Dans un monde de plus en plus numérisé, comment bâtir un environnement de confiance pour les collectivités ?

Eléments de réponse : S’il est impératif d’informer les citoyens, la mise en place de solutions de secours peut parfois s’avérer très coûteuse, et la demande d’une compensation au prestataire ne dépend que de sa bonne volonté si rien n’a été prévu contractuellement.

En amont, quelques mesures auraient pu être exigées par l’élu : des garanties en termes de fiabilité et de délais de réaction, et plus encore un audit technique de la solution innovante retenue, pour s’assurer de sa bonne conception. Le coût correspondant à ces mesures ne doit pas être vu comme optionnel, mais comme propre au nouveau projet.

Le présent article et plus encore le guide de la Banque des Territoires ont pour ambition d’aider   de façon plus large à répondre et, mieux encore, à éviter ce genre d’événements critique.

Le premier rôle revient à l’élu, pour impulser l’effort collectif

Face à cet enjeu crucial qu’est la confiance numérique, il est de la responsabilité de l’élu d’impulser la dynamique qui seule permet à la collectivité de mettre en place un projet cohérent, maîtrisé et sûr. A cette fin, il n’est nul besoin que l’élu comprenne les rouages techniques du sujet : il doit même accepter de ne pas être un expert. Il lui faut cependant définir le cap et mobiliser ses cadres et agents territoriaux.

Mais comment s’y prendre ? L’élu doit s’assurer que la confiance numérique soit prise en compte selon cinq grands axes :

• Formation ;
• Etat des lieux numériques ;
• Stratégie et priorités en matière de numérique : une réflexion sur les nouveaux projets numérique à mener qui n’occulte pas les nécessités de mise à niveau du numérique existant ;
• Nouveaux projets numériques fiables et pérennes : une exigence de fiabilité (qualité de conception, niveau de sécurité) et de pérennité (maintenance, maîtrise de la dépendance technologique à un ou plusieurs prestataires, capacité de réaction en cas de crise numérique, etc.) – cf. encart du présent article ;
• Préparation au pire : se préparer à la crise numérique – que préparer pour mieux faire face au cas les ordinateurs ne redémarrent plus, où des données sont volées, où des services municipaux ne fonctionnent plus, où des infrastructures (signalisation routière, eau, transport) dysfonctionnent ?

• Former et sensibiliser

Les parties prenantes – partenaires, agents, sans oublier les élus eux-mêmes – doivent être formées ou sensibilisées. La formation doit être simple, et adaptée aux différents métiers : tout le monde n’a pas besoin d’être expert !

Concernant cette problématique clé, on recommandera notamment les références suivantes :

• les 12 bonnes pratiques de l’ANSSI et de la CPME
• le cours de sensibilisation de l'ANSSI (« MOOC »), en ligne, simple et gratuit
• le kit de sensibilisation de Cybermalveillance.gouv.fr

• Se forger une vision globale et définir des priorités

Quoi de pire qu’une mosaïque de services numériques issus d’autant d’initiatives différentes, et déployés sans vision d’ensemble ? Cela donne une ville numérique impossible à maîtriser, sans cesse plus coûteuse à opérer et à maintenir, et in fine une proie idéale pour les cyberattaques !

Pour éviter une telle situation, l’élu doit idéalement s’assurer que la collectivité connaisse l’état des lieux numérique de sa ville, ce qui est nécessaire pour la maîtriser au quotidien. Et, lorsqu’elle vient à se doter de nouveaux services numériques, que la collectivité sache pourquoi, dans quel but, de quelle manière, et quels sont les risques numériques induits – cadrage indispensable pour mener des projets fiables et pérennes.

Ce n’est que sur la base d’un tel état des lieux qu’il est possible de mener une réflexion efficace sur les prochains projets numériques de la ville, et de définir des priorités en la matière. Cette réflexion doit prendre en compte les spécificités de la collectivité et celles de son existant numérique.

Enfin, cette réflexion doit s’ouvrir et rechercher autant que possible des axes de mutualisation, tant dans la phase de conception qu’en matière de moyens : intercommunalités, syndicats, services communs, associations peuvent s’avérer des alliés précieux pour faire face ensemble aux défis du numérique.

