Le coronavirus est une aubaine pour les cyber-malfaiteurs qui s’en donnent à cœur joie. Avec Bénédicte Pilliet, Présidente du CyberCercle, nous nous intéressons au secteur public

 

> Vous êtes la fondatrice et Présidente du CyberCercle. Pourriez-vous nous en dire quelques mots? Quels sont ses objectifs ? Ses missions principales ?

Créé en 2011, le CyberCercle est un cercle de réflexion, d’expertise et d’échanges sur les questions de confiance et de sécurité numériques, avec deux objectifs principaux : être un vecteur de diffusion et de développement d’une culture de confiance et de sécurité numériques, notamment sur les territoires, au-delà du cercle d’experts dans lequel ce sujet est trop souvent enfermé ; décrypter et accompagner les politiques publiques en favorisant le travail en commun de l’ensemble des acteurs concernés, au service de la réflexion et de l’action des autorités politiques, nationales, territoriales ou européennes.

Placé sous la dynamique des élus, parlementaires et locaux, le CyberCercle est ainsi un cadre de confiance réunissant acteurs publics et privés, spécialistes de la sécurité numérique et non spécialistes, représentants nationaux, locaux et européens pour des échanges constructifs et autour de projets communs. Dans ce cadre, nous organisons un certain nombre d’événements ciblés, plus ou moins restreints. Par exemple, le Tour de France de la Cybersécurité en direction des territoires, les RPCyberMaritime en direction des acteurs de ce secteur, des petits-déjeuners-débats mensuels à Paris et en Auvergne-Rhône-Alpes… qui réunissent acteurs publics et privés, spécialistes de la cybersécurité et néophytes, décideurs locaux, nationaux et européens pour travailler ensemble sur ces thématiques. Nous éditons également une lettre, Confiance Numérique et Politiques Publiques, nous publions des « Paroles d’Expert » sur notre site … et intervenons également en interne d’organisations auprès des comex ou des collaborateurs.

 

> Quelle est la place de la cybersécurité au sein des acteurs publics aujourd’hui ? Comment est-elle considérée et appréhendée ? Quelles actions sont mises en place pour répondre aux problématiques de confiance et sécurité numériques dans les territoires ?

Vous avez deux niveaux.

L’Etat a pris la pleine mesure des enjeux de la cybersécurité. Il s’est doté d’une agence nationale, l’ANSSI, a renforcé les moyens des ministères des armées et de l’Intérieur, s’est organisé au niveau de ses infrastructures numériques pour résister aux cyberattaques de plus en plus nombreuses et sophistiquées et a développé au sein de chaque ministère une organisation SSI qui fait un travail formidable – je pense notamment au ministère de la santé, c’est d’actualité – et qu’il serait d’ailleurs pertinent de renforcer car, ne l’oublions pas, la cybersécurité est au service des métiers. L’Etat s’est par ailleurs engagé dans une politique réglementaire volontariste dès 2013 avec le vote de la LPM 2014-2019, ce qui était très novateur, et a développé des politiques publiques ad hoc pour lever le niveau de cybersécurité global de la Nation en portant son effort sur les Opérateurs d’Importance Vitale, les opérateurs des Telecoms et cette nouvelle catégorie d’acteurs créée par la directive NIS, les Opérateurs de Service Essentiel. Dans cette dynamique globale de l’Etat, force est de constater que les territoires n’ont pas été une priorité. Certes l’ANSSI s’est engagée dans un déploiement territorial fin 2015, mais avec un seul représentant par région (deux en Ile-de-France) voire certaines régions comme le Centre-Val-de-Loire qui n’ont toujours pas de délégué. Une avancée majeure a été faite fin 2017 avec le lancement de cybermalveillance.gouv.fr, le dispositif national de prévention du risque numérique et d’aide aux victimes de cybermalveillance à destination spécifique des pme-pmi, des collectivités et des particuliers, dont on voit bien dans ses objectifs qu’il répond directement aux problématiques des territoires.

Sur cette plateforme vous trouvez des supports de sensibilisation et des recommandations adaptés aux problématiques de sécurité numérique des acteurs et qui ne nécessitent pas d’être des spécialistes pour les comprendre, des prestataires de proximité référencés auxquels vous pouvez vous adresser et il est aujourd’hui le point unique d’entrée en cas d’attaques pour savoir à qui s’adresser grâce à un « parcours victime ». Un outil majeur pour les acteurs des territoires sur le sujet de la sécurité numérique.

