Cybersécurité collaborative des territoires

Mis en ligne le 16 Nov 2021

Alors que l’Etat et les grandes structures publiques et privées développent des politiques de cybersécurité performantes, les territoires (départements, agglomérations de tailles moyenne…) pourraient être le point aveugle du besoin d’évoluer dans un environnement cyber sain et sécurisé. L’auteur propose une analyse claire du besoin et enjeux d’une approche collaborative de la cyber sécurité au sein de ces territoires.

Les opinions exprimées dans cet article n'engagent pas le CNAM.

Les références originales de ce texte sont : “Cybersécurité collaborative des territoires”, écrit par Olivier KEMPF. Ce texte, ainsi que d’autres publications, peuvent être consultés sur le site du CREOGN.

La cybersécurité collaborative est à l’ordre du jour. Pourtant, elle est aujourd’hui surtout une préoccupation des grandes structures, publiques ou privées, qui cherchent une approche à 360 degrés de leur cybersécurité. Or, les territoires ont aussi besoin de cybersécurité et force est de constater qu’ils sont loin de pouvoir mettre en œuvre des politiques de sécurité des systèmes  d’informations. Pourtant ils sont autant victimes que d’autres et leur situation nécessite également une approche multi-acteurs. En conséquence la cybersécurité des territoires ne pourra être que collaborative. C’est le cœur du programme du nouvel Institut national de la cybersécurité et la résilience des territoires1 (INCRT) : aller écouter les[1] besoins et tenter de trouver les réponses adaptées et concrètes à chaque situation.

La Cybersécurité collaborative, préoccupation des grosses structures

Il n’existe à vrai dire pas de définition agréée de la cybersécurité collaborative. Constatons tout d’abord que nombre de pratiques du cyberespace sont fondées sur des méthodes collaboratives, permises d’ailleurs par des outils mis à la disposition de tous : ainsi, Wikipédia (comme tous les processus Wiki) part de la contribution de beaucoup pour fonder, petit à petit, un corpus encyclopédique désormais reconnu, malgré les quelques critiques qu’il peut encore susciter.

De même, le phénomène des logiciels en source ouverte (open source) part du principe que tout un chacun peut contribuer à l’élaboration puis l’amélioration du code logiciel mis à disposition (gratuitement) du public. En termes de sécurité, d’aucuns pensent d’ailleurs que cette ouverture du code, en évitant structurellement les portes  dérobées et autres failles cachées, permet donc une meilleure sécurité. Enfin, en termes de gouvernance du cyberespace, beaucoup ont reproché la mainmise des grands États ou des grands acteurs de l’Internet. Ainsi, la notion d’approche « multi-acteurs » a été promue il y a quelques années lors des débats sur la gouvernance de l’ICANN[2]. Une telle approche a d’ailleurs été reprise récemment lors de l’appel de Paris[3].

Cette diversité d’exemples montre que le monde numérique connaît, depuis longtemps, les méthodes collaboratives. Elles existent également dans le domaine spécifique de la cybersécurité. Le cyberespace permet tout d’abord des phénomènes de coalescence : divers acteurs, à l’origine ayant des intérêts divergents, se rassemblent sur tel ou tel projet pour produire une action numérique, positive ou négative selon leur mobile. Le premier exemple qui vient à l’esprit est celui des Anonymous. Même s’ils ont perdu un peu de relief ces dernières années, ils s’assemblaient pour une cause qui leur semblait juste et visaient une cible de façon à lui faire corriger son comportement.

De même, on pourrait parler d’insécurité collaborative en pensant aux groupes de pirates qui s’assemblent pour augmenter leurs chances d’atteindre leurs cibles. Les dénis de service distribué (DDOS) constituent eux aussi des processus collaboratifs, puisque l’agresseur mobilise de nombreuses machines pour faire converger des requêtes sur la cible. De même, une des sources importantes d’insécurité vient de la mobilisation de machines utilisées à distance (sans la connaissance de leur propriétaire) afin de miner[4] du bitcoin. Il y a ainsi de multiples façons de faire travailler des ordinateurs ensemble pour réaliser des actions illégales et construire une cyberinsécurité collaborative.

