Protéger les services publics
Cette page propose un socle opérationnel pour sécuriser les systèmes d’information des collectivités : gouvernance, mesures prioritaires, continuité d’activité et gestion de crise.
Principaux risques pour les collectivités
Objectifs
-
- Ransomware : chiffrage des données, interruption de services (état civil, cantine, régie).
- Hameçonnage (phishing) : vol d’identifiants, fraude au virement.
- Exposition d’outils publics : RDP/VPN mal configurés, CMS non patchés.
- Fuite de données : erreurs de partage, perte d’équipement, services cloud non maîtrisés.
- OT / Urbain connecté : caméras, contrôle d’accès, signalisation, bâtiments intelligents.
Synthèse
-
- Authentification multifacteur (MFA) pour messagerie, VPN, outils métiers.
- Sauvegardes 3‑2‑1, testées et hors ligne.
Mises à jour et correctifs sous 14/30 jours selon criticité. - Segmentation réseau (utilisateurs / serveurs / OT / Wi‑Fi invités).
- Filtrage de messagerie + formation anti‑phishing.
- Journalisation centralisée + supervision (SIEM/EDR/antivirus).
Objectifs
-
- Confidentialité des données administrées et des administrés.
- Intégrité des actes et décisions.
- Disponibilité des services essentiels.
- Traçabilité et conformité (RGPD, journaux).
12 actions clés (priorisées)
-
- MFA partout : messagerie, VPN, accès administrateurs et outils métiers.
- Sauvegardes 3‑2‑1 : 3 copies, 2 supports, 1 hors‑ligne/immuable; test de restauration trimestriel.
- Gestion des correctifs : inventaire, priorisation CVSS, déploiement piloté (pilote ➜ généralisation).
- Durcissement postes/serveurs : désactiver macros, pare‑feu local, contrôle des applications.
- Segmentation réseau : VLAN par usage; filtrage entre zones; Wi‑Fi invités isolé.
- EDR/antivirus avec supervision et quarantaine.
- Filtrage mail & web : sandbox pièces jointes, DMARC/DKIM/SPF, blocage domaines récents.
- Gestion des identités : moindre privilège, comptes nominaux, coffre de mots de passe, révocation à la sortie.
- Journalisation : centraliser (syslog/SIEM), horodatage NTP, rétention ≥ 6 mois.
- Continuité d’activité : PCA/PRA, priorisation services (état civil, paie, cantine), tests.
- Sensibilisation régulière : micro‑modules + simulations de phishing.
- Gestion des fournisseurs : clauses de sécurité, revues d’accès, tests pré‑prod.
Modèles & politiques
Politique de sécurité (PSSI)
Définir le cadre : rôles (élu référent, DSI, RSSI), responsabilités, classification des informations, règles d’accès, sauvegardes, gestion des incidents, sécurité des tiers.
Chartes et procédures
-
- Charte utilisateur / administrateur
- Procédure d’habilitation et revue périodique
- Politique mots de passe / MFA
- Procédure sauvegarde & restauration
- Plan de réponse à incident (PRI)
Réponse à un incident (PRI)
- Détecter : alertes EDR/antivirus, SIEM, signalements utilisateurs.
- Qualifier : type (malware, fuite, fraude), périmètre, criticité (impacts services/administrés).
- Contenir : isoler postes/serveurs, couper comptes compromis, blocage IOC.
- Éradiquer : supprimer la cause (malware, comptes), corriger vulnérabilités.
- Rétablir : restaurer depuis sauvegardes saines; tests; remise en service par phases.
- Communiquer : cellule de crise (élu, DGS, DSI, comm), information des usagers si nécessaire.
- Déclarer : notification à l’autorité compétente (ex. CNIL pour données personnelles) selon les obligations applicables.
- Retour d’expérience : leçons apprises, plan d’actions.
Conformité (cadre général)
- Protection des données : registre des traitements, minimisation, base légale, DPIA si nécessaire, information des administrés.
- Gestion des journaux : proportionnalité, finalités, durées de conservation adaptées.
- Achat public : exigences sécurité dans les marchés (SLA, notification incident, chiffrement, réversibilité).
- Accès administrateur : traçabilité, comptes nominaux, contrôle d’accès fort.
- Archivage : intégrité, pérennité, cycle de vie documentaire.