Les attaques récentes de ransomware sur les villes américaines de Baltimore, Atlanta indiquent la transformation de menaces auparavant confinées au secteur privé. Ces attaques, pouvant coûter plusieurs dizaines millions de dollars aux villes représentent un réel danger auquel les organismes publics sont souvent mal préparés.
Dès lors, concrètement, quelle est la situation dans les collectivités territoriales françaises ? Pour essayer de répondre à ces questions, il était logique d’aller interroger quelqu’un en lien direct avec les collectivités. C’est le cas d’Emmanuel Vivé, président d’une association qui travaille au quotidien avec les collectivités territoriales.
publicité
Declic nécessaire
Emmanuel Vivé préside l’association Declic, qui a pour mission d’aider une variété de collectivités territoriales de tailles différentes. Via les 35 structures départementales et régionales qui adhèrent à l’association, il s’agit de plus de 17 000 communes qui sont représentées et accompagnées. Cela représente presque la moitié des communes de France.
L’association Declic à pour but de récolter et redistribuer l’expérience acquise au sein de ses membres afin que chaque opérateur public (Mairie, École, Bibliothèque) puisse trouver et construire le modèle le plus adapté à ses contraintes.
Depuis 2003 et la loi sur la décentralisation les collectivités territoriales suivent la règle de la libre administration. Cela signifie qu’on peut trouver “autant d’approches que de collectivités locales” comme l’indique Mr Vivé.
En plus de présider Declic, Mr Vivé dirige une des structures membres de Declic, l’Adico (Association pour le Développement et l’Innovation numérique des COllectivités) située dans l’Oise, réalisant plus de 1500 interventions dans les collectivités chaque année.
Avec près de 36 000 communes en France, on imagine le travail qui doit être abattu par des structures associatives comme l’ADICO et Declic, comme le confirme Mr Vivé : “La charge de travail attendue est énorme car elle est ‘individuelle’. […] Le problème est multiple, concerne à la fois petites et grandes collectivités, est à pour cause différentes raisons. C’est à la fois une question de sensibilisation et de formation mais aussi de moyens financiers (même si la contrainte financière n’est pas la principale).”
Pendant longtemps, la question de la sécurité a été compliquée à aborder par les collectivités notamment les plus petites, ne voyant pas la sécurité comme une priorité. Il y a donc un important travail de sensibilisation en amont, en plusieurs étapes, à effectuer comme détaillé par le président de Declic : “La sensibilisation des élus et des agents sur les risques existants (cela n’arrive pas qu’aux autres, avez-vous évalué le coût d’une attaque détruisant vos données ? etc).
Il est primordial de commencer par faire prendre conscience que le risque les concerne aussi (nous ne sommes pas concernés, nos données n’intéressent personne, notre organisation n’est pas à risque…). Il faut ensuite adapter la réponse aux possibilités (humaines et financières) de la collectivité. Et faire prendre conscience que c’est une charge (humaine et financière) permanente”
Le contexte actuel aide le discours de l’association, puisque des collectivités de taille modeste telles que celle que Sarrebourg ont récemment été la cible d’une attaque de type ransomware cet été.
Le DPO, rouage clef ?
Ces attaques sont de fait plus compliquées à gérer dans des petites collectivités qui peuvent être mal préparées. Mais l’entrée en vigueur du RGPD en 2018 à impliqué l’obligation de nommer un DPO (Data Protection Officer, Délégué à la Protection des Données) dans toutes les collectivités, y compris les plus petites. Et cette nouvelle obligation les force dès lors à ne plus délaisser cette thématique, et à remettre la sécurité dans les discussions : “Je pense que c’est effectivement un début. C’est donc passé par une obligation pour les collectivités locales (de nommer un DPO) avec des sanctions. Cela a le mérite de faire ressortir ces sujets.”
De fait malgré un retard certain sur la sécurité, il semble que c’est par l’angle des données qu’un rattrapage semble être en court selon Mr Vivé “Nous observons une accélération dans le cadre de la mise en conformité au RGPD des collectivités. Ce sujet en a entraîné 2 autres : je maîtrise ma donnée. Donc je vais pouvoir la partager mais aussi la sécuriser.”
Pour le président de l’association Déclic, le DPO est en effet un bon relai, contrairement aux correspondants informatique et liberté (CIL) dont la nomination était facultative : “Le DPO est une porte d’entrée intéressante car il conseille et oriente.”
C’est notamment le cas lors d’une attaque récente dans une collectivité avec laquelle Mr Vivé a été contact : “Nous avons l’exemple cet été d’une mairie de 5 000 habitants qui a été attaquée. L’attaque est venue par un serveur d’impression via un mot de passe administrateur constructeur non changé. Le virus à chiffré beaucoup de postes et une partie du serveur. La sauvegarde externalisée s’est avérée peu fonctionnelle. Le DPO a fait faire un dépôt de plainte à la gendarmerie et une déclaration à la CNIL.”
Un exemple qui à permis à la collectivité d’ouvrir les yeux sur ses lacunes: “Le rapport faisait mention de ces risques et le Maire a reconnu un manque d’anticipation. Un audit de sécurité a conforté la situation et un véritable plan d’amélioration est en cours.”
Comments