Alors que les collectivités font particulièrement face à des cyberattaques ces dernières semaines, Éric Glace, directeur cybersécurité de Seine et Yvelines Numérique, et Stéphane Blanc, président-fondateur d’Antemeta, l’un des leaders du cloud hybride et de la protection des données basée à Guyancourt, reviennent sur les principaux défis liés à ce risque, dans le cadre de l’offre proposée aux collectivités et présentée dernièrement lors des Assises de la sécurité.
SIDF : Que proposez-vous, en lien avec Seine et Yvelines Numérique, en matière de cybersécurité, dans un contexte d’augmentation des attaques ?
Stéphane Blanc : Notre métier, c’est d’abord, historiquement, un métier d'intégrateur traditionnel avec la mise en place, le déploiement de systèmes d'information et leur suivi. L'évolution de ce marché, qui a volontairement été vers du cloud (public, privé et hybride), nous a amenés à développer des services transverses autour de la cybersécurité, de la gestion des bases de données, mais aussi, bien évidemment, de la gestion des sauvegardes et des plans de reprises d'activité.
Autour de cela, effectivement, les enjeux de cybercriminalité s'étendent depuis à peu près 36 mois. Il faut être réactif sur ces marchés-là, parce que les acteurs mettent en place des plans d’intrusion malveillants extrêmement rapidement. Encore une fois, la question, assez banale, n’est pas de savoir si l’on va être attaqué, mais de savoir quand on va l’être.
Seine et Yvelines Numérique a compris qu’il fallait, outre des notions cyber, ne pas négliger des notions de secours. C’est un principe militaire. Il est tellement plus difficile de défendre une forteresse que de l’attaquer. En revanche, ce qui est important, c’est d’être en capacité de reconstruire son système d’information le plus rapidement possible en respectant les procédures appropriées, pour éviter de redémarrer avec le virus.
Nous avons donc répondu à un appel d’offre de SYN, qui nous plaçait en tiers de confiance, à travers la convergence de la sécurité et du secours du système d’information, c’est-à-dire de la sauvegarde et du plan de reprise d’activités. Parce que nous avons les certifications ISO 27 001 et HDS (données de santé), mais aussi parce que notre capital est 100 % Français.
Ce qui fait qu'aujourd'hui, nous sommes garants de la restauration d'un système d'information (SI). Nous savons garantir, à un client qui souscrit à notre offre - à travers Seine et Yvelines Numérique sur ces métiers stratégiques -, que nous allons redémarrer son SI. Cela prend entre huit et quinze jours environ.
Quel est le rôle de Seine et Yvelines Numérique justement ?
Éric Glace : Nous travaillons avec Antemeta depuis un peu plus de 36 mois. Nous avons conçu une offre globale. Notre partenariat porte, d’abord, sur les fondations du système d’information (infrastructures, réseaux, sécurité, stockage). Nous sommes ensuite venus ajouter, à ce dispositif, de la sauvegarde externalisée. Nous travaillons, enfin, sur la continuité d'activité.
Nous avons complété ce catalogue autour de la sécurité pour accompagner les collectivités et les établissements publics de nos deux départements (92 et 78), avec une offre qui repose sur quatre fondamentaux de la sécurité, à savoir la prévention, la protection, la détection et la réaction. Nous mettons, dans ce cadre, un certain nombre d’experts autour de la table. Mais il faut, d’un autre côté, que la collectivité souscrive elle-même à des services en avance de phase (notamment la cyber assurance, l’expertise technique d’urgence en cas de cyber attaque).
La menace cyber est forte aujourd’hui ?
E. G. : Que ce soit du côté des publications de l’Anssi, ou de Cybermalveillance, on voit que depuis 36 mois le mouvement s'accélère. L'année dernière, les collectivités étaient sur la deuxième marche du podium des organisations les plus attaquées en France. Il faut donc continuer à animer le sujet. Soit la collectivité continue de voir les cyber-délinquants voler les données à caractère personnel de ses administrés et bloquer le fonctionnement des systèmes d’information, soit elle agit en amont et adhère par exemple à notre catalogue cyber sécurité, qui a vu le jour il y a tout juste un an.
Comme Albert Einstein l’a dit : “Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire“.
Pourquoi les collectivités ont-elles du mal à s’y mettre ?
