Les collectivités ont des pratiques inégales en sécurité informatique

Administration

La politique de sécurité informatique des collectivités ne peut que progresser. L’utilisation des outils personnels et la mobilité des agents devraient être des points de vigilance.

Moins d’un tiers des collectivités (31 %) ont adopté une politique de sécurité informatique, selon une étude du Club de la sécurité de l’information français (Clusif)*. Pourtant, plus de deux sur trois (68 %) reconnaissent que leurs activités dépendent fortement de l’informatique, poussées notamment par l’évolution de l’e-administration : téléprocédures, dématérialisation des marchés publics…

Les structures intercommunales, plus jeunes, et les villes moyennes, se préoccupent moins de la sécurité informatique que les conseils généraux, conseils régionaux et grandes villes. Sans doute par manque de moyens et par ignorance.

Principal frein à la conduite des missions de sécurité : l’absence de personnel qualifié (33 %). Viennent ensuite (27 % pour chacun) le manque de connaissances et les moyens financiers contraints, ce qui représente une différence notable avec la précédent enquête du Clusif : en 2008, le manque de budget était la principale raison invoquée. Les budgets consacrés à la sécurité de l’information sont toutefois variables en fonction de la taille des collectivités.
 

Sensibiliser les agents

Le Clusif note que 62 % des collectivités seulement appuient leur politique de sécurité sur des référentiels et qu’elles ne sont que 32 % à avoir désigné un responsable de la sécurité des systèmes d’information (RSSI ou RSI). Une collectivité sur trois (33 %) adopte une démarche formelle d’analyse des risques au moins partielle, chiffre en diminution par rapport à 2008.

La sensibilisation des utilisateurs à la sécurité n’a pas progressé. Seules 29 % des collectivités ont lancé ou préparent des actions de sensibilisation, alors que les agents sont de plus en plus nombreux à utiliser leurs outils informatiques personnels sur les lieux de travail, renforçant la vulnérabilité du système d’information.

Les experts du Clusif estiment que ce phénomène du « Byod » (Buy Your Own Device) devrait inciter les collectivités à communiquer sur la sécurité auprès de leurs agents, notamment – mais pas uniquement – par la formalisation de chartes informatiques.

Un autre point à surveiller est la mobilité des agents au sein des collectivités. La direction des systèmes d’information (DSI) n’est pas systématiquement informée des départs ou des mutations. Or, ces mouvements de personnel devraient entraîner la clôture de leurs droits d’accès au réseau de la collectivité et la restitution de tout le matériel informatique.

La rigueur budgétaire aura probablement un impact sur la sécurité des systèmes d’information. Rationaliser les dépenses impliquera de concentrer les moyens sur les points les plus sensibles. Pour cela, les collectivités devront procéder à des analyses de risques informatiques plus élaborées.

Marie Gasnier

Texte de référence : « Menaces informatiques et pratiques de sécurité en France« , Clusif, édition 2012

* Le Clusif a interrogé 205 grandes collectivités représentatives des conseils régionaux, conseils généraux, communautés urbaines, communautés d’agglomération, communes de plus de 30 000 habitants et communautés de communes de plus de 10 000 habitants. L’étude compare des résultats obtenus par une enquête similaire menée en 2008.

Posté le par

Recommander cet article

Réagissez à cet article sur le forum