|
|
(10 versions intermédiaires par 2 utilisateurs non affichées) |
Ligne 1 : |
Ligne 1 : |
| [[Catégorie:Transcriptions]] | | [[Catégorie:Transcriptions]] |
|
| |
|
| '''Titre :''' Cybersécurité et collectivités territoriales
| | Publié [https://www.april.org/cybersecurite-et-collectivites-territoriales-fic-2017 ici] - Février 2017 |
| | |
| '''Intervenants :'''
| |
| | |
| '''Lieu :''' FIC 2017 - Lille - 01netTV
| |
| | |
| '''Date :''' Janvier 2017
| |
| | |
| '''Durée :''' 22 min 38
| |
| | |
| '''[http://www.01net.com/mediaplayer/video/cybersecurite-et-collectivites-territoriales-fic-2017-906661.html Visualiser le plateau de 01netTV]'''
| |
| | |
| '''Licence de la transcription :''' [http://www.gnu.org/licenses/licenses.html#VerbatimCopying Verbatim]
| |
| | |
| '''Statut :''' Transcrit MO
| |
| | |
| ==Description==
| |
| | |
| Gérard de Boisboissel du CREC Saint-Cyr, Laurent Vidal du CREOGN et le général Marc Watin Augouard, fondateur du FIC étaient présents sur le plateau de 01netTV lors de l’édition 2017 du Forum international de la cybersécurité. Ils étaient interviewés par Delphine Sabattier, Directrice des rédactions de 01net, et François Sorel, Rédacteur en chef de 01netTV sur la question de la cybersécurité dans les collectivités territoriales
| |
| | |
| | |
| ==00'==
| |
| | |
| <b>François Sorel :</b> Ce 9ème Forum international de la cybersécurité, ce 9ème FIC est à vivre sur 01Net TV durant ces 48 heures avec Delphine Sabattier, avec nos invités. Et puis je vous rappelle que nous sommes au Grand Palais à Lille, donc si vous êtes dans les parages, n’hésitez pas à venir nous voir. Delphine, on va parler maintenant de cybersécurité, de collectivités territoriales et peut-être même, aussi, revenir sur la genèse du FIC.
| |
| | |
| <b>Delphine Sabattier :</b> Oui. Parce qu’on a un invité prestige autour de la table. Je commence par vous présenter colonel Laurent Vidal, vous êtes directeur adjoint du Centre de recherche de l’École des officiers de la Gendarmerie nationale.
| |
| | |
| <b>Laurent Vidal :</b> Bonjour.
| |
| | |
| <b>Delphine Sabattier :</b> Bonjour. À côté de vous Gérard de Boisboissel. Vous, vous êtes ingénieur au Centre de Recherche des écoles de Saint-Cyr Coëtquidan.
| |
| | |
| <b>Gérard de Boisboissel:</b> Tout à fait. Bonjour.
| |
| | |
| <b>Delphine Sabattier :</b> Bonjour. Et notre invité spécial, le général Marc Watin Augouard. Alors pourquoi je dis spécial, vous êtes général d’armée, mais surtout vous êtes le fondateur du FIC, donc l’endroit où on se trouve actuellement. Racontez-nous un petit peu comment est né ce Forum international de la cybercriminalité au départ et cybersécurité aujourd’hui.
| |
| | |
| <b>Marc Watin Augouard :</b> L’histoire du FIC est déjà ancienne, 2007. À l’époque l’idée était de décloisonner. J’avais travaillé avec Thierry Breton qui était président de France Télécoms sur un groupe de travail et, affecté dans le Nord à Lille, je me suis dit il faut impérativement mettre en application les conclusions de nos travaux. Et donc j’ai créé ce forum pour décloisonner : que la France parle avec les pays voisins ; que le public parle avec le privé ; que les entreprises parlent avec les universités et centres de recherche ; que la police, la gendarmerie parlent avec les autres acteurs ; que l’État parle avec les collectivités territoriales ; que ce soit un centre d’échanges, car nous savons bien que la cybersécurité, la sécurité de notre système internet, de nos échanges, du Web, ça passe par la coopération. Personne n’a la clef, n’a la réponse à la question, mais nous l’avons tous ensemble. Or, ce qui est intéressant dans le FIC, c’est de rassembler des personnes qui connaissent le sujet, mais chacune dans son domaine. Voilà, c’est une approche collégiale, une approche partenariale.
