Étiquettes

, , , , , , , , , ,

Sécurité

Protection – Cybersécurité – Système d’information

Les collectivités territoriales n’ont pas encore pris conscience de la nécessité de sécuriser leur système d’information, alors même qu’elles sont des cibles potentielles. C’est le constat dressé par l’ensemble des intervenants du colloque organisé mercredi 16 mars par la Mission Ecoter, « Criticité des données, cybersécurité : comment anticiper les risques, évaluer, s’assurer ? »

« Avant ce colloque, j’avais confiance en ma commune, mon conseil départemental ou régional. Aujourd’hui, je n’ai plus confiance en personne car je m’aperçois qu’on ne se préoccupe pas de mes données dans les collectivités territoriales », s’exclame Patrick Belin.

En consultant cette source : http://www.lagazettedescommunes.com/337105/plusieurs-milliers-de-site-de-collectivites-mal-securises/ vous constaterez que la carte érigée par la Gazette démontre que près de la moitié des communes (6 500 sites sur 14 000) ne sont pas à jour en termes de degré de sécurité.

Peu après les attentats de janvier, de nombreux sites de collectivités ont été piratésdéfacés dans ces cas – par des anonymes soutenant les terroristes. Nul besoin d’avoir un bac + 12 en sécurité informatique pour faire tomber un site tant ils sont nombreux à être insuffisamment sécurisés.

Dans la foulée des attentats contre Charlie Hebdo et la supérette casher, mairies, conseils généraux, offices de tourisme, musées etc. ont vu la page d’accueil de leur site internet détournée par des hackers qui y ont affiché des messages islamistes.

Les  habitudes sont parfois difficiles à perdre, surtout quand la culture « sécurité informatique » n’est pas l’apanage des intervenants des collectivités territoriales. Ceci, malgré les sensibilisations pratiquées et la conscience de l’existence du danger.

Pour preuve, les propos de Jean-Pierre Soler, directeur nouvelles technologies de la communauté d’agglomération Seine Essonne : « Trop peu de responsables sont conscients des failles de sécurité et de leurs infrastructures. » Avant de renchérir : Je peux vous dire que l’on est mal vu dans les collectivités territoriales lorsque l’on met en place des procédures de sécurité. Passer de quatre à treize caractères pour les mots de passe, changer ce dernier toutes les quatre semaines, ne pas laisser un ordinateur allumé plus de cinq minutes lorsque l’on n’est pas à son poste : ce sont des mesures qui passent mal parce que personne n’a l’impression d’être une cible.

Quant aux élus, Jean-Pierre Soler ne les épargne pas non plus, rappelant qu’il est toujours plus vendeur auprès des électeurs « de garnir la ville de fleurs ou de proposer une jolie décoration de Noël » plutôt que de dégager un budget pour la sécurité numérique car « cela ne se voit pas ».

Soit dit en passant, cette problématique ne concerne pas que les collectivités territoriales. Nous pouvons trouver les mêmes symptômes au sein de certaines entreprises du secteur marchand.

Dans un passé, pas si lointain, les flux externes liés à l’activité de la collectivité territoriale (entrants et sortants) passaient par un seul point; de nos jours, ils sont dirigés vers divers intervenants internes (en entrée et en sortie), ce qui multiplie les risques.

Les collectivités territoriales sont des entités multidimensionnelles et l’e-administration est un axe important de la modernisation de l’action publique et répond à une demande effective des citoyens.

En 2013, la Cour des comptes tacle les sites web des administrations.

Ce qui ressort principalement, ce sont la dématérialisation des opérations, des actes et les attentes des besoins « citoyen-client ».

N’oublions pas que le jugement de la Cour des comptes est basé aussi, à mon sens, sur une notion de qualité/utilité des sites internet créés par rapport aux montants investis par les collectivités locales et territoriales.

En arrière plan, ou en non-dit, la volonté d’une meilleure maîtrise, voire d’une réduction des coûts de fonctionnement de ces entités.

