Télétravail : les collectivités doivent renforcer la cybersécurité

Administration

La montée en puissance des activités en télétravail, sans préparation spécifique, liée au Covid-19, est une aubaine pour les cybercriminels. D’où l’importance, pour la collectivité, de renforcer la sécurité de son réseau informatique. Un guide de l’Anssi donne toutes les clefs pour y parvenir.

La généralisation accélérée du télétravail, imposée par la pandémie de coronavirus, attise la malveillance informatique. Comme dans le sud, où trois collectivités ont été ciblées par un logiciel de demande de rançon (ransomware ou rançongiciel), le 18 mars 2020, qui a rendu certains fichiers informatiques inutilisables. Il convient de se préparer pour pouvoir réagir en cas d’incident de sécurité, et notamment mettre en garde les agents contre les tentatives de phishing (hameçonnage) : un mail frauduleux qui vise à demander à l’internaute ses identifiants de connexion. Il est donc nécessaire d’investir dans des filtres antispam et anti-phishing qui permettent de limiter le nombre de messages de ce type. Par ailleurs, les accès à distance au réseau privé virtuel (VPN) de la collectivité, indispensables au télétravail, doivent être limités avec des droits propres à chaque utilisateur. L’Agence nationale de la sécurité des systèmes d’information (Anssi) vient de publier un guide sur la protection des systèmes d’information des collectivités territoriales. Il présente la réglementation relative à la sécurité et fournit des recommandations et de nombreux liens : ouvrages pratiques, prestataires qualifiés…

Dans un premier temps, il convient d’adopter un processus de gestion des incidents qui définit ce qui est considéré comme un incident de sécurité et le communiquer aux agents, afin qu’ils disposent d’un « vocabulaire commun » et soient capables d’identifier un incident de sécurité, sans recourir systématiquement au responsable de la sécurité des systèmes d’information (RSSI). Les rôles et responsabilités en matière de gestion des incidents doivent être déterminés : RSSI, direction des systèmes d’information (DSI), communication, cellule de crise, délégué à la protection des données… Il convient également de définir et de tester des « fiches réflexes » qui précisent, en fonction des types d’incidents (phishing, déni de service, rançongiciel…), les actions qui permettront d’améliorer la réactivité et de limiter ainsi les conséquences de l’incident.

La collectivité doit s’organiser pour détecter au plus vite les incidents de sécurité (les études montrent qu’en moyenne, ils ne le sont qu’au bout de 196 jours !) : organiser une veille pour anticiper d’éventuelles attaques (à l’aide du CERT-FR par exemple), adopter des outils de supervision pour suivre l’état des équipements informatiques et des réseaux, mais aussi renforcer la vigilance des agents et élus. En effet, la quasi-totalité des problèmes de sécurité informatique proviennent de la naïveté des utilisateurs. Ils doivent faire remonter toute information qui leur paraît anormale : ralentissement de l’ordinateur, mail suspect… La collectivité doit les sensibiliser régulièrement, en s’appuyant par exemple sur la plateforme cybermalveillance.gouv.fr.

Des critères, définis au préalable, permettront d’analyser les événements de sécurité en fonction de différentes catégories. Objectif : réagir uniquement à ceux qui représentent un risque élevé pour la collectivité. Le règlement européen pour la protection des données (RGPD) impose de déclarer les incidents de sécurité aux autorités compétentes (Cnil, Anssi, agence régionale de santé…). En cas d’incident de sécurité, la collectivité doit respecter une procédure qui peut la conduire à porter plainte. Après avoir constaté l’infraction et défini la nature de cet incident, il faut en premier lieu limiter 
sa propagation ou sa gravité : mettre en quarantaine les équipements infectés (postes de travail, 
serveurs, supports amovibles…) ; isoler le réseau pour empêcher les machines touchées de contacter les serveurs de commande 
et de contrôle, interrompre un déni de service…. Il convient ensuite de collecter des enregistrements en vue de conserver des preuves : sauvegardes, protection des informations relatives à l’incident (journaux d’événements, images disques des équipements concernés, alertes des outils de supervision, fichiers incriminés comme mails ou pièces jointes…) ; entretiens auprès des agents et des prestataires externes (infogérance, fournisseurs d’accès), à l’origine de l’alerte ou témoins de l’incident.

La collectivité, qui veut déposer une plainte, peut contacter le service de police ou de gendarmerie le plus proche du lieu de survenance de l’incident, qui disposent de réseaux territoriaux spécialisés en cybercriminalité : sous-direction de lutte contre les cybercriminalités (SDLC), brigade d’enquête sur les fraudes aux technologies de l’information (Befti) pour Paris et la petite couronne, centre de lutte contre les criminalités numériques (C3N) du service 
central du renseignement criminel (SCRC) de la gendarmerie nationale. Il est également possible de saisir par courrier le procureur de la République du tribunal judiciaire.

Marie Gasnier

Posté le par

Recommander cet article