Renforcer la sécurité des systèmes d’information

Publié le 11 mars 2014 à 0h00 - par

Les sites internet des collectivités sont régulièrement victimes d’attaques informatiques, parfois insoupçonnables. L’Agence nationale de la sécurité des systèmes d’information explique comment s’en prémunir.

Chaque année, des centaines de sites internet de communes, conseils généraux ou régionaux subissent des attaques informatiques, qui ne sont malheureusement pas toutes détectées. Elles peuvent altérer l’image de la collectivité et engendrer perte de confiance des usagers, indisponibilité des services, altération ou vol de données…

En outre, la collectivité risque d’engager sa responsabilité à son insu. Pour mettre en garde les collectivités, mal informées, sur l’importance de la sécurité informatique, l’Agence nationale de la sécurité des systèmes d’information (Anssi) publie un dépliant* qui recense les différents risques et explique comment les éviter. Le fascicule renvoie notamment à diverses pages de conseils pratiques, disponibles sur le site de l’Anssi.

Relayer un message politique à l’insu de la commune

En effet, les systèmes informatiques des collectivités recèlent de nombreuses informations, qu’il est indispensable de protéger : schémas d’aménagement, projets de délibérations ou de consultations, documents budgétaires, données d’état civil ou de messagerie électronique… Le dépliant passe les menaces en revue, qu’il s’agisse d’attaques informatiques dites « visibles » ou d’autres, plus discrètes et difficiles à déceler.

La « défiguration » consiste à modifier l’aspect du site internet de la collectivité, en remplaçant les informations qu’il contient, pour relayer un message politique ou dénigrer le maire, par exemple. Le déni de service rend le site attaqué indisponible pour ses utilisateurs légitimes.

Le phishing (filoutage) arnaque les internautes en utilisant le nom et l’apparence d’un site : demande de renseignements personnels, de coordonnées bancaires… Les données gérées par la collectivité peuvent aussi être volées ou modifiées frauduleusement. En particulier, les renseignements bancaires des usagers qui bénéficient de services payants : cantine scolaire, activités sportives, points d’accès wi-fi…

Le système informatique de la collectivité peut également être utilisé pour héberger des données illicites : pédo-pornographie, terrorisme… Il peut aussi servir de relais dans une attaque élaborée vers un système tiers.

Analyse des risques

L’Anssi conseille aux collectivités d’exiger que leurs prestataires informatiques procèdent à une analyse des risques des systèmes d’informations (SI). Cinq prestataires d’audit de la sécurité des SI sont en cours de qualification.

Le site de l’Anssi recense également des catalogues de produits et services, certifiés ou qualifiés, que le service achat devrait systématiquement consulter : dispositifs d’identification, d’authentification, de contrôle d’accès, pare-feu de filtrage (firewall), antivirus, détection d’intrusion, stockage sécurisé, messageries, effacement de données, virtualisation…

Quant au service informatique, il doit exiger le respect des clauses de sécurité dans ses appels d’offres dans différents domaines : postes de travail, serveurs, messageries, imprimantes, liaisons sans fil, réseaux, applications web, vidéoprotection, technologies sans contact… Toutes les recommandations figurent sur le site de l’Anssi.

Il convient également de se référer aux quarante recommandations destinées à  assurer la sécurité des systèmes informatiques, et de sécuriser les accès extérieurs au système d’information de la collectivité, notamment les sites web.

Marie Gasnier

Pour en savoir plus : Bonnes pratiques de l’informatique pour les collectivités locales, Anssi, décembre 2013


On vous accompagne

Retrouvez les dernières fiches sur la thématique « Institutions et administration territoriale »

Voir toutes les ressources numériques Institutions et administration territoriale