Retrouvez-nous également sur le réseau social Twitter https://twitter.com/Primo_France

Cette rencontre, plus que fructueuse, a permis à PRIMO de proposer les conclusions de cette rencontre au sein d’un compte-rendu que nous vous invitons à lire en cliquant sur le lien ci-dessous :

Collectivités territoriales – comment se couvrir face aux conséquences d’une

cyber-attaque ?

Par la suite, un questionnaire en ligne a été envoyé à une centaine de collectivités françaises, villes et intercommunalités, portant sur l’exposition de ces dernières au cyber risque. Les résultats de l’étude ont ensuite été discutés dans le cadre d’un groupe de travail, dont faisaient partie, en plus des membres du premier groupe de réflexion, M. Thomas Graiff, Responsable du secteur public au sein du groupe Marsh, ainsi que deux collaborateurs de l’assureur Beazley : Mme Julia Popper, Directeur de développement pour la France et M. Jimaan Sané, souscripteur en cyber risque.

Primo vous invite lire ce rapport en suivant le lien ci-dessous : 

Les collectivités face aux conséquences d’une cyber attaque

« En effet, les stratagèmes de délinquance mis en place sont de plus en plus efficaces et les attaques se sophistiquent. Le grand public doit avoir une posture d’attention vis-à-vis d’internet, c’est ce qu’il est important de promouvoir. Le cybercrime se nourrit pour une très grande partie du pillage de données personnelles revendues sur des marchés noirs, donc toute la population doit rester vigilante ».

Quels risques pour tout un chacun ?

L’Agence nationale de la sécurité des systèmes d’information (Anssi) relève trois grands types de menaces auxquelles peuvent être confrontés citoyens, entreprises et collectivités :

• La cybermalveillance – elle peut toucher n’importe qui, et peut aller du vol d’identité au vol de patrimoine scientifique, technique ou commercial, en passant par la pure volonté d’entâcher la réputation de l’entité attaquée.

• Le renseignement – le vol de données confidentielles, sensibles, qui peuvent être revendues ou utilisées pour porter atteinte à l’entité, ou contre demande de rançon.

• Le sabotage – qui peut aller du défaçage de site à la destruction pure et simple des données.

La première campagne de sensibilisation.

C’est dans cet esprit que le Club informatique des grandes entreprises française (CIGREF) prépare en ce moment une campagne de sensibilisation du grand public à la cyber-sécurité, avec le soutien de l’Agence nationale de la sécurité des systèmes d’information. Celle-ci, qui portera le nom de « Hack Academy », réutilisera les codes de la téléréalité afin de parler au plus grand nombre et également à la jeunesse, sur un ton résolument humoristique.

« Jenny, Dimitry, Martin et Willy, candidats à la Hack Academy, exposent leur savoir-faire à un jury dont l’objectif est de découvrir les hackers de demain !… Ce scenario est le support de cette campagne de sensibilisation. Il donne une vision marquante de quatre cyber-risques majeurs et fréquents concernant chacun de nous! »

La CIGREF n’en est pas à son coup d’essai sur le sujet ; après la publication de nombreux rapports sur la sécurité numérique, après avoir noué des partenariats pour la formation des dirigeants d’entreprise et la création d’un Cercle Cybersécurité, il signera la première campagne portant sur le sujet, comme le souligne Jean-Paul Mazoyer, président du Cercle Cybersécurité. La campagne sera lancée le 1er octobre 2015, mais un teaser est déjà disponible sur le site du CIGEF.

Rendez-vous le 1er octobre ICI, pour le premier spot de la campagne !

En lien avec cet article :

Sur la responsabilité de chacun face aux cybermenaces, relisez notre article sur l’utilisation du mail privé pour sa collectivité.

Sur la cybersécurité, retrouvez nos articles sur les cyber attaques et les collectivités ainsi que les cyber risques pour les collectivités territoriales.

Sources :

http://www.cigref.fr/hack-academy-la-campagne-nationale-anti-hacking-du-cigref

http://www.silicon.fr/cybersecurite-cigref-sensibiliser-grand-public-125245.html

http://lentreprise.lexpress.fr/actualites/1/actualites/internet-le-cigref-lance-une-campagne-de-sensibilisation-sur-le-piratage-des-donnees-personnelles_1711520.html

La multiplication des « objets communicants » permet une évolution profonde des services publics et contribue à une modernisation du pilotage des territoires. Pour les territoires et en particuliers les Autorités Organisatrices, c’est à la fois une formidable opportunité mais aussi la source de potentiels risques à anticiper.

Ainsi, la problématique de l’accès à la donnée, sa collecte, sa gestion et son exploitation apparaissent comme un nouvel enjeu à intégrer dans le cadre des politiques publiques d’un territoire. Cette problématique doit faire l’objet d’une mise en perspective des décideurs publics locaux et nationaux, afin d’anticiper les évolutions tendancielles et d’envisager des modalités d’actions et d’interventions là où les enjeux et risques les rendent pertinentes.

Afin de permettre la mise en place d’un cadre pérenne et favorable à l’utilisation des données pertinentes par les décideurs publics, des actions déclinées autour de cinq axes pourraient être mises en oeuvre.

1. Mettre en place une compétence « données locales »

Il s’agit tout d’abord d’assurer un droit d’accès à ces données pour les autorités organisatrices des services publics mais aussi des Collectivités locales du territoire. Il est en effet essentiel de souligner l’importance de données pertinentes pour un pilotage efficace du territoire et de l’action publique.