À l’inverse, des hackers blancs peuvent contribuer à la cybersécurité coopérative au moyen des systèmes de Bug Bounty, qui permettent à des individus de tester les failles de telle ou telle société qui le demande, avec récompense à la clef. Cette diversité constitue un atout qui vient compléter les processus plus usuels de sécurité intégrée (Security by design et Devsecops) ou l’utilisation de sociétés d’audit qui font des tests de pénétration. Fondamentalement, on ne saurait réduire la cybersécurité collaborative à ces seuls exemples des logiciels en source ouverte ou des Bug bounty.

Elle désigne la coopération d’acteurs de niveaux différents, qu’ils soient au sein de l’organisation ou entre organisations de pied différent. Il peut s’agir de la coopération  entre l’échelon de direction, les spécialistes techniques (DSI et RSSI) et les divisions techniques (production, marketing, communication). Cela peut surtout concerner la coopération entre des organisations du même secteur, le régulateur ou les autorités locales, les spécialistes du numérique  (infrastructures, plateformes, grands comptes), les fournisseurs, les partenaires et les clients. Tous ont un point de vue et un intérêt bien différents mais partagent aussi une bonne sécurité de leurs systèmes (matériels, logiciels, données). Pour autant, bien peu sont prêts à faire l’effort nécessaire et chacun à tendance à reporter sur l’autre la responsabilité de cette sécurité et son coût associé. Pourtant, chacun participe à un certain écosystème et contribue à sa résilience, un des attributs de la cybersécurité.

Les territoires ont un grand besoin de cybersécurité

Il reste que cette approche s’intéresse dans les faits aux grands organismes : États, grandes sociétés, OIV, grosses ETI, régions. L’échelon inférieur est négligé. Les spécialistes de la cybersécurité parlent bien sûr des individus (citoyens, consommateurs, usagers), ils s’intéressent aussi à leurs  collaborateurs à qui il faut enseigner les règles d’hygiène numérique, mais cela ne va guère au-delà. C’est pourquoi il nous semble intéressant de partir de l’échelon du territoire pour aborder cette question de la sécurité collaborative. Constatons simplement qu’en fait, seule la collaboration peut permettre de faire émerger une certaine cybersécurité dans les territoires.

Tout d’abord, qu’est-ce qu’un territoire ? Disons pour commencer ce qu’il n’est pas : ce ne peut être une des très grosses agglomérations urbaines supérieures à 200 ou 300 000 habitants. À ce niveau de population et de densité, la problématique du responsable sera proche de celle d’un grand compte, public ou privé. Il aura un service informatique conséquent et une équipe constituée de spécialistes de la SSI, avec des outils appropriés à la défense de ses SI.

Dès lors, tout ce qui est en dessous répond à cette approche des territoires : il peut s’agir de l’échelon départemental, dont on a vu pendant la pandémie qu’il  avait une dimension optimale pour avoir d’une part assez de moyens d’action, d’autre part une proximité avec population que des plus grosses entités (les régions, l’État) n’ont pas. Il semble qu’il s’agit de l’échelon principal de résilience, quelle que soit la crise, sanitaire, catastrophique ou cyber.

Il peut s’agir ensuite des agglomérations moyennes, d’une taille entre 50 000 et 200 000 habitants : elles sont souvent structurées autour d’un pôle, qui n’est d’ailleurs pas forcément le chef-lieu du département et qui ordonne le territoire alentours. Cette notion est très contingente et empêche toute généralisation. Le territoire d’influence dépend de plusieurs facteurs qui coïncident rarement avec les limites administratives : bassin d’emploi, situation économique et démographique, présence d’une agglomération concurrente à proximité (à plus ou moins de 50 km), structure des réseaux de communication (autoroutes, TGV), etc. Enfin, les agglomérations ont déjà des structures existantes de coopération, celles des établissements publics de coopération intercommunale (EPCI) et notamment des communautés d’agglomération.

Or, si le chef-lieu du territoire, à l’échelon de la ville, peut éventuellement avoir la taille suffisante pour conduire une politique de sécurité des systèmes d’information (PSSI), très rares sont les exemples de communautés d’agglomération qui s’en sont dotée. Pourtant, la communauté permet de rassembler de nombreuses communes limitrophes, d’une dizaine à plus d’une centaine selon les cas, mobilisant une population plus importante et exerçant une influence élargie sur le territoire et son environnement. Surtout, l’agglomération permet d’inclure des petites communes qui ont rarement par elles-mêmes la taille et les compétences pour définir et conduire une PSSI. Le plus souvent, ces communes comptent moins d’une dizaine de milliers d’habitants avec souvent une double préoccupation : celle de la proximité de la grande ville et celle d’une histoire rurale qui demeure prégnante.

