Cybersécurité collaborative des territoires

Alors que l’Etat et les grandes structures publiques et privées développent des politiques de cybersécurité performantes, les territoires (départements, agglomérations de tailles moyenne…) pourraient être le point aveugle du besoin d’évoluer dans un environnement cyber sain et sécurisé. L’auteur propose une analyse claire du besoin et enjeux d’une approche collaborative de la cyber sécurité au sein de ces territoires.

Olivier KEMPF

Les opinions exprimées dans cet article n'engagent pas le CNAM.

Les références originales de ce texte sont : “Cybersécurité collaborative des territoires”, écrit par Olivier KEMPF. Ce texte, ainsi que d’autres publications, peuvent être consultés sur le site du CREOGN.

La cybersécurité collaborative est à l’ordre du jour. Pourtant, elle est aujourd’hui surtout une préoccupation des grandes structures, publiques ou privées, qui cherchent une approche à 360 degrés de leur cybersécurité. Or, les territoires ont aussi besoin de cybersécurité et force est de constater qu’ils sont loin de pouvoir mettre en œuvre des politiques de sécurité des systèmes d’informations. Pourtant ils sont autant victimes que d’autres et leur situation nécessite également une approche multi-acteurs. En conséquence la cybersécurité des territoires ne pourra être que collaborative. C’est le cœur du programme du nouvel Institut national de la cybersécurité et la résilience des territoires1 (INCRT) : aller écouter les^[1] besoins et tenter de trouver les réponses adaptées et concrètes à chaque situation.

La Cybersécurité collaborative, préoccupation des grosses structures

Il n’existe à vrai dire pas de définition agréée de la cybersécurité collaborative. Constatons tout d’abord que nombre de pratiques du cyberespace sont fondées sur des méthodes collaboratives, permises d’ailleurs par des outils mis à la disposition de tous : ainsi, Wikipédia (comme tous les processus Wiki) part de la contribution de beaucoup pour fonder, petit à petit, un corpus encyclopédique désormais reconnu, malgré les quelques critiques qu’il peut encore susciter.

De même, le phénomène des logiciels en source ouverte (open source) part du principe que tout un chacun peut contribuer à l’élaboration puis l’amélioration du code logiciel mis à disposition (gratuitement) du public. En termes de sécurité, d’aucuns pensent d’ailleurs que cette ouverture du code, en évitant structurellement les portes dérobées et autres failles cachées, permet donc une meilleure sécurité. Enfin, en termes de gouvernance du cyberespace, beaucoup ont reproché la mainmise des grands États ou des grands acteurs de l’Internet. Ainsi, la notion d’approche « multi-acteurs » a été promue il y a quelques années lors des débats sur la gouvernance de l’ICANN^[2]. Une telle approche a d’ailleurs été reprise récemment lors de l’appel de Paris^[3].

Cette diversité d’exemples montre que le monde numérique connaît, depuis longtemps, les méthodes collaboratives. Elles existent également dans le domaine spécifique de la cybersécurité. Le cyberespace permet tout d’abord des phénomènes de coalescence : divers acteurs, à l’origine ayant des intérêts divergents, se rassemblent sur tel ou tel projet pour produire une action numérique, positive ou négative selon leur mobile. Le premier exemple qui vient à l’esprit est celui des Anonymous. Même s’ils ont perdu un peu de relief ces dernières années, ils s’assemblaient pour une cause qui leur semblait juste et visaient une cible de façon à lui faire corriger son comportement.

De même, on pourrait parler d’insécurité collaborative en pensant aux groupes de pirates qui s’assemblent pour augmenter leurs chances d’atteindre leurs cibles. Les dénis de service distribué (DDOS) constituent eux aussi des processus collaboratifs, puisque l’agresseur mobilise de nombreuses machines pour faire converger des requêtes sur la cible. De même, une des sources importantes d’insécurité vient de la mobilisation de machines utilisées à distance (sans la connaissance de leur propriétaire) afin de miner^[4] du bitcoin. Il y a ainsi de multiples façons de faire travailler des ordinateurs ensemble pour réaliser des actions illégales et construire une cyberinsécurité collaborative.

À l’inverse, des hackers blancs peuvent contribuer à la cybersécurité coopérative au moyen des systèmes de Bug Bounty, qui permettent à des individus de tester les failles de telle ou telle société qui le demande, avec récompense à la clef. Cette diversité constitue un atout qui vient compléter les processus plus usuels de sécurité intégrée (Security by design et Devsecops) ou l’utilisation de sociétés d’audit qui font des tests de pénétration. Fondamentalement, on ne saurait réduire la cybersécurité collaborative à ces seuls exemples des logiciels en source ouverte ou des Bug bounty.

