Cybersécurité : les enjeux du secteur public.

Tout comme les entreprises du secteur privé, la sphère publique s’est engagée sans difficulté dans la transformation numérique. Hôpitaux, écoles, mairies… Toutes structures publiques, dans une recherche constante d’une gestion plus efficace et plus intelligente, ont numérisé les services, se sont dotées d’objets connectés ou de serveurs plus puissants. Des services dont la sécurité est, la plupart du temps, mise de côté.

Alors que les institutions ou structures publiques sont de plus en plus connectées et offrent aux utilisateurs des procédures largement numériques (paiement d’impôt en ligne, demande de carte d’identité…), elles offrent surtout de nouvelles occasions pour les hackers ou les criminels informatiques de prouver leur capacité de résilience. Si le secteur public constitue une cible de choix, cela est dû à plusieurs raisons.

Les donnés médicales valent entre 50 et 250 dollars sur le marché noir.

Les raisons de la colère

La grande majorité des structures publiques traitent et gèrent au quotidien des millions de données de citoyens français. Dossier médical, coordonnées bancaires, adresse, identité, bien immobilier… Au quotidien, l’implication des technologies informatiques dans le regroupement et le traitement des données des citoyens est de plus en plus palpable. Les services des impôts et de la sécurité sociale regroupent à eux deux des données qui peuvent être dangereuses pour les citoyens si elles venaient à être dérobées. A titre d’exemple, des données médicales peuvent valoir entre 50 et 250 dollars sur le marché noir, contre 50 dollars pour des données bancaires.

Autre risque, les institutions politiques peuvent être les victimes d’attaques informatiques à connotation politique, qu’elles viennent de l’intérieur ou d’un Etat extérieur. Début décembre 2018, plusieurs sites internet institutionnels, dont celui de l’URSSAF et du ministère de la Justice, ont été touchées par des attaques de type DDoS (fermeture d’un site web à cause d’une surcharge de trafic) attribuées à des hacktivistes. Ce type d’attaque, en plus d’engendrer des dommages financiers, peut également porter atteinte à la prestation de services publics essentiels.

Ces deux risques majeurs pour le service public sont renforcés par la vulnérabilité générale du parc informatique des organisations. Au sein de ces structures, le matériel informatique est renouvelé moins souvent et le respect du budget et des normes étatiques induit des chaînes de décision plus longues. Ce qui explique que de nombreux terminaux accusent un sérieux retard technologique et ne sont pas à jour dans leur cyberdéfense.

Des normes pour une défense adéquate

De nombreuses structures publiques ne sont pas prêtes pour les cyberattaques à venir. Conscient de cette vulnérabilité, l’Etat français investit de plus en plus dans la cybersécurité et oblige le secteur public à respecter plus de normes que dans le secteur privé.

  • Normes ISO : l’organisation ISO édite des normes et des exigences internationales qui doivent être systématiquement assurés. Dans la cybersécurité, la norme 27002, permet à une organisation d’acquérir un certain nombre de bonnes pratiques avec plus de 114 mesures de sécurités. A l’échelle nationale, les normes ISO sont mises en place par l’AFNOR.

En France, l’autorité en matière de cybersécurité est assurée par l’Agence Nationale de la Sécurité des Systèmes d’Informations (ANSSI). Rattachée au Premier ministre dans ses missions de défense nationale, la principale mission de l’Agence est de proposer des expertises, des recommandations et des règles à adopter au sein des parcs informatiques et de veiller à leur respect.  

Une perspective européenne s’est rajoutée aux normes françaises, en particulier avec le Règlement Général de la Protection des Données (RGPD). L’Europe des 28 oblige aux structures publiques et privées d’assurer un certain niveau de sécurité et de garantir le respect et la confidentialité des données des utilisateurs.

L’Union européenne légifère de plus en plus dans le domaine de la cybersécurité.

Les recommandations pour une sécurité performante

Au même titre que les entreprises privées, les organisations publiques doivent bâtir une cybersécurité efficiente et complète.

Pour cela, il convient de se fournir en solutions de sécurité « fondamentales », notamment des firewall, anti-virus etc… Cependant, depuis que les structures publiques utilisent de plus en plus les communications numériques (mails…) en interne ou en externe, il convient d’acquérir des logiciels de protection mails afin de traiter en amont les courriers contaminés par un virus.

La gestion des données représente un enjeu de taille pour le secteur public, il est donc indispensable de choisir des protections spécifiques afin de les mettre en sûreté. Les solutions de chiffrement des données, des échanges et des mails sont des outils adéquats pour ce type de structures.


La cybersécurité de l’Education nationale et de l’Enseignement supérieur

Les établissements de l’Education nationale (primaires, collèges, lycées…) et de l’Enseignement supérieur offrent aux étudiants et professeurs de plus en plus d’accès facilités vers Internet, mais proposent aussi des cours ou des ateliers à partir de l’IoT (tablettes, ordinateurs nomades…). Par exemple, les partiels des étudiants en médecine se déroulent quasi-exclusivement sur des tablettes. Ces différents terminaux sont directement dans les mains des élèves ou des étudiants, ce qui explique donc que l’Education nationale et l’Enseignement supérieur ont des besoins spécifiques en termes de cybersécurité.

  • Système de filtrage : il est conseillé de mettre un place un contrôle d’accès des élèves et étudiants à certains sites internet. Certains de ces sites ne sont pas adaptées (sites pornographiques…), ou certains sont des passerelles utilisées par les virus pour s’implanter dans les postes de travail.
  • Contrôle à distance : de plus en plus, les écoles fournissent tablettes ou ordinateurs nomades aux élèves qui peuvent les ramener chez eux pour travailler. Ainsi, un système de filtrage effectif à la fois à l’école et à la maison est primordial. De plus, un verrouillage à distance et une géolocalisation sont des outils qui peuvent se révéler indispensable dans ce cas particulier.