Par la suite, un questionnaire en ligne a été envoyé à une centaine de collectivités françaises, villes et intercommunalités, portant sur l’exposition de ces dernières au cyber risque. Les résultats de l’étude ont ensuite été discutés dans le cadre d’un groupe de travail, dont faisaient partie, en plus des membres du premier groupe de réflexion, M. Thomas Graiff, Responsable du secteur public au sein du groupe Marsh, ainsi que deux collaborateurs de l’assureur Beazley : Mme Julia Popper, Directeur de développement pour la France et M. Jimaan Sané, souscripteur en cyber risque.

Primo vous invite lire ce rapport en suivant le lien ci-dessous : 

Les collectivités face aux conséquences d’une cyber attaque

Pour autant, si la transition énergétique demeure encore un concept obscur pour la plupart, la prise de conscience est aujourd’hui réelle. 85% estiment ainsi que mener la transition énergétique est désormais une urgence et une courte majorité (51%) estime même que cette transition énergétique peut constituer « une grande réforme ». Alors que la France s’apprête à accueillir la COP 21, l’enjeu pour l’opinion de cette transition est avant tout environnemental (46%) devançant nettement les enjeux géopolitiques (21%) ou encore les dimensions sociales (17%) et économiques (16%).

Dans ce contexte d’urgence perçue, 74% des Français estiment se sentir personnellement concernés par ce mouvement et 53% considèrent par ailleurs pouvoir agir par eux-mêmes en faveur de cette transition, notamment par l’adoption de comportements éco-responsables. Au-delà d’une action « par le haut » impulsée par le législateur, les Français attendent ainsi surtout une mobilisation des acteurs locaux (communes, communautés de communes, régions), acteurs en qui ils ont aujourd’hui le plus confiance pour assurer cette mutation.

Les énergies renouvelables plébiscitées mais le recours au nucléaire parait encore indispensable

Dans ce contexte, les énergies renouvelables sont aujourd’hui plébiscitées. Près de 9 Français sur 10 estiment qu’elles sont des énergies d’avenir (89%), et une proportion similaire les considère comme un vecteur d’indépendance énergétique pour le pays (88%). A titre individuel, les Français considèrent également qu’elles permettent de faire des économies d’énergie (81%) et qu’elles peuvent favoriser le bien-être dans leur domicile (86%).

Les Français considèrent par ailleurs que le développement des énergies renouvelables doit être encouragé en France (90%), alors qu’ils ne sont que 45% à vouloir que le nucléaire se développe et 21% pour le charbon ou le fioul. Parmi les différentes énergies, l’énergie solaire est la mieux considérée (cf figure 1 ci-dessous). Jugée comme l’énergie la plus prometteuse pour l’avenir, la moins polluante et la moins dangereuse, elle devance l’énergie éolienne également bien évaluée mais perçue comme plus onéreuse et donc moins prometteuse. »

Voir l’article complet sur le site du SIGLab, le blog du #SIG sur la communication, l’opinion et le digital

Dans la continuité des rapports Lebreton et des travaux du Conseil National du Numérique, Akim Oural propose un socle de réflexions et de propositions destiné à enrichir le débat public en pleine phase de recomposition territoriale.

Entre la crise et ses conséquences budgétaires, les réformes administratives et la redistribution des compétences, les mutations technologiques et l’évolution du comportement des usagers et des consommateurs, le déploiement du numérique et celui de la French Tech, les territoires ont été placés à l’épicentre d’un mouvement de transformation de grande ampleur. Plus qu’une menace ou un risque parfois ressenti par les acteurs de terrain, les auteurs y ont surtout vu « une formidable occasion de reposer la question des rapports entre le politique, le citoyen et le territoire et par là même de reposer celui de la gouvernance« .

Le rapport s’appuie sur un diagnostic sans complaisance, mettant en évidence les principales faiblesses des territoires en matière de numérique. Il valorise les actions « souvent très innovantes » lancées par les collectivités depuis plus de 20 ans en faveur du numérique – mais pointe aussi, en retour, la faible capitalisation et une diffusion souvent marginale des initiatives.
Celles-ci ont conduit à des situations paradoxales et notamment à la réinvention fréquente de solutions ou de services déjà initiés et réussis par d’autres. Ce mode de fabrication « solitaire » et en silos est attribué au développement du numérique dans les entités publiques locales, resté « en marge des autres politiques des collectivités« .
Autre élément de frein, les projets ont été portés par des directions des systèmes d’information (DSI) plutôt concentrées sur la technologie et sur le développement d’une culture de maîtrise d’œuvre de plateformes alors que « le véritable enjeu se situait plutôt dans la maîtrise d’ouvrage et la spécification des services« .
Si bien qu’à force de déléguer la stratégie pour se concentrer sur l’opérationnel, certaines collectivités ont aujourd’hui un déficit de savoir-faire. Certes, la place du numérique a évolué mais les rapporteurs déplorent qu’elle ne soit pas suffisamment vue comme « un objet stratégique porté par les directions générales de services« . Ils relèvent l’absence fréquente de plans « usages et services », outils pourtant nécessaires dans le pilotage stratégique et opérationnel des politique publiques.

Le rapport pose ensuite les principes d’une nouvelle gouvernance territoriale reposant sur trois dimensions : le respect des différents niveaux de subsidiarité, le développement plus massif de la mutualisation et le droit à l’expérimentation pour soutenir l’innovation.
La subsidiarité aborde la question de la bonne échelle des projets. De fait, l’échelle devrait logiquement rester variable selon la nature et la taille de ces projets. « Il nous semble important que la règle pose le principe du respect des écosystèmes existants souvent établis sur des dynamiques construites de longue date« , souligne Jean-Paul Leroy – l’un des rédacteurs -, directeur de l’innovation numérique à la Métropole européenne de Lille. En effet, depuis les années 1990, ces écosystèmes ont donné naissance à des structures d’accompagnement de la transformation digitale des territoires sous la forme de groupements, de centres de gestion ou de syndicats. « Ces structures de mutualisation constituent une richesse qu’il est essentiel de conserver et même de reconnaître officiellement », insiste-t-il.

La mutualisation pourrait notamment consister, comme le préconise le rapport, à mettre en place un socle de services fondamentaux accessibles en tout point du territoire par les citoyens et qui comprendrait pour chaque commune, quelle que soit sa taille : un co-marquage des services publics en ligne, l’accès aux services de fédération d’identité de France Connect, des services de proximité de base (tels que affaires scolaires, facturation de l’eau et de l’assainissement…), un dossier unique sécurisé permettant à chaque citoyen de déposer ses données administratives personnelles ainsi qu’un accès mobile à toutes ces informations.
« Cette initiative permettrait à toutes les collectivités de délivrer des services publics électroniques en ligne et de réduire en conséquence les inégalités d’accès et de qualité de services aux citoyens », assure un autre rédacteur, Christophe Pannetier, consultant TIC et conseiller municipal d’une commune de la Métropole.

EN BREF:

– Susciter le réflexe numérique dans chaque collectivité (#1) afin que la question de son apport soit systématiquement posée dans les projets. Procéder à l’analyse de la valeur (#2) et à des évaluations pour mesurer les risques et impacts des projets. Nommer pour cela dans chaque exécutif local (+20.000 habitants) un élu (#4) et un coordinateur (#5) en charge du numérique.

– Affirmer le principe de subsidiarité selon lequel les collectivités peuvent intégrer le numérique à leurs compétences (#6), ce qui permettrait d’instaurer des feuilles stratégiques pour chaque territoire : région, département, EPCI, commune (#8) et d’associer l’ensemble des acteurs à une conférence annuelle de développement des politiques territoriales par le numérique (#9).

– Accompagner la mutualisation et la capitalisation en termes d’ingénierie (#12), définir un cadre commun d’urbanisation (Etat-collectivités) dans une dynamique de co-gouvernance et une vision urbanisée des services publics numériques pour permettre l’émergence d’un socle de services communs (#14), promouvoir des boutiques d’applications thématiques (#16) et l’industrialisation des services (#17) et mettre en œuvre un observatoire des bonnes pratiques identifiées (#19).

Les autres propositions concernent l’ouverture des données, la simplification de la gestion des identités, le développement de lieux de médiation numérique et d’accélérateurs de projets publics et une politique de développement de la culture numérique en renforçant la formation.

