Pour sécuriser les petites communes, faut-il mutualiser les RSSI ?

Les attaques au ransomware ont mis en lumière la vulnérabilité des communes françaises face aux attaques informatiques au cours de l’année passée. Si les attaques ayant visé les grandes métropoles comme Marseille ont fait beaucoup parler d’elles, les communes de taille plus modestes n’ont pas échappé aux ransomware : Mitry-Mory, Antony, Morière-lès-avignons, la liste des victimes est longue et loin d’être exhaustive.

L’initiative de l’Anssi

La situation n’a pas échappé à l’Anssi et au gouvernement, qui ont commencé en début d’année à s’appuyer sur les fonds alloués à l’agence dans le cadre du plan de relance pour financer un soutien à la sécurisation des collectivités territoriales et des établissements de santé, deux secteurs particulièrement touchés par les attaques aux ransomware. «  Nous avons mis en place différentes mesures » expliquait Gwenaëlle Martinet, chef du projet France Relance à l’Anssi, lors de la conférence de presse consacrée au rapport d’activité 2020 de l’agence. « Tout d’abord la mise en place de « parcours sécurité », visant à comprendre le niveau de maturité des bénéficiaires, voire à mettre en place des actions de premier niveau pour les acteurs les plus avancés. » Des audits de sécurité financés par l’Anssi, et confiés à des acteurs privés, afin de mieux comprendre l’état de sécurité des collectivités territoriales intéressées. « Nous avons actuellement 230 bénéficiaires qui profitent d’un de ces parcours, qui travaillent avec un prestataire » précise Gwenaëlle Martinet.

Le second volet du plan s’adresse lui à des collectivités territoriales plus matures en terme de sécurité et qui souhaitent bénéficier des aides de l’Anssi pour cofinancer un projet de sécurisation, prenant la forme d’achat de matériel ou de logiciel par la collectivité. Les grandes lignes de ce plan avaient déjà été présentées au travers d’une lettre transmises aux collectivités territoriales en début d’année.

Viser le bon niveau

Restait une question en suspens : celle des plus petites collectivités territoriales, les nombreuses petites communes qui n’ont pas toujours les moyens de s’offrir des équipements ou des outils dédies à la sécurité mais qui restent néanmoins ciblées par ces attaques. Et l’Anssi n’a pas les moyens de financer des audits de sécurité pour l’ensemble des communes de France, même avec les moyens alloués dans le cadre du plan de relance.

Interrogée à ce sujet, Gwenaëlle Martinet explique la logique de l’agence en la matière : « Il n’y a pas à proprement parler de seuil de population pour accéder à ces parcours de cybersécurité, mais il y a un critère de maturité technique. Il faut que la commune ait un service informatique ou un RSSI, qui pourra être notre interlocuteur dans le cadre de ce parcours. C’est celui qui sera en mesure de comprendre ce que l’on fait et de le faire perdurer dans le temps une fois le parcours achevé. » Mais avec 36 000 communes dans le pays, on imagine mal les mairies de 3000 habitants se doter d’un RSSI quand certaines ont déjà bien du mal à assurer leur fonctionnement au quotidien. La chef de projet de l’Anssi évoque une piste : celle de la mutualisation des RSSI pour les plus petites communes.

La mutualisation des ressources informatiques n’est pas une idée complètement nouvelle. C’est notamment l’objet des différentes associations et structures fédérées au sein du réseau Declic, avec lequel l’Anssi avait passé un partenariat en 2020. Si l’approche existe déjà pour de nombreuses fonctions liées à l’informatique, décliner celle ci pour le domaine de la sécurité est une chose assez nouvelle, comme nous l’explique Emmanuel Vivé, président du réseau Déclic et DG de l’Adico : « On commence depuis quelques temps à proposer des services de RSSI mutualisés au sein de nos structures, en s’inspirant du modèle des DPO mutualisés qui se sont crées avec l’entrée en vigueur du RGPD. On décline la logique et on essaie de convaincre les autres organisations du réseau Declic de faire de même. » Pour l’instant, une poignée de structures ont mis en place ce type de prestations, entièrement financées par les communes adhérentes. « Il s’agit toujours de trouver le bon équilibre financier pour proposer ce type de prestation et surtout de convaincre les communes qu’elles ont un intérêt à les financer » explique Emmanuel Vivé.

« On tombe sur des serveurs vieux de douze ans »

L’idée est nouvelle mais elle fait son chemin, et les premiers RSSI mutualisés travaillent déjà avec des communes. La tache se concentre principalement sur la mise en place d’audits RGS auprès des communes intéressées. « Il faut bien comprendre qu’on part de loin avec ces organisations. On tombe des fois sur des serveurs qui sont là depuis douze ans, sans mise à jour. La sécurité informatique n’est pas une priorité pour les maires des petites communes, donc le travail c’est avant tout de les sensibiliser et de revoir les bases en la matière. Le référentiel RGS est bien fait pour ces cas de figure, il n’est pas trop technique et permet d’aborder le sujet de façon concrète » explique le dirigeant du réseau Declic. Les actions d’un RSSI de ce genre se concentrent principalement sur la sensibilisation et sur l’audit des communes. Ce qui ne l’empêche pas d’aller intervenir directement lorsqu’une situation de crise se présente, mais cela reste une exception.

Reste que si l’idée commence à prendre forme, elle reste délicate à mettre en œuvre. Il est par exemple difficile de recruter des profils expérimentés, surtout quand les moyens des communes et des structures de mutualisation sont bien en deçà des prix du marchés. « Dans la plupart des cas, on préfère former des gens de chez nous » confie Emmanuel Vivé. Ce qui ne signifie pas non plus que la tache sera simple : principe de libre administration des collectivités territoriales oblige, chaque système informatique est différent et présente ses spécificités propres, une complexité de plus pour un RSSI qui devra auditer et conseiller plusieurs dizaines de communes dans l’année. Et il faut enfin convaincre les élus de l’intérêt de la démarche, qui n’est pas toujours considéré comme une priorité.