Elle désigne la coopération d’acteurs de niveaux différents, qu’ils soient au sein de l’organisation ou entre organisations de pied différent. Il peut s’agir de la coopération entre l’échelon de direction, les spécialistes techniques (DSI et RSSI) et les divisions techniques (production, marketing, communication). Cela peut surtout concerner la coopération entre des organisations du même secteur, le régulateur ou les autorités locales, les spécialistes du numérique (infrastructures, plateformes, grands comptes), les fournisseurs, les partenaires et les clients. Tous ont un point de vue et un intérêt bien différents mais partagent aussi une bonne sécurité de leurs systèmes (matériels, logiciels, données). Pour autant, bien peu sont prêts à faire l’effort nécessaire et chacun à tendance à reporter sur l’autre la responsabilité de cette sécurité et son coût associé. Pourtant, chacun participe à un certain écosystème et contribue à sa résilience, un des attributs de la cybersécurité.

Les territoires ont un grand besoin de cybersécurité

Il reste que cette approche s’intéresse dans les faits aux grands organismes : États, grandes sociétés, OIV, grosses ETI, régions. L’échelon inférieur est négligé. Les spécialistes de la cybersécurité parlent bien sûr des individus (citoyens, consommateurs, usagers), ils s’intéressent aussi à leurs collaborateurs à qui il faut enseigner les règles d’hygiène numérique, mais cela ne va guère au-delà. C’est pourquoi il nous semble intéressant de partir de l’échelon du territoire pour aborder cette question de la sécurité collaborative. Constatons simplement qu’en fait, seule la collaboration peut permettre de faire émerger une certaine cybersécurité dans les territoires.

Tout d’abord, qu’est-ce qu’un territoire ? Disons pour commencer ce qu’il n’est pas : ce ne peut être une des très grosses agglomérations urbaines supérieures à 200 ou 300 000 habitants. À ce niveau de population et de densité, la problématique du responsable sera proche de celle d’un grand compte, public ou privé. Il aura un service informatique conséquent et une équipe constituée de spécialistes de la SSI, avec des outils appropriés à la défense de ses SI.

Dès lors, tout ce qui est en dessous répond à cette approche des territoires : il peut s’agir de l’échelon départemental, dont on a vu pendant la pandémie qu’il avait une dimension optimale pour avoir d’une part assez de moyens d’action, d’autre part une proximité avec population que des plus grosses entités (les régions, l’État) n’ont pas. Il semble qu’il s’agit de l’échelon principal de résilience, quelle que soit la crise, sanitaire, catastrophique ou cyber.

Il peut s’agir ensuite des agglomérations moyennes, d’une taille entre 50 000 et 200 000 habitants : elles sont souvent structurées autour d’un pôle, qui n’est d’ailleurs pas forcément le chef-lieu du département et qui ordonne le territoire alentours. Cette notion est très contingente et empêche toute généralisation. Le territoire d’influence dépend de plusieurs facteurs qui coïncident rarement avec les limites administratives : bassin d’emploi, situation économique et démographique, présence d’une agglomération concurrente à proximité (à plus ou moins de 50 km), structure des réseaux de communication (autoroutes, TGV), etc. Enfin, les agglomérations ont déjà des structures existantes de coopération, celles des établissements publics de coopération intercommunale (EPCI) et notamment des communautés d’agglomération.

Or, si le chef-lieu du territoire, à l’échelon de la ville, peut éventuellement avoir la taille suffisante pour conduire une politique de sécurité des systèmes d’information (PSSI), très rares sont les exemples de communautés d’agglomération qui s’en sont dotée. Pourtant, la communauté permet de rassembler de nombreuses communes limitrophes, d’une dizaine à plus d’une centaine selon les cas, mobilisant une population plus importante et exerçant une influence élargie sur le territoire et son environnement. Surtout, l’agglomération permet d’inclure des petites communes qui ont rarement par elles-mêmes la taille et les compétences pour définir et conduire une PSSI. Le plus souvent, ces communes comptent moins d’une dizaine de milliers d’habitants avec souvent une double préoccupation : celle de la proximité de la grande ville et celle d’une histoire rurale qui demeure prégnante.

Or, les communes sont comme les autres des victimes potentielles de cyberagressions : elles manipulent de nombreuses données sensibles, elles ont des budgets et font l’objet comme d’autres entités de rançonnages ou de rumeurs. La taille importe peu et l’on a constaté que même des petites communes étaient la cible de rançonnage^[5]. Or, les édiles sont aujourd’hui peu sensibilisés à ces questions et s’imaginent, comme beaucoup de PME et PMI, que la commune est trop petite pour constituer une cible. Funeste erreur, trop souvent partagée dans le monde économique, qui fait pourtant des dégâts.