Créer un site internet c’est bien. L’actualiser, c’est mieux. Le faire vivre, en termes de mutation, est beaucoup moins aisé pour le secteur public

Les sites internet ne sont pas initiés, suite à un questionnement des attentes des citoyens. Ils sont la vision estimée, par les responsables de ces collectivités, des attentes citoyennes.
Ils sont aussi souvent le simple reflet des informations fournies par le Secrétaire général ou le service Communication au prestataire de services retenu.

 

La critique est aisée et l’art est difficile.

En termes d’efficience, ne serait-il pas judicieux :
1. D’inclure le Case Management au sein de ces collectivités ?
2. De se diriger vers un principe de mutualisation ? Comme, par exemple, la création de l’association Grand Paris (Asso Grand Paris – @AssoGrandParis).

 

La réussite passera par une suppression des freins aux changements (corporatisme, vision personnalisée, réflexes « idéologiques », politiques ou électoralistes, …) et la volonté d’insuffler une culture de participation collaborative accompagnée d’une politique de réponse aux attentes des « citoyens-clients ».

Pouvons-nous envisager une norme qualité ISO servant de référentiel à cette nouvelle vision, en complément de l’action de l’Agence nationale de sécurité des systèmes d’information (ANSSI) créée en 2009 ?

A propos des NTIC, les collectivités territoriales ne doivent plus être considérées comme des entités individuelles, car elles ont des relations entre elles. Par exemple, sous forme des intercommunalités.au travers des établissements publics de coopération intercommunales (EPCI).

Les collectivités territoriales commencent à dépasser la prise de conscience des risques d’attaques, le stade de la sensibilisation en termes de prévision des risques majeurs. Mais la correction de leurs points faibles, pour lesquels l’ANSSI peut les aider à y remédier au travers de ses conseils et de ses guides, sont loin d’être résolues.

L’e-administration (dématérialisation des actes) devenant de plus en plus une réalité, les collectivités territoriales ne peuvent se contenter de la simple maîtrise informatique et de celle de l’information. Une attaque informatique est susceptible de mettre en péril la continuité du service public, avec tous les impacts que cela pourrait avoir au plan économique ou social. D’autant plus, que les systèmes d’information sont souvent très hétérogènes et ce, même au sein d’une collectivité. D’où l’intérêt de mettre en place des plans de continuation de l’activité (PCA) et des plans de reprise de l’activité (PRA).

Nous pouvons également nous interroger sur un élément fondamental et organisationnel d’une collectivité territoriale : le système d’information est-il considéré comme un simple outil de traitement et d’enregistrement, ou est-il orienté stratégie  de cette même collectivité. Il pourrait être difficile d’apporter une réponse stricte, le « politique », en fonction des résultats électoraux, peut changer du tout au tout la stratégie de la collectivité territoriale.

Enfin, une dernière contrainte est à prendre en compte : les budgets alloués à ces actions qui peuvent être tendus en période de restriction budgétaire. Ce qui ne permet pas toujours, malgré certains arbitrages, de réaliser les investissements nécessaires.

Des transformations organisationnelles et juridiques auront lieu au sein des collectivités territoriales eu égard à la nouvelle réglementation européenne à propos de la protection des données personnelles qui doit entrer en vigueur en 2018.

Cette nouvelle réglementation aura un impact évident sur la conformité, mais également sur le contrôle permanent (contrôle interne) :  La réforme des règles de protection des données personnelles : quels changements anticiper au sein de votre entreprise? et  http://www.lagazettedescommunes.com/423036/protection-des-donnees-quel-impact-aura-le-nouveau-reglement-europeen-sur-les-collectivites/ En complément des actions de l’ANSSI, ce peut être une bonne base (cadre référentiel) pour palier au retard pris en matière de sécurité informatique.

Avoir une bonne  éthique professionnelle (Emprunt au latin impérial ethica, ‘‘ce qui est relatif aux mœurs’’ ; du grec ancien êthos, ‘’morale » (code, règles…) est sain, mais y ajouter une bonne hygiène (prévention) informatique est un « must ».

Ces travailleurs intellectuels devraient également élaborer et diffuser une éthique novatrice et pragmatique pour le XXIe siècle.
Le Monde diplomatique.fr

Source initiale – La Gazette.fr:  http://www.lagazettedescommunes.com/433928/securite-informatique-les-collectivites-territoriales-des-cibles-qui-signorent/