Cyberprotection : mutualiser plutôt qu’externaliser Abonnés
Lettre n° 2301 du 16 janvier 2024
Entretien.
La Lettre du Maire : quelles sont les prestations attendues d’une telle entreprise ?
Yann Ariza : nous cherchions à assurer la sécurité de nos systèmes d’information, à filtrer les URL (adresse d’un site internet) et l’ensemble des connexions pour prévenir les cyberattaques.
La LDM : est-ce une cyberattaque qui vous a conduit à réagir ou avez-vous anticipé car, en tant qu’informaticien, vous connaissez les dangers qui menacent les données publiques mal protégées ?
Y.A : notre communauté de communes n’a pas été victime d’une attaque avec demande de rançon. En revanche, nous avons régulièrement des tentatives d’intrusion dans notre système informatique. Nous avons également été sensibles à l’insistance de la presse généraliste qui communique régulièrement sur les attaques subies par des collectivités. Nos informaticiens cherchaient à faire comprendre aux élus la nécessité de se doter de protections et de former les agents aux gestes qui peuvent réduire les risques. Mais le sujet est souvent abstrait pour la plupart des élus. Les articles révélant les conséquences coûteuses d’une cyberattaque les ont sensibilisés davantage que nos discours. Les premières mesures de protection, des achats de logiciels, ont d’ailleurs été spontanément décidées par le service informatique.
La LDM : la presse révèle fréquemment des demandes de rançon à des collectivités publiques, mais n’indique jamais qu’une collectivité aurait effectivement payé cette rançon.
Y.A : je pense que les collectivités ne disent pas tout. C’est un fait cependant que le RGPD (règlement général sur la protection des données) oblige à déclarer les attaques. De son côté, l’ANSSI (agence nationale de la sécurité des services d’information) recommande de ne pas payer les rançons. Sage conseil sans doute car, une fois qu’elle aura payé, la commune n’est pas certaine d’obtenir le déchiffrage des données par les auteurs de la cyberattaque.
La LDM : votre communauté de communes est dotée d’un service informatique, ce n’est pas le cas de toutes les communes ou intercommunalité, loin de là. La prestation offerte par une entreprise comme Stormshield est-elle accessible pour une collectivité privée de service informatique ?
Y.A : Stormshield fournit des logiciels et des boitiers mais le suivi au jour le jour requiert un informaticien. C’est l’une des missions de notre service informatique, qui compte six agents et bientôt sept. Cependant, une collectivité qui n’a pas un tel service peut conclure un marché de prestations de services, assurant le suivi des logiciels que l’entreprise lui vend.
La LDM : se pose la question du coût. Une telle protection est-elle à la portée du budget d’une petite commune ?
Y.A : je ne peux pas vous donner avec précision le coût global du service. Mais nous avons conclu dernièrement un contrat pour la maintenance sur cinq ans de 10 000 euros.
La LDM : compte tenu du risque encouru, cela semble raisonnable.
Y.A : oui, mais il faut y ajouter l’achat des logiciels, puis les paramétrer, ce qui prend trois jours en moyenne. Le coût d’intervention d’un informaticien est environ de 1 000 euros par jour. Il me semble qu’un tel service ne peut être accessible pour une petite commune que par la mutualisation, c’est-à-dire l’intercommunalité.
La LDM : votre service compte six informaticiens. Il me semblait qu’en général les prestations informatiques étaient externalisées. Ce n’est donc pas le cas dans votre collectivité ?
Y.A : non, les collectivités ont, il est vrai, par le passé, privilégié l’externalisation. Mais elles en reviennent car rien de tel que d’avoir un service présent pour gérer les problèmes au jour le jour, prestation que ne peut pas offrir une entreprise, aussi professionnelle soit-elle.
La LDM : la mission d’une DSI (direction des systèmes d’information) n’est-elle pas aussi de former les agents aux usages de l’informatique ?
Y.A : oui, la prévention des cyberattaques passe par des logiciels mais également par la formation des agents, que nous leur offrons à leur arrivée. Nous leur demandons également de nous informer quand ils font une erreur de manipulation, on gagne ainsi du temps. En revanche, le passage à la dématérialisation est décidé par le législateur, et se fait de manière un peu désordonnée dans les communes.
Michel Degoffe le 16 janvier 2024 - n°2301 de La Lettre du Maire
Cet article vous a intéressé :
S'abonner
Vous êtes abonné :
S'identifier
Vous souhaitez conserver cet article :
Ajouter à mes archives
Les avantages de mon abonnement :
- Conserver mes publications au format pdf help_outline
- Recevoir par mail deux articles avant le bouclage de la publication.help_outline
- Créer mes archives et gérer mon fonds documentairehelp_outline
- Bénéficier du service de renseignements juridiqueshelp_outline
- Bénéficier du service InegralTexthelp_outline
- Gérer mon compte abonnéhelp_outline
