À l’occasion de la campagne du CyberMois, une charte nationale a été élaborée dans le but de rassembler les organisations publiques et privées qui souhaitent mettre en oeuvre des actions en faveur de la cybersécurité. 83 entités, dont de nombreuses collectivités, ont déjà signé la charte.
Huit bonnes pratiques à mettre en place au sein de sa structure : c’est ce que propose Cybermalveillance.gouv.fr qui a dévoilé lundi une « charte cyber » déjà signée par plus de 80 entités dont plusieurs collectivités. Parmi elles on retrouve notamment la communauté d’agglomération de Saintes, la région Île-de-France ou encore la ville de Vannes.
« À travers cette charte, nous avons souhaité lancer un signal fort de façon à ce que la cybersécurité soit reconnue comme un enjeu sociétal et que les organisations s’engagent avec leurs équipes et auprès de l’ensemble de leurs collaborateurs à mettre en place les mesures de sensibilisation et de protection cyber de premier niveau qui s’imposent tant sur les volets techniques qu’humains » , explique Jérôme Notin, directeur général de Cybermalveillance.gouv.fr.
Ces dernières années les attaques par rançongiciel se sont multipliées à l’encontre des collectivités territoriales et des établissements de santé. Si les collectivités sont de plus en plus sensibilisées aux risques cyber, une marge de progression encore importante dans l’élaboration et la mise en œuvre de bons réflexes existe.
Huit engagements
Les organisations signataires de cette charte s’engagent d’abord à « faire de la cybersécurité une priorité stratégique adaptée aux risques qui peuvent peser sur [leur] activité » . Vol de données, paralysie totale ou partielle des systèmes informatiques, blocage des téléservices locaux : les conséquences d’une cyberattaque peuvent être très lourdes pour les collectivités quelle que soit leur taille. Le comprendre et faire de la cybersécruité une priorité est donc primordial.
Deuxième engagement : « Nommer un « référent cybersécurité » en charge de porter et d’animer le sujet en interne » . Cela peut aussi bien être un élu qu’un prestataire spécialisé. Ensuite, la troisième recommandation porte sur la sensibilisation de l’ensemble des collaborateurs aux risques cyber et aux enjeux pour l’organisation. Depuis juin dernier, un programme « SensCyber » de sensibilisation à la cybersécurité lancé par Cybermalveillance.gouv.fr propose une formation accessible à distance via le site du CNFPT pour les agents des collectivités.
« Former ses collaborateurs aux bonnes pratiques et réflexes de cybersécurité à adopter et veiller à l’application » et « anticiper les cyberattaques en élaborant des plans de secours adaptés et à en vérifier périodiquement la pertinence par des exercices » font aussi partie des engagements de cette charte. Malgré la sécurisation des éléments réseau (pare-feu, proxy, etc.), la mise à jour régulière et suivie des systèmes et logiciels ou encore la mise en place d’un système d’authentification fiable et robuste des utilisateurs, il faut avoir conscience que ces mesures peuvent ne pas suffire et qu’il faut donc se préparer à cette éventualité et s’assurer surtout de la continuité des services indispensables pour les administrés. Plusieurs villes qui ont été visées par des attaques ont vu certaines démarches particulièrement perturbées – comme l’obtention d’un acte de naissance ou de décès par exemple.
En suivant la même logique, les signataires de la charte se sont aussi engagés à « évaluer régulièrement le niveau d’exposition aux risques cyber des différentes composantes de [leur] système d’information afin d’en décliner les mesures correctrices nécessaires » . Pour cela, les collectivités s’appuieront « sur des fournisseurs et prestataires de cybersécurité à la compétence reconnue et attestée par des labels ou certifications ». Cybermalveillance.gouv.fr propose d’ailleurs de mettre en relation collectivités et prestataires labélisés ExpertCyber.
Dernier engagement : les collectivités et entreprises signataires doivent « promouvoir autant que possible » « les enjeux liés à la cybersécurité et les bonnes pratiques à observer pour travailler et développer son activité dans un environnement numérique de confiance » .
Télécharger la charte pour la diffuser au sein de votre collectivité.