Je commence par vous souhaiter à tous, lecteurs de mon blog, partenaires LinkedIn, partenaires de partenaires…une excellente année 2023. J’espère qu’elle sera marquée par des projets qui vous motivent, des décisions qui vous ressemblent et l’énergie pour agir.

J’ai terminé 2002 avec les collectivités territoriales. Je débute 2023 avec une illustration de l’importance stratégique des risques et de la gestion des risques dans les collectivités territoriales.

Les publications des semaines à venir seront relatives au RGPD à travers une thématique intitulée : LE RGPD QUOI DE NEUF ?

Il est essentiel que les collectivités territoriales se forment aux risques et à leur gestion.

🏆 J’ai partagé avec des élus des collectivités territoriales mes connaissances dans les domaines des RISQUES – GESTION des RISQUES

🗼 Dans le cadre d’une formation d’une journée intitulée « La gestion des risques : prévenir pour agir »

🗼 Organisée le 23 novembre 2022, dans le cadre du Congrès des Maires

🗼 Ses objectifs étaient de montrer aux élus comment catégoriser et caractériser les risques et mettre en place une démarche de gestion des risques (étapes, outils)

🏆 Les élus de Martinique auxquels je m’adressais se sont montrés très intéressés ; ils sont concernés par les risques et leur gestion car :

🗼confrontés aux risques dans leur quotidien ;

🗼placés en première ligne par le régulateur-législateur (voir « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. », CH I Définition des notions mobilisées et contextualisation de la Fonction Risk Manager, Amplificateur de risque 1 : le régulateur, législateur, p. 53-65.

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Les collectivités territoriales sont confrontées à toute une « palette de risques » et y sont souvent peu préparées. Je l’ai notamment illustré à travers le cyber risque.

🏆 Pour aller plus loin sur ce thème, je vous propose de :

🗼 relire sur ce blog un article intéressant de cyberattaques contre trois municipalités. On y retrouve les éléments d’identification d’un risque : description de celui-ci, causes, impact. Et quelques Plans d’Actions ;

🗼 de lire ci-dessous un court article écrit dans « The Conversation » et qui alerte une nouvelle fois écrit l’auteur « sur les dangers cyber contre les collectivités territoriale….Espérons que l’on finisse enfin par réaliser – au-delà des ransomwares actuels qui sont déjà fort préoccupants – l’ensemble des enjeux liés à une bonne sécurisation de leurs SI et l’impact qu’auraient des cyberattaques ciblant ces derniers en termes politiques, économiques et sociétaux. Sachant que le conflit actuel en Ukraine tend à rappeler clairement l’importance d’une bonne résilience des CT ainsi que leur rôle majeur en matière de D.O.T…. »

Cyberattaques contre les collectivités territoriales : le pire est-il à venir ?

Depuis le début de la crise du Covid-19 et notamment durant la période de confinement, on assiste à une augmentation sans précédent des cyberattaques touchant les collectivités territoriales françaises (régions, départements, communes, communautés de communes, etc.). Toutefois, ces dernières sont souvent occultées par celles qui affectent les établissements de santé du fait de leurs conséquences potentiellement dramatiques, à l’image de l’attaque qui a touché, début décembre, le centre hospitalier de Versailles, au Chesnay-Rocquencourt (Yvelines).

Nos travaux sur la vulnérabilité des collectivités territoriales françaises face aux cyberattaques ont notamment été sanctionnés par la première (et seule à ce jour) thèse en sciences de gestion soutenue dès 2012 et donné lieu à plusieurs articles scientifiques ultérieurs. Ces travaux furent l’occasion d’appeler à la mise en place d’une politique publique nationale d’accompagnement des collectivités territoriales relativement à la nécessaire sécurisation de leurs systèmes d’information (SI), malheureusement sans grand succès.

Si nous aurions préféré avoir tort quant aux évolutions envisagées, force est de constater que le sujet est finalement apparu sur l’agenda médiatique depuis la crise du Covid pour ne plus la quitter depuis lors. Eu égard à la structuration territoriale française (45 205 collectivités locales en 2022), ces dernières revêtent une importance prépondérante, autant pour leur proximité directe avec les citoyens qu’en termes de services rendus. C’est vraisemblablement ce constat qui a amené de plus en plus de groupes de hackers à les choisir pour cibles.

