Cybersécurité

Cybersécurité et territoires intelligents : les collectivités territoriales sont devenues des cibles de choix

October 2018
Temps de lecture : 5 min
En juin 2014, la ville de Nice a dû suspendre le paiement sans contact du stationnement en voirie «le système Pay By Phone» après qu’un individu a détourné les données de celui-ci. En janvier 2015, suite aux attentats, une vague de cybercriminalité a touché les collectivités, entraînant la perte de nombreuses bases de données sensibles et la perte de contrôle des sites internet. Qui dit territoires intelligents et connectés, dit risques de cybercriminalité augmentés... l’interconnexion des réseaux, la montée en puissance des objets connectés, la multiplication des sous-traitants et partenariats avec d’autres organismes… nombreux sont les facteurs qui ont contribué à la multiplication des cyberattaques au sein des collectivités territoriales, qui sont devenues des cibles de choix. Avec le développement de l’e-administration, les sites internet voient transiter un nombre de données exponentiel qui augmente les possibilités d’une attaque.

Les points à retenir

1. La multiplication des sources de risques au sein de territoires de plus en plus connectés

2. Protéger les données personnelles : une stratégie multifactorielle pour les collectivités

3. Des solutions se développent pour diminuer l’inégalité territoriale face à la cybercriminalité

En France, la loi informatique et libertés de 1978, la loi pour une République numérique (2016) et le Règlement Général sur la protection des données (2018) protègent les données personnelles sensibles et obligent les collectivités à sécuriser leurs systèmes d’information. Malgré la prise de conscience généralisée sur les risques encourus, le manque de moyens financiers et d’informations dominent encore dans le domaine de la cybersécurité.


La multiplication des sources de risques au sein de territoires de plus en plus connectés

Les sources de risques au sein des systèmes informatiques et de télécommunication des collectivités sont multiples. Les risques se situent principalement autour de la confidentialité, des modifications frauduleuses et du vol des données. En effet, les cyber hackers peuvent attaquer tous les types de systèmes physiques ou virtuels connectés à Internet. Les attaques les plus courantes concernent :

- les sites internet des collectivités où de fausses alertes ou informations erronées qui peuvent produire des effets de panique peuvent être publiées ;
- les centres de données (data center) et le cloud, où les données sont stockées et traitées, majoritairement à distance, augmentant le risque d’interceptions au cours de leur acheminement et transfert vers des serveurs à distance parfois non-identifiés ; ƒ
- le piratage et la prise de contrôle des objets connectés ; ƒ
- le contrôle des systèmes d’information et la demande de “rançongiciels” pour les libérer ;
- la mise en place d’un virus au sein d’un système de sécurité ; ƒ
- « L’hameçonnage » qui consiste à utiliser l’appellation du site internet à des fins frauduleuses ; ƒ
- le vol de données ou l’espionnage ; ƒ
- l’utilisation des systèmes d’information pour héberger des données illicites, etc.

Ainsi, non seulement les données personnelles peuvent être dérobées mais certains outils peuvent être activés à l’insu de la collectivité et modifier notamment les panneaux de signalisation ou encore le parc d’éclairage, entraînant des risques majeurs pour la sûreté des habitants.

Protéger les données personnelles : une stratégie multifactorielle pour les collectivités

Afin de protéger les données personnelles des citoyens et les équipements numériques, initier une stratégie de sécurisation des systèmes d’information est essentiel pour les territoires. L’Agence nationale de la sécurité des systèmes d’informations (ANSSI) a publié son référentiel général de sécurité afin d’aider les collectivités dans leurs démarches de cybersécurité. Afin de sécuriser les systèmes d’information, plusieurs étapes sont à mettre en place. Celles-ci peuvent être réalisées par un prestataire ou au sein de la collectivité .1

Référentiel général de sécurité, SGMAP, ANSSI, 2014.

Au-delà de la sécurisation des systèmes, les démarches contractuelles sont à inclure dans le plan de protection. Il est conseillé d’insérer systématiquement des clauses relatives à la sécurité au sein de tous les contrats avec les différents prestataires, et notamment au sein des marchés publics2 . Les caractéristiques des interfaces de programmation qui se raccorderont au réseau sont également à définir afin de ne pas se trouver assujetti à un fournisseur donné.

