Cybersécurité pour les départements, entre traitement de la menace et alignement avec les régulateurs

Compte tenu de l'importance croissante du numérique dans l'exercice de leurs compétences et dans leurs relations avec les usagers, les départements font face à des risques de cybersécurité multiples et complexes.

Compte tenu de l'importance croissante du numérique dans l'exercice de leurs compétences et dans leurs relations avec les usagers, les départements font face à des risques de cybersécurité multiples et complexes :

• Protection des données sensibles : les départements gèrent une grande quantité de données sensibles dont les informations personnelles et financières de bénéficiaires d’allocations et d’agents. La protection de ces données contre les violations de sécurité est essentielle pour garantir confidentialité et vie privée. Les départements doivent se conformer au Règlement général sur la protection des données (RGPD).
• NIS2¹, Directive sur la sécurité des réseaux et de l'information : les députés européens ont voté cette directive visant à renforcer la cybersécurité avec un impact significatif sur les administrations centrales et les collectivités locales. Entrant en vigueur en 2024, elle oblige les départements à s’y préparer avec de nouvelles exigences cybersécurité.
• Loi de programmation militaire (LPM) : concerne les infrastructures critiques telles que les réseaux d'eau, de transport et d'énergie. La LPM contraint à la mise en place de nombreux mécanismes de sécurité, dont l’implémentation d'une gestion des incidents de sécurité coordonnée et maîtrisée.

Par ailleurs, concernant l’intégrité des données, il est crucial de garantir l'intégrité des données stockées et échangées par les départements. Les cyberattaques visant à altérer ces données peuvent entraîner des conséquences graves sur la prise de décision et la confiance du public.

Concernant la disponibilité des services publics fournis par les départements pour répondre aux besoins des citoyens, les attaques par déni de service et d'autres cyberattaques visant à perturber les services publics sont des menaces importantes et de plus en plus fréquentes.

Dans ce contexte, un des premiers sujets à se saisir est la sensibilisation et la formation des agents et des élus aux risques de cybersécurité. Tout le monde en est conscient, mais les l’efficacité des réponses reste à améliorer.

La maîtrise de la gestion des incidents est un autre sujet très important. Un plan bien élaboré permet de minimiser les dommages, éviter les erreurs de communication et accélérer la reprise des opérations.

Enfin, la maîtrise du patrimoine informationnel est vitale mais très rarement sous contrôle. Pour y remédier, l'effort à fournir en termes de processus, d'organisation et d'outillage peut se révéler déterminant.

Face à ces défis, viennent deux sujets de préoccupation : le budget et les ressources.

L'allocation de ressources adéquates pour la cybersécurité est un enjeu majeur. Pour y répondre, l'évaluation du niveau de maturité en matière de cybersécurité est une étape essentielle qui peut être menée rapidement en utilisant le guide d'hygiène de l'ANSSI².

A l’issue de cette autoévaluation, il convient de réaliser, en complément, une analyse des risques numériques et prioriser les actions de sécurité par échelle de criticité.

Les risques en matière de cybersécurité sont multiples et complexes pour les départements qui doivent continuer faire monter leurs équipes en compétences. Les budgets étant sous contraintes, il convient avant tout de maîtriser les risques, d’évaluer son niveau de protection actuel face à la menace et de lancer les chantiers nécessaires…et ceux-ci uniquement.

Sources

1. Network and Information Security.
2. Agence nationale de la sécurité des systèmes d'information.