Cybermalveillance. Renforcer la sécurité
Cibles privilégiées, les collectivités locales doivent redoubler de vigilance.

Il y a un an déjà, dans un guide qui vient d’être réactualisé (lire «En savoir plus »), l’AMF et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) passaient au crible les principaux incidents rencontrés par les collectivités en matière de cybermalveillance. Sur le podium, la défiguration du site web de la collectivité (53 % des incidents) devançait alors la compromission des comptes de messagerie (26 %), suivie des attaques par des maliciels (14 %). Mais surtout, « les sites internet ne doivent pas être l’unique point d’attention », insistait l’ANSSI, soulignant que « l’origine des attaques informatiques est multiple, elles peuvent être d’origine externe (site Internet, téléphone mobile, cybercriminels...) ou interne (élus, agents, prestataires, clés USB, mots de passe faibles...) ». Toutes les vulnérabilités techniques, juridiques, organisationnelles et surtout humaines sont exploitées par les cyberpirates. Souvent en effet, l’erreur commence avec un simple clic dans un mail contenant un lien hypertexte frauduleux.
Preuve de l’ampleur du risque, le « Commandement de la gendarmerie dans le cyber-espace » (COMCyberGEND), mis en place en février dernier, devrait passer de 7 000 membres à plus de 20 000 en 2022. Ce dispositif devrait en particulier permettre d’améliorer la sensibilisation des communes rurales en leur proposant des diagnostics de cybersécurité gratuits et personnalisés. Le ministère de l’Intérieur a adressé aux maires, début septembre, un courrier les incitant à se prémunir des nouvelles menaces numériques, accompagné « d’un support d’auto-évaluation de la sécurité numérique » des collectivités. « Développé par les spécialistes en cybersécurité de la gendarmerie nationale, en lien étroit avec l’AMF et le dispositif Cybermalveillance.gouv.fr (…), cet outil vise à aider les élus dans l’évaluation des faiblesses potentielles de leurs infrastructures numériques » (www.amf.asso.fr, réf. BW40872).
Adopter les bons réflexes
Le groupement d’intérêt public (GIP) Cybermalveillance (www.cybermalveillance.gouv.fr) formule trois préconisations essentielles : le choix de mots de passe « robustes et uniques », des mises à jour régulières sur tous les appareils, et des sauvegardes efficaces. Côté mots de passe, il est conseillé de bannir les suites logiques de chiffres ou de lettres (1234, azerty...) et d’imposer qu’il contienne au moins une majuscule, un chiffre, un caractère spécial et suffisamment de caractères (de 9 à plus de 15 selon le niveau de sensibilité).
Mais ce type d’identification unique comporte, lui aussi, ses limites surtout lorsque le mot de passe est connu de plusieurs utilisateurs. L’une des parades consiste à privilégier, lorsque cela est possible, l’authentification dite « multifacteur » (MFA). Il s’agit d’identifier un utilisateur au regard de ce qu’il sait (son identifiant et son mot de passe), de ce qu’il a (requête de vérification), de ce qu’il est (identité vérifiée via un dispositif biométrique, empreinte digitale, iris, voix…) ou de sa localisation.
Sensibiliser les agents
Côté prévention, le modèle de sécurité «Zero Trust » (zéro confiance) consiste à considérer que l’on ne doit faire confiance à aucun login, aucun utilisateur ni aucun appareil. Concrètement, avant de décider si un utilisateur doit pouvoir accéder à une ressource ou s’il faudrait l’autoriser à réaliser telle ou telle opération, il s’agit de vérifier et de sécuriser toutes les ressources, limiter et appliquer des contrôles stricts des accès, mais aussi d’enregistrer tout trafic sur le réseau. Vaste travail pour les collectivités et leurs responsables des systèmes d’information qui devront alors s’attacher à redéfinir la stratégie informatique en réduisant les droits d’accès aux seuls agents concernés, en installant des certificats générés par une infrastructure de gestion des clefs, ou en chiffrant les flux.
Des collectivités vont plus loin encore, à l’instar de Vannes (56). « Il ne faut pas perdre de vue que 80 % des risques cyber sont liés à l’humain et que 90 % des menaces proviennent d’un mail frauduleux », témoigne ainsi Anne Le Hénanff, adjointe au maire chargée de la performance de l’action publique et de la transformation numérique. Aussi la municipalité a-t-elle décidé de former en ligne tous ses agents et ses élus pour leur apprendre à déjouer les pièges des e-mails malveillants. S’en est suivie une campagne de faux courriels d’hameçonnage, menée par le responsable de la sécurité des systèmes d’information de la ville. Résultat : le taux de clics est passé de 23 à 6 % en l’espace d’un an.
Pour l’heure, le GIP Cybermalveillance a lancé un nouveau label «Ville cyber responsable » à destination des collectivités locales pour valoriser les bonnes pratiques et sensibiliser le plus grand nombre. Les premières communes labellisées devraient être connues début 2022.
• Guide AMF-ANSSI «Recommandations relatives à l’authentification multifacteur et aux mots de passe ». www.ssi.gouv.fr
• Lire la fiche « Cyberattaques : comment se prémunir du pire » parue dans Maires de France n° 393 de septembre 2021, pp. 44-45.
• Consulter la synthèse du forum sur la transition numérique organisé lors du Congrès de l’AMF sur www.mairesdefrance.com
Suivez Maires de France sur Twitter: @Maires_deFrance
Raccourci : mairesdefrance.com/1088
Cet article a été publié dans l'édition :
- Désinflation des normes : y arrivera-t-on un jour ?
- Les élus locaux français jugent sévèrement l'Union européenne
- Police de la publicité.Transfert de la compétence aux communes et aux EPCI
- Risque incendie. L'inquiétude des territoires ruraux
- Quelles sont les nouvelles règles encadrant la réunion des organes délibérants ?
- Harcèlement de rue : des zones refuge pour les femmes
- Périgueux dans le bain du plan aisance aquatique
- À La Rochelle, la cité de l'emploi mise sur la proximité
- Pollution sonore. Les pouvoirs du maire
- Le programme européen Erasmus+
- Le remboursement des frais de garde des élus locaux
- Élections : les nouvelles mesures applicables à partir de janvier 2022
- Cybermalveillance. Renforcer la sécurité
- Loi « Matras » : consolider le modèle de sécurité civile
- Logement : près de 1 300 communes aidées pour relancer la construction durable
- Finances : le recours au financement participatif est élargi
- Déchets : avalanche de textes sur les filières à responsabilité élargie des producteurs
- Environnement : les collectivités doivent maîtriser leur empreinte numérique
- Faire participer les habitants. Une démarche exigeante
- Le maire officier de police judiciaire
- Le maire et les voisins
Maires de France est le magazine de référence des maires et élus locaux. Chaque mois, il vous permet de décrypter l'actualité, de partager vos solutions de gestion et vous accompagne dans l'exercice de votre mandat. Son site Internet, mairesdefrance.com, vous permet d’accéder à toute l'information dont vous avez besoin, où vous voulez, quand vous voulez et sur le support de votre choix (ordinateur, tablette, smartphone, ...).