Embed Size (px)
Citation preview
Dans un rapport d’information que j’ai écrit en 2012pour la commission des affaires étrangères, de la défenseet des forces armées du Sénat, évaluant le degré depréparation de notre pays face aux attaques informa-tiques, je constatais l’existence de progrès significatifstout comme la perpétuation d’importantes lacunes.
Un diagnostic équivalent pourrait être fait aujourd’hui,nuancé par le constat que de nouveaux progrès ont étéréalisés dans les administrations de l’État, alors que deslacunes sensibles semblent perdurer dans les collectivitésterritoriales. C’est du moins ce que suggère un récentsondage effectué auprès d’un panel de fonctionnairesde l’État, des collectivités territoriales et de la fonctionpublique hospitalière : les deux tiers des fonctionnairesdes collectivités interrogés indiquent que leur adminis-tration ne possède pas de programme de sécurité, la si-tuation étant bien meilleure du côté des administrationsde l’État.
Or la nécessité de faire de la protection des systèmesd’information une priorité à tous les niveaux est encoremoins discutable aujourd’hui qu’en 2012 : le dévelop-pement de l’administration électronique constitue unlevier majeur de la modernisation et de l’efficacité desservices publics en collectivité territoriale comme ailleurs.Ainsi, la numérisation et l’interconnexion progressentsans cesse, offrant aux actions hostiles des angles d’at-taque de plus en plus ouverts. De fait, le nombre descyberattaques ne cesse d’augmenter, quelle que soit lataille des cibles, y compris les collectivités. Le maximumdoit donc être fait pour protéger les systèmes et lesdonnées transportées.
Rappelons que les collectivités territoriales traitent denombreuses données personnelles afin d’assurer le fonc-tionnement des services publics dont elles ont la charge.La divulgation de ces données, qu’elles soient fiscales,sociales ou autres, leur altération, leur suppression, leurvol porteraient à la vie privée des personnes concernéesune atteinte dommageable en soi. Elles auraient ausside graves répercussions sur le déroulement du processusde modernisation de l’administration et des servicesdes collectivités visées. À titre d’illustration, la gestionde fichiers comme ceux de l’aide sociale ou de la policemunicipale appelle évidemment une totale sécurisation.
À côté de la protection des données personnelles, celledes services eux-mêmes et de la collectivité qui les meten place doit être assurée. Par exemple, des incidentstels que le défaçage ou la paralysie d’un site internet,que ce soit par simple malveillance ou dans le cadred’une opération d’extorsion conduite à l’aide d’un ran-çongiciel, doivent être prévenus ou rapidement résolus.
Cela dit, la prise de conscience et la connaissance desproblèmes ainsi que des solutions font l’objet d’effortssoutenus depuis plusieurs années.
Ainsi un document gouvernemental élaboré à l’intentiondes collectivités territoriales dans le cadre du plan Vigi-pirate 2014 expose les objectifs de cybersécurité à viseret les recommandations à appliquer pour sécuriser leurssystèmes d’information. Ces objectifs sont regroupésen sept domaines d’activités : la gouvernance, la maîtrisedes risques, la maîtrise des systèmes, la protection dessystèmes, la gestion des incidents, l’évaluation et la re-lation avec les autorités. Chaque objectif est décliné enobjectifs-relais complémentaires les uns des autres, l’en-semble constituant ainsi une synthèse pédagogique etopérante de ce qu’est la cybersécurité et de ce qu’elleimplique.
Sur le plan réglementaire, un référentiel général de sé-curité applicable aux collectivités territoriales comme àl’ensemble des autorités administratives a fixé en mai2010 un cadre visant à instaurer la confiance dans leséchanges au sein de l’administration et avec les citoyens.Ce document a été complété et remplacé par un nou-veau référentiel en juin 2014. Dans le prolongement decette approche, un guide comprenant 42 règles d’hy-giène informatique a été publié en janvier 2017.
Des outils innovants peuvent par ailleurs favoriser lamontée en puissance effective de la cyberdéfense dansles collectivités territoriales, dont seules les plus impor-tantes sont en mesure de se doter en interne des com-pétences nécessaires pour faire face aux attaques. Ainsien est-il du dispositif d’assistance aux victimes, cyber-malveillance.gouv.fr, qui s’adresse aux particuliers, auxentreprises et aux collectivités territoriales. Il prévoit demettre les victimes en relation, via une plate-forme nu-mérique, avec des prestataires techniques susceptibles
de restaurer leurs systèmes ; la mise en place de cam-pagnes de prévention et de sensibilisation à la sécuritédu numérique ; la création d’un observatoire du risquenumérique permettant de l’anticiper. Il s’appuie sur desprestataires techniques de proximité ainsi que sur lesréseaux existants au niveau territorial : administrationsde I’État ou des collectivités et acteurs locaux - chambresconsulaires, fédérations professionnelles, réseaux « tran-sition numérique », etc.
En tout état de cause, un palier supplémentaire a étéfranchi en matière de cyberdéfense des collectivités ter-ritoriales avec l’entrée en vigueur le 25 mai 2018 duRGPD. Depuis cette date, la désignation d’un délégué àla protection des données est obligatoire pour ces der-nières, en interne ou externalisé, mutualisé ou non, dansle cadre du passage à une logique de responsabilisationdes acteurs impliquant de la part des collectivités uneffort constant de mise en conformité et la capacité dedémontrer à tout instant le niveau maximal de protec-tion des données qu’elles traitent. En d’autres termes,ce volet essentiel de la modernisation de l’action pu-blique qu’est le développement de l’administration élec-tronique dans les collectivités territoriales doit désormaisprendre en compte la protection des données person-nelles dès la conception des services et tout au long deleur existence.
Au regard de la situation globalement insatisfaisanteque je mentionne au début de ce texte, le défi n’est pasminime. Là, comme en d’autres domaines, les collecti-vités territoriales sauront le relever.
