Par Fabian Rodes, expert en Cybersécurité et de gestion des risques numériques
La transformation numérique des collectivités territoriales nécessite de faire aujourd’hui les bons ajustements. Pourquoi ? Tout simplement afin de s’affranchir des difficultés d’hier et pouvoir bénéficier demain d’infrastructures délocalisées, adaptées aux besoins numériques … mais avant tout d’infrastructures et de services sécurisés afin d’établir la confiance dans l’e-administration et protéger les données de nos citoyens. Panorama des enjeux et faiblesses des collectivités en matière de transformation numérique.
Introduction : les petites collectivités, les parents pauvres de la République numérique
Ne disposant que de peu de moyens et devant faire des arbitrages face aux baisses des dotations de l’Etat[1], les petites et moyennes collectivités territoriales n’engagent pas aussi rapidement la transformation numérique que le secteur privé ou bien que l’Etat. Des d’appels d’offre groupés (centre de gestion, communauté de communes/d’agglomération, …) permettent en mode projet de baisser les coûts de réalisation tels que la conception de sites Internet par exemple. Mais la question du maintien en condition opérationnelle (MCO) des solutions déployées est trop souvent négligée, faute de préoccupations ou de moyens. Ce manque d’investissement et l’absence de sensibilisation a conduit les petites et moyennes collectivités territoriales à ne pas entreprendre les mesures permettant de disposer de solutions numériques sécurisées. Hier simple vitrine numérique communale, la transformation digitale imposée par l’e-administration et la dématérialisation des services ‘papiers’ vont aggraver cette fracture en démultipliant les risques portés sur les données citoyennes et de l’Etat dans ses collectivités.
#opFrance retour sur la plus grosse campagne de cyberattaques subit par la France
Au lendemain du terrible attentat perpétré dans les locaux de Charlie Hebdo le 7 janvier 2015, le mouvement des Anonymous emporté par des hacktivistes français ont engagé une opération visant à détruire/fermer des sites et comptes twitter djihadistes. Bien que l’action fût louable avec la mise hors d’état de nuire quelques 200 sites et comptes djihadistes, elle n’a pas eu totalement l’effet escomptée ! En effet le lendemain de cette offensive technologique, une seconde opération en réponse à la première émergea de la part de plusieurs mouvements de pirates pro-Daesh et Al-Qaïda. Cette contre-offensive déclencha alors la plus vaste opération de cyberattaques jamais subit par la France[2] entre le 9 le 27 janvier 2015.
Ces cyberattaques ont visées les sites Internet associant l’image de la France : institutionnels en premier lieu, santé, universités, puis plus généralement tous les sites en .fr ou de langue francophone. Les chiffres sont évoquant : 1.300 attaques ont été revendiquées et entre 19.000 et 25.000 sites piratés en moins d’une semaine seulement[3].
Parmi ces milliers de sites touchés, près de 450 sites de collectivités territoriales ont été compromis ; principalement des sites Internet de communes de moins de 15.000 habitants.
Bien que le Directeur de l’ANSSI évoqua le terme de « graffitis » pour relativiser le défacement[4] de ces sites, il en demeure pas moins que les bases de données associées à ces sites furent piratées. Par ailleurs, les pirates déposèrent également des malwares ou des backdoors sur les autres pages ; ceci afin d’infecter les ordinateurs des internautes ou se permettre de revenir plus tard par une porte dérobée.
Sites Internet des collectivités territoriales : un constat alarmant et préoccupant
Pour reprendre le préambule édicté par la Chaire de cybersécurité de St-Cyr Coëtquidan dans son étude[5] sur les Enjeux du numérique pour les collectivités territoriales : « le bilan des pratiques cyber des collectivités territoriales est plutôt sombre ».
En pour cause, l’analyse[6] publiée par La Gazette des communes en mars 2015 est alarmant : sur les 14.220 sites de communes analysés en février 2015, près de la moitié ne sont pas à jour (précisément 46,5 %). Mais si l’on croise les données[7] de cette étude avec les données INSEE en matière de démographie et de situation géographique, on obtient alors des chiffres plus alarmants et contrastés :
- Un risque accentué dans les petites et moyennes collectivités
Le nombre de communes ayant un site Internet non à jour est plus important dans les tranches des communes de moins de 10.000 habitants … qui totalisent 13.246 communes, soit 93% des communes et 60% de la population rattachée dans cette l’étude.
Tableau : répartition des communes ayant un site non à jour par tranche de population
- Une inégalité sur les territoires
Sur les 97 départements français, le nombre de communes ayant un site Internet non à jour varie de 26% à 75%, témoignant d’une grande disparité géographique sur le territoire.
Courbe:Répartition des communes ayant un site non à jour par département (ordre croissant)
Vers un renforcement constant dans la protection des données … enjeux et richesses du numérique de demain et contraintes réglementaires
La loi « pour une République numérique »[8] adoptée le 26 janvier 2016 a pour ambition de positionner la France comme un pays leader et souverain dans le domaine du numérique. Pour se faire, la Loi introduit la libre circulation des données en imposant également des obligations de protection qui s’appliqueront bien entendu aux données des processus de dématérialisation des services de l’Etat dans les collectivités.
