Les administrations publiques constituent des cibles privilégiées pour les cyberattaquants. Afin de garantir le bon fonctionnement de la société et assurer la continuité des services essentiels à la population, la nouvelle directive européenne NIS2 les contraint à mieux prendre en compte les risques liés à la sécurité informatique et à renforcer leur cyber résilience. Dans cette optique, pour transformer la contrainte en opportunité, elles doivent engager une démarche d’amélioration continue.
Face à l’évolution des cybermenaces, la directive NIS2 adoptée par le législateur européen oblige des acteurs considérés comme essentiels au bon fonctionnement de la société à renforcer leur niveau de sécurité. La nouvelle mouture de cette directive a considérablement élargi le périmètre d’application de la réglementation, obligeant un plus grand nombre de structures à adopter les meilleures pratiques en matière de cybersécurité. Les administrations communales, notamment, sont directement concernées.
Les communes, des cibles privilégiées
« Depuis l’invasion de l’Ukraine par les troupes russes, on constate une intensification de l’activité des groupes cybercriminels soutenus par des puissances étatiques, commente Aline Moyret, GRC Practice Manager au sein de DEEP. Les acteurs malveillants ciblent en particulier les entités qui gèrent des données sensibles, dont les ressources sont limitées, qui mènent une activité essentielle pour le bon fonctionnement de la société. Parmi ceux qui correspondent à cette description, on retrouve notamment les administrations communales. »
Les risques sont conséquents. Récupérer des données cadastrales permet par exemple aux attaquants de générer du profit, ces informations pouvant être bien valorisées sur le darknet, mais aussi de créer des tensions immobilières sur les marchés. Il y a plusieurs mois de cela, la Ville de Marseille a été paralysée en raison d’un ransomware. Pendant toute une période, plusieurs services essentiels à la population ont été perturbés.
Perturber le bon fonctionnement de la société
En cherchant à bloquer ou à perturber le bon déroulement des activités des administrations communes, les attaquants cherchent avant tout à mettre à mal les institutions, à exercer des moyens de pression sur les autorités publiques. « La menace est réelle au Luxembourg, comme en témoignent les observations du National Cybersecuirty Competence Center (n3c.lu). Depuis plusieurs mois, on constate une hausse des attaques portées par des groupes liés à la Russie ou à la Corée du Nord. Et les administrations publiques se révèlent être les entités les plus ciblées », ajoute Aline Moyret.
Face à ces risques, le renforcement de la réglementation oblige les administrations publiques, et notamment les communes, à prendre les mesures nécessaires pour faire face aux cyberattaques et, en cas d’incident, limiter l’impact sur leur capacité à délivrer les services. « Autrement dit, les acteurs communaux doivent chercher à renforcer leur cyber résilience, en se préparant à tout éventuel incident et en s’assurant qu’ils seront en mesure de poursuivre leurs activités essentielles », ajoute l’experte.
Une réelle prise de conscience
Pour les acteurs communaux, ces nouvelles exigences impliquent de s’inscrire dans une démarche de transition. « La plupart des dirigeants ont aujourd’hui pris la mesure de l’enjeu. Ils sont aussi conscients qu’ils font partie d’une chaîne de valeur, dont l’élément le plus faible détermine le niveau de sécurité de l’ensemble de l’écosystème, poursuit Aline Moyret. Ils comprennent qu’il est nécessaire de renforcer leur posture de sécurité, mais déplorent un manque de moyens, à la fois humains et financiers. Ce manque de ressources, notamment au sein des administrations communales, ne permet souvent pas de bien appréhender ces enjeux. »
Renforcer chaque élément de l’écosystème européen
Par l’intermédiaire de NIS2, le législateur veut renforcer les capacités en cybersécurité d’un vaste écosystème à travers toute l’Union européenne. La poursuite de cet objectif implique d’en renforcer chaque élément, en invitant les acteurs à mieux évaluer les risques et à prendre les mesures nécessaires pour les prévenir. « Il faut garantir la continuité des activités essentielles au bon fonctionnement de la société dans son ensemble, cela en ayant conscience des nombreuses interdépendances qui existent à l’échelle des acteurs de l’Union européenne », précise Aline Moyret.
De nouvelles exigences
Pour engager les acteurs dans cette voie, la directive impose une série d’exigences. « Par exemple, les organes de direction peuvent être tenus pour responsables en cas de défaillance. Ceux-ci doivent donc disposer d’une bonne connaissance des risques et prendre les mesures nécessaires pour les contrer », explique Aline Moyret.
La réglementation définit aussi des mesures minimales de cybersécurité à mettre en place. Elle oblige par ailleurs les entités à notifier des incidents constatés auprès des régulateurs suivant des modalités bien établies.
Partir des risques pour mieux se préparer
« Pour faire face à ces nouvelles exigences, et renforcer leur résilience, les autorités communales doivent donc se préparer. Je pense qu’il est important de voir cette directive comme une opportunité, un levier d’amélioration de la sécurité au service de l’ensemble de la société, ajoute l’experte. Chaque administration, dans ce contexte, doit donc mettre en place des stratégies et des politiques de sécurité au départ d’une analyse de risque. Il faut pour cela disposer d’une bonne compréhension de son environnement informatique, pouvoir identifier avec l’ensemble des équipes ce qu’il est essentiel de protéger, déterminer les mesures à prendre pour optimiser la protection des données critiques. Au-delà, il faut renforcer sa capacité à gérer les incidents. »
Une démarche d’amélioration continue
Si cette réglementation peut paraître extrêmement contraignante, elle doit avant tout engager les acteurs dans une démarche d’amélioration continue. « Une approche par les risques, qui tient compte du contexte et des vulnérabilités, permet de fixer les priorités et de mieux cerner les besoins en sécurité pour y répondre le plus efficacement possible, explique Aline Moyret. Cela permet aussi de mettre en place les éléments de contrôle pour détecter les incidents, savoir ce qui se passe dans son environnement. L’autre grand enjeu, c’est de se préparer à une éventuelle crise, en proposant des exercices, en anticipant certains scénarios. »
Depuis de nombreuses années, le groupe POST accompagne des acteurs dans la gestion de leurs risques, le renforcement de leur sécurité, proposant des solutions de continuité de service et de cyber résilience. Toute cette expertise est aujourd’hui rassemblée au sein de DEEP, pour accompagner les acteurs privés et publics et les aider à améliorer de manière continue leur posture de sécurité.