 

La prise de conscience au sein des collectivités des enjeux de sécurité numérique a été longue : pendant longtemps beaucoup d’entre elles ne se sont pas senties concernées. Avec les attaques qui se sont multipliées ces dernières années envers elles, et ce quelle que soit leur taille, la prise de conscience s’est faite peu à peu, parfois de façon assez brutale pour des collectivités touchées de plein fouet, notamment par les rançongiciels. Le bilan aujourd’hui est donc très inégal, que ce soit au niveau de la prise de conscience qu’au niveau des moyens mis en œuvre. Car il ne s’agit pas seulement de prendre conscience d’un sujet : encore faut-il après être en mesure de le traiter. Vous avez bien sûr les petites structures qui, souvent, manquent de moyens, financiers et humains, pour faire face aux risques numériques. Et c’est là un enjeu majeur car ces petites collectivités détiennent les mêmes données sensibles que les plus grandes - des données d’identité, sociales, de santé… - et fournissent les services numériques indispensables à leurs habitants. Mais parfois, même les grandes structures souffrent d’un niveau insuffisant de sécurité numérique. La raison principale : l’absence de culture générale et de démarche sur ce sujet et le fait d’avoir enfermé ce sujet dans sa dimension « technique ».

On a beaucoup parlé, on parle toujours beaucoup, de numérique, de transformation numérique… mais pas de numérique de confiance. Résultat : de nombreuses infrastructures se sont mises en place, de nombreux produits ou services se sont développés via le numérique en omettant dangereusement la dimension sécurité numérique, que ce soit dans le choix des outils et des prestataires, ou dans la formation des collaborateurs à des usages sécurisés de ces outils. Ce facteur « culture de sécurité numérique » explique le différentiel de niveau entre les organisations : vous pouvez avoir une collectivité de dimension moyenne qui a un niveau de cybersécurité important car son maire ou son Président est convaincu de l’enjeu et a engagé une démarche vertueuse en ce sens. C’est là un des points majeurs dans les collectivités : l’engagement des élus sur ce sujet. On est là bien loin de la simple dimension « informatique » : il s’agit de gouvernance, d’organisation, de cercle vertueux au profit du développement économique des territoires et des usages numériques sécurisés au bénéfice des citoyens. Sujets majeurs pour les élus.

 

> Dans le contexte de crise que nous connaissons aujourd’hui, le télétravail est devenu la seule alternative pour garantir la continuité d'activité. Alors que le secteur privé a un temps d’avance sur le service public, quels sont les principales problématiques qu’ont rencontrées les collectivités à généraliser le télétravail en urgence ? 

Je ne suis pas persuadée que les pme-pmi aient eu un aussi grand temps d’avance que cela… Je crois en la matière que les enjeux ont été les mêmes pour le public que pour le privé : déployer des infrastructures numériques sécurisées – ce qui signifie par exemple le fait tout simplement d’acheter en urgence des ordinateurs disponibles immédiatement pour les collaborateurs en y implémentant des outils sécurisés pour permettre à ces derniers de travailler en télétravail dans des conditions de sécurité, et non pas d’utiliser ses outils personnels comme cela se pratique encore souvent ; et former les collaborateurs aux gestes d’hygiène numérique qui sont partie intégrante d’une vraie politique de sécurité numérique. Et le temps de l’urgence ne s’y prête pas vraiment. Car vous pouvez mettre tous les outils techniques de sécurité en place, si vos collaborateurs n’ont pas conscience des enjeux de sécurité que leurs usages numériques ont intrinsèquement, le risque restera élevé, surtout dans le cadre d’une situation de télétravail qui, de fait, augmente la surface de vulnérabilité de vos systèmes. Là encore, au vu de l’urgence de la situation, de la nécessaire continuité d’activité de services envers les citoyens, la formation des agents est l’une des difficultés majeures au même titre que la complexité de mettre à disposition des outils numériques sécurisés. Implémenter et faire vivre une culture de sécurité numérique à travers une transformation des usages, une gouvernance et des process adaptés représente un travail de fond et continu.

