« Cybersécurité et collectivités territoriales - FIC 2017 » : différence entre les versions
(Page créée avec « Catégorie:Transcriptions '''Titre :''' Cybersécurité et collectivités territoriales '''Intervenants :''' '''Lieu :''' FIC 2017 - Lille - 01netTV '''Date :'''... ») |
(→11’ 28) |
||
Ligne 108 : | Ligne 108 : | ||
==11’ 28== | ==11’ 28== | ||
<b>Delphine Sabattier :</b> | <b>Delphine Sabattier :</b> Et ça, Gérard de Boisboissel, vous avez des conseils à donner pour les aider à mieux se protéger quand on sait qu’il y a des communes ou même des collectivités territoriales qui ont des problèmes de budget ? Et le budget de la sécurité peut s’avérer très élevé. | ||
<b>Gérard de Boisboissel :</b> Effectivement. Je pense que la taille de la commune c’est quand même un facteur majeur dans l’organisation de cette réponse aux menaces. Je crois que les grandes communes ont les moyens de pouvoir avoir une politique précise et des moyens à disposition, humains notamment, et techniques pour résoudre ces questions. Les petites communes, elles, doivent se regrouper. Ceci étant, je souhaiterais ajouter qu’il y a tout de même dans chaque commune, quelle que soit la taille, une politique de sécurité à avoir. Donc c’est à la fois une sensibilisation, une formation des personnes. C’est une politique de sécurité d’accès aux données : tout le monde ne peut pas accéder aux données donc il faut définir une politique. Une politique, aussi, de stockage des données, comment stocker les données, où, selon quels critères d’accès, également. Et puis se faire aider et se faire aider par des audits extérieurs, si les compétences ne sont pas dans la commune, ce qui est souvent le cas dans les petites communes, eh bien il faut aller les chercher à l’extérieur et pourquoi pas des partenariats externes avec des personnes qui sont expertes dans le monde privé. Et puis on peut aller jusqu’aux tests, en finale, effectuer des tests pour voir si les systèmes sont bien protégés. | |||
<b>François Sorel :</b> 50 % des communes ont un site qui n’est pas à jour ? 50 % des communes ! C’est impressionnant ! | |||
<b>Gérard de Boisboissel :</b> Beaucoup de communes ont délégué ce fameux site à une connaissance qui leur a fait les choses de façon amicale et ça, dans notre monde technologique actuel, ça n’est plus un jeu, c’est une expertise qui est demandée. | |||
<b>François Sorel :</b> Oui, évidemment ! | |||
<b>Delphine Sabattier :</b> Des outils qui ne sont pas tenus à jour, aussi, ça c’est un principe même dans le grand public et il n’y a pas de raison que ça ne se retrouve pas au niveau local. | |||
<b>Gérard de Boisboissel :</b> Bien sûr. | |||
<b>Laurent Vidal :</b> Le rôle des collaborateurs est également important. Je reprends l’exemple d’une entreprise. Dans une entreprise on va développer un esprit de responsabilité, de sécurité, une hygiène informatique. Le directeur de l’ANSSI [Agence nationale de la sécurité des systèmes d’information, NdT] c’est quelque chose qu’il essaye de promouvoir, cette hygiène informatique : bien se comporter de manière générale lorsqu’on agit dans l’espace numérique, eh bien, encore une fois, c’est vrai dans l’entreprise, c’est également vrai dans la mairie. Et les employés de mairie, quels qu’ils soient, les collaborateurs du maire, doivent également développer cette hygiène de vie informatique. Et, j’allais dire, ça concerne à la fois leurs activités professionnelles, mais également leur vie privée puisque, sur les réseaux sociaux, si on est indiscret, si on commente, si on explique des choses, eh bien ma foi on ouvre la porte à des gens qui savent trouver l’information puisqu’elle est disponible quelque part dans le nuage. | |||
<b>François Sorel :</b> Oui. Bien sûr. Il y a un travail de sensibilisation qui est énorme. D’autant que, à partir de mai 2018, il y aura donc un nouveau règlement européen. On parlait tout à l’heure de responsabilité, mais cette responsabilité va être accrue, alourdie pour ces collectivités. Mon général, qu’est-ce qui va se passer à partir de mai prochain, donc mai 2018 ? | |||
<b>Marc Watin Augouard :</b> oui, mai 2018 ! | |||
<b>François Sorel :</b> Mai 2018, ne stressons pas trop on a encore un peu plus d’un an. C’est vrai que la responsabilité va être encore accrue pour les collectivités. | |||
<b>Marc Watin Augouard :</b> Bien sûr leur responsabilité va être accrue. Il s’agit d’un règlement européen, et je rappelle qu’un règlement ce n’est pas une directive. La directive, on est obligé de la transposer : le Parlement va voter une loi de transposition. Le règlement s’impose automatiquement en loi française. | |||
