Cybersécurité et transformation numérique des petites et moyennes collectivités territoriales, un véritable enjeu de souveraineté numérique.

Par Fabian Rodes, membre de plusieurs clusters & associations en matière de Cybersécurité et de transformation digitale des collectivités territoriales

La transformation numérique des collectivités territoriales qui s’orchestre au travers de la loi « Pour une République numérique » nécessite de faire aujourd’hui les bons ajustements. Pourquoi ? Tout simplement afin de s’affranchir des erreurs d’hier et pouvoir bénéficier demain d’infrastructures délocalisées, adaptées aux besoins numériques … mais avant tout d’infrastructures et de services sécurisés permettant d’établir la confiance dans l’e-administration et protéger les données de nos citoyens. Panorama des enjeux et faiblesses des collectivités en matière de transformation numérique.


Les petites collectivités, parents pauvres de la République numérique

Ne disposant que de peu de moyens et devant faire des arbitrages face aux baisses des dotations de l’Etat[1], les petites et moyennes collectivités territoriales n’engagent pas aussi rapidement la transformation numérique que le secteur privé ou bien que l’Etat. Des d’appels d’offre groupés (centre de gestion, communauté de communes/d’agglomération, …) permettent en mode projet de baisser les coûts de réalisation tels que la conception de sites Internet par exemple. Mais la question du maintien en condition opérationnelle (MCO) des solutions déployées est trop souvent négligée, faute de préoccupations ou de moyens. Ce manque d’investissement et l’absence de sensibilisation a conduit les petites et moyennes collectivités territoriales à ne pas entreprendre les mesures permettant de disposer de solutions numériques sécurisées. Hier simple vitrine numérique communale, la transformation digitale imposée par l’e-administration et la dématérialisation des services ‘papiers’ vont aggraver cette fracture en démultipliant les risques portés sur les données citoyennes et de l’Etat dans ses collectivités.

#opFrance retour sur la plus grosse campagne de cyberattaques subit par la France

Au lendemain du terrible attentat perpétré dans les locaux de Charlie Hebdo le 7 janvier 2015, le mouvement des Anonymous emporté par des hacktivistes français ont engagé une opération visant à détruire/fermer des sites et comptes twitter djihadistes. Bien que l’action fût louable avec la mise hors d’état de nuire quelques 200 sites et comptes djihadistes, elle n’a pas eu totalement l’effet escomptée ! En effet le 9 janvier, soit le lendemain de cette offensive technologique, une seconde opération en réponse à la première émergea de la part de plusieurs mouvements de pirates pro-Daesh et Al-Qaïda auquel se rallièrent quelques pirates hacktivistes pro-Palestine. Cette contre-offensive déclencha alors la plus vaste opération de cyberattaques jamais subit par la France[2] entre le 9 le 27 janvier 2015.

Ces cyberattaques ont visées les sites Internet associant l’image de la France : institutionnels en premier lieu, santé, universités, puis plus généralement tous les sites en .fr ou de langue francophone. Les chiffres sont évoquant : 1.300 attaques ont été revendiquées et entre 19.000 et 25.000 sites piratés en moins d’une semaine seulement[3].

Figure : progression des cyberattaques associées à #opFrance entre le 9 et 15 janvier 2015

Parmi ces milliers de sites touchés, il y a bien eu 2 ou 3 sites institutionnels rattachés au ministère de la Défense, mais sans aucunes importances opérationnelles. En revanche, près de 450 sites de collectivités territoriales ont été compromis ; principalement des sites Internet de communes de moins de 15.000 habitants.

Bien que le Directeur actuel de l’ANSSI évoqua le terme de « graffitis » pour relativiser le défacement[4] de ces sites, il en demeure pas moins que les bases de données associées à ces sites furent piratées. Par ailleurs, les pirates déposèrent également des malwares sur les autres ; ceci afin d’infecter les ordinateurs des internautes ou se permettre de revenir plus tard par une porte dérobée.

Ces attaques, communément réalisées par ceux qu’on appelle des « scripts kiddies », ne sont pas des attaques sophistiquées. Automatisées et détectant en masse les failles résultant de l’absence de mises à jour des correctifs, elles sont rapides et frappes à l’aveugle en privilégiant une population de sites par téléguidage de mots clés ou d’extension de domaine dans le nom des sites Internet ciblés. Mais ces attaques ont permis de sonner le glas en matière de faiblesse des sites français, certes pour la plupart associatifs, mais avec une atteinte à l’image considérable.