Parmi les mesures de protection, le facteur humain est un élément central à prendre en compte, une grande partie des erreurs est involontaire et provient des administrateurs ou usagers.  Ainsi, établir un cadre de gouvernance en clarifiant les rôles et responsabilités et en informant tous les services du plan de gestion de crise en cas de cyberattaque est primordial. La mise en place de formations accessibles aux élus et services qui interviennent dans la mise en œuvre et le suivi opérationnel de la sécurité est indispensable. La collectivité peut choisir également de sensibiliser les intervenants et usagers aux bonnes pratiques en matière de cybersécurité. Enfin, concernant la sécurité des infrastructures de stockage des données, la majorité du temps au sein de data centers, il est préférable de contracter des prestataires français ou européens, dont les serveurs sont situés sur le territoire national. Les contrats sont à analyser afin de s’assurer du non-transfert des données hébergées vers d’autres pays tiers et des conditions générales de vente et d’utilisation. Des audits réguliers peuvent également être réalisés pour s’assurer de la sécurité.

Si les données sont stockées au niveau d’un cloud, une liste des prestataires vérifiés est disponible sur le site de l’ANSSI.


Des solutions se développent pour diminuer l’inégalité territoriale face à la cybercriminalité

Afin de lutter efficacement contre la cybercriminalité, de nombreux territoires mettent en place des solutions innovantes afin de protéger leurs systèmes d’information et les données personnelles de leurs citoyens. Le projet “Safegouv” mis en place par la ville de Marseille en juin 20173 , introduit la première plate-forme éducative nationale de sécurité informatique dédiée aux institutions publiques4 . Développée par la startup NetGuard en partenariat avec l’école Polytech de Marseille, les élèves de cette dernière vont tenter de détecter les failles des sites de la ville, du conseil régional Provence-Alpes-Côte d’Azur et de la Région Provence-Alpes-Côte d’Azur, mais également les failles possibles des objets connectés et applications. À l’aide de ces hackers éthiques, la ville va pouvoir sécuriser ces données à l’heure où les rançongiciels s’accélèrent en France. Si les métropoles sont nombreuses à avoir déployé différents dispositifs pour lutter contre la cybercriminalité, les petites et moyennes communes manquent encore de moyens financiers et logistiques. Pour assurer une égalité territoriale, un référent territorial de l’ANSSI est présent dans chaque région du territoire. Sa mission est de sensibiliser et diffuser les bonnes pratiques, au plus proche des territoires5 .

De plus, face à l’exigence coûteuse de nomination d’un Délégué à la Protection des données (introduite par le RGPD), des solutions contractuelles existent. Il est possible de mutualiser cette fonction à l’échelle d’un service intercommunal, départemental ou régional. L’externalisation est également une possibilité mais la collectivité devra s’assurer et contrôler de manière régulière le niveau d’expertise et de déontologie de son prestataire6 .

***

1. Référentiel général de sécurité, SGMAP, ANSSI, 2014.
2. De la Smart city aux territoires d’intelligences, rapport au premier ministre sur l’avenir des smart cities, Rapport confié à Luc Belot, Député de Maine-et-Loire, Avril 2017.
3. « Cybersécurité : quand les collectivités prennent la mesure du problème », PierreAlexis Conte, La Gazette des Communes, 9 juin 2017. 4. Site internet de Polytech Marseille – Aix-Marseille Université 5. « Quelles solutions mettre en place pour une sécurité informatique accrue ? », PierreAlexandre Conte, La Gazette des Communes, 23 février 2017. 6. Étude pour le CREOGN : Données personnelles et collectivités territoriales : usages actuels et recommandations, La Chaire de Cyberdéfense et Cybersécurité Saint-Cyr, Sogeti, Thales, 2017.

Collectivités, avez-vous pensé à :

- définir votre stratégie de sécurité ?

Demandez un diagnostic

Découvrir un cas pratique

No items found.

Pour aller plus loin

Le guide de l’hygiène informatique

Agence Nationale de la Sécurité des Systèmes d’Information

2017

Référentiel général de sécurité

SGMAP, ANSSI

2014

À lire sur Territoires Intelligents

Territoires
Mieux connaître et piloter mon territoire
LIRE
Civic tech
Impliquer davantage les citoyens (Civic Tech)
LIRE
Bâtiments
Améliorer l'offre et la gestion des bâtiments
LIRE