<b>François Sorel :</b> Voilà ! Et on ne discute pas. | |||
<b>Marc Watin Augouard :</b> Simplement il s’agit de codifier, de mettre des articles dans le code qui convient. Ce règlement est autrement plus contraignant en même temps qu’il est aussi, je dirais, unitaire que possible, sachant qu’il a quand même fallu quatre ans pour arriver à sa négociation. Quatre ans c’est important parce que ça montre que tous les pays d’Europe n’ont pas forcément la même maturité en matière de protection des données. Mais il est là, il arrive, il sera là, présent, obligatoire, le 25 mai 2018. Ça implique pour tous les détenteurs de données à caractère personnel, de prendre des mesures de précaution de protection exceptionnelle pourquoi ? Parce que les contraintes et les sanctions seront autrement plus fortes que celles qui existent aujourd’hui. On va renforcer les pouvoirs des CNIL européennes, le fameux G29, le groupe des CNIL européennes va avoir plus de rôle à jouer <em>a posteriori</em> pour vérifier que les détenteurs de données à caractère personnel les ont protégées. Mais en même temps, c’est un règlement protecteur pour les individus, notamment le droit à la portabilité, c’est-à-dire, en fait, le droit de récupérer ses données, de les transférer et donc on est vraiment dans un changement complet de portage qui va concerner, bien sûr, les individus, les citoyens, les entreprises, l’État et aussi les collectivités territoriales | |||
<b>Delphine Sabattier :</b> Mais c’est plutôt une bonne nouvelle parce que, du coup, elles vont être obligées de prendre en compte cette problématique de la sécurité. C’est une bonne nouvelle ! C’est-à-dire qu’elles vont davantage vous écouter, vous entendre sur la nécessité de protéger les données :avec ce règlement on n’a plus le choix. Ce n’est plus une prévention, c’est vraiment une obligation. | |||
<b>Marc Watin Augouard :</b> Il y aura des obligations extrêmement strictes et vous voyez que le temps qui nous sépare de l’échéance est un temps court. | |||
<b>Delphine Sabattier :</b> Très court ! | |||
<b>Marc Watin Augouard :</b> Qui oblige tous les acteurs à vraiment prendre conscience de leurs responsabilités. Et là, le mot est très fort, c’est le mot « responsabilité ». Jusqu’à maintenant on a eu des traitements de données à caractère personnel qui étaient respectueux de la loi, mais qui n’étaient pas, sans doute, aussi protégés que ce qu’ils devront être demain. | |||
<b>François Sorel :</b> Gérard de Boisboissel, c’est bien gentil tout ça, mais ça va coûter beaucoup d’argent. Qui va payer ? | |||
<b>Gérard de Boisboissel :</b> Eh bien c’est probablement la mutualisation des efforts et des moyens qui permettra de payer pour, là encore, les communes qui ont peu de moyens. C’est à peu près la seule solution. | |||
<b>François Sorel :</b>Il va y avoir des fonds ? Il y aura des aides ? Comment ça va se passer ? | |||
<b>Gérard de Boisboissel :</b> Il y a quelques aides de l’État, mais dans l’accompagnement des solutions technologiques plus que dans les ressources humaines à trouver. | |||
<b>Delphine Sabattier :</b> En termes de formation par exemple. Vous pourriez proposer des formations ? | |||
<b>Gérard de Boisboissel :</b> Alors des formations, elles seront faites au niveau intercommunal voire régional et mises à disposition des collectivités. Je sais que sur la région Bretagne c’est une réflexion qui a commencé à être menée pour l’ensemble des communes : quelles solutions apporter d’aide à ces communes qui se posent ce genre de question. Je me permettrai d’ajouter quand même un point qu’on a omis. Là on est petit peu dans les responsabilités, les contraintes, les risques, mais il y a aussi des opportunités pour les collectivités territoriales à suivre cette transformation numérique. D’ailleurs, ne pas la suivre serait pour elles un risque de fracture numérique, fracture numérique qui fait qu’il y aurait celles qui auraient les moyens de pouvoir suivre la transformation numérique et celles qui ne le pourraient pas. Or, on peut rapprocher au niveau social, les individus des collectivités avec, justement, l’administration de ces collectivités par un accès plus facile aux données. Donc c’est aussi quelque chose qui doit encourager les collectivités territoriales à prendre à bras le corps cette question, se donner les moyens de la sécurité, mais les moyens de la transformation qui accompagneront les nouveaux usages qui en découleront. | |||
<b>Delphine Sabattier :</b> Il faut avoir accès aussi au réseau. C’est toute la question des infrastructures. Pour les collectivités territoriales, c’est un enjeu très important aujourd’hui. Et là, il y a des aides de l’État qui sont prévues, mais c’est très long. | |||
