CYBERSECURITE DES COLLECTIVITES

24 Juin 2022 , Rédigé par FO Services Publics 51

Quand les collectivités font la chasse aux failles informatiques

Des hackers éthiques et autres spécialistes de la cybersécurité vont s’attaquer à 5 logiciels très utilisés dans les collectivités locales. Quinze autres applications pourraient être soumises à ce programme de “bug bounty” soutenu par le plan de relance.

Résisteront-ils aux attaques ? Cinq logiciels de 5 éditeurs, à l’usage particulièrement répandu dans les collectivités territoriales, vont être soumis, dans les prochaines semaines, aux attaques de hackers éthiques, pendant plusieurs mois, afin qu’ils détectent, moyennant une récompense financière, d’éventuelles failles informatiques. C’est ce qu’on appelle un bug bounty [lire l’encadré qui suit cet article].

“Nous avons retenu une solution par éditeur, dans l’idée de les sensibiliser à la sécurité informatique en les aidant à trouver leurs propres failles et à les corriger, explique Antoine Trillard, directeur informatique de la ville de Chelles et président de l'association de collectivités coTer numérique, qui porte le projet au niveau national auprès de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Pour les sélectionner, nous nous sommes concentrés sur les éditeurs les plus utilisés dans les collectivités, en croisant le travail de recensement réalisé par le Club des RSSI et ceux présents au congrès de coTer numérique et largement représentés dans les collectivtés”. Et notamment dans les 3 collectivités porteuses du projet. À savoir les villes de Chelles (Seine-et-Marne), Boulogne-Billancourt (Hauts-de-Seine) et Toulouse, même si, initialement, c’est Bordeaux qui était à la manœuvre pour obtenir un soutien du plan de relance auprès de l’Anssi.

Relance : 350 acteurs publics lancés dans un plan de sécurisation informatique

Plutôt que de porter seule le projet, qui bénéficierait au bout du compte à toutes les collectivités utilisatrices des mêmes solutions, la ville de Bordeaux s’est en effet tournée vers le Club des RSSI – un réseau regroupant les responsables de la sécurité des systèmes d’information de plusieurs collectivités territoriales – dans une perspective de mutualisation. Le projet complet, aujourd'hui piloté par le Club des RSSI et l’association coTer numérique, est ainsi financé à 70 % par l’Anssi, pour l’organisation du bug bounty et le montage financier de l’opération, assez complexe dans la mesure où elle associe plusieurs collectivités. Le reste est pris en charge par les éditeurs, qui se sont engagés à corriger eux-mêmes leurs propres failles.

Il faut compter 50 000 euros pour chaque solution testée, notamment pour récompenser les 50 dénicheurs de failles mobilisés, en fonction de la nature et de la criticité des vulnérabilités découvertes. “Financièrement, c’est bénéfique pour toutes les collectivités et même pour le secteur public, car cela évitera à différentes collectivités de commander des tests sur une même solution”, explique Antoine Trillard. De quoi éviter les doublons et mutualiser les dépenses.

Parmi les 5 solutions ciblées par le bug bounty, on retrouve notamment des portails citoyens plus ou moins bien implantés dans les collectivités et parfois même dans la moitié d’entre elles : le portail Enfance de Ciril Group, le portail Enfance et Famille d’Arpège. Mais aussi les parapheurs électroniques de l’Adullact et de SRCI, ou encore le logiciel de gestion des files d’attente et des accueils d’ESII.

Extension à 15 autres éditeurs

Ce n’est pas la première fois que le secteur public se prête au jeu des bug bounties. Le ministère des Armées avait ouvert le bal, en janvier 2019, suivi de près par la direction interministérielle du numérique (Dinum) pour sa messagerie sécurisée Tchap. Depuis, la tendance ne fait que croître, dans un objectif de transparence et de communication pour rassurer sur la bonne sécurisation des applications utilisées par l’État.

StopCovid (devenue TousAntiCovid), FranceConnect, Mon espace santé ou encore la toute nouvelle application France Identité du ministère de l’Intérieur ont tous fait l’objet d’un tel programme de bug bounty.

L’application StopCovid passe avec succès le stress-test du “hacking éthique”

Pour des collectivités locales, c’est néanmoins une première, du moins dans une telle ampleur. Les organisateurs ont d’ailleurs déjà soumis à l’Anssi 15 nouvelles solutions de 15 autres éditeurs pour prolonger l’expérience. Mais pour l’heure, l’enjeu consiste à définir avec les éditeurs, pour chacune des 5 premières solutions, le périmètre exact concerné par le programme et à écarter d’avance les failles dont ils auraient déjà connaissance. La chasse aux bugs devrait s’ouvrir d’ici la fin du mois, pour se prolonger jusqu’au mois de décembre.

Un bug bounty, à quoi ça sert ?
Popularisé par les grandes firmes technologiques américaines comme Apple, le concept de bug bounty s’est, depuis, étendu au secteur public, et notamment au Pentagone américain en 2016. Concrètement, un bug bounty consiste à autoriser des hackers à attaquer un logiciel donné pour en dénicher les failles (bugs) pour ensuite leur offrir une récompense (bounty). Il existe 2 types de programmes : public et privé. Le premier est ouvert à toute la communauté des chercheurs, quand le second n’est ouvert qu’à une poignée d’entre eux, triés sur le volet. Le plus souvent, le commanditaire démarre par un bug bounty privé, pour monter en maturité et écarter les failles les plus évidentes, avant de passer à un programme ouvert à l’ensemble de la communauté. Le programme privé permet néanmoins d’instaurer un cadre de confiance et donc de laisser davantage d’accès aux hackers, y compris parfois sur des projets sensibles ou innovants.

ACTEURS PUBLICS : article publie le mercredi 08 juin 2022 & EMILE MARZOLF

Partager cet article

Repost0

FINANCES LOCALES

POINT INDICE

Retour à l'accueil

Commenter cet article