V. Grady (PLR), D. Krienbühl (PLR)
Question
On l'a appris il y a trois semaines à peine, la Commune de Rolle a été victime, en mai dernier, d'une cyberattaque. Les autorités n'ayant pas cédé à la demande de rançon des hackers, des données sensibles tels que des numéros AVS, adresses et numéros de téléphone se sont retrouvées sur le darkweb. La RTS, qui a pu entrer en contact avec les cybercriminels, révèle qu'ils se seraient spécialisés dans le vol de données d'institutions publiques et le chantage. Notre postulat, qui demandait de déterminer les risques et les besoins de la Ville de Fribourg en matière de cybercriminalité, a été refusé pour ne pas dire balayé en plénum en décembre dernier [Ndr.: postulat n° 173, législature 2016-2021]. L'actualité nous pousse à remettre l'ouvrage sur le métier et à poser les questions suivantes:
- Doit-on s'inquiéter? Les réseaux informatiques communaux pourraient-ils révéler des failles de sécurité?
- A la suite de l'attaque subie par la commune de Rolle, de nombreuses communes ont pris contact avec le label CyberSafe, promu par la Confédération. Un tel label est-il envisagé ou envisageable, d'autant que dans la procédure d'octroi, ces experts en cybersécurité suivent le mode opératoire de pirates pour tester la vulnérabilité informatique des communes?
Réponse du Conseil communal (aux questions n° 21, 22 et 23)
Le Conseil communal ayant traité pro-activement ce sujet, suite par exemple au cas récent de la Ville de Rolle et de la Banque cantonale de Neuchâtel, je peux répondre directement à la question. J’aborderai d’abord le contexte général puis viendrai sur quelques éléments thématiques.
- CONTEXTE
Le virage digital a commencé il y a plusieurs décennies déjà, tant auprès du secteur privé que du secteur public. Parmi les bénéfices apportés, on peut citer: données structurées, centralisées et partagées; processus améliorés; temps de réalisation raccourcis; énormes volumes de données traités. Un retour au papier et au crayon n’est ni envisagé ni envisageable.
La deuxième impulsion est née avec la cyberadministration, c’est-à-dire la production de prestations à la population via le canal digital. Là, également, il y a des bénéfices en termes d’accessibilité, de facilité et de rapidité. Le processus a déjà débuté et se poursuit avec une importante accélération.
Les unités informatiques de chaque organisation, petite ou grande, traite ce thème au quotidien. Chaque jour qui passe apporte son lot de nouveautés (constance du changement dans le monde IT). Pour assurer une sécurité maximale, et non absolue, tout est mis en œuvre.
Les systèmes informatiques sont attaqués à chaque seconde et les outils, véritables boucliers, les rejettent. En Ville de Fribourg, des attaques de type ransomwares ont eu lieu à trois reprises entre 2018 et 2019; les systèmes d’alertes ont fonctionné; la parade à la rançon – qui est le cas de Rolle - demeure la recharge des données à partir de la sauvegarde, intacte, de la veille.
En 2021, la Ville dispose d’une infrastructure informatique de qualité assurant à ses utilisateurs un accès facilité tant sur les sites communaux qu’à distance (mobilité, télétravail). En tant que collectivité communale fribourgeoise, la nature des données traitées ainsi que l’accessibilité à des bases de données communales, cantonales ou fédérales sont des thèmes prioritaires et stratégiques. La confiance dans cette bonne gestion est déterminante pour les politiques à la tête de la Ville, le personnel communal et, bien sûr, les usagers. La confiance est une valeur-clé.
- ELEMENTS THEMATIQUES LA VILLE DE FRIBOURG
Voici la stratégie, les actions et les réalisations conduites par le Service informatique pour ce thème.
- Outils de sécurité
Plusieurs outils ont été déployés pour assurer une sécurité maximale. En 2018, une nouvelle solution antivirus a été déployée sur les postes de travail. Lors des échanges avec l’extérieur, le système analyse les processus des programmes en s’appuyant sur des bases de données actualisées et de l’intelligence artificielle, l’accent est porté sur la mécanique des échanges, et donc la manière dont les intrus cherchent à s’introduire. En cas de comportement anormal, une alerte est émise et des processus automatiques peuvent être bloqués.
En comparaison, les anti-virus classiques s’appuient sur des bases de données référant les virus connus; ainsi, il existe toujours un écart important entre les virus connus et les nouveaux; beaucoup d’entreprises ou d’administrations utilisent encore ce type de solutions.
Les sauvegardes sont stockées dans un système de fichiers de type propriétaire et non un système de fichiers universellement connu tel que Microsoft. De ce fait, il est encore plus difficile pour les hackers de franchir une telle barrière. Ceci est une garantie supplémentaire pour assurer des données intègres.
- L’organisation
En plus des outils, il est nécessaire de s’appuyer sur une organisation qui maîtrise le sujet et qui traite les alertes. Depuis plusieurs années, une activité de monitoring très active est en place et permet de réagir très rapidement.
- Le personnel
Le personnel est au bénéfice de hautes compétence et de très bonnes connaissances. C'est une condition indispensable. La Ville de Fribourg, avec son unité informatique, dispose de moyens spécifiques. Ce n’est pas le cas d’une majorité de collectivités publiques.
La formation du personnel doit être soutenue, année après année. C’est une préoccupation et une priorité.
Les forums et les événements organisés par des entreprises spécialisées permettent de se tenir informé et d’échanger connaissances et expériences avec d’autres acteurs.
- Veille technologique
Les solutions, technologies et techniques évoluent. Les recherches internes et les échanges avec le réseau de professionnels permettent de suivre, de réagir et d’opter pour des nouveautés.
- Réseau de communication
La Ville dispose d’une double sécurité pour les communications avec l’extérieur: le pare-feu du Service de l'informatique et des télécommunications du Canton (SITel), en première ligne, et le pare-feu de la Ville de Fribourg, en deuxième ligne. Ceci offre une sécurité étendue, mais pas absolue, bien évidemment.
- Poste de travail
Au sein du réseau informatique, disposer d’un équipement câblé et de son propre réseau de fibre optique apporte rapidité et sécurité. Toutes les communications échangées par d’autres voies (wifi, bluetooth) représentent des risques potentiels en termes d’intrusion et d’interception.
S’agissant des accès externes, un système de double authentification a été mis en place avec une application sur smartphone.
- Facteur humain
En dernier lieu intervient le facteur humain. Le personnel disposant d’un compte informatique est invité, à son entrée en service, à une séance d’information au Service informatique. Les principes de sécurité sont rappelés. La Directive 144.02 est présentée et un formulaire est signé au terme de la séance.
Par la suite, les personnes doivent appliquer ces principes de précaution et de sécurité.
Des pièges existent néanmoins sur la route: courriels avec des documents contenant des virus, ransomwares (cryptage des données contre rançon), postes de travail non verrouillés en cas d’absence, échanges de son mot-de-passe, etc.
- CONCLUSION
Le Conseil communal estime que la sécurité informatique au sein de son administration est bonne, mais considère que le risque zéro n’existe pas. Il a tout de même décidé de mettre en place une information régulière dans ce domaine pour les employés de l’administration communale et a lancé une analyse quant à la possibilité de tests de sécurité externes. Il n'est pas prévu aujourd'hui de recourir à un label, mais plutôt de tester l'infrastructure.