Le secteur public face aux défis de la cybersécurité

Les réponses appropriées pour réduire cette menace sont diverses, et actuellement plus ou moins matures ; elles nécessiteront, dans les années à venir, un investissement conséquent et une coopération plus forte entre les initiatives publiques et privées.

Bien que tous les secteurs d’activités soient aujourd’hui vulnérables face aux cyberattaques, le secteur public – administrations centrales, opérateurs d’Etat, collectivités territoriales, hôpitaux et organismes de santé – représentent aujourd’hui une cible privilégiée pour les attaquants.

En paralysant le fonctionnement des services publics, et en entravant la protection des données personnelles qui transitent au travers de ces services, la menace cyber est devenue un défi d’envergure pour les décideurs publics. Ces derniers sont désormais contraints d’imaginer et de proposer des réponses institutionnelles, opérationnelles et technologiques pour maintenir le lien de confiance entre leur administration et les usagers du secteur public, et garantir la souveraineté nationale.

Le secteur public : une cible privilégiée des cyberattaquants, confrontée à une ampleur inédite du risque cyber

L’émergence d’une société numérique au début des années 1990 a favorisé le développement de la cyberattaque, “tentative d’atteinte à des systèmes d’information réalisée dans un but malveillant” (définition ANSSI). Depuis leur origine, les attaques cyber contre le secteur public recouvrent principalement des motivations politiques (campagne d’influence visant à orienter le résultat d’un vote, espionnage militaire et politique, …) et économiques (vol d’argent à une administration publique, recherche d’avantage économique sur des secteurs identifiés, tentatives d’influence de politiques locales ou de fléchages budgétaires à des fins de développement économique, …).

Depuis une dizaine d’années, la volonté des politiques publiques à faire prendre le virage du numérique aux administrations, fait apparaitre une recrudescence des menaces cyber, catalysées par la crise sanitaire et les nouveaux modes de travail qu’elle continue d’imposer :

  • Les organisations publiques ont subi une hausse de 37% des intrusions depuis 2020 [1];
  • Les collectivités locales et les établissements de santé sont particulièrement attaqués :
    • Elles représentent 85% des administrations publiques victimes d’une cyberattaque en 2020[2]
    • Près de 30 % des collectivités territoriales ont été victimes d’une attaque au rançongiciel, soit une augmentation de 50% entre 2019 et 2020[3]
    • Le nombre d’incidents de sécurité informatique notifiés à l’Agence du numérique en santé (ANS) a doublé en 2021 par rapport à 2020 dans les établissements de santé

Si la transformation numérique des administrations publiques, augmentant de facto la surface d’attaque exposée, est la raison majeure de cette recrudescence, d’autres facteurs clés font du secteur public une cible privilégiée des menaces cyber :

1 – Les crises qui bouleversent actuellement nos sociétés constituent un terreau fertile au renforcement des menaces cyber.

Dans les périodes de rupture comme peuvent l’être les guerres ou les crises sanitaires, les intentions de déstabilisation et d’influence de l’opinion publique s’effectuent désormais aussi sur le cyberespace. Le vecteur cyber constitue une arme de choix à disposition des Etats à des fins politiques.

Au-delà de ce constat, l’idée que les cyberattaquants visent davantage les groupes privés au détriment des organismes publics n’est plus avérée : à titre illustratif, le secteur de la santé, jusqu’alors relativement épargné, a connu en 2020 une augmentation nette des cyberattaques (rançongiciels, vol de données de santé et menaces de les rendre publiques, paralysie des capacités de prise en charge) mettant en péril le bon fonctionnement d’un système sanitaire déjà éprouvé par la gestion de la pandémie.

2- Le développement de services numériques et de territoires connectés au plus proche des attentes et besoins des citoyens incite les acteurs publics à développer des téléservices de plus en plus sophistiqués, croisant d’importants flux de données pour améliorer l’expérience usagers. Ces croisements impliquent des connaissances poussées des règlementations en vigueur sur les traitements de données, l’identification des flux et leur sécurisation pour éviter les détournements.