<b>Gérard de Boisboissel :</b> Voilà. Et là, effectivement, je laisserai peut-être le colonel compléter, mais il y a des choses que les communes ne peuvent pas faire par elles-mêmes. La diffusion du réseau de fibre optique sur le territoire ça c’est quelque chose qui est vu à l’échelon de la région. En Bretagne il y a un projet qui s’appelle Bretagne Très Haut Débit qui vise, pour 2030, à connecter toute collectivité avec de la fibre optique. | |||
<b>François Sorel :</b> Donc 2030, toutes les collectivités françaises seront connectées ? | |||
<b>Gérard de Boisboissel :</b> Non, non, en Bretagne. | |||
<b>François Sorel :</b> En Bretagne. | |||
<b>Gérard de Boisboissel :</b> En Bretagne, le projet Bretagne Très Haut Débit. | |||
<b>François Sorel :</b> Oui, parce que c’est bien beau de parler de tout ça, mais c’est vrai qu’il y a encore énormément de petits villages, même de petits hameaux qui n’ont pas de connexion très haut débit qui parfois, même, sont dans des zones où il n’y a rien ou pas grand-chose. Donc c’est vrai qu’il y a du travail aussi à ce niveau-là. | |||
<b>Gérard de Boisboissel :</b> Et justement je parlais d’opportunité, pour éviter que ces territoires ne rentrent dans une sorte de situation de deuxième zone, leur donner un accès à la fibre optique, c’est le pari que fait la région Bretagne pour que ces villages redeviennent attractifs, en tout cas sur le plan des usages numériques de demain. Et les grandes villes c’est une solution. Le village connecté, à la campagne, c’est peut-être ce qui va leur permettre de survivre dans les années à venir. | |||
<b>Delphine Sabattier :</b> Et le point d’entrée aujourd’hui dans les collectivités territoriales, c’est quoi ? Il y a un directeur des systèmes de sécurité ? Est-ce que vous avez un point de contact ? | |||
<b>Laurent Vidal :</b> Ça peut-être effectivement cette personne qui est responsable de la sécurité informatique de la mairie. Si ce n’est pas le cas, si ça n’existe pas ou si ça n’est pas encore en place, le maire peut s’adresser lui-même directement à la gendarmerie. Il y a des référents sûreté qui existent et qui sont capables de fournir des conseils. La gendarmerie étoffe son réseau de spécialistes des nouvelles technologies, en matière d’investigation notamment judiciaire, et elle développe maintenant une capacité à aider et à, comment dirais-je, à conseiller les mairies qui en font la demande, de manière importante. Voilà. Donc il a cette aide-là aussi qui existe. On peut toujours demander conseil au moins sur la fiabilité des installations telles qu’elles sont envisagées. On ne donnera jamais d’avis sur les matériaux eux-mêmes ou sur les matériels qui seront installés, on n’est pas là pour vendre tel ou tel produit, en revanche, pour dire « voilà, il risque d’y avoir un vrai problème de sûreté », ça c’est possible de le directement | |||
<b>Delphine Sabattier :</b> Très bien. Merci beaucoup. | |||
<b>François Sorel :</b> Très bien. Merci beaucoup au général Marc Watin Augouard d’avoir été avec nous, le papa du FIC, on peut le dire. Gérard de Boisboissel et le colonel Laurent Vidal, merci beaucoup. | |||
<b>Gérard de Boisboissel et Laurent Vidal:</b> Merci à vous. |
Version du 31 janvier 2017 à 18:55
Titre : Cybersécurité et collectivités territoriales
Intervenants :
Lieu : FIC 2017 - Lille - 01netTV
Date : Janvier 2017
Durée : 22 min 38
Visualiser le plateau de 01netTV
Licence de la transcription : Verbatim
Statut : Transcrit MO
Description
Gérard de Boisboissel du CREC Saint-Cyr, Laurent Vidal du CREOGN et le général Marc Watin Augouard, fondateur du FIC étaient présents sur le plateau de 01netTV lors de l’édition 2017 du Forum international de la cybersécurité. Ils étaient interviewés par Delphine Sabattier, Directrice des rédactions de 01net, et François Sorel, Rédacteur en chef de 01netTV sur la question de la cybersécurité dans les collectivités territoriales
00'
François Sorel : Ce 9ème Forum international de la cybersécurité, ce 9ème FIC est à vivre sur 01Net TV durant ces 48 heures avec Delphine Sabattier, avec nos invités. Et puis je vous rappelle que nous sommes au Grand Palais à Lille, donc si vous êtes dans les parages, n’hésitez pas à venir nous voir. Delphine, on va parler maintenant de cybersécurité, de collectivités territoriales et peut-être même, aussi, revenir sur la genèse du FIC.
Delphine Sabattier : Oui. Parce qu’on a un invité prestige autour de la table. Je commence par vous présenter colonel Laurent Vidal, vous êtes directeur adjoint du Centre de recherche de l’École des officiers de la Gendarmerie nationale.