Espérons que cette crise aura mis en exergue la nécessité de travailler sur les questions de confiance et de sécurité numériques pour l’avenir, notamment la rédaction d’un plan de continuité d’activité numérique de confiance, la formation des agents et des élus…

 

> L’adoption massive du télétravail n’est évidemment pas sans risque et rend les organisations bien plus vulnérables. Parallèlement, le coronavirus est le leurre le plus utilisé de tous les temps par les cybercriminels qui l’exploitent au maximum et intensifient les attaques. Quels sont les challenges majeurs à relever par le secteur public en termes de sécurité dans ce contexte actuel ?

En complément des points abordés lors de la question précédente, j’ajouterai le rôle fondamental de la diffusion de conseils très pragmatiques et d’alertes auprès des utilisateurs concernant les attaques, notamment celles utilisant le coronavirus. Tous les supports de diffusion peuvent être utilisés : les réseaux sociaux, les médias traditionnels… et ce de manière coordonnée afin de ne pas noyer les utilisateurs sous une avalanche de messages hétérogènes et finalement illisibles. Là encore, les messages de cybermalveillance.gouv.fr via Twitter ou Facebook sont très pertinents et mériteraient d’être relayés plus largement - sur les medias publics audiovisuels par exemple pour toucher d’autres populations qui ne vont pas forcément sur les réseaux sociaux. Cette crise est une aubaine pour les cybercriminels qui intensifient leur action : la communication envers les citoyens, fragilisés et isolés, les petites entreprises et collectivités, est un levier majeur pour lutter contre cette menace.

 

> Quels sont ainsi vos conseils pour se protéger et télétravailler avec le plus de sécurité possible ?  Quels sont les bonnes pratiques à adopter pour limiter les risques ?  

Pour répondre à cette question je vous renverrai à l’une des tribunes de notre rubrique « Parole d’expert » sur notre site, écrite par Loïc Guezo, et aux conseils de cybermalveillance.gouv.fr que vous pouvez retrouver sur leur site.

 

> Le rôle de sensibilisation du CyberCercle aux enjeux de la cybersécurité et de la confiance numérique devient d’autant plus crucial en ces temps incertains. Comment soutenez-vous les collectivités en cette période critique ? Avez-vous lancé des initiatives supplémentaires pour renforcer votre rôle de sensibilisation et d’acculturation auprès des élus locaux ?

Contrairement à beaucoup d’acteurs qui se sont lancés dans des webinar et conférences en ligne, nous avons fait le choix au CyberCercle de ne pas utiliser ces supports en temps de crise, qui à force d’être trop nombreux deviennent contreproductifs et saturent le réseau indispensable pour des actions plus fondamentales selon moi. Nous nous sommes concentrés sur les questions de fond, avons renforcé le rythme de publication de nos supports écrits et avons relayé les bons messages via nos réseaux. Nous avons surtout poursuivi nos travaux avec les collectivités, sommes restés à l’écoute de leurs interrogations, leurs attentes et travaillons avec elles sur l’avenir. Le Tour de France de la Cybersécurité qui s’arrêtera dans cinq villes entre septembre et décembre sera une opportunité pour l’ensemble des acteurs impliqués sur les territoires, et en premier lieu les collectivités, de tirer les enseignements de ce que nous traversons actuellement et de réfléchir sur ce qu’il convient désormais de construire pour assurer un numérique de confiance permettant de mieux répondre aux crises qui peuvent survenir.

 

> Quelques mots pour conclure ?

Cette crise est une douloureuse occasion de repenser nos usages numériques, mais aussi les politiques publiques et la gouvernance qui ont présidé jusque-là au niveau national sur ces sujets. Comme dans d’autres domaines, le modèle de centralisation a peut-être atteint ses limites en matière de confiance et de sécurité numériques. Les collectivités ont un rôle majeur à jouer sur ces sujets, c’est le message que nous portons au CyberCercle depuis plusieurs années : il est temps qu’elles s’en emparent pleinement et créent de vraies dynamiques collectives locales sur les territoires, en y associant l’ensemble des acteurs impliqués, les associations, les entreprises... Au-delà de l’aspect « sécurité » auquel on pense en ces temps de crise, il s’agit aussi de penser la confiance et la sécurité numériques comme des leviers d’attractivité et de développement pour les territoires. C’est déjà le cas dans plusieurs régions qui ont conçu et développent des plans ad hoc. Nous sommes là au CyberCercle pour les y aider.