Sécurité informatique - Recrudescence des intrusions dans les systèmes d'information des administrations

Le piratage des sites publics connaît une nouvelle poussée. Au cours des trois derniers mois les affaires d'intrusion informatique n'ont pas manqué. Huit préfectures ont fermé leur site pendant plusieurs semaines à la suite de piratages par des hackers. En septembre, quelques grandes villes ont été attaquées avec parfois des dégâts sérieux se traduisant, par exemple, par la diffusion des "login" des mots de passe et des e-mails volés ou, de manière plus anecdotique, par le détournement des résultats de certaines consultations en ligne pour démontrer que le vote sur internet n'est pas sérieux. Un site d'information (Zataz.com) se charge de recenser toutes ces attaques pour constituer une base de données réutilisable par tous.
René Yves Labranche, directeur des systèmes d'information (DSI) de Chelles (77), qui a eu l'occasion de participer à des groupes de travail sur la sécurité, résume bien la nature des dangers : "Ne rien faire aujourd'hui dans sa ville en matière de sécurité, c'est prendre le risque d'une descente aux enfers, les dangers se sont étendus avec la multiplication des sites web, la montée des téléservices, l'omniprésence des réseaux sociaux et maintenant avec l'informatique dans les nuages" (cloud). Les cas d'intrusion évoqués lors de ces réunions de travail et d'échanges donnent en effet à réfléchir. Les pirates peuvent tout faire aujourd'hui : prendre le contrôle des tableaux d'affichage publics, pirater le réseau des feux de signalisation, hameçonner les numéros de cartes de crédit au moment du paiement en ligne… Autant de dangers potentiels qui ont conduit le DSI de Chelles à faire réaliser un audit de sécurité sur le système d'information de la ville et, conjointement, sur celui de la communauté d'agglomération Marne et Chantereine. L'audit a été réalisé en quatre semaines, pour un coût relativement modique (15.000 euros chacun).

"Parfois, ce sont les gestes les plus élémentaires qui font défaut"

Il a permis de détecter de nombreuses failles dans les dispositifs internes et externes, que la DSI s'attache à corriger méthodiquement depuis plus d'une année. René Yves Labranche qui intervenait aux Assises de la sécurité et des systèmes d'information à Monaco (qui ont eu lieu du 5 au  8 octobre), dit avoir beaucoup appris de ce travail d'analyse des risques : "Parfois, ce sont les gestes les plus élémentaires qui font défaut, comme changer de mot de passe régulièrement ou sécuriser l'accès physique à la salle informatique."
Mais l'initiative de la ville de Chelles demeure relativement marginale dans les collectivités territoriales : "Les élus n'ont pas toujours clairement conscience des enjeux de la sécurité", estime encore René Yves Labranche, qui constate les difficultés de ses collègues à mobiliser des crédits sur la sécurité au moment des arbitrages budgétaires. Pourtant au niveau de l'Etat, la prise de conscience des enjeux s'accélère. Patrick Pailloux, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi) qui intervenait en clôture des Assises, a d'ailleurs appelé tous les acteurs du monde de l'informatique à reprendre le contrôle de leurs systèmes d'information. En soulignant la nécessité de revenir à des principes élémentaires souvent oubliés : limitation des droits d'accès, analyse des mouvements suspects dans les systèmes d'information, sanctuarisation des éléments les plus critiques comme les dispositifs de gestions des droits d'accès, application régulière des correctifs de sécurité… Mais, pour mener à bien cette mission de sécurité des systèmes d'information, les directions informatiques vont devoir disposer de moyens renforcés et aussi obtenir une plus forte reconnaissance interne de la part de leur direction générale et des élus.