E. G. : La plateforme “Cybermalveillance” a constaté, dans une étude sur les collectivités de moins de 3500 habitants (publiée en mai 2022), que 65 % d’entre elles jugeaient le risque cyber “faible, voire inexistant”, ou bien ne savaient pas l’évaluer. Il y a chez ces collectivités, une sorte de résistance, liée aux idées reçues, aux idées préconçues. On s'imagine que cela n’arrive qu’aux autres. Pourtant, le fait qu’une commune soit petite ne va pas dissuader les cyber-délinquants de les attaquer. Si l’on prend un exemple plus parlant, comme la voiture. Que ce soit une auto bas de gamme ou une Ferrari, si les clés sont sur le contact, le voleur ne vas pas hésiter. Une petite collectivité ne possède, peut-être, pas beaucoup de données à caractère personnel ou de données sensibles, mais cela représente tout de même un risque. C’est une menace quant à cette notion de confiance numérique vis-à-vis des administrés. Il en va de la responsabilité du maire d’engager des budgets et une trajectoire en matière cyber. C’est ce qu'indiquait d’ailleurs le président du Conseil départemental des Yvelines, Pierre Bédier, en clôture des Assises. Cela fait malheureusement partie de la vie dans l’espace numérique. Il faut vivre avec et en faire une priorité comme une autre, même si je sais bien que les maires ont beaucoup à faire par ailleurs. On ne peut pas aller contre cette transformation numérique des usages pour les administrés.
S. B. : D’autant que l’IOT (l’internet des objets) et la 5G vont venir élargir le spectre. Il est donc indispensable que les collectivités locales, territoriales et hospitalières soient dans une démarche globale de compréhension avant tout. On va continuer de vivre des moments perturbants sociétalement. C'est normal, le monde est en train d'évoluer. Le numérique est un outil comme un autre, en capacité de perturber les individus et les sociétés. Certes, la formation est très importante et il ne faut pas la négliger. Mais il faut que l'individu, y compris dans sa sphère privée, soit dans cette démarche de compréhension et mette en place sa propre hygiène numérique. Bien sûr, l'entreprise ou la mairie, la collectivité locale, ont leur rôle à jouer. Mais l'individu doit aussi faire son job.
C’est une sorte de continuum de sécurité, en quelque sorte ?
S. B. : Oui, c’est un effort de responsabilisation. La société, l'Etat, ne peut pas toujours être le garant de tout. On surfe sur Facebook, sur Tik Tok, sur Twitter… Il faut bien prendre conscience qu’en cela, il y a des dangers insidieux. Il faut, à un moment donné, redéfinir les priorités quant à la responsabilité sociétale des individus, plutôt que de faire la politique de l’autruche. Parce que finalement, qui a amené la transformation digitale à ce niveau-là ? L'utilisateur. Prenons conscience des dangers qui en dépendent. Ce n’est pas seulement aux entreprises et aux collectivités locales d’être toujours en capacité d’alerter les individus, quant à leurs usages et quant aux risques inhérents à ces usages.
E. G. : C'est réellement un enjeu de société. Effectivement, chacun doit reprendre la maîtrise de ses données et ce n’est pas à autrui de le faire à notre place. Quand nous étions enfant, nos parents nous ont appris regarder à droite et à gauche avant de traverser la route. Aujourd’hui, il faut que chacun, de sept à 77 ans, apprenne aussi à traverser cet espace numérique en toute sécurité.
Les échanges entre pairs sont importants, comme ceux organisés par SYN aux Assises ?
S. B. : Oui, le partage d’expérience, comme celui de Julien Chambon, maire de Houilles, est intéressant dans ce genre de réunion, parce que les participants sont beaucoup mieux sensibilisés ainsi.
E. G. : Il y aura un autre rendez-vous de ce type. Nous allons continuer à faire la promotion de ces sujets à la vitesse de la taille de notre organisation, qui ne demande encore une fois qu’à grandir et à accompagner, à aider les collectivités à faire ce que j'appelle de la conduite accompagnée. C’est-à-dire leur tenir la main pour effectivement les guider sur la bonne trajectoire à prendre et que le territoire grandisse collectivement. Comme je dis souvent, nous devons jouer collectif.
AntemetA recrute dans la “cyber-résilience”
Stéphane Blanc explique, dans un autre registre, rencontrer des difficultés pour recruter dans la “cyber-résilience”. Il lance un appel en ce sens. “Il faut expliquer aux jeunes que la sauvegarde n’est pas un métier dévalorisant. Si vous utilisez les termes sauvegarde et plan de reprise d’activité, cela leur apparaît comme une profession vieillotte. Or, c’est aussi un métier extrêmement intéressant aujourd'hui, de par la subtilité, l'ingéniosité et l'innovation qu'il faut déployer pour l’exercer. Et il y a beaucoup de boulot. Tout le monde ne peut pas être spécialiste de la cybersécurité”, estime-t-il.
