Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Menaces informatiques et pratiques de sécurité en France

juillet 2020 par Lionel MOURER, Pour le Groupe de Travail « Enquête sur les menaces informatiques et les pratiques de sécurité » du CLUSIF

Au travers de l’édition 2020 de son enquête sur les menaces informatiques et les pratiques de sécurité (MIPS), le Clusif réalise, comme tous les deux ans, un bilan approfondi des usages en matière de sécurité de l’information en France. Cette enquête est une référence par la taille et la représentativité des échantillons interrogés des collectivités territoriales (202 répondants). Par ailleurs, elle se veut relativement exhaustive, en prenant, cette année encore, l’ensemble des 14 thèmes de la norme ISO 27002:2013, relative à la sécurité des Systèmes d’Information.

Collectivités territoriales : une amélioration à géométrie variable, mais encore insuffisante

Pour la troisième fois, le Clusif s’intéresse à la façon dont les collectivités territoriales intègrent la cybersécurité dans leur fonctionnement. Pour cela un sondage a été réalisé auprès de 202 collectivités en début d’année 2020. Les résultats ainsi obtenus ont été redressés afin de correspondre à la réalité de la répartition des collectivités. Ces derniers ont ensuite été analysés par des experts provenant de différents horizons professionnels, mais aussi des collectivités territoriales françaises.

Il en ressort que les collectivités, avec l’appui de 70 % des directions générales ont progressé dans la formalisation de leur PSI  ; cependant, cette dernière a encore du mal à sortir de la sphère DSI.

Corollaire de la PSI, la fonction de RSSI est présente dans la majorité des collectivités, mais il reste difficile pour beaucoup de la dédier à un poste à plein temps, ce qui a pour conséquence de placer le RSSI dans une position de juge et partie qui ne permet pas une réelle liberté de parole ou une évaluation correcte des enjeux par les dirigeants.

Bien qu’en amélioration, la SSI n’est pas encore l’affaire de tous et les moyens tant humains que financiers ne sont pas la plupart du temps à la hauteur des enjeux. Bien que le sentiment de dépendance au SI soit fort, le budget alloué à la cybersécurité reste la variable d’ajustement des DSI avec l’absence de budget dédié et/ou pérenne. Cependant, ce dernier est en augmentation par rapport à la précédente étude.

Du côté des ressources humaines (RH), la mise en place de chartes d’usage des SI continue de progresser même si les communautés de commune restent à la traîne. Il reste malgré tout difficile de gérer les départs ou les changements de poste. Un point remarquable concerne la mise en œuvre de programmes de sensibilisation pour les différentes populations, mais malheureusement sans pour autant en évaluer l’impact réel.

Du côté de l’inventaire des actifs, on note une progression importante, avec une proportion de collectivités l’ayant réalisé qui s’élève à 66 % mais ce progrès est à nuancer par les aspects de classification qui, lorsque celle-ci est en œuvre se limite bien souvent à la distinction entre sensible et non sensible. Il en est de même pour l’analyse des risques. Globalement, les risques sont identifiés, mais non formellement analysés. Ainsi, nous pouvons supposer que les plans de réduction des risques se basent sur une approche empirique.

La gestion des accès varie en fonction de la taille des collectivités  ; encore une fois, les communautés de communes sont ici en retrait. En revanche, les méthodes d’authentification fortes tendent à s’homogénéiser et on constate que, globalement, les droits d’accès sont de mieux en mieux gérés avec la mise en place de procédures pour 68 % des collectivités, notamment pour les administrateurs. Des politiques de mot de passe sont mises en œuvre dans 65 % des cas étudiés.

Concernant la cryptographie, elle reste largement sous-utilisée. Lorsqu’elle est mise en œuvre, elle vise quatre objectifs : le chiffrement de données, l’authenticité, l’authentification ou la non-répudiation. Les aspects relevant de la sûreté sont en très nette progression avec la mise en œuvre de plus en plus fréquente de dispositifs de contrôle d’accès et de vidéosurveillance combinés à de l’accueil physique. Il en est de même pour la protection des données, ces dernières étant de plus en plus déplacées vers des supports physiques amovibles.

