Comment armer sa commune contre les cyber-risques ?
Documentation et inspirationStratégie principale:
2.2Thématiques:
- Equipements et services
- Smart territoire
Type de ressource:
Information / Conseils
Le mardi 23 novembre dernier avait lieu le premier Cyber breakfast organisé par Digital Wallonia sur le thème « Les communes et les cyber-risques ».
Revenons sur 5 conseils pratiques et quelques outils utiles pour aller plus loin...
1. La sensibilisation reste la clé
La première étape en matière de cybersécurité consiste à sensibiliser et former, tant les gestionnaires du système que les utilisateurs. Comme le dit si bien l’adage, une personne avertie en vaut deux.
En effet, il est important d’informer les utilisateurs sur les bonnes pratiques à adopter en matière de numérique. Bien que la plupart d’entre nous connait les principes de base, tels que les mots de passe forts ou le fait de ne pas transmettre d’informations sensibles à des tiers, on se ferait vite piéger.
Saviez-vous par exemple, qu’il est absolument indispensable de ne pas avoir les mêmes identifiants dans sa vie personnelle et professionnelle ? De plus, les fraudeurs rivalisent sans cesse d’imagination quand il s’agit d’attaquer les systèmes informatiques. |
Face à cela, il est notamment utile de pouvoir mettre à disposition des utilisateurs un guide de conduite à respecter en matière de pratique informatique. Celui-ci reprendra, entre autres :
- Les procédures à suivre vis-à-vis du stockage de l’information
- Quelles sont les informations qu’il est utile de centraliser sur un serveur commun ?
- Comment partager des fichiers entre collègues et à l’extérieur ?
- ...
- Ou encore les gestes à suivre pour éviter de se faire piéger
- Quelles sont les informations qu’il ne faut pas communique ?
- Comment peut-on renforcer la sécurité dans les procédures mises en œuvre ?
- ...
Un sujet déjà maitrisé ? Peut-être pas tant que ça.
Prenons l’exemple d’une personne mal intentionnée qui essaierait de vous extorquer de l’argent. Sans une politique de contrôle renforcée, rien de plus simple : dans de nombreux cas, il suffirait d’un simple coup de téléphone… Je me fais passer pour une société tierce employée par la commune, j’appelle pour modifier les coordonnées bancaires et les remplacer par un autre compte, sans une vérification scrupuleuse de la véracité de ces informations en interne, le risque est réel. |
2. Connaitre son système et ses utilisateurs
La connaissance de votre système reste la clé et vous permettra déjà d’éviter quelques déboires. Bien que cette étape soit fastidieuse, elle demeure primordiale. Concrètement, cela consiste à savoir précisément ce que vous possédez en termes de matériel, d’utilisateurs et de connexions présentes sur le réseau.
Par exemple, un pc peu utilisé, oublié dans le fond d’une armoire et dont les mises à jour n’ont pas été effectuées peut représenter une menace concrète très sous-estimée. |
De plus, en cas de problème ou d’attaque, savoir qui fait quoi et avoir « prévu le coup » peut vous faire gagner de précieuses heures. Beaucoup de communes font appel à de la sous-traitance pour mettre en place et gérer leurs applicatifs informatiques. A priori, aucun problème de ce côté-là pour autant que l’on ait bien défini dans les conditions du marché certains points tels que : comment la maintenance et les mises à jour sont gérées ? sont-elles prévues ? que faire en cas de problème ou d’attaque du système ?
3. Authentifier et contrôler les accès
Ce conseil est directement en lien avec le précédent. La connaissance précise de qui a accès à quoi dans le système informatique permet d’éviter plusieurs situations à risque.
Parmi celles-ci on évoquera notamment la mise en place de procédures de départ et d’arrivée du personnel. Ainsi, désactiver systématiquement les accès des travailleurs ayant quitté la structure évitera que des informations, parfois sensibles, ne soient accessibles en dehors de l’organisation ou qu’une faiblesse dans le système soit présente par la non mise à jour de cet accès. Vous faites encore les mises à jours de vos anciens ordinateurs vous ? A priori non.
Imaginons qu’une seule et même personne possède tous les droits d’accès sur le système de paie. Que faire en cas d’absence prolongée ou de départ à la retraite ? On arrête de verser les salaires ? Inimaginable ! Mieux vaut donc mettre en place une solution de secours pour éviter ce cas de figure. |
Enfin, on évitera les risques supplémentaires en matière de fraude interne notamment, en désignant des gestionnaires différents selon le type d’informations à gérer : on ne voudrait pas qu’une seule et même personne soit à la fois responsable de l’encodage des prestations et de la paie. Ou tout du moins, ne soit pas le seul dans le système d’approbation. Vous avez bien travaillé 2 heures supplémentaires ce jour-là vous dites ?
4. Sécuriser le réseau
La sécurisation du réseau doit se faire tant virtuellement que physiquement.
Il est notamment utile de séparer les accès wifi en fonction des usages qui en sont fait.
Il ne vous viendrait pas à l’idée de mettre toutes les lampes de votre maison sur le même circuit électrique car en cas de court-circuit, vous risquez de vous retrouver dans le noir. Pour les systèmes informatiques, c’est la même logique, à peu de choses près. On ne mettra pas les imprimantes connectées sur le même réseau que les administrateurs du système pour la simple et bonne raison que leur niveau de sécurité et les précautions prises sont différentes. En effet, on ne voudrait pas que notre télécopieur dernier cri soit la porte d’entrée (déverrouillée) vers l’ensemble de notre réseau. |
5. Continuer à s’informer sur les attaques menées et les précautions à prendre
Comme nous l’évoquions au début de cet article, un utilisateur averti en vaut deux voire plus… Les attaques se multiplient et se complexifient au fil du temps, d’autant plus depuis que notre dépendance aux outils numériques s’est intensifiée en raison de la crise sanitaire. Il apparait donc important de continuer à s’informer en la matière.
Pour aller plus loin, voici quelques ressources utiles :
En matière de formation :
Eurometropolitan e-campus, référent académique Smart Region, organise en partenariat avec Multitel un programme de formation dédié à la cyber sécurité, accessible tant aux entreprises qu’aux institutions. Divers modules seront ajoutés au programme de base dans le courant de l’année 2022. Plus d’informations disponibles ici : https://www.multitel.be/expertises/reseaux-telecoms/formations-reseaux-administration-systemes/formations-cybersecurite/
Un guide pratique :
Pour aller plus loin, l’ANSSI édite, depuis 2013, son « Guide d’hygiène informatique », qui présente 42 mesures d’hygiène informatique pour renforcer la sécurité de son système d’information. Ce dernier est téléchargeable en ligne via le lien suivant : https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/
De plus, il se murmure qu’un accompagnement ciblé pour les communes est en passe d’être développé par les acteurs de la Smart Region. Une raison de plus pour rester connectés !
Pour plus d’informations en matière de numérique et de territoire intelligent, Marine Keresztes, Référente Smart Region se tient à votre disposition : keresztes@igretec.com – 071/34.84.20
- Digital wallonia
- Logo smartregion
- Soutien wallonie logo