Audit cybersécurité, mode d’emploi

Parmi les basiques de l’offre cybersécurité proposée par Seine-et-Yvelines Numérique à ses adhérents, l’audit est une étape fondatrice. Focus sur la démarche avec le témoignage de la ville de Poissy.

Selon le Panorama de la cyber menace 2022 édité par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les collectivités locales constituent la deuxième catégorie de victimes la plus affectée par la cybercriminalité. La prévention est donc plus que jamais essentielle, et seules celles qui auront anticipé s’en relèveront en limitant les dommages.

En 2022, le syndicat a ainsi formalisé pour ses adhérents une offre de services dédiée à la cybersécurité, qui a déjà été présentée à près de 80 collectivités et convaincu 16 d’entre elles.

La ville de Poissy fait partie des communes qui ont décidé d’agir en commandant un audit dit de maturité, destiné à évaluer l’exposition cyber de la collectivité. « Nous étions conscients qu’il fallait requestionner notre système de sécurité et avons saisi l’opportunité offerte par l’ANSSI dans le cadre du Plan France Relance sous la forme d’un parcours cybersécurité subventionné, car nous n’aurions pas pu financer l’audit en propre sur l’année 2022. Nous avons ensuite organisé une mise en concurrence de prestataires, dans laquelle Seine-et-Yvelines Numérique a fait la différence » commente Aline Habert, Directrice de la Stratégie numérique. Mené par ON-X, le cabinet sélectionné pour l’occasion par le syndicat, la démarche a débouché sur une feuille de route comprenant une quarantaine d’actions à mener d’ici 2026, parmi lesquelles la ville a déjà mis en place les plus simples :  sensibilisation, campagnes de faux e-mails malveillants ou encore cloisonnement des réseaux.

« Nous voulions aussi par ce biais réussir à nous situer par rapport aux autres collectivités et évaluer notre capacité de réaction en cas de cyberattaque. L’audit nous a rassurés en nous prouvant que nous étions plutôt performants, avec des équipes informatiques très en éveil et une maturité assez incroyable des collaborateurs municipaux, qui font globalement part d’une grande cyber-responsabilité. A nous d’entretenir cette vigilance en continuant la sensibilisation et en repensant ce qui doit l’être dans l’organisation » ajoute Stéphanie Revel, DGA Administration générale et modernisation. Pour toutes les collectivités, il est désormais crucial de passer la vitesse supérieure en faisant du risque cyber un élément constitutif du Plan communal de sauvegarde (PCS). « En effet, le sujet n’est pas seulement technique. Les répercussions en cas d’attaque vont bien au-delà de l’informatique, puisqu’elles mettent en péril la continuité du service public et la gestion de la collectivité touchée. C’est donc bien au plus haut niveau que les décisions doivent se prendre, et j’ajouterais qu’il est temps de commencer à traduire en termes budgétaires les investissements nécessaires, en les programmant sur plusieurs années » ajoute Denis Larghero.

Sur tous ces points et quel que soit le degré de maturité cyber de la collectivité, Seine-et- Yvelines Numérique est présent aux côtés de ses adhérents. « Bien au-delà de la sélection et de l’intervention du cabinet ON-X, le syndicat a suivi le projet de A à Z » précise Aline Habert. « Nous avons particulièrement apprécié la proximité dont a fait preuve l’équipe, son écoute active ainsi que sa capacité à vulgariser le propos pour être compris de tous. Une telle qualité d’échange est rare aujourd’hui » se félicite de son côté Stéphanie Revel.

Au-delà de ce premier audit, la préconisation de Seine-et-Yvelines Numérique dans la durée est de répéter l’opération régulièrement. « Tout comme la clé d’une vie en bonne santé est la prévention, pour les systèmes d’information, un audit annuel est conseillé afin de mettre en lumière les vulnérabilités. Les risques évoluent et les systèmes aussi, il faut en tenir compte et ne pas se reposer sur ses lauriers » indique Éric Glace, Directeur Cybersécurité, avant de conclure « la maturité des collectivités doit encore évoluer. Elles vont grandir, mûrir et atteindre l’âge adulte en matière de prévention cyber, mais pour cela il leur faut suivre un parcours du type de celui que Seine-et-Yvelines Numérique propose de baliser pour elles ».