Nous, en Normandie, nous avons subi une cyber-attaque donc c’est certain que la cybersécurité est un sujet qui nous touche particulièrement et on a décidé de faire de cette crise une opportunité ».

    Et l’élu de poursuivre : « On a fait en sorte concrètement de renforcer nos processus de sécurité mais aussi de faire en sorte que dans notre territoire, on forme énormément de jeunes dans ce domaine parce qu’aujourd’hui, les entreprises et les collectivités cherchent de plus en plus des personnes qui sont des experts ».

    En Normandie, « nous avons, poursuit-il, la chance d’avoir un écosystème particulier, constitué à la fois de grande entreprise, qui étaient à la base des startups mais qui ont atteint aujourd’hui une taille et une renommée importante, comme par exemple Yes We Hack. Le rôle de la Région est de nourrir cet écosystème et de faire en sorte par exemple que lorsqu’il y a des financements pour de la formation, ces crédits soient fléchés pour des formations dans ce domaine ».

    Avec l’aide de l’Agence Nationale de la Sécurité des Système d’Information (ANSSI), la Région a créé le CSIRT Normandie (Computer Security Incident Response Team), dont le développement est porté par l’Agence de Développement pour la Normandie (ADN). Ce centre de réponse régional aux incidents cyber traite les demandes d’assistance des acteurs de taille intermédiaire (PME, entreprises de taille intermédiaires, collectivités territoriales et associations).

    « La directive NIS2 est en cours de transposition »

     

    Cette table ronde a permis également d’en savoir davantage sur le rôle de l’ANSSI en Région en invitant Christian Cevaër, délégué de l’ANSSI en Région Bretagne. Comme l’a expliqué l’expert : « Les délégués en Région ont pour mission de représenter l’ANSSI sur leur territoire respectif afin de pouvoir s’assurer que le territoire développe les capacités à gérer le sujet de la sécurité numérique à la fois dans le développement de la filière mais également dans la coordination des différents services de l’État et dans l’appréhension de ce sujet par les collectivités territoriales. C’est aussi les acteurs privés qui portent l’économie nationale et bien s’assurer qu’ils ont les armes pour porter le sujet de la sécurité numérique au quotidien ».

    L’enjeu actuel au niveau national est l’application de NIS2. De quoi s’agit-il ? Le délégué de l’ANSSI en Région Bretagne résume ainsi la situation : « Il y avait précédemment en France la loi de programmation militaire qui porte un certain nombre de sujets sur la sécurité numérique des organisations publiques et privées. Puis, il a été porté au niveau européen, la rédaction d’une directive qui porte le sujet de la sécurisation du numérique d’un certains nombres d’organisations qui ont un poids économique important dans nos différents états membres. Il y avait une première version qui est déjà appliquée. Aujourd’hui, la deuxième version est en cours de transposition. Ce processus se continuera jusqu’à octobre 2024. Elle élargit le spectre des organisations qui vont être concernées par cette réglementation. Elle va apporter un certain nombre d’exigence de sécurité ».

    Anticiper les plans de reprise d’activité

    Mais comment les collectivités peuvent-elles se préparer à une cyberattaque ? Pour répondre à cette question, nous avons pu interroger Thomas Le clerc. Premier point tout d’abord pour cet expert chez Orange Cyber Défense : « Si les collectivités sont de plus en plus victimes de cyber-attaques, la plupart d’entre elles subissent des actes plutôt opportunistes, de type non ciblé puisque c’est 80% des attaques comptabilisées ».

    Pour Thomas Le Clerc, « La conséquence de ces attaques elle est double. C’est souvent matérialisé par la mise à sac du système d’information avec demande de rançon. C’est ce que l’on appelle le rançongiciel ou la compromission de comptes utilisateurs qui permet à un attaquant d’accéder au système d’information et de dérober potentiellement des données. Pour les collectivités finalement, cela peut avoir plusieurs impacts. L’un de ces derniers c’est le risque d’une interruption de services citoyens. Le 2ème, c’est la fuite de données à caractère personnelle et qui va potentiellement amener une collectivité à devoir rendre des comptes, vis-à-vis des personnes concernées. Avec une optique plus spécifique aux Régions, on voit que l’enjeu concerne également le tissu économique avec des répercutions en termes d’emplois, de baisses d’activités et même de faillites ».

    Un des enjeux serait donc l’anticipation. Thomas Le Clerc précise en effet : « Le risque n’est plus exotique, c’est présent dans notre quotidien dans la société. À partir du moment où il y a cette réalité, le mieux est bien évidemment de s’y préparer. Cela passe par de la préparation à la gestion de crise. Cela permettra d’avoir les bons réflexes afin de limiter l’impact de l’attaque. Cela permettra également d’anticiper les procédures en élaborant des plans de reprise d’activité ou de continuité d’activité selon le niveau de dégâts ».