Cyberattaque : Protéger le SI, les équipes et les citoyens

La métropole de Nantes regroupe 24 communes et compte plus de 650 000 habitants. C’est aujourd’hui la 6ème plus grande métropole de France.

Nous disposons de services mutualisés entre la ville et la métropole, dont le département des ressources numériques auquel j'appartiens. Nous sommes environ 170 personnes au sein du DRN (département des ressources numériques), sans compter les prestataires externes.

Au-delà de ses missions classiques de DSI, le Département des ressources numériques a en charge d’animer une politique publique sur le territoire, celle du numérique responsable sur plusieurs axes : social, empreinte numérique, développement économique, souveraineté dont la cybersécurité…

La ville et la métropole représentent un peu moins de 10 000 utilisateurs, 8 000 postes, plusieurs milliers de serveurs, et a minima 600 applications métiers répartis sur plusieurs centaines de sites.

Je suis pour ma part rattaché au directeur du DRN en tant que RSSI, en charge de la politique de sécurité des systèmes d’information sur l’ensemble du territoire que couvre la ville et la métropole de Nantes.

Ma principale mission est donc d’animer la PSSI de la métropole, avec une équipe de 4 ingénieurs cybersécurité. Nous faisons également appel à de la prestation extérieure.

Nous avons obtenu la certification ISO 27001 en juin 2015, pour l’ensemble des activités du DRN et nous avons maintenu cette certification depuis.

Cela nous a aidé à structurer assez tôt la prise en compte de la gouvernance autour de la sécurité de l’information.

Ainsi, tout ce qui est amélioration continue de la sécurité de l’information est aujourd'hui bien intégré dans nos activités et nous sommes vraiment orienté vers cela.

Je peux aussi m’appuyer sur le directeur du DRN qui est mobilisé et apporte tout son soutien à l’amélioration continue de nos activités en termes de cybersécurité.

Nous sommes aujourd’hui de plus en plus amenés à nous poser la question de la résilience numérique du territoire.

C’est l’un des grands enjeux pour les mois à venir. Celui de prendre en compte l’impact global sur la métropole en cas de cyberattaque.

Même si notre territoire reste “limité” aux 24 communes de la métropole, nous sommes soumis, dans le cadre du numérique, à une menace qui est mondiale, disposant de compétences très fortes.

Ce sont par exemple des États ayant des intentions malveillantes, mais également des cybercriminels qui cherchent à monétiser leurs attaques.

Nous l’avions constaté il y a quelque temps avec la mairie d’Angers et nous l’avons vu plus récemment avec la mairie de Lille !

Cette dernière estimait par exemple les conséquences financières liées à l’attaque à plus d’1 million d’euros, du fait des conséquences directes que celle-ci a eu sur les processus métiers.

Même si cela est lié, l’impact est d’autant plus fort que nous avons un lien étroit avec les usagers pour des activités du quotidien (que ce soit la petite enfance, les déplacements, la voirie, les déchets etc…).

Comme nos processus métiers reposent aujourd’hui en partie voire en totalité sur des outils numériques, une cyberattaque peut vraiment mettre en péril le bon fonctionnement d’une métropole.

En termes d’incidents, dans le cadre du système de management de la sécurité de l’information ISO 27001, nous sommes amenés à enregistrer tous les événements auxquels nous sommes confrontés.

Cela nous permet de constater depuis 2019, un doublement annuel du nombre d’événements liés à la sécurité de l’information que nous devons résoudre, que ce soit des vulnérabilités à prendre en compte, ou encore des incidents à traiter.

Nous avons également des enjeux forts de protection de l’information en parallèle de cela, puisque l’on dispose de données, potentiellement sensibles, sur les citoyens. Le tout dans un contexte réglementaire qui est celui du RGPD et de la Loi informatique et libertés auxquels nous sommes soumis.

L’ISO 27001 concerne vraiment tout type de structure (publique, privée, de 2 à plusieurs milliers d’agents).

L’intérêt de cette norme est qu'elle fixe des objectifs à atteindre pour se mettre en conformité avec celle-ci. L’annexe A de la norme va par exemple lister 94 mesures à mettre en œuvre pour sécuriser l’information.

Parmi celles-ci, nous allons trouver des mesures techniques (anti-virus, lutte contre les malwares, détection des menaces réseau…), mais aussi des mesures organisationnelles (intégration de la sécurité dans les contrats etc…).

Au sein de la métropole et de la ville de Nantes nous avons également une “Charte métropolitaine de la donnée” qui  pose un cadre éthique pour protéger les citoyens et réguler l’utilisation des données sur le territoire.

Dans cette charte il est fait mention de l’effort qui a été fait par la collectivité pour obtenir et maintenir cette certification ISO 27001 dans le temps. Cette charte est aussi un bon moyen de communication à destination des citoyens.

Nous sommes associés aux communications s’il y a des enjeux autour du numérique via l’élu chargé de ces sujets au sein de la métropole. Le DRN ne communique pas directement mais nous pouvons être consultés sur ces thématiques.

Nous mettons également en œuvre ce que nous appelons des “e-services” au sein de la ville et de la métropole de Nantes qui sont accessibles aux usagers pour tout un ensemble d’offres fournis sous forme numérique (ex : le renouvellement des cartes de transports, l’accès aux bibliothèques, les inscriptions en cantine etc…). Aujourd’hui c’est le DRN qui anime ce réseau.