Édito
➤
➤
➤
➤
➤
➤
➤
➤
Jean-Marie BockelSénateur du Haut-Rhin, Président de la Délégation sénatoriale aux collectivitésterritoriales et à la décentralisation
Anne le HenanffAdjointe au Maire de Vannes en charge de lacommunication et du numérique, Vice-présidentede l’association nationale Villes Internet
Loïg Chesnais-GirardPrésident de la Région Bretagne
François CoupezAvocat-fondateur d’Atipic Avocat
Juliette JarryVice-Présidente de la Région Auvergne-Rhône-Alpes, déléguée aux infrastructures, à l’économieet aux usages numériques
Adrienne CharmetChargée de Mission Relations institutionnelles à Cybermalveillance.gouv.fr
Stéphane MeynetPrésident de CERTitude NUMERIQUE
5
6
2
3
4
1
2
SÉCURITÉ et Politiques PubliquesL
ET
TR
E
N°2 - 1ER TRIMESTRE 2019
cybercercle.com
LA CYBERSÉCURITÉ : UNE PRIORITÉPOUR LES COLLECTIVITÉS
TERRITORIALES
Jean-Marie BockelSénateur du
Haut-Rhin, Président de
la Délégation sénatoriale aux
collectivités territoriales et à
la décentralisation
Les collectivités territoriales collectent depuistoujours de très nombreuses données. Cettecollecte leur permet d’assurer les servicesau public et leurs compétences après de
leur population.
Leurs pratiques sur la gestion de la donnée, de lacollecte à la suppression, sont variées et ne suiventpas de règles établies, appliquées par toutes demanière uniforme. Ceci n’est pas sans poser uncertains nombres de problèmes, notamment ces der-nières années, face à la recrudescence des attaquescyber et aux ransomware en particulier.
Si les pratiques en matière de data sont propres àchaque communes ou EPCI, il n’empêche que jusqu’àl’arrivée du RGPD la déontologie professionnelle ap-plicable par tous agents territoriaux, la loi informatiqueet liberté de 1978 et le sens des responsabilités desélus et DGS vis à vis des informations collectées ontassuré un bon cadre de protection.
Plusieurs facteurs récents sont cependant en train demodifier considérablement la philosophie de traitementde la donnée dans les collectivités territoriales.
Les attaques cyber et les vols de données depuis2014 ont provoqué une véritable prise de consciencedes élus sur le fait qu’ils puissent être des cibles fi-nancières juteuses pour leurs auteurs. Les demandesde rançon se sont multipliées sans que souvent lesmaires n’osent porter plainte ou même en parler. Cesfaits récents ont permis la mise en place de nouvellespratiques de protection du patrimoine informationneldes collectivités, tant au niveau des données des ci-toyens que celles des communes.
L’arrivée du Règlement Européen sur la Protectiondes Données à caractère Personnel (RGPD) en avril2018 est également une autre étape importante
dans la modification de la culture de la gestion de ladonnée dans les Collectivités territoriales. Les res-ponsabilités pénales et financières du Maire et duDGS/Secrétaire de mairie sont fortement accrues etle citoyen est remis au cœur de ses droits sur sesdonnées. Au-delà de la simple règlementation, lanotion de confiance est davantage introduite entreélus et citoyens. Confiance qu’il faut conserver etprotéger...
Un autre facteur modifie fortement les politiquespubliques des collectivités, et ce, quelle qu’en soitleur taille : la dématérialisation. Qu’elle soit pousséeet voulue par l’Etat - dématérialisation de la chaînecomptable ou des marchés publics, par exemple – ouinitiée par les propres services de la commune pourdes usages simplifiés et directs depuis le domicile despersonnes, elle provoque une arrivée massive de don-nées personnelles. Des données qu’il faut traiter, sau-vegarder, protéger et voire supprimer, le cas échéant.
Se pose désormais la question des bonnes pratiquesen matière d’optimisation de la gestion de la donnéedans les collectivités locales. Les sujets prioritairesaujourd’hui portent à la fois sur la sauvegarde et laprotection des données, souvent confiées à des pres-tataires extérieurs. Les communes vont devoir semontrer plus exigeantes sur le niveau de qualité desprestations avec leur partenaire informatique : ladurée de conservation, le lieu de sauvegarde, lesaccès, etc...
Un autre sujet d’action est la gouvernance de ladonnée. Protéger les données est une chose, lesexploiter dans l’intérêt général est mieux. Les collectivitésterritoriales se doivent d’y réfléchir déjà. Elles ne sontpas équipées ni ne possèdent les ressources pourmener chacune, individuellement, une politique de ladonnée. La ville intelligente est un enjeu majeur et la
mutualisation de la data sera au cœur des futurespolitiques publiques. L’EPCI semble être l’échelonadapté avec les syndicats mixtes départementaux dunumérique ou de l’énergie à mener ce portage collectif.
L’Etat travaille sur plusieurs programmes en lien avecla modernisation de l’administration et de la trans-formation digitale. Les collectivités locales doiventprendre part à ces chantiers et s’organiser pour êtreproactives et moteur. La data est source de richessesà moyen et long-terme. En attendant, les communeset les EPCI, les Métropoles devront faire le choixd’investir pour anticiper ce virage culturel dans leurspratiques. Humainement avec le recrutement deprofils transverses capables d’accompagner les métiers,mais aussi financièrement pour installer des infra-structures performantes et sécurisées de gestion dela donnée.
Les données des citoyens sont notre patrimoine na-tional. Il faut les protéger mais aussi les considérercomme une ressource infinie au service de nos terri-toires, de nos administrations publiques et de notrepopulation. Ce sujet sera, me semble-t-il, l’un dessujets prioritaires du prochain mandat local.
L’European Cyber Week de Rennes vient,pour la troisième année consécutive, deréunir plusieurs centaines de responsableséconomiques, politiques, universitaires,
militaires autour de la question du développement dela cybersécurité. Cet événement, complémentaire duFIC de Lille ou des Assises de la sécurité à Monacoparticipe à la reconnaissance de la Bretagne sur cesujet et s’inscrit dans la politique que nous menonsdepuis plusieurs années.
Parler de cybersécurité, c’est parler de souveraineté.La puissance d’un pays, d’un territoire, sondéveloppement économique et sa capacité à déciderde son avenir passe aujourd’hui par la maîtrise de lacybersécurité. Cette question de souverainetéraisonne avec l’histoire de la Bretagne. Notre région atoujours été engagée dans la souveraineté de notrepays et donc de l’Europe : militaire avec une présencehistorique de l’armée, de la DGA-MI, de la force sous-marine, de l’électronique de Défense, ou encore dansla navale. Mais aussi économique avec la souverainetéalimentaire dont la Bretagne a et est un acteur majeuren Europe et demain énergétique avec ce que nousfaisons sur les énergies marines renouvelables et lessmart-grid, le secteur de l’énergie étant d’ailleurs undomaine d’application stratégique pour la cyber.L’engagement dans la cyber est donc naturel ets’inscrit dans le temps long, c’est une singularité trèsforte que nous avons, notre sujet n’est pas juste dedévelopper l’économie mais aussi de participer à laconstruction d’une souveraineté nationale eteuropéenne. Cet engagement nourrit notre volontéde devenir un territoire producteur de confiancenumérique, ô combien nécessaire pour réussir notretransition numérique.
