1. Ville de LYON / DSITN
Nom de la direction
Nom de la présentation Date
La cybersécurité dans les
collectivités territoriales
Jean-Marie Seguret
Directeur des SI et de la transformation Numérique
2. La cybersécurité dans les
collectivités territoriales
• Introduction à la cybersécurité dans les
collectivités territoriales
• Une mutualisation innovante dans les
collectivités
• Un PCA Métier incontournable
La cybersécurité dans les collectivités territoriales
4. Définition et périmètre
Définition ISO 27032 :
Préservation de la
confidentialité, de l'intégrité
et de l'accessibilité de
l'information dans le
cyberespace
Préservation de la
confidentialité, de
l'intégrité et de
l'accessibilité de
La cybersécurité dans les collectivités territoriales
La cybersécurité dans les collectivités territoriales
5. Les principaux vecteurs d’attaques (2020)
La cybersécurité dans les collectivités territoriales
La cybersécurité dans les collectivités territoriales
6. Des vecteurs réévalués avec le Covid et le télétravail
•Le vecteur d’entrée, source de la
première compromission
La cybersécurité dans les collectivités territoriales
La cybersécurité dans les collectivités territoriales
7. Hameçonnage ou phishing
La cybersécurité dans les collectivités territoriales
La cybersécurité dans les collectivités territoriales
Le hameçonnage ou « Phishing »
est une technique frauduleuse
destinée à leurrer l’internaute
pour l’inciter à communiquer des
données personnelles (compte
d’accès, mot de passe...) et/ou
bancaire en se faisant passer pour
un tiers de confiance
Une première campagne de faux hameçonnage à Lyon a permis d’identifier
12,5% d’agents. Même proportion dans une précédente collectivité
8. Hameçonnage ou phishing
La cybersécurité dans les collectivités territoriales
La cybersécurité dans les collectivités territoriales
10. Déni de service (Dos & DDoS)
La cybersécurité dans les collectivités territoriales
La cybersécurité dans les collectivités territoriales
Le monde du 27 Mars : Le site
Internet de l’Assemblée
nationale temporairement
bloqué par un groupe de
pirates prorusse
11. 8 points pour se protéger
La cybersécurité dans les collectivités territoriales
La cybersécurité dans les collectivités territoriales
12. La cybersécurité dans les
collectivités territoriales
• Introduction à la cybersécurité dans les
collectivités territoriales
• Une mutualisation innovante dans les
collectivités
• Un PCA Métier incontournable
La cybersécurité dans les collectivités territoriales
13. coter-numerique.org
PROJET BUG BOUNTY MUTUALISÉ
Journée d’Echange et de Travail | Christophe Vergeron
Marylyne Boubée
Christophe Marnat
Nathanaël Veron
Antoine Trillard
14. Le projet de mutualisation
Rappel du contexