Administration numérique et sécurité informatique : quels enjeux dans les Communes ?
20 Mar

Administration numérique et sécurité informatique : quels enjeux dans les Communes ?

Avec le développement du numérique, et sa présence de plus en plus importante au cœur de l’organisation des collectivités, les Communes se trouvent aujourd’hui confrontées à un réel défi.

Intéressons-nous tout d’abord à l’environnement informatique des Communes.

L’environnement informatique des Communes

Sur la base de nos retours d’expérience issus de nos interventions pour les Communes, nous pouvons faire plusieurs constats :

L’informatique d’une Commune peut se résumer en une série d’outils (logiciels et postes de travail) mis à disposition des différents métiers (finances, RH, services techniques, secrétariat…) et fonctionnant sur un équipement (serveur) centralisant les informations traitées (données).
Cette informatisation a démarré il y a déjà de nombreuses années et elle est, dans la plupart des Communes, bien intégrée. Aujourd’hui, les collectivités échangent de plus en plus avec des interlocuteurs externes variés (Etat, autres collectivités, citoyens, prestataires…) dans le cadre notamment des projets de dématérialisation mis en place (site Internet, portail usagers, Comedec, Acte, Hélios, plateforme de Marchés publics…). Or, ces interactions complexifient la mise en œuvre de cette informatisation, du fait de son impact sur l’organisation et des risques liés à la sécurité informatique.

Le premier constat est donc que la complexité vient principalement des échanges entre la collectivité et son environnement extérieur.

Le deuxième constat concerne l’organisation mise en œuvre par les Communes pour gérer l’informatique. Lorsqu’elles sont de taille moyenne, elles peuvent disposer de ressources en interne (informaticiens) et/ou de prestataires sur lesquels s’appuyer pour gérer tout ou partie de l’informatique (infogéreurs, mainteneurs…). Pour ces Communes, le constat est que l’organisation de la gestion de l’informatique est souvent perfectible : informaticien accaparé par les tâches quotidiennes, difficulté de compréhension entre l’informaticien et les utilisateurs, prestataires non suffisamment cadrés…

Pour les petites et très petites Communes, le constat est en revanche très souvent qu’il n’y a pas de compétence en interne et qu’elles ne savent donc pas à qui s’adresser, sauf à faire confiance à un prestataire local, qui bien souvent les conseille, fournit le matériel préconisé et le met en œuvre.

Une alternative, qui pourrait se développer d’avantage à court terme, consiste à mutualiser la gestion de l’informatique avec une structure de taille plus importante : Communauté de Communes, Agence technique départementale, Syndicat mixte…

Dans les deux cas, que les Communes soient de petites tailles ou de taille plus importante, les budgets alloués à l’informatique sont souvent trop réduits pour s’inscrire dans une vraie stratégie numérique. Il est en effet plus aisé pour les élus de donner leur aval pour un investissement qui semble évident et directement utile pour les administrés (comme une extension de la cantine scolaire) que pour un investissement informatique plus difficile à appréhender et utile pour le fonctionnement interne de la structure (virtualisation du serveur de la mairie, par exemple).

Intéressons-nous à présent à l’environnement extérieur des Communes.

L’environnement extérieur des Communes

L’informatique de la collectivité, ou son appellation plus récente d’administration numérique, subit des contraintes fortes, que nous pouvons regrouper en 7 catégories :
schéma administration numérique communes
Source : Cogitis

  • Tout d’abord, il faut tenir compte des contraintes intrinsèques à l’informatique : pannes, investissement non pérenne, organisation non efficiente, pertes de temps pour les utilisateurs…Il
  • faut citer, aussi, les contraintes liées aux nouveaux usages : mobilité des agents et des élus, mise en place de la vidéosurveillance, présence sur les réseaux sociaux, objets connectés…
  • Nous ne pouvons bien évidemment pas passer sous silence la contrainte budgétaire forte qui conditionne l’ensemble du fonctionnement de la Commune sans épargner l’administration numérique.
  • Viennent ensuite les obligations réglementaires auxquelles la Commune ne peut se soustraire (Saisine par Voie Electronique, désignation d’un « Data Protection Officer » pour la protection des données personnelles…).
  • Nous avons déjà évoqués les nombreux projets de dématérialisation mis en place par l’Etat : Acte (contrôle de légalité), Hélios (finances), Comedec (données de l’état civil), réponse électronique à un marché public…
  • Autre contrainte majeure, avec le développement des usages, les exigences des citoyens en termes de services numériques sont de plus en plus fortes : services fiables, simples, accessibles depuis n’importe quel équipement, disponibles 24h/24 et 7j/7…
  • Enfin, nous terminerons avec les risques d’attaques, via Internet bien souvent, qui ont beaucoup alimenté la presse ces dernières années.

Attardons-nous un peu sur ces derniers…

Lorsque l’on pense « attaque informatique », on se dit souvent, « je ne suis pas concerné, qui s’intéresse à mes données ? ». Malheureusement, les attaques ne sont pas l’apanage des sociétés du CAC 40 ou des start-up high tech. Toutes les structures sont des cibles potentielles, en particulier avec les fameux « crypto-virus » (ou « rançon-wares »), qui cryptent les données et les rendent inutilisables sauf à verser une rançon contre un hypothétique décryptage de celles-ci.
Dans ce cas, du point de vue du pirate informatique, il est plus intéressant d’attaquer beaucoup de petites structures (ou individus), dont une petite proportion payera la fameuse rançon, qu’une structure de taille plus importante, probablement mieux protégée, qui laisserait s’échapper des données à forte valeur ajoutée dans le cadre d’une attaque sophistiquée.

