Quatre préalables majeurs à la démarche cybersécurité
Comme tout chantier d’envergure, la démarche cybersécurité d’une collectivité se prépare. Premier préalable, avoir conscience du risque et de l’importance du sujet : en effet, une collectivité, même petite, est une cible potentielle car elle détient des données qui ont une valeur marchande. Deuxième préalable : faire en sorte que la démarche soit soutenue au plus haut niveau, par le maire ou le président, afin de démontrer la volonté forte de l’organisation. À ce titre, la majorité des PSSI (politiques de sécurité des systèmes d’information) s’ouvrent d’ailleurs sur une page où le dirigeant exprime son engagement. Troisième préalable : dégager un budget dédié, afin de se donner les moyens de se protéger. Enfin, quatrième préalable : structurer sa démarche en fonction des spécificités de son système d’information (SI), des objectifs de service public de la collectivité et des données sensibles qu’elle manipule, mais aussi définir clairement les rôles et responsabilités de chacun.
Comment évaluer la maturité cybersécurité de son organisation ?
La première étape de la démarche consiste en un état des lieux, qui prend la forme d’un audit de maturité cyber : de quoi est constitué mon SI ? quel est son périmètre exact ? avec qui interagit-il ? comment est-il protégé ? L’ANSSI (Agence nationale de la sécurité des systèmes d’information) propose deux guides afin d’encadrer cette phase : pour les petites collectivités, un guide des TPE recensant les 13 règles d’hygiène numérique essentielles et, pour les collectivités plus grandes, un guide comprenant 42 règles. La norme ISO 27001 liste, quant à elle, 114 règles qui sont cependant plus adaptées aux collectivités les plus importantes en taille. L’audit va, dans un premier temps, évaluer les forces et faiblesses sur le périmètre défini, et mettre en lumière les vulnérabilités de l’organisation, soit les points d’entrée possibles pour les cyber attaquants. De ce constat découlera enfin un plan d’action.
Sur la durée : s’entraîner et se faire accompagner
La consolidation des acquis en matière de cybersécurité passe par un entraînement de l’organisation et des équipes, comme pour des sportifs, avec notamment des tests de phishing (ou hameçonnage), des simulations pour éprouver la procédure de crise prévue au PCA, enfin des tests de restauration pour être sûr que la collectivité sera capable, le moment venu, d’utiliser ses sauvegardes. Autant d’actions pour lesquelles Seine-et-Yvelines Numérique propose à ses adhérents un accompagnement, avec des prestations sélectionnées et négociées auprès de partenaires qui connaissent le monde des collectivités et ses spécificités.