En savoir plus : Localtis.Info

         

 Réussir vos projets en France et à l’international, à l’heure du Paquet européen Marchés Publics

Les 11 et 12 juin 2014, Paris

2014 marque les 10 ans de l’ordonnance qui a créé les Contrats de Partenariat. Après bien des rebondissements, entre réussite de projets et échecs de certains autres, on assiste à une refonte du paysage des contrats complexes publics.

On peut observer qu’en Europe et à l’international, les contrats se transforment ou se créent également: où faut-il investir en 2014-2015 ? Quelles bonnes pratiques retenir des projets étrangers ? Quels sont les impacts du Paquet Marchés Publics adopté le 11 février dernier par l’Union Européenne ?

Dii, avec le soutien de PRIMO France, a la plaisir d’organiser  la 13e édition du Forum PPP, qui réunit chaque année plus d’une centaine d’acteurs issus des secteurs privé et public.

Vous pourrez notamment bénéficier de l’intervention de Thomas Graiff, Responsable Secteur Public  – Marsh, sur le thème « Risques réglementaires, risques de vandalisme, risques politiques… méthodologie pour prendre en compte l’ensemble des menaces dès l’amont d’un PPP », le 12 juin à 11h45.

>> Découvrez le programme complet et le profil des intervenants sélectionnés !

ou rendez-vous sur www.forumppp.com

Interview de M. Yves Le Floch, Directeur du Développement de la Cybersécurité chez SOGETI.

Le Mercredi 19 Mars 2014.

Sogeti (Société pour la Gestion de l’Entreprise et Traitement de l’Information) est l’un des leaders des services informatiques et d’ingénierie de proximité, spécialisé dans la gestion des applicatifs et des infrastructures (application and infrastructure management), le conseil en technologies (high-tech engineering), la cybersécurité et le Testing.
Division mondiale du groupe Capgemini, Sogeti aide ses clients à optimiser les performances de leurs systèmes d’information grâce à l’innovation technologique.
Sogeti est titulaire exclusif des prestations « sécurité des systèmes d’informations » et « développement d’applications mobiles » du nouveau dispositif «prestations intellectuelles informatiques (P2i) » de l’UGAP, basé sur des unités d’œuvres.
Avec ce dispositif, l’UGAP simplifie, professionnalise et rationalise l’achat de prestations tout en mettant à la disposition de ses clients le savoir-faire d’une société de pointe.
Sogeti est également partenaire du courtier en assurance Marsh France pour la maîtrise et le transfert des cyber-risques.

1/ A quels cyber risques les collectivités locales et autres entités publiques peuvent-elles avoir à faire ?

La cybersécurité sert principalement à protéger trois aspects du système d’information : la confidentialité, l’intégrité et la disponibilité des données.

Ces données peuvent être attaquées par trois types d’agresseurs, qui ont leurs propres motifs et des capacités techniques de plus en plus avancées.

Le premier type de cyber-agresseur sera le délinquant, qui volera les données pour les revendre au plus offrant. Ou encore utilisera un « ransomware » ou « rançongiciel » : ce logiciel malveillant permet de chiffrer les dossiers, de prendre en otage les données et parfois de bloquer l’accès à un réseau ; les propriétaires doivent alors payer la rançon pour récupérer leurs données, sans jamais être certains de leur récupération correcte ni du fait que le tout n’ait pas été revendu.

On peut aussi avoir affaire à une cyber-agression d’ordre idéologique, telle que le vol de données confidentielles ou privées à des fins de publication en ligne, pour ainsi ternir l’image de la personnalité ou de l’organisme visé. Un autre type d’agression est la défiguration d’un site web, celui d’une mairie par exemple, en changeant des photos ou insérant des messages politiques. De nombreuses collectivités territoriales sont chaque année victimes de tels agissements.

Les deux premiers agresseurs ont aussi un mode d’attaque en commun, qui est de saturer les sites visés, provoquant ainsi un sabotage nommé « attaque en déni de service » qui empêche tout accès au site.

Il existe aussi des agresseurs d’ordre stratégique, souvent très sophistiqués, qui sont eux liés à des Etats et récupéreront des données technologiques, opérationnelles ou stratégiques à des fins d’espionnage.

2/Le cyber-terrorisme est-il une menace réelle ? Quelles formes peut-il prendre ?