Le positionnement de la Bretagne sur la cybersécurités’appuie sur trois liens forts que nous cultivons.D’abord, le lien puissant de confiance entre le mondemilitaire et le monde civil : c’est la force de cetterelation qui nous a permis de créer le pôled’excellence cyber avec le Ministère de la Défense.Cette alliance étonnante entre une région et unMinistère de la Défense a permis de réunir les leadersde la cyber en France, le monde académique les
entreprises de toutes tailles. Il permet de combinerdes engagements nationaux avec la mise en œuvreconcrète sur le terrain. Le Pôle d’excellence cyber estaujourd’hui un lieu de confiance propice pouraccélérer l’innovation duale. Il travaille sur lesproblématiques concrètes de ses membres et enparticulier dans le champ de la formation, de larecherche et du développement économique.
Ensuite, nous travaillons depuis longtemps le lienformation – recherche – innovation – développementéconomique : le temps des silos est terminé et il fautpenser les projets de manière systémique. Fairetravailler ensemble différents univers constitués estune des illustrations du savoir-faire collectif que nousdéfendons. Ce lien est au cœur de l’ensemble desoutils de notre écosystème qui contribue à ladynamique cyber.
Enfin, nous avons toujours la volonté de combinerl’échelon territorial avec l’échelon national etl’échelon européen. Notre contribution régionale à lasouveraineté, à la cybersécurité est aussi dans cettecapacité à construire un écosystème territorialpuissant, à s’appuyer et à renforcer l’échelon nationalet à porter nos savoir-faire et nos convictions àl’échelle européenne. Nous considérons qu’il fautpenser les trois échelons en même temps. Noussommes présents dans des programmes INTEREG
avec notre agence de développement BretagneDéveloppement Innovation, et directement dans lePPP Cyber, dans le pilotage de l’action de coordinationdes stratégies des régions européennes spécialisées enCyber, au sein d’ECSO (European cyber securityorganisation). Notre engagement européen sur lacyber est du même niveau que celui sur la PAC, sur lapêche ou sur les énergies.
Pour conclure, nous avons deux sujets de naturedifférentes mais d’importance égale pour les semaineset les mois qui viennent.
Le premier c’est l’intelligence artificielle. Travailler surla cybersécurité aujourd’hui, c’est aussi travailler surl’intelligence artificielle. L’ensemble des emplois, etcontrairement à ce que l’on croit souvent les emploisde cadre, vont être impactés. Il nous faut doncl’anticiper et investir ce sujet. C’est un champ pourl’avenir de la cybersécurité et nous nous investironssur cette question.
Le deuxième c’est l’appel de Paris. Nous devons lefaire réussir. Le Président de la République a eu raisonde faire cet appel et de le faire maintenant. Nousvivons dans un monde imprédictible et nous devonstout faire pour que l’espace numérique ne se réduisepas à un espace de guerre, de manipulations, de fakeNews, il faut donc le protéger, il faut donc défendrenos valeurs démocratiques. C’est le sens de cet appel.La Bretagne le soutient et je pense que les régionseuropéennes ont un rôle majeur à jouer pour le faireréussir.
LA BRETAGNE RÉSOLUMENT
ENGAGÉE DANS LEDÉVELOPPEMENT
DE LA CYBERSÉCURITÉ
Anne le HenanffAdjointe au Maire deVannes en charge de
la communication et du numérique,Vice-présidente de l’associationnationale Villes
Internet
Loïg Chesnais-GirardPrésident de la
Région Bretagne
2
3
P our ceux qui en douteraient encore, latoute récente décision de sanction deGoogle LLC (soit la société américaineet non sa filiale française) par la CNIL
en raison du non-respect des règles posées par leRGPD démontre bien que nous sommes aujourd’huipassés dans la phase 2 de l’ère « RGPD ».
Rappelons que ce texte européen, le RèglementGénéral sur la Protection des Données est entréen application le 25 mai 2018, deux ans après sonadoption. Il renforce fortement le cadre européenapplicable à la protection des données à caractèrepersonnel, dont la loi du 6 janvier 1978 en France(pour plus de détails, voir notamment l’article ducabinet ATIPIC Avocat). Notons à cet égard que laloi française a été modifiée par l’ordonnance du12 décembre 2018 après une première modificationpendant l’été 2018, notamment à des fins delisibilité afin que le totem que représente la loi du6 janvier 1978 regroupe dorénavant dans un seultexte les règles issues du RGPD mais égalementles règles d’adaptation en droit français nécessaires,ainsi que les spécificités que le législateur françaisavait tenu à y apporter[1].
La définition de ces données étant très large, letexte concerne la majorité des bases de donnéesque les entreprises ou les entités du secteur publicsont amenées à constituer. Si les fortes sanctionspouvaient inciter à une mise en conformité rapide,certains auguraient qu’elles ne seraient jamais ap-pliquées à ce niveau ( jusqu’à 4 % du chiffred'affaires annuel mondial total de l'exercice pré-cédent, ou 20 millions d’euros pour les entitésétant dépourvus de CA tels que les associationset les collectivités territoriales). Le niveau desanction inédit de Google (50 millions d’euros) etle fait que la sanction ne porte que sur une toutepetite partie des sujets de la plainte originelle(l’instruction des autres sujets perdurant) incitentmaintenant à penser le contraire et à s’inscrirevolontairement dans la conformité.
Certes, les sénateurs avaient tenté, pendant l’été2018 et la modification de la loi du 6 janvier1978, non seulement d’exclure toute sanction fi-nancière pour les collectivités territoriales, maiségalement de les faire bénéficier d’une taxe payéepar les opérateurs de communication électroniquepour les aides à se mettre en conformité. Maisl’initiative n’a pas été suivie d’effet et les collectivitésterritoriales qui n’auraient pas déjà été sur lechemin de la conformité par rapport à une loiexistant depuis 1978 doivent aujourd’hui, 40 ansaprès, consentir de nombreux efforts pour rattraperleur retard et se mettre au niveau d’exigence deconformité actuelle.