De plus, la France dispose d’une loi « Informatique et Libertés » imposant un devoir de ratification mais également de protection des données personnelles. Cette loi de 1978 fut notamment renforcée par la directive 95/46/CE de l’Union Européenne qui a adopté un nouveau Règlement Général sur la protection des Données, le fameux RGPD. Ce règlement européen sera opposable le 25 mai prochain et le Législateur modifiera très prochainement notre bonne vieille loi de 1978. Le RGPD est applicable à toute société/organisme traitant des données de ressortissants de l’Union européenne. Ce règlement renforce les obligations sur le traitement des données à caractères personnelles. A ce titre, il s’appliquera aussi aux collectivités. Ainsi des obligations, telles que le droit à l’oubli ou l’obligation d’informer sous 72h les citoyens en cas de fuites de données vont devoir être appliqués. L’intégration de la sécurité dans la conception des services numériques est ainsi devenue un élément clef afin de maîtriser accès et durée de stockage des données.
L’arrivée de cette dématérialisation et la mise en place de l’e-administration va augmenter considérablement l’inter-connectivité entre d’une part les citoyens et entreprises et d’autre part les services administratifs des communes. Les services en ligne (Front-Office) vont fleurir et devenir eux-mêmes interconnectés avec un ou plusieurs systèmes informatiques (Back-Office) ont seront stockés ou par lesquels transiteront toutes les données. Dès lors, le site Internet, jusque-là isolé et simple vitrine, sera une véritable porte d’entrée vers les données numériques des citoyens et entreprises d’une collectivité (ou d’un territoire en cas de mutualisation des infrastructures). De quoi susciter bien des convoitises pour cet or noir du 21e siècle qu’est la donnée par des organisations criminelles !
Pourtant les messages de sensibilisation aux élus ne manquent pas comme celui[9] intervenant mi-janvier 2015 lors de la campagne de cyberattaque #opFrance. De même l’ANSSI communique auprès des élus lors du salon annuel des Maires de France. Cependant devant la faible proportion des piratages décelés (voir encadré), les élus n’ont aujourd’hui pas conscience des risques, voir sont atteint du syndrome « ça n’arrive qu’aux autres ».
Le piratage d’un site Internet n’est pas forcément visible
Le défacement en modifiant la page principale d’un site permet évidemment d’être rapidement alerter sur son piratage. En revanche, si l’objet recherché d’une cyberattaque n’est pas de laisser un message revendicatif, mais d’accéder, voire de collecter et si possible durablement, des données, alors tout sera réalisé par les pirates pour ne pas se faire remarquer. Ce type d’attaque appelée Advanced Persistent Thread (APT) est en moyenne détectée au bout de plusieurs mois seulement, permettant aux attaquants de pénétrer durablement dans les différents systèmes, ou bien de collecter l’intégralité des données.
|
Dès lors, en l’absence d’une prise de conscience et de la mise en place de moyens, cette ouverture numérique vers les données citoyennes vont engendrées des risques conséquents en matière de fraude, d’atteinte à l’image voir de détournement d’identité.
Hélas, il sera trop tard demain. D’une part, car les coûts d’investissements de cette transformation nécessiteront d’être amortie sur plusieurs années avant de pouvoir à nouveau grever un budget communal. D’autre part, car corriger un défaut de conception sur un produit déployé revient en général à multiplier par un facteur x2 l’effort qui aurait fallu investir. De ce fait, tant que le syndrome « ça n’arrive qu’aux autres » tiendra encore … les élus n’investiront pas.
En cas de fuite ou d’exposition de données, le pouvoir de sanction sera bien là au lendemain du 25 mai prochain. Mais s’il y a un bâton, il faut à minima que les élus ne soient pas désemparés et accompagnés dans la réalisation des efforts à mettre en œuvre. Or, en la matière, rien n’accompagne aujourd’hui l’élu(e) sur le terrain pour lui dire ce qu’il (elle) doit faire, pour quand … et encore moins comment. |
Les mots de sécurité et de confiance font enfin plusieurs fois leur apparition dans la déclinaison 2018-2020 du programme DcANT[10] piloté par la direction informatique interministériel de l’Etat, la DINSIC. La sécurité fera partie des critères de sélection des briques logicielles retenues dans les solutions de plateformes proposées par le programme aux collectivités. Rassuré ? Pas complétement, car si des solutions protégeant nos données sont proposées, il n’en demeure pas moins essentiels de sensibiliser Elus, DGS et DSI de les utiliser.
Les partenariats public-privés à l’échelon régional, une réponse à la fois aux besoins et aux problèmes … nécessitant de s’affranchir de certains clivages
C’est là que le maillon national porte ses limites car la capacité des services de l’Etat à œuvrer sur l’ensemble des territoires est impossible aux regards des délais et des enjeux. Notre agence nationale de cybersécurité, dont je salue le travail et la qualité de la documentation, ne peut pas au travers d’un seul référent par Région combler le fossé du manque de sensibilisation et de coordination des efforts en matière de cybersécurité. Ce n’est d’ailleurs pas sa mission. Alors qui pour entreprendre ses efforts : les centres de gestion départementaux (CDG) ? Les services en préfectures ? Des regroupements d’offreurs de solutions ? Des initiatives en Région ou dans les EPCI[11] via le financement de projet ou d’appel à manifestation d’intérêt ? Sans doute un peu de tout cela.
