Pourquoi et comment Bussigny s’est fait labelliser «cyber-safe»
Bien avant que les événements qui ont touché les communes vaudoises de Rolle et de Montreux ne défraient la chronique, l’Association des Communes Suisses a mis en route un projet pilote pour encourager les communes suisses à se faire labelliser et se protéger de la cybercriminalité.
En effet, les attaques contre les systèmes informatiques se multiplient de plus en plus en Suisse, ce sont des entreprises de toutes sortes qui sont attaquées, et les pouvoirs publics sont également des cibles de choix pour ces criminels.
Le projet pilote a trouvé un écho dans le canton de Vaud auprès de l’UCV, l’Union des Communes vaudoises, qui a de son côté cherché quelques communes pilotes pour tester la démarche. Bussigny s’est spontanément annoncé et a procédé à l’entier des opérations nécessaires pour en arriver au label.
Il convient de préciser que cyber-safe est une association à but non lucratif et que son but est d’aider et d’assister ceux qui le souhaitent à se protéger le plus efficacement possible.
Des vagues de tests
La démarche commence par une analyse de notre système informatique sous forme de questionnaire, par des attaques fantômes permettant de déterminer les failles potentielles, par de faux mails vérolés ou de phishing (technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance, en français on utilise aussi le terme «hameçonnage»). Une équipe de techniciens de haut niveau contrôle à la fois les équipements techniques (hardware et software) mais aussi les comportements des collaborateurs.
Une fois ces étapes achevées, le travail commence dans notre département informatique. Mettre à jour des niveaux de Windows et de certaines applications, changement d’antivirus, sont des exemples de travaux à effectuer avant que la prochaine vague de tests ne démarre. Et surtout, en parallèle, il s’agit d’informer le personnel, de le former sur les bonnes pratiques, sur les dangers que représentent certains mails, sur les réactions à avoir en cas de doute et sur une certaine vigilance à maintenir en permanence. Une fois les corrections effectuées, une nouvelle vague de tests a lieu. Et uniquement en cas de résistance du système global le label peut être décerné.
Plusieurs mois de travail
L’ensemble de ces opérations ont représenté plusieurs mois de travail, touchant essentiellement notre informaticien, son chef de service mais aussi nos fournisseurs informatiques qui ont de leur côté dû réviser un certain nombre de leurs procédures et de leur sécurité. Il faut signaler que pour Bussigny, cela s’est passé pendant l’année 2020 et qu’avec les conditions liées à la pandémie de COVID-19, la démarche a été plus longue qu’usuellement. Par contre, le coût n’est pas très important si un bon niveau de protection et d’actualité (mises à jour) sont déjà présents sur le site, notamment en termes de firewall et d’autres équipements ou logiciels protégeant les serveurs informatiques. Une protection est également assurée par le label pendant deux ans par des tests aléatoires et elle est comprise dans le prix.
La volonté politique de notre exécutif était d’arriver à un niveau de sécurité suffisant pour éviter une attaque criminelle, qu’elle soit ciblée ou d’ordre général aléatoire. En effet, les données que gère une commune concernent l’ensemble de sa population et des entreprises actives sur son territoire (données personnelles, état civil, adresses et numéros de téléphones, voire même données fiscales). Et à ce titre, une attaque, une publication ou un cryptage de ces données sont un manquement grave à la protection des données et de la personnalité pour les personnes physiques, voire même au secret des affaires pour les personnes morales.
Le seul moyen pour éviter des dégâts: se protéger
Notre conviction était, et est toujours, qu’une réparation d’un système informatique, quel qu’il soit, après une cyberattaque est une affaire qui va coûter beaucoup d’argent, de temps et de nerfs! Et que des pertes de données, mais aussi de crédibilité et d’image sont inévitables. Et que le seul moyen de l’éviter est de se protéger. A cet effet, la labellisation n’est pas un objectif en soi, mais elle permet par contre de s’approcher d’un niveau de protection élevé et peut certainement rendre plus difficiles toutes les tentatives des hackeurs potentiels, une garantie totale ne pouvant évidemment être garantie!
Chaque commune pourrait être une cible
Chaque commune en Suisse doit prendre conscience qu’elle peut être la cible d’une attaque. Tout comme chaque entreprise, voire même comme toute personne privée. C’est donc de notre responsabilité, en tant qu’autorité locale, de tout mettre en œuvre pour protéger les données de nos concitoyens, mais aussi pour s’assurer que le service que nous devons à la population puisse être effectif tout au long de l’année, sans interruption. Et la labellisation est un moyen pour parvenir à un niveau de protection élevé. Il y en a certes d’autres, les outils de protection à disposition sont nombreux mais pas toujours accessibles à des collectivités publiques, surtout petites.
L’essentiel est aujourd’hui pour les communes de prendre conscience de ce danger réel et en croissance, de former leur personnel (cela permet d’éviter une bonne partie des entrées frauduleuses dans le système) et de rechercher l’appui de professionnels pour protéger leur système. Surtout parce que ces collectivités sont responsables de données sensibles et que tous les citoyens de ce pays doivent pouvoir leur faire confiance.
