Cybersécurité : l’Anssi dresse le bilan et les perspectives de ses "parcours cyber"

Face à des administrations locales figurant dans le palmarès des structures les plus attaquées par des rançongiciels, l’Etat a demandé à l’Agence nationale pour la sécurité des systèmes d’information (Anssi) de les accompagner. C’est ainsi que 136 millions d’euros ont été affectés par le plan de relance de 2020 au financement de "parcours cyber". Sur la période 2021-2022, l’agence s’est fixé pour objectif d’accompagner au moins 500 collectivités territoriales, 150 établissements de santé et 50 établissements publics. Une mission dont l’agence vient de publier un bilan d’étape.

Un parcours en trois phases

"Les parcours cyber, rappelle l’Anssi, sont ouverts à des entités publiques volontaires, disposant d'un système d'information de quelques dizaines de machines, d'un référent pour la sécurité des systèmes d'information et s'engageant à utiliser au moins 5% de leur budget informatique à leur cybersécurité". L’agence a conçu les parcours pour qu’ils puissent être "industrialisés" et confiés à des prestataires privés, chaque entité devant pouvoir bénéficier "d’un accompagnement homogène et de prestations de qualité". Chaque parcours comporte trois phases : un pré-diagnostic sur le niveau de maturité cyber de la structure pour bien calibrer les interventions. Suivait un "pack initial" comprenant un audit de sécurité, des actions de sensibilisation et la conception d’un plan de sécurité. Des actions complétées si besoin par un "pack relais" pour l’installation de matériels ou de logiciels complémentaires.

Plus de 350 structures recalées

Au 31 décembre 2021, 626 structures, pour plus de 990 candidats, avaient bénéficié d’un parcours cyber, plus de 54 prestataires ayant été sélectionnés par l’agence pour les conduire sur le terrain. On peut penser que parmi les quelque 350 recalés figurent de nombreuses petites et moyennes collectivités ne répondant pas aux critères de l’Anssi et notamment celui de l’existence préalable d’un RSSI. Certaines petites collectivités ont cependant pu indirectement bénéficier d’un audit via une structure de mutualisation (syndicat informatique, GIP) éligible à l’aide de l’Anssi. Sur les 136 millions d’euros affectés par l’Etat sur deux ans près de la moitié des crédits ont été engagés, soit 69 millions d’euros. Dans son bilan, l’Anssi relève la difficulté des organisations accompagnées à "conserver une dynamique tout au long du parcours", et à passer d’un plan de sécurisation à la mise en œuvre d’un plan d’actions. Une difficulté renforcée par les "tensions" prévalentes sur le marché des prestations de services en cybersécurité du fait des "menaces et attaques récurrentes".

Mutualisation profitable aux petites collectivités

Pour 2022, la priorité de l’Anssi est de mener à terme les parcours engagés, à peine 140 étant aujourd’hui effectivement lancés. L’agence souhaite ensuite documenter la démarche pour que ces parcours cyber puissent être proposés à davantage d’organisations. Elle réfléchit également à l’acquisition de "licences mutualisées" sur des produits ou logiciels cyber qui pourraient profiter à l’ensemble des structures publiques et notamment aux petites collectivités. Les logiciels métiers les plus couramment déployés dans le secteur public devraient également faire l’objet de campagnes de "bug bounty", autrement dit de compétitions (assorties de prix) destinées à découvrir des failles de vulnérabilité dans l’objectif de les colmater.

Des initiatives qui permettraient sans doute un plus grand "ruissellement" du financement de la sécurisation des systèmes d’information publics mais qui ne règlent pas pour autant la question des moyens affectés aux petites collectivités pour les aider à faire face aux cyberattaques.