Laurent Vidal : Bonjour.
Delphine Sabattier : Bonjour. À côté de vous Gérard de Boisboissel. Vous, vous êtes ingénieur au Centre de Recherche des écoles de Saint-Cyr Coëtquidan.
Gérard de Boisboissel: Tout à fait. Bonjour.
Delphine Sabattier : Bonjour. Et notre invité spécial, le général Marc Watin Augouard. Alors pourquoi je dis spécial, vous êtes général d’armée, mais surtout vous êtes le fondateur du FIC, donc l’endroit où on se trouve actuellement. Racontez-nous un petit peu comment est né ce Forum international de la cybercriminalité au départ et cybersécurité aujourd’hui.
Marc Watin Augouard : L’histoire du FIC est déjà ancienne, 2007. À l’époque l’idée était de décloisonner. J’avais travaillé avec Thierry Breton qui était président de France Télécoms sur un groupe de travail et, affecté dans le Nord à Lille, je me suis dit il faut impérativement mettre en application les conclusions de nos travaux. Et donc j’ai créé ce forum pour décloisonner : que la France parle avec les pays voisins ; que le public parle avec le privé ; que les entreprises parlent avec les universités et centres de recherche ; que la police, la gendarmerie parlent avec les autres acteurs ; que l’État parle avec les collectivités territoriales ; que ce soit un centre d’échanges, car nous savons bien que la cybersécurité, la sécurité de notre système internet, de nos échanges, du Web, ça passe par la coopération. Personne n’a la clef, n’a la réponse à la question, mais nous l’avons tous ensemble. Or, ce qui est intéressant dans le FIC, c’est de rassembler des personnes qui connaissent le sujet, mais chacune dans son domaine. Voilà, c’est une approche collégiale, une approche partenariale.
Delphine Sabattier : Il y a des choses qui ont changé ? Parce que là c’est la 9ème édition. Je le disais, au départ ça s’appelait le Forum de la cybercriminalité, aujourd’hui c’est la cybersécurité. Qu’est-ce qui a changé ? Qu’est-ce qui a évolué ?Le nombre de participants déjà, peut-être, parce que c’est plutôt un beau succès.
François Sorel : Le premier FIC vous aviez quoi ? 500 intervenants au premier FIC, c’est ça ?
Marc Watin Augouard : 250 intervenants, à peu près.
François Sorel : D’accord, 250.
Marc Watin Augouard : Oui, 250.
François Sorel : Et aujourd’hui plusieurs milliers ?
Marc Watin Augouard : Le premier FiC, le pré FIC, l numéro 0, c’était à peu près 250 personnes. Le premier vrai FIC c’était 500. Et nous fûmes 500 au commencement et nous fûmes un somme maintenant de 9 000 ou 8 000 en arrivant au port ! Voilà
François Sorel : Vous devez être fier de la croissance exponentielle de ce FIC. Vous devez en être fier mon général ?
Marc Watin Augouard : Oui. C’est dû à deux choses. La première, bien évidemment, mais je ne le dirai pas, à la qualité de ce salon. La deuxième c’est parce que le problème de la cybersécurité est de plus en plus un problème que chacun prend à son compte, s’approprie, que ce soit les entreprises, que ce soit les particuliers, que ce soit l’État. Ici vous avez toutes ces entités représentées et chaque année on est de plus en plus conscients de la nécessité de faire quelque chose. Et vous voyez, on est dans une année électorale, la question sera « est-ce qu’on sera une France numérique » ou on ne sera pas ! C’est ça le vrai enjeu des cinq ans à venir, mais je ne fais pas de politique !
François Sorel : Très bien.
Delphine Sabattier : C’est vrai que c’est, aujourd’hui, la question de toutes les entreprises. Peut-être qu’avant c’était la question des entreprises d’informatique, aujourd’hui ça touche vraiment tous les secteurs et on va parler, aujourd’hui, d’une cible qui est de plus en plus fragile.
François Sorel : Oui, et sensible.
Delphine Sabattier : Ce sont les collectivités territoriales qui manipulent, finalement, énormément de données des citoyens et qui ne sont pas forcément les plus protégées ou les mieux armées.