Les cyberattaques menées demeurent pour le moment essentiellement liées à l’envoi de ransomwares (logiciels malveillants se diffusant à l’intérieur d’un système d’information et chiffrant l’ensemble des données accessibles) et visent un objectif exclusivement pécuniaire au travers de la demande d’une rançon dont le paiement préalable conditionne l’envoi (ou pas) d’un code de déchiffrement. Ce type d’offensive s’avère effectivement d’une efficacité redoutable en cas de sauvegarde non redondante.

Triple défi numérique

Appelant de nos vœux une véritable prise de conscience des enjeux liés à une mauvaise sécurité des SI, il nous semble impératif d’alerter sur d’autres types d’atteintes aux données des collectivités, d’autant plus dangereux selon nous qu’ils s’avèrent potentiellement cumulatifs.

À trop se focaliser sur les rançongiciels touchant leurs serveurs, on en vient à oublier que les collectivités territoriales se situant intrinsèquement à l’intersection de trois univers (politique, économique et sociétal), celles-ci relèvent quotidiennement trois défis numériques majeurs : l’administration électronique, l’e-démocratie et la dématérialisation des appels d’offres.

 Dépassant largement la mise à disposition des administrés de nouveaux moyens de communication, l’administration électronique, régulièrement plébiscitée par les Français depuis plusieurs années, est devenue un outil stratégique de service public. Et cet état de fait devint encore plus évident durant la période de confinement relative au Covid-19 : il est aisé d’imaginer l’impact politique et social qu’auraient engendré des cyberattaques privant des citoyens d’un moyen d’interaction devenu d’autant plus essentiel qu’ils se trouvaient dans l’incapacité de se déplacer pour effectuer la moindre démarche administrative. Il convient par conséquent de sécuriser les SI afférents afin d’assurer une continuité de service public en cas de crise majeure.

Le même problème se pose en ce qui concerne l’e-démocratie. Nous avons récemment mis en évidence l’existence d’une typologie des interactions entre la collectivité et ses administrés selon le support numérique utilisé : interaction forte (échanges directs entre les citoyens et les exécutifs territoriaux), modérée (enquête en ligne ou dialogue sur les réseaux sociaux) ou faible (remontée d’informations ponctuelles à l’initiative des administrés).

Le degré de gravité d’une cyberattaque touchant les SI d’e-démocratie sera donc directement corrélé au vecteur numérique : pertes ou vols potentiels d’informations à caractère personnel dans les deux premières hypothèses et perte de confiance dans tous les cas. Ici encore se pose la question de l’impact de telles attaques contre des outils précisément mis en place pour tenter de favoriser une meilleure participation à la vie publique de citoyens de plus en plus méfiants vis-à-vis des institutions démocratiques.

À cela s’ajoute enfin la possibilité que les SI dédiés aux appels d’offres des collectivités puissent également être ciblés. Que ce soit en termes de fonctionnement ou d’investissement une collectivité, à l’image de la grande majorité des organisations, se trouve dans l’obligation de faire appel à des prestataires extérieurs.

La dématérialisation de ces procédures fut précisément menée pour permettre une meilleure fluidité dans la gestion des appels d’offres, ainsi que dans le souci de permettre de simplifier les procédures afin de permettre à des petites et moyennes entreprises (PME) de répondre à ceux-ci avec une chance raisonnable de succès. Une offensive numérique visant les échanges entre les soumissionnaires et la collectivité s’avérerait également lourde de conséquences, non seulement en matière économique mais également en termes de crédibilité intrinsèque.

Acteurs de la défense

Face à l’ensemble des défis précités, on peut espérer que le volet dédié au financement numérique des collectivités territoriales du plan gouvernemental « France Relance » permettra d’améliorer sensiblement la sécurisation des SI territoriaux. Pour autant, l’opportunité budgétaire ne fait pas tout, a fortiori lorsque les projets potentiellement finançables entrent immanquablement en compétition les uns avec les autres et que les capacités d’accompagnement financier d’origine étatique demeurent par nature limitées.

