Congrès des maires - Comment la cybersécurité bouscule l’agenda numérique des maires
En plaçant la cybersécurité en tête des (nombreuses) thématiques de l'atelier numérique, l’AMF a signifié l’urgence à agir sur un enjeu qui pourrait gripper la transformation numérique des territoires. L’atelier a aussi été l’occasion de détailler la nouvelle stratégie de l’État en matière d’identité numérique régalienne. Un des rares sujets numériques où l’AMF a été pleinement entendue.
Les quelque 500 cyberattaques d’administrations remontées à l'Anssi ne sont que l'arbre qui cache la forêt des dommages subis par les organisations de toutes tailles. "Il y a une attaque toutes les onze secondes. Le retour sur investissement pour un cybercriminel est de 200 à 500%. Ce n'est pas près de s'arrêter", a alerté le général Marc Boget, commandant de la Gendarmerie dans le cyberespace. Et d'ajouter que "la prochaine crise sera cyber", avant de se reprendre pour tenter de conjuguer la phrase au présent et signifier l’urgence à agir. Une sonnette d'alarme également tirée par l'Anssi. "Il faut prendre le sujet au bon niveau, la cybersécurité est une question de gouvernance", a insisté son directeur, Guillaume Poupard. Autrement dit, sans élus, il n’y aura pas de cybersécurité pérenne, l’agence les invitant à allouer les moyens humains et financiers nécessaires.
L’apocalypse cyber vécue par Aulnoye-Aymeries
Si la faible affluence à l’atelier numérique n’était pas un très bon signe de cette prise de conscience, le témoignage de Bernard Baudoux, maire d’Aulnoye-Aymeries (59), aura frappé l’esprit des quelques édiles présents. Il faut dire qu’en 2020, en pleine pandémie, sa commune a connu une véritable apocalypse cyber. "Nous ne savions plus où enterrer les morts faute de logiciel de gestion des concessions, les déclarations de décès ne pouvaient être télétransmises. Nous avons dû repasser du jour au lendemain au papier, au crayon et la gomme." Le système d’information a demandé plusieurs mois pour être rétabli, avec 20 ans de délibérations perdues et des milliers de données sensibles (Ephad, enfants, personnels, données bancaires…) évaporées dans le dark web. "Et vous n'avez rien vu venir ?", a innocemment demandé un maire stupéfait. "Non, mais je peux vous dire que l’affaire nous a coûté 300.000 euros. Mieux vaut les dépenser avant, c’est nettement moins d’ennuis !", lui a-t-il été répondu.
Réaliser un diagnostic au plus vite
Et pour gérer cette crise majeure, le maire s’est senti très seul. Car comme Guillaume Poupard l’a rappelé, l’aide de l’État dans le cadre du plan de relance (voir notre article du 11 juin 2021) ne s’adresse qu’aux entités ayant un RSSI. Une fonction présente essentiellement dans les grandes collectivités, exception faite de quelques structures de mutualisation informatique intervenant dans des territoires ruraux. Ce sont vers les gendarmes que les maires sont invités à se tourner, et plus exactement les 7.000 gendarmes de l’unité ComCyber. Ceux-ci doivent les aider à réaliser un audit et à mettre en place un plan d’action pour sécuriser leur système d’information. "Car c’est comme pour une maison, si vous mettez une alarme et un chien, le délinquant aura tendance à aller voir ailleurs", a résumé le général Boget. Parmi ces parades, la sensibilisation des élus et agents aux attaques par phishing (usurpation d’identité), qui précèdent souvent l’infection par un rançongiciel. Dans une organisation non sensibilisée, le taux de clic sur le mail frauduleux serait de 40 à 50%. Il chute à 3 ou 4% dès lors qu’il y a des exercices réguliers.
L’identité numérique régalienne sans reconnaissance faciale
La lutte contre l’usurpation d’identité est également au cœur d’une autre politique de l’État, détaillée par Valérie Peneau, directrice du programme interministériel France Identité numérique. "La carte nationale d’identité électronique (CNIe) déployée depuis cet été n’en est que le premier volet a-t-elle expliqué. Nous allons offrir la possibilité de prouver son identité en ligne comme l’exige la directive européenne eIDAS." Cette fonction passera par une application mobile mais, contrairement au très controversé projet Alicem (voir notre article du 23 octobre 2019), elle n’utilisera pas la reconnaissance faciale lors de la phase d’enrôlement dans l’application. "Ce sera un code envoyé par la Poste", a précisé Valérie Peneau sans s’appesantir sur le rétropédalage de l’ANTS. Une fois authentifié sur l’application, l’internaute pourra alors justifier des éléments de son identité – et uniquement celles qui lui sont demandées – à toutes les entités demandant un justificatif. Seules les données d’état civil et l’adresse pourront être communiquées, à l’exclusion des données biométriques. Une procédure alternative reposant sur le papier continuera par ailleurs d’être proposée aux administrés.
Transmettre des données d’identité
Patrick Molinoz, maire de Vénarey-les-Laumes et vice-président de la commission numérique de l’AMF s’est félicité d’un projet où "les maires ont été pleinement associés et entendus". La nouvelle application, génératrice de simplifications pour les nombreuses formalités parmi lesquelles les demandes de procuration, va en effet être testée à partir de février 2022 dans plusieurs territoires parmi lesquels Mulhouse, Bourgogne-Franche-Comté numérique ou encore Épinal. Cette identité numérique a aussi vocation à s’interfacer avec FranceConnect +. Un connecteur qui, au-delà de la simplification de l’accès aux espaces personnels des sites administratifs que permet d’ores et déjà France Connect, a vocation à être utilisé pour des formalités requérant un haut niveau d’authentification. Enfin, l’idée du CNIe dotée d’un certificat pour signer des documents officiels – comme le voudraient les notaires (voir notre article du 17 septembre 2021) – n’est pas abandonnée mais elle interviendra "plus tard".
Le GIP Cybermalveillance (Acyma) a lancé à l’occasion du Congrès des maires une campagne d’information pour inciter les collectivités à faire appel "à de vrais experts en sécurité numérique pour se protéger efficacement et être correctement assistés en cas d’attaque". Par des vidéos au ton décalé, le GIP veut inciter les petites organisations qu’il a mission d’accompagner à préférer des spécialistes aux conseils de relations ou d’experts improvisés. La liste des prestataires labellisés est disponible sur le site www.securisation.cybermalveillance.gouv.fr. Reste à savoir s’ils pourront offrir des tarifs compatibles avec les moyens de (toutes) petites collectivités. |