La cybersécurité : un atout pour la relance

Administration

Les cyberattaques contre les collectivités et les établissements publics de santé se multiplient ces dernières semaines. Comment les administrations locales se protègent-elles ? Au-delà de la nécessité de faire face à ces menaces, la cybersécurité s’avère être un véritable enjeu économique. Entretien avec Guillaume Hénin, DSSI de la Région Normandie.

Qu’est-ce qu’un DSSI et depuis quand les administrations locales doivent-elles en avoir un ?

Guillaume Hénin, DSSI de la Région Normandie
Guillaume Hénin, DSSI de la Région Normandie

J’ai été recruté en 2010 par ma collectivité en tant qu’administrateur réseaux, systèmes et sécurité. De ce fait, j’étais déjà bien identifié par mes collègues comme traitant de la sécurité des systèmes et réseaux en 2016 quand, à l’occasion de la fusion des régions, la fonction de délégué à la sécurité des systèmes d’information (DSSI) a été créée, à temps partagé au sein du service Infrastructures numériques. Ce n’est toutefois que depuis le mois de juin 2020 que le poste est à temps complet sur cette mission désormais rattachée au directeur Ressources et Transformations numériques.

Sa raison d’être et ses évolutions doivent se comprendre au regard, d’une part, d’un certain nombre de contraintes réglementaires (notamment le RGS)1, et d’autre part, à une volonté.

Le RGS nous impose dans nos relations avec l’usager ou une autre autorité administrative (par exemple entre une administration locale et l’État) via un téléservice, de certifier par une homologation que la sécurité des systèmes mise en œuvre a bien été analysée et prise en compte.

Ma fonction doit être distinguée de celle du délégué à la protection des données (DPO) prévue par le règlement général sur la protection des données (RGPD) car leurs objectifs se recoupent sans se confondre : le RGPD vise à protéger les données personnelles – quel qu’en soit le support papier ou numérique – alors que le RGS vise à assurer la sécurité des systèmes d’information (SSI). Les deux textes n’ont donc pas la même portée. C’est pourquoi l’action du DPO et du DSSI sont complémentaires et nous travaillons en collaboration.

Dans certains cas, un organisme peut se voir dans l’obligation de nommer un RSSI lorsqu’il a été classé d’importance vitale ou de service essentiel, mais rien n’interdit aux administrations locales de s’inscrire dans une démarche volontaire en la matière.

L’évolution de la fonction s’explique-t-elle par une recrudescence des attaques ?

Les collectivités subissent régulièrement, et depuis longtemps, des attaques sur leurs systèmes d’informations. Globalement le rythme est d’une attaque importante tous les 12 à 18 mois, des attaques mineures arrivant tous les jours.

Dans le cas de ma collectivité, celles-ci n’ont jusqu’à présent pas eu de conséquences importantes, sans doute parce qu’elles ont pu être traitées à temps. La dernière date de décembre 2019. Mais on remarque effectivement une forte augmentation des attaques, notamment ces deux dernières années et les exemples ne manquent pas de collectivités paralysées par de telles attaques.

Il ne faut plus se dire « Que faire si ça m’arrive ? » mais « Que faire quand cela m’arrivera ? », car tôt ou tard un attaquant sera plus malin et passera les défenses.

Même si cela montre que certaines collectivités ont réussi à obtenir un niveau de protection correct, la nature des attaques change justement en raison de cette protection : les attaques sont de plus en plus sophistiquées. Les organisations les plus avancées dans la cyberprotection sont beaucoup moins facilement atteignables par des attaques classiques, notamment des virus connus, en partie parce qu’elles ont mis en place des restrictions d’usages, comme l’interdiction d’utiliser des macros ; ce qui empêche les hackers de pénétrer le système par ce biais, ou le fait d’utiliser des antivirus de façon croisée : 2 antivirus de 2 éditeurs différents sont mobilisés, un premier installé sur tous les postes et un autre protégeant la messagerie et les serveurs.

Mais les outils de protection ne permettent pas d’éliminer tous les risques, et l’une des plus grandes fragilités en cybersécurité reste le facteur humain. Un défaut d’inattention, un besoin de réaliser une action dans l’urgence, des erreurs de configuration sont autant de risques de laisser par inadvertance une porte ouverte aux attaquants. C’est pourquoi nous sommes également engagés dans une sensibilisation et une formation de nos agents aux risques liés aux outils numériques.

Le plan de relance aide les administrations locales à investir dans leur cybersécurité. En quoi cela est-il en lien avec l’idée de relance de l’économie ?

Le lien entre relance économique et protection de nos propres systèmes se vérifie à plusieurs égards. Nous essayons, dans nos analyses de risques, d’avoir une vue à 360° et de prendre en compte les risques induits par tout type de malveillance (fraude, détournement de fonctions, etc.) et tout type d’atteinte aux données (vol, destruction, corruption…).

Il s’agit notamment de nous protéger du phénomène actuel de ransomware qui consiste pour une personne malveillante à paralyser le système d’information d’une entité contre rémunération. C’est l’attaque la plus courante en ce moment. Les pirates sont passés pour ce type d’attaque d’une économie de masse (beaucoup de petits gains), visant principalement les particuliers, à la « chasse au gros gibier » en visant spécifiquement les organismes ayant des budgets importants, par des attaques ciblées.

Outre le coût direct pour la collectivité nécessaire à la remise en fonctionnement de ses systèmes et la perte correspondant aux rémunérations du personnel ne pouvant plus travailler, une telle paralysie ne manquerait pas de porter préjudice à l’économie du territoire en empêchant les administrations – comme les régions – à exercer leurs compétences économiques.