Or, il convient de conserver à l’esprit qu’en matière de sécurisation des SI, comme nous le mettions déjà en évidence dans le premier ouvrage dédié à cette problématique et paru dès 2014, l’une des conditions essentielles du succès, voire la principale d’entre elles, relève d’une volonté politique forte au sens ou l’impulsion doit venir directement des exécutifs territoriaux.

Notre expérience d’universitaire spécialiste du sujet et d’ancien élu d’une ville de plus de 100 000 habitants nous incite donc à préconiser la définition d’une véritable politique publique d’accompagnement des collectivités territoriales en matière de sécurisation de leurs SI. Et ce d’autant plus qu’à la lumière des enseignements tactiques issus du conflit ukrainien, on redécouvre la nécessité de renforcer la défense opérationnelle du territoire français dont les collectivités territoriales demeurent des parties prenantes essentielles.

Rémy Février. Décembre 2022

La semaine dernière, je vous faisais un point sur la légalisation par le gouvernement de l’indemnisation des cyber-rançons à partir d’un article et des deux réactions face à cette légalisation. https://gestiondesrisques.net/2022/10/13/blog-https-gestiondesrisques-net-la-rentree-un-peu-en-decale/

Rebondissement, le 18 octobre 2022 : la condition de plainte est modifiée par le Sénat.

Celui-ci nous rappelle, s’il en était besoin, le contenu souvent peu structurant des mesures prises par les pouvoirs publics français (loi NRE, loi SF, principe de précaution…). Or celui-ci est bien souvent à l’origine des logiques de sur-réaction ou de sous-réaction des entreprises. Voir le rôle d’amplificateur du risque du régulateur-législateur que je présente dans mes travaux comme l’un des facteurs qui explique l’ampleur considérable prise depuis la fin des années quatre-vingt-dix par la Fonction Risk Manager. Voir Ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; p.53-65. 👉  https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

Je vous livre ci-dessous l’analyse de Paul Berger de Gallardo, Avocat / Assurances, cyber, risques industriels. 

🔔 Assurer la cyber-rançon : la condition de la plainte modifiée par le Sénat 🔔

🔹 7 septembre 2022 : dépôt d’un projet de loi par le Gouvernement proposant d’encadrer le remboursement des cyber-rançons par les #assurances, en rendant obligatoire le dépôt d’une « plainte » par la victime « au plus tard 48 h après le paiement de cette rançon ».

🔸 7 octobre 2022 : rédaction d’un amendement du sénateur Rémi Cardon qui transforme la condition d’assurance en une « pré-plainte » devant être déposée « dans les 24h suivant l’attaque et avant tout paiement ».

➡ Objectif : informer au plus vite les autorités compétentes pour agir dès la #cyber-attaque et réduire le nombre de rançons versées.

🔹 18 octobre 2022 : adoption du texte par le Sénat avec l’amendement précité, puis transmission à l’Assemblée nationale.

❓ Quelques interrogations sur cette condition d’assurance modifiée :

🔹 le dépôt d’un pré-plainte est-il opportun alors que ce mode de déclaration n’est pas prévu ni adapté pour les situations d’urgence ?

🔹 le point de départ du délai de 24h fixé au jour de l’attaque et non à celui de la demande de rançon est-il pertinent, alors que certains rançongiciels commencent à œuvrer bien avant que la victime en ait connaissance ?

🔹 le délai de 24h est-il tenable pour une (petite) entreprise sous le coup d’une cyber-attaque ?

Comme d’habitude, une thématique / une progression / les liens vers les précédentes publications du blog sur cette thématique au début de chaque nouvelle publication.

La thématique de la rentrée : octobre, le cyber-mois

La progression :

–      Un élément de contexte : l’impact du régulateur-législateur comme amplificateur du risque illustré à travers un article « Cyberattaque : le gouvernement légalise l’indemnisation des rançons », deux réactions et une mise en perspective

–      L’évaluation du cyber-risque (ses causes, ses conséquences) à partir de l’actualité ; les cyberattaques continuent : un rapide état des lieux et un focus sur les cyberattaques visant les hôpitaux à partir de deux articles 

–      Les solutions pour prévenir le risque, l’atténuer ou l’accepter sous sa forme résiduelle

• Le transfert vers les assureurs / lien vers une émission
• La création par des grands groupes de leur propre société d’assurance
• Les plans d’actions préconisés par l’ANSII

Les liens vers les précédentes publications du blog sur cette thématique :

🏅Le cyber risque, risque n°1 pour les entreprises.