Pour l’instant, le cyber-terrorisme reste une menace virtuelle, sans effet significatif à ce jour, mais il est de plus en plus redouté. Les attaques porteraient sur des opérateurs d’importance vitale : hôpitaux, transports, énergie, communications… déréglant ainsi leurs systèmes d’opération et provoquant la confusion, le sabotage, voire l’arrêt total des activités. Le cyber-terrorisme pourrait créer des dommages physiques importants, car de plus en plus de services sont connectés, via internet ou tout autre réseau, et sont ainsi vulnérables.

N’oublions pas de mentionner la distribution des eaux, qui pourrait également être attaquée à distance, et là aussi, l’arrêt de l’activité est à craindre, voire un surdosage d’un élément dangereux, menant à un empoisonnement. Ou même les feux rouges, lorsque ceux-ci sont régulés par des systèmes reliés, directement ou indirectement, aux réseaux publics. Les saboter à distance pourrait provoquer des accidents et bloquerait une bonne partie de la circulation.

3/ De plus en plus de mairies et d’agences de l’Etat offrent des services numérisés, comme des demandes en ligne de documents administratifs. Quels sont vos conseils pour éviter l’usurpation d’identité ou le piratage des données ?

Le problème en France est qu’il n’y a pas de système d’authentification à distance fiable, car les politiques ont toujours reculé sur la création d’une carte d’identité à puce utilisable pour prouver son identité via internet. Ainsi, lors d’une demande administrative en ligne, il n’y a aucun moyen sûr de savoir si le demandeur n’est pas un imposteur, car n’importe qui peut se faire passer pour moi.

Il n’y a pas de solution vraiment sûre pour régler cette question de l’authentification, il faut donc se contenter de systèmes existant. Pour une demande d’état civil, par exemple, aucune preuve d’identité n’est demandée ; pour l’accès au dossier fiscal, Bercy se contente d’identifiants transmis par courrier ; pour des échanges vraiment sensibles, l’administration française doit trouver d’autres solutions.

Un moyen simple est d’ouvrir un compte personnel en mairie, après justification de son identité, avec attribution d’un mot de passe personnel. Le mot de passe est loin d’être un moyen sûr, mais c’est déjà un début d’authentification. Et dans tous les cas, le chiffrement des données est un impératif, dès lors qu’il s’agit de données sensibles ou personnelles, aussi bien lors des échanges que lors du stockage.

Mais je vais surtout insister sur un point particulier : les collectivités territoriales, et les entités publiques en général sont tenues par la loi d’appliquer le Référentiel Général de Sécurité, notamment pour les téléservices. Le RGS est un document technique, qui explique les démarches professionnelles à effectuer, comme l’analyse des risques auxquels on est exposé. Il est important de le respecter et de le faire respecter, y compris lorsque l’on confie certains services ou développements informatiques à une entreprise prestataire.

4/ La ville « hyper-connectée » paraît avoir une certaine popularité auprès des élus : beaucoup veulent promouvoir un ensemble de services accessibles depuis n’importe quelle connexion internet, afin de désengorger les mairies et leurs annexes. Pensez-vous  que ces technologies seront viables sur le long terme ? La numérisation des données ne comporte-t-elle pas le risque d’être détournée par une source malveillante ? Que conseilleriez-vous à une collectivité locale qui veut promouvoir l’outil numérique ?

Oui, bien sûr, ces technologies sont viables ! Hors de question de revenir à la Préhistoire.
Quant au détournement par une source malveillante, ce danger est à prendre avec le plus grand sérieux, bien entendu. Il faut mettre en œuvre une démarche professionnelle de prise en compte de la sécurité, comme l’impose le RGS.

Un site « plaquette », basique, où l’on présente seulement des informations générales (horaires d’ouverture, adresse de la mairie…), ne requiert pas de mécanisme poussé de sécurité. En revanche, dès lors qu’un site devient « transactionnel », avec des services interactifs en ligne et une collecte de données personnelles, de forts enjeux de sécurité apparaissent. Ce type de site doit être réalisé avec professionnalisme. Les entités publiques doivent investir correctement dans l’outil informatique, sous peine d’être très vite dépassées et de voir leurs données (et celles de leurs administrés) piratées par les cyber-agresseurs mentionnés ci-dessus.