Le virage numérique est engagé, l’accroissement du digtal est rapide et inéluctable. A ce titre, tous les moyens sont bons et sont à utiliser pour faire avancer nos territoires en la matière. C’est pourquoi il faut réunir tous les acteurs au sein d’un même cercle de coordination à l’échelon régional, tout en interagissant au niveau des collectivités à l’échelle des EPCI. Le but est de réunir les sachant, experts technologiques, offreurs, décideurs et consommateurs. De plus,l’échelon régional est le bon niveau au niveau budgétaire, car c’est au niveau de la Région que s’opère l’attribution de FEDER[12] pour financer en partie ces travaux.
L’échelon national quant à lui a toujours un rôle à jouer dans cette décentralisation de la transformation numérique des collectivités. Celui de détecter et de promouvoir les meilleures initiatives/démonstrateurs et de permettre leur duplication dans des territoires moins performants, comme l’évoque un opérateur public de services numériques, il faut « S’appuyer sur l’expérience de chacun, pour ne laisser personne au bord du chemin … ».
Face à ces besoins de transformation numérique et afin de répondre aux problèmes de cybersécurité, il me semble que deux structures sont à utiliser.
Tout d’abord au niveau local, la structure des partenariats publics-privés en région est la meilleure approche territoriale. D’une part, car ces structures (clusters/associations, entreprises,…) sont constituées par regroupement de professionnels du secteur qui possèdent une véritable expérience des enjeux et des technologies, notamment au travers de leurs activités professionnelles réalisées dans le domaine du secteur privé. D’autre part, cette structuration permet de bâtir et de construire des offres complètes, clés et/ou services en mains. Ceci correspond exactement aux besoins des collectivités telles que les ECPI. Ces dernières n’ont pas forcément la capacité à réaliser la maîtrise d’ouvrage de l’édifice technologie de l’e-administration (besoin AMOA), disposent de peu voir d’une absence de maîtrise d’œuvre (besoins MOE), mais sont à même de regrouper les besoins pour les communes qu’elles regroupent.
D’autre part au niveau national, à l’issue de l’émergence d’une solution ou d’une technologie à usage répandue, la structure de la startup incubée au niveau de l’Etat permet un double objectif ; tout d’abord d’orienter la conception et l’usage de technologie sensible ou à large spectre et d’autre part de garder une souveraineté numérique dans les solutions qui seront utilisées sur les territoires.
Le présent quinquennat a fixé comme objectif d’atteindre 100% de services dématérialisés de l’Etat et de ses collectivités d’ici à 2022. Il reste donc un peu moins de 4 ans avant l’échéance. Aussi, pour réussir ce pari, pour projeter nos territoires dans un numérique où règne la confiance et la protection des données, je pense qu’il est nécessaire de bâtir des initiatives en partenariat fort avec des ECPI, particulièrement les métropoles et communautés d’agglomérations, puis de fédérer au niveau régional voir nationale les meilleures solutions.
Article initial de janvier 2017, actualisé mi-décembre 2017
Notes présentes dans l’article
[1] http://www.lagazettedescommunes.com/277822/plf-2015-scenario-noir-pour-les-collectivites-territoriales/
[2] http://www.lefigaro.fr/secteur/high-tech/2015/01/15/32001-20150115ARTFIG00333-la-france-face-a-une-vague-sans-precedent-de-cyberattaques.php
[3] http://www.silicon.fr/1300-attaques-cyber-djiadhistes-france-106254.html
[4] Action visant à changer la page principale du site par un message revendicatif
[5] http://www.chaire-cyber.fr/IMG/pdf/introduction_aux_enjeux_du_numerique_pour_les_ct_v1.pdf (§ II, p.13)
[6] http://www.lagazettedescommunes.com/337105/plusieurs-milliers-de-site-de-collectivites-mal-securises/
[7] Données en ODbL https://www.data.gouv.fr/fr/datasets/securite-des-sites-informatiques-des-communes-francaises/
[8] http://www.assemblee-nationale.fr/14/ta/ta0663.asp
[9] http://www.courrierdesmaires.fr/44682/assurer-la-securite-informatique-et-la-sauvegarde-des-donnees/
[10] http://www.modernisation.gouv.fr/ladministration-change-avec-le-numerique/dans-les-collectivites-territoriales/quand-etat-et-collectivites-territoriales-transforment-ensemble-le-service-public-decouvrez-le-programme-dcant-2018-2020
[11] Etablissements Publics de Coopération Intercommunale (métropoles et communautés)
[12] FEDER : Fonds Européen de DEveloppements Régional adopté en 2010 avec un budget de 960 milliards d’euros sur 2014-2020 pour les membres de l’UE (dont 9,5 milliards d’euros allouable aux projets français). Pour plus d’informations, consulter le site http://www.europe-en-france.gouv.fr/
Vous devez être connecté pour poster un commentaire.