FIC 2021 : l’organisation locale de la cybersécurité à mi-parcours
Du 8 au 10 septembre 2021 se tenait à Lille le forum international de la cybersécurité (FIC). Une édition où il a été beaucoup question des collectivités territoriales. Car si elles sont souvent citées comme victime des rançongiciels, elles pourraient aussi faire partie de la solution en apportant une réponse cyber de proximité.
Pour la Gendarmerie nationale, la cybercriminalité a tout de la pandémie avec pas moins de 100.000 affaires judiciaires en cours, en augmentation de 20% sur un an, représentant 10 milliards d'euros de préjudice. "Des chiffres largement sous-estimés", a noté le directeur général de la gendarmerie nationale le général Christian Rodriguez en introduction du FIC 2021, "car on estime que pour une plainte déposée il y a environ 250 attaques". La tendance ne devrait pas s'améliorer avec une augmentation de "la surface des attaques" et de plus en plus d'atteintes visant des services ou des objets du quotidien. "Chacun est désormais à portée de clic des délinquants", a-t-il souligné en allusion au fait qu'une majorité de cyberattaques ont pour origine un clic malencontreux sur un mail ou un lien hypertexte.
Les gendarmes au chevet des maires
Face à cette déferlante, où les collectivités territoriales figurent en haut de la liste des victimes, la réponse apportée par les pouvoirs publics s'organise. Un commandement cyber ou ComCyberGend a ainsi été créé en février 2020. De 7.000 membres aujourd'hui, il devrait passer à 21.000 gendarmes en 2022 a annoncé le général Rodriguez. Une augmentation qui mise moins sur des recrutements que sur la formation des militaires en poste aux questions numériques. Parmi leurs missions, outre la gestion du flot des plaintes, la sensibilisation des communes rurales et la réalisation d'audits de sécurité simplifiés. Une mission obtenue de haute lutte par l'AMF. La voie de l'Agence nationale de la sécurité des systèmes d'information (Anssi) étant fermée aux petites structures (voir plus loin), l'association déplorait le manque d'interlocuteurs côté État pour les maires ruraux, ces derniers ayant la responsabilité de données au moins aussi sensibles que les grandes collectivités.
Un questionnaire de sensibilisation
Les maires devront cependant faire le premier pas pour être aidés. C'est le sens du questionnaire envoyé par l'AMF à ses adhérents le 6 septembre. "Un questionnaire destiné à sensibiliser et non pas à établir des statistiques", précise-t-on du côté du ministère de l'Intérieur qui a participé à sa rédaction avec le GIP Cybermalveillance. Avec neuf questions simples - Faites-vous réaliser régulièrement des évaluations de votre sécurité numérique ? Avez-vous un plan de secours face aux cyberattaques ? Vos systèmes numériques sont-ils mis à jour en temps réel ? Vos agents sont-ils équipés de matériels sécurisés pour le télétravail ?... - appelant des réponses par "oui" ou "non" les élus balaient l’ensemble des vulnérabilités auxquelles doivent faire face les communes. Et même si l'élu répond par l'affirmative à toutes les questions - cas de figure assez peu vraisemblable - il sera malgré tout incité à prendre contact avec la gendarmerie locale. L’unité cyber prendra alors le relais pour établir un diagnostic de cybersécurité gratuit et personnalisé.
300 parcours cyber mis en place par l’Anssi
Les grandes collectivités, ou plus exactement celles disposant d’un Responsable de la sécurité des systèmes d'information (RSSI) sont pour leur part accompagnées (à leur demande) par l’Anssi via les financements du plan de relance (voir notre article du 11 juin). À ce jour "environ 300 collectivités sont engagées dans un parcours cyber avec l'agence sur les 500 que nous avons programmé," explique Gwenaëlle Martinet en charge du plan de relance à l'Anssi. "Ce sont cependant les collectivités les plus en pointe qui ont été les premières à demander d'être accompagnées". Et d’appeler toutes les collectivités dotées de RSSI à se rapprocher au plus vite de l’Anssi. À noter que les structures de mutualisation et autres syndicats informatiques sont aussi éligibles, leur permettant de mettre en place des audits au bénéfice des petites communes.
Des CERT dans chaque région
Au-delà de ce plan d’urgence qui vise à contenir la "pandémie de rançongiciels", la structuration d’une cybersécurité de proximité avance. "Toutes les régions ont répondu favorablement à notre proposition de créer un CERT, maintenant j’attends des actes", a déclaré Guillaume Poupard, le directeur général de l’Anssi. Ces CERT ou CISRT (Computer Security Incident Response Team), cibleront les TPE, les PME et les petites collectivités. L’Anssi apporte un million d’euros, forme les équipes et assure la coordination nationale avec les autres CERT, à charge pour les conseils régionaux de se saisir pleinement du dossier. La Bretagne et les Hauts-de-France, présentes au FIC pour valoriser leur écosystème cyber, pourraient ainsi servir de modèle. Xavier Bertrand, le président des Hauts-de-France a du reste estimé que les régions pourraient "devenir le fer de lance de la cybersécurité locale" dans un contexte où "les petites structures sont trop souvent oubliées". Un point de vue partagé par le secrétaire d’État au numérique Cédric O, venu encourager les entreprises à participer aux appels à projets de l’État, qui a estimé que "la sensibilisation de nos entreprises ne peut se faire que localement".
Vers de nouvelles obligations ?
Mais au-delà d’une question de répartition des compétences – et des moyens qui pourraient être affectés par l’État pour remplir ces nouvelles missions – ce sont les obligations qui pèsent sur les collectivités qui pourraient évoluer. Les recommandations de l'Anssi pour la mise à jour de logiciels présentant des failles critiques pourraient ainsi devenir obligatoires. "Qu’on ne me dise pas qu'il y a un problème de moyens", peste Guillaume Poupard, exaspéré par ces administrations (centrales) qui trainent des pieds pour colmater une brèche sur des installations aussi critiques qu'un serveur de messagerie… Ce cadre pourrait aussi être renforcé via de l’Europe. La France entend faire de la cybersécurité un sujet central de sa présidence de l’Union européenne en 2022. La révision de la directive NIS (Network and Information System Security) pourrait ainsi aboutir à une extension du périmètre des opérateurs d'importance vitale (OIV) et surtout, des opérateurs de services essentiel (OSE) dont la liste est confidentielle. "Qu'il y ait 10.000 OSE ne me dérange pas", estime le directeur tout en se reconnaissant la difficulté à gérer des "effets de seuil" et un manque de compétences cyber pour accompagner les nouveaux OSE.
Souveraineté numérique
Autre point au menu de l’Europe, les critères de certification des solutions cloud dont la crise sanitaire a mis en valeur le caractère vital au fonctionnement de l’économie. "Si l''Europe n'est pas capable d'imposer à tous les fournisseurs de cloud de se soumettre exclusivement au droit européen, que l'on ne vienne pas me parler de souveraineté numérique européenne" tacle Guillaume Poupard. Et de préciser que seules l’hébergement de données sensibles serait concerné, autrement dit celles de l’État, des administrations et certaines données personnelles. Or parmi ces dernières, il y a les données de santé que le Health data hub a accepté de confier à un Gafam au motif qu’il n’y avait pas de solution européenne suffisamment robuste… Le combat est cependant loin d'être gagné à Bruxelles. Certains États membres craignent en effet de fâcher le grand frère américain quand d'autres, et plus particulièrement l'Irlande, pourraient voir leur stratégie d’accueil des datacenters des Gafam remise en cause…