Marc Watin Augouard : Les collectivités territoriales, c’est ce dont on va parler ce matin, tout à l’heure, c’est que, aujourd’hui, elles sont témoins de notre vie quotidienne. Prenez une commune, un département. La commune c’est l’état civil ; c’est la cadastre ; c’est la bibliothèque municipale qui est maintenant numérisée ; ce sont souvent des dispensaires ; c’est un service social ; ce sont des établissements pour les personnes âgées dépendantes ; ce sont les transports scolaires ; ce sont les transports publics. Ce sont toutes sortes d’activité qui vont glaner à un moment donné, collecter vos données et notamment vos données à caractère personnel. Et vous voyez bien que si on arrive à puiser dans cette richesse, dans ce réservoir, toutes ces données, eh bien on peut profiler les personnes. Il y a donc un enjeu majeur, parce que les communes sont souvent de petite taille, elles n’ont pas forcément de RSSI [responsable de la sécurité des systèmes d’information, NdT], elles n’ont pas forcément de DPO [Data Protection Office, NdT], c’est-à-dire, en fait, de responsable de protection des données. Et donc, aujourd’hui, il faut véritablement leur dire : « Attention, vous êtes directement concernées, ça n’arrive pas qu’aux autres », c’est par des petites communes qu’on peut avoir des soucis importants par rapport aux données à caractère personnel. Et vous voyez, je pense que les communes en ont pris conscience, hélas, en début janvier 2015, après les attentats à Paris, eh bien 19 000 communes ont vu leur site défacé, c’est-à-dire modifié.
Delphine Sabattier : C’est-à-dire la home du site était différente ? Il y avait des messages de propagande sur ces sites ?
Marc Watin Augouard : La propagande de Daech. Et là, ils ont pris conscience du fait que leur système était attaquable. Et ce sont parfois des petites associations communales ou des entités qui n’avaient pas une importance considérable qui ont vu leur site défacé.
François Sorel : Très bien. Gérard de Boisboissel, quels types de données peut stocker et collecter, comme ça, les collectivités territoriales, la mairie ?
Gérard de Boisboissel: Eh bien écoutez, je pense que le général les a déjà citées. Mais, grosso modo, c’est évidemment tout ce qui est les données qu’une mairie gère en priorité, donc les états civils qui définissent pour chaque personne un certain nombre d’informations de sa vie privée ; le recensement citoyen ; l’organisation aussi des élections. Tout ce qui est enseignement : les écoles primaires, les cantines. L’entretien et les protections de la commune aussi, ça va des travaux de voirie, mais aussi le cadastre, les permis de construire. L’aide sociale dont le général parlait. Le centre communal d’action sociale, avec tout ce qui est gestion du RMI, des logements sociaux.
Delphine Sabattier : Et tout est numérisé aujourd’hui ?
Gérard de Boisboissel: Énormément de ces données sont numérisées ou numérisables ou, en tout cas, stockées sur ordinateur donc sous une forme numérique et, effectivement, l’ouverture de la transformation numérique fait qu’il y a des incitations pour que ces données, ou certaines de ces données, puissent être ouvertes. Or les collectivités ont le devoir de préserver ces données parce qu’elles sont sensibles et, dans des mains mal intentionnés, elles pourraient avoir une valeur, une valeur qui soit même monnayable et qui puisse même se faire rançonner à travers certaines techniques d’attaque. On en parlera peut-être plus tard, le ransomware.
François Sorel : C’est déjà arrivé ou pas ?
Gérard de Boisboissel: Pour des mairies, oui, tout à fait. En tout cas chez les individus c’est quelque chose qui arrive maintenant de plus en plus fréquemment, chez vous. Vous avez certaines méthodes de ce qu’on appelle le ransomware : vos donnés sont chiffrées et si vous ne payez pas une rançon, vos données peuvent être détruites à distance. C’est quelque chose qui va se généraliser dans les administrations et les mairies doivent vraiment faire très attention à ce genre de choses, tout comme les hôpitaux.
François Sorel : D’autant qu’elles sont responsables de ces données. Ce sont elles qui sont responsables ?
Gérard de Boisboissel: Absolument le maire, la mairie, notamment le maire est responsable des données de sa collectivité et il a d’abord un devoir de, à la fois les préserver et les sécuriser, et c’est une responsabilité assez lourde qu’il doit endosser. Et pour ça, il doit se donner des moyens pour pouvoir les protéger.
François Sorel : Colonel.
Laurent Vidal : En fait, les maires doivent considérer leur commune un petit peu comme un chef d’entreprise considère son outil de travail. Il conserve des données qui concernent non pas ses clients mais ses concitoyens, qui vont toucher des sphères très profondes de leur intimité – le général parlait des parents qui sont dans un établissement de santé ; il parle des enfants avec tout ce que ça implique pour la cantine, avec les particularités pour l’alimentation, liées parfois à la religion – toutes ces données sont particulièrement sensibles. Et, comme un bon chef d’entreprise, le maire doit finalement prendre des mesures pour interdire ou éviter que quelqu’un d’autre se les approprie, parce que ces données ont toutes une valeur, elles peuvent être utilisées à des choses très diverses
François Sorel : Est-ce que tous les maires sont sensibilisés à cette importance et ont conscience de la gravité de toutes ces données et de l’importance de ces données ?