Sites Internet des collectivités territoriales : un constat alarmant et préoccupant

Pour reprendre le préambule édicté par la Chaire de cybersécurité de St-Cyr Coëtquidan dans son étude[5] sur les Enjeux du numérique pour les collectivités territoriales : « le bilan des pratiques cyber des collectivités territoriales est plutôt sombre ».

En pour cause, l’analyse[6] publiée par La Gazette des communes en mars 2015 est alarmant : sur les 14.220 sites de communes analysés en février 2015, près de la moitié ne sont pas à jour (précisément 46,5 %). Mais si l’on croise les données[7] de cette étude avec les données INSEE en matière de démographie et de situation géographique, on obtient alors des chiffres plus alarmants et contrastés :

  • Un risque accentué dans les petites et moyennes collectivités

Comme l’évoque le tableau ci-dessous, le nombre de communes ayant un site Internet non à jour est plus important dans les tranches des communes de moins de 10.000 habitants … qui totalisent 13.246 communes, soit 93% des communes et 60% de la population rattachée dans cette l’étude.

Tableau : répartition des communes ayant un site non à jour par tranche de population

  • Une inégalité sur les territoires

Sur les 97 départements français, le nombre de communes ayant un site Internet non à jour varie de 26% à 75%, témoignant d’une grande disparité géographique sur le territoire (cf. courbe ci-dessous)

Courbe:Répartition des communes ayant un site non à jour par département (ordre croissant)

Vers un renforcement constant dans la protection des données … enjeux et richesses du numérique

La loi « pour une République numérique »[8] adoptée le 26 janvier 2016 a pour ambition de positionner la France comme un pays leader et souverain dans le domaine du numérique. Pour se faire, la Loi introduit la libre circulation des données en imposant également des obligations de protection qui s’appliqueront bien entendu aux données des processus de dématérialisation des services de l’Etat(4) dans les collectivités.

De plus, la France dispose d’une loi « Informatique et Libertés » imposant un devoir de ratification mais également de protection des données personnelles. Cette loi de 1978 est notamment renforcée par la directive 95/46/CE de l’Union Européenne qui vient d’adopter un nouveau règlement(5) le 8 avril dernier. Ce dernier renforce les obligations sur le traitement des données à caractères personnelles et s’appliquera à partir de mai 2018 y compris aux collectivités. Ainsi des obligations telles que le droit à l’oubli ou l’obligation d’informer sous 72h les citoyens en cas de fuites de données vont devoir être appliquées. L’intégration de la sécurité dans la conception des services numériques est ainsi devenue un élément clef afin de maîtriser accès et durée de stockage des données.

L’enjeu de la création de portails sécurisés et l’absence de schéma directeur

L’arrivée de cette dématérialisation et la mise en place de l’e-administration va augmenter considérablement l’inter-connectivité entre d’une part les citoyens et entreprises et d’autre part les services administratifs des communes. Les services en ligne (Front-Office) vont fleurir et devenir eux-mêmes interconnectés avec un ou plusieurs systèmes informatiques (Back-Office) ont seront stockés ou par lesquels transiteront toutes les données. Dès lors, le site Internet, jusque-là isolé et simple vitrine, sera une véritable porte d’entrée vers les données numériques des citoyens et entreprises d’une collectivité (ou d’un territoire en cas de mutualisation des infrastructures). De quoi susciter bien des convoitises pour cet or noir du 21e siècle qu’est la donnée par des organisations criminelles !

Pourtant les messages de sensibilisation aux élus ne manquent pas comme celui[9] intervenant mi-janvier 2015 lors de la campagne de cyberattaque #opFrance. De même l’ANSSI communique auprès des élus lors du salon des Maires de France. Cependant devant la faible proportion des piratages décelés[10], les élus n’ont aujourd’hui pas conscience des risques, voir sont atteint du syndrome « ça n’arrive qu’aux autres ».

