Image mise en avant pour l'article

Cybersécurité et communication numérique des territoires : agir pour se protéger

17 octobre 2024
Stratégie Digitale - Collectivité territoriale
Les territoires développent de plus en plus leurs services numériques, sauf qu’à ce titre, ils deviennent vulnérables aux cyberattaques. Or, un service informatique protégé et sécurisé est incontournable pour préserver les données et infrastructures de la collectivité.


La cybersécurité est devenue un enjeu majeur pour les collectivités territoriales partout en France. Grâce à l’essor des services numériques, les territoires ne cessent d’améliorer la gestion publique et la participation citoyenne. Mais ces innovations ont un prix ! Elles s’accompagnent de risques cyber croissants, qui menacent non seulement la sécurité des données, mais aussi la continuité des services. Face aux cyberattaques, et à la cybermalveillance de manière plus générale, les acteurs publics doivent veiller à renforcer la protection de leurs ressources.

Dans cet article, nous verrons quelles sont les menaces actuelles, leurs impacts sur les collectivités, et les stratégies de protection à mettre en place pour sécuriser les infrastructures locales et conserver la confiance des citoyens.

Illustration représentant la cybersécurité avec une main tapant sur un clavier d'ordinateur portable, et une icône de verrouillage entourée de connexions numériques et de symboles de protection, évoquant la sécurisation des données et des communications numériques.

Les services numériques de la communication publique

Où qu’elles se situent en France, les collectivités territoriales font face à trois grands défis numériques : l’administration électronique, l’e-démocratie et la dématérialisation des appels d’offres. Assurer un service public efficace et continu implique d’en être conscient.

L’administration électronique est aujourd’hui un outil stratégique du service public. Les Français ont désormais accès à leur mairie depuis leur téléphone ou ordinateur. Après la crise sanitaire du COVID-19 et les différents confinements qui ont suivi, cette approche s’est démocratisée, y compris au sein des petites communes. Formulaires en ligne, espace personnel pour gérer ses services, etc., de nombreuses démarches sont à portée de clics. Mais prendre en compte les questions de cybersécurité s’impose pour éviter le chaos en cas de pannes ou de cyberattaques.

C’est d’ailleurs le même cas de figure pour l’e-démocratie, à savoir tout ce qui concerne les interactions entre la collectivité et les administrés. Si les supports numériques varient (interaction forte avec des échanges directs, interaction modérée avec des enquêtes en ligne ou les réseaux sociaux, interaction faible avec des remontées d’informations ponctuelles), la cybermalveillance ne fait aucune distinction. Des cyberattaques ciblées peuvent ainsi entraîner des pertes de données personnelles, ce qui briserait la confiance des citoyens et impacterait leurs futures participations.

Quant à la dématérialisation des appels d’offres, bien qu’elle ait permis de simplifier la vie des PME, elle est aussi vulnérable face aux risques cyber. La moindre attaque peut considérablement nuire à la crédibilité et à l’efficacité économique des collectivités.

Dans tous les cas, il faut bien comprendre que les impacts peuvent être directs (vol de données, interruption des services administratifs, etc.) ou indirects (coûts financiers pour le rétablissement des services numériques, atteinte à la réputation, conséquences juridiques, etc.). Pour toutes ces raisons, les acteurs publics doivent redoubler de vigilance.

 

Les risques cyber vs le numérique public

Durant cet été 2024, l’AP-HP a été confrontée à la paralysie de ses serveurs. Cela a évidemment affecté ses outils numériques et services publics, comme l’accueil des patients, la lecture des analyses médicales ou la transmission des dossiers. S’il a depuis été confirmé qu’il s’agissait d’une panne et non d’une cyberattaque, cet incident révèle tout de même les risques importants auxquels les collectivités et territoires sont exposés en matière de cybersécurité. Un enjeu qui s’est vu confirmé par la suite avec une faille détectée chez un prestataire de Microsoft.

Avec plus de 5 millions d’agents en France, les services publics, administrations et collectivités constituent une cible de choix pour les cyberattaques. Selon le rapport d’activité 2023 « Au cœur de l’action cyber », publié par le GIP ACYMA (Groupement d’Intérêt Public Action contre la cybermalveillance), l’hameçonnage (phishing) représente la principale menace pour les collectivités territoriales, avec 27 % de demandes d’assistance, soit une hausse de 26 % par rapport à 2022. À noter qu’il existe différents types d’hameçonnage : e-mails, SMS (smishing), appels téléphoniques (vishing), publications sur les réseaux sociaux, liens sponsorisés sur les moteurs de recherches, ou encore QR codes.