| |
| | |
| <b>Delphine Sabattier :</b> Il y a des choses qui ont changé ? Parce que là c’est la 9ème édition. Je le disais, au départ ça s’appelait le Forum de la cybercriminalité, aujourd’hui c’est la cybersécurité. Qu’est-ce qui a changé ? Qu’est-ce qui a évolué ?Le nombre de participants déjà, peut-être, parce que c’est plutôt un beau succès.
| |
| | |
| <b>François Sorel :</b> Le premier FIC vous aviez quoi ? 500 intervenants au premier FIC, c’est ça ?
| |
| | |
| <b>Marc Watin Augouard :</b> 250 intervenants, à peu près.
| |
| | |
| <b>François Sorel :</b> D’accord, 250.
| |
| | |
| <b>Marc Watin Augouard :</b> Oui, 250.
| |
| | |
| <b>François Sorel :</b> Et aujourd’hui plusieurs milliers ?
| |
| | |
| <b>Marc Watin Augouard :</b> Le premier FiC, le pré FIC, l numéro 0, c’était à peu près 250 personnes. Le premier vrai FIC c’était 500. Et nous fûmes 500 au commencement et nous fûmes un somme maintenant de 9 000 ou 8 000 en arrivant au port ! Voilà
| |
| | |
| <b>François Sorel :</b> Vous devez être fier de la croissance exponentielle de ce FIC. Vous devez en être fier mon général ?
| |
| | |
| <b>Marc Watin Augouard :</b> Oui. C’est dû à deux choses. La première, bien évidemment, mais je ne le dirai pas, à la qualité de ce salon. La deuxième c’est parce que le problème de la cybersécurité est de plus en plus un problème que chacun prend à son compte, s’approprie, que ce soit les entreprises, que ce soit les particuliers, que ce soit l’État. Ici vous avez toutes ces entités représentées et chaque année on est de plus en plus conscients de la nécessité de faire quelque chose. Et vous voyez, on est dans une année électorale, la question sera « est-ce qu’on sera une France numérique » ou on ne sera pas ! C’est ça le vrai enjeu des cinq ans à venir, mais je ne fais pas de politique !
| |
| | |
| <b>François Sorel :</b> Très bien.
| |
| | |
| <b>Delphine Sabattier :</b> C’est vrai que c’est, aujourd’hui, la question de toutes les entreprises. Peut-être qu’avant c’était la question des entreprises d’informatique, aujourd’hui ça touche vraiment tous les secteurs et on va parler, aujourd’hui, d’une cible qui est de plus en plus fragile.
| |
| | |
| <b>François Sorel :</b> Oui, et sensible.
| |
| | |
| <b>Delphine Sabattier :</b> Ce sont les collectivités territoriales qui manipulent, finalement, énormément de données des citoyens et qui ne sont pas forcément les plus protégées ou les mieux armées.
| |
| | |
| <b>Marc Watin Augouard :</b> Les collectivités territoriales, c’est ce dont on va parler ce matin, tout à l’heure, c’est que, aujourd’hui, elles sont témoins de notre vie quotidienne. Prenez une commune, un département. La commune c’est l’état civil ; c’est la cadastre ; c’est la bibliothèque municipale qui est maintenant numérisée ; ce sont souvent des dispensaires ; c’est un service social ; ce sont des établissements pour les personnes âgées dépendantes ; ce sont les transports scolaires ; ce sont les transports publics. Ce sont toutes sortes d’activité qui vont glaner à un moment donné, collecter vos données et notamment vos données à caractère personnel. Et vous voyez bien que si on arrive à puiser dans cette richesse, dans ce réservoir, toutes ces données, eh bien on peut profiler les personnes. Il y a donc un enjeu majeur, parce que les communes sont souvent de petite taille, elles n’ont pas forcément de RSSI [responsable de la sécurité des systèmes d’information, NdT], elles n’ont pas forcément de DPO [<em>Data Protection Office</em>, NdT], c’est-à-dire, en fait, de responsable de protection des données. Et donc, aujourd’hui, il faut véritablement leur dire : « Attention, vous êtes directement concernées, ça n’arrive pas qu’aux autres », c’est par des petites communes qu’on peut avoir des soucis importants par rapport aux données à caractère personnel. Et vous voyez, je pense que les communes en ont pris conscience, hélas, en début janvier 2015, après les attentats à Paris, eh bien 19 000 communes ont vu leur site défacé, c’est-à-dire modifié.
