Seine-et-Yvelines Numérique est un syndicat mixte ouvert (SMO) créé en 2016 à l’initiative du conseil départemental des Yvelines (78). Depuis 2020, cet opérateur intervient également dans les Hauts-de-Seine (92). Sa mission : développer les services numériques sur l’ensemble des deux territoires. Déploiement du réseau de fibre optique, distribution de tablettes numériques dans les collèges ou accompagnement dans l’installation de la vidéoprotection, Seine-et-Yvelines Numérique s’engage également sur la sensibilisation à la cybersécurité auprès des collectivités et des établissements publics. Éric Glace, directeur de la cybersécurité au sein de Seine-et-Yvelines Numérique, décrypte les enjeux autour de ce sujet.
Actu-Juridique : Comment la cybersécurité a été prise en compte par Seine-et-Yvelines Numérique ?
Éric Glace : La cybersécurité est un sujet essentiel dans le développement de Seine-et-Yvelines Numérique. L’espace numérique est vulnérable. En début d’année 2021, nous nous sommes posé la question de compléter les services numériques que nous proposons à nos adhérents d’un portefeuille de services autour de la cybersécurité. En 2022, j’ai intégré le syndicat avec comme objectif de construire et déployer cette offre. Nous nous sommes fait accompagner par un bureau d’études pour la construire. Elle est d’ores et déjà disponible pour tous nos adhérents. Nous apportons une valeur ajoutée en termes de sécurité non seulement d’un point de vue technique mais également en matière de conseil : nous offrons un service clé en main !
Actu-Juridique : Quelle est la philosophie de Seine-et-Yvelines Numérique en matière de cybersécurité ?
Éric Glace : Aujourd’hui, nous avons une approche assez pragmatique. Nous nous reposons sur quatre piliers de la sécurité : la prévention, la protection, la détection et la réaction. Sur le volet de la prévention, nous constatons que les collectivités manquent de maturité pour comprendre les risques dans l’espace numérique. Le jour où ces collectivités ou ces établissements publics subissent une cyberattaque, il n’est pas toujours facile de réagir de manière adéquate. Ainsi, nous proposons des formations aux collectivités notamment via du e-learning ou des exercices de simulation de phishing (hameçonnage). Une fois que nous connaissons le niveau de maturité de la collectivité, nous pouvons lui fournir des services de protection à travers des équipements d’extrémité destinés à des postes de travail, des serveurs, des tablettes ou des téléphones mobiles. Nous proposons également de protéger les portes d’entrée aux systèmes d’information par lesquelles les cyberattaquants peuvent s’introduire. Enfin, la détection et la réaction se font grâce au Security Operation Center (SOC), une plateforme qui permet d’identifier et de contrer les cyberattaques. Grâce à ce type d’outils, nous pouvons réduire la probabilité pour un cyberattaquant de rentrer dans le système d’information et réduire la gravité en cas d’attaque. L’idée étant de détecter l’intrusion le plus tôt possible.
Actu-Juridique : À partir de ces quatre piliers, qu’avez-vous mis en place ?
Éric Glace : Nous avons lancé notre offre le 14 juin 2022. Nous avons déjà des collectivités qui nous font confiance et qui ont signé des contrats notamment de cyberassurance. D’autres nous ont sollicités pour que nous évaluions leur maturité en termes de cybersécurité. Aujourd’hui, nous avons une centaine d’offres de cyberassurances, de formations et de mesures pour protéger un système d’information. Les programmes sont destinés aux maires, aux directeurs généraux des services ou aux agents. Aujourd’hui, chez Seine-et-Yvelines Numérique, nous intégrons la sécurité dans le développement des services numériques à destination des collectivités. L’objectif d’ici décembre 2022 est de faire grandir la maturité sur l’ensemble des territoires des Yvelines et des Hauts-de-Seine.
Actu-Juridique : Dans quelle mesure les collectivités manquent-elles aujourd’hui de maturité en matière de cybersécurité ?
Éric Glace : Nous aidons les collectivités et les établissements publics à prendre conscience du danger qui réside dans l’espace numérique. Les cyberattaques n’arrivent pas qu’aux autres ! Tout le monde peut être visé. Nous expliquons cela notamment aux utilisateurs des moyens informatiques et des services numériques. Aujourd’hui, notre ambition est d’apprendre à un utilisateur à évoluer dans l’espace numérique en toute sécurité. À titre d’exemple, l’utilisateur doit se méfier de tout mail reçu qui exige de cliquer sur un lien.
Actu-Juridique : Quels sont les exemples de cyberattaques qui ont eu lieu dans les départements des Yvelines et des Hauts-de-Seine ?