Au niveau de la sécurité d’exploitation, des solutions classiques de protection sont en place (antivirus, antispam, pare-feu), mais on constate un retard important dans les capacités de détection. Les équipements mobiles restent également en retrait sur la mise en place de dispositifs de protection. Pour ce qui est de la gestion des vulnérabilités techniques, la veille est en forte progression mais n’est pas systématiquement en cohérence avec les systèmes implémentés dans les collectivités, ce qui n’a que peu d’impact sur la formalisation de la gestion des correctifs de sécurité. Les délais de mise en œuvre restent faibles et ne se sont pas améliorés depuis la précédente étude. Concernant la sécurité des communications, les SI s’ouvrent de plus en plus sur l’extérieur à partir d’un environnement maîtrisé au détriment du BYOD, qui est en régression. L’accès à Internet est aussi plus ouvert vers les réseaux sociaux ou les messageries instantanées externes, mais reste encore soumis à un filtrage d’URL dans 61 % des cas.

Aucune amélioration n’est à signaler dans la mise en place des concepts de bases de développements sécurisés, où c’est toujours le pragmatisme qui domine, ce qui se traduit par de faibles exigences dans les cahiers des charges s’expliquant en partie par l’absence de référent sécurité pour les développements.

La majorité des collectivités territoriales fait appel à l’infogérance, en particulier dans les communautés de communes. En revanche, même si des audits de sécurité sont mis en place pour s’assurer de la conformité, le contrôle s’appuie trop rarement sur l’utilisation d’indicateurs. Le recours aux services cloud progresse aussi, mais pas aussi vite que son encadrement.

Au niveau des incidents, les collectivités ont commencé à être touchées par les attaques par rançongiciels avec 30 % des conseils territoriaux et des villes impactés. Ce risque reste toutefois sous-évalué puisque 62 % des répondants l’estiment faible, alors que l’impact financier maximal observé dans l’étude s’élève à 400 k€. Autre point, la capitalisation sur les incidents n’est pas encore à l’ordre du jour, la priorité étant plutôt donnée à la remise en service qu’à l’analyse de l’attaque et la collecte d’éléments. Un point rouge concerne les systèmes de contrôle et d’acquisition de données en temps réel (Supervisory Control And Data Acquisition – SCADA) qui sont encore cette année les grands oubliés de la SSI alors que certaines activités pourraient relever de la LPM ou de la directive NIS.

Étant donné l’absence de capitalisation sur les incidents, la formalisation de la gestion de crise cyber reste là aussi très faible et inférieure aux pratiques observées en entreprise. La mise en œuvre de plans de conduite ou de reprise d’activité (PCA/PRA) ne concerne qu’un quart des collectivités avec une faible fréquence de tests de mise en pratique.

Cette édition est la première de notre série d’études à consacrer un volet aux collectivités territoriales depuis l’entrée en vigueur du RGPD. Globalement, les collectivités s’estiment être en conformité totale pour 34 % d’entre elles et partielle pour 59 %. La désignation d’un DPO étant obligatoire pour ce type de structures, 75 % indiquent s’être déjà acquittées de cette obligation et 10 % déclarent que la désignation d’un DPO en cours. Celui-ci est parfois mutualisé, notamment dans les communautés d’agglomération. S’il est principalement rattaché à la Direction générale (51 %), il est externalisé dans certains cas (19 %). Le référentiel général de la sécurité (RGS) n’est pas aussi bien suivi que le RGPD puisque 57 % des collectivités ont identifié totalement ou partiellement les services nécessitant une homologation. Pour ce qui est du suivi par TBSSI, 87 % des collectivités indiquent ne pas en avoir mis en place. En revanche, une progression s’est opérée depuis la précédente étude dans le domaine des audits, 56 % déclarant aujourd’hui en faire au moins un tous les deux ans. Ce sont surtout les exigences réglementaires (51 %) qui ont motivé cette évolution. Pour conclure, nous retiendrons que la prise en compte des enjeux de cybersécurité reste très variable en fonction de la taille des collectivités, les communautés de communes étant souvent à la traîne. Il est évident que l’arrivée du RGPD a aidé à cette prise en considération  ; néanmoins, le retard en la matière reste important. La gestion de la SSI est encore trop souvent sous pavillon DSI entraînant une situation de juge et partie pour le RSSI qui n’est pas toujours facile à gérer, et donc une liberté de parole amoindrie.

