Cybersécurité : protéger le poste de travail des agents et des élus

Une grande partie des attaques informatiques ont pour point de départ l’ordinateur d’un agent et ses outils de travail quotidiens : messagerie et navigateur internet. Le poste de travail peut aussi, via ses connexions réseau, être un moyen pour pénétrer le système d’information de la collectivité. Pour les élus, les risques associés à une cyber-attaque sont nombreux : vol ou perte de données sensibles, interruption des services rendus aux usagers… Elle peut potentiellement aboutir à une mise en cause de la collectivité devant les tribunaux, notamment si elle n’a pas respecté le règlement général de la protection des données (RGPD) (1). 

Créer des mots de passe robustes. L’accès au poste de travail doit impérativement être protégé par un mot de passe d’au moins 8 caractères associant chiffres, lettres et caractères spéciaux. Toutes les applications auxquelles l’agent a accès via son poste de travail doivent aussi être protégées par un mot de passe unique. Pour faciliter la gestion des mots de passe, les collectivités peuvent s’appuyer sur des logiciels libres comme Keepass. Le post-it sur le bureau avec les mots de passe en clair est à prohiber !

Maintenir les logiciels à jour. Les failles de logiciels – systèmes d’exploitation, navigateur internet, logiciels métiers… – sont autant de «portes dérobées » permettant aux pirates de prendre le contrôle de la machine, voire de pénétrer sur le réseau interne de la collectivité. La mise à jour des logiciels est un moyen de s’en prémunir et il est recommandé d’activer leur mise à jour automatique. Attention : il faut veiller à ce que la mise à jour provienne du site officiel de l’éditeur, de fausses mises à jour pouvant comporter des virus.

Installer un antivirus et un pare-feu. L’antivirus permet d’analyser les mails et leur pièce jointe afin de détecter ceux qui contiennent un contenu suspect. Aux antivirus utilisant des listes de virus (mis à jour quotidiennement), on préférera un antivirus comportemental, plus performant pour identifier les menaces inconnues. Le pare-feu (parfois couplé à l’antivirus) filtre, lui, les connexions entrantes et sortantes, et permet d’interdire des flux (téléchargements illicites).

Sauvegarder régulièrement les données. En cas de perte, de vol, de piratage comme d’endommagement du matériel, seule une sauvegarde des données garantira à la collectivité d’assurer la continuité du service. Ce sujet est devenu surtout critique avec l’apparition des «rançongiciels » qui cryptent l’ensemble des données de la machine infectée. La sauvegarde peut être globale (logiciels compris) ou ne concerner que certains fichiers, être réalisée sur un disque dur externe ou sur un serveur distant, notamment dans le cloud via un service spécialisé. En cas de disque dur externe, il faut veiller à le déconnecter du réseau une fois la sauvegarde effectuée et à le stocker dans un endroit sûr.
Formaliser les règles. Les règles « d’hygiène informatique » de la collectivité doivent être partagées par l’ensemble des agents et des élus. Elles gagneront à être formalisées sous la forme d’une charte d’utilisation des moyens informatiques et outils numériques.  
(1) La CNIL, avec notamment le concours de l’AMF, 
a publié un Guide de sensibilisation au RGPD. www.amf.asso.fr (réf. BW39777).