| |
| | |
| <b>Delphine Sabattier :</b> C’est-à-dire la <em>home</em> du site était différente ? Il y avait des messages de propagande sur ces sites ?
| |
| | |
| <b>Marc Watin Augouard :</b> La propagande de Daech. Et là, ils ont pris conscience du fait que leur système était attaquable. Et ce sont parfois des petites associations communales ou des entités qui n’avaient pas une importance considérable qui ont vu leur site défacé.
| |
| | |
| <b>François Sorel :</b> Très bien. Gérard de Boisboissel, quels types de données peut stocker et collecter, comme ça, les collectivités territoriales, la mairie ?
| |
| | |
| <b>Gérard de Boisboissel:</b> Eh bien écoutez, je pense que le général les a déjà citées. Mais, grosso modo, c’est évidemment tout ce qui est les données qu’une mairie gère en priorité, donc les états civils qui définissent pour chaque personne un certain nombre d’informations de sa vie privée ; le recensement citoyen ; l’organisation aussi des élections. Tout ce qui est enseignement : les écoles primaires, les cantines. L’entretien et les protections de la commune aussi, ça va des travaux de voirie, mais aussi le cadastre, les permis de construire. L’aide sociale dont le général parlait. Le centre communal d’action sociale, avec tout ce qui est gestion du RMI, des logements sociaux.
| |
| | |
| <b>Delphine Sabattier :</b> Et tout est numérisé aujourd’hui ?
| |
| | |
| <b>Gérard de Boisboissel:</b> Énormément de ces données sont numérisées ou numérisables ou, en tout cas, stockées sur ordinateur donc sous une forme numérique et, effectivement, l’ouverture de la transformation numérique fait qu’il y a des incitations pour que ces données, ou certaines de ces données, puissent être ouvertes. Or les collectivités ont le devoir de préserver ces données parce qu’elles sont sensibles et, dans des mains mal intentionnés, elles pourraient avoir une valeur, une valeur qui soit même monnayable et qui puisse même se faire rançonner à travers certaines techniques d’attaque. On en parlera peut-être plus tard, le <em>ransomware</em>.
| |
| | |
| <b>François Sorel :</b> C’est déjà arrivé ou pas ?
| |
| | |
| <b>Gérard de Boisboissel:</b> Pour des mairies, oui, tout à fait. En tout cas chez les individus c’est quelque chose qui arrive maintenant de plus en plus fréquemment, chez vous. Vous avez certaines méthodes de ce qu’on appelle le <em>ransomware</em> : vos donnés sont chiffrées et si vous ne payez pas une rançon, vos données peuvent être détruites à distance. C’est quelque chose qui va se généraliser dans les administrations et les mairies doivent vraiment faire très attention à ce genre de choses, tout comme les hôpitaux.
| |
| | |
| <b>François Sorel :</b> D’autant qu’elles sont responsables de ces données. Ce sont elles qui sont responsables ?
| |
| | |
| <b>Gérard de Boisboissel:</b> Absolument le maire, la mairie, notamment le maire est responsable des données de sa collectivité et il a d’abord un devoir de, à la fois les préserver et les sécuriser, et c’est une responsabilité assez lourde qu’il doit endosser. Et pour ça, il doit se donner des moyens pour pouvoir les protéger.
| |
| | |
| <b>François Sorel :</b> Colonel.
