Longueil-Sainte-Marie définit les lignes blanches informatiques (60)

Dans l’Oise, pas moins d’une cinquantaine de collectivités ont été victimes d’un rançongiciel ! Un contexte anxiogène qui a pesé dans le choix de Longueil-Sainte-Marie de se faire accompagner par l’Adico, la structure de mutualisation informatique locale, (voir encadré) pour une homologation « référentiel général de sécurité » (RGS) ou plus simplement la sécurisation de son système d’information. Car même si la commune ne compte que dix ordinateurs (écoles exclues) et cinq logiciels métier, elle n’est pas à l’abri d’un rançongiciel susceptible de paralyser totalement son fonctionnement.

Des lignes blanches souvent franchies

« Je ne savais pas trop à quoi m’attendre en m’engageant dans ce projet. J’ai découvert qu’en matière de sécurité informatique, c’est comme sur la route : il y a des lignes blanches à ne pas dépasser. Or on les dépassait quotidiennement sans en avoir conscience », raconte Stanislas Bartelemy, maire de Longueil-Sainte-Marie. Un exemple ? Jusqu’à peu, la mairie ne sécurisait pas l’accès à ses bureaux, rendant très facile une intrusion. « Sachant que ce n’est pas un mot de passe Windows qui va arrêter un hacker pour accéder à un poste », ajoute le maire. En pratique, cette homologation RGS - qui doit son nom au référentiel de l’État sur les obligations des administrations -    se déroule sur deux journées et passe par quatre étapes.

Cartographie des outils

Dans un premier temps, l’expert cybersécurité de l’Adico a travaillé avec l’adjoint aux travaux et la directrice générale des services pour déterminer le périmètre du système d’information. Car celui-ci ne s’arrête pas aux dix ordinateurs de la mairie mais intègre aussi le site internet, les écoles, les équipements réseaux de la collectivité... Une fois ce périmètre défini, une cartographie a été élaborée, autrement dit un état des lieux de tous les outils informatiques et logiciels avec leur version, leur usage et les agents qui y ont accès. « Nous l’avons souhaité simple pour être compris par un non-spécialiste, souligne Louis Corre, Directeur de la confiance numérique à l’Adico. Cette étape a permis par exemple de montrer que les signatures électroniques de la mairie étaient toutes au nom du maire alors qu’il convient d’opérer des délégations pour être en mesure de tracer les usages : qui, quoi, quand… ».

Évaluation des risques

Une fois cet état des lieux finalisé, une analyse des « risques cyber » a été discutée entre l’expert et la mairie. « Nous avons une liste de 42 scénarios et il s’agit de vérifier s’ils sont susceptibles de se produire dans la structure » détaille l’expert. Cela peut être par exemple une personne qui s’introduit dans les locaux ou encore un risque d’hameçonnage via un message électronique. « On ne fait pas assez attention aux mails que l’on reçoit, or ceux-ci peuvent contenir une pièce jointe vérolée ou émaner d’une personne qui cherche à nous extorquer un mot de passe », souligne le maire.

La sensibilisation avant tout

Dès lors, un plan d’actions a été bâti. Parmi la dizaine d’actions programmée, la sensibilisation des agents aux bonnes pratiques figure en bonne place. La mairie va notamment se doter d’une charte sur les bons usages des outils informatiques municipaux. « Un document que je souhaite réaliste. Il ne s’agit pas de poser des contraintes intenables comme interdire tout usage personnel de l’informatique. Cela ne marche pas », insiste le maire. Du reste, la charte sera complétée par des exercices pratiques avec un outil simulant une tentative d’hameçonnage par mail. Car même avec tous les logiciels de sécurité de la terre, la faille reste souvent humaine.