Éric Glace : Dans les Hauts-de-Seine, la mairie de Saint-Cloud a subi une cyberattaque. Dans les Yvelines, c’est la mairie de Houilles. Ces deux faits ont été médiatisés. D’autres organisations sur ces deux territoires ont connu des attaques. Elles n’ont cependant pas fait la Une des médias comme nous avons pu le voir récemment avec le centre hospitalier Sud Francilien de Corbeil-Essonnes. Dans toutes les situations d’attaque, le cyberattaquant exploite des vulnérabilités techniques et des portes ouvertes dans le système d’information. Il peut tenter de s’introduire dans les messageries via des attaques de type phishing. Un lien envoyé dans un mail va notamment permettre à l’attaquant d’installer un ransomware dans le système si l’utilisateur clique dessus. D’autres types d’attaques sont possibles ciblant directement les infrastructures du réseau (les routeurs, les pare-feu…). Les cyberattaquants exploitent toutes les vulnérabilités des systèmes informatiques !
Actu-Juridique : Quelles peuvent être les conséquences d’une cyberattaque dans l’activité quotidienne d’une collectivité ?
Éric Glace : Le risque le plus fréquent pour une collectivité est d’être victime d’un ransomware (rançongiciel). Ce type d’attaque va chiffrer tout ou partie des données de la victime et ainsi bloquer son fonctionnement au quotidien. Une collectivité ayant dématérialisé la majorité de ses missions est particulièrement exposée aux conséquences d’attaque par rançongiciel et pousse alors les agents de la collectivité à revenir au papier et au crayon. Dans un hôpital comme celui du Centre Hospitalier Sud Francilien de Corbeil-Essonnes, les conséquences sont lourdes notamment pour les patients : il n’est plus possible d’opérer un malade car le système d’information ne fonctionne plus. Toutes les mesures de protection que l’on peut mettre en place réduisent grandement la probabilité d’avoir une attaque et sa gravité.
Actu-Juridique : Aujourd’hui, quel est le niveau de maturité des collectivités des Yvelines et des Hauts-de-Seine en termes de cybersécurité ?
Éric Glace : Nous délivrons des notes allant de A à D pour évaluer la maturité. Nous nous appuyons sur un référentiel d’audit de maturité avec plusieurs points qui permettent d’établir cette notation. Les collectivités des deux départements se situent dans la bonne moyenne. C’est le cas dans toute l’Île-de-France où les organisations publiques sont situées entre C – et C +. L’enjeu principal est de faire prendre conscience aux collectivités de leur niveau de maturité. Cette référence de base permet de construire un plan d’amélioration continu pour progresser d’années en années. Aujourd’hui, les cyberattaquants sont beaucoup plus agiles. Ils créent différents chemins d’attaque. La stratégie en matière de cybersécurité doit s’adapter en permanence en fonction de l’évolution des technologies et des techniques toujours plus sophistiquées des cyberattaquants. L’objectif est d’accompagner les collectivités et établissements publics des deux territoires pour apporter la meilleure réponse à toutes les problématiques de cybersécurité.
Actu-Juridique : Faut-il donc faire preuve d’humilité en matière de cybersécurité ?
Éric Glace : Effectivement, en matière de cybersécurité, il faut faire preuve d’humilité et se remettre constamment en question. Il ne faut surtout pas se satisfaire d’un B + ou d’un C -. Même si ce sont des notes intéressantes, elles restent insuffisantes par rapport à l’activité d’un cyberattaquant. Celui-ci va toujours chercher la vulnérabilité pour l’exploiter et pénétrer votre système. Un système d’information vit grâce à l’installation de nouvelles applications, de nouveaux services numériques. Ces évolutions peuvent créer de nouvelles brèches. Un B + d’aujourd’hui peut devenir un C – demain si on ne maintient pas nos efforts.
Actu-Juridique : Quelles sont les premières actions à mener pour une collectivité qui a une faible maturité ?
Éric Glace : Nous nous appuyons sur les quatre piliers de notre offre : la prévention, la protection, la détection et réaction. La démarche classique quand un adhérent nous sollicite démarre avec le volet prévention à travers un plan de formation. Nous sensibilisons et éduquons les utilisateurs des collectivités et des établissements publics. Ils doivent devenir les acteurs et les maillons forts de cette sécurité. Cela passe par une prise de conscience des erreurs et des risques qui peuvent être pris lors de certaines manipulations dans l’espace numérique. Ensuite, nous accompagnons les collectivités dans la mise en place d’une sauvegarde externalisée. Cette dernière permet de restaurer plus facilement le système d’information et d’assurer une continuité de l’activité du service public de proximité. Nous proposons également une cyberassurance et une assistance le jour où il y a une attaque.