| |
| | |
| <b>Laurent Vidal :</b> En fait, les maires doivent considérer leur commune un petit peu comme un chef d’entreprise considère son outil de travail. Il conserve des données qui concernent non pas ses clients mais ses concitoyens, qui vont toucher des sphères très profondes de leur intimité – le général parlait des parents qui sont dans un établissement de santé ; il parle des enfants avec tout ce que ça implique pour la cantine, avec les particularités pour l’alimentation, liées parfois à la religion – toutes ces données sont particulièrement sensibles. Et, comme un bon chef d’entreprise, le maire doit finalement prendre des mesures pour interdire ou éviter que quelqu’un d’autre se les approprie, parce que ces données ont toutes une valeur, elles peuvent être utilisées à des choses très diverses
| |
| | |
| <b>François Sorel :</b> Est-ce que tous les maires sont sensibilisés à cette importance et ont conscience de la gravité de toutes ces données et de l’importance de ces données ?
| |
| | |
| <b>Laurent Vidal :</b> La sensibilisation, ça fait partie du travail notamment de la gendarmerie mais pas que. Je pense qu’il y a une prise de conscience qui se fait progressivement. Lors d’un congrès qui avait été organisé à Vannes conjointement par le Centre de Recherche de Coëtquidan, un professionnel nous expliquait qu’un maire avait découvert, grâce à l’intervention d’un professionnel, que le réseau wi-fi ouvert au public qui alimentait la mairie, en fait, était une porte ouverte à l’ensemble des données parce qu’il n’y avait absolument aucun pare-feu pour mettre à l’abri les données. Il le disait en termes de plaisanterie, mais le maire a vraiment réagi lorsqu’il a compris que finalement cette salle, qu’il prêtait également à son groupe d’opposition, permettait à ce groupe d’accéder à l’ensemble des données de la mairie. Voilà ! Donc il y a une prise de conscience qui doit se faire. Je pense qu’elle est en cours.
| |
| | |
| <b>Delphine Sabattier :</b> En cours ? C’est -à-dire vous avez un état des lieux ? Vous avez une idée, à peu près, du pourcentage de communes qui ont conscience et qui sécurisent aujourd’hui leur site internet ?
| |
| | |
| <b>Laurent Vidal :</b> L’actualité nous aide, malheureusement, parce que le général parlait des cas de défaçage qui ont fait suite aux attentats. Mais on a également évoqué, dans la presse, le cas de ces hôpitaux américains qui se sont faits rançonner par le cryptage de leurs données. Ce sont des informations qui sont publiques et que les maires entendent comme tous nos concitoyens. Et je pense que, petit à petit, ils prennent véritablement conscience de leurs responsabilités vis-à-vis de l’ensemble de ces données et ils commencent à réfléchir vraiment à la manière de s’organiser. Je pense qu’ils ont compris que de la même manière qu’on ne confie à son voisin le tractopelle de la commune pour faire des travaux de voirie parce que c’est quelqu’un de sympathique, eh bien c’est fini l’époque où on peut confier la sécurité informatique de la mairie à l’amie de la secrétaire de mairie parce qu’elle bidouille bien son ordinateur,
| |
| | |
| <b>François Sorel :</b> Ou parce qu’il s’y connaît en wi-fi !
| |
| | |
| <b>Laurent Vidal :</b> Exactement.
| |
| | |
| <b>François Sorel :</b> Donc il faut un DSI [Directeur des systèmes d’information, NdT] là ?
| |
| | |
| <b>Laurent Vidal :</b> Eh bien ça peut être une solution, et si la mairie n’a pas les moyens pour engager en propre un DSI eh bien elle peut, peut-être, se regrouper avec d’autres communes pour payer ce professionnel et répartir, en fait, le service de ce professionnel entre diverses communes et collectivités territoriales. C’est quelque chose qui existe déjà pour les polices municipales, par exemple. Ça peut être tout à fait envisageable pour ce type de professionnel. Je pense qu’il y a vraiment un marché pour ce genre de choses et des possibilités financières, même pour les communes les plus petites.
| |
| | |
| ==11’ 28==
| |
| | |
| <b>Delphine Sabattier :</b>
| |