Début 2021, le gouvernement français a débloqué 136 millions d’euros pour aider ses services publics à améliorer leur cybersécurité. Et tout particulièrement dans les hôpitaux et les collectivités locales, principales cibles des cyberattaques depuis 2020, comme nous l’explique Gwenaëlle Martinet, cheffe de projet France Relance à l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Gwenaëlle Martinet,
cheffe de projet France Relance à l’Agence nationale de la sécurité des systèmes d’information
« L’ANSSI n’a ni la vocation, ni les moyens de financer sur le long terme la cybersécurité de tous les services publics. »
- Pourquoi les services publics et les collectivités locales ou territoriales ont-elles été victimes de davantage de cyberattaques dès 2020 en France ?
L’ANSSI constate une explosion des cyberattaques en 2020, avec des attaquants qui se professionnalisent de plus en plus. Une tendance qui se confirme en 2021 autant en France que dans le reste de l’Europe. Chez nous, le nombre d’attaques par rançongiciel a été multiplié par quatre en 2020 par rapport à 2019, et pas forcément à cause de la crise sanitaire. Toutefois, cette dernière a révélé certaines failles car elle a favorisé le développement du télétravail, lequel a mis fin à la notion de sécurité périmétrique chère aux entreprises.
- Y-a-t-il des secteurs ou des métiers plus touchés par les cyberattaques, car moins bien protégés que d’autres, dans le secteur public notamment ?
Les deux secteurs publics qui font actuellement l’objet des principales attentions de l’ANSSI sont les collectivités territoriales et les établissements de santé. L’hétérogénéité de leur niveau de protection cyber font d’eux des cibles pour les attaquants.
- Comment l’ANSSI utilise-t-elle les récentes aides du gouvernement, dont les 136 millions d’euros du plan France Relance notamment, pour renforcer la cybersécurité des services publics ?
L’ANSSI est le pilote du plan France Relance pour la partie cybersécurité jusqu’en 2022. Le Gouvernement a effectivement débloqué 136 millions d’euros, dont 25 M€ pour les hôpitaux et 60 M€ pour les collectivités locales. Il s’agit de moyens inédits pour renforcer la sécurité des systèmes d’information de nos cibles prioritaires, même si l’agence n’a ni la vocation, ni les moyens de financer sur le long terme la cybersécurité de tous les services publics . A l’heure actuelle, 340 collectivités territoriales ont déjà bénéficié de ces fonds, ainsi qu’une centaine d’établissements de santé et quelques établissements publics. Dans certains domaines, l’ANSSI travaille aussi de concert avec quelques ministères, dont celui de la Santé par exemple, pour mener des actions communes dans ce domaine.
- Quelles mesures concrètes l’ANSSI a-t-elle prises avec le plan France Relance pour mieux sécuriser les services publics prioritaires, en régions notamment ?
L’ANSSI a mis en place trois offres de services cyber pour les services publics. Tout d’abord, des parcours de cybersécurité servant à cofinancer la réalisation d’un premier audit de cyber vulnérabilité par un prestataire IT. Sur cette base, une feuille de route contenant les mesures à apporter pour améliorer la situation sera ensuite proposée. Les collectivités locales touchent jusqu’à 90 000 euros pour faire réaliser ces prestations correctives par des prestataires IT spécialisés, via des marchés publics existants ou non, ou au travers de centrales d’achat ou encore d’ acquisitions sur devis.
Deuxièmement, l’ANSSI propose des appels à projets aux acteurs publics dont le niveau de cybersécurité est plus mature, et qui ont donc besoin d’un accompagnement plus ponctuel. Ces appels à projets peuvent concerner le déploiement d’un projet IT spécifique, qu’il s’agisse par exemple du montage d’un Plan de Reprise après Accident (PRA), de la sécurisation des postes de travail, des terminaux en situation de mobilité, etc.
Troisièmement, l’ANSSI accompagne l’émergence de CSIRT * régionaux pour fournir localement un service de réponse à incident de premier niveau, pour orienter et conseiller les acteurs de taille intermédiaire, publics ou privés, du territoire face à la menace et en cas d’incident cyber. Au plus proche des acteurs du territoire, ces organismes pourront aider les victimes à judiciariser l’attaque et à contacter les bons prestataires IT référencés par l’ANSSI ou le GIP ACYMA (cybermalveillance.gouv). L’ANSSI propose un accompagnement financier et méthodologique de ces CSIRT via un programme d’incubation, l’objectif étant à terme qu’ils puissent intégrer rapidement l’inter-Cert ** au niveau national.