Depuis plusieurs mois, les collectivités se trouvent de plus en plus fréquemment confrontées à des actes de cybermalveillance qu’elles sous-estiment encore trop. La capitalisation des incidents et l’organisation de la réponse à incident sont encore trop faibles et nécessitent une plus grande allocation de moyens tant humains que financiers.

Même si, globalement, la situation s’améliore par rapport à l’étude précédente, les collectivités ont devant elles un chantier important pour que la cybersécurité soit perçue comme un gage de confiance dans l’usage des moyens numériques mis à la disposition des citoyens.

Pour conclure…

La menace qui pèse sur l’information est toujours bien présente en 2020 et l’enquête montre une nouvelle fois à quel point les erreurs (personne n’est parfait…), les malveillances (certains se lèvent le matin pour cela…) et les incidents de sécurité liés à l’information ne fléchissent pas  ! La maturité de tous et toutes (entreprises, collectivités territoriales et particuliers) en matière de sécurité de l’information dépend encore pour beaucoup soit des « attaques » que ces différents acteurs ont vécues au sein de leur SI, soit des lois et règlements qui leur incombent. En 2018, j’écrivais : « Le temps des politiques de sécurité “parapluie”, que l’on formalise pour se donner bonne conscience, est globalement terminé  ! » Comme j’aurais aimé que cela soit entendu… Mais il n’est pas trop tard : Messieurs les Dirigeants, comprenez que la sécurité de l’information est aujourd’hui incontournable, il y va de la survie de vos organisations, au regard des enjeux qu’elles portent et des données dont elles ont la responsabilité…

Alors, « au travail », afin que la sécurité de l’information prenne enfin toute sa place  ! Et n’oublions pas : « Quand un arbre tombe, on l’entend, quand la forêt pousse, pas un bruit… »

Pour vous aider dans la mise en œuvre de vos mécanismes de sécurité de l’information (organisationnels et techniques, vous pouvez toujours prendre en compte les bonnes pratiques issues (liste non exhaustive) de l’Agence nationale de la sécurité des systèmes d’information (Anssi) , de la Confédération des petites et moyennes entreprises (CPME) , du groupement d’intérêt public « Action contre la cybermalveillance » (GIP Acyma) et, bien entendu, du Clusif …

Épilogue

Comme précisé au chapitre « Erreur ! Source du renvoi introuvable. », les questions posées pour formaliser l’étude MIPS 2020 portent sur l’année 2019. « Et le coronavirus  ? », me direz-vous… Cette crise, encore en cours, a touché en plein cœur nombre d’organisations et, de fait, certains paradigmes sont clairement en train d’évoluer… Pour mémoire, l’étude MIPS n’a pas vocation à traiter à chaud l’actualité, mais il n’en est pas moins certain que la COVID-19 va rebattre les cartes au regard d’habitudes qui vont nécessairement devoir évoluer  ! Alors, vivement l’étude 2022, qui nous permettra d’y voir plus clair… Enfin et pour les plus courageux d’entre vous, l’étude détaillée et argumentée vous attend dans le reste de ce document…

Bonne lecture  !




Voir les articles précédents

    

Voir les articles suivants