Or, les communes sont comme les autres des victimes potentielles de cyberagressions : elles manipulent de nombreuses données sensibles, elles ont des budgets et font l’objet comme d’autres entités de rançonnages ou de rumeurs. La taille importe peu et l’on a constaté que même des petites communes étaient la cible de rançonnage[5]. Or, les édiles sont aujourd’hui peu sensibilisés à ces questions et s’imaginent, comme beaucoup de PME et PMI, que la commune est trop petite pour constituer une cible. Funeste erreur, trop souvent partagée dans le monde économique, qui fait pourtant des dégâts.

Ne réduisons pourtant pas les territoires à leurs seules structures publiques, des EPCI aux différents syndicats mixtes. Les territoires incluent évidemment une population mais aussi une activité économique, constituée parfois de gros établissements, plus souvent de beaucoup de PME et PMI mais aussi d’indépendants. Certains de ceux-ci manient des données sensibles (notaires, médecins, comptables, pharmaciens, huissiers). Or, la plupart font confiance à un prestataire informatique de proximité, le plus souvent compétent en matière informatique mais plus rarement pour les questions de cybersécurité.

La cybersécurité des territoires nécessite la collaboration

Un territoire est donc constitué de plusieurs acteurs à l’activité intriquée, des intérêts évidemment communs mais des préoccupations également divergentes. Il serait vain de demander à chacun de faire un effort si celui-ci n’était pas coordonné. La conclusion est évidente : dans un territoire, la cybersécurité ne peut être que collaborative. Elle doit mobiliser tous les acteurs, ceux responsables du bien public (maires, présidents d’intercommunalités, préfets, Gendarmerie nationale), mais aussi ceux ayant des préoccupations plus économiques (associations professionnelles, dirigeants d’entreprises locales, syndicats mixtes spécialisés).

Il faut d’abord écouter les besoins et mener des actions de sensibilisation. L’ANSSI a ainsi mis en place une organisation territoriale, avec des délégués en région, et elle a récemment publié un guide consacré à l’essentiel de la réglementation de cybersécurité à destination des collectivités territoriales[6]. Le Pôle d’Excellence Cyber[7] a également rendu public, en novembre 2020, un guide pratique de cybersécurité des collectivités territoriales. Certaines initiatives ont vu le jour, comme celles de la Gendarmerie nationale dans le Morbihan (Hermès 56) ou encore certaines étapes du Cybercercle en province, tandis que cybermalveillance.fr développe des actions décentralisées de sensibilisation ou que le magazine Acteurs publics publie régulièrement des articles sur le sujet. De même, quasiment toutes les régions ont lancé des initiatives sur la cybersécurité. Il faudra ensuite recenser l’existant, variable d’un territoire à l’autre, certains s’étant déjà saisis du problème alors que d’autres n’en sont qu’aux premières étapes de la prise de conscience. Enfin, il faudra imaginer des projets concrets, adaptés à chaque situation. La notion de « solution », souvent utilisée par des grands éditeurs de logiciels, s’applique finalement assez peu en la matière.

Il reste que ce travail doit être conduit car à l’heure du télétravail généralisé et de la néo-ruralisation (ou plus exactement, la sortie des grandes métropoles), la dimension numérique des territoires constitue un aspect essentiel de leur attractivité économique. Or, la cybersécurité constitue désormais une dimension essentielle de cette attractivité numérique. Souvent considérée comme un centre de coût, la cybersécurité est en train de devenir un centre de profit. On ne peut pas lancer de grands projets de Smart city sans inclure une forte dimension de cybersécurité.

Après les nombreuses initiatives lancées depuis une quinzaine d’années et la constitution d’un solide dispositif national (ANSSI, Livre blanc sur la cybersécurité, OIV, Pôle  d’excellence cyber, COM CYBER, cybermalveillance.fr, Forum FIC, campus cyber, etc.), il est temps désormais de s’intéresser au maillage territorial de notre pays et de construire la résilience cyber et économique de cet écosystème.

