Sensibilisation aux risques numériques : les collectivités se mobilisent
Collectivités territoriales témoignage
Face aux risques de cyberattaques, il est essentiel de donner les clefs aux agents pour les anticiper. Aider sa collectivité à se protéger contre les actes de cybermalveillance est à la portée de tous les élus.
Cybermalveillance.gouv.fr a souhaité mettre à l’honneur six collectivités ayant entrepris des actions de sensibilisation.
1. Témoignage de la commune de Longueil Sainte Marie (60)
Monsieur Stanislas Barthélémy, Maire de Longueil Sainte Marie – 1 924 habitants
« L’actualité récente a montré qu’une prise de conscience des collectivités locales face aux enjeux de la cybersécurité était nécessaire. Dans ce contexte, la mairie de Longueil Sainte Marie (60) a souhaité engager des actions pour connaître, dans un premier temps, son niveau de sécurité, puis dans un second temps, mettre en place les mesures correctives nécessaires.
Accompagnés par l’Association pour le développement et l’innovation numérique des collectivités (Adico), nous avons préparé un dossier d’homologation au RGS (Référentiel Général de Sécurité). Cette étude a permis de cartographier notre système d’information et de procéder à une analyse de risques sur l’ensemble de son périmètre. En disposant de cette vision globale, nous avons pu définir un plan d’action qui permet de réduire les risques. Concrètement, cela se traduit essentiellement par de la sensibilisation et nous envisageons notamment de réaliser des campagnes de faux mails d’hameçonnage afin d’accroître la vigilance des agents et des élus.
Au terme de cette étude, un arrêté d’homologation a été pris. À l’instar des démarches menées dans le cadre de notre mise en conformité au RGPD, cette décision représente un engagement éthique auprès de nos administrés. À l’entrée de la mairie, un autocollant est même affiché pour que les usagers puissent facilement comprendre qu’ils entrent dans un environnement de confiance numérique. »
2. Témoignage de la ville de La Rochelle (17)
Madame Marie Nédellec, Adjointe au Maire de La Rochelle – 171 811 habitants
« L’agglomération de la Rochelle, dans le cadre de ses services mutualisés travaille depuis plusieurs années à l’amélioration continue de sa cybersécurité.
Ainsi, une charte à destination de la communauté d’agglomération et de la ville de La Rochelle est en cours de rédaction à destination de tous les acteurs utilisant les Systèmes d’Information (élus, agents, personnel non permanent…) pour protéger les valeurs de nos collectivités : la disponibilité et la qualité du service public, le respect des obligations légales, la confidentialité et l’intégrité des données sensibles, la protection des investissements, la valorisation de l’image et la préservation de l’environnement.
De plus, nous mènerons des campagnes de sensibilisation pour présenter la charte et ses bonnes pratiques à l’ensemble de nos collaborateurs.
Nous envisageons également de créer un parcours de sensibilisation pour les nouveaux arrivants d’une demi-journée autour de questions très pragmatiques : Où est-ce que je dois stocker mes données pour qu’elles soient sauvegardées ? Pourquoi est-il primordial d’éteindre ses équipements le soir ? Comment je peux déclarer un incident ? Et donner des conseils sur la gestion des mots de passe, les mails malveillants, les usages pro-perso, la protection de la vie privée, etc.
