Cybersécurité : mieux sécuriser les territoires intelligents

Administration

Depuis la crise sanitaire, on a vu exploser les attaques informatiques et les rançongiciels visant les collectivités, avec notamment des impacts financiers, de perte de confiance et d’atteinte à l’image. La FNCCR préconise de sécuriser chacune des technologies adoptées par les territoires intelligents.

Blockchain, drones, ouverture des données, géolocalisation, internet des objets, bâtiments connectés… Les territoires intelligents font appel à des technologies qui peuvent mettre en péril la sécurité des systèmes d’information, explique la FNCCR dans une étude sur la cybersécurité des villes et territoires intelligents. En connectant de nombreux objets dans l’espace public et en rendant les systèmes informatiques interdépendants, ces territoires peuvent devenir la cible des cyberattaquants, ce qui impose de sécuriser les systèmes d’information publics et privés. Les auteurs de l’étude ont identifié seize technologies spécifiques, dont il conviendra de renforcer la sécurité dans une démarche de smart territoire. L’idée : proposer des pistes de sécurisation minimum par technologie, en y associant chaque fois trois cas d’usage, qui peuvent servir de référence aux collectivités désireuses de déployer la même technologie.

Près de la moitié des collectivités de plus de 50 000 habitants interrogées à l’occasion de cette étude considèrent avoir été régulièrement touchées par une attaque. Le mail piégé (67 %) et le virus informatique (57 %) restent les procédés favoris des pirates. Pourtant, les collectivités qui lancent une démarche de territoire intelligent semblent peu préoccupées par la sécurité : interrogées par la FNCCR, 16 % seulement affirment avoir perçu la cybersécurité comme un enjeu-clef ; 41 % ne l’ont pas prise en compte et 43 % ne savent pas.

Toutefois, les enjeux de sécurité des collectivités diffèrent de ce qui prévaut dans les entreprises. En cause : la notion de service public qui rend plus cruciales les conséquences des attaques, l’interopérabilité entre systèmes de générations différentes en évolution perpétuelle, l’intégration de nombreux services dans un même système… La collectivité doit « endosser le rôle de chef d’orchestre de tout cet ensemble », précise la FNCCR. Sachant qu’un cyberattaquant s’infiltre toujours par le maillon le plus faible du système, ce chef d’orchestre doit veiller à un niveau de sécurité homogène dans la collectivité (transports, distribution d’énergie, commerces et industries, culture…) qui doit aussi concerner les citoyens et l’administration de la collectivité.

Or, il manque encore, dans de nombreuses collectivités, une vision stratégique de la cybersécurité, avec un projet d’ensemble qui implique élus, techniciens et agents autour de pratiques communes pour guider l’ensemble des projets numériques. Il convient de prendre en compte la cybersécurité dès la conception du projet de territoire intelligent (cybersecurity by design).

Ce projet doit être adapté aux différentes collectivités. Le volet cybersécurité du Plan de relance de septembre 2020 représente notamment une opportunité d’amorcer la sécurisation informatique et de financer la création de relais locaux de soutien. Piloté par l’Agence nationale de sécurité des systèmes d’information (doté de 136 millions d’euros), il vise en effet à renforcer la cybersécurité de la sphère publique par le financement de parcours de cybersécurité et la création de centres de réponse cyber de proximité, afin d’offrir au niveau régional un premier niveau de soutien aux acteurs victimes de cyberattaques.

Martine Courgnaud – Del Ry

Cinq pistes de sécurisation primordiales

  • Réduire la dépendance aux infrastructures tiers
  • Prévoir des redondances et des processus à appliquer en cas de panne de service
  • Appliquer les mesures pertinentes de sécurité des systèmes d’information
  • Renforcer les contrôles et la traçabilité des accès
  • Chiffrer les données qui transitent sur ces réseaux

 

Ne pas payer les rançons

Payer la rançon demandée par les cyberpirates revient à les encourager. Et ce n’est pas pour autant que l’on récupère ses données. Pour ne pas alimenter la cybercriminalité, un rapport de Valéria Faure-Muntian, députée de la Loire, déposé le 13 octobre, préconise donc d’interdire aux assureurs de garantir ou d’indemniser la rançon en cas d’attaque par rançongiciel.

Posté le par

Recommander cet article