Dès lors, en l’absence d’une prise de conscience et de la mise en place de moyens, cette ouverture numérique vers les données citoyennes vont engendrées des risques conséquents en matière de fraude, d’atteinte à l’image voir de détournement d’identité.

Hélas, il sera trop tard demain. D’une part, car les coûts d’investissements de cette transformation nécessiteront d’être amortie sur plusieurs années avant de pouvoir à nouveau grever un budget communal. D’autre part, car corriger un défaut de conception sur un produit déployé revient en général à multiplier par un facteur 2 l’effort qui aurait fallu investir. De ce fait, tant que le syndrome « ça n’arrive qu’aux autres » tiendra encore … les élus n’investiront pas.

C’est pourquoi il est nécessaire de porter une attention particulière pour que le Maire soit correctement informé(e) qu’il (elle) porte la responsabilité de tout manquement de confidentialité ou d’intégrité aux données collectées ou bien véhiculées au travers du système d’information que sa commune met à destination de ses administrés et entreprises. Entre le bâton ou la carotte, le choix est résolument à prendre en faveur des risques de sanctions envers tout élu qui n’aurait pas entrepris de correctement sécuriser l’accès aux données numériques de sa mairie. En effet, je porte beaucoup d’estimes aux hommes et femmes qui sont investis des fonctions de Maire aux regards des charges et de leurs engagements, souvent en sacrifiant leur vie personnelle. Mais force est de constater que pour les encourager à mettre en œuvre des efforts et engager des coûts, il vaut mieux la présence d’une épée de Damoclès qu’une distinction ou un label (qui d’ailleurs n’existent pas) qualifiant la cybersécurité de leurs infrastructures numériques.

Mais s’il y a un bâton, il faut à minima que les élus ne soient pas désemparés et accompagnés dans la réalisation de cet effort. Or, en la matière, rien n’accompagne aujourd’hui l’élu(e) sur le terrain pour lui dire ce qu’il (elle) doit faire, pour quand … et encore moins comment. Il manque un schéma directeur de la transformation et des usages de l’e-administration qui puisse permettre aux organismes décentralisés d’élaborer sur le terrain un véritable fil d’Ariane.

Pour illustrer ce propos, je prendrais un exemple que je connais bien avec celui de ma région des Hauts-de-France. Celle-ci a entériné il y a quelques semaines sa « feuille de route numérique » pour les 2 ans à venir. Hélas, rien ne figure dans celle-ci en matière de transformation numérique des collectivités territoriales et une allusion figure concernant la sécurité informatique. Pire, la demande de subvention dans une association pour y remédier a été rejetée car « ne donnant pas l’assurance de créer des emplois » selon les propos même de la direction générale des services. Les EPCI de la région sont alors « encouragés » à trouver eux-mêmes des solutions (absence de mutualisation des coûts et des moyens) et déposer des dossiers de demande FEDER[11] pour financer leurs travaux (soumis aux arbitrages politiques de tout bord il va de soi). Deux dossiers ont été déposés à ce jour couvrant 160 collectivités … soit bien peu face aux 3.835 collectivités que comptent ma région. Bien sûr la priorité à l’emploi, l’insertion et aux solidarités reste forte et nécessaire, mais l’usage des services numériques pour la décennie à venir ce construit aujourd’hui.

Ce manque d’investissements va créer demain une véritable fracture numérique entre, d’une part des territoires qui auront pris en considération l’attrait compétitif que leur procurera demain leur avance numérique, et d’autres qui en véritable désert technologique auront et subiront des années de retard.

Les clusters et partenariats public-privés, une réponse à la fois aux besoins et aux problèmes … nécessitant de s’affranchir de certains clivages

Face à ses besoins de transformation numérique et afin de répondre aux problèmes de cybersécurité, il me semble que la structure des Clusters est la meilleure approche. D’une part, car ces structures sont constituées par regroupement de professionnels du secteur qui possèdent une véritable expérience des enjeux et des technologies, notamment au travers de leurs activités professionnelles réalisées dans le domaine du secteur privé. D’autre part, la structure du cluster permet de bâtir et de construire des offres complètes, clés en mains, ce qui correspond exactement aux besoins des collectivités qui n’ont pas la capacité à réaliser la maîtrise d’ouvrage de l’édifice technologie de l’e-administration.