Cette compétence pourrait également permettre de structurer les échanges et la diffusion de données rendues publiques par l’intermédiaire d’une plateforme d’agrégation et de mise à disposition. Des interfaces et modes d’accès spécifiques permettraient de gérer l’accès aux données en fonction de leur portée, de leur type, associées des profils prédéfinis d’acteurs.

La plateforme pourrait également rationnaliser l’offre de données sur le territoire en s’appuyant sur une initiative Open Data ou en proposant des données plus riches (« privées ») relatives au territoire.
A court terme, chaque autorité organisatrice pourra prendre le soin de gérer cette nouvelle compétence en réalisant un diagnostic de la donnée territoriale sur son périmètre d’action.

La sécurité de la plateforme et de l’accessibilité aux données suppose une expertise forte, qui pourrait être plus facile à mobiliser dans le cadre d’une mutualisation des dispositifs de stockage et de mise à disposition. La nomination d’un « tiers de confiance » par exemple permettrait en outre de s’assurer du respect de protocoles et de règles d’authentifications pour la circulation des données en dehors des domaines « fermés » gérés par les autorités organisatrices.

2. Etablir une gouvernance spécifique pour la gestion de la donnée territoriale

La mise en place d’une structure de coordination permettrait une mutualisation de moyens (pour le stockage et l’exploitation), la diffusion de bonnes pratiques pour une meilleure cohérence dans les choix de technologies et d’architectures, ainsi qu’une transmission facilitée des données entre les entités publiques.

Une analyse des acteurs en présence sur le territoire permettrait de recenser les besoins des différentes structures, ainsi que les synergies possibles en termes de stockage et d’exploitation. La maille de la gouvernance sera à définir localement selon les territoires, à l’appui d’un plan d’action visant un rythme progressif. La gouvernance pourra être matérialisée par une structure adaptée (syndicat, régie, GIP, SPL) ou centralisée autour d’un acteur existant.

3. Favoriser un cadre technologique neutre et interopérable

Le marché croissant des objets connectés favorise le foisonnement d’équipements divers, répondant à des besoins ciblés. Ce foisonnement entraîne l’apparition d’une diversité de protocoles et de spécifications techniques pour le type des données requises et leur transmission.

Malgré des initiatives structurantes (compteurs évolués Linky, i-Ouate, protocoles de type Zigbee ou Bluetooth 4.0, jeux vidéo, …), il convient de favoriser

le développement de protocoles et interfaces standardisés facilitant les échanges de données (normes ou standards à définir clairement).

Une attention particulière devra être accordée à la possibilité de mettre en place une collecte mutualisée des dispositifs générateurs de données, pouvant engendrer des économies d’échelle et permettre l’intervention de nouveaux acteurs (opérateurs de collecte).
De la même manière, le traitement des données recueillies pourrait être mutualisé (par exemple concernant le stockage et l’exploitation) en particulier pour des données issues de domaines d’activités proches, qui pourraient être regroupés en pôles cohérents (ex : parking et transports).

4. Agir pour faire évoluer la réglementation

Des évolutions du cadre législatif, pouvant notamment s’appuyer sur le projet de réforme territoriale, sont à envisager pour faciliter la mise en place d’outils de gestion de données pour un pilotage performant des territoires.
Il convient en effet d’assurer que les collectivités autorités organisatrices puissent disposer d’un droit d’accès qui serait opposable aux entités disposant de données pertinentes pour le pilotage du territoire.

Le

principe pourrait être posé, dans la loi, que les collectivités doivent pouvoir accéder à toutes données nécessaires (qui leur sont utiles) à l’exercice de leurs missions/compétences en tant qu’autorités organisatrices des services publics locaux et plus généralement en tant que Collectivités locales du territoire.

Dans un premier temps, cet axe pourrait consister à faire partager la problématique « réseaux et territoire intelligents » par les autorités organisatrices de régulation, et à les sensibiliser aux enjeux qu’elle représente pour les collectivités locales sur leur territoire. La FNCCR et les Autorités Organisatrices pourraient contribuer à la structuration d’une réflexion sur les aspects régulation locale vs nationale et législatif autour de la compétence « Données Locales ».

5. Tirer parti des financements consentis par les collectivités

Le montant des investissements requis pour la mise en oeuvre d’une politique du développement du numérique peut être important : mise en place de capteurs et de réseaux de collecte des données, création ou adaptation de systèmes d’information. De même, l’exploitation des informations, la mise à jour des systèmes d’informations,… peuvent requérir une expertise particulière en matière de développement et de gestion des données, engendrant ainsi des charges récurrentes.

Il est vraisemblable que les collectivités soient amenées à participer aux financements nécessaires (éventuels réseaux de collecte, plateformes de mutualisation, réseaux de capteurs, etc.). Cette participation permettra aux collectivités de bénéficier de surcroît d’une pleine légitimité afin de faire valoir leur droit d’accès aux données sur leur territoire.

Afin de soulager le modèle économique pour les collectivités et les autorités organisatrices, il pourra également être intéressant de s’appuyer sur le renouvellement des contrats de délégation pour renégocier cet aspect des contrats et ainsi permettre de faire supporter tout ou partie des coûts associés par les partenaires privés.

Pour en savoir plus, cliquez ici