La Cybersécurité, une opportunité au cœur des enjeux de politiques locales
Il n’est pas un jour sans que l’on entende parler de Cybersécurité, très souvent à la suite d’attaques informatiques, de paralysies de systèmes informatiques, de vols de données ou encore de toute une myriade de sujets anxiogènes pour ceux qui les subissent ou qui doivent les gérer.
Le sujet peut, au premier abord, être abandonné à des techniciens ou à des consultants spécialistes, qui porteront secours aux victimes avec leurs savoir-faire variés, faits de méthodes, d’outils ou de technologies. Il existe aussi, bien entendu, la dimension préventive, qui se veut, comme pour tout risque, une quasi-nécessité, tant sur l’évaluation que sur la limite des impacts potentiels.
Nombre de collectivités et de territoires, au travers de leurs élus et des équipes qu’ils dirigent, savent aujourd’hui que les cyberattaques n’arrivent pas qu’aux autres et qu’il est illusoire de penser que d’y échapper relève de la chance. Les cyberattaques sont aujourd’hui parfaitement cartographiées et les chiffres ont mis en lumière le fait que la majorité des attaques non étatiques se font à près de 80% par hameçonnage. Cette technique, qui consiste notamment dans l’envoi de mails piégés et qui fonctionne comme une opération marketing où l’on sait que la statistique est là et que, sans aucun doute, il y aura un pourcentage de victimes qui ‘matchera’.
La rançon, l’exfiltration de données revendues sur le darknet, ou la divulgation de données confidentielles tiennent le podium des atteintes à la vie privée ou économique. Ceci sans oublier la prise de contrôle de systèmes de sécurité urbains ou de moyens de secours. N’a-t-on pas vu certains hôpitaux revenir au crayon à papier ces derniers mois ?
La crise de confiance que génère une cyberattaque sur un organisme public – ou privé d’ailleurs- n’est pas à négliger car, c’est psychologiquement une partie de l’intimité des citoyens qui est exposée, détruite ou vendue. Que penser de son élu qui a laissé filer une partie de ses données personnelles ou privées ? Lorsque l’on connaît également l’impact des cyberattaques sur le tissu économique, comment ne pas les prendre en compte dans les politiques locales ? Les entreprises cotées perdent une partie de leur valorisation boursière avec de nombreux emplois perdus à la clé, quand les TPE et PME mettent littéralement la clé sous la porte dans les mois qui suivent pour nombre d’entre elles, ceci sans bruit mais avec des conséquences bien réelles.
A l’heure où de nombreux élus cherchent à monétiser leurs données pour soutenir leur équilibre budgétaire et optimiser le service au citoyen, tous leurs efforts sont impactés négativement par la compromission de ces mêmes données qui perdent instantanément une partie de leur valeur marchande, ou bien leur valeur tout court.
La protection de la donnée devient donc un enjeu stratégique car l’avenir appartiendra à celui qui la détiendra et qui la maîtrisera, ceci à tous les niveaux d’interaction. Les élus locaux, comme les chefs d’entreprises ou les services de l’Etat, ont donc un intérêt fort à garantir l’accès, la sauvegarde, la fiabilité et l’intégrité des données qu’ils gèrent.
Alors, bien sûr, tout ceci a un coût, et qu’importe la motivation des attaquants, il est indispensable de garantir ces mêmes dimensions de la fiabilité et de l’accessibilité des données. A l’ère de la numérisation des économies publiques, locales ou industrielles, les investissements, souvent importants qui ont été réalisés par toutes les parties prenantes, ne peuvent pas être réduits à néant en quelques secondes. La prise de conscience est réelle mais se heurte souvent à une réalité implacable des territoires qui, lorsqu’il s’agit de rajouter une ligne budgétaire de dépense, ne peuvent s’y résoudre qu’en faisant l’impasse sur d’autres sujets tout aussi importants pour la stratégie de politique locale ou régionale.
Aussi, au regard de l’ampleur du sujet et de ses conséquences, peut-on attendre passivement que les aides annoncées par l’Etat, et dispatchées au travers de ses agences et ministères, arrivent au plus près du terrain ?
Le statut quasi-universel de la cybersécurité, porté par le numérique et l’explosion de l’hyper connectivité offre une opportunité rare pour chaque élu de transformer ce qui est une dépense à vocation structurelle en investissement pour l’emploi, l’insertion et la formation.
La perception commune liée à la cybersécurité qui consisterait dans la nécessité d’avoir des personnels hautement qualifiés, spécialistes d’une large palette de compétences en informatique n’est pas l’unique ressort salvateur. Dans les faits, ces personnels, importants pour les dimensions techniques, n’interviennent que très peu sur les autres sujets, comme la prévention, la formation, la conformité, la sensibilisation des entreprises et des utilisateurs, le juridique, etc…
La pénurie permanente d’ingénieur en cybersécurité ne se résoudra pas dans les années qui viennent et les sujets de cyberdéfense ne pourront qu’évoluer en impliquant toutes les parties prenantes qui interagissent avec la data, l’ingénieur qualifié étant un élément de la chaîne de valeur mais pas son unique maillon.