❓ Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur

❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)

 🚴 Comment agir ?

👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance,  https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plans d’actions pour gérer le cyber risque 

👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.

Plans d’action / fraude au président

https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/

Plans d’action / cyber-risques liés au télétravail

https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/

https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/

Nécessaire implication des salariés / gestion du cyber-risque

https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/

Plans d’actions préconisés par l’ANSII

https://gestiondesrisques.net/2022/05/20/ca-bouge-du-cote-du-cyber-risque-4-comment-se-premunir-contre-une-cyberattaque/

Assurance : Bercy donne son feu vert à l’indemnisation des cyber-rançons

Dans un rapport obtenu par « Les Echos », le ministère de l’Economie plaide à son tour en faveur de la prise en charge des rançons en cas d’attaque cyber, à condition que l’entreprise victime porte plainte. La mesure figure dans un projet de loi du ministère de l’Intérieur, qui sera présenté ce mercredi.

Il n’y aura pas d’exception française sur les cyber-rançons. Le ministère de l’Economie acte à son tour le principe d’indemnisation des rançons payées par les entreprises et autres entités visées par les pirates du Net. A condition que la victime porte plainte, stipule, le très attendu rapport de Bercy pour « Le développement de l’assurance cyber », publié ce mercredi et consulté par « Les Echos ».

Cette disposition est inscrite dans le projet de loi d’orientation et de programmation du ministère de l’Intérieur, qui sera présenté ce mercredi en conseil des ministres. Il s’agit de la deuxième version d’un premier texte présenté en mars, dont l’examen n’avait pas débuté sous la précédente mandature. Le texte sera discuté au Parlement à partir d’octobre.

Danger de mort

« Ce projet de loi, qui s’appuie sur les travaux de notre groupe de travail, constitue un point d’équilibre entre la volonté de ne pas financer l’écosystème des cyberattaquants et la volonté d’éviter la mort de PME et TPE touchées par une attaque », explique Bercy. En France, la rançon moyenne réclamée atteignait environ 6.400 euros en 2021, en hausse de 50 % par an depuis 2016, mais certaines demandes se chiffrent en millions d’euros.

Le feu vert du ministère de l’Economie est une nouveauté. « Au moment de la prise de position du ministère de l’Intérieur, il y avait apparemment un manque de coordination entre la Place Beauvau, Bercy et la Justice », explique un bon connaisseur du dossier.

Dès le début d’année, le Haut Comité juridique de la place financière de Paris, saisi par Bercy, avait pris position en faveur de l’indemnisation des rançongiciels par les assureurs . A l’inverse, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) prône de son côté une interdiction , tout comme un rapport parlementaire publié fin 2021, ou bien « un encadrement strict ».

La prise en charge des rançons n’est pas formellement interdite en France. « Le remboursement d’une rançon par l’assureur est a priori licite et peut être comparé à l’assurance couvrant le risque de vol dont le fait générateur est une effraction », souligne même le rapport.

Attentisme

Pour autant, AXA France puis Generali France y avaient renoncé dans l’attente d’une clarification des autorités, de crainte d’être accusés d’être « pousse-au-crime ». Pour minimiser les risques, le rapport insiste sur la nécessaire coopération entre toutes les parties prenantes, notamment les forces de police et de justice.

Aujourd’hui, le gouvernement est pragmatique. Si la France n’offre pas un cadre juridique au paiement des rançons, le risque pourrait se déplacer sur d’autres marchés européens ou mondiaux : les entreprises tricolores pourraient être attaquées dans leurs implantations à l’étranger, ou tentées de souscrire des contrats auprès d’acteurs non régulés en France.

