5ème édition, saison numéro 2 : le FIC, Forum International de la Cybersécurité, vient de s’achever sur un bilan très « politiquement positif ». Trois ministres, une initiative régionale extensible visant à la réalisation d’un « cluster cybersécurité » implanté en région Nord pas de Calais, la disparition de certains « non-dits » et autres sujets tabous (telle l’attaque de l’Elysée) ou la fin de certaines omerta (la vulnérabilité maladive des collectivités territoriales par exemple). Le FIC n’est plus une réunion discrète de cyber-gendarmes mais un forum consacré à la cybersécurité des institutions au sens le plus large possible. C’est également, et par voie de conséquence, l’agora ou se pressent les tribuns qui prônent une mise en pratique du mieux-disant sécuritaire : le cas particulier vient souvent, trop souvent justifier des carcans législatifs ou structurels sans que de véritables métriques viennent justifier le bienfondé de ces décisions.
Un cluster « Infosec » pour les gens du nord ?L’initiative est régionale, mais l’on se doute bien qu’il s’agit là d’un prototype que toutes les autres provinces de France vont suivre avec intérêt : Pierre de Saintaignon, premier vice-président du Conseil général Nord-Pas de Calais, annonçait la création d’un pôle cybersécurité associant les principaux acteurs régionaux. Les universités, l’ilot technologique Euratechnologie de Lille Métropole, les centres de recherches locaux seront associés pour devenir a priori un vecteur d’information et de conseil… et plus si affinités. Ce plus si affinités est encore très flou. Mais s’il ne pouvait que simplement servir de relais de sensibilisation et d’aide technique aux infrastructures régionales, ce serait déjà un remarquable pas en avant.
Au cours d’une des nombreuses conférences tenues à l’occasion de ce FIC 2013, l’une des plus remarquées fut probablement celle du Commandant Rémy Février, Maître de Conférences à la Sorbonne, lequel rendait public à cette occasion quelques extraits de sa soutenance de maîtrise traitant précisément de la cyber-sécurité (ou insécurité) au sein des collectivités territoriales. Ce travail de bénédictin débouche sur des conclusions hélas peu surprenantes. Dans la région Nord-Pas de Calais (périmètre de l’étude), la majorité des maires a entendu parler des dangers du hacking noir, du piratage, des attaques virales, des campagnes de « defacement », des sinistres informatiques « classiques » (inondations, incendies…)… et malgré ce niveau de sensibilisation que l’on pourrait considérer comme salvateur, rares, très rares (moins de 20 %) sont les élus qui se savent pénalement responsables en cas de pertes ou fuite d’information. Une responsabilité qui est souvent attribuée à un vague GIE ou responsable informatique, un sous-traitant, un vendeur/installateur spécialisé dans la sécurité périmétrique… Pis encore, la majorité des maires de petites communes n’ont jamais entendu parler ni de l’Anssi, ni des référentiels applicables et conseillés par l’Administration, parfois même jamais des obligations de déclaration des fichiers nominatifs auprès de la Cnil. Or, la plus petite des communes possède au moins 7 fichiers de ce type (fichier électoral, cantine scolaire etc.). L’usage des supports de stockage amovibles (clefs USB, disques durs, smartphones…), les interconnexions avec le réseau public, l’interpénétration avec les appareils personnels (Byod) manquent cruellement d’encadrement voir purement et simplement de connaissance des risques encourus. Si ce n’est pas là le premier travail d’un cluster cybersécurité, ça y ressemble beaucoup.
