Ateliers e-collectivités Vendée

22 septembre 2017

15H – 16H

Programme

> Pourquoi est-il nécessaire de mettre en place des mesures

de sécurité informatique au sein des collectivités

territoriales ?

> Comment mettre en place ces mesures ?

> 1 – Pourquoi de la sécurité informatique dans les collectivités ?

> 2 – Rôle de l’ANSSI

Les menaces sur les CT

I

Les menaces sur les CT

Pourquoi est-il nécessaire de mettre en place des mesures de

sécurité informatique au sein des collectivités territoriales ?

Deux raisons principales :

Les CT peuvent être victimes d’attaques de masse

Les CT peuvent être victime d’attaques ciblées en raison

de leur importance (nb habitants, stratégique…)

LES ATTAQUES DE MASSE

Les attaques de masse

> Le phishing

Les attaques de masse

> Le phishing

Les attaques de masse

> Les rançongiciels

Les attaques de masse : Ex ransomware Wannacry

> Propagation : vulnérabilité disposant d’un correctif de sécurité peu appliqué (SMBv1)

> Réutilisation d’un code d’exploitation sophistiqué divulgué sur Internet en avril 2017

> Près de 250 000 entités dans plus de 150 pays ont été victimes de WannaCry ! Par exemple : entreprises, agences gouvernementales, ministères…

vague mondiale

d’infections par le

rançongiciel WannaCry

Les attaques de masse : Ex ransomware Wannacry

Les attaques de masse

> Hébergement de services frauduleux sur les SI

Les attaques de masse

> Défiguration de site Internet

Les attaques de masse

Conclusion…

> Phishing ; Rançongiciel ; Hébergement de services frauduleux ;

Défiguration de sites Internet

> Il est donc nécessaire de se protéger un minimum.

Le respects de règles simples éviterait 80% des

attaques informatiques connues.

80%

Les attaques de masse

Exemple

> Exemple : Ne pas réutiliser le même mot de passe & utiliser un mot de

passe non prédictible.

Exemple

> Exemple : Faire les mises-à-jour lorsque nécessaire.

Exemple

> Exemple : Utiliser des

dossiers chiffrés pour

contenir les documents

stratégiques

LES ATTAQUES CIBLÉES

Les attaques ciblées

Les attaques ciblées :

> Les CT peuvent être ciblées à cause de l’importance du nombre

d’habitants

▪ impact global d’une attaque informatique serait majeur.

> Les CT peuvent également être ciblées pour leurs aspects

stratégiques.

Les attaques ciblées

> En fonction de

l’importance de la

commune

Ex : La gestion de l’eau ;

Les transports ; Le

tourisme

Les attaques ciblées

> En fonction de l’importance stratégique des CT.

Comment récupérer des

documents confidentiels ?

-Clé USB ?

-Wi-Fi ?

Les marchés publics importants,

Les études foncières

Les schémas d’aménagement

Les projets de consultations (ex POS, PLU, SCOT…)

L’Etat civil

L’impact sur l’image des élus

Les attaques ciblées

Client Serveur

Pirate

Connexion MiTM

Connexion originale

Les attaques ciblées

> Le Wi-FI ?...

ET LA RÉGLEMENTATION DANS

TOUT CELA ?

La réglementation

La réglementation entre également en jeu.

Référentiel Général de Sécurité (RGS)

> Analyse de risques, objectif de sécurité,

Homologation

La réglementation

Règlement Général pour la Protection des Données (RGPD)

> 25 mai 2018 ; Notion de « privacy by design » ; Analyses d’impact

> Label gouvernance Informatique et Libertés

> DPO mutualisé ? ▪ Recenser les traitements de données personnelles

▪ Prépare les procédures spécifiques

▪ Sensibilise les agents

Conclusion

Et demain ?...

> Comment gérer les incidents informatiques des CT ?

> Comment arriver à respecter la réglementation tout en gérant le

budget alloué aux SI ?

> Comment arriver à augmenter le niveau de maturité en sécurité

informatique des CT ?

L’ANSSI

II

SGDSN Secrétariat Général de la Défense

et de la Sécurité Nationale

ANSSI Agence Nationale de Sécurité des

Systèmes d’Information

Coordination interministérielle en matière de défense et de sécurité nationale

Autorité nationale en matière de sécurité et de défense des systèmes d’information

Créée le 7 juillet 2009 par le décret n°2009-934, l’ANSSI est un service à compétence nationale.

Positionnement de l’ANSSI

ANSSI

Les rôles des sous-directions

COSSI Centre Opérationnel de la SSI

SDE Expertise

SIS Systèmes d’Information

Sécurisés

SDAG Affaires générales

RELEC Relations Extérieures et

Coordination

Veille, détection et défense des systèmes d’information étatiques et d’importance vitale

Expertise et assistance technique

Conception et mise en œuvre de produits et systèmes d'informations sécurisés et DSI du SGDSN.