Ainsi, il faut impérativement appliquer le RGS pour développer les différents services en ligne et veiller aussi au respect des exigences « informatiques et liberté » portant sur les données personnelles. Ces deux références jouent sur des tableaux différents, l’une étant tournée vers le juridique et l’autre vers la pratique, mais utilisées en plein complémentarité, elles permettent une nette diminution du risque sécuritaire. Sans pour autant le supprimer totalement, malheureusement.

Je recommande également la sensibilisation du personnel aux questions de sécurité, car un point faible de tout système de sécurité, aussi développé et impénétrable soit-il, reste l’homme. Des campagnes de sensibilisation qui peuvent prendre plusieurs formes : une formation d’une à deux heures tous les ans, des affiches, des articles périodiques, etc. Une sensibilisation légère mais régulière.

Pour les collectivités importantes, il est nécessaire de disposer d’un responsable des questions de sécurité des systèmes d’information, pas nécessairement un spécialiste avec cinq ans d’études dans le domaine, mais une personne correctement formée, qui connaîtrait les aspects aussi bien techniques que juridiques de la question. Il serait ainsi responsable des campagnes de sensibilisation, du conseil aux projets informatique, se tiendrait informé des différentes réglementations et pourrait également être chargé des questions « informatique et liberté ».

Une autre recommandation est de toujours tester et vérifier la sécurité, par exemple en faisant réaliser des tests nommés « pentests » (pour « penetration testing »), où des prestataires chargent des professionnels de la sécurité, naturellement sous contrat avec l’entreprise, d’essayer de pénétrer les systèmes pour vérifier la solidité des barrières. Ces hackers éthiques font ensuite rapport sur la viabilité de la sécurité et le client peut alors améliorer ce qui est déjà mis en place.

Enfin, j’aimerais terminer en rappelant que le plus important dans l’organisation de la sécurité reste de s’assurer qu’un responsable compétent est bien identifié et dispose des moyens d’exercer sa mission.

Pour en savoir plus sur SOGETI, et son partenariat avec l’UGAP, cliquez sur les liens suivants :
http://www.fr.sogeti.com/node/671
http://www.ugap.fr/
http://www.fr.sogeti.com/

Pour en savoir plus sur le RGS et la CNIL, cliquez sur les liens suivants :
http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/
http://www.cnil.fr/

Voir ici l’approche systémique de Sogeti sur les cyber-risques

Vous pouvez également télécharger les Résultats du sondage au format PDF.

Secteur Public Referentiel ISO 31000

Vous pouvez le télécharger sur la page suivante.

L’équipe d’experts de MARSH se tient à votre disposition pour vous faire une présentation personnalisée, pour organiser un atelier de formation sur le sujet ou plus largement, pour vous assister tout au long de votre processus de gestion des risques.

Contacts :

Philippe Auzimour
Directeur Secteur Public et Santé
philippe.auzimour@marsh.com
00 33 (0)1 46 39 80 44

Nicerine Bres
Coordinatrice de développement Secteur Public et Santé
nicerine.bres@marsh.com
00 34 93 328 69 09

Il s’agit de définir ce que recouvrent les risques psychosociaux (comment sont-ils perçus et décelés, quelle place leur est conférée dans le cadre des politiques de prévention des risques…). Souvent complexes, ces risques peuvent avoir des impacts importants, tant humains, que financiers : il est important de savoir les identifier et les analyser pour mieux les prévenir et mettre en œuvre des actions adaptées.

Le Centre Interdépartemental de Gestion de la Petite Couronne, qui propose de son côté une mission optionnelle de prévention des risques psychosociaux, et une mission de groupes de parole, a accepté de nous recevoir pour que nous vous présentions les résultats de « L’Observatoire National sur les Risques Psychosociaux ».
Ces résultats seront complétés par des témoignages illustrant les actions proposées par le Centre Interdépartemental de Gestion au cours d’un petit déjeuner débat organisé le

mercredi 26 janvier 2011 à 9H30
au 157 avenue Jean Lolive – 93500 Pantin.

Merci de bien vouloir confirmer votre présence avant le 7 janvier 2011 à l’adresse mail suivante : aurelie.cassagnet@dexia-sofaxis.com

Vous pouvez y accéder en suivant ce lien.