Enfin la relance nécessite la confiance des citoyens : garantir l’usage de services en ligne plus sûrs permet d’améliorer la confiance numérique et de prendre part à la restauration de la confiance globale.

N’y a-t-il pas également un risque en termes de secret des affaires ?

Deux types d’attaques sont particulièrement redoutés de nos jours.

La première, c’est la « 0-Day vulnerability » qui consiste à exploiter une vulnérabilité d’un logiciel avant qu’elle ne soit connue. L’éditeur du logiciel ignorant lui-même son existence, aucun correctif n’existe. La seconde c’est l’attaque qui exploite une vulnérabilité humaine, le fameux « phishing » : un utilisateur reçoit un mail qui lui demande d’exécuter une action qui va le conduire à fournir à un tiers, sans s’en rendre compte, son login et son mot de passe. L’attaquant peut alors se connecter via les outils mis à disposition pour le télétravail et accéder aux serveurs pour récupérer des données, ou déployer un ransomware.

À chaque fois, la manœuvre permet à l’attaquant d’accéder à des données personnelles ou de nature économique, le ransomware n’étant parfois là que pour masquer les traces (la « cerise sur le gâteau » si l’organisme paye la rançon).

Nous avons le devoir de protéger ces données de valeur, et cette obligation peut également être règlementée. Par exemple, dans le cadre du transport et de l’ouverture à la concurrence, les régions sont soumises à l’article L. 2121-19 du Code des transports et au décret n° 2019-851 du 20 août 2019 qui les obligent à mettre en place un plan de gestion des données couvertes par le secret des affaires. Ce sont ces données à haute valeur économique qui pourraient être volées puis revendues. De même, les régions peuvent être amenées à demander dans le cadre de leur politique de soutien à l’économie un certain nombre d’informations confidentielles aux opérateurs économiques ou aux centres de recherches qui pourraient également tomber entre des mains malveillantes avec ce type d’attaque, par exemple des études dont les résultats ne sont pas encore brevetés. Si un concurrent y avait accès, cela pourrait compromettre le développement de l’entreprise, voire sa survie.

La cybersécurité joue-t-elle un autre un effet levier sur l’économie ?

Oui, car sa mise en œuvre suppose un certain nombre d’audits et d’analyses de risques qui conduisent les administrations locales à recourir aux services de prestataires dans le cadre de procédures de marchés publics.

Dans le cas de notre collectivité par exemple, une étude est demandée tous les 2 ou 3 ans pour chaque téléservice mis en œuvre. Ces audits participent à l’amélioration de la sécurité des produits de nos fournisseurs et ont donc un impact économique puisqu’ils améliorent la valeur de ces produits.

À cela s’ajoute l’investissement dans un certain nombre d’outils informatiques pour se protéger : des outils défensifs pour sécuriser/segmenter le système d’information, des outils d’alerte qui détectent et préviennent en cas de comportements anormaux ou inhabituels ou encore des outils de vérification, de traçabilité (etc.) pour avoir des rapports a posteriori sur qui a accédé aux systèmes et informations. Nous faisons également appel à des prestataires pour la sensibilisation de nos agents afin de réduire le risque humain.

Tout ceci représente le volet prévention de la cybersécurité, mais nous investissons aussi dans la résilience pour le jour où un pirate trouvera le défaut de nos protections et parviendra à entrer pour détruire nos systèmes. Nous avons donc comme toute organisation des systèmes de sauvegarde dans le but de nous permettre de reconstruire notre système d’information s’il venait à être totalement détruit.

Tous ces systèmes ou prestations technologiques ont un coût parfois élevé. Il est difficile de chiffrer avec précision le budget que nous consacrons à la cybersécurité car il n’est pas toujours possible d’isoler le coût de la protection intégrée aux produits – de même que lorsque vous achetez une voiture vous ne savez pas combien coûtent les airbag – mais je l’estime à, au moins, 5 % du budget de la direction.

Toutefois il ne faut pas voir les dépenses de cybersécurité uniquement comme un coût. Ces dépenses, par leur participation à l’amélioration des produits ou simplification des processus (par exemple automatisation de contrôles), peuvent aussi amener des gains de productivité. Enfin, il faut les mettre en regard du coût qu’aurait une cyberattaque réussie empêchant les services de travailler.

Propos recueillis par Fabien Bottini, Consultant qualifié aux Fonctions de Professeurs des Universités


1 Le Référentiel général de sécurité (RGS) pris en application du décret n° 2010-112 du 2 février 2010 (lui-même pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives, NDRL) met en effet un certain nombre d’obligations à la charge des autorités administratives dans le cadre du développement des téléservices et des échanges électroniques entre l’administration et les usagers. La mise en œuvre de ce texte est complétée par le Guide d’achat de produits de sécurité et de services de confiance qualifiés édité par l’Autorité nationale en matière de sécurité et de défense des systèmes d’information (ANSII).

Pour en savoir plus : ne manquez pas notre web-conférence interactive avec Verso Healthcare « La sécurité numérique, un nouvel enjeu majeur pour les acheteurs et les décideurs » mardi 21 avril 2021, avec Émeline Vandeven, Consultante open data et commande publique, Datactivist, Michaël Taine, Directeur de l’Innovation Numérique et des Systèmes d’Information du GHT des Alpes-Maritimes et Sébastien Taupiac, Directeur du développement, Verso Healthcare.

La sécurité numérique, un nouvel enjeu majeur pour les acheteurs et les décideurs

Posté le par

Recommander cet article