Sans cette vision globale qui seule permet la bonne maîtrise d’une ville numérique, il s’avère difficile d’instaurer la confiance numérique dans la durée.
 

• Mener des projets numériques fiables et pérennes

Il s’agit d’une évidence : un projet de service numérique, ou, à l’échelle plus vaste, de ville ou territoire numérique, nécessite une gestion de projet maîtrisée comme tout autre projet d’une collectivité.

L’élu devrait notamment demander que l’équipe chargée de définir le projet – maîtrise d’ouvrage en premier lieu – prenne en compte différents critères de confiance numérique, et veiller à ce que les prestataires mettent en place des garanties pour y faire face.

L’encadré en fin du présent article détaille davantage les questions pouvant être posées à un maître d’ouvrage, une SSII (ou ESN) un prestataire du projet.
 

• Maîtriser la ville numérique au quotidien

Sitôt que la ville devient numérique, ne serait-ce que partiellement, il est nécessaire pour la municipalité de disposer d’un suivi de l’activité numérique. On parle de supervision.

La supervision est double, à la fois technique pour s’assurer en continu de la bonne santé du service, à la fois opérationnel sur son efficacité, à des fins de pilotage et d’optimisation.

Afin que ce suivi soit de qualité, il incombe aux élus de s’assurer que ce suivi est pensé en amont, avant même l’intégration des nouveaux services numériques, d’une façon pragmatique qui répondent aux besoins de pilotage.
 

• Être prêt au pire et savoir réagir

En matière de confiance numérique, la meilleure façon de faire face au pire est de s’y être préparé ! Lorsque des systèmes informatiques « tombent », tout va très vite et l’élu, qui n’est pas un expert en numérique, se retrouve vite submergé. Quelques précautions peuvent s’avérer salvatrices lorsque survient le jour J : disposer de contacts d’urgence, avoir préparé des canaux de communication de crise, connaître ses obligations juridiques, disposer au format papier de documents clés et d’un annuaire municipal, etc.

Pour se préparer, la marche à suivre peut se simplifier ainsi :

1. réunir les acteurs qui auraient à gérer la crise ;
2. répondre ensemble à la question : « Quelles sont, pour les principaux systèmes numériques de la collectivité, les conséquences de dysfonctionnements, de sabotage, de fuite de données, etc. ? » ;
3. réfléchir alors aux principales mesures qui seraient nécessaires pour endiguer la situation lorsque la crise se produit.

Selon les ressources dont il dispose, l’élu pourra pousser à un approfondissement de la démarche à partir de la littérature disponible - notamment le tout récent guide ANSSI-CCA d'exercice à la gestion de crise cyber -  et le cas échéant avec une aide externe.

Un guide pour les élus des collectivités

La Banque des Territoires a travaillé à un court guide, pratique et pédagogique, pour porter ces messages aux élus. Ce guide entend les informer et les plonger dans différentes situations pour les faire appréhender le sujet, ses enjeux en matière de risques et de responsabilités juridiques, et les premiers réflexes à mettre en œuvre pour offrir aux citoyens des services de confiance. Pour aller plus loin, des perspectives sur les défis à venir sont également abordés.

Ce guide n’aurait pas pu voir le jour sans le soutien précieux de son comité stratégique composé d’associations d’élus, d’industriels et d’administrations, dont l’ANSSI et le groupement d’intérêt public Cybermalveillance.gouv.fr. Il a également bénéficié d’expertises ponctuelles des cabinets Cepheïd Consulting et Bird & Bird.

Pour illustrer ces questions difficiles, on trouvera également quelques mises en situation tirées d’exemples réels dans les vidéos suivantes réalisées en collaboration avec cyvermalveillance.gouv.fr

Si vous souhaitez continuer et lire nos vidéos,
vous devez nous donner votre accord en cliquant sur le bouton ci-dessous.

Si vous souhaitez continuer et lire nos vidéos,
vous devez nous donner votre accord en cliquant sur le bouton ci-dessous.

Si vous souhaitez continuer et lire nos vidéos,
vous devez nous donner votre accord en cliquant sur le bouton ci-dessous.

Si vous souhaitez continuer et lire nos vidéos,
vous devez nous donner votre accord en cliquant sur le bouton ci-dessous.