Surtout que la conformité au RGPD n’est pas quejuridique, elle nécessite l’apport coordonné deplusieurs expertises pour agir sur trois piliers es-sentiels : organisationnel, technique et juridique.
Seule une approche intégrant ces trois aspectspermet de mettre en œuvre de façon efficace lesprincipes découlant du RGPD, étant entendu quela plupart des collectivités territoriales ont déjà,heureusement, un acquis sur le sujet sur lequels’appuyer : - cartographie des traitements existants ; - identification des données traitées ;- détermination des fondements juridiques per-
mettant leur traitement ;- création / mise à jour d’un registre des traitements ;- transparence des informations à communiquer ;- construction et sécurisation de traitements orien-
tés « privacy by design » ;- documentation de l’ensemble de la chaîne de
traitement et des décisions prises ;- nomination obligatoire de Délégués à la Protection
des Données (DPD/DPO) pour les entités dusecteur public ;
- réalisation d’études d’impact sur la vie privéedans les cas où les traitements ont les consé-quences les plus graves pour les personnes ;
- création des processus de notification des viola-tions de données personnelles ;
- développement de solutions de portabilité desdonnées dans les cas qui le nécessitent ;
- etc.
Les relations avec les sous-traitants doivent éga-lement, dans la plupart des cas, être revues, no-tamment au niveau des processus achat : en effet,le RGPD impose de ne sous-traiter le traitementdes données qu’à des opérateurs économiqueseux-mêmes conformes au RGPD.
Par ailleurs, si cette conformité est un chantierd’importance, le RGPD ne doit pas être l’arbre cachant la forêt des autres textes récents ou àvenir en matière de protection des données ou desécurisation du système d’information : Code dela défense pour les Opérateurs d’Importance Vitale(via la Loi de Programmation Militaire 2013), loidu 26 février 2018 pour les Opérateurs de ServicesEssentiels et les Fournisseurs de Service Numérique(transposition de la directive NIS), projet de règle-ment européen ePrivacy en cours de discussion,obligations spécifiques aux secteurs de la santé,des paiements électroniques ou encore des opé-rateurs de service de confiance, etc.
Face à cette vague de fond réglementaire, il estindispensable d’anticiper la mise en conformitéafin d’éviter de multiplier les budgets et de diluerl’efficacité. L’anticipation est d’autant plus nécessaireque les mécanismes imposés (directement ou in-directement) par le RGPD sont appelés à s’inscriredans la durée.
Et si l’on connaît l’objectif, les nombreux retoursd’expérience permettent d’être attentif sur lespoints pouvant apparaître comme bloquants ou àanticiper : les contraintes budgétaires, la nécessairesensibilisation des élus, le soutien indispensablede la Direction Générale des Services dans la pro-motion de la conformité RGPD, la chantier dupartage de responsabilité dans les écosystèmesd’échanges de données (INSSE, préfecture, police,trésor public), le croisement avec les autres impé-ratifs réglementaires (CADA, etc.), la multiplicité
des autres sujets d’intervention au quotidien, etc.
Heureusement, conformité ne rime plus forcémentavec budgets très importants : les collectivitésterritoriales peuvent ainsi s’appuyer sur des solutionspermettant de mutualiser les organisations ou lestravaux à mettre à œuvre (DPD externe mutualisé,clauses contractuelles, sécurisation technique, etc.).Et surtout, la conformité RGPD, si elle est souventvue comme une contrainte, recèle d’importantesopportunités : quand les données sont mieux maî-trisées et les citoyens mieux informés sur les trai-tements, l’optimisation et la meilleure connaissancedes citoyens permet l’optimisation des servicesqui leur sont proposés, au bénéfice de tous.
LE RGPD, PHASE 2
François CoupezAvocat-fondateur
d’Atipic Avocat
[1] Enfin, sur les 99 articles de ce texte, 56 peuvent donner lieu à des règles spécifiques en droit local.
Face à la diversification et à l’intensifica-tion des usages numériques, la cybersécurité est devenue un enjeu majeur. Aujourd’hui, plus de 75%[1] des
Français possèdent un smartphone et se rendentquotidiennement sur Internet. Les relations avec lesacteurs publics n’échappent pas à cette évolutionpuisque près de 70% des citoyens s’adressent auxadministrations par le biais de sites ou d’applica-tions. Il est en effet désormais possible de déposerun dossier d’allocations, de recherche d’emploi, unedemande d’autorisation ou de subventions de manière dématérialisée. Si elles permettent notam-ment des gains de temps, ces procédures exposentles organismes publics et privés, tout comme lesindividus, à de nouveaux risques. Or la sécurité etl’intégrité des données échangées est indispensablepour instaurer et maintenir un haut niveau deconfiance numérique. Elles nécessitent donc une vigilance accrue.
De par le large éventail de ses missions (transports,lycées, formation, économie …), la Région AuvergneRhône-Alpes est pleinement concernée par cettequestion. Elle a ainsi souhaité élaborer une stratégieglobale intégrant à la fois ses enjeux internes entant que collectivité territoriale, mais aussi une dif-fusion en externe sur l’ensemble de son territoire.
Pour répondre aux problématiques d’e-administra-tion et de confiance numérique, la Région a intégréla notion des usages aux prérogatives « techniques» de sa Direction des Systèmes d’Information. Celas’est traduit également par la nomination d’un Délégué à la Protection des Données et par la miseen place d’une cellule pour la Sécurité des Systèmesd’Information et la refonte de sa politique de sécurité. Certaines des actions engagées s’inscriventdans un contexte de réponse à de nouvellescontraintes et de nouvelles réglementations tellesque le RGPD[2] ou la directive SRI[3] qui se sont imposées aux administrations. D’autres relèventd’une politique volontariste, comme les initiativesà destination des acteurs économiques par exemple.
En effet, si la Région s’appuie sur de nombreux par-tenaires locaux et nationaux et peut compter sur lesoutien d’agences spécialisées (CNIL[4] , ANSSI[5]),elle a bien identifié la nécessité que le monde éco-nomique, comme les citoyens, s’approprient pluslargement ces thématiques. C’est pourquoi, leConseil régional accompagne une politique de
développement numérique ambitieuse à l’échelledes territoires. Plusieurs initiatives ont été lancéescomme la mise en œuvre d’un plan de transforma-tion numérique, mais aussi le soutien de structuresde formation et d’accompagnement.
