Maire-info
Le quotidien d’information des élus locaux

Édition du lundi 27 juin 2016
Technologie de l'information

Sécurité des systèmes d'information : les élus toujours peu impliqués

Les collectivités territoriales, et en particulier les plus petites d’entre elles, apparaissent comme mal préparées face aux menaces informatiques alors même que les risques se concrétisent comme l’a montré la multiplication des défigurations de sites internet début 2015. C’est ce qui apparaît dans l’enquête « menaces informatiques et pratiques de sécurité en France »  publiée le 23 juin par le Clusif, association de responsables informatiques spécialisés dans la sécurité des systèmes d’information (SSI).
Sur les 203 collectivités ayant accepté de répondre, dont 77 EPCI de 10 000 habitants et plus et 63 de plus de 30 000, 75% d’entre elles s’estiment « dépendantes de l’informatique »  mais peu d’entre elles disposent de compétences et de moyens pour faire face aux enjeux de sécurité. Rarement identifié en tant que tel, le budget sécurité subit la baisse généralisée des moyens : 59 % des collectivités n’ont réalisé aucun investissement sur la sécurité depuis la dernière enquête (2012), ceux-ci se concentrant sur les solutions (25 %) plutôt que sur des audits (9%) et des actions de sensibilisation (9 %). Le poste de « responsable de la sécurité des systèmes d’information », chargé de définir et mettre en œuvre une politique SSI, reste rare (20 %), cette fonction étant occupée le plus souvent par le DSI, en plus d’autres missions.
La SSI apparaît globalement comme un sujet de techniciens, définie par la DSI et la DGS, et les élus restent peu impliqués (21%) dans la définition des politiques de sécurité. Les guides méthodologiques de l’Anssi, agence nationale en charge de la SSI, ne sont cités que par 8% des personnes interrogées. La charte d’usage du système d’information, assez peu répandue dans les EPCI (38 %), ne s’applique pas systématiquement aux élus (59 %), pourtant de plus en plus connectés à la collectivité via leurs propres outils informatiques (smartphones, tablettes), et encore moins aux fournisseurs (23 %). L’implication des élus s’avère cependant décisive pour élaborer une politique de sécurité solide comportant l’analyse de risques, des actions de sensibilisation, des règles pour la gestion des départs et arrivées en poste, la diffusion de dépliants, etc. Moins de la moitié des collectivités fournissent par exemple des règles pour les mots de passe. Les lacunes dans le dispositif de sécurité mis en place se traduisent par une faible conformité au RGS (référentiel général de sécurité). Ce référentiel, élaboré par l’Anssi, et dont la dernière version date de mai 2014, liste les règles de sécurité que doivent obligatoirement respecter les administrations dans leurs échanges avec des tiers. Seulement 26 % des EPCI (contre 70 % pour les grandes collectivités) se déclarent « conformes », un chiffre qui est cependant en forte progression depuis 2012.
La généralisation progressive de la dématérialisation comptable (PESV2) et du contrôle de légalité (ACTES) contribue à la mise en conformité des collectivités. Mais il y a aussi l’augmentation des sinistres qui participe à cette prise de conscience. Les infections par virus sont ainsi passées de 25% en 2012 à 42% en 2016 et les tentatives de « hameçonnage », faux mails ou faux sites destinés à capter des données sensibles comme les données bancaires, sont également en forte progression. Avec cependant peu de conséquences dommageables (interruption de service, perte financière) selon les collectivités. La multiplication des « rançongiciels », avec d’ores et déjà des cas avérés dans des hôpitaux, doit conduire à la plus grande vigilance cependant. Dans ce cas, l’intégralité de l’informatique de l’organisation est cryptée par un logiciel malveillant et ne peut être débloquée qu’en s’acquittant d’une rançon.
Au-delà de la mise en place d’outils (antivirus, firewall), c’est bien l’enjeu de la sensibilisation des personnels que pointe le rapport, surtout à un moment où l’accès au système d’information en mobilité se banalise. Pour toutes ces questions les maires peuvent se reporter aux guides l’Agence nationale de sécurité des systèmes d’information, comme cette dernière l’a rappelé à l’occasion du dernier Congrès des maires dans une lettre diffusée dans les mallettes des congressistes.
Olivier Devillers

Télécharger l’enquête.
Télécharger la lettre de l'Anssi.

Suivez Maire info sur Twitter : @Maireinfo2