D’autres pistes sont avancées pour renforcer l’attractivité de l’assurance cyber, qui reste un marché de niche. « Les risques cyber sont une priorité du gouvernement pour protéger notre société, notre modèle social et notre souveraineté, rappelle le ministère de l’Economie. La crise sanitaire a été un révélateur des opportunités qu’apportent les moyens numériques pour notre économie, mais aussi des risques encourus par les entreprises, notamment les PME et TPE. Or, sur le plan de l’assurance cyber, l’Europe est en retard sur les Etats-Unis. »

Observatoire de la menace cyber

En France, les polices d’assurance cyber stricto sensu ont collecté 219 millions d’euros de primes en 2021, soit 3,9 % du marché de l’assurance dommages des professionnels dans l’Hexagone. Les grandes entreprises sont les principales utilisatrices de contrats vendus par une poignée d’acteurs : AXA et les anglo-saxons Chubb, AIG et Beazley. L’an dernier, une dizaine de groupes français y ont toutefois renoncé , jugeant les garanties trop limitées ou trop chères, selon l’Association des managers de risques (Amrae).

Pour développer des pratiques de place, l’ACPR, le régulateur de l’assurance, devra « étudier les principales clauses du marché », en coordination avec l’association France Assureurs, explique Bercy. « Il ne s’agit pas de définir des clauses type dans le Code des assurances, mais d’analyser s’il est nécessaire de prendre des dispositions pour améliorer le niveau d’information des assurés », précise le ministère. Autre ambition, à moyen terme : créer un observatoire de la menace cyber, pour répondre au manque criant de données.

Amélie Laurin. Le 7 sept. 2022

L’analyse d’Emmanuelle Hervé

💻 C’est une nouvelle surprenante. Alors que les cyberattaques font rage dans les hôpitaux, leur statut public interdit tout paiement de rançon. Pour les entreprises privées, la règle est encore floue.

📃 Plus de 200 rançons ont été recensées l’an passé. Jusqu’à présent, l’État n’interdisait pas de payer les pirates, mais le déconseillait vivement. Le gouvernement va mettre fin à la zone grise entourant le paiement, par les assureurs, des rançons liées à des piratages informatiques. Les entreprises pourraient ainsi payer les escrocs et se faire rembourser par leurs assureurs en échange d’un dépôt de plainte.

🖲 Cette mesure liée aux cyber-rançons « sera partie intégrante du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) », ajoute le ministère de l’Économie.  Si certaines rançons peuvent atteindre plusieurs millions d’euros, la moyenne des montants demandés se situe autour de 6 400 € en 2021, en hausse annuelle de 50 % sur les cinq dernières années.

🦾 Si les assurances et le gouvernement se montrent favorables au remboursement, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI – Agence nationale de la sécurité des systèmes d’information) prône de son côté une interdiction, emboîtant le pas d’un rapport parlementaire publié fin 2021 et porté par la députée LREM, Valéria Faure-Muntian.  Certaines critiques alarmant le gouvernement sur le risque d’escalade des cyberattaques en cas de paiement des rançons. Rappelons que le marché de l’assurance cyber ne représente que 219 millions d’euros de primes en 2021, soit 3,9 % du marché de l’assurance dommages des professionnels en France.

La réaction de Guillaume Poupard, directeur de l’ANSII

Désabusé, Guillaume Poupard, directeur de l’ANSSI, a réagi ce matin avec humour à l’annonce en commentaire d’une publication LinkedIn. En effet, l’agence prône de son côté une interdiction ou, à minima, un « encadrement strict ».
Conditionnée à un dépôt de plainte, la mesure exprime la volonté du gouvernement de ménager les PME et TPE touchées par des cyberattaques.
Alimentation de la criminalité et déresponsabilisation des acteurs, la communauté #cyber a vivement réagi à la mesure et aux dangers qu’elle peut représenter.

Une interrogation sur le rôle de l’état comme amplificateur de risques

Le législateur-régulateur a contribué et contribue à la diffusion de ce que M. Power appelle l’image d’un monde plus risqué et l’ont amplifiée. Ils amplifient la notion de responsabilité du dirigeant en cas de négligence.

Le concept d’amplification sociale du risque suggère que les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias. Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière…les lois, règlements, normes n’ont cessé de se multiplier.

Voir Ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; p.53-65.

👉  https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html