Les cyber-risques pour les collectivités territoriales

Interview de M. Yves Le Floch, Directeur du Développement de la Cybersécurité chez SOGETI.

Le Mercredi 19 Mars 2014.

Sogeti (Société pour la Gestion de l’Entreprise et Traitement de l’Information) est l’un des leaders des services informatiques et d’ingénierie de proximité, spécialisé dans la gestion des applicatifs et des infrastructures (application and infrastructure management), le conseil en technologies (high-tech engineering), la cybersécurité et le Testing.
Division mondiale du groupe Capgemini, Sogeti aide ses clients à optimiser les performances de leurs systèmes d’information grâce à l’innovation technologique.
Sogeti est titulaire exclusif des prestations « sécurité des systèmes d’informations » et « développement d’applications mobiles » du nouveau dispositif «prestations intellectuelles informatiques (P2i) » de l’UGAP, basé sur des unités d’œuvres.
Avec ce dispositif, l’UGAP simplifie, professionnalise et rationalise l’achat de prestations tout en mettant à la disposition de ses clients le savoir-faire d’une société de pointe.
Sogeti est également partenaire du courtier en assurance Marsh France pour la maîtrise et le transfert des cyber-risques.

1/ A quels cyber risques les collectivités locales et autres entités publiques peuvent-elles avoir à faire ?

La cybersécurité sert principalement à protéger trois aspects du système d’information : la confidentialité, l’intégrité et la disponibilité des données.

Ces données peuvent être attaquées par trois types d’agresseurs, qui ont leurs propres motifs et des capacités techniques de plus en plus avancées.

Le premier type de cyber-agresseur sera le délinquant, qui volera les données pour les revendre au plus offrant. Ou encore utilisera un « ransomware » ou « rançongiciel » : ce logiciel malveillant permet de chiffrer les dossiers, de prendre en otage les données et parfois de bloquer l’accès à un réseau ; les propriétaires doivent alors payer la rançon pour récupérer leurs données, sans jamais être certains de leur récupération correcte ni du fait que le tout n’ait pas été revendu.

On peut aussi avoir affaire à une cyber-agression d’ordre idéologique, telle que le vol de données confidentielles ou privées à des fins de publication en ligne, pour ainsi ternir l’image de la personnalité ou de l’organisme visé. Un autre type d’agression est la défiguration d’un site web, celui d’une mairie par exemple, en changeant des photos ou insérant des messages politiques. De nombreuses collectivités territoriales sont chaque année victimes de tels agissements.

Les deux premiers agresseurs ont aussi un mode d’attaque en commun, qui est de saturer les sites visés, provoquant ainsi un sabotage nommé « attaque en déni de service » qui empêche tout accès au site.

Il existe aussi des agresseurs d’ordre stratégique, souvent très sophistiqués, qui sont eux liés à des Etats et récupéreront des données technologiques, opérationnelles ou stratégiques à des fins d’espionnage.

2/Le cyber-terrorisme est-il une menace réelle ? Quelles formes peut-il prendre ?

Pour l’instant, le cyber-terrorisme reste une menace virtuelle, sans effet significatif à ce jour, mais il est de plus en plus redouté. Les attaques porteraient sur des opérateurs d’importance vitale : hôpitaux, transports, énergie, communications… déréglant ainsi leurs systèmes d’opération et provoquant la confusion, le sabotage, voire l’arrêt total des activités. Le cyber-terrorisme pourrait créer des dommages physiques importants, car de plus en plus de services sont connectés, via internet ou tout autre réseau, et sont ainsi vulnérables.

N’oublions pas de mentionner la distribution des eaux, qui pourrait également être attaquée à distance, et là aussi, l’arrêt de l’activité est à craindre, voire un surdosage d’un élément dangereux, menant à un empoisonnement. Ou même les feux rouges, lorsque ceux-ci sont régulés par des systèmes reliés, directement ou indirectement, aux réseaux publics. Les saboter à distance pourrait provoquer des accidents et bloquerait une bonne partie de la circulation.

3/ De plus en plus de mairies et d’agences de l’Etat offrent des services numérisés, comme des demandes en ligne de documents administratifs. Quels sont vos conseils pour éviter l’usurpation d’identité ou le piratage des données ?

Le problème en France est qu’il n’y a pas de système d’authentification à distance fiable, car les politiques ont toujours reculé sur la création d’une carte d’identité à puce utilisable pour prouver son identité via internet. Ainsi, lors d’une demande administrative en ligne, il n’y a aucun moyen sûr de savoir si le demandeur n’est pas un imposteur, car n’importe qui peut se faire passer pour moi.

Il n’y a pas de solution vraiment sûre pour régler cette question de l’authentification, il faut donc se contenter de systèmes existant. Pour une demande d’état civil, par exemple, aucune preuve d’identité n’est demandée ; pour l’accès au dossier fiscal, Bercy se contente d’identifiants transmis par courrier ; pour des échanges vraiment sensibles, l’administration française doit trouver d’autres solutions.