La plateforme Ma-solution-numérique.fr fait partiedes outils qui ont été mis en œuvre pour favoriserla prise de conscience autour des enjeux de trans-formation numérique dans les TPE-PME. Elle intègredes ressources variées provenant de différents par-tenaires[6] et notamment des fiches, des témoi-gnages, des documents types ou des guides sur lacybersécurité. Le programme d’aide Ambition PMEest un autre volet de cet accompagnement. Il a per-mis à plus de 150 entreprises d’accéder à un soutienau développement numérique et à la cyber protec-tion, par des financements allant de 4 000€ à 9000€ par entreprise pour un retour sur investisse-ment de respectivement 15 000€ (ratio 1 pour 3)et de 40 000€ (ratio 1 pour 4). La Région prend encharge jusqu’à 80% de l’accompagnement des entreprises.
L’engagement de la Région Auvergne-Rhône-Alpessur la cybersécurité et la souveraineté numériquese concrétise également dans les démarches de relocalisation des moyens, des compétences et dessavoirs. L’accompagnement de la collectivité sur lesmises en services des Data-centers XSalto (Seyssi-net-Pariset, 2016) et Rock (Lyon, 2019) contribuentà doter la Région d’infrastructures de qualité, garantissant la conservation des données sensiblesau niveau local, pour mieux se protéger des cyber-menaces.
Alors que la majorité du trafic Internet du pays dépend des GIX parisiens, Auvergne-Rhône-Alpes adécidé de privilégier l’échange au niveau local. LaRégion est ainsi un partenaire historique des deuxGIX (nœuds d’échange Internet), Rezopole et Mas-sifIX auxquels elle a attribué près de 3 millions d’eu-ros. Cette offre permet la mise en concurrence desopérateurs, et donc la baisse des coûts pour lescommunications Internet, mais aussi une diversitédans les propositions des opérateurs. La volonté dedévelopper des compétences sur ces sujets en proxi-mité contribue également au renforcement de lacybersécurité. Disposer de plusieurs nœuds d’inter-connexions Internet permet en effet d’apporter ré-silience et indépendance techniques et offre unecapacité naturelle à limiter les menaces qui peuventpeser sur ces infrastructures essentielles.
Enfin, une politique publique de cybersécurité effi-cace consiste aussi (et avant tout) à prévoir les be-soins à venir en matière d’emploi et de formation.La Région Auvergne-Rhône-Alpes a pour ambitionde devenir une Région leader et un accélérateur dunumérique en Europe. Pour répondre à ces objectifs,la Région s’est dotée d’un outil unique : le CampusRégion du Numérique. Installé sur un terrain de plus10 hectares à Charbonnières-les-Bains courant2020, ce « navire amiral » permettra de passer àl’échelle l’initiative du King Charles lancé à Lyon en2017, et constituera une plateforme d’échange entreles écoles et les entreprises du territoire. Le Campuss’articule autour de trois grands axes : la formation,l’accompagnement et le conseil aux entreprisesdans leur transformation numérique et la mise enplace d’une usine de recherche et d’innovation. Toutcela repose sur l’articulation et la démarche parte-nariale entre la Région et tous les acteurs du terri-toire : CCI, CMA, MEDEF, CPME, etc. Le Campus duNumérique ne se réduit pas à un seul lieu : il s’étendsur tout le territoire d’Auvergne-Rhône-Alpes. Lesfuturs talents pourront en effet collaborer directe-ment avec les employeurs locaux, notamment parle biais de plus de 35 formations labellisées « hors-les-murs ». Ces formations opèrent un maillage findu territoire, proposent un large panel de formationsaux métiers de la filière numérique et font du Cam-pus Région un projet unique de diffusion de la cul-ture numérique et d’accélération de la transforma-tion numérique des entreprises. On compte parmicelles-ci notamment le Certificat Préventeur Cy-bersécurité des Systèmes d’Information de l’INP deGrenoble ou encore le master MISTRE (Microélec-tronique Intégration des Systèmes Temps Réel Em-barqués). Les collaborations qui ne manqueront pasd’émerger favoriseront l’innovation, l’accompagne-ment et l’émergence de pôles d’excellence sur lacybersécurité industrielle en Auvergne-Rhône-Alpes.
A travers ces actions, la Région entend consoliderson rôle, sa volonté de leadership et son rayonne-ment à l’échelle locale et européenne. Cela passeranécessairement par l’émergence et le renforcementd’acteurs d’excellence autour des problématiquesde cybersécurité et par la consolidation des colla-borations et partenariats public-privé. Par ailleurs,la sécurité et la souveraineté numériques ne peuventêtre envisagées que dans le cadre d’une approchesystémique, raison pour laquelle des actions d’ac-culturation et d’accompagnement des populationset des entreprises doivent aussi être mises en œuvre.Au-delà des outils et des techniques, les questiond’« hygiène numérique » sont primordiales. Pourprendre un exemple très concret, le meilleur anti-virus ne protège pas des risques liés à l’absence ouau trop faible niveau de protection d’un mot depasse à l’ouverture de la session d’un ordinateur. Lavulnérabilité d’un système peut se situer à des niveaux très divers et un des maillons du systèmepeut provoquer la défaillance de l’ensemble parmanque de précautions et de cloisonnement. Cesont donc les usages quotidiens et l’adhésion del’ensemble des utilisateurs à ces bonnes pratiquesqui doivent être pensés en parallèle de la mise enplace des outils. Avec l’apparition d’environnementsde plus en plus interconnectés (développement decapteurs pour la « smart cities » ou territoires in-telligents, véhicules autonomes, industrie 4.0 …), lecouple « outils et usages » devient de plus en plusimpérieux à mettre en place. De ce fait, il devient
4
LA RÉGIONAUVERGNE-RHÔNE-ALPES,UNE RÉGION PLEINEMENT
IMPLIQUÉE DANS LA CYBERSÉCURITÉ
[1] Source : Baromètre du numérique 2017, Arcep (https://www.arcep.fr/uploads/tx_gspublication/barometre_du_numerique-2017-271117.pdf)[2] Texte européen : Règlement Général pour la Protection des Données[3] Directive européenne sur la Sécurité des Réseaux et de l’Information[4] Commission Nationale Informatique et Libertés[5] Agence Nationale pour la Sécurité des Systèmes d’Information[6] Les partenaires de la Région Auvergne-Rhône-Alpes pour la plateforme Ma Solution Numérique sont : Auvergne-Rhône-Alpes Entreprises, la CCIR Auvergne-Rhône-Alpes, la CRMA Auvergne-Rhône-Alpes, la CPME Auvergne-Rhône-Alpes, le cluster
Digital League, l’ENE (Entreprises & Numérique), le Medef Auvergne-Rhône-Alpes et Minalogic
5
D u plus près du citoyen à la mairiejusqu’aux échelons régionaux, les col-lectivités tiennent une place importanteet sont un enjeu de sécurité à la fois
comme victimes potentielles de cyberattaques etde cybermalveillance, et comme premier interlocuteuret référence quotidienne des citoyens en demandede confiance et d’accompagnement aux usages nu-mériques.