Laurent Vidal : La sensibilisation, ça fait partie du travail notamment de la gendarmerie mais pas que. Je pense qu’il y a une prise de conscience qui se fait progressivement. Lors d’un congrès qui avait été organisé à Vannes conjointement par le Centre de Recherche de Coëtquidan, un professionnel nous expliquait qu’un maire avait découvert, grâce à l’intervention d’un professionnel, que le réseau wi-fi ouvert au public qui alimentait la mairie, en fait, était une porte ouverte à l’ensemble des données parce qu’il n’y avait absolument aucun pare-feu pour mettre à l’abri les données. Il le disait en termes de plaisanterie, mais le maire a vraiment réagi lorsqu’il a compris que finalement cette salle, qu’il prêtait également à son groupe d’opposition, permettait à ce groupe d’accéder à l’ensemble des données de la mairie. Voilà ! Donc il y a une prise de conscience qui doit se faire. Je pense qu’elle est en cours.
Delphine Sabattier : En cours ? C’est -à-dire vous avez un état des lieux ? Vous avez une idée, à peu près, du pourcentage de communes qui ont conscience et qui sécurisent aujourd’hui leur site internet ?
Laurent Vidal : L’actualité nous aide, malheureusement, parce que le général parlait des cas de défaçage qui ont fait suite aux attentats. Mais on a également évoqué, dans la presse, le cas de ces hôpitaux américains qui se sont faits rançonner par le cryptage de leurs données. Ce sont des informations qui sont publiques et que les maires entendent comme tous nos concitoyens. Et je pense que, petit à petit, ils prennent véritablement conscience de leurs responsabilités vis-à-vis de l’ensemble de ces données et ils commencent à réfléchir vraiment à la manière de s’organiser. Je pense qu’ils ont compris que de la même manière qu’on ne confie à son voisin le tractopelle de la commune pour faire des travaux de voirie parce que c’est quelqu’un de sympathique, eh bien c’est fini l’époque où on peut confier la sécurité informatique de la mairie à l’amie de la secrétaire de mairie parce qu’elle bidouille bien son ordinateur,
François Sorel : Ou parce qu’il s’y connaît en wi-fi !
Laurent Vidal : Exactement.
François Sorel : Donc il faut un DSI [Directeur des systèmes d’information, NdT] là ?
Laurent Vidal : Eh bien ça peut être une solution, et si la mairie n’a pas les moyens pour engager en propre un DSI eh bien elle peut, peut-être, se regrouper avec d’autres communes pour payer ce professionnel et répartir, en fait, le service de ce professionnel entre diverses communes et collectivités territoriales. C’est quelque chose qui existe déjà pour les polices municipales, par exemple. Ça peut être tout à fait envisageable pour ce type de professionnel. Je pense qu’il y a vraiment un marché pour ce genre de choses et des possibilités financières, même pour les communes les plus petites.
11’ 28
Delphine Sabattier : Et ça, Gérard de Boisboissel, vous avez des conseils à donner pour les aider à mieux se protéger quand on sait qu’il y a des communes ou même des collectivités territoriales qui ont des problèmes de budget ? Et le budget de la sécurité peut s’avérer très élevé.
Gérard de Boisboissel : Effectivement. Je pense que la taille de la commune c’est quand même un facteur majeur dans l’organisation de cette réponse aux menaces. Je crois que les grandes communes ont les moyens de pouvoir avoir une politique précise et des moyens à disposition, humains notamment, et techniques pour résoudre ces questions. Les petites communes, elles, doivent se regrouper. Ceci étant, je souhaiterais ajouter qu’il y a tout de même dans chaque commune, quelle que soit la taille, une politique de sécurité à avoir. Donc c’est à la fois une sensibilisation, une formation des personnes. C’est une politique de sécurité d’accès aux données : tout le monde ne peut pas accéder aux données donc il faut définir une politique. Une politique, aussi, de stockage des données, comment stocker les données, où, selon quels critères d’accès, également. Et puis se faire aider et se faire aider par des audits extérieurs, si les compétences ne sont pas dans la commune, ce qui est souvent le cas dans les petites communes, eh bien il faut aller les chercher à l’extérieur et pourquoi pas des partenariats externes avec des personnes qui sont expertes dans le monde privé. Et puis on peut aller jusqu’aux tests, en finale, effectuer des tests pour voir si les systèmes sont bien protégés.
François Sorel : 50 % des communes ont un site qui n’est pas à jour ? 50 % des communes ! C’est impressionnant !
Gérard de Boisboissel : Beaucoup de communes ont délégué ce fameux site à une connaissance qui leur a fait les choses de façon amicale et ça, dans notre monde technologique actuel, ça n’est plus un jeu, c’est une expertise qui est demandée.
François Sorel : Oui, évidemment !
Delphine Sabattier : Des outils qui ne sont pas tenus à jour, aussi, ça c’est un principe même dans le grand public et il n’y a pas de raison que ça ne se retrouve pas au niveau local.