- Combien de structures publiques ont-elles déjà bénéficié des parcours de cybersécurité et des aides financières proposées par l’ANSSI ?
L’ANSSI dénombre déjà 470 bénéficiaires en cette rentrée 2021 et nous prévoyons d’en avoir 700 d’ici fin 2022.
- L’ANSSI ne redoute-t-elle pas que certains prestataires ou fournisseurs IT perçoivent vos cyber-aides au secteur public comme un effet d’aubaine et en profitent ?
Nous pourrions parler d’effet d’aubaine si le prestataire ou le fournisseur ne proposait que des solutions clé-en-main. L’ANSSI n’a pas fait ce choix car nous voulons que les bénéficiaires puissent sécuriser leurs installations sur mesure et dans la durée : ils doivent donc contractualiser avec les prestataires de leur choix et co-financer les actions. En outre, nous ne donnons les financements qu’aux bénéficiaires, et non pas aux prestataires, dans le cadre de vrais marchés. Cela dit, l’ANSSI a besoin de davantage de prestataires IT disposant d’une bonne compréhension du dispositif pour améliorer la cybersécurité du service public
- Les moyens dont disposent désormais les services publics et les collectivités territoriales sont-ils suffisants pour mieux les protéger contre les cyberattaques et les industrialiser selon l’ANSSI ?
Industrialiser la cyber protection est l’un des principaux enjeux de l’ANSSI. La qualité du déploiement réalisé, mais aussi celle des prestataires IT qui l’effectuent, jouent un rôle-clé dans notre dispositif visant à garantir une cyber-protection de qualité pour les services publics.
- Les mentalités ont-elles vraiment changé dans les structures publiques face aux cyber-menaces qui se professionnalisent ?
Oui. Ce sujet n’est plus seulement l’affaire des RSSI et des DSI, car chacun porte sa part de responsabilité lors d’une attaque. Le déploiement d’une véritable “hygiène numérique” est toujours en cours dans les structures publiques et la sensibilisation des agents joue également un rôle déterminant. J’estime aussi que recueillir le témoignage d’entités ou services qui se sont fait attaquer participe au changement des mentalités.
- Comment les entreprises des secteurs publics et privés, mais aussi l’ANSSI, gèrent-elles la pénurie de cyber-compétences en France ?
C’est un enjeu fondamental, raison pour laquelle nous travaillons énormément sur la formation en cybersécurité. L’ANSSI mène des actions concrètes avec le ministère de l’Education Nationale, pour sensibiliser les lycéens. La reconversion des adultes vers des métiers de la cybersécurité se développe de plus en plus. L’ANSSI a créé le label SecNumEdu-FC, qui leur permet de trouver des formations continues de qualité. Les enjeux de cybersécurité sont également évoqués lors du service national universel afin d’adresser une population plus jeune et la motiver à se lancer dans le secteur de la cybersécurité.
- L’ANSSI milite-t-elle pour un durcissement en 2022 des critères d’obtention de ses labels et référentiels (SecNum, etc.) afin de mieux protéger les acteurs publics ?
Les référentiels de l’ANSSI sont déjà très exigeants. Le réel enjeu est de les promouvoir afin qu’un nombre croissant de prestataires et fournisseurs rentrent dans le processus d’évaluation. L’objectif est qu’à terme on dispose d’un large catalogue de produits et prestataires ayant un Visa de sécurité.
« Nous voulons que les bénéficiaires
puissent sécuriser leurs installations sur mesure et dans la durée : ils doivent donc contractualiser avec les prestataires de leur choix
et co-financer les actions. »
* CSIRT : Computeur Security Incident Response Team, équipe d’experts pour intervenir en cas d’attaque.
**Inter-CERT : groupement des CSIRT pour favoriser notamment l’échange d’expérience et d’informations
Les chiffres clés
- Jusqu’en 2022, l’ANSSI pilote le plan France Relance pour la cybersécurité
- 136 millions € : Budget cybersécurité débloqué par l’Etat
- 25 M€ pour les hôpitaux , une centaine d’ établissements de santé ont déjà bénéficié de ces fonds,
- 60 M€ pour les collectivités locales, 340 ont déjà bénéficié de ces fonds
- 470 bénéficiaires au total en octobre 2021
- 700 bénéficiaires : prévision à fin 2022.