Protéger les services publics

Un socle opérationnel complet pour renforcer la sécurité des systèmes d’information des collectivités, en intégrant la gouvernance, les mesures prioritaires, la continuité d’activité et une gestion efficace des crises.

Principaux risques pour les collectivités

Objectifs

    • Ransomware : chiffrage des données, interruption de services (état civil, cantine, régie).
    • Hameçonnage (phishing) : vol d’identifiants, fraude au virement.
    • Exposition d’outils publics : RDP/VPN mal configurés, CMS non patchés.
    • Fuite de données : erreurs de partage, perte d’équipement, services cloud non maîtrisés.
    • OT / Urbain connecté : caméras, contrôle d’accès, signalisation, bâtiments intelligents.

Synthèse

    • Authentification multifacteur (MFA) pour messagerie, VPN, outils métiers.
    • Sauvegardes 3‑2‑1, testées et hors ligne.
      Mises à jour et correctifs sous 14/30 jours selon criticité.
    • Segmentation réseau (utilisateurs / serveurs / OT / Wi‑Fi invités).
    • Filtrage de messagerie + formation anti‑phishing.
    • Journalisation centralisée + supervision (SIEM/EDR/antivirus).

Objectifs

    • Protéger la confidentialité des données administratives.
    • Confidentialité des données administrées et des administrés
    • Assurer la confidentialité des informations
    • Renforcer la traçabilité des actions et des accès.
    • Prévenir les altérations ou manipulations non autorisées des données.
    • Traçabilité et conformité (RGPD, journaux).

12 actions clés (priorisées)

    1. MFA généralisé, incluant messagerie, VPN, accès administrateurs et outils métiers
    2. Sauvegardes en stratégie 3-2-1, avec trois copies, deux supports et une version hors-ligne ou immuable, accompagnées d’un test de restauration trimestriel
    3. Gestion structurée des correctifs, basée sur un inventaire à jour, une priorisation selon le score CVSS et un déploiement progressif (pilote puis généralisation).
    4. Durcissement des postes et serveurs, incluant la désactivation des macros, l’activation du pare-feu local et le contrôle des applications.
    5. Segmentation réseau, avec des VLAN par usage, un filtrage entre zones et un Wi-Fi invités isolé
    6. EDR/antivirus supervisé, avec détection, analyse et mise en quarantaine
    7. Filtrage mail et web, intégrant sandbox pour les pièces jointes, DMARC/DKIM/SPF et blocage des domaines récents ou suspects.
    8. Gestion des identités avec moindre privilège, comptes nominatifs et révocation automatique des accès.
    9. Journalisation centralisée, via syslog ou SIEM, avec horodatage NTP et une rétention d’au moins six mois.
    10. Continuité d’activité, reposant sur un PCA/PRA, une priorisation des services critiques (état civil, paie, cantine…) et des tests réguliers.
    11. Sensibilisation continue, combinant micro-modules et simulations de phishing.
    12. Gestion des fournisseurs, incluant contrôle, suivi et obligations de sécurité.

Modèles & politiques

Politique de sécurité (PSSI)

La PSSI établit un cadre clair englobant la gouvernance (élu référent, DSI, RSSI), la classification des données, les règles d’accès, les pratiques de sauvegarde, la gestion des incidents et les exigences de sécurité appliquées aux prestataires.

Chartes et procédures

    • Charte utilisateur / administrateur
    • Procédure d’habilitation et revue périodique
    • Politique mots de passe / MFA
    • Procédure sauvegarde & restauration
    • Plan de réponse à incident (PRI)

Réponse à un incident

  1.  Détecter : alertes EDR/antivirus, SIEM, signalements utilisateurs.
  2.  Qualifier : type (malware, fuite, fraude), périmètre, criticité (impacts services/administrés).
  3.  Contenir : isoler postes/serveurs, couper comptes compromis, blocage IOC.
  4.  Éradiquer : supprimer la cause (malware, comptes), corriger vulnérabilités.
  5.  Rétablir : restaurer depuis sauvegardes saines; tests; remise en service par phases.
  6.  Communiquer : cellule de crise (élu, DGS, DSI, comm), information des usagers si nécessaire.
  7.  Déclarer : notification à l’autorité compétente (ex. CNIL pour données personnelles) selon les obligations applicables.
  8.  Retour d’expérience : leçons apprises, plan d’actions.

Conformité (cadre général)

  1. Protection des données : registre des traitements, minimisation, base légale, DPIA si nécessaire, information des administrés.
  2. Gestion des journaux : proportionnalité, finalités, durées de conservation adaptées.
  3. Achat public : exigences sécurité dans les marchés (SLA, notification incident, chiffrement, réversibilité).
  4. Accès administrateur : traçabilité, comptes nominaux, contrôle d’accès fort.
  5. Archivage : intégrité, pérennité, cycle de vie documentaire.