Gestion des affaires générales de l’ANSSI (juridique ; finances ; RH ; logistique)

Coordination des relations extérieures de l’ANSSI et élaboration de la réglementation SSI

Autorité de sécurité (prévention) Autorité de défense (réaction)

Renseignement Actions offensives

Deux principaux domaines de compétences

Autorité de sécurité (prévention)

Recherche et expertise technique

Conseil et assistance

Formation et sensibilisation

Audits, inspections et contrôles SSI

Élaboration de textes règlementaires (règles de sécurité, RGS, LPM)

Planification et exercices

Gestion de clés cryptographiques

Conception, maîtrise d’ouvrage et mise en œuvre des moyens de communication sécurisés pour l’ État

Labellisation de produits et de services de confiance

Contribution au développement de produits gouvernementaux

Contribution au développement de produits et de services commerciaux de confiance

Prendre part aux négociations internationales et être en lien avec les partenaires étrangers

Autorité de défense (réaction)

Veille, analyse et évaluation de la menace

Détection des attaques informatiques

Réponse aux attaques informatiques

Surveillance en temps réel des infrastructures critiques

Dans le cas d’une crise majeure contre les SI de l’État ou des OIV et dans le cadre des orientations fixées par le Premier ministre, l’ANSSI :

décide des mesures de protection à faire appliquer ; coordonne l’action du gouvernement contre la crise ; met en œuvre la réponse à la crise.

Les 4 piliers de l’ANSSI

Règlementation Conseils et soutien Labellisation de produits

et de services

Détection et réaction

36

http://www.ssi.gouv.fr/

37

http://www.ssi.gouv.fr/

38

http://cert.ssi.gouv.fr/

https://www.cybermalveillance.gouv.fr/

Les 4 piliers de l’ANSSI

Règlementation Conseils et soutien

Labellisation de produits et de services

Détection et réaction

Labellisation de produits et de services

> Labellisation de produits et services ▪ Pare-Feu, chiffrement de disque dur …

▪ PASSI, PRIS, PDIS, « cloud » …

Un prestataire qualifié

=

Un prestataire conforme aux référentiels de l’ANSSI

=

Un prestataire compétent et de confiance

=

Un prestataire recommandé par l’ANSSI Le prestataire est évalué par rapport au référentiel d’exigences.

L’Administration transmet le résultat de l’enquête administrative à l’ANSSI.

42

Labellisation de produits et de services

Les 4 piliers de l’ANSSI

Règlementation

Conseils et soutien Labellisation de produits et de services

Détection et réaction

http://www.sgdsn.gouv.fr/site_rubrique59.html

La règlementation / maîtrise des risques

La règlementation / maîtrise des risques

> Règlement européen eIDAS

▪ identification électronique et les services de confiance pour les

transactions électroniques au sein du marché intérieur

▫ ANSSI : Garant de sécurité pour l’identification électronique

▫ ANSSI : Organe de contrôle pour les services de confiance

> Directive NIS

▪ Autorité nationale de cybersécurité

▪ …

▪ Mise en place des OSE

Les 4 piliers de l’ANSSI

Règlementation

Conseils et soutien

Labellisation de produits et de services

Détection et réaction

Guides et recommandations thématiques

Guide des bonnes pratiques de

l’informatique

Guide d'hygiène informatique

Notes

Techniques

Cible : responsable informatique ou de la sécurité informatique

40 règles

Cible : chef d’entreprise (PME – TPE) 12 règles

(l’essentiel de l’essentiel)

Publications

316ème séminaire « sécurité économique et protection du patrimoine » 49

Nos publications

50

Se former de manière ludique… Le MOOC

La COordination Territoriale (COT)

Une mission double :

Relais territorial de l’action de l’Agence :

Interlocuteur privilégié des collectivités territoriales, des OIV, des industriels et des associations

Assistance spécifique aux OIV et contribution à la sécurité des PIV

Mise en œuvre de la politique industrielle de l’ANSSI

Animation de réseaux :

Établissement et entretien de la cartographie des acteurs SSI locaux

Aide au partage d’expérience

Coordination des actions de communication et de formation

Création de la coordination territoriale • Augmenter le lien entre les

régions et l’ANSSI • Coordonner l’action de

différents services en matière de cybersécurité

• Faire remontrer les incidents marquants

• Augmenter la portée des actions de l’ANSSI

• Apporter une aide et des orientations aux organismes

• Rapprocher notre action des collectivités territoriales

Atelier e-collectivités Vendée • 2017 Jean-Sylvain CHAVANNE

jean-sylvain.chavanne@ssi.gouv.fr @jean_sylvain