Aussi, l’un des objectifs devient alors de réduire ce que l’on appelle couramment les surfaces d’attaques et plus particulièrement celles liées aux utilisateurs qui se font prendre malgré eux, par exemple, au piège des mails frauduleux ou de l’arnaque au président.
Cette approche, qui relève de la prévention avancée, ne vient pas en remplacement des outils et technologies de détection ou de supervision mais vient réduire un facteur de risque majeur par la proximité avec les utilisateurs. Dans cet effort de prévention que les ingénieurs n’ont pas le temps d’effectuer, il est indispensable de disposer de personnels allant au contact des utilisateurs pour d’une part, s’assurer que les règles de base de la cybersécurité soient respectées et appliquées mais également que les aspects liés à la conformité et à la réglementation soient connus.
Combien de responsables informatiques hésitent à forcer le changement de mot de passe de leurs utilisateurs en raison du nombre important de demandes de support que cela génère ? C’est, dès cet instant, que l’on peut interagir avec l’utilisateur pour l’accompagner dans sa maîtrise de l’outil informatique et dans sa prise de conscience du sujet cyber sur ses autres dimensions.
Ces sujets ne nécessitent pas de technicité particulière mais une communication de proximité qui peut être réalisée par des personnels formés à cet effet.
C’est dans ce cadre que la Fédération Française de la Cybersécurité a créé le tout nouveau métier d’Assistant Cyber ainsi que le parcours de formation qui l’accompagne.
Ce métier, a pour objectif principal d’accompagner les organisations dans la sensibilisation des utilisateurs, le respect des bonnes pratiques et des politiques de cybersécurité, l’explication des actes de respect des normes et règlements comme la Règlementation Générale sur la Protection des Données (RGPD). Il pourra s’exercer dans toute organisation qui a besoin de soutien pour ses équipes informatiques, pour son responsable de la donnée personnelle (DPO), pour son responsable des risques ou de la conformité.
Les mairies et les collectivités sont toutes concernées par l’Assistant Cyber sous plusieurs approches.
Tout d’abord, quelle que soit la taille de l’organisation, qu’elle soit publique ou mixte, un ou plusieurs assistants cyber y trouveront leurs missions quotidiennes. Les petites mairies regroupées en communauté pourront aussi faire appel à un assistant cyber dont l’éventail des compétences leur sera utile. Il ira, par exemple, au contact des utilisateurs pour les sensibiliser à l’utilisation sécurisée du poste de travail, leur expliquer la politique interne en matière de gestion de la donnée informatique, les accompagner dans les actions de vigilance.
Ce sont ici des centaines d’emplois qui peuvent être créées avec l’aide des acteurs locaux de la formation professionnelle qui délivreront cette formation. Les candidats doivent être d’un niveau bac avec une certaine appétence pour la communication et le dialogue ainsi que pour les technologies. La durée de la formation se présente sous deux formats, l’un de 400 heures et l’autre de 600 heures, tous deux avec un stage opérationnel d’une centaine d’heures.
Cette formation permet l’insertion de jeunes ou de personnels en reconversion professionnelle sans nécessité de diplômes mais qui veulent débuter un parcours qui, à son issue, leur offrira une perspective. Soit par un accès direct à l’emploi à l’issue de la formation, ou bien par la possibilité de poursuivre vers des parcours diplômants en alternances, qu’ils soient techniques avec la formation de technicien en cybersécurité ou bien liés à la conformité par exemple avec des cursus en alternance sur la gestion du risque.
La Fédération Française de la Cybersécurité a évalué qu’il sera possible de créer 20 000 nouveaux emplois dans les cinq prochaines années, avec un rayonnement local à tous les niveaux. La formation peut être délivrée par tout organisme local de formation qui en fait la demande à la Fédération Française de la Cybersécurité, qui, par ailleurs, ne réalise aucune recette sur ce titre de formation destiné à la collectivité.
Prendre l’approche de la cybersécurité par l’angle de la formation, du retour à l’emploi, de l’offre de service aux collectivités et aux entreprises de son agglomération présente une opportunité importante pour les élus qui sauront activer les leviers dépendant de leurs périmètres pour que le patrimoine numérique soit préservé dans le cadre de la relation de confiance entre le citoyen et son élu.
Les projets présentés au futur conditionnel doivent être complétés par des actions de terrain simples et rapides. Il est désormais possible d’accompagner la cybersécurité du tissu économique local en menant des actions de proximité, ceci par la mobilisation des centres de formation locaux, par la proposition d’emplois locaux accessibles immédiatement en fin de formation, et par l’accessibilité de ces opportunités à toutes les personnes qui recherchent leur futur professionnel.
La main peut être désormais confiée aux élus de terrains qui ont une opportunité rare de ne dépendre que d’eux-mêmes dans cette bataille pour la cybersécurité de leur patrimoine numérique et de leur tissu économique.
David OFER
Président de la Fédération Française de la Cybersécurité