Question écrite de Jérôme Toussaint, conseiller communal.
On en parle moins mais les administrations publiques (maison communale, collectivités,…) sont également les cibles privilégiées de menaces et/ou attaques informatiques réelles.
Sur base de ce constat, j’aurais voulu savoir ce que notre commune a mis en place pour assurer sa sécurité informatique (présente et à venir) ? Est-ce que notre personnel administratif est par exemple sensibilisé voire spécifiquement formé afin d’adopter les règles de cybersécurité indispensables à la bonne continuité des services (étant donné que l’humain est très souvent la porte d’entrée première des hackers de tous bords) ?
En vous remerciant déjà pour vos réponses,
Réponse :
En termes de cybersécurité et de prévention des risques liés, l’administration communale et le service des Nouvelles Technologies se basent sur trois piliers.
Le premier étant l’infrastructure. Dans le cadre du projet U, l’administration communale s’équipe de deux data centers fonctionnant en redondance. Cette configuration doit permettre la continuité du service dans le cas où un data center serait mis hors service, indépendamment de la cause. Cette infrastructure se complète de deux fibres optique également indépendantes.
De plus le passage de l’architecture actuelle « client-server » vers la future architecture VDI (Virtual Desktop Infrastructure) participera à renforcer notre sécurité informatique grâce à la gestion centralisée des applications et des accès aux base de données pour l’ensemble du parc informatique. Dans cette configuration, seul le service NT installera les applications nécessaires aux services communaux, après les avoir validées et configurées.
De nouvelles règles d’accès aux outils informatiques seront également d’application pour les utilisateurs après notre déménagement. Citons l’obligation d’utiliser des mots de passe complexes ou la mise en place d’une authentification multifacteur (ou MFA).
Sans attendre le déménagement et le basculement sur cette nouvelle infrastructure, notre Commune se dote depuis plusieurs années déjà d’outils de défense contre les attaques informatiques. C’est le cas de l’investissement dans le firewall Check Point qui compte parmi les plus fiables du marché. Cette mesure s’est montrée à la hauteur de nos attentes puisque aucune attaque n’a pu aboutir à ce jour. Par ailleurs, les PC (fixes et laptops) sont équipés d’un antivirus de 4e génération, reposant sur des logiques auto-apprenantes lui permettant d’enrichir au quotidien ses capacités de réaction aux attaques virales. Nous avons étendu cette possibilité aux tablettes et smartphones en usage dans l’administration. Le télétravail est soumis au mêmes règles de sécurité que le reste de l’infrastructure et grâce au VDI, un portable télétravail perdu ou volé n’entraine aucun risque de sécurité ou de perte de données.
Le deuxième pilier est constitué par les connaissances de nos techniciens IT. L’équipe se tient au courant des derniers développements et bénéficie d’une formation régulière en la matière. Elle peut également s’appuyer sur les compétences du DPO (Data Protection Officer), spécialiste en la matière.
Le troisième pilier regroupe tous les utilisateurs de notre infrastructure. Notre mission, en ce qui les concerne, est de les conscientiser par rapport aux bonnes pratiques de cyberprévention, notamment lors de leurs contacts avec notre service ou lors d’interventions. Le service des Nouvelles Technologies envoie par exemple régulièrement des mails d’information, des alertes spam et virus, etc… Le service des Nouvelles Technologies a l’intention d’intensifier cette communication préventive en se reposant sur l’expertise du ou de la future responsable de la communication interne dont le recrutement est actuellement ouvert. Signalons aussi que la nouvelle version du règlement de travail, en préparation, inclura sous le chapitre « Droits et devoirs de tous les membres du personnel » un article spécifique dédié à la sécurité de l’information et la protection des données en vue de rendre contraignantes les règles d’or en ce domaine.
