Présentée en marge des Assises du Numérique, le grand rendez-vous du numérique territorial organisé le 1er juin par Seine-et-Yvelines Numérique, cette offre contribue à faire de la cybersécurité un de ses métiers à part entière.

En 2019, 159 collectivités ont officiellement signalé une cyberattaque en France et, en 2020, elles étaient la première cible des rançongiciels (20% des attaques). Ces attaques connaissent un développement exponentiel, avec près de 10 000 organisations victimes de piratage en 2021, qui n’épargnent pas les collectivités*. Ainsi le Général Gomart, intervenant aux matinales de Seine-et-Yvelines Numérique en décembre dernier indiquait que « le premier risque en entreprise est désormais le risque Cyber ».

Seine-et-Yvelines Numérique, qui accompagne depuis 2016 collectivités et établissements publics des Yvelines et des Hauts-de-Seine, s’est penché sur cette problématique dès 2020. L’opérateur a d’abord réalisé, avec l’aide du cabinet-conseil spécialisé en cybersécurité Excube, une phase d’étude afin d’analyser les besoins avec les DSI et RSSI de quelques organisations représentatives.

« La question n’est pas de savoir si mais quand on va se faire attaquer. Et face au risque cyber, les collectivités sont particulièrement vulnérables car elles n’ont souvent pas en interne les compétences et outils nécessaires pour se protéger ou gérer les attaques. Les principales cibles étant les agents et les élus, via du « phishing ». » explique Eric Glace, Directeur Cybersécurité de Seine-et-Yvelines Numérique

Cette phase d’évaluation a permis de mesurer des niveaux de maturité hétérogènes sur l’équipement et sur la conscience même du risque et de sa probabilité. Il en est ressorti la nécessité de construire une offre adaptable et clé-en-main pour les collectivités.

Une approche pragmatique pour sécuriser son système d’information selon son niveau de maturité

Seine-et-Yvelines Numérique a construit un catalogue de solutions et services « prêt-à-l’emploi » autour des 4 temps clés de la gestion du risque cyber :

1. Comprendre via l’acculturation aux risques cyber : sensibiliser à travers une plateforme de formation en e-learning les Elus et les équipes internes. Le risque exploite toujours une faille en premier lieu humaine.

2. Evaluer le risque cyber : établir un cyber score et définir un plan d’action, évaluation de la surface d’attaque (services exposés, applications métier, infrastructure, …), faire des exercices de simulation de « phishing ».

3. Se prémunir en cas d’attaque : mettre en place une sauvegarde externalisée, souscrire une assurance cyber, disposer d’une assistance technique en cas de crise.

4. Protéger au quotidien : s’appuyer sur des partenaires externes pour un pilotage expert de sa sécurité (Tour de contrôle SSI : SOC managé), proposer du soutien humain (RSSI et/ou DPO partagé, …) et des équipements de gestion avancée de la sécurité (EDR, SIEM, WAF, etc.).

« Cette offre apporte une réponse pragmatique et complète au risque cyber et à ses conséquences. Elle contribue aussi à sensibiliser les acteurs publics à l’importance du capital confiance numérique, autrement dit la sécurisation des services et la protection des données qui est bien souvent une source de « valeur ajoutée » pour les collaborateurs, les habitants, les élus, et nos partenaires. » analyse Laurent Rochette, Directeur Général de Seine-et-Yvelines Numérique

La plus-value de la mutualisation

L’offre est destinée à tous les acteurs publics des Hauts-de-Seine et des Yvelines qui le souhaitent (bloc communal, communautés de communes ou d’agglomérations, établissements publics tels qu’hôpitaux, musées, universités, etc.).

La mutualisation, au cœur de la mission de Seine-et-Yvelines Numérique, donne l’opportunité de bénéficier de l’expertise nécessaire face à des cyber-pirates eux aussi experts. Avec des solutions éprouvées, notamment pour les prestations de pilotage externalisé et de formation, les adhérents bénéficieront tous d’un niveau de service premium, à un coût mutualisé.
Avec cette offre, Seine-et Yvelines Numérique renforce son éventail de services et structure son expertise cybersécurité comme une activité à part entière.