Dans le cadre de ce projet “e-services”, nous communiquons directement auprès des usagers. Cela passe par exemple par des communications par mail ou sur le site, leur expliquant les pratiques que nous n’aurons jamais en termes de demande de mots de passe etc…

Avec autant d’applications métiers nous sommes face à une offre d’hébergement fournisseur très disparate, même si de plus en plus d'offres hébergées sont proposées.

Nous adaptons systématiquement le mode d’hébergement en fonction des enjeux et des besoins de sécurité liés à la solution.

Sur des données très sensibles, nous pouvons proposer un choix différent à la maîtrise d’ouvrage en fonction des risques liés à telle ou telle solution.

Cela n’empêche pas, dans une réflexion stratégique sur les données sensibles traitées, d’opter pour une offre d’hébergement en SaaS, comme nous l’avons fait pour LockPass, du fait de sa qualification ANSSI.

Il y a quelques années nous avions des fichiers Excel ou des zip chiffrés pour gérer nos mots de passe.

Très vite est apparu le besoin de partager des mots de passe en équipe. Les fichiers Excel ou encore KeePass ne répondaient pas vraiment de façon pertinente à cet usage.

À l’époque, pour répondre à cette problématique, j’ai voulu mettre en place une solution interne. C’était un outil appelé “CADENAS”, en technologie php, avec une base de données en support, et du chiffrement à tous les niveaux, que nous avions fait auditer. La solution était ainsi hébergée en interne, sur des machines davantage protégées, avec des accès restreints.

Cette solution nous a permis de répondre au besoin de partage en interne : 

• Partage des mots de passe d’administration, principalement dans les systèmes numériques autour des équipes d’exploitation
  
  
• Partage des identifiants d’accès aux schémas de bases de données entre les équipes DBA (administrateur de base de données) et les équipes projets qui travaillent sur les données métiers elles-mêmes.

Le temps passant, cela devenait de plus en plus complexe de maintenir cette solution en interne.

Nous avions trouvé un outil open source que nous avons fait auditer et qui a rapidement été compromis.

Nous avons finalement opté pour LockPass, qui répondait à plusieurs critères tels que :

• Le partage entre équipes.
  
  
• Le fait que la solution SaaS nous permette de continuer de fonctionner même si notre SI était en partie compromis.
  
  
• La possibilité de prendre une option d’hébergement en SecNumCloud qui était une garantie d’indépendance vis-à-vis d’acteurs malveillants et une garantie de sérieux de la solution.
  
  
• Le référencement de l’ANSSI qui était aussi un argument fort, puisque nous essayons de suivre leurs recommandations.
  
  
• Et le fait que la solution soit française et hébergée en France ! Aujourd’hui avec le Cloud Act c’est un véritable enjeu d’indépendance. C’est une garantie pour nous, de bon fonctionnement et de sécurité.

LockPass est déployé au sein du département des ressources numériques pour l’ensemble des agents.

L’outil n’est pas encore déployé à l’ensemble de nos 10 000 agents, mais c‘est une réflexion en cours.

Aujourd’hui auprès de ces populations, nous avons un plan de communication annuel autour des menaces générales. Nous sommes très orientés autour des attaques de type phishing qui peuvent amener à compromettre des identifiants et mots de passe.

Nous sensibilisons également les utilisateurs qui font usage du trousseau de mots de passe de leur navigateur de l’importance dans ce cas, d’avoir un mot de passe principal fort.

LockPass nous permet vraiment d’avoir la garantie qu’en cas de défaut complet de notre SI, nous disposons tout de même de l’intégralité de nos identifiants d’accès. C’est également la garantie d’un outil sécurisé d’une autre manière, ce qui offre une sécurité complémentaire.

Nous faisons également des exports manuels réguliers de la base, que nous ne stockons pas sur notre SI. Cela nous permet de gérer l’ensemble des possibilités d’attaques et de pouvoir en toute circonstance garder la main sur nos accès.

Nous avons des périmètres par équipes avec des possibilités de partage dans des sous-catégories pour gérer finement les accès.

Au niveau des usages, chacun est libre d’utiliser l’application web, l’extension navigateur ou l’application mobile en fonction de ses besoins.

NIS2 est une très bonne chose ! Cela va venir étendre dans l’ensemble des pays membres de l’Union européenne, le nombre d’entités devant mettre en place des mesures de protection pour la sécurité des systèmes d’information.

À date, nous sommes encore dans l’attente des directives qui seront données par l’ANSSI, afin de savoir à quelle taille de collectivités pourrait s’appliquer NIS2.

Évidemment, cela apporterait des contraintes supplémentaires en termes de processus métiers autour de la cybersécurité. Mais de notre côté, nous avons déjà, d’un point de vue organisationnel, fait ce travail de mettre en place une gouvernance, d’intégrer la sécurité au plus près avec la certification ISO 27001.

Ce travail amont facilitera notre prise en compte potentielle de cette nouvelle réglementation.

À mon sens, cette directive va vraiment dans le bon sens. Le fait que les prestataires amenés à intervenir sur les SI puissent afficher leur conformité à NIS2 va nécessairement amener une montée en compétences et en maturité de l’ensemble de l’écosystème, bénéfique autant pour nous que pour des collectivités plus petites.

En revanche, la question des moyens mis à disposition des collectivités pour se mettre en conformité devra être posée !