« Le plus compliqué, faire prendre conscience aux différents acteurs des risques encourus »
La mairie subit-elle des tentatives d’intrusion ?
Plusieurs fois par semaine, nous recevons des mails malveillants de personnes qui essayent de se faire passer pour certains de nos prestataires afin de pirater les boîtes mail ! Leur technique s’affine, il est très facile de se faire piéger. On peut recevoir ces messages non seulement sur notre serveur, mais aussi par l’intermédiaire de nos interlocuteurs. Si on ne prend pas de précautions, ça coûte très cher. Le serveur de la mairie a été piraté début 2014 : nous avons perdu six mois de travail et de budget pour tout remettre en place.
Comment faites-vous pour respecter les règles de sécurité informatique ?
Nous avons mis en place des formations pour l’agent qui gère l’informatique – il a plusieurs casquettes – et pour la directrice générale des services. Une première sensibilisation des élus et des agents a eu lieu en septembre 2018. En 2019, nous avons prévu de travailler sur une attaque informatique, expliquer comment la détecter, d’où elle peut arriver et les conséquences si on ne la détecte pas. Médis est l’une des premières communes du département à avoir entamé une démarche d’homologation RGS (référentiel général de sécurité) et RGPD de son système d’information.
Nous avons adopté un plan de traitement annuel RGS.
Une petite commune n’ayant pas les ressources et les connaissances suffisantes pour être à jour de la réglementation, nous avons désigné le syndicat informatique de Charente-Maritime, Soluris, pour nous accompagner comme délégué à la protection des données auprès de la CNIL. Nous avons aussi des correspondants à la CNIL et à l’ANSSI, qui nous conseillent et nous proposent des stages. Il ne faut pas oublier que déclarer une attaque à la CNIL est obligatoire. Tout cela demande une veille permanente et une charge de travail importante : nous avons adopté un plan de traitement annuel RGS, évalué à environ 20 jours équivalent temps complet.
Que prévoit ce plan annuel ?
Il définit les actions à mener pour réduire les risques d’attaque ou de malveillance : sécuriser l’accès physique au serveur, vérifier que les sauvegardes sont effectives, que les mots de passe sont changés régulièrement, que les sous-traitants hébergent les données sur le territoire français ou européen. Il a fallu recenser tous les sous-traitants susceptibles de détenir des données et leur demander de nous les fournir. Quelques-uns sont encore récalcitrants, par manque de sensibilisation, et nous sommes parfois obligés d’envoyer des lettres recommandées. Mais d’autres entreprises nous ont fourni les informations justes après l’entrée en vigueur de la réglementation en mai 2018. C’est important car, en cas de problème, nous sommes responsables de nos sous-traitants.
Quels sont les facteurs de succès d’un projet de sécurisation ?
Il faut la volonté politique de prendre des mesures qui obligent à prévoir les financements dans le budget. Sur un point crucial comme celui-là, même si l’opposition n’avait pas été d’accord, je serais passé outre… Le plus compliqué, c’est de bien faire prendre conscience aux différents acteurs des risques encourus si l’on est piraté : perdre les données, mais aussi le matériel. Nous avons bien failli être à nouveau victime. Récemment, quelqu’un a ouvert un mail malveillant, mais très vite nous avons réagi en fermant tous les ordinateurs et en les déconnectant du serveur. Les pirates ont des méthodes qui changent d’un jour à l’autre et il est de plus en plus difficile de les identifier.