Sécurité / Numérique - Sécurité informatique : les collectivités encouragées à maintenir leurs efforts
Dans l'édition 2016 de son rapport sur les "Menaces informatiques et pratiques de sécurité en France" (Mips), le Club de la sécurité de l'information Français (Clusif) se penche de nouveau sur les collectivités (1). De plus en plus nombreuses à recourir à des services dématérialisés, celles-ci auront à charge de "maintenir" leurs "efforts" pour "assurer la sécurité de leur système d'information et des informations qui leur sont confiées", selon les auteurs de ce document de plus de cent pages. Le tout dans un contexte budgétaire restreint. Globalement, alors que le sentiment de dépendance à l'égard du numérique s'enracine, la sécurité des systèmes d'information est "efficiente dès lors que les moyens organisationnels, humains et financiers sont clairement attribués" et que la direction est fortement impliquée, indique le rapport. Cependant, sur la base des 203 collectivités interrogées, il est fait état de grandes disparités entre les échelons territoriaux, où les communautés de communes sont à la peine.
Stagnation des budgets malgré la numérisation en cours
Publié tous les deux ans, le "Mips" délivre un bilan approfondi des usages en matière de sécurité de l'information ; et inclut dans son édition 2016 (comme tous les 4 ans) les collectivités territoriales de grande taille. Autrement dit les communes de plus de 30.000 habitants, les intercommunalités (communautés de communes, d'agglomération, communautés urbaines ou encore les métropoles) et enfin les régions et les départements (regroupés par le rapport sous le terme de conseils territoriaux).
Côté résultats, si une grande partie des collectivités interrogées a confié un sentiment toujours croissant de "dépendance" vis-à-vis de l'informatique (75% contre 68% en 2012), les budgets qui y sont liés tendent pourtant à baisser et restent très disparates (avec un rapport de 1 à 100 entre les plus petits et les plus importants). Ainsi, près de 54% des collectivités ont un budget informatique inférieur à 100.000 euros en 2016, contre 45% en 2012. En moyenne, les conseils territoriaux sont les mieux dotés avec 5,8 millions d'euros, pour un million d'euros dans les intercommunalités et 800.000 euros dans les villes.
Dans ce total, la part de la sécurité est difficilement évaluable et demeure au mieux constante (67% des cas) ou diminue (28% des collectivités contre 14% en 2012 y consacrent moins de 1% de leur budget informatique). Enfin, si augmentations il y a, elles servent avant tout à mettre en place des solutions de sécurité (25%), même si des efforts importants sont effectués en matière organisationnelle (11%) et en sensibilisation (9%).
Pas de politique de sécurité sans personnels qualifiés
Bien que majeur, l'aspect financier n'occupe que la deuxième place des principaux freins pour les collectivités (à 45%), pour qui l'absence de personnels qualifiés semble être le véritable problème (à 47%), accru par un manque avoué de connaissance (38%). En conséquence, les contraintes organisationnelles (29%) et les réticences de la direction générale, des métiers ou des utilisateurs (24%) ferment la marche.
Malgré tout, l'étude montre que les collectivités sont de plus en plus nombreuses à formaliser leur politique de sécurité (PSI), en particulier les villes (54% contre 43% en 2012) et les conseils territoriaux (52% contre 35%). A l'inverse, les communautés de communes sont à la peine (un peu plus de 2 sur 10).
Concrètement, les DSI (directions des systèmes d'information) gèrent les politiques de sécurité dans 65% des cas, alors que les directions générales des services tendent à se désengager (impliquées dans 54% des cas, contre 80% en 2012). Dans 21% des cas, des élus y ont contribué. Enfin, on notera que la présence d'un responsable de la sécurité des systèmes d'information (RSSI) "serait une condition sine qua none pour disposer d'une PSI". Par ailleurs de plus en plus nombreux (+3 points, à 35%), les RSSI voient cependant leur fonction se diluer, avec 39% de personnel dédié en 2016 contre 62% en 2012 dans les villes, pour ne citer qu'elles. Enfin, ils sont bien souvent rattachés à la DGS (dans les communautés de communes notamment) ou à la DSI (dans les régions ou les départements par exemple) - selon une règle qui veut que "plus la collectivité est petite et plus les fonctions sont cumulées par le comité de direction".
La sécurité des systèmes passée en revue
Le rapport développe les différents aspects de la sécurité des systèmes d'information. Celui des "ressources humaines" tout d'abord où, bien que 49% des collectivités aient édicté une charte d'usage, cette dernière ne concerne bien souvent que le personnel, et non tous les acteurs y ayant accès (élus, prestataires, fournisseurs…). Limitant de fait sa portée. Pourtant, l'étude montre que plus les élus sont impliqués, plus "les actions de sensibilisation sont fortes et variées".
On notera par ailleurs que dans 50% des cas, les DSI ne sont pas informées des départs ou changements de postes, ce qui pose problème pour la gestion des habilitations alors même, relèvent les auteurs, que "la fin de vie d'une habilitation est l'un des challenges dans les années à venir pour les collectivités".
Sur les aspects techniques, on retiendra qu'en termes de sécurité "physique et environnementale", 29% des collectivités (dont 49% des communautés de communes) n'ont pas encore déployé de moyens de lutte contre les accidents naturels (incendie, inondation…). Le contrôle physique des personnes est quant à lui bien développé, notamment grâce à l'utilisation de badges.
En matière d'"exploitation", la quasi totalité des collectivités a recours à des solutions anti-virus (98%), anti-spam (88%) et de pare-feu (78%) sur les postes fixes, mais sont encore mal dotées sur les terminaux mobiles (tablettes et téléphones). Les autres solutions, comme le chiffrement, restent encore peu utilisées.
Enfin, côté "communication", le développement du télétravail et de la mobilité ont été plutôt bien accompagnés (accès externe), et les enjeux actuels semblent davantage portés sur le contrôle des réseaux sociaux ou la voix sur IP.
(1) Le rapport analyse également la situation des entreprises et fait un point sur les comportements des internautes.
Ivan EVE / EVS
Quelles menaces pour les collectivités ?
La menace la plus importante pour les collectivités est l'infection par des virus, avec une augmentation de 17 points des attaques virales entre 2012 et 2016 (25% à 42%). Le plus grand danger : le "phishing" ou l'"hameçonnage", qui consiste à soutirer des informations personnelles en se faisant passer pour un tiers de confiance. Ainsi, une collectivité sur trois "s'est trouvée confrontée à une campagne de ce type". Dans les faits, il semblerait que les collectivités jugent l'impact de ces incidents comme "non-significatif", tout en reconnaissant ne pas avoir la capacité d'évaluer les conséquences financières réelles de ces incidents (à 82%). Plus rassurant, même si la tendance pourrait augmenter à l'image de ce qui se passe du côté des entreprises, seules 4% des collectivités ont été sujettes à des attaques de type "rançons ou fraudes au président". Une réalité qui renforce d'autant plus le besoin de sensibiliser les agents à ces questions.
Enfin, l'étude révèle que les pannes d'origine interne et les erreurs d'utilisation constituent les autres sinistres les plus fréquemment observés.
Quant à leur traitement, on notera deux choses : 33% des collectivités ne connaissent pas la durée maximale des incidents qu'elles ont subis (39% la mesurent à moins d'une journée). Et, bien qu'elles soient trois fois plus nombreuses qu'en 2012, seules 13% d'entre elles ont déposé plainte suite à un incident.