Un moyen simple est d’ouvrir un compte personnel en mairie, après justification de son identité, avec attribution d’un mot de passe personnel. Le mot de passe est loin d’être un moyen sûr, mais c’est déjà un début d’authentification. Et dans tous les cas, le chiffrement des données est un impératif, dès lors qu’il s’agit de données sensibles ou personnelles, aussi bien lors des échanges que lors du stockage.

Mais je vais surtout insister sur un point particulier : les collectivités territoriales, et les entités publiques en général sont tenues par la loi d’appliquer le Référentiel Général de Sécurité, notamment pour les téléservices. Le RGS est un document technique, qui explique les démarches professionnelles à effectuer, comme l’analyse des risques auxquels on est exposé. Il est important de le respecter et de le faire respecter, y compris lorsque l’on confie certains services ou développements informatiques à une entreprise prestataire.

4/ La ville « hyper-connectée » paraît avoir une certaine popularité auprès des élus : beaucoup veulent promouvoir un ensemble de services accessibles depuis n’importe quelle connexion internet, afin de désengorger les mairies et leurs annexes. Pensez-vous  que ces technologies seront viables sur le long terme ? La numérisation des données ne comporte-t-elle pas le risque d’être détournée par une source malveillante ? Que conseilleriez-vous à une collectivité locale qui veut promouvoir l’outil numérique ?

Oui, bien sûr, ces technologies sont viables ! Hors de question de revenir à la Préhistoire.
Quant au détournement par une source malveillante, ce danger est à prendre avec le plus grand sérieux, bien entendu. Il faut mettre en œuvre une démarche professionnelle de prise en compte de la sécurité, comme l’impose le RGS.

Un site « plaquette », basique, où l’on présente seulement des informations générales (horaires d’ouverture, adresse de la mairie…), ne requiert pas de mécanisme poussé de sécurité. En revanche, dès lors qu’un site devient « transactionnel », avec des services interactifs en ligne et une collecte de données personnelles, de forts enjeux de sécurité apparaissent. Ce type de site doit être réalisé avec professionnalisme. Les entités publiques doivent investir correctement dans l’outil informatique, sous peine d’être très vite dépassées et de voir leurs données (et celles de leurs administrés) piratées par les cyber-agresseurs mentionnés ci-dessus.

Ainsi, il faut impérativement appliquer le RGS pour développer les différents services en ligne et veiller aussi au respect des exigences « informatiques et liberté » portant sur les données personnelles. Ces deux références jouent sur des tableaux différents, l’une étant tournée vers le juridique et l’autre vers la pratique, mais utilisées en plein complémentarité, elles permettent une nette diminution du risque sécuritaire. Sans pour autant le supprimer totalement, malheureusement.

Je recommande également la sensibilisation du personnel aux questions de sécurité, car un point faible de tout système de sécurité, aussi développé et impénétrable soit-il, reste l’homme. Des campagnes de sensibilisation qui peuvent prendre plusieurs formes : une formation d’une à deux heures tous les ans, des affiches, des articles périodiques, etc. Une sensibilisation légère mais régulière.

Pour les collectivités importantes, il est nécessaire de disposer d’un responsable des questions de sécurité des systèmes d’information, pas nécessairement un spécialiste avec cinq ans d’études dans le domaine, mais une personne correctement formée, qui connaîtrait les aspects aussi bien techniques que juridiques de la question. Il serait ainsi responsable des campagnes de sensibilisation, du conseil aux projets informatique, se tiendrait informé des différentes réglementations et pourrait également être chargé des questions « informatique et liberté ».

Une autre recommandation est de toujours tester et vérifier la sécurité, par exemple en faisant réaliser des tests nommés « pentests » (pour « penetration testing »), où des prestataires chargent des professionnels de la sécurité, naturellement sous contrat avec l’entreprise, d’essayer de pénétrer les systèmes pour vérifier la solidité des barrières. Ces hackers éthiques font ensuite rapport sur la viabilité de la sécurité et le client peut alors améliorer ce qui est déjà mis en place.

Enfin, j’aimerais terminer en rappelant que le plus important dans l’organisation de la sécurité reste de s’assurer qu’un responsable compétent est bien identifié et dispose des moyens d’exercer sa mission.

Pour en savoir plus sur SOGETI, et son partenariat avec l’UGAP, cliquez sur les liens suivants :
http://www.fr.sogeti.com/node/671
http://www.ugap.fr/
http://www.fr.sogeti.com/

Pour en savoir plus sur le RGS et la CNIL, cliquez sur les liens suivants :
http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/
http://www.cnil.fr/

Voir ici l’approche systémique de Sogeti sur les cyber-risques