3 questions à Magali Thomas, pilote pour tester la méthode innovante « Cyberisq »
Cette démarche d’accompagnement vise à permettre aux collectivités d’identifier les dangers liés à internet, réduire le risque et les conséquences en cas d’attaque. Une démarche innovante soutenue par l’ANSSI.
1 – Pourquoi avez-vous souhaité être site pilote pour tester la méthode Cyberisq ?
« Je n’étais pas forcément volontaire au départ, par manque de temps à y consacrer. Mais en y réfléchissant à deux fois, la cybersécurité c’est vraiment important : on est garants des renseignements que nos usagers et nos partenaires nous donnent, et cette confiance, elle mérite que l’on essaie par tous les moyens de faire ce qui est en notre pouvoir pour protéger ces données.
Bien-sûr, on n’est jamais à l’abri, on reçoit tous les jours des messages frauduleux, mais on suit les conseils de Soluris : on fait des sauvegardes, on a des anti-virus, on ne prend jamais de supports externes type clé USB, disque dur, qu’on ne connait pas, etc.
Un jour, une instance de confiance nous a fourni une clé USB, et nous avons fait une exception : mal nous en a pris ! nous avons lu la clé sur mon PC, et le lendemain j’avais un virus ! Même si elle vient de personnes que l’on connait, la clé peut quand même contenir un virus à leur insu ! J’ai appelé les services de Soluris qui m’ont aidée et rassurée : juste en attendant quelques jours, c’est revenu à la normale ; et heureusement j’avais mes sauvegardes, j’ai donc pu continuer à travailler. Depuis ce jour-là, plus aucun support externe étranger à la mairie n’est accepté sur nos ordinateurs ! »
2 – Que pensez-vous de la méthode (accompagnement et livrables fournis), était-ce simple à comprendre ?
« Oui, grâce à l’animateur de la réunion, parce qu’il a pris le temps d’expliquer et de répondre à nos questions ; et heureusement, car parfois il y a des termes auxquels on n’est pas habitués, et des solutions qui peuvent ne pas être adaptées à nos petites structures, lorsqu’elles s’adressent au DSI par exemple.
C’est pour cela que c’est vraiment bien d’avoir pris parmi les pilotes des petites collectivités : sur une petite commune comme Le Douhet, nous n’avons pas de service informatique avec des personnes formées, dont c’est le métier, et donc on fait ce qu’on peut avec nos connaissances et notre bonne volonté. Et on avait des questions qui peuvent faire sourire, comme par exemple « est-ce que les pirates attaquent plutôt le jour ou la nuit ? » ; parce que peut-être qu’une solution simple et qui ne coûte rien, c’est de débrancher la prise secteur et la prise internet le soir quand on éteint l’ordinateur. C’est une solution complémentaire, qui ne règle pas tout bien-sûr.
Concernant les livrables, je suis revenue avec des actions concrètes à faire, des informations à transmettre aux collègues, des documents que j’ai imprimés et affichés dès le lendemain : c’était pas compliqué à mettre en place ! »
3 – A l’issue de cette demi-journée, avez-vous l’impression d’avoir toutes les clés pour mettre en œuvre la sécurité numérique dans votre collectivité, en toute autonomie ?
« Oui, même si bien-sûr, on ne pourra jamais se protéger à 100%. Mais on pourra limiter les dégâts, et le risque que ça arrive, en prenant certaines petites mesures, comme faire des sauvegardes de nos données tous les 10 jours, et prendre l’habitude de débrancher nos ordinateurs le soir et couper le réseau. Toutefois, on ne pourra pas être certains que ces données ne puissent un jour être détournées malgré notre vigilance…
Moi j’ai vu des collègues pleurer parce qu’elles avaient perdu tous leurs fichiers, n’ayant pas fait de sauvegarde! Et puis n’étant pas de la génération qui a toujours connu internet, je reste plus suspicieuse de ce qui pourrait arriver sur le web, sur les mails, etc ; j’ai plus conscience des risques, et donc de la nécessité de faire des sauvegardes pour éviter de se retrouver sans rien. Je suis également plus prudente avec les mails et les réseaux sociaux.
Mon grand regret, c’est que les gens ne s’y intéressent pas assez et ne soient pas assez sensibilisés : ils commettent des imprudences pour eux-mêmes et pour les autres, sans s’en rendre compte ! Ils le font dans leur vie personnelle, en publiant des photos sur les réseaux sociaux qui indiquent qu’ils ne sont pas chez eux, ou de leur permis de conduire, qui peut être détourné.
Et ils nous font aussi courir des risques. Par exemple, des instances avec lesquelles on travaille envoient encore des mails avec tous les destinataires visibles, et donc des adresses récupérables.
Pour conclure, je dirai que l’informatique, ce n’est pas notre métier, mais il faut garder toutes ces informations et ces réflexes comme une alarme dans un coin de notre tête. C’est vraiment bien que ce travail de sensibilisation soit fait par Soluris avec la méthode Cyberisq, pour fournir des choses simples et applicables, même dans les petites structures. »