Gérard de Boisboissel : Bien sûr.
Laurent Vidal : Le rôle des collaborateurs est également important. Je reprends l’exemple d’une entreprise. Dans une entreprise on va développer un esprit de responsabilité, de sécurité, une hygiène informatique. Le directeur de l’ANSSI [Agence nationale de la sécurité des systèmes d’information, NdT] c’est quelque chose qu’il essaye de promouvoir, cette hygiène informatique : bien se comporter de manière générale lorsqu’on agit dans l’espace numérique, eh bien, encore une fois, c’est vrai dans l’entreprise, c’est également vrai dans la mairie. Et les employés de mairie, quels qu’ils soient, les collaborateurs du maire, doivent également développer cette hygiène de vie informatique. Et, j’allais dire, ça concerne à la fois leurs activités professionnelles, mais également leur vie privée puisque, sur les réseaux sociaux, si on est indiscret, si on commente, si on explique des choses, eh bien ma foi on ouvre la porte à des gens qui savent trouver l’information puisqu’elle est disponible quelque part dans le nuage.
François Sorel : Oui. Bien sûr. Il y a un travail de sensibilisation qui est énorme. D’autant que, à partir de mai 2018, il y aura donc un nouveau règlement européen. On parlait tout à l’heure de responsabilité, mais cette responsabilité va être accrue, alourdie pour ces collectivités. Mon général, qu’est-ce qui va se passer à partir de mai prochain, donc mai 2018 ?
Marc Watin Augouard : oui, mai 2018 !
François Sorel : Mai 2018, ne stressons pas trop on a encore un peu plus d’un an. C’est vrai que la responsabilité va être encore accrue pour les collectivités.
Marc Watin Augouard : Bien sûr leur responsabilité va être accrue. Il s’agit d’un règlement européen, et je rappelle qu’un règlement ce n’est pas une directive. La directive, on est obligé de la transposer : le Parlement va voter une loi de transposition. Le règlement s’impose automatiquement en loi française.
François Sorel : Voilà ! Et on ne discute pas.
Marc Watin Augouard : Simplement il s’agit de codifier, de mettre des articles dans le code qui convient. Ce règlement est autrement plus contraignant en même temps qu’il est aussi, je dirais, unitaire que possible, sachant qu’il a quand même fallu quatre ans pour arriver à sa négociation. Quatre ans c’est important parce que ça montre que tous les pays d’Europe n’ont pas forcément la même maturité en matière de protection des données. Mais il est là, il arrive, il sera là, présent, obligatoire, le 25 mai 2018. Ça implique pour tous les détenteurs de données à caractère personnel, de prendre des mesures de précaution de protection exceptionnelle pourquoi ? Parce que les contraintes et les sanctions seront autrement plus fortes que celles qui existent aujourd’hui. On va renforcer les pouvoirs des CNIL européennes, le fameux G29, le groupe des CNIL européennes va avoir plus de rôle à jouer a posteriori pour vérifier que les détenteurs de données à caractère personnel les ont protégées. Mais en même temps, c’est un règlement protecteur pour les individus, notamment le droit à la portabilité, c’est-à-dire, en fait, le droit de récupérer ses données, de les transférer et donc on est vraiment dans un changement complet de portage qui va concerner, bien sûr, les individus, les citoyens, les entreprises, l’État et aussi les collectivités territoriales
Delphine Sabattier : Mais c’est plutôt une bonne nouvelle parce que, du coup, elles vont être obligées de prendre en compte cette problématique de la sécurité. C’est une bonne nouvelle ! C’est-à-dire qu’elles vont davantage vous écouter, vous entendre sur la nécessité de protéger les données :avec ce règlement on n’a plus le choix. Ce n’est plus une prévention, c’est vraiment une obligation.
Marc Watin Augouard : Il y aura des obligations extrêmement strictes et vous voyez que le temps qui nous sépare de l’échéance est un temps court.
Delphine Sabattier : Très court !
Marc Watin Augouard : Qui oblige tous les acteurs à vraiment prendre conscience de leurs responsabilités. Et là, le mot est très fort, c’est le mot « responsabilité ». Jusqu’à maintenant on a eu des traitements de données à caractère personnel qui étaient respectueux de la loi, mais qui n’étaient pas, sans doute, aussi protégés que ce qu’ils devront être demain.
François Sorel : Gérard de Boisboissel, c’est bien gentil tout ça, mais ça va coûter beaucoup d’argent. Qui va payer ?
Gérard de Boisboissel : Eh bien c’est probablement la mutualisation des efforts et des moyens qui permettra de payer pour, là encore, les communes qui ont peu de moyens. C’est à peu près la seule solution.
François Sorel :Il va y avoir des fonds ? Il y aura des aides ? Comment ça va se passer ?