3 – La pandémie, qui s’est traduite par une révolution des modes de travail et un recours grandissant au télétravail, a contraint les administrations à davantage sécuriser leurs échanges avec l’extérieur, qui ont ainsi dû considérablement accélérer leur transformation digitale pour proposer des solutions d’accès à distance, démocratiser le BYOD (Bring Your Own Device), et permettre l’utilisation de nombreux supports mobiles (ordinateurs portables, smartphones, tablettes). Ces initiatives ont entraîné une réorientation des refontes des SI traditionnels vers davantage de nomadisme numérique et vers des architectures dites à « confiance nulle » : ces nouveaux usages recouvrent des risques d’envergure pour la sécurité des SI qui peinent encore, à ce jour, à être pleinement considérés et palliés.

4 – La forte dépendance des administrations publiques à « faire gérer » et sécuriser leurs infrastructures informatiques par des prestataires externes représente également un facteur majeur de leur vulnérabilité en matière de cybersécurité. En effet, le recours à des tiers donne aux cyberattaquants une voie complémentaire pour atteindre les administrations sans les attaquer « frontalement ».

5 – En outre, le Cloud s’impose de plus en plus comme un levier majeur de la transformation digitale du secteur public. Ce nouvel usage – qui offre la possibilité de stocker des données et fichiers dans un datacenter et non localement – se démocratise de plus en plus dans les administrations ; il représente un risque accru de cyberattaques. En effet, la complexité de conception et de migration des données vers le Cloud sont encore aujourd’hui sous-estimées et représentent un enjeu pour bien appréhender les responsabilités sous-jacentes qui leur incombent dans ces nouveaux schémas SI hybrides et en mode SaaS[4]. Dans ce contexte, il s’avère encore complexe pour la plupart des administrations d’atteindre un niveau de sécurité satisfaisant, sans engendrer des coûts prohibitifs nécessaires à la mise en conformité de leur infrastructure.

6 – Enfin, le « Ransomware-as-a-service » (RaaS) connait un succès fulgurant et touche particulièrement les administrations publiques. En offrant aux hackers, par abonnement souvent modique, un panel de services complets d’attaque (boîte à outils, porte d’entrée aux systèmes d’information, voire assistance client et tableaux de bord), le RaaS diminue les barrières d’entrée pour les cybercriminels. Cette tendance conduit au regroupement de groupes d’attaquants aux expertises complémentaires ou encore à l’émergence de nouveaux types d’acteurs aux ressources plus réduites mais ayant un potentiel d’impact tout aussi important que des groupes de cybercriminels établis et référencés.

Le risque et les attaques cyber : des enjeux d’envergure pour l’ensemble de la sphère publique

Le risque cyber recouvre des enjeux majeurs pour les administrations : perte de crédibilité des acteurs publics et de confiance des administrés ; paralysie des services et incapacité à garantir une continuité du service public ; perte de données personnelles ou encore sanctions et pénalités.  

  • Un enjeu de confiance des usagers envers leur administration : L’augmentation des cyberattaques contre les informations relatives aux citoyens a de lourdes conséquences à la fois réputationnelles et légales (sanctions CNIL), débouchant sur une défiance des citoyens envers des administrations. Les grands événements à venir en France (Coupe du monde du rugby 2023, Jeux Olympiques Paris 2024), catalyseurs d’innovation numérique, et les chantiers de transformation numérique d’envergure portés par l’Etat (dossier médical partagé, identité numérique, politique de la donnée, dématérialisation accélérée des démarches, …) pourraient ainsi être remis en question par l’émergence de cette société de défiance.
  • Un enjeu opérationnel de continuité et de délivrance des services publics : une perturbation ou une paralysie du fonctionnement du service public recouvre de forts impacts sur la vie quotidienne des citoyens (non-accès à des services essentiels, non-recours aux droits, …), et sur l’attractivité et le développement économique de notre pays.
  • Un enjeu de souveraineté numérique, qui doit être au cœur des stratégies de défense déployées par le secteur public, afin de « maîtriser son destin »[5], en permettant à la fois d’identifier les dépendances entre les composants du système d’information, les points d’entrée potentiels et d’être en capacité de maîtriser les risques inhérents de compromission et d’altération des données. A ce titre, le secteur public doit être moteur dans le soutien économique des nouveaux acteurs français et européens, tout en garantissant leur correcte implémentation dans le système d’information.

