L’agglomération Grand Cognac (Charente) en octobre 2019, un hébergeur de données de nombreuses collectivités du Jura et la commune de Saint-Paul-en-Jarez (Loire) il y a quelques jours à peine… Les cyberattaques sont aujourd’hui légion et les collectivités sont « au premier rang des entités frappées » par les rançongiciels, observait hier, dans une interview à La Gazette des communes, Pierre Gacic, chef de la division coordination territoriale à l’Agence nationale de la sécurité des systèmes d’information (Anssi). L’agence de l’État, qui participait au Forum international de la cybersécurité (Fic) cette semaine à Lille (Nord), a consacré, ce mois-ci, un guide à la sécurité numérique des collectivités territoriales.
Référentiel général de sécurité
L’Anssi pose surtout le « cadre réglementaire » que les collectivités doivent impérativement respecter pour à la fois « sécuriser les échanges » entre les autorités administratives et « renforcer la confiance des usagers dans les services numériques ». En la matière, le Règlement général sur la protection des données (RGPD) – désormais peut-être le plus connu – occupe une place de choix (lire Maire info du 25 mai 2018).
Mais ce n’est pas le seul. Le référentiel général de sécurité (RGS) est, lui aussi, particulièrement important tant il permet de « sécuriser les échanges entre les autorités administratives et entre elles et leurs usagers ». Il s’impose ainsi à des téléservices du quotidien mis à disposition par les autorités administratives. On parle ici, par exemple, de l’inscription des enfants à l’école ou à la cantine par Internet, du paiement des factures d’eau par Internet, de la plateforme de dématérialisation des marchés publics, d’une demande de prestation sociale par Internet ou bien encore des transferts de données vers une préfecture (par exemple contrôle de légalité) par Internet. Toutes les démarches nécessaires à l’ouverture d’un téléservice « dans le respect des règles de sécurité » sont détaillées dans la fiche numéro 4 du guide.
Règlement eIDAS
La sécurité des transactions électroniques, elle, est encadrée par le règlement eIDAS. Les collectivités territoriales « mettant en œuvre une identification électronique, une signature électronique ou un cachet électronique dans le cadre de service en ligne qu’elles mettent à disposition du public », sont directement concernées par ce règlement. Par exemple, « le recours à la signature électronique des documents échangés dans le cadre de la dématérialisation des marchés publics, oblige à accepter l’ensemble des signatures électroniques ayant un niveau de garantie avancé ou qualifié et notifiées par la France ou d’autres États membres » (lire fiche numéro 3 du guide).
Dans le guide de l’Anssi, la fiche numéro 1 revient dans le détail sur ces trois règlements mais aussi sur la certification HDS et la mise en œuvre de la LPM ou de la directive NIS.
Les risques de l’externalisation
Une fiche (numéro 6) est, enfin, consacrée à l’externalisation pour la gestion du système d’information, à laquelle les collectivités ont « de plus en plus recours » pour des raisons budgétaires, de compétences et techniques. « Cependant, recourir à l’externalisation n’est pas exempt de risques de sécurité, notamment en matière de gestion des données à caractère personnel », signale l’Anssi qui attire l’attention des collectivités sur « la chaîne de sous-traitance », « la localisation des données » ou « les risques techniques ».
Pour limiter ces risques, l’Anssi conseille donc aux collectivités de procéder à « une analyse de risques ». « Réaliser l’analyse de risques permet, dans un premier temps, de s’interroger sur la possibilité de recourir à l’externalisation. Dans un second temps l’analyse de risques permet d’identifier les besoins de sécurité et ainsi de prendre connaissance des risques qui pèsent sur l’organisation et plus particulièrement ceux qui nécessitent le recours à l’externalisation. »
Notons toutefois que l’externalisation ne transfert pas totalement le risque au sous-traitant. « Le risque existe toujours et les collectivités territoriales s’appuient sur une tierce partie qui dispose des compétences nécessaires pour réduire ce risque, à condition que les objectifs de sécurité soient bien rappelés dans les clauses du marché pour les rendre opposables au sous-traitant ».
Télécharger le guide de l’Anssi.
Source : MAIREinfo – Édition du Vendredi 31 janvier 2020