Cybersécurité : l’Anssi veut renforcer son appui aux collectivités territoriales
Dans une intervention aux assises de la cybersécurité de Monaco, le patron de l’Anssi a convenu de l'approche trop "parisienne" de l'agence. Avec la mise en œuvre de centres (CSIRT) régionaux, le financement d'outils et la facilitation de l'homologation des services numériques publics, l'agence promet de mettre la cybersécurité à la portée de toutes les collectivités.
Sur le départ, le directeur de l’Anssi s'est livré, malgré ses propres dénégations, à un mea-culpa sur la stratégie de l’agence en matière de cybersécurité. "Nous avons commencé par les acteurs critiques sans sortir du périphérique parisien", a convenu Guillaume Poupard devant les participants aux assises de la cybersécurité à Monaco, le 12 octobre 2022. Il aura fallu la crise sanitaire, le développement massif du télétravail et la multiplication de cyberattaques affectant hôpitaux et collectivités pour que l’agence infléchisse sa stratégie en 2021. C'est ainsi que 626 collectivités territoriales et hôpitaux (chiffres de juillet 2022) ont bénéficié d’un "parcours cyber" financé dans le cadre du plan de relance (notre article du 21 octobre 2022). Mais ce programme n’a là encore concerné que de grandes collectivités, à l’exception de quelques structures de mutualisation tournées vers les petites communes, l’agence faisant de l’existence d’un responsable de la sécurité des systèmes d’information (RSSI) un préalable à tout accompagnement.
Arrivée de la directive NIS2
Aujourd’hui la stratégie atteint cependant ses limites, les cybercriminels visant le maillon faible (usagers, petites structures…) dans des systèmes administratifs de plus en plus connectés et interdépendants. Face à ce risque systémique, le directeur de l'Anssi plaide pour un 'changement d’échelle' en apportant à chacun - citoyens, TPE-PME, collectivités… - "les moyens de se protéger et d’être protégé". Pour atteindre cet objectif, le premier levier mis en œuvre est la réglementation jugée "efficace si elle est bien utilisée". C’est ainsi que la directive NIS2, texte européen auquel l'Anssi a beaucoup contribué, va élargir à tous les secteurs critiques les obligations cyber : désignation d'un RSSI, notification systématique des incidents, plan de mise en conformité... Si l’on sait d’ores et déjà que les administrations locales seront impactées, il reviendra au législateur de lister précisément les entités concernées.
12 CSIRT en place
La seconde piste consiste à territorialiser la prévention cyber. C’est le rôle des Computer security incident response team (CSIRT) régionaux. "Aujourd’hui nous avons contractualisé avec 12 régions sur 13", s’est félicité Guillaume Poupard. Ces centres, accompagnés à hauteur d’un million d’euros par l’Anssi, ont vocation à mener des actions de sensibilisation, à relayer les alertes et à partager des expériences. L’agence reconnait par ailleurs que ses guides et autres recommandations techniques ne sont pas adaptés aux petites structures. "Quand on vient les voir et qu’on leur dit la base c’est une analyse de risque on les a déjà perdus", concède Guillaume Poupard. Sans compter que le plan d’action qui en découle représente souvent des montants que les collectivités rechignent à engager. Un constat qui a conduit l’agence à changer d’approche en acceptant de financer des outils de protection (notre article du 29 mars 2022) à partir du moment où une structure locale cofinance et anime le programme. Lauréat de cet appel à projets, le syndicat mixte La fibre 64 vient par exemple de lancer son "bouclier cyber64" à destination des communes des Pyrénées-Atlantiques. A l’issue d’un parcours en quatre étapes, les communes et EPCI vont être dotées gratuitement et pendant trois ans d’antispam, d’anti-virus, de gestionnaire de mots de passe et de sauvegarde en ligne.
Lancement du service MonServiceSécurisé
Par ailleurs, l’agence finalise la plateforme MonServiceSécurisé, une startup d’Etat chargée d'accompagner la mise en œuvre du décret 2022-513 du 8 avril 2022. Cette réglementation oblige l'ensemble des entités administratives à homologuer leurs services numériques (sites, applications, API, formulaires…) dès lors qu’ils traitent des données d’usagers. Concrètement, elle permettra de calculer simplement un "indice cyber", une évaluation indicative du niveau de sécurité d’un téléservice, qu’il soit en développement ou en ligne, et de suivre étape par étape son processus d’homologation. Enfin, en matière de prévention, Guillaume Poupard avoue qu’il y a "un gros effort à faire". Rappelant que tous les citoyens sont concernés, il appelle à mieux faire connaitre la plateforme "Cybermalveillance". Le GIP intervient désormais sur la sensibilisation, l’aide au diagnostic en cas de piratage et l’appui à la sécurisation des systèmes d’information avec, parallèlement aux ressources grand public, des contenus calibrés pour les petites collectivités.