Gérard de Boisboissel : Il y a quelques aides de l’État, mais dans l’accompagnement des solutions technologiques plus que dans les ressources humaines à trouver.
Delphine Sabattier : En termes de formation par exemple. Vous pourriez proposer des formations ?
Gérard de Boisboissel : Alors des formations, elles seront faites au niveau intercommunal voire régional et mises à disposition des collectivités. Je sais que sur la région Bretagne c’est une réflexion qui a commencé à être menée pour l’ensemble des communes : quelles solutions apporter d’aide à ces communes qui se posent ce genre de question. Je me permettrai d’ajouter quand même un point qu’on a omis. Là on est petit peu dans les responsabilités, les contraintes, les risques, mais il y a aussi des opportunités pour les collectivités territoriales à suivre cette transformation numérique. D’ailleurs, ne pas la suivre serait pour elles un risque de fracture numérique, fracture numérique qui fait qu’il y aurait celles qui auraient les moyens de pouvoir suivre la transformation numérique et celles qui ne le pourraient pas. Or, on peut rapprocher au niveau social, les individus des collectivités avec, justement, l’administration de ces collectivités par un accès plus facile aux données. Donc c’est aussi quelque chose qui doit encourager les collectivités territoriales à prendre à bras le corps cette question, se donner les moyens de la sécurité, mais les moyens de la transformation qui accompagneront les nouveaux usages qui en découleront.
Delphine Sabattier : Il faut avoir accès aussi au réseau. C’est toute la question des infrastructures. Pour les collectivités territoriales, c’est un enjeu très important aujourd’hui. Et là, il y a des aides de l’État qui sont prévues, mais c’est très long.
Gérard de Boisboissel : Voilà. Et là, effectivement, je laisserai peut-être le colonel compléter, mais il y a des choses que les communes ne peuvent pas faire par elles-mêmes. La diffusion du réseau de fibre optique sur le territoire ça c’est quelque chose qui est vu à l’échelon de la région. En Bretagne il y a un projet qui s’appelle Bretagne Très Haut Débit qui vise, pour 2030, à connecter toute collectivité avec de la fibre optique.
François Sorel : Donc 2030, toutes les collectivités françaises seront connectées ?
Gérard de Boisboissel : Non, non, en Bretagne.
François Sorel : En Bretagne.
Gérard de Boisboissel : En Bretagne, le projet Bretagne Très Haut Débit.
François Sorel : Oui, parce que c’est bien beau de parler de tout ça, mais c’est vrai qu’il y a encore énormément de petits villages, même de petits hameaux qui n’ont pas de connexion très haut débit qui parfois, même, sont dans des zones où il n’y a rien ou pas grand-chose. Donc c’est vrai qu’il y a du travail aussi à ce niveau-là.
Gérard de Boisboissel : Et justement je parlais d’opportunité, pour éviter que ces territoires ne rentrent dans une sorte de situation de deuxième zone, leur donner un accès à la fibre optique, c’est le pari que fait la région Bretagne pour que ces villages redeviennent attractifs, en tout cas sur le plan des usages numériques de demain. Et les grandes villes c’est une solution. Le village connecté, à la campagne, c’est peut-être ce qui va leur permettre de survivre dans les années à venir.
Delphine Sabattier : Et le point d’entrée aujourd’hui dans les collectivités territoriales, c’est quoi ? Il y a un directeur des systèmes de sécurité ? Est-ce que vous avez un point de contact ?
Laurent Vidal : Ça peut-être effectivement cette personne qui est responsable de la sécurité informatique de la mairie. Si ce n’est pas le cas, si ça n’existe pas ou si ça n’est pas encore en place, le maire peut s’adresser lui-même directement à la gendarmerie. Il y a des référents sûreté qui existent et qui sont capables de fournir des conseils. La gendarmerie étoffe son réseau de spécialistes des nouvelles technologies, en matière d’investigation notamment judiciaire, et elle développe maintenant une capacité à aider et à, comment dirais-je, à conseiller les mairies qui en font la demande, de manière importante. Voilà. Donc il a cette aide-là aussi qui existe. On peut toujours demander conseil au moins sur la fiabilité des installations telles qu’elles sont envisagées. On ne donnera jamais d’avis sur les matériaux eux-mêmes ou sur les matériels qui seront installés, on n’est pas là pour vendre tel ou tel produit, en revanche, pour dire « voilà, il risque d’y avoir un vrai problème de sûreté », ça c’est possible de le directement
Delphine Sabattier : Très bien. Merci beaucoup.
François Sorel : Très bien. Merci beaucoup au général Marc Watin Augouard d’avoir été avec nous, le papa du FIC, on peut le dire. Gérard de Boisboissel et le colonel Laurent Vidal, merci beaucoup.
Gérard de Boisboissel et Laurent Vidal: Merci à vous.