Des premières réponses et initiatives publiques pour pallier les risques cyber et doter les acteurs d’une capacité de défense

Face à cette menace croissance, les institutions publiques investissent massivement et multiplient les initiatives.

Depuis 2006 et la publication du rapport Lasbordes « La sécurité des systèmes d’information – Un enjeu majeur pour la France », l’Etat s’est mis en œuvre de marche progressivement afin de prendre en compte les enjeux de sécurité de plus en plus prégnants dans ce nouveau monde hyperconnecté. Le régulateur a ainsi petit à petit structuré ses services autour de ces notions complexes et développé son expertise pour répondre au mieux à ces nouveaux enjeux. Création de l’ANSSI en 2008, intégration de la fonction d’officier général en charge de la cyberdéfense au sein du ministère de la Défense en 2011 ou encore lancement de la stratégie nationale pour la sécurité du numérique en 2015 et de la réserve opérationnelle de Cyberdéfense en 2016 témoignent de l’ambition présentée par la France de devenir une véritable cyberpuissance mondiale.

L’Etat nomme l’ANSSI comme cheffe d’orchestre de cette renaissance sur le cyberespace en l’intégrant comme organisme diplomatique à part entière, mais aussi et surtout comme instrument d’harmonisation des pratiques et acteur de la mise à niveau globale de notre société sur ces problématiques. En résultent donc des mesures concrètes sur les écosystèmes économiques de la cybersécurité, via la mise en œuvre de certifications et qualification des prestataires et équipements ou au travers de la construction du Campus Cyber réunissant mondes privé, public et académiques, sur l’assistance aux victimes via la plateforme Cybermalveillance.gouv.fr et plus récemment sur les territoires par l’implémentation des parcours cybersécurité et du programme d’incubation pour les Centres de Réponse à Incidents régionaux (CSIRT).

Ces mesures se sont accélérées durant les deux dernières années sous l’impulsion du plan France Relance, principal levier financier supportant leur mise en œuvre pour les acteurs publics. Néanmoins, d’autres vecteurs plus traditionnels sont également choisis par les acteurs étatiques afin de renforcer leurs capacités et leur protection : on citera notamment les centrales d’achat de prestation ou plus classiquement les procédures d’accord cadre.

Ces partenariats public-privé s’illustrent d’autant plus à l’échelle européenne avec le lancement par la commission européenne d’un Partenariat Public-Privé européen pour la cybersécurité (cPPP) en vue de la construction d’une souveraineté numérique européenne, sujet prépondérant de la Présidence Française du Conseil de l’Europe. L’Etat a pris la mesure qu’une coopération entre les deux mondes s’imposait : « Les données sont pour l’essentiel détenues par le secteur privé. Il est de la responsabilité de l’État d’en garantir la protection. »

Nos convictions pour répondre, appuyer/renforcer les initiatives gouvernementales et répondre aux enjeux et aux manques

Dans un contexte de crises systémiques et répétitives, il devient essentiel de soutenir la dynamique de prise en compte des enjeux de sécurité initiée par l’ANSSI, de garantir ce lien de confiance essentiel entre le citoyen et la nation et de veiller à la fois à la responsabilisation de tous tout en catalysant les innovations du secteur.

La cybersécurité doit se doter d’une approche « Human in Tech » capitalisant sur le collectif pour servir les enjeux technologiques et techniques de demain. Créer des synergies tout en tirant parti des interactions et de l’esprit d’innovation au service de la protection des systèmes d’information, telle est la mission de onepoint en tant qu’architecte des transformations numériques de confiance.

L’approche by Design Humaine et Technologique doit être peu à peu mise en lumière :

  • By design sur les aspects humains en éduquant, en entraînant et en confrontant dès le plus jeune âge à l’ingénierie sociale, aux cyberattaques et à la désinformation.
  • By design sur les aspects technologiques en intégrant la sécurité dès les phases amont du projet, en identifiant les acteurs malveillants potentiels et leurs moyens de nuire et en adaptant nos modes de conception produit et services (Sécurité dans l’Agilité).