Reste alors un obstacle à franchir, toujours de taille, le financement permettant d’amorcer la structure du cluster et amortir les efforts de recherche et développement pour construire l’offre mutualisée. En effet, même si chaque membre du cluster peut supporter les charges de R&D de sa partie logicielle ou d’offre de service, il n’en reste pas moi nécessaire d’animer, de promouvoir et surtout de vendre le catalogue des offres auprès des collectivités. Pour se faire, l’apport initial de subventions est nécessaire afin de lancer la structure et voir aboutir ses offres. Les fonds FEDER sont alors une des solutions de financement puisque la case « innovation » est présente. Se dresse alors un second obstacle, l’attribution de ces fonds.

En effet, l’attribution de fonds FEDER passe par la validation (délibération régionale) de dossier, soutenus préalablement dans les commissions établies au sein du conseil régional. Entre alors deux dimensions qui feront ou non l’acceptation du dossier de demande par les techniciens de l’administration régionale (et ce quelques soit la région) : la dimension politique et la dimension humaine.

La dimension politique est inéluctable puisque les commissions sont placées sous la présidence d’un élu régional, en générale par le biais d’une délégation établie dans le cadre d’une Vice-Présidence. La dimension humaine l’est également, au travers des agents territoriaux en charge de valider la constitution du dossier et sa présentation en commission.

Nos régions sont alors engagées de diverses manières dans cette transformation numérique de nos villes et de nos campagnes. Certaines ont compris l’enjeu et le partenariat avec une agence régionale du numérique dynamise les échanges afin de sensibiliser les élus et établir une véritable feuille de route régionale. D’autres avancent, tirées par les efforts de leurs principales EPCI (Métropole en générale), mais peine à dynamiser le reste des communes.

C’est ici qu’interviendrait tout l’attrait d’un schéma directeur national sur laquelle une région pourrait s’appuyer et qui sera élaboré en bénéficiant de l’avancé/expertise des différentes régions pionnières. Ceci afin éviter que ne soit « créer » de véritables déserts du numérique sur nos territoires, et à défaut


Notes de l’article

[1] http://www.lagazettedescommunes.com/277822/plf-2015-scenario-noir-pour-les-collectivites-territoriales/

[2] http://www.lefigaro.fr/secteur/high-tech/2015/01/15/32001-20150115ARTFIG00333-la-france-face-a-une-vague-sans-precedent-de-cyberattaques.php

[3] http://www.silicon.fr/1300-attaques-cyber-djiadhistes-france-106254.html

[4] Action visant principalement à modifier la page principale d’un site Internet par un message revendicatif

[5] http://www.chaire-cyber.fr/IMG/pdf/introduction_aux_enjeux_du_numerique_pour_les_ct_v1.pdf (§ II, p.13)

[6] http://www.lagazettedescommunes.com/337105/plusieurs-milliers-de-site-de-collectivites-mal-securises/

[7] Données en ODbL https://www.data.gouv.fr/fr/datasets/securite-des-sites-informatiques-des-communes-francaises/

[8] http://www.assemblee-nationale.fr/14/ta/ta0663.asp

[9] http://www.courrierdesmaires.fr/44682/assurer-la-securite-informatique-et-la-sauvegarde-des-donnees/

[10] Le défacement d’un site permet évidemment d’être rapidement alerté sur son piratage. En revanche, l’objet recherché d’une cyberattaque n’est pas uniquement de laisser un message revendicatif en détruisant le service offert par le site. Si l’objet du pirate est d’accéder, voire de collecter et si possible durablement, des données, alors tout sera réalisé par ceux-ci pour ne pas se faire remarquer. Ce type d’attaque appelée Advanced Persistent Thread (APT) est en moyenne détectée au bout de plusieurs mois seulement, permettant aux attaquants de pénétrer durablement dans les sous-systèmes, ou bien de collecter l’intégralité des données stockées ou transitant par ces systèmes.

[11] FEDER : fonds européen de veloppement régional adopté en 2010 avec un budget de 960 milliards d’euros sur 2014-2020 pour les membres de l’UE (dont 9,5 milliards d’euros allouable aux projets français). Pour plus d’informations, consulter le site http://www.europe-en-france.gouv.fr/

Publicités