Archives

Dématérialisation - Sécurité et simplification : deux ingrédients nécessaires pour établir la confiance dans le numérique

Parce que les collectivités locales sont aussi des cibles privilégiées de la cybercriminalité, une table ronde organisée par la FNCCR les a sensibilisées aux problèmes qu'elles pouvaient rencontrer, tout en mettant l'accent sur les solutions et sur les projets de simplification portés par les ministères. Déstabilisation, espionnage, sabotage sont les armes des cybercriminels. Les dispositifs de sécurité existent et d'autres sont en préparation. Tour d'horizon pour garantir aux usagers une pleine confiance dans la dématérialisation.

Le danger est souvent perçu de manière abstraite par les collectivités locales, ce qui peut avoir des conséquences sur les moyens mobilisés sur la sécurité. "C'est un peu le risque", a souligné l'amiral Dominique Riban, directeur général adjoint de l'Agence nationale de la sécurité des systèmes informations (Anssi), l'autorité chargée d'assurer la défense nationale contre les cyber-attaques. Venu présenter l'action de l'Agence sur le secteur public, il a préalablement rappelé trois menaces auxquelles sont exposées les administrations publiques et les entreprises :
- la déstabilisation par la diffusion de messages extrémistes, racistes ou terroristes dans le système d'information. "Les dangers de destruction sont faibles, mais les répercussions sur l'image de l'institution sont parfois dramatiques", a pu constater l'amiral ;
- l'espionnage, à travers la récupération d'informations sensibles et, dans beaucoup d'administrations, de données personnelles nominatives, susceptibles d'engager leur responsabilité en cas de plaintes ;
- enfin, le sabotage, forme plus destructrice qui peut entraîner la neutralisation de plusieurs dizaines de milliers d'ordinateurs (Aramco), ou modifier des paramètres susceptibles de porter atteinte à la vie des gens (modification de doses de médicaments dans les hôpitaux ou des formules de purification de l'eau dans les stations d'épuration).

La cybersécurité s'introduit dans la loi de programmation militaire

"Il serait naïf de considérer les collectivités hors de portée de tels dangers", a martelé Dominique Riban. Et de rappeler, au passage, que personne n'était à l'abri d'une attaque ; les mesures de précaution et de protection ont été aussi sensiblement renforcées. Dans la loi de programmation militaire, votée le 18 décembre 2013, quatre articles "passés inaperçus" sont aujourd'hui dédiés à la cybersécurité. Ils entérinent la création "d'opérateurs d'importance vitale" (OIV) qui concourent à la souveraineté et à la sécurité de la nation et font désormais l'objet d'un régime de protection spécial. Près de 220 OIV ont été recensés sur le territoire. Leur liste est tenue secrète mais on sait qu'ils incluent des administrations et peut-être même quelques collectivités territoriales. Ces organismes ont l'obligation d'assurer la protection renforcée de leur système d'information, de rendre compte à l'Anssi de tous les incidents identifiés et, en retour, d'autoriser l'Agence à effectuer des audits de conformité en leur sein.

Guide sur l'homologation de sécurité

Dans un registre plus ciblé sur les collectivités territoriales, l'amiral Riban a présenté le dernier guide publié par l'Agence (réalisé avec des élus et des territoriaux) consacré à l'homologation de sécurité. Le but est de "faire prendre conscience des risques encourus par les systèmes d'information publics et de faciliter l'autodiagnostic de sécurité". En neuf étapes et 70 pages, il accompagne les responsables dans la recherche du bon équilibre "entre le risque acceptable et les coûts de sécurisation", puis explique comment faire arbitrer les choix "par une autorité habilitée" afin de formaliser la prise de risque résiduelle assumée par l'institution. D'autres initiatives de renforcement des dispositifs de sécurité sont en préparation, notamment celles de la direction centrale de la police judiciaire qui prévoit l'ouverture prochaine d'un centre d'aide et de protection destiné à prémunir les PME et les petites collectivités contre les risques d'attaques électroniques.

Vers l'unification des certificats de signature dans les collectivités

Mais pour être efficace la sécurité doit aussi rester un outil simple et accessible aux usagers. Des représentants de ministères sont également intervenus pour présenter leurs initiatives en matière de sécurité. Vincent Mazalaigue, chargé de mission au cabinet du secrétariat général du ministère de la Justice, en charge du programme Comedec (Communication électronique des données de l'état civil), a ainsi présenté la première chaîne de confiance certifiée "RGS trois étoiles", autrement dit le niveau de sécurité le plus élevé existant permettant même de produire des actes authentiques électroniques. Il a notamment pointé le rôle central joué par les maires dans cette chaîne de confiance qui, pour des raisons de simplification, assurera la distribution des certificats de signature aux officiers d'état civil qu'il aura lui même nommés. De son côté la Direction générale des collectivités locales a annoncé l'ouverture avec d'autres administrations d'un important chantier de simplification de l'usage des certificats. Il était réclamé depuis plusieurs années par les collectivités territoriales qui déploraient devoir gérer (et financer) une multiplicité de certificats électroniques d'authentification et de signature. Ainsi avec la Direction générale des finances publiques (DGFIP) elle étudie les conditions d'un rapprochement entre Actes et Hélios afin d'harmoniser l'usage des dispositifs de sécurité personnelle utilisés. "Notre objectif est de trouver des solutions unifiées d'authentification forte", a confirmé Sophie Coutor, directrice du programme Actes, lors de son intervention. Dans le même esprit, elle a également amorcé des discussions avec le ministère de la Justice afin de rendre les certificats RGS trois étoiles, utilisés par les maires dans le cadre de Comedec, compatibles avec d'autres services tels que Actes. L'initiative, si elle aboutit, devrait être saluée par nombre de maires et d'agents territoriaux qui n'auront plus alors à se munir du "trousseau de clés USB" pour transmettre à la Justice, aux Finances ou à l'Intérieur.

Trois précautions juridiques valent mieux... que rien

Pour conclure Olivier Iteanu, avocat à la cour spécialisé dans le droit du numérique et des communications électroniques, a mis l'accent sur trois précautions essentielles "lorsqu'on dématérialise ses processus" :
- sensibiliser non seulement les personnels en interne mais également les prestataires et les sous-traitants en intégrant dans les contrats des dispositions spécifiques relatives à la protection des données personnelles ;
- penser qu'à côté des plans de reprise d'activité de plus en plus souvent mis en place pour contrer les cyber-attaques, il ne faut pas oublier de répliquer en déclenchant des actions sur le plan judiciaire ;
- enfin, principe de précaution après une attaque, la collectivité aura tout à gagner à écrire au procureur de la République par lettre recommandée en racontant les faits subis. Car souvent le premier accusé n'est que le relais utilisé par le fauteur de l'acte délictueux.  Il est donc important d'avoir signalé que la collectivité était bien elle aussi dans le camp des "victimes".