Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Décideur Public - Univers Numérique

Décideur Public - Univers Numérique

Site d’informations gratuit et indépendant dédié à l'univers numérique et au secteur public. philippe.guichardaz@decideur-public.info


Bien gérer ses identités et ses accès : une priorité pour les collectivités locales.

Publié par Décideur Public - Systèmes d'Information sur 19 Janvier 2021, 17:41pm

Catégories : #Avis d'Expert

Par Christophe Grangeon, directeur général chez Usercube.

Alors que les cyber-attaques se multiplient et prennent un aspect systématique et industriel, les collectivités locales et territoriales apparaissent comme des cibles de choix.  En effet, un attaquant va choisir sa cible en fonction de critères simples selon une méthode comparable à une étude de marché :

  • Quel est l'impact de l'attaque ? Dans le cadre d'une collectivité, il peut être considérable si l’attaquant arrive à bloquer des services à destination des citoyens
  • Combien de temps va durer la négociation ? Les attaquants sont dans une approche industrielle donc le délai de paiement de la rançon est un facteur clé du choix de la cible. Pour une collectivité qui fournit des services essentiels à ses citoyens, rétablir le service dans les meilleurs délais est un impératif absolu. En conséquence la négociation peut être rapide.
  • La cible est-elle solvable ?  Pour une collectivité, cela ne fait aucun doute.
  • Quel est le niveau de protection de la cible ? On peut facilement imaginer qu'une collectivité n'a pas forcément les moyens financiers nécessaires pour s’entourer d’experts en cybersécurité pour sécuriser efficacement leur SI.

Sur ce dernier point, alors que l’offre de cybersécurité ne cesse de s’étoffer, il est frappant de constater à quel point elle est dissonante par rapport au niveau réel de maturité des collectivités locales. Le « back to basics » de l’ANSSI n’a jamais été aussi vrai et avant d’investir dans des outils pointus il est urgent de commencer par gérer correctement les utilisateurs et les accès au système d’information. 

En ce sens, la mise en place d’une solution d’administration et de gouvernance des identités (solution IGA) et des accès permet de répondre aux questions de base « Qui accède à quoi ? Ces accès sont-ils légitimes ? Qui les a validés ? ». En effet, l'usurpation d'identité, la prise de contrôle de l'annuaire interne (Active Directoy) ou l'accès à des partages bureautiques contenant des données confidentielles peuvent avoir des impacts dévastateurs, en particulier au regard de la réglementation sur les données personnelles. On peut imaginer les conséquences de la divulgation de données relatives à l'aide sociale par exemple.

Au-delà du renforcement de la sécurité du système d'information, la mise en place de dispositifs IGA procure immédiatement de nombreux avantages à une collectivité :

  • La conformité avec la RGPD pour les données des utilisateurs du SI 
  • La conformité avec la Loi de Programmation Militaire pour celles qui ont le statut d'Organisme d'Importance Vitale (OIV); 
  • La création d'un annuaire central est souvent une véritable plus-value car les agents sont dispersés sur de nombreux sites et de nombreux services passent leur temps à mettre à jour leurs propres annuaires
  • L'automatisation des processus d'entrée, mutation et sortie des agents et des externes permet de fluidifier les processus RH et de supprimer les tâches sans valeur ajoutée (les fameuses "fiches navettes")
  • L'industrialisation des revues de droit et le remplacement des fameux fichiers Excels que les managers ne retournent jamais ...
  • La capacité à répondre immédiatement aux questions des auditeurs

Cependant, force est de constater que les dispositifs traditionnels de gestion des identités ne sont pas adaptés aux collectivités. En effet, ils se présentent principalement comme des « boites à outils » qui nécessitent une grande expertise fonctionnelle et technique pour le bonheur des consultants et autres intégrateurs mais qui induisent des coûts prohibitifs.

Attention donc à être vigilant sur ce point et à opter pour des environnements de confiance, idéalement Saas et certifiés ISO 27001 par exemple. Choisir de s’appuyer sur une approche projet industrialisée est également un élément clé qui réduit sensiblement la charge et le niveau d'expertise nécessaires côté utilisateur. Cette démarche permet de baisser drastiquement les délais du projet et de passer sur des budgets de fonctionnement plutôt que d'investissements.

Enfin, au-delà de la technologie, les collectivités doivent absolument privilégier des dispositifs qui intègrent leurs problématiques métier. Cela leur permettra de bénéficier des apports réalisés par leurs pairs et de s’inscrire dans une véritable approche "communautaire" pour partager de bonnes pratiques et mutualiser les investissements.

Pour être informé des derniers articles, inscrivez vous :

Commenter cet article

Archives

Nous sommes sociaux !

Articles récents