En construisant une société plus alerte, plus consciente, plus apprenante, plus souveraine et technologiquement plus sûre, en ne se demandant plus si l’on risque d’être attaqué mais en assumant que personne n’est à l’abris et en redirigeant nos efforts sur les capacités de détection, de réponse et remise en route rapide des systèmes après sinistre, nous améliorons notre protection au cœur de notre quotidien.

Les principaux leviers pour pallier les fragilités numériques du secteur public

Dans cette perspective d’architecte, onepoint accompagne les acteurs du secteur public dans la formulation et dans la réponse à apporter à leurs problématiques de transformation globales.

Nous considérons que le succès d’une transformation réside dans son adoption par tous. Cette adoption n’est possible que par une garantie de confiance de la part des publics cibles de la transformation. Cette confiance enfin, ne peut naître que dans la compréhension des problématiques relatives à la sécurité des usages, des données et en y apportant les solutions technologiques et humaines viables d’un point de vue sociétal. En tant que société apprenante, onepoint vise en la réunification de l’humain et de la technologie au travers d’une sensibilisation et d’une prise de conscience collective et continue sur les sujets éthiques et sécurité, entre autres.

Durant nos interventions au contact du secteur public, nous avons eu l’occasion de mettre en lumière les enjeux suivantes :

  • Des Directions des Systèmes d’Information (DSI) sous-dimensionnées en termes d’effectifs et d’expertises et positionnées comme fonction support davantage que comme de véritables partenaires des métiers. Ce positionnement engendre une dette technique importante due au manque de temps et de moyens pour mettre à jour les infrastructures informatiques. Elle résulte en une réponse aux besoins métiers en flux tendu qui limite la considération des aspects de sécurité dans le développement de nouveaux services.
  • La place prépondérante du Shadow IT et du contournement des politiques dans le secteur public du fait d’un manque de compréhension des enjeux ou des règles. Les besoins en coopération et en communication à distance ont été accentués lors de la crise sanitaire. Bien qu’en phase d’être résolus, les pratiques de contournement restent présentes et doivent être débusquées par les responsables de la sécurité des SI. A cela doivent s’ajouter des sessions de formation pour les acteurs afin de leur permettre de comprendre les enjeux et dangers sous-jacents au shadow IT dans leur domaine d’activité. Onepoint, dans ses missions d’assistance, incorpore une dimension forte d’accompagnement au changement pour acculturer, former et rassurer les utilisateurs.
  • La nécessité d’une assistance terrain, d’une mutualisation des moyens de protection et d’un accompagnement de proximité pour les collectivités territoriales et leurs administrés. Cette mutualisation dynamisée par l’ANSSI au travers d’un programme spécifique, doit permettre une uniformisation de la couverture au risque cyber et une diminution des coûts d’acquisition et de possession de ces technologies. Améliorer la proximité, l’entraide et rendre plus accessible les capacités de détection, de protection, de réponse et de résilience font partie des priorités adressées par onepoint en se positionnant comme prestataire de terrain pour ces collectivités.
  • La construction d’une relation de proximité dans le renforcement des infrastructures ainsi que dans la détection et l’apport d’une réponse optimale aux cyberattaques (CSIRT Régionaux). Dans sa vision de catalyseur d’écosystèmes, onepoint se positionne sur l’accompagnement à la mise en œuvre du maillage régional de protection permettant de faciliter les interactions entre les prestataires de réponse à incident et les victimes. A ce titre, onepoint accompagne activement le programme de mise en œuvre des CSIRT Régionaux.
  • La mise en œuvre de politiques de sécurité numérique contextualisées (basée sur la PSSIE) et propres aux enjeux de chaque institution. En parallèle, des mesures de lutte contre le cyberterrorisme (défiguration des sites institutionnels), de lutte contre la cybercriminalité (ransomware et fuites de données) et d’investigation rapide pour lutter contre les fausses informations doivent être développées pour protéger nos institutions.
  • Un besoin de croiser les expertises et les problématiques des mondes académiques, privés et publics pour nourrir le tissu de protection français. Cette montée en capacité doit être nourrie par les écosystèmes variés : startup studios, univers de la recherche, enseignement supérieur, grands groupes, secteur public. Onepoint en tant qu’agitateur d’écosystèmes, est à la croisée des chemins permettant de servir les enjeux de développement de nouvelles technologies (au travers du programme d’innovation Cyberbooster), l’exploration de nouveaux besoins (design prospectif) et le partage de connaissances (formations en écoles d’ingénieurs, programmes d’enseignement).
  • La souveraineté des technologies : la coopération public/académique/privé doit également permettre un renforcement de la souveraineté économique, technologique et donc numérique française et européenne. A la lumière des récents évènements, la cybersécurité devient la pierre angulaire de cette souveraineté permettant de garantir une liberté de décision et d’action. Il s’agit donc de faire se nourrir souverainetés européenne et française à des fins d’harmonisation des normes et standards, des pratiques mais également de compétitivité économique dans les secteurs émergents tels que la Smart City ou Smart Territory, l’industrie du futur ou encore le metaverse. Ces domaines sont sous-tendus par des briques technologiques décentralisées et intelligentes qu’il faut savoir maitriser et régir en matière de sécurité, d’éthique et de résilience. Dans ce contexte, onepoint coconstruit des environnements hybrides permettant de faire se rapprocher le monde entrepreneurial et le monde académique. En témoignent les récents partenariats avec l’ESSEC pour la création du Metalab ou avec le CEA-List permettant de développer des actifs valorisables dans des domaines innovants.