Autre phénomène qui peut toucher les Communes plus facilement qu’on ne le pense : l’ingénierie sociale. Cette technique consiste à recueillir des informations, a priori, peu sensibles mais qui mises bout à bout finissent par ouvrir une brèche dans le système d’information. Par exemple, si l’on demande à une secrétaire de Mairie son code d’accès pour se connecter au réseau informatique ou à un logiciel important, il est peu probable qu’elle le donne. En revanche, si on l’appelle en demandant celui du logiciel qui gère la bibliothèque et en se faisant passer pour l’éditeur de ce logiciel, il est plus probable qu’elle le fournisse. Et si ce mot de passe est le même que celui utilisé pour se connecter au réseau, ou permet facilement de le déduire, le tour est joué.
Nous ne listerons pas ici toutes les attaques possibles mais la liste est longue et variée, les pirates informatiques étant toujours inventifs et très réactifs pour utiliser les dernières failles connues.

On comprend donc que l’environnement de l’administration numérique des Communes est en constante évolution et de plus en plus contraignant. Mais, quoi qu’il en soit, il ne faut pas oublier que cette dématérialisation est une source d’opportunités majeures pour les Communes : gains d’efficacité, nouveaux services, meilleure capacité à appréhender les évolutions…

La question n’est donc plus de savoir si les Communes doivent aller, ou non, vers l’administration numérique, mais comment s’organiser pour limiter les risques et gérer au mieux la sécurité informatique ?

Gérer la sécurité informatique

En cas de sinistre informatique, deux questions clés se posent :

Premièrement, pendant combien de temps les agents de la Commune seront-ils dans l’incapacité de travailler avec leur outil informatique ? C’est ce que les anglo-saxons appelle le « RTO » pour « Recovery Time Objective » ou Durée Maximale d’Interruption Admissible (DMIA), en français.
Cette question renvoie à la sécurisation des équipements. Il faut donc redonder (doublonner) les équipements les plus importants, sécuriser l’accès physique au local informatique, disposer de contrats de maintenance avec pénalités si les délais ne sont pas respectés, mettre à jour les logiciels des principaux composants…

La deuxième question est : de quand datent les données (ou les traitements) que nous allons pouvoir récupérer, pour redémarrer l’activité ? C’est le « RPO » pour « Recovery Point Objective » ou Perte de Données Maximale Admissible (PDMA), en français.
Cette deuxième question renvoie, quant à elle, à la sécurisation des données. Il faut donc mettre en place des sauvegardes exploitables, disposer d’outils pour filtrer les accès depuis l’extérieur, sensibiliser les utilisateurs, gérer les mots de passe…

Ces deux concepts clés sont illustrés dans le schéma ci-après :
RTO - RPO
Source : Speculos – Wikipedia.org

Les principales actions préventives sont, en général, mises en œuvre par les informaticiens des Communes ou les prestataires, mais comment s’assurer que des mesures importantes n’ont pas été oubliées ?

Pour cela l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI), organisme de référence en France, fournit et tient à jour un précieux « guide d’hygiène informatique » regroupant 42 mesures permettant d’éviter, théoriquement, 80% des risques liés à la sécurité informatique. Il ne faut donc pas hésiter à s’en servir (www.ssi.gouv.fr).

Enfin, dernier conseil pour gérer cette sécurité : commencer modestement par le traitement des risques les plus importants, « accepter » provisoirement les autres risques et mettre en place une démarche d’amélioration continue selon le principe de la « roue de Deming ». Ainsi, après un premier tour de roue et la mise en œuvre des premières mesures (au cours de la 1ière année, par exemple) vous pouvez vérifier que celles-ci sont efficaces, le cas échéant les corriger, et entamer un deuxième « tour » pour traiter la série de risques suivants et éventuellement de nouveaux risques apparus depuis.
Le RGPD, Règlement Général pour la Protection des Données, qui entre en vigueur en mai 2018 et dont il est beaucoup question ces derniers temps, est basé sur ce principe.

Ainsi, vous mettez en place progressivement mais surement un Système de Management de la Sécurité de l’Information (SMSI).

Accompagner la transformation numérique des collectivités

Pour conclure, il faut retenir que l’administration numérique et sa sécurité font aujourd’hui partie intégrante de la vie de la Commune et que l’on ne peut les ignorer.
Si sa gestion semble compliquée, c’est avant tout car cette problématique est relativement récente et qu’elle demande un niveau de connaissance minimum. Il est donc important pour les élus et les décideurs de s’y intéresser afin de monter en compétence progressivement.
Des solutions existent pour accompagner la transformation numérique des collectivités : assistance, formation, infogérance, externalisation, mutualisation…
L’enjeu est principalement de trouver le bon niveau d’accompagnement en regard des ressources humaines et financières disponibles.
Enfin, retenez que comme dans la plupart des évolutions majeures, c’est la première marche qui est la plus dure à gravir.

Quel accompagnement pour votre collectivité ?

COGITIS peut accompagner votre collectivité dans la mise en place d’une gestion optimisée de votre système d’information et de sa sécurité, par une mission d’audit suivi de préconisations concrètes.
Notre expérience de l’accompagnement des collectivités de toutes tailles nous permet d’adapter nos propositions à votre contexte et vos contraintes, notamment financières.
Grâce à notre centre d’appels mutualisé et à nos ingénieurs et techniciens présents sur le terrain, nous pouvons aussi vous assister au quotidien dans la gestion de vos infrastructures.
Contactez-nous pour en savoir plus !

Hugues MARTINVotre contact :

Hugues MARTIN, chef du service Conseil & Expertise

Tél. 04 67 16 18 49 – hmartin@cogitis.fr

Les commentaires sont fermé