La sécurité, et rien que la sécurité !
La sécurité, sous toutes ses formes, est au cœur de la plupart des préoccupations des infrastructures publiques.
La sécurité physique des habitants est assurée par la police municipale, la sécurité sanitaire, par le bon fonctionnement du réseau d'eau de la commune, la sécurité environnementale, par la préservation des espaces publics. Et ce ne sont là que quelques exemples des nombreuses responsabilités incombant aux différents services publics.
Pourtant, au sein de ces missions, il en est une, moins évidente, mais dont l'importance peut être cruciale, c'est la sécurité informatique ! Son caractère immatériel rend difficile, pour les personnes non sensibilisées, la prise de conscience des menaces réelles. Ce qui entraine donc une sous-évaluation des risques et de ce fait des moyens humains et techniques mis en œuvre pour y faire face.
Pourtant, l'actualité relaie largement les incidents relatifs à la sécurité informatique : des sites publics sont victimes de malveillance, tant au sommet de l'Etat, avec les récentes attaques de l'Elysée ou du ministère de l'Intérieur, mais aussi dans les communes. Récemment, la messagerie du premier adjoint de la mairie de Menton a été détournée pour tenter d'extorquer des fonds à ses contacts. Cet été, la mairie de Dieulefit a vu son site piraté par un groupe de hackers, comme la ville de Nanteuil-le-Haudouin, dans l'Oise.
Par ailleurs, fait désarmant, aucune obligation n'est faite, tant dans le public que le privé, de publier les attaques et les dommages subis. Au grand dam de l'ANSSI (Agence nationale de la sécurité des systèmes informatiques) qui milite activement dans ce sens, afin de permettre une prise de conscience généralisée du problème.
L'informatisation des services publics : un phénomène inéluctable
Cet état des lieux qui peut paraître alarmiste ne doit en aucun cas freiner les collectivités locales et les infrastructures publiques en général dans leur élan vers les technologies de l'information.
Les services publics doivent évoluer pour répondre aux modes d'accès à l'information actuels des citoyens : qu'il s'agisse de l'ouverture de services en ligne, ou de la mise à disposition des données, ce sont aussi de nouvelles opportunités pour simplifier et accélérer les démarches administratives.
Cette ouverture vers l'internet a également changé l'approche nécessaire de la sécurité et la protection des données, puisqu'elle crée de nombreux ponts entre l'intérieur et l'extérieur.
Respecter une bonne hygiène informatique
Comme dans tous les secteurs d'activité, tous les métiers, en matière de sécurité informatique, il convient souvent de respecter des règles simples pour éviter une très grande majorité des risques.
· La première règle à respecter est de mettre à jour systématiquement le ou les systèmes d'exploitation utilisés par l'infrastructure publique, ainsi que les logiciels. Les éditeurs publient régulièrement des « patches » de sécurité qui viennent combler des failles identifiées. Ces failles sont autant de portes laissées entrouvertes vers le réseau interne à destination des pirates.
· De même, il convient d'installer une suite antivirus qu'il est impératif de mettre à jour régulièrement pour être certain de bénéficier d'une protection contre les derniers virus détectés... et les quelques millions déjà identifiés.
· Ensuite, il faut se protéger des agents pathogènes venus de l'extérieur qui s'introduisent dans le système pour en éprouver l'immunité. Pour cela, ils utilisent plusieurs points d'entrée. Les périphériques de stockages en sont un. Ils semblent anodins, mais sont terriblement dangereux ! La clé USB, par exemple, est un vecteur important d'infection.
Il suffit qu'elle ait été utilisée, par exemple, dans une borne de développement de photos numériques pour se trouver infectée par des dizaines de virus qui pourront ensuite être injectés dans le réseau informatique de l'établissement public.
Autre point d'entrée, le navigateur web. Les collaborateurs ne doivent jamais saisir de données personnelles sur des sites qui n'offrent pas toutes les garanties requises. Elles pourraient être utilisées à mauvais escient. A titre informatif, Google recense chaque jour 9500 nouveaux sites malveillants... La messagerie électronique peut, elle aussi, servir de porte cachée si le serveur de mail n'est pas correctement sécurisé.
· Parmi les bonnes pratiques, on notera de ne jamais cliquer sur un lien d'un email demandant de s'authentifier, de même il est recommandé de ne pas ouvrir les pièces jointes se terminant par les extensions .pif, .bat, .com, .exe, .ink.
· Enfin, la gestion des mots de passe est cruciale : il faut impérativement les rendre complexes en combinant majuscules, minuscules et chiffres. Et, il faut en utiliser un différent pour chaque usage et en changer régulièrement. L'idéal restant d'utiliser un logiciel de gestion de mots de passe qui simplifiera la démarche.
La sécurité informatique est certes un domaine complexe et anxiogène, mais elle peut être abordée à travers des solutions de plus en plus simples et en respectant quelques bonnes pratiques. Le plus compliqué finalement, c'est d'en prendre conscience...