Conclusion

Confronté à une menace sans précédent, le secteur public reste une cible privilégiée des cyberattaques en raison des services essentiels qu’il délivre à notre société. Néanmoins, le secteur évolue progressivement vers une position proactive en matière de cybersécurité.

Face aux défis que posent la transformation numérique de plus en plus rapide et profonde de notre société, les acteurs publics se doivent d’être les ambassadeurs d’une transformation responsable, sécurisée et raisonnée au travers d’une collaboration étroite avec l’écosystème privé et académique.

Ces partenariats permettent l’innovation, la diffusion des bonnes pratiques nécessaires à la conception de systèmes d’information répondant aux enjeux et besoins des métiers tout en assurant une sécurité accrue dans la gestion des données sensibles que ces systèmes manipulent.

Ces nouveaux modes de collaboration viennent également engendrer la diffusion de méthodes de travail novatrices pour le secteur public, axées sur l’agilité dans les projets, la fusion des expertises, ainsi que des méthodes de co-construction tout en optimisant le transfert de compétences.

Des solutions sont donc graduellement mises en œuvre par la puissance publique, à l’échelle internationale, européenne, nationale et locale permettant une forte adaptabilité des mesures de protection aux enjeux des différents acteurs publics sur le territoire. Cette prise de conscience s’accompagne d’actions concrètes qui se doivent de tirer parti des leviers déjà à disposition des acteurs pour apporter une sécurisation numérique efficace dans sa couverture et dynamique dans ses capacités de réaction.

Article écrit par une équipe alliant expertise Cyber et Secteur Public :

Emilie Bourhis, Rawan Mohty, Aurélien Dubost; Alexis Bouin et Fabrice Groseil

  • [1] Etude sur la cybercriminalité « Panorama de la menace informatique 2021 » menée par l’ANSSI (09 mars 2022)
  • [2] Ministère de l’Intérieur, Service statistique ministériel de la sécurité intérieure (SMSI) (novembre 2021)
  • [3] Etude du CLUSIF « Menaces informatiques et pratiques de sécurité en France » (30 juin 2020)
  • [4] Mettant en œuvre de plus en plus de solutions SaaS hébergées en externe, dont l’exploitation est possible au travers d’un navigateur. Cette approche permet d’alléger les infrastructures informatiques mais fait peser de nouveaux risques en créant des dépendances métiers et techniques forte avec ces nouveaux acteurs « tiers ».
  • [5] G. Poupard, Directeur de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) lors du discours inaugural du Forum International de la Cybersécurité le 8 juin 2022.

Auteur : Fabrice Groseil

Partner cybersécurité & confiance numérique