5 leviers pour accélérer la cybersécurité des administrations publiques

Des démarches de sécurisation déjà initiées en France

La France s’est organisée pour mieux protéger ses données sensibles, notamment au travers de différents textes cadres comme le Règlement général de sécurité (RGS), la PSSI de l’Etat (PSSI-E) et la Loi de programmation militaire (LPM).

Les administrations centrales dont les ministères et les grands opérateurs d’Etat ont ainsi pu mettre en œuvre des démarches d’homologation, visant à réduire les cyber-risques relatifs aux téléservices.

Cependant les collectivités territoriales et établissements de santé peuvent encore éprouver des difficultés pour mettre en œuvre de telles démarches en raison d’un manque structurel de financements, d’une dette de sécurité parfois conséquente et d’une faible maîtrise des frontières de leur écosystème informatique dans un contexte de plus grande ouverture au citoyen. Pour combler ce retard, plusieurs initiatives ont déjà été lancées au niveau national. Le Plan France Relance a permis de débloquer 136 millions d’euros pour renforcer la sécurité des services publics. Par ailleurs, la mise en œuvre annoncée de 1500 cyberpatrouilleurs augmentera les capacités de lutte contre la cybercriminalité à l’échelle nationale. Enfin, les initiatives de cybercampus conduites dans plusieurs régions en France visent à rassembler des acteurs publics et privés, pour fédérer des communautés de la cybersécurité et développer des synergies entre ces différents acteurs.

Les leviers pour sécuriser davantage

Il reste cependant des défis à relever. Les administrations centrales, les territoires et les opérateurs publics sont dans un tournant : engagés dans la transformation numérique, ils accroissent la surface d’exposition au moment même où les cyberattaques se multiplient et tendent à être de plus en plus sophistiquées. Plusieurs axes de travail peuvent être déployés à moyen et long terme pour parer ces difficultés :

• La formation et la production d’experts en cybersécurité devient critique pour faire face au déficit observé dans l’écosystème et plus spécifiquement sur le marché du recrutement en France.
• Un plan d’envergure pour sensibiliser et former les futurs décisionnaires à la cybersécurité, devra être lancé. Selon l’enquête annuelle d’EY en France sur la cybersécurité, environ 39 % des répondants en 2021 s’attendraient à subir une attaque majeure qui aurait pourtant pu être évitée grâce à de meilleurs investissements et une plus grande mobilisation et sensibilisation.
• L’harmonisation des pratiques et le renforcement de la collaboration intra-européenne en la matière de cybersécurité devra se renforcer sous l’égide des agences étatiques et de l’ENISA. Cela permettra de se doter d’une véritable force européenne apte à répondre plus rapidement aux menaces d’ampleur. L’adoption du règlement européen Cybersecurity Act permettra également de fluidifier les relations entre les organisations publiques et privées concourant à la cybersécurité au sein des Etats membres.
• Par ailleurs, dans un contexte de dématérialisation des procédures, la sécurité des téléservices devra être renforcée via une gestion accrue de l’identité des usagers et de leurs droits d’accès. Déjà le dispositif FranceConnect, précurseur, s’inscrit dans la sécurisation de l’accès des citoyens à plusieurs téléservices.  Il sera également nécessaire de déployer à large échelle une surveillance des téléservices et applications à disposition des citoyens par des centres opérationnels de sécurité, qui permettront de détecter les cyberattaques. En complément, il sera nécessaire de disposer de capacité en réponse à incident pour mener les investigations numériques, comprendre les impacts d’une attaque et rétablir les services dans des conditions nominales.
• Le recours aux certifications individuelles en cybersécurité au niveau des organismes publics permettra enfin de renforcer la sécurisation des systèmes d’information. Rappelons que le Règlement général sur la protection des données a déjà permis de définir les règles en matière de sécurité applicables au niveau des membres de l’Union européenne. De même en France, l’ANSSI a encadré notamment au travers de référentiels et de qualification les services Cloud (SecNum Cloud), les activités d’audit de sécurité (PASSI), de détection (PDIS), de réactions à incident (PRIS). Il est à noter que l’Allemagne a déjà mis en œuvre depuis 2020 une démarche de certification pour les services de type Cloud ou d’hébergement à destination de plusieurs dizaines de ministères fédéraux, en se basant sur le standard ISO 27001.

Ces différents chantiers mobiliseront au quotidien et sur la durée les spécialistes de la cybersécurité, dans un contexte de pénurie réelle des ressources. Il sera alors plus que nécessaire de favoriser les vocations en cybersécurité et de s’assurer du soutien des initiatives au bon niveau de décision pour sécuriser le déploiement des téléservices à destination des citoyens et des infrastructures informatiques.

1. Enquête annuelle sur la cybersécurité 2021, EY
2. Panorama de la menace informatique 2021, ANSSI, 9 mars 2022

La sécurité des données au cœur du RGPD

Le Règlement général sur la protection des Données (« RGPD ») ne consacre qu’un seul article, sur quatre-vingt-dix-neuf, aux aspects de sécurité et de confidentialité des traitements, ce qui semble faire de ce sujet le parent pauvre du RGPD. Force est de constater que la sécurité est omniprésente, lorsqu’on s’intéresse à l’opérationnalisation des obligations prévues par ce texte.

L’article 32 rappelle que le responsable du traitement et le sous-traitant sont tenus de mettre en place les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque du traitement. Il énonce plusieurs bonnes pratiques de sécurité en se référant aux techniques de pseudonymisation et de chiffrement des données ; aux objectifs de confidentialité, d'intégrité, de disponibilité et de résilience des systèmes et insiste sur les bénéfices des approches de certification et de code de conduite. Les deux articles suivants traitent des situations et modalités de notification des violations de données à l’autorité de protection des données et, en cas de haut risque, aux personnes concernées.

Pourtant, lorsque l’on parcourt le RGPD, les sujets de sécurité sont omniprésents. Ainsi, les études d’impact doivent documenter « les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel » pour atténuer les risques pour les droits et libertés des personnes physiques. Le registre des traitements doit comporter « dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32 ». Le contrat avec le sous-traitant impose de détailler les mesures de sécurité, et les principes de protection des données dès la conception. Par défaut, ils obligent le responsable du traitement à mettre en œuvre des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation et la minimisation des données. Il impose aussi de s’assurer que les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques, donc une gestion rigoureuse des accès.

Enfin, il est facile de démontrer que la conformité à l’ensemble des principes cardinaux du RGPD, principes de nature juridique, contribuent de manière significative à la sécurité du traitement : le principe de minimisation permet de limiter les données personnelles collectées et de restreindre les accès aux données, le principe de limitation des durées de conservation restreint la durée d’exposition des données à des tentatives malveillantes, l’obligation de disposer d’une base légale pour traiter des données et le principe de finalité limitent aussi de manière significative l’utilisation des données, puisqu’un traitement est conditionné par un objectif assorti d’une base légale.