Ciblées désormais comme n'importe quelle entreprise, les collectivités territoriales doivent plus que jamais faire attention et prendre les mesures cybersécurité qui s'imposent pour éviter les déconvenues. Au regard du dernier rapport du Clusif, commenté en vidéo par son rapporteur Cyril Bras, RSSI de Grenoble-Alpes Métropole intervenu lors de la Cybermatinée Sécurité 2019, il reste manifestement encore des efforts à faire. 

D'après cette étude - menée auprès de 202 collectivités de janvier à mars 2020 par GMV Conseil - les politiques de sécurité de l'information restent en effet moyennement soutenues par les directions générales des services alors même que ces dernières sont impliquées dans leur élaboration pour 70% des cas. Cela devrait être un peu plus le cas quand on sait que 30% des villes et régions (conseils territoriaux) se déclarent avoir été touchés par un ransomware - dont un , sachant que 53% ne communiquent pas en la matière et seulement 10% déposent plainte. « On constate que pour la plupart des collectivités les rançongiciels ont un risque sous évalué car la plupart qui en ont été victimes ont été capables de récupérer leurs données. Corollaire de cela, il n'y a pas d'investigation d'analyse et il y a des chances que cela se reproduise dans le futur », analyse Cyril Bras.

Les serious game quasi inexistant des leviers de sensibilisation cyber

Parmi les difficultés rencontrées par les RSSI des collectivités locales, l'étude du Clusif fait ressortir celle liée au partage de la fonction avec d'autres - en particulier DSI dans 42% des cas - qui débouche sur des difficultés de compréhension des enjeux par l'encadrement dirigeant et des doutes sur les capacités à révéler les défaillances et les incidents. Par ailleurs, si la fonction de RSSI est de mieux en mieux identifiée au fil du temps, elle n'en reste pas moins encore difficile à dédiée pour le tiers des collectivités. « Les effectifs consacrés à la sécurité des systèmes d'information sont souvent insuffisants », souligne le Clusif qui pointe également une faiblesse en matière de gestion des départs ou des changements de postes encore trop rarement adressée.

En termes de moyens de sensibilisation, les RSSI des collectivités locales ont à leur disposition plusieurs moyens. Tout d'abord en termes de populations visées, à savoir l'ensemble des collaborateurs (79%), les directions générales et élus (42%) ou encore des populations spécifiques (31%). Concernant les outils utilisés, les publications de news via l'intranet, le mailing ou des affiches et articles dans le journal interne sont répandues parmi 45% des répondants, contre 26% pour des dépliants de type bonnes pratiques de sécurité ou des goodies (calendriers, tapis de souris...) 26%. Derrière on trouve des quiz ou questionnaires ludiques (17%) ainsi que des serious game (1%). Alors que les deux précédents sont en progression, on notera que ce dernier est en baisse. Safia D'zriri, directrice des solutions numériques du Département de Loire-Atlantique avait justement eu l'occasion lors de la dernière Cybermatinée Sécurité Pays de la Loire de faire part lors de son retour d'expérience d'un retour arrière sur le sujet faute à une adhésion qui n'a pas prise.

Du cloud utilisé sans contrôle de la DSI ou du RSSI

Pointant l'existence de disparités entre les différentes collectivités en matière de contrôle d'accès au SI, le rapport note toutefois que 64% ont défini des politiques de complexité et de renouvellement des mots de passe. Un bon point qui est cependant contre-balancé par le fait que 75% des collectivités ne disposent pas d'un plan de gestion de crise et que les PCA sont testés au moins une fois par an par seulement un quart d'entre elles. « La gestion de crise n'est pas préparée en amont et, quand il y a en a une, on se rend compte que cela a été fait dans la sphère DSI sans prendre en compte les métiers », poursuit Cyril Bras. Outre l'absence de l'existence de tableaux de bord sécurité (13% des répondants), à peine plus du tiers (35%) utilisent le chiffrement pour sécuriser et transporter des données. A noter que pour cette dernière problématique il existe - encore -de fortes disparités d'implantation de cette technologie entre les types de collectivités concernées, à savoir les communes (61%), les conseils départementaux et régionaux (50%), les communautés d'agglomération, urbaines et métropoles (39%) et les communautés de communes (25%).

Parmi les autres enseignements de l'étude, on retiendra en outre que 33% des collectivités autorisent un accès au SI depuis l'extérieur sur un poste non maîtrisé, que 85% n'ont pas adopté de démarche de security by design et que dans 24% des cas le cloud est utilisé il est fait sans contrôle de la DSI ou du RSSI.