L’Association des Communes Suisses sensibilise aux cyberrisques
Le label cyber-safe est destiné à aider les petites et moyennes communes en particulier pour l’évaluation de leur propre situation en matière de cybersécurité. L’applicabilité du label cyber-safe est testée dans le cadre d’un projet pilote avec 15 municipalités sélectionnées, que l’Association des Communes Suisses (ACS) mène en collaboration avec le Centre National pour la Cybersecurité (NCSC). Le projet pilote a débuté à l’automne 2020, d’ici fin 2021, l’ACS et le NCSC évalueront les résultats du projet avec les communes participantes. Le rôle principal de l’ACS est de sélectionner les communes pilotes, de facilitateur pour la coordination et la coopération entre les acteurs et les communes pilotes, et d’évaluer et communiquer les résultats.
Le Centre national pour la cybersécurité
Dans le cadre de la mise en œuvre de la «Stratégie nationale pour la protection de la Suisse contre les cyberrisques (SNPC) pour les années 2018 à 2022», la Confédération envisage l’introduction de normes minimales et de labels de sécurité cybernétique dans différents domaines.
Le Centre national pour la cybersécurité (National Cyber Security Centre – NCSC) est le centre de compétences de la Confédération en matière de cybersécurité et le premier interlocuteur pour les milieux économiques, l’administration, les établissements d’enseignement et la population pour toute question relative à la cybersécurité. Il est responsable de la mise en œuvre coordonnée de la stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) pour les années 2018 à 2022.
Ces dernières années, la cybersécurité a pris de l’importance à tous les échelons. Elle joue un rôle central dans la politique extérieure et de sécurité tant au niveau national qu’international, et devient un facteur de plus en plus important pour la place économique et la population suisse. En créant le NCSC, qui est placé sous la direction du délégué de la Confédération à la cybersécurité, le Conseil fédéral souhaite aider la population, les milieux économiques, les établissements d’enseignement et l’administration à se protéger contre les cyberrisques et améliorer la sécurité de ses propres systèmes.
L’ordonnance sur les cyberrisques (OPCy) adoptée par le Conseil fédéral est en vigueur depuis le 1er juillet 2020. Elle constitue la base juridique pour la création et le développement du NCSC et règle la structure, les tâches et les compétences des autorités impliquées.
En collaboration avec le Centre national pour la cybersécurité (NCSC) ainsi que le Réseau national de sécurité (RNS) pour le Réseau national de soutien aux enquêtes dans la lutte contre la criminalité informatique (NEDIK), la Police cantonale bernoise a élaboré un Guide à l’intention des communes pour prévenir les cybercrimes. Y ont participé l’Office d’information et d’organisation du canton de Berne (OIO), de l’Association des communes bernoises (ACB) et l’Association des Communes Suisses (ACS).
Contact: Police cantonale zurichoise, NEDIK, cyc_nedik@kapo.zh.ch
L’Association suisse pour le label de cybersécurité
De nombreuses barrières existent à l’entrée des PME et autres petites structures dans le monde de la sécurité informatique. Le label cyber-safe vise à abaisser ces barrières en offrant une incitation forte et en mettant à disposition des organisations les instruments nécessaires à une gestion responsable de la cybersécurité. Et ce à un prix abordable!
En effet, malgré une médiatisation croissante des risques liés au numérique (vol de données, perte d’exploitation, etc.) et une prise de conscience grandissante, le passage à l’action reste souvent difficile pour les petites et moyennes organisations. Outre l’importance des coûts de conseil et d’audit en sécurité informatique, ces organisations sont confrontées à des questions auxquelles elles ne parviennent que difficilement à répondre sans l’aide de spécialistes. Quel est le niveau actuel de cybersécurité de mon organisation? Est-ce satisfaisant? Quelles sont les mesures à prendre pour l’améliorer, à quel prix et avec quels effets? En l’absence de compétences spécialisées, dresser un état des lieux ou savoir quelles mesures mettre en œuvre est difficile, voire impossible.
S’il existe de nombreux référentiels de gestion des risques informatiques (type ISO), ces derniers ne sont souvent pas adaptés aux besoins des petites structures en raison de leur complexité, du jargon utilisé et de l’approche sectorielle des cyberrisques qu’ils proposent (ainsi un référentiel portera exclusivement sur la dimension organisationnelle, un autre sur la sécurité des logiciels et/ou du matériel, un autre se focalisera sur les compétences humaines). Or, la mise en conformité à de multiples référentiels (potentiellement contradictoires) n’est pas chose aisée pour les organisations, sans parler des multiples coûts associés.
L’Association suisse pour le label de cybersécurité est une association à but non lucratif (art. 60 ss CC).
L’association a pour but de soutenir et de favoriser une gestion responsable de la cybersécurité dans les organisations en Suisse, notamment par le développement et la mise à disposition d’un Label. L’association entend ainsi apporter une importante contribution à la société et à l’économie suisse qui profitera dans son ensemble d’un niveau plus élevé de cybersécurité.
