Entretien avec Stéphane Bouché, président de Secuserve
Journal des Communes : Pensez-vous que les collectivités territoriales françaises soient bien préparées aux risques de cyberattaque ?
Stéphane Bouché : Malheureusement, les collectivités territoriales sont mal préparées face aux cyberattaques. En effet, ce sont souvent des structures avec des SI hétérogènes (plusieurs noms de domaines, des outils de mobilité mal contrôlés, cas des communautés de communes), réparties sur des territoires vastes, avec des usagers, parfois en télétravail, diversement sensibilisés aux menaces informatiques et aux usages digitaux. Le plan France Relance et la multiplication des attaques médiatisées, ces 3 dernières années, ont généré un regain de sensibilisation à la cybersécurité et parfois des plans d’action, pour les établissements les plus importants. Mais est-ce le cas des plus petites collectivités ?
JDC : Quels sont les types d’attaques les plus fréquents contre les établissements publics ou les collectivités ?
SB : La messagerie est clairement la porte d’entrée principale et initiale (90 %) des malwares et des opérations de phishing. Les cryptolockers (chiffrement des données) avec demande de rançons sont l’attaque la plus lucrative et la plus visible médiatiquement. Toutefois, il ne faut pas négliger les vols d’information par usurpation d’identité via des messages SMS ou courriels. Ces attaques sont souvent destinées à prendre le contrôle des boîtes aux lettres des utilisateurs pour mener ensuite soit des campagnes de SPAM (ce qui nuit à la réputation et délivrabilité des domaines utilisés), soit des « arnaques au Président » (détournement de fonds).
JDC : Secuserve travaille dans différents domaines de la sécurité informatique, de la messagerie au stockage. Quels vous semblent les domaines de plus grande vulnérabilité ?
SB : Les attaques évoluent en permanence. Ces derniers mois, nous avons constaté une recrudescence du VISHING (phishing par appel téléphonique), SMISHING (par SMS) et SPEAR PHISHING (introduction dans le SI, par des opérations d’ingénierie sociale unitaires et discrètes). Une fois que l’organisation a mis en place une solution efficace et administrable de sécurité pour sa messagerie (e-securemail par exemple), la plus grande vulnérabilité reste l’utilisateur final. En effet, il faut trouver le juste équilibre entre sécurité et liberté, et surtout sensibiliser les utilisateurs pour qu’ils deviennent acteurs de la politique de cybersécurité (par des systèmes de rétroaction par exemple).
JDC : La plupart des grandes sociétés de cybersécurité sont étrangères, ce qui n’est pas votre cas. Y a-t-il une spécificité française en ce domaine ?
SB : La France est le 4e pays en matière d’exposition aux attaques de cybersécurité, et nous disposons d’acteurs EXPERTS en cybersécurité et de groupements spécialisés qui n’ont pas à rougir devant les acteurs anglo-saxons. C’est le cas de SECUSERVE, qui opère depuis 20 ans dans le domaine de la sécurité de la messagerie. Les acteurs français sont plus réactifs, abordent les attaques en langue française avec plus de justesse et d’efficacité. Ils sont également capables de prendre des engagements de résultats supérieurs, tout en respectant les lois françaises et européennes (hébergement des données en France, RGPD, etc.). A contrario, les SLA (Service Level Agreement : niveau de service garanti) des acteurs étrangers (Microsoft par exemple) ne portent que sur les SPAM en langue anglaise, sans parler de la pertinence du support des acteurs trop généralistes !
JDC : Quels conseils donneriez-vous à un maire ou président d’exécutif local désireux de se pencher sur la cybersécurité ?
SB : Un maire devra faire réaliser un rapide audit, de mettre en place un firewall pour son réseau, puis de sécuriser sa messagerie, et enfin de s’assurer que des sauvegardes des données et systèmes essentiels sont effectives et déconnectées du réseau. Il faut en parallèle sensibiliser les utilisateurs avec des kits de communication simples (ceux de l‘ANSSI sont prêts à l’emploi) : gestion des mots de passe, sécurité des appareils mobiles, usages pro-perso, ne pas cliquer en cas de doute, etc.… Les RSSI (Responsable de la Sécurité des Systèmes d’Information) en temps partagé peuvent être une solution efficace pour les plus petites structures.