Si l’informatique offre quotidiennement de nouvelles perspectives, elle dessine aussi de nouveaux enjeux en termes de sécurité. Il y a quinze ans, résume en substance Antoine Trillard, DSI de la ville de Chelles, les responsables établissaient leur plan autour de quelques éléments : se doter de bonnes sauvegardes, d’un firewall « qui bloque bien » et d’un antivirus correctement mis à jour sur les postes utilisateurs.
L’utilisateur, au centre de la réflexion
Aujourd’hui, commente-t-il tout comme d’autres DSI de collectivités, cela ne suffit plus. D’autres préoccupations doivent entrer en ligne de compte, l’une des principales étant la « transparence » de la solution vis-à-vis d’un utilisateur de son côté très tributaire de l’outil informatique. Un sentiment partagé par Sandrine Dangreville, directrice de l’innovation numérique et des systèmes d’information de Montrouge : si l’implantation récente d’une solution de type Firewall n’a pas posé de difficulté technique à ses équipes, l’une des priorités, explique la responsable, fut d’éviter toute rupture de service relative aux applications fonctionnant en mode Saas (par exemple dans le domaine de la santé). Il a aussi fallu, concernant les clients mobiles, prévoir une montée en version de diverses applications, ce qui a conduit à informer, voire à former, les utilisateurs ; un enjeu cependant limité, la ville ne disposant pas d’une flotte de terminaux particulièrement vaste et pléthorique.
Pour autant, ce besoin de transparence ne se réduit pas à la seule question technique. Certaines solutions peuvent impacter les utilisateurs, par exemple en les empêchant d’accéder à certaines newsletters potentiellement dangereuses (risque de « phishing » ou hameçonnage), donc en interférant dans leur activité. A ce stade, la question de la sécurité commence à intégrer un aspect RH, ce qui doit conduire la direction générale à s’intéresser à sa gestion, et cela d’autant plus que le travail en mobilité et le télétravail se développent. Seulement, il n’est pas possible d’être sécurisé à 100 % dans tous les domaines, tempère le DSI de Chelles : il importe alors d’aborder véritablement le sujet, d’organiser et de prioriser annuellement les projets liés à la sécurité.
Globalité des plans d’action
A ce point de vue, observe Sandrine Dangreville, les nouvelles obligations liées au RGPD ont constitué un vrai levier en tant qu’opération transverse, avec notamment mobilisation des directions métiers : au regard de la sécurité, des décisions techniques ont été prises (mises à jour, lutte contre les redondances…) et un plan de transformation des pratiques utilisateurs a été mis en place : recommandations quant aux usages, recherche des failles de sécurité, adaptation éventuelle de la charte informatique… Dans ce contexte l’équation financière a été en grand partie déterminée par la facilité de la migration et par la simplicité d’utilisation, ainsi que par la disponibilité du prestataire pour l’accompagnement (conduite du changement).
La nécessité de se donner un plan global d’action quant à la sécurité, s’impose d’autant plus dans les cas où c’est la collectivité qui, elle-même, se transforme (fusion de certaines entités, nouvelles compétences…), ajoute René-Yves Labranche, DSI de la communauté urbaine de Dunkerque, ville de Dunkerque et des communes associées. Ici la sécurité s’envisage à l’échelle d’un ensemble de 17 communes, dans un contexte général de priorisation des projets (établi en l’occurrence selon la méthode MAREVA préconisée par la DINSIC) et dans le cadre d’un schéma directeur des systèmes d’information, lui-même organisé autour de quatre axes : relation usagers / citoyens, la dématérialisation, le collaboratif / mobilité, l’open data / big data / SIG….). Concernant la messagerie par exemple (2 300 boîtes mails, 350 000 messages reçus par mois), le choix s’est porté sur une solution cloud, laquelle permet d’uniformiser les systèmes déjà en place.
Sensibiliser les dirigeants
A la lumière de ces préoccupations, notamment celles liées au RGPD, la sécurité n’est plus seulement, on le voit, une histoire de techniciens et d’utilisateurs : les dirigeants doivent aussi s’y intéresser, expliquent ces trois DSI. A l’échelle de Dunkerque, un comité de sécurité des systèmes d’information a été constitué, animé par les deux directeurs généraux adjoints de la ville et de la CUD. Mais de l’avis général, de gros efforts restent à faire, les responsables, dans le secteur public comme dans le privé, se situant plutôt en réaction face aux incidents que dans l’anticipation. Il y a donc un besoin d’accompagnement et de sensibilisation.
Parmi les pistes à suivre pour y parvenir, on peut signaler le MOOC dédié (SecNum académie) proposé par l’ANSSI (Agence nationale de la sécurité des systèmes d’information), destiné à « former le plus grand nombre de citoyens à la sécurité du numérique ». Cela n’empêche pas, bien au contraire, de rencontrer des spécialistes. Ils seront présents à AP Connect, le salon des solutions IT pour les administrations publiques (29 et 30 janvier 2019 à l’Espace Grande Arche – Paris La Défense). Une occasion rare de discuter de technologies mais aussi de stratégie.
Demandez votre badge visiteur gratuit pour le Salon Ap Connect en cliquant ici