Quoi qu’il arrive, ces formes de cybermalveillance cherchent à provoquer un sentiment d’urgence ou d’intérêt chez les victimes, de manière légitime et crédible, pour les inciter à réaliser une action. Il peut s’agir de leur soutirer des données personnelles ou confidentielles (mots de passe, numéros de carte bancaire, codes de validation), voire de leur faire télécharger un programme malveillant ou virus pour prendre le contrôle de leur appareil.

Après l’hameçonnage, ce sont les attaques par rançongiciel qui représentent 21 % des incidents, suivies du piratage de comptes en ligne à hauteur de 17,5 %. Bien que ces chiffres évoluent peu en termes de proportions, la hausse des volumes est alarmante : +73 % pour les défigurations de sites Internet, +71 % pour les programmes malveillants et +54 % pour les fraudes au faux support technique. On note même une hausse de 45 % pour les violations de données.

Tableau présentant les principaux risques cyber pour les collectivités en 2023.Tableau des principaux risques cyber pour les collectivités en 2023
(source : rapport d’activité 2023 « Au cœur de l’action cyber », publié par le GIP ACYMA)

Pour les collectivités, ce sont autant de menaces en constante progression qui illustrent la nécessité de mieux protéger :

  • Les données sensibles (état civil, prestations sociales, finances) ;
  • Les services en ligne (paiement des contraventions, déclarations d’imposition, inscriptions scolaires, gestion de la cantine, etc.) ;
  • Les systèmes et infrastructures (systèmes d’information et de communication, réseaux d’énergie, etc.).

Le rôle des politiques publiques et du cadre législatif

Pour contrer ces actes de cybermalveillance toujours plus nombreux, les politiques publiques ont légiféré et instauré des réglementations strictes. Ces dernières ont trois objectifs principaux :

  • Renforcer la confiance des usagers dans les services numériques ;
  • Garantir la protection de leurs données personnelles et des infrastructures qui les hébergent ;
  • Protéger les activités d’importance vitale ainsi que les services essentiels.

Le référentiel général de sécurité

Présenté le 6 mai 2010 par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Direction générale de la modernisation de l’État (DGME), puis révisé le 13 juin 2014, le référentiel général de sécurité (RGS) est LE guide à suivre en matière de sécurité dans les services numériques de l’administration. Non seulement il intègre des règles de protection des données et des bonnes pratiques en matière de sécurité des systèmes d’information, mais il oriente aussi les collectivités territoriales et acteurs publics dans leur gestion des risques liés à la cybermalveillance et aux cyberattaques.

La loi de programmation militaire

Adoptée en décembre 2013, la loi de programmation militaire (LPM) se concentre sur la protection des infrastructures critiques et des activités vitales. La LPM n°2023-703, qui couvre la période 2024-2030, renforce cet engagement en matière de cybersécurité, particulièrement au sein des collectivités et des services publics. Désormais, la gendarmerie joue un rôle majeur dans la lutte contre les cyberattaques, surtout face aux enjeux de sécurité nationale.

Le règlement général sur la protection des données et la loi pour une république numérique

En vigueur depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) impose aux acteurs publics et privés de protéger les données personnelles des citoyens, et ce, sur tout le territoire de l’Union européenne (UE). Par ailleurs, la loi pour une république numérique (LRN), adoptée en octobre 2016, complète le RGPD en introduisant des mesures relatives à l’Open Data et en renforçant la protection des données induite par le RGPD. Attention, toutes les collectivités territoriales doivent se conformer à ces exigences.

La directive Network and Information Security 2

La directive Network and Information Security (NIS), introduite en juillet 2016 et révisée par la suite pour devenir la directive NIS 2, entrera en vigueur en octobre 2024 et vise à garantir la protection des services essentiels au sein de l’Union européenne. Concrètement, ce texte propose des solutions de cybersécurité renforcées pour les entités publiques et privées, y compris pour les collectivités territoriales (au bon vouloir des États membres).

