Quelle que soit leur taille, les lignes bougent – peu à peu – au sein des collectivités publiques, quand il est question de cybersécurité. L’enjeu y est essentiellement humain : attirer l’attention des dirigeants, faire entrer les bonnes pratiques dans les mœurs, et trouver les leviers d’action qui fonctionnent le mieux, à moindre coût. Pas si différent de ce que recherchent de nombreuses entreprises.

| Cet article fait partie du dossier « Cybersécurité : 2018, année de changements ? »

La façade côté jardin du château de Compiègne (Oise, France) ; le château actuel est élevé principalement de 1751 à 1789 © 2005 Idarvol

Le rançongiciel Wannacry aura-t-il été la goutte d’eau qui a fait déborder le vase ? Pour beaucoup de collectivités françaises, les mois de mai-juin dernier ont été en tout cas l’occasion de noter des signes encourageants, en termes d’intérêt pour un sujet mal-aimé : la sécurité numérique. « C’est ce qui nous a fait le plus changer en 2017, je pense. Nous avons pour la première fois eu un e-mail d’un élu qui souhaitait en savoir plus. Étions-nous concernés ? Qu’avions nous prévu pour que cela ne nous affecte pas ? Bref, la médiatisation autour du sujet a permis de faire la différence. » estime ainsi Jérôme Masse, adjoint au DSI pour la ville et l’agglomération de Compiègne (Oise). Ils sont nombreux à penser que l’effet d’entrainement autour des ransomwares a permis de faire passer un certain nombre de messages. « Quand une information de ce genre apparait au « Vingt Heures » ou dans Les Echos, d’un coup on arrive à renouer le dialogue. Aujourd’hui, j’ai régulièrement des personnes du service communication qui m’envoient des liens d’articles pour attirer mon attention sur des sujets sécurité. C’est une vraie nouveauté » confirme ainsi Ernest Sossavi, responsable de l’architecture technique et sécurité à la DSI du département de Seine-et-Marne.

Une amorce de dialogue qui ne résout évidemment pas le casse-tête de la cybersécurité dans des organisations publiques, mais qui permettent de de rationaliser la perception du risque. « Il y a tellement de fantasmes sur le sujet qu’il faut absolument ces discussions pour amener du bon sens et des réactions pragmatiques. Le « risque » ne devrait pas être un sentiment flou : c’est une donnée objective qui permet de se projeter et de faire des choix » explique encore Ernest Sossavi. En Seine-et-Marne c’est d’ailleurs la nomination d’un nouveau directeur des systèmes d’information, souhaitant avoir une vue globale et à jour de la situation, qui a permis d’avancer dans un contexte où la transformation digitale contribue à un sentiment de confusion et d’urgence.

Reste ensuite à mettre en place les actions qui permettront d’aller plus loin qu’un simple intérêt curieux. « Pas besoin de sortir d’une grande école et d’avoir un cursus sécurité pour pouvoir faire la différence… il suffit de donner l’envie d’agir. C’est le message à faire passer » note Jérôme Masse, pour qui la prise de conscience a eu lieu en 2013 lors d’un passage sur les Assises de la sécurité à Monaco. Il est depuis un « adjoint au DSI emballé par la sécurité ». De quoi amener un peu de sérénité alors que Compiègne a commencé en décembre le déploiement de 120 tablettes pour épauler les nouveaux usages numériques des élus. Grâce à une complicité naturelle avec le DSI, le projet a pu intégrer dès la première discussion le sujet sécurité. La possibilité de s’appuyer sur l’un des 13 référents régionaux de l’ANSSI est également un avantage précieux pour de petites organisations, selon lui.

Quant aux collaborateurs « hors de la DSI », l’important est de faire de la cybersécurité un sujet du quotidien, sans mystère. « J’ai créé une communauté interne, un peu informelle, où on vient discuter d’un jour à l’autre avec un juriste ou un expert, pour apprendre des choses très pragmatiques. En deux semaines, ma hiérarchie a compris l’intérêt : cela permet de faire de la sécurité un sujet comme un autre. Dorénavant, lors de nos « journées de l’agent », nous avons des cours de yoga et de tai-chi-chuan comme de cybersécurité ou de réseaux sociaux ! » témoigne Ernest Sossavi. L’intérêt est double puisque les « cours » sont préparés avec des acteurs qui ne sont pas des experts techniques, et qui utilisent un langage accessible à tous.

Le sujet parait trivial ? Il est clé, alors que le déploiement de nouveaux outils et logiciels de sécurité dans de telles organisation n’a de sens qu’avec une évolution généralisée des usages. « Quand nous avons mis en place Wallix Bastion, c’est-à-dire la gestion des comptes à privilèges ou PAM, par exemple, ce que l’on a constaté c’est qu’il fallait accompagner les équipes et mettre en place une conduite du changement. Le PAM contrôle les accès au système d’information et permet de tracer qui a fait quoi, quand et comment. On en vient progressivement à changer toutes les habitudes de travail, d’abord des acteurs à privilèges, puis de tout le monde. » illustre Ernest Sossavi. Il précise : « On en arrive à déléguer du pouvoir et à générer de la confiance. Et faire confiance aux utilisateurs permet de favoriser la transversalité, les décisions rapides, qui sont nécessaires dans des contextes de transformation. » Grâce à ces initiatives croisées, en Seine-et-Marne, la cybersécurité n’est plus vu comme un tabou ou un caprice d’expert technique depuis quelques temps. Ce n’est sans doute pas la fin du chemin, mais c’est pourtant un acquis culturel que beaucoup d’entreprises rêveraient de faire valoir à leur tour.