References[+]


Du même partenaire

La victime face aux cyberprédateurs : comment mieux la prendre en compte dans...

La victime face aux cyberprédateurs : comment mieux la prendre en compte dans le procès pénal ?

Sociétés, Cultures, Savoirs

Par Xavier LEONETTI

Source : CREOGN

Mis en ligne le 16 Fév 2023

L'Union européenne en quête d'une cyberdéfense

L'Union européenne en quête d'une cyberdéfense

Défense et Sécurité

Par Marc WATIN-AUGOUARD

Source : CREOGN

Mis en ligne le 17 Oct 2022

« L’engagement libère »

L'engagement libère

Sociétés, Cultures, Savoirs

Par François SUREAU

Source : CREOGN

Mis en ligne le 15 Fév 2022


Articles de la catégorie Défense et Sécurité

De l'Ukraine à Gaza : l'Intelligence artificielle en guerre

De l'Ukraine à Gaza : l'Intelligence artificielle en guerre

Défense et Sécurité

Par Amélie FÉREY, Laure de ROUCY-ROCHEGONDE

Source : IFRI

Mis en ligne le 16 Oct 2024

La France face aux guerres de l’information : origines, mécanisme et...

La France face aux guerres de l’information : origines, mécanisme et instrumentalisation du sentiment « anti-France

Défense et Sécurité

Par Dian BAH

Source : Les Jeunes IHEDN

Mis en ligne le 16 Oct 2024

Tu ne tueras point : Un voyage dans les profondeurs de...

Tu ne tueras point : Un voyage dans les profondeurs de l'inhumanité

Défense et Sécurité

Par Alain BAUER

Source : IJOC

Mis en ligne le 24 Sep 2024

Nos partenaires

Académie du renseignement
Bibliothèque de l’Ecole militaire
Centre d'études stratégiques de la Marine
Centre d’études stratégiques aérospatiales (CESA)
Centre de Recherche de l'Ecole des Officiers de la Gendarmerie Nationale
Centre des Hautes Etudes Militaires
Chaire Défense & Aérospatial
Chaire Raoul-Dandurand de l'UQAM/Centre FrancoPaix
Conflits
Ecole de Guerre
Encyclopédie de l’énergie
ESD-CNAM
European Council on Foreign Relations
Fondation Jean Jaurès
Fondation maison des sciences de l'homme
Fondation pour la recherche stratégique
Fondation Robert Schuman
Institut de Relations Internationales et Stratégiques
Institut des Hautes Etudes de Défense Nationale
Institut des hautes études du ministère de l'Intérieur
Institut Français des Relations Internationales
International Journal on Criminology
IRSEM
L’Association des Auditeurs et cadres des sessions nationales "Armement & Economie de Défense" (3AED-IHEDN)
Les Jeunes IHEDN
Revue Défense Nationale
Revue Géostratégiques / Académie de Géopolitique de Paris
Sécurité Globale
Synopia
Union-IHEDN/Revue Défense
Université Technologique de Troyes
Académie du renseignement
Bibliothèque de l’Ecole militaire
Centre d'études stratégiques de la Marine
Centre d’études stratégiques aérospatiales (CESA)
Centre de Recherche de l'Ecole des Officiers de la Gendarmerie Nationale
Centre des Hautes Etudes Militaires
Chaire Défense & Aérospatial
Chaire Raoul-Dandurand de l'UQAM/Centre FrancoPaix
Conflits
Ecole de Guerre
Encyclopédie de l’énergie
ESD-CNAM
European Council on Foreign Relations
Fondation Jean Jaurès
Fondation maison des sciences de l'homme
Fondation pour la recherche stratégique
Fondation Robert Schuman
Institut de Relations Internationales et Stratégiques
Institut des Hautes Etudes de Défense Nationale
Institut des hautes études du ministère de l'Intérieur
Institut Français des Relations Internationales
International Journal on Criminology
IRSEM
L’Association des Auditeurs et cadres des sessions nationales "Armement & Economie de Défense" (3AED-IHEDN)
Les Jeunes IHEDN
Revue Défense Nationale
Revue Géostratégiques / Académie de Géopolitique de Paris
Sécurité Globale
Synopia
Union-IHEDN/Revue Défense
Université Technologique de Troyes

 

afficher nos partenaires