Illustration indiquant « Plus de 10 000 entités concernées sur 18 secteurs d'activité », avec des icônes représentant les collectivités territoriales, les administrations publiques, les moyennes entreprises, et les grandes entreprises.

De manière générale, la directive NIS 2 distingue deux types d’entités : les entités essentielles (régions, départements et communes de plus de 30 000 habitants, centres de gestion, établissements publics de coopération intercommunale, etc.) et les entités importantes (communautés de communes, établissements publics administratifs, etc.).

Illustration représentant les secteurs et sous-secteurs d'activités essentielles, incluant l'énergie, les transports, la santé, l'espace, l'eau potable, les eaux usées, l'administration publique, l'infrastructure numérique, les banques, les infrastructures des marchés financiers, et la gestion des services TIC. Les secteurs ajoutés par la directive NIS 2 sont marqués d'un signe plus vert. Illustration présentant les secteurs et sous-secteurs d'activités importantes.

Bon à savoir : Les collectivités territoriales sont responsables de la sécurité des données qu’elles traitent et de leurs services numériques, aussi bien vis-à-vis des autorités que des citoyens.

Quelles sont les mesures générales à mettre en place ?

Chaque service peut nécessiter des actions spécifiques de mise en œuvre. L’objectif ici n’est toutefois pas de détailler ces actions qui dépendent notamment de vos infrastructures numériques, de votre gouvernance, des actions déjà menées, des systèmes en place, ou encore des plans de continuité d’activité (PCA) et de reprise (PCR) déjà éprouvés. Si besoin, vous trouverez des informations plus générales sur cette page dédiée.

Quoi qu’il arrive, nos consultants et experts en cybersécurité peuvent auditer vos dispositifs existants et vous proposer une feuille de route adaptée. Par exemple, en matière de protection des données personnelles, plusieurs mesures clés sont possibles :

  • Nomination d’un délégué à la protection des données ;
  • Établissement d’un registre de traitement ;
  • Analyse d’impact (AIPD) lorsqu’un traitement présente un risque élevé pour les droits et libertés des citoyens ;
  • Mise en place de clauses contractuelles avec vos fournisseurs et sous-traitants en matière de cybersécurité ;
  • Notification rapide en cas de cyberattaques ou de violations de données personnelles ;
  • Mise en œuvre de moyens de sécurité proportionnés pour les infrastructures critiques ;
  • Gestion des incidents et des violations de données ;
  • Établissement d’un cadre solide avec les prestataires et partenaires ;
  • Formation et sensibilisation des utilisateurs sur les bonnes pratiques en matière de sécurité numérique pour maîtriser les actions réalisées ;
  • Mise en place d’une gouvernance solide ;
  • Tenue d’une documentation rigoureuse.

Notons que la formation et la sensibilisation jouent un rôle décisif dans la création d’une culture de la cybersécurité au sein des territoires. Les entités concernées par NIS 2, comme les collectivités territoriales, doivent ainsi mettre en place des programmes de formation pour renforcer leur sécurité numérique. Cela inclut des sessions régulières sur la gestion des risques et la réponse à donner aux incidents de cybermalveillance. L’idée est bien entendu de maintenir un haut niveau de vigilance pour éviter les erreurs humaines et mauvais comportements.

Cela va de soi, il n’y a pas de prévention possible sans politiques de sécurité robustes. Une mise à jour régulière des procédures d’urgence s’impose donc pour garantir une réponse efficace aux menaces et cyberattaques.

Bon à savoir : En France, c’est l’ANSSI qui représente l’autorité nationale en matière de cybersécurité et de cyberdéfense. Elle travaille avec un vaste panel d’acteurs publics et privés pour continuellement élever le niveau de cybersécurité global (fournisseurs de produits et services de cybersécurité, secteur de la recherche et de la formation, entités institutionnelles, etc.).

 

Et chez Adimeo, que proposons-nous ?

Chez Adimeo, chaque prestation de conception ou de réalisation, que ce soit dans le cadre de la maintenance ou d’un projet numérique, est minutieusement préparée, réalisée et délivrée en gardant au cœur de chaque étape la sécurité des dispositifs concernés.

