Renforcer la sécurité des systèmes d’information

Administration

Les sites internet des collectivités sont régulièrement victimes d’attaques informatiques, parfois insoupçonnables. L’Agence nationale de la sécurité des systèmes d’information explique comment s’en prémunir.

Chaque année, des centaines de sites internet de communes, conseils généraux ou régionaux subissent des attaques informatiques, qui ne sont malheureusement pas toutes détectées. Elles peuvent altérer l’image de la collectivité et engendrer perte de confiance des usagers, indisponibilité des services, altération ou vol de données…

En outre, la collectivité risque d’engager sa responsabilité à son insu. Pour mettre en garde les collectivités, mal informées, sur l’importance de la sécurité informatique, l’Agence nationale de la sécurité des systèmes d’information (Anssi) publie un dépliant* qui recense les différents risques et explique comment les éviter. Le fascicule renvoie notamment à diverses pages de conseils pratiques, disponibles sur le site de l’Anssi.
 

Relayer un message politique à l’insu de la commune

En effet, les systèmes informatiques des collectivités recèlent de nombreuses informations, qu’il est indispensable de protéger : schémas d’aménagement, projets de délibérations ou de consultations, documents budgétaires, données d’état civil ou de messagerie électronique… Le dépliant passe les menaces en revue, qu’il s’agisse d’attaques informatiques dites « visibles » ou d’autres, plus discrètes et difficiles à déceler.

La « défiguration » consiste à modifier l’aspect du site internet de la collectivité, en remplaçant les informations qu’il contient, pour relayer un message politique ou dénigrer le maire, par exemple. Le déni de service rend le site attaqué indisponible pour ses utilisateurs légitimes.

Le phishing (filoutage) arnaque les internautes en utilisant le nom et l’apparence d’un site : demande de renseignements personnels, de coordonnées bancaires… Les données gérées par la collectivité peuvent aussi être volées ou modifiées frauduleusement. En particulier, les renseignements bancaires des usagers qui bénéficient de services payants : cantine scolaire, activités sportives, points d’accès wi-fi…

Le système informatique de la collectivité peut également être utilisé pour héberger des données illicites : pédo-pornographie, terrorisme… Il peut aussi servir de relais dans une attaque élaborée vers un système tiers.
 

Analyse des risques

L’Anssi conseille aux collectivités d’exiger que leurs prestataires informatiques procèdent à une analyse des risques des systèmes d’informations (SI). Cinq prestataires d’audit de la sécurité des SI sont en cours de qualification.

Le site de l’Anssi recense également des catalogues de produits et services, certifiés ou qualifiés, que le service achat devrait systématiquement consulter : dispositifs d’identification, d’authentification, de contrôle d’accès, pare-feu de filtrage (firewall), antivirus, détection d’intrusion, stockage sécurisé, messageries, effacement de données, virtualisation…

Quant au service informatique, il doit exiger le respect des clauses de sécurité dans ses appels d’offres dans différents domaines : postes de travail, serveurs, messageries, imprimantes, liaisons sans fil, réseaux, applications web, vidéoprotection, technologies sans contact… Toutes les recommandations figurent sur le site de l’Anssi.

Il convient également de se référer aux quarante recommandations destinées à  assurer la sécurité des systèmes informatiques, et de sécuriser les accès extérieurs au système d’information de la collectivité, notamment les sites web.

Marie Gasnier
 

Pour en savoir plus : *Bonnes pratiques de l’informatique pour les collectivités locales, Anssi, décembre 2013

 

Weka formation vous propose une formation adaptée à vos besoins :
 

Weka formation

Veille stratégique sur Internet et e-réputation

Objectifs : optimiser la veille stratégique et protéger son image par l’utilisation du web.


  • Accroître les performances de votre institution en optimisant la collecte d’informations sur Internet.
     
  • Déployer une méthodologie pour construire un plan de veille territoriale.
     
  • Comprendre les mécanismes de la communication d’influence.
     
  • Protéger l’image et l’E-réputation de votre collectivité ou institution.
     

Posté le par

Recommander cet article

Réagissez à cet article sur le forum