L’AMF publie un guide pratique sur la cybersécurité dans les collectivités

Administration

En cas d’attaque informatique, la responsabilité de l’élu peut être engagée. Pour éviter au maximum les risques importants liés à la cybersécurité, la commune doit adopter une politique de sécurité numérique et de protection des données. Un guide réalisé par l’AMF avec l’aide de l’ANSSI expose les bonnes pratiques.

En 2019, quatre-vingt douze incidents de cybersécurité plus ou moins graves ont été recensés dans les communes et intercommunalités – aucun incident majeur cependant -. Une attaque informatique a des conséquences très importantes sur la collectivité : indisponibilité du système d’information et des outils de travail, mise en péril des données sensibles, atteinte de l’image de la commune qui, en outre, ne peut plus assurer sa mission, problèmes psychologiques chez certains agents qui se sentent manipulés ou abusés par les cyberpirates… Et la responsabilité même de l’élu peut être engagée. Face à ces risques, les collectivités doivent adopter des mesures préventives et des scénarios de défense. Elles peuvent s’inspirer des recommandations pratiques du guide publié en novembre par l’AMF avec le concours de l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Un document très riche qui vise à susciter chez les élus une prise de conscience et à vérifier si leur collectivité est prête à affronter les risques cyber et leurs conséquences.

Quatre objectifs sont prioritaires : sensibiliser les agents au changement ; avoir une vision claire des systèmes d’information (SI) et de leur pertinence (activités et services rendus) ; analyser le risque numérique dans les clauses contractuelles des marchés de prestations informatiques (sous-traitants compris) et prévoir les futures clauses à insérer dans les marchés ; élaborer un plan de crise. Il s’agit pour la collectivité, après avoir effectué un inventaire cartographique des systèmes d’information, ordinateurs, et applications ainsi que des intervenants en lien direct ou indirect avec elle, et identifié la menace potentielle qu’ils représentent, de se doter de compétences, d’outils et de moyens financiers à la hauteur du niveau de disponibilité attendu du système d’information. Les moyens de réduire le risque seront étudiés à la lumière de scénarios de risque estimant les impacts et le coût, pour chaque type d’attaque (aspiration du contenu de site internet, prise de contrôle du SI ou des messageries, vol de données sensibles, demande de rançon…). La décision d’allouer des ressources de lutte contre le risque cyber doit faire l’objet d’un acte formel.

Dans les plus petites communes, un adjoint au maire peut suivre le sujet. Pour les autres, un comité de pilotage réunissant élus et techniciens, présidé par un élu référent, peut être constitué. Dans les EPCI, la gouvernance peut être confiée à l’échelle intercommunale, en impliquant étroitement les communes. L’organisation comprendra un comité technique et une commission d’élus (dont ceux des communes membres), avec un élu référent qui proposera les choix et les arbitrages aux assemblées délibérantes. La gestion de la cybersécurité peut être mutualisée entre plusieurs communes, la structure intercommunale jouant alors un rôle pivot d’organisateur et de facilitateur. Un service spécifique commun mutualisé peut être créé.

La résolution d’une crise de sécurité numérique n’est pas immédiate. Il convient donc de prévoir des plans de crise et des plans de continuité d’activité (PCA), comme pour tout autre risque (intempéries, incendie, accident majeur…). Des scénarios de cyberattaques doivent être intégrés au PCA, en s’appuyant sur la méthodologie préconisée par le secrétariat général de la défense et de la sécurité nationale (SGDSN), par exemple. Si le risque survient, il faut saisir l’ANSSI, Cybermalveillance, la Cnil, et porter plainte auprès de la police ou de la gendarmerie ; le site de l’ANSSI explique la marche à suivre. Des structures de mutualisation numérique de proximité existent, comme l’association Déclic. Pendant la crise, un responsable de la diffusion des informations doit être désigné. Il faut par la suite rédiger un retour d’expérience (Retex) et afficher, en interne et en externe, les réussites de la gestion de crise. Tenir une main courante de l’ensemble des événements survenus est essentiel : constats, décisions, actions… Cette traçabilité permettra à la cellule de crise d’identifier les points forts et les points faibles de la conduite de résolution de crise afin de prendre les mesures qui s’imposent.

Marie Gasnier

L’origine des attaques informatiques est aussi bien externe (site internet, téléphone mobile, cybercriminels…) qu’interne (élus, agents, prestataires, clefs USB…). On ne le répétera jamais assez : les mots de passe doivent être changés régulièrement et ne pas être inscrits à côté de l’ordinateur… Mais c’est aussi le facteur humain qui permet de réduire les risques.

Posté le par

Recommander cet article