Assurer un état de sécurité rigoureux du système d’information

Quel sont les enjeux d’une attaque informatique pour un syndicat des eaux ?

Le syndicat gère le patrimoine d’eau et d’assainissement (réseaux, châteaux d’eau, forages…) des communes adhérentes et le met à disposition des exploitants. Nous faisons environ un millier d’opérations de travaux chaque année, pour le renouveler, l’entretenir, l’agrandir. Notre système d’informations de gestion, qui sert à la fois pour nos métiers et pour nos partenaires, est donc très critique. Il concerne environ cinquante services numériques : comptabilité, système d’information géographique, gestion électronique documentaire… Pour chacun, nous avons effectué une appréciation des risques afin d’estimer l’impact de différents scénarios de menaces, en fonction de trois critères : indisponibilité, confidentialité et intégrité du système. Nous avons ensuite chiffré ces impacts (économiques, financiers, juridiques, médiatiques, et même dommages aux tiers) dans un « référentiel de conséquences » sur lequel je m’appuie pour mettre certains services numériques sous surveillance en priorité. Nous le communiquons ensuite à nos utilisateurs en leur expliquant les enjeux.

Vous insistez sur l’importance de la « confiance » du SI ?

Près de cinq cents personnes accèdent à notre système d’information : agents, prestataires informatiques et partenaires externes dont quelques collectivités adhérentes. Nous leur faisons signer un acte d’engagement comportant des droits et des devoirs, variable selon la catégorie d’utilisateurs.

Chaque année, une évaluation externe des pratiques est effectuée.

Par ailleurs, au regard des enjeux, nous nous devons d’homologuer le SI au RGS (référentiel général de sécurité). Les dossiers de sécurité du SI sont présentés systématiquement au bureau syndical pour qu’il se prononce sur la conservation de cette homologation, dont la décision est prise par notre président. Chaque année, j’expose rapidement l’évolution et les nouveaux risques du système et comment nous pouvons les traiter. Cela montre aux élus que le système est de plus en plus sensible, qu’il faut en assurer un état de santé rigoureux et moderniser la structure.

La sécurité, c’est aussi l’affaire du quotidien…

En effet, il faut se préoccuper de la sécurité tous les jours. Nous contrôlons quotidiennement le contexte des systèmes d’information. Je dois être capable d’en identifier tous les composants : humains, techniques, physiques, applicatifs, logiciels… Par ailleurs, nous discutons de la sécurité dès la conception de tout nouveau projet IT. Les risques identifiés sont communiqués à une commission qui décide de les traiter ou non ; cela peut être trop cher ou présenter un impact d’organisation trop fort, par exemple. Elle se réunit une fois par an pour évaluer l’état de la situation en matière de sécurité. J’expose les risques à la direction générale, aux directions métier… Chaque année, nous effectuons une évaluation externe de nos pratiques. La commission examine les axes d’amélioration identifiés et réalise un bilan des traitements engagés. Notre maturité en termes de sécurité des SI s’améliore progressivement. Nous intégrons des bonnes pratiques qui ne sont pas seulement liées à l’informatique : sécurisation des salles, protection contre l’incendie, renforcement du contrôle d’accès à certains points sensibles. La sécurité, c’est un ensemble de précautions, pas seulement la pose d’antivirus ou de firewall.

INFO +

Le syndicat des eaux de la Charente-Maritime
• 70 agents, dont 8 à la DSI,
• 459 collectivités adhérentes en eau potable,
• 316 en assainissement collectif,
• 400 utilisateurs externes