Ne réduisons pourtant pas les territoires à leurs seules structures publiques, des EPCI aux différents syndicats mixtes. Les territoires incluent évidemment une population mais aussi une activité économique, constituée parfois de gros établissements, plus souvent de beaucoup de PME et PMI mais aussi d’indépendants. Certains de ceux-ci manient des données sensibles (notaires, médecins, comptables, pharmaciens, huissiers). Or, la plupart font confiance à un prestataire informatique de proximité, le plus souvent compétent en matière informatique mais plus rarement pour les questions de cybersécurité.

La cybersécurité des territoires nécessite la collaboration

Un territoire est donc constitué de plusieurs acteurs à l’activité intriquée, des intérêts évidemment communs mais des préoccupations également divergentes. Il serait vain de demander à chacun de faire un effort si celui-ci n’était pas coordonné. La conclusion est évidente : dans un territoire, la cybersécurité ne peut être que collaborative. Elle doit mobiliser tous les acteurs, ceux responsables du bien public (maires, présidents d’intercommunalités, préfets, Gendarmerie nationale), mais aussi ceux ayant des préoccupations plus économiques (associations professionnelles, dirigeants d’entreprises locales, syndicats mixtes spécialisés).

Il faut d’abord écouter les besoins et mener des actions de sensibilisation. L’ANSSI a ainsi mis en place une organisation territoriale, avec des délégués en région, et elle a récemment publié un guide consacré à l’essentiel de la réglementation de cybersécurité à destination des collectivités territoriales^[6]. Le Pôle d’Excellence Cyber^[7] a également rendu public, en novembre 2020, un guide pratique de cybersécurité des collectivités territoriales. Certaines initiatives ont vu le jour, comme celles de la Gendarmerie nationale dans le Morbihan (Hermès 56) ou encore certaines étapes du Cybercercle en province, tandis que cybermalveillance.fr développe des actions décentralisées de sensibilisation ou que le magazine Acteurs publics publie régulièrement des articles sur le sujet. De même, quasiment toutes les régions ont lancé des initiatives sur la cybersécurité. Il faudra ensuite recenser l’existant, variable d’un territoire à l’autre, certains s’étant déjà saisis du problème alors que d’autres n’en sont qu’aux premières étapes de la prise de conscience. Enfin, il faudra imaginer des projets concrets, adaptés à chaque situation. La notion de « solution », souvent utilisée par des grands éditeurs de logiciels, s’applique finalement assez peu en la matière.

Il reste que ce travail doit être conduit car à l’heure du télétravail généralisé et de la néo-ruralisation (ou plus exactement, la sortie des grandes métropoles), la dimension numérique des territoires constitue un aspect essentiel de leur attractivité économique. Or, la cybersécurité constitue désormais une dimension essentielle de cette attractivité numérique. Souvent considérée comme un centre de coût, la cybersécurité est en train de devenir un centre de profit. On ne peut pas lancer de grands projets de Smart city sans inclure une forte dimension de cybersécurité.

Après les nombreuses initiatives lancées depuis une quinzaine d’années et la constitution d’un solide dispositif national (ANSSI, Livre blanc sur la cybersécurité, OIV, Pôle d’excellence cyber, COM CYBER, cybermalveillance.fr, Forum FIC, campus cyber, etc.), il est temps désormais de s’intéresser au maillage territorial de notre pays et de construire la résilience cyber et économique de cet écosystème.

References[+]

References
↑1	https://www.cyberterritoires.fr/.
↑2	http://www.senat.fr/es-pace_presse/actualites/201606/quelle_supervision_internationale_de_licann.htm.
↑3	https://www.diplomatie.gouv.fr/fr/politique-etrangere-de-la-france/diplomatie-numerique/les-domaines-d-action-de-la-diplomatie-numerique-francaise/garantir-la-securite-internationale-du-cyberespace-a-travers-le-renforcement-de/article/cybersecurite-appel-de-paris-du-12-novembre-2018-pour-la-confiance-et-la.
↑4	Le minage c’est le procédé par lequel les transactions Bitcoin sont sécurisées. A cette fin, les « mineurs » effectuent avec leur matériel informa-tique des calculs mathématiques pour le réseau Bitcoin. Comme récompense pour leurs services, ils collectent les bitcoins nouvellement créés ainsi que les frais des transactions qu’ils confirment.
↑5	Pour avoir un point des différentes agressions contre les communes, voir O. Kempf, « Cybersécurité et résilience, les grandes oubliées des territoires », Notes de la FRS n° 30/2020, 14 mai 2020.
↑6	ANSSI, janvier 2020, « Sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ».
↑7	https://www.pole-excellence-cyber.org/presentation-du-pole.