La cybersécurité est au cœur du quotidien des administrations et services publics. Face au risque accru de cyberattaques, ils doivent mieux se protéger. Au-delà de la seule approche technique, il est urgent d’engager une politique globale et intégrée de management des risques numériques.
Attention, niveau élevé de cyberattaques ! Après une accalmie début 2022, le risque cybercriminel, et plus spécifiquement celui lié aux rançongiciels, ou ransomware en anglais, était de nouveau en hausse au fin 2022. L’alerte a été donnée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans son Panorama de la cybermenace 2022. Autant dire que la cybersécurité est l'affaire de tous. Pour le secteur public, la situation est d’autant plus inquiétante que les administrations sont une cible de choix des logiciels malveillants. Si les TPE, PME et ETI sont les plus touchées, les collectivités territoriales et les établissements publics de santé arrivent juste derrière.
Selon l’ANSSI, les usages numériques non maîtrisés et les faiblesses dans la sécurisation des données continuent d’offrir de « trop nombreuses opportunités aux attaquants ». Par ailleurs, beaucoup trop d’organisations n’appliquent pas à temps les correctifs sur les vulnérabilités découvertes. Ce qui laisse le champ libre aux pirates informatiques de les exploiter. Dans un contexte de transformation numérique des activités et des services, la cybersécurité commence par des mesures « d’hygiène informatique » pour sécuriser les systèmes d’information.
Des impacts financiers et organisationnels colossaux
Une cyberattaque peut aller jusqu’à mettre en péril la survie d’une organisation. « En France, le coût moyen de ce type d’événement est de 1,5 million d’euros. 60 % des PME ne s’en remettront pas », indique Laurent Jaunaux, consultant formateur pour Ib Cegos, et expert en cybersécurité au sein du cabinet Intègr’Action Conseil. Certes, les administrations ne feront pas faillite, mais les impacts financiers et les dégâts organisationnels engendrés peuvent être colossaux. Des mois sont souvent nécessaires pour se relever et retrouver un fonctionnement normal. « La question n’est pas de savoir si on va se faire attaquer, mais est-ce qu’on sera prêts ? », observe Laurent Jaunaux.
Le risque cyber doit être considéré au plus haut niveau de l’organisation et partagé par tous. La cybersécurité ne peut plus être uniquement l’affaire d’experts techniques. Chaque utilisateur doit devenir un maillon à part entière de la sécurité informatique. C’est pourquoi, comme l’indique le Guide d’hygiène informatique de l’ANSSI, « dès son arrivée dans l’entité, chacun doit être informé des enjeux de sécurité, des règles à respecter et des bons comportements à adopter. On aura beau avoir les meilleurs outils techniques au monde, l’organisation ne sera pas protégée tant que les agents ne seront pas formés à la vigilance », prévient Laurent Jaunaux.
L’humain au centre du jeu de la cybersécurité
Ce n’est qu’en incluant le facteur humain à la stratégie de sécurité numérique qu’il sera possible d’obtenir des résultats rapides à moindre coût. Les formations, actions de sensibilisation et exercices devront être renouvelés régulièrement « pour tenir compte de l’évolution des risques, des menaces, des usages et de la technique », explique notre formateur en cybersécurité. L’enjeu est de développer une véritable culture du risque numérique de telle sorte que toutes les parties prenantes de l’organisation parviennent à déjouer les pièges, au moins les plus courants.
À côté de la dimension humaine, les dispositifs techniques et les mesures de protection du système d’information sont évidemment incontournables. Mais, « il ne faut pas penser toute puissance de la technique » alerte notre expert. Notamment parce que les technologies évoluent très vite. « Les meilleurs outils n’ont pas de réponses face à ce qu’ils ne connaissent pas encore », souligne l’expert. Manager le risque numérique nécessite dans tous les cas d’avoir une véritable approche holistique.
Comprendre pour agir
Toute démarche de gestion du risque cyber doit débuter par une compréhension fine de son activité numérique. L’analyse portera sur le système d’information, l’organisation de l’activité, les usages et les pratiques de travail. L’enjeu étant de détecter ses failles, de cartographier les interactions et les flux et de construire ses pires scénarios de risque. Pour assurer effectivement sa protection, un arsenal de mesures techniques sera nécessaire, mais pas suffisant. Il faudra réaliser des mises à jour et des audits réguliers du niveau de sécurité, utiliser des outils de détection et de traitement des incidents et se doter d’un plan d’amélioration continue.
Encadré
Le RGPD est votre allié
La conformité aux principes du Règlement général sur la protection des Données (RGPD) contribue à prévenir les risques de vol ou de fuite de données à caractère personnel. Le principe de minimisation qu’il prescrit permet de limiter la collecte et les accès aux données. Le principe de limitation des durées de conservation restreint la durée d’exposition aux risques. L’obligation de disposer d’une base légale pour traiter des données et le principe de finalité (but déterminé et légitime) limitent aussi l’utilisation des données.
