Question n° 21 (2021-2026) - Sécurité des données informatiques de la Ville de Fribourg

S. Delaloye (PS)

Question

Le hacking dont a été victime la commune de Rolle fait froid dans le dos et a des répercussions sérieuses, non seulement pour la municipalité, mais également pour ses habitants.

Je souhaiterais savoir quelles sont les données conservées par la Ville de Fribourg et qui seraient susceptibles, en cas de piratage, de se retrouver aux mains de personnes mal intentionnées.

Par ailleurs, et sans trahir de secret qui pourrait donner des idées ou des indices à d'éventuels hackers, pouvez-vous nous donner des indications sur ce qui est entrepris au niveau de la Ville pour garantir la sécurité des données en question?

Réponse du Conseil communal (aux questions n° 21, 22 et 23)

Le Conseil communal ayant traité pro-activement ce sujet, suite par exemple au cas récent de la Ville de Rolle et de la Banque cantonale de Neuchâtel, je peux répondre directement à la question. J’aborderai d’abord le contexte général puis viendrai sur quelques éléments thématiques.

  1. CONTEXTE

Le virage digital a commencé il y a plusieurs décennies déjà, tant auprès du secteur privé que du secteur public. Parmi les bénéfices apportés, on peut citer: données structurées, centralisées et partagées; processus améliorés; temps de réalisation raccourcis; énormes volumes de données traités. Un retour au papier et au crayon n’est ni envisagé ni envisageable.

La deuxième impulsion est née avec la cyberadministration, c’est-à-dire la production de prestations à la population via le canal digital. Là, également, il y a des bénéfices en termes d’accessibilité, de facilité et de rapidité. Le processus a déjà débuté et se poursuit avec une importante accélération.

Les unités informatiques de chaque organisation, petite ou grande, traite ce thème au quotidien. Chaque jour qui passe apporte son lot de nouveautés (constance du changement dans le monde IT). Pour assurer une sécurité maximale, et non absolue, tout est mis en œuvre.

Les systèmes informatiques sont attaqués à chaque seconde et les outils, véritables boucliers, les rejettent. En Ville de Fribourg, des attaques de type ransomwares ont eu lieu à trois reprises entre 2018 et 2019; les systèmes d’alertes ont fonctionné; la parade à la rançon – qui est le cas de Rolle - demeure la recharge des données à partir de la sauvegarde, intacte, de la veille.

En 2021, la Ville dispose d’une infrastructure informatique de qualité assurant à ses utilisateurs un accès facilité tant sur les sites communaux qu’à distance (mobilité, télétravail). En tant que collectivité communale fribourgeoise, la nature des données traitées ainsi que l’accessibilité à des bases de données communales, cantonales ou fédérales sont des thèmes prioritaires et stratégiques. La confiance dans cette bonne gestion est déterminante pour les politiques à la tête de la Ville, le personnel communal et, bien sûr, les usagers. La confiance est une valeur-clé.

  1. ELEMENTS THEMATIQUES LA VILLE DE FRIBOURG

Voici la stratégie, les actions et les réalisations conduites par le Service informatique pour ce thème.

  1. Outils de sécurité

Plusieurs outils ont été déployés pour assurer une sécurité maximale. En 2018, une nouvelle solution antivirus a été déployée sur les postes de travail. Lors des échanges avec l’extérieur, le système analyse les processus des programmes en s’appuyant sur des bases de données actualisées et de l’intelligence artificielle, l’accent est porté sur la mécanique des échanges, et donc la manière dont les intrus cherchent à s’introduire. En cas de comportement anormal, une alerte est émise et des processus automatiques peuvent être bloqués.

En comparaison, les anti-virus classiques s’appuient sur des bases de données référant les virus connus; ainsi, il existe toujours un écart important entre les virus connus et les nouveaux; beaucoup d’entreprises ou d’administrations utilisent encore ce type de solutions.

Les sauvegardes sont stockées dans un système de fichiers de type propriétaire et non un système de fichiers universellement connu tel que Microsoft. De ce fait, il est encore plus difficile pour les hackers de franchir une telle barrière. Ceci est une garantie supplémentaire pour assurer des données intègres.

  1. L’organisation

En plus des outils, il est nécessaire de s’appuyer sur une organisation qui maîtrise le sujet et qui traite les alertes. Depuis plusieurs années, une activité de monitoring très active est en place et permet de réagir très rapidement.

  1. Le personnel

Le personnel est au bénéfice de hautes compétence et de très bonnes connaissances. C'est une condition indispensable. La Ville de Fribourg, avec son unité informatique, dispose de moyens spécifiques. Ce n’est pas le cas d’une majorité de collectivités publiques.

La formation du personnel doit être soutenue, année après année. C’est une préoccupation et une priorité.

Les forums et les événements organisés par des entreprises spécialisées permettent de se tenir informé et d’échanger connaissances et expériences avec d’autres acteurs.

  1. Veille technologique

Les solutions, technologies et techniques évoluent. Les recherches internes et les échanges avec le réseau de professionnels permettent de suivre, de réagir et d’opter pour des nouveautés.

  1. Réseau de communication

La Ville dispose d’une double sécurité pour les communications avec l’extérieur: le pare-feu du Service de l'informatique et des télécommunications du Canton (SITel), en première ligne, et le pare-feu de la Ville de Fribourg, en deuxième ligne. Ceci offre une sécurité étendue, mais pas absolue, bien évidemment.

  1. Poste de travail

Au sein du réseau informatique, disposer d’un équipement câblé et de son propre réseau de fibre optique apporte rapidité et sécurité. Toutes les communications échangées par d’autres voies (wifi, bluetooth) représentent des risques potentiels en termes d’intrusion et d’interception.

S’agissant des accès externes, un système de double authentification a été mis en place avec une application sur smartphone.

  1. Facteur humain

En dernier lieu intervient le facteur humain. Le personnel disposant d’un compte informatique est invité, à son entrée en service, à une séance d’information au Service informatique. Les principes de sécurité sont rappelés. La Directive 144.02 est présentée et un formulaire est signé au terme de la séance.

Par la suite, les personnes doivent appliquer ces principes de précaution et de sécurité.

Des pièges existent néanmoins sur la route: courriels avec des documents contenant des virus, ransomwares (cryptage des données contre rançon), postes de travail non verrouillés en cas d’absence, échanges de son mot-de-passe, etc.

  1. CONCLUSION

Le Conseil communal estime que la sécurité informatique au sein de son administration est bonne, mais considère que le risque zéro n’existe pas. Il a tout de même décidé de mettre en place une information régulière dans ce domaine pour les employés de l’administration communale et a lancé une analyse quant à la possibilité de tests de sécurité externes. Il n'est pas prévu aujourd'hui de recourir à un label, mais plutôt de tester l'infrastructure.

Andere Fragen des Generalrats