Enfin, il nous semble important de former spécifiquement les acteurs manipulant des données dites « sensibles » sur une journée complète avec des exercices et une évaluation finale. »
3. Témoignage de la ville de Vannes (56)
Madame Anne Le Hénanff, Première adjointe au Maire,
en charge de la Performance de l’action publique et de la transformation numérique de Vannes – 55 411 habitants
« Il ne faut pas perdre de vue que 80 % des risques cyber sont liés à l’humain et que 90 % des menaces proviennent d’un mail frauduleux, technique appelée hameçonnage (phishing en anglais). Face à ces constats, nous avons décidé de former en ligne tous nos agents et élus pour leur apprendre à déjouer les pièges des e-mails malveillants. Puis, notre responsable de la sécurité des systèmes d’information (RSSI) a lancé une campagne intensive de faux mails d’hameçonnage sans information préalable. Le résultat : 23 % des agents ont manqué de vigilance et cliqué. Nous avons décidé d’inscrire la campagne dans la durée. Et les résultats sont très encourageants ! Le taux de clics a considérablement baissé, de 23% à 6% en un an. C’est une très bonne nouvelle pour la collectivité. »
4. Témoignage de la commune de Tillières-sur-Avre (27)
Mairie de Tillières-sur-Avre
Monsieur Michel François, Maire de Tillières-sur-Avre
1 098 habitants
« Même nos petites communes peuvent être victimes de cybermalveillance, comme le vol de données, le piratage avec demande de rançon, etc. Faire connaître la plateforme de prévention et d’assistance Cybermalveillance.gouv.fr au plus grand nombre est indispensable afin que les agents des collectivités sachent vers qui se tourner en cas de cyberattaque. De plus, la sensibilisation aux bonnes pratiques en matière de sécurité numérique avec l’affichage de conseils a permis d’initier au sujet en interne et susciter des questionnements. »
5. Témoignage de Toulouse Métropole (31)
Monsieur Nicolas Misiak, Conseiller Municipal délégué à l’écologie et à la modernisation – 486 828 habitants
« Lors de l’attaque des sites institutionnels de la ville de Toulouse en mai dernier, nous avons dû mettre en place en urgence une cellule de gestion de crise. Fin 2020, la vague d’attaques EMOTET ne nous a pas épargnés, cependant, nous étions davantage préparés. Notre partenaire, Orange CyberDefense (OCD) nous a accompagnés pendant une quinzaine de jours dans l’organisation, les prises de décisions et le management des opérations (techniques, communication, etc.). Ce retour d’expérience nous a permis de consolider notre dispositif et d’identifier les points à améliorer. En parallèle, nous avons poursuivi les actions de remédiation et d’amélioration de nos infrastructures, de nos outils de détection et d’analyse. Nous sommes actuellement en train de réaliser un guide sur la gestion de crise au sein de la collectivité et nous allons organiser prochainement un exercice de gestion de crise cyber pour entraîner nos agents et nous préparer. »
6. Témoignage de Rochefort Habitat Océan (17)
Madame Florence Alluaume, Présidente de Rochefort Habitat Océan – 2 631 logements
« Suite au renouvellement de la flotte informatique (postes et serveurs) début 2016, l’Office a souhaité réaliser un audit de sécurité afin de renforcer le pilotage du Système d’Information (SI). Avec le soutien de SOLURIS, une analyse de risques a été réalisée pour déterminer la criticité des applications métiers et identifier les vulnérabilités du système d’information pour pouvoir apprécier les risques et les traiter si nécessaire. Dans ce cadre, le Référentiel Général de Sécurité (RGS) a été mis en œuvre afin d’appliquer les bonnes pratiques de gestion de la sécurité pour le Système d’Information.
La sensibilisation du personnel est apparue comme un axe essentiel afin que chaque utilisateur prenne conscience des enjeux en matière de sécurité et de vie privée. Plusieurs actions sont menées en ce sens.
Afin d’accompagner la mise en place d’une charte informatique opposable, un travail impliquant les collaborateurs a été engagé en 2018/2019 sur les pratiques essentielles de sécurité à mettre en œuvre au quotidien. Ce travail a permis d’élaborer une affiche distribuée et expliquée au personnel lors d’un petit déjeuner de travail. Ce document est diffusé à chaque nouvel arrivant lors de sa prise de poste.
Chaque année, des actions de sensibilisation sont menées.
Chaque trimestre, une newsletter est diffusée pour rappeler une bonne pratique ou attirer l’attention sur un risque informatique. Par exemple en septembre 2020, la newsletter « Les mots de passe, c’est un peu comme les brosses à dents » a permis de faire un rappel des règles relatives à la gestion des mots de passe.
Annuellement, une réunion de sensibilisation est organisée avec le soutien de SOLURIS. En 2020, les agents de proximité et les responsables d’immeubles qui venaient d’être dotés de téléphones portables ont pu être sensibilisés aux cybermenaces et prendre connaissance des pratiques de sécurité à mettre en œuvre sur les smartphones.
Un groupe de travail « sécurité informatique » composé de 4 collaborateurs et du référent sécurité de l’Office a été créé en 2017. Ce groupe de travail suit les plans d’actions annuels portant sur la sécurité informatique et la protection des données, rédige les newsletters et s’assure de l’acceptabilité et de la mise en œuvre des règles de sécurité auprès du personnel. »
Découvrez les autres étapes du programme de sensibilisation aux risques numériques à destination des élus :
– Menaces et réflexes essentiels pour la sécurité numérique des collectivités
– Vigilance face aux cyberattaques : les collectivités sont toutes concernées !
→ En savoir plus sur le programme de sensibilisation aux risques numériques auprès des élus
Pour informer et sensibiliser les publics sur les menaces numériques, Cybermalveillance.gouv.fr met à disposition divers contenus thématiques : des supports variés pour comprendre les cybermenaces et savoir comment y réagir, ainsi que des bonnes pratiques à adopter pour assurer votre sécurité numérique.
> Consulter la liste de l’ensemble des ressources mises à disposition par le dispositif.