Les collectivités territoriales rassemblent un nombreimportant d’informations et de données sensiblespour la vie privée des citoyens et la marche de laCité. État-civil, données sociales, applications liéesà l’urbanisme et aux services publics : les donnéescollectées, traitées et conservées par les collectivitésquel que soit leur niveau de maturité numériqueont besoin d’être protégées et sont susceptiblesd’être convoitées par des attaquants. La sécurisationdes systèmes d’information des collectivités, soit
de façon autonome soit par mutualisation locale,est cruciale. L’ANSSI produit à cette fin des guideset recommandations qui sont essentiels à suivre.
Mais la sécurité du numérique n’est rien sans lamontée en compétences de l’ensemble des utilisa-teurs et notamment de ceux qui, dans les collectivités,vont manipuler ces données sensibles au quotidienou qui, de par leurs fonctions, sont en situation devulnérabilité car ils ont accès à de nombreusesdonnées sensibles.
Ces personnels, élus ou agents des collectivités,sont donc un public à sensibiliser de façon prioritaire,en prenant en compte leurs spécificités, leurs métiers,leur hétérogénéité. Maires, directeurs généraux deservices, secrétaires de mairies, ils ne sont pas etn’ont pas à devenir des experts en cybersécurité.Mais il faut prendre conscience que la résiliencedes collectivités territoriales en matière de sécuriténumérique passe largement par eux.
Le dispositif Cybermalveillance.gouv.fr, qui portedans ses missions la sensibilisation des utilisateurs,particuliers comme professionnels, travaille avecles associations d’élus et de collectivités pourproduire des contenus de sensibilisation en prenanten compte les problématiques des collectivités ter-ritoriales.
Les collectivités sont également le lieu où le citoyen,confronté à la rapide transition numérique et à ladématérialisation massive des processus adminis-tratifs, va chercher conseil et aide.
Les agents et élus ont un rôle de médiation crucialà l’heure où l’inclusion numérique est une problé-matique d’importance nationale. Si les citoyens nemaîtrisent pas les fondamentaux de la sécurité nu-mérique, ils ne peuvent avoir confiance et s’approprierla transition numérique et les démarches dématé-rialisées.
La plateforme Cybermalveillance.gouv.fr est là pouroutiller dans la sensibilisation et l’accompagnementdes élus, des agents et des citoyens. Veille, assistance,alertes, bonnes pratiques, elle est un outil au servicede ses publics et utile au quotidien à l’écosystèmed’accompagnement des collectivités territorialesvers davantage de sécurité du numérique , et doncde confiance.
indispensable de diffuser largement une culture numérique dans la société française, une meilleurecompréhension des enjeux qui entourent les évo-lutions en cours. Le numérique n’est pas seulementune révolution technique et technologique. C’estavant tout une transformation culturelle et sociétale.Les usages doivent donc être éclairés et discutés auplus tôt. C’est notamment pour cette raison que leConseil régional a initié une exposition itinérantedans les lycées pour sensibiliser aux nouveaux mé-tiers et nouvelles compétences, mettre en lumièrela question de l’identité numérique et des enjeuxde mixité dans ces métiers. 4 000 lycéens et lycéennes ont d’ores et déjà été sensibilisés. L’objectif est de parvenir à 6 000 cette année.
En matière de cybersécurité, le rôle des collectivitéslocales, et plus particulièrement de la Région, estvarié : penser ses propres pratiques, accélérer le déploiement d’infrastructures structurantes commele très haut débit, favoriser la prise de consciencedes entreprises en matière de transformation
numérique, accompagner les citoyens dans la com-préhension des enjeux sociétaux … Les collectivitéslocales doivent être capables d’intégrer de la pros-pective dans leurs politiques, de se doter des com-pétences en interne pour analyser et comprendreles mutations en cours. Elles doivent - en fonctionde leurs compétences respectives - être des tiersde confiance, proposer des lieux de médiation etd’apprentissage numériques, impulser la créationde filière de formation… C’est à ces conditionsqu’elles pourront être protectrices (des données et plus généralement des libertés) et forces de proposition dans les années qui viennent.
Adrienne CharmetChargée de Mission
Relations institutionnelles à
Cybermalveillance.gouv.fr
LES COLLECTIVITÉSSONT UN DES PILIERS CLÉDE LA SÉCURITÉ NUMÉRIQUE
SUR LES TERRITOIRES
Juliette JarryVice-Présidente de
la Région Auvergne-Rhône-Alpes,déléguée aux
infrastructures, àl’économie et aux
usages numériques
6
D ifficile de parler de sécurité numériquepour les territoires sans paraphraser lesnombreuses publications sur ce sujet, àcommencer par les miennes.
Au travers de cet article, volontairement court, j’aisouhaité aborder le sujet de la sécurité numériquesous l’angle « positif » et non sous celui trop souventmis en avant, celui des enjeux, des risques et des ré-glementations uniquement.
Bien évidemment, nous ne le répéterons jamais assez,la sécurité numérique est une nécessité pour le bonfonctionnement des territoires, la sécurité et laconfiance que ses habitants, ses entreprises et asso-ciations leur accorderont. Les efforts à fournir enmatière de sécurité numérique sont incontournables,c’est une certitude. Certains l’ont malheureusementappris à leurs dépends, suite à un incident, d’autressous l’impulsion de la réglementation.
Contrainte ou opportunité ?