  1. En phase de préparation et conception, nous appliquons rigoureusement le principe de « security by design », qui conditionne à la fois l’UX et l’architecture logicielle.
  2. Durant la phase d’implémentation, nous utilisons des design patterns qui intègrent toutes les mesures préventives contre les cyberattaques et les menaces de cybermalveillance.
  3. En phase de livraison et de validation, nous effectuons une analyse approfondie selon un référentiel de sécurité (OWASP, par exemple) qui garantit la conformité du projet avec les enjeux de protection des données et infrastructures numériques. Et pour auditer la sécurité, nous utilisons ZAP, de OWASP, et des scripts d’énumération qui identifient les vulnérabilités spécifiques à certains CMS (par exemple, Droopscan ou Drupwn pour Drupal et Wordpress).

En amont des projets

Le Plan d’Assurance Sécurité (PAS) est un document clé qui encadre l’organisation et la méthodologie à suivre pour gérer la sécurité des projets numériques. Établi par notre Responsable qualité en début de prestation, il assure une gestion efficace des risques cyber. Parmi les points abordés, nous pouvons citer :

  • La définition des indicateurs et des engagements de services ;
  • Le partage des responsabilités et la procédure d’évolution ;
  • Une matrice des exigences de sécurité et solutions retenues ;
  • Etc.

Signalons aussi que le PAS peut évoluer en fonction des besoins des collectivités et de l’évolution des risques de cyberattaques. Dans tous les cas, vous validez chaque modification jusqu’à la version finale fournie lors de la phase de réversibilité.

Sur le code

Pour le développement, y compris les développements avec le CMS Drupal, nos experts suivent scrupuleusement les règles du Référentiel Général de Sécurité (RGS). Les principales mesures de protection incluent :

  • L’authentification et le contrôle d’accès (mécanismes robustes comme SAML ou OAuth pour sécuriser l’accès, etc.) ;
  • La gestion des mots de passe (politique stricte avec des modules comme « Password Policy ») ;
  • Le chiffrement (certificats SSL/TLS pour sécuriser les communications, etc.) ;
  • La sécurité des données (chiffrement des informations sensibles, désactivation des fonctions inutiles, etc.) ;
  • La sécurité des modules (surveillance active des mises à jour de sécurité via le référentiel officiel Drupal.org) ;
  • Un audit de sécurité (utilisation d'outils tels que Drupal Security Review pour identifier et corriger les vulnérabilités) ;
  • Des mécanismes de surveillance (détection des activités suspectes, gestion des incidents) ;
  • La formation des développeurs, administrateurs et utilisateurs ;
  • La mise à disposition d’une documentation (description des politiques, procédures, configurations).

Grâce à SonarQube, nous pouvons remonter un ensemble de métriques de qualimétrie qui englobent les anomalies détectées, à l’image, par exemple, de la détection des vulnérabilités de sécurité (injection SQL, mots de passe écrits en clair, erreurs mal gérées). Le tout se base sur les standards OWASP et propose des mesures de remédiation aux équipes de développement.

En maintenance

Adimeo effectue une veille quotidienne pour tout ce qui concerne les incidents de sécurité. Nous nous appuyons sur les communautés Open Source et les alertes de l’ANSSI pour vous informer de tout risque, déterminer son niveau de criticité et d’impact, et mettre à jour vos services numériques.

Pour conclure, si la transformation numérique offre d’importantes opportunités pour les territoires, elle s’accompagne surtout de défis majeurs en matière de cybersécurité. Les collectivités locales doivent donc comprendre ces risques et mettre en place des stratégies efficaces pour protéger systèmes et données. En adoptant une approche proactive et en collaborant étroitement avec des experts, les territoires pourront non seulement se prémunir contre les cyberattaques, mais aussi continuer à innover et à offrir des services de qualité à leurs citoyens. Autant faire les choses bien !

Crédit photo : SmileStudioAP

Image mise en avant pour l'article
Marie-Claire Taché
Directrice Conseil @ADIMEO
Collectivités : pour une communication numérique éco-responsable des territoires
Voir le webinar !
Webinar
Cybersécurité : comment prévenir les cyberattaques sur votre site web ?
Voir le webinar
Vous souhaitez être conseillé ou accompagné dans votre projet de transformation digitale ?
Tout au long de votre projet, nos experts vous conseillent et vous accompagnent. Pour obtenir plus d'information, contactez-nous !
Contactez-nous