La première approche de la sécurité numérique soulèvegénéralement la question des obligations : que faut-ilfaire pour être conforme à la réglementation ? Levolet opportunité n’est malheureusement que trèsrarement évoqué.
Saisissons cette chance formidable de (re)valoriser et(re)dynamiser les territoires au travers, entre autre,du numérique et de ses nombreux services.
Un des facteurs de succès pour cela réside dans l’ac-ceptation, par les habitants des territoires, des nouveauxusages que confère le numérique. La sécurité numériquecontribue fortement à cette acceptation puisqu’elleest une condition indispensable pour construire laconfiance, élément fondamental de tout développementnumérique, toute transformation numérique, quetous, nous vivons quotidiennement.
Mais la sécurité numérique souffre d’un manquecruel de ressources. Peu de formations préparent àces nouveaux usages et à ces nouveaux métiers, ab-solument essentiels au développement d’un numériquede confiance. Toutes les études consacrées à ce sujetannoncent des chiffres vertigineux quant au besoinde « main d’oeuvre » et de « matière grise » dans ledomaine de la sécurité numérique et plus largementcelui du numérique.
Cette situation de pénurie et de marché en tensionest une véritable opportunité de développer des for-mations portant sur la sécurité numérique et pluslargement sur la confiance numérique, procurant ainsiun véritable facteur d’attractivité pour les entrepriseset les étudiants d’un territoire.
Première opportunité : un investissement pour l’avenirqui adresse les problématiques fortes des compétences.
Les formations peuvent se présenter sous différentsformats : longues ou courtes, initiales ou continues,diplômantes ou non, etc. Elles peuvent s’ouvrir à demultiples profils tels que des étudiants ou desemployés. Mais les besoins de formation, d’informationou de sensibilisation comme cela est parfois évoqué,concernent tous les habitants d’un territoire sans ex-ception. Tous utilisent volontairement ou non le nu-mérique, ne serait-ce que pour les démarches admi-nistratives aujourd’hui dématérialisées.
De ce fait, il serait nécessaire d’impliquer les habitants,les entreprises et organisations, dans les réflexionssur la transformation numérique et les besoins en «formation » pour qu’ils deviennent acteurs et non
plus de simples utilisateurs. Aider ces acteurs à opérerleur propre transformation numérique au travers deconseils, de séances d’informations et de kit sur la sé-curité numérique profitera à tous et renforcera l’ac-ceptation de cette transformation sans précédentqu’est le numérique.
Deuxième opportunité : reconnecté les habitants àleur territoire en les impliquant dans les questions denumérique et de sécurité numérique.
Mais, ne nous voilons pas la face, le coût annoncé dela sécurité numérique freine trop souvent les initiativesvoire empêche la prise d’initiative et l’engagementde projet au niveau des territoires. Pourtant, commela qualité, ou comme les 35h (certains s’en souvien-dront), la sécurité numérique est une opportunité derepenser les usages et de se concentrer sur les vraisbesoins pour un territoire. C’est aussi une opportunitéde repenser les organisations et la manière de traiterla question du numérique et ceci, afin de ne pastomber dans le travers de développement de solutionsnumériques coûteuses ou inadaptées.
Repenser la manière de traiter la question du numériqueest fondamental car pour reprendre un slogan desannées 70, « on n’a pas de pétrole, mais on a desidées ». Pour cela, opter pour une approche unifiée,mutualisée et cohérente de la sécurité numériqueenglobant l’ensemble des systèmes numériques etdes données d’un territoire est nécessaire. Cette ap-proche oblige à une meilleure identification desbesoins, une meilleure connaissance de ses systèmeset une meilleure maîtrise de ses fournisseurs. Parconséquent, cette approche « maîtrisée » au justebesoin contribuera à une meilleure maîtrise des coûtsliés au numérique et de fait, libère des budgets pourla sécurité numérique.
S’il est difficile d’avancer un chiffre en termes deretour sur investissement de la sécurité numérique,une approche « maîtrisée » limite les coûts à 1 % dubudget d’une installation voire moins, que ce soit enfonctionnement ou en investissement. C’est en celaaussi que la sécurité numérique est une opportunité.
Troisième opportunité : « La sécurité numériqueabordée comme une source d’économie ». Qui oseraitun tel slogan ? Et pourtant… La sécurité numériqueest aussi un outil au service de l’efficacité.
Traiter le numérique en intégrant dès le départ la di-mension sécurité facilitera la mise en conformité desterritoires aux différentes réglementations portantsur la confiance et la sécurité numérique. Mais, làencore, l’enjeu est bien au-delà de la réglementation.Renforcer la sécurité et la résilience numérique d’unterritoire par quelques efforts (les fameux 1 % du
budget évoqués précédemment) favorisera l’arrivéede nouvelles entreprises, de nouveaux investisseurs,de nouveaux habitants. Personne n’envisagerait au-jourd’hui de s’installer dans une zone n’offrant pasun minimum de sécurité (dans le sens sûreté) où desvols et agressions sont nombreux. Demain, il en serade même pour la sécurité numérique. Personnes nevoudra investir dans un territoire peu sûr. Oui auSmartTerritoire si ce SmartTerritoire est un SafeTerri-toire.
Quatrième opportunité : développer l’attractivité d’unterritoire en créant des territoires de confiance sur leplan numérique, des safeTerritoires.
Si les « grands » territoires appliquent ou peuventappliquer ces quelques propositions, la question sepose pour les plus petits. En particulier pour challengerintelligemment ses fournisseurs en s’appuyant surdes exigences de sécurité numérique, il faut être suf-fisamment important en terme de chiffre d’affairepour ces derniers.
Se parler entre territoires, partager les expériences,mutualiser les ressources et regrouper les effortsconstituent sans nul doute une première réponse ef-ficace. « Agir efficacement ensemble ! ».
L’objectif de ce court article était d’aborder la sécuriténumérique sous un autre angle, celui des opportunitésqu’elle génère au travers du développement de for-mations attractives et bénéfiques à tous, des sourcesd’économies potentielles et surtout du repositionne-ment de l’humain au cœur de la problématique nu-mérique et sécurité numérique. Reconnecter les ha-bitants aux territoires dans un monde sans cessetoujours plus virtuel. Au delà des questions de confianceet de toutes les problématiques de sécurité, parfoiseffrayantes, ne le cachons pas, le numérique susciteune réflexion sociale et sociétale, quant à la place del’humain. Soyons persuadé que l’humain demeure unmaillon fort également sur les questions de sécuriténumérique.
SÉCURITÉ NUMÉRIQUEDES TERRITOIRES :
CONTRAINTE OU OPPORTUNITÉ ?
Stéphane MeynetPrésident
de CERTitudeNUMERIQUE
➤
➤
➤
➤
➤
➤
➤
➤
CYBERCERCLE FORMATION : UN CADRE DE CONFIANCE POUR FORMER À LA SÉCURITÉ NUMÉRIQUE
Dans le prolongement de l’action qu’il mène depuis 2011 pour rendre plus appréhendables la sécurité numérique, sesenjeux, son cadre institutionnel et réglementaire, et ainsi participer à la diffusion d’une culture de sécurité numérique,le CyberCercle a créé des modules de formation qui permettent d’approfondir ces champs dans un cadre privilégié.
CyberCercleFormation aborde les sujets de cybersécurité dans toutes leurs dimensions et en particulier stratégiques,juridiques et réglementaires, de gouvernance et organisationnels.
CyberCercleFormation s’adresse à trois types de publics :
les dirigeants de PME-PMI et les cadres dirigeants non spécialistes de la cybersécurité – directions générales,directions marketing, digital, conformité, service juridique ou ressources humaines – qui souhaitent mieux maîtrisercette nouvelle dimension indispensable aujourd’hui dans leur champ de compétences ;
les RSSI et DSI qui désirent mieux maîtriser les enjeux juridiques et réglementaires liés à leurs champ d’action etresponsabilités ;
les élus et cadres territoriaux qui sont aujourd’hui confrontés à la transformation numérique des territoires et desusages, et qui doivent mieux appréhender la sécurité numérique pour assurer un développement pérenne de leursactions, notamment pour garantir la confiance dans les services numériques qu’ils mettent en œuvre au servicedes citoyens.
Les modules de formation ont volontairement des formats courts, d’une ou de deux journées, afin d’éviter de peser troplourdement sur les agendas.
CyberCercleFormation propose quatre modules de formations :
La cybersécurité au cœur de la transformation numérique des entreprises pour les Top managers de PME/ETI,professions libérales et activités de conseil
La cybersécurité au cœur de la transformation numérique des collectivités pour les élus, directions des servicesgénéraux, directions métiers
La cybersécurité des systèmes industriels pour les Top managers de PME/ETI, directions générales de service decollectivités, directions métiers, acheteurs et juristes
Réglementation, juridique et cybersécurité pour les risques managers, directions de la conformité, Top managers,directions des services généraux
Les formateurs de CyberCercleFormation sont tous des professionnels spécialistes de la cybersécurité et dotés de qualitésde pédagogue qui leur permettent de transmettre leurs savoirs de façon efficiente, en adéquation avec leur auditoire. Desreprésentants des institutions publiques viennent apporter un éclairage sur des sujets définis, permettant auxparticipants un accès à une expertise institutionnelle et un échange personnalisé avec les représentants de l’État en chargede ces questions.
En parallèle des sessions inter-entreprises qui seront mises en place à partir de janvier 2019 à Paris et en région,notamment en Auvergne-Rhône-Alpes, le CyberCercle peut définir et mettre en œuvre des formations et séminairesau sein de votre organisation, en les adaptant aux besoins et aux profils de vos collaborateurs.
cybercercle.com
Réal
isat
ion
impr
essi
on :
S.I.M
. Pub
licit
é -
Phot
o d’
illus
trat
ion
©be
stfo
to77
- S
hutt
erst
ock
20 rue Tronchet - 69006 Lyon • [email protected] • cybercercle.com • @CyberCercle
LE CYBERCERCLE : UN CADRE DE CONFIANCE POUR DÉCRYPTERLES ENJEUX STRATÉGIQUES DE LA SÉCURITÉ NUMÉRIQUE
Créé en 2011, le CyberCercle est un cercle de réflexion, d’expertise et d’échanges sur les questions de laconfiance et de la sécurité numérique, placé sous la dynamique de parlementaires et d’élus locaux, avec lesoutien des institutions de l’Etat en charge de ces questions.
Plate-forme favorisant le dialogue public-privé, il est un cadre de confiance à destination de l’ensembledes acteurs aujourd’hui concernés par le numérique et de ceux qui s’engagent dans des programmes detransformation numérique - entreprises, organismes publics ou collectivités. Il leur permet ainsi de mieuxappréhender les dimensions de sécurité numérique indispensable à leurs activités, de décrypter lespolitiques publiques, françaises et européennes qui les concernent, tout en leur permettant de se créer unréseau de confiance sur ces sujets.
Dans cet objectif, le CyberCercle organise depuis 2012 des petits-déjeuners-débats mensuels à Paris et àpartir du second semestre 2019 en région Auvergne-Rhône-Alpes.
Il a également créé depuis 2013 des journées de rencontres à Paris ou en région, événements fédérateursqui rassemblent les acteurs institutionnels et privés de la cybersécurité et l’écosystème sectoriel ou localconcerné :
les Rencontres Parlementaires de la Cybersécurité #RPCyber dont la 7ème édition se déroulera ennovembre 2019 à Paris ;
des Rencontres territoriales dans le cadre du Tour de France de la Cybersécurité lancé en janvier 2018.En 2019, le #TDFCyber fera ainsi étape à Bourges, Pau, Toulon, Lannion, Dijon, Lyon et Nantes ;
des Rencontres sectorielles, et notamment celles sur le maritime avec les Rencontres ParlementairesCybersécurité & Milieu Maritime et les Rencontres Sécurité Numérique - Sécurité Portuaire (SNSP).Prochain RDV : la 5ème édition des #RPCyberMaritime le 28 juin 2019 à Lannion.
Le CyberCercle édite également une lettre d’information « Cybersécurité et Politiques Publiques » quitraite à chaque numéro d’un sujet déterminé, à travers des articles courts rédigés par des experts etaccessibles à tous. Après les numéros sur le maritime et les collectivités territoriales, les deux prochainsseront dédiés aux objets connectés (2ème trimestre 2019), à la santé (3ème trimestre 2019) et à l’Europe(4ème trimestre). Un numéro spécial dédié au TDFCyber2019 viendra clôturer cette année.
La Lettre Cybersécurité & Politiques Publiques est éditéepar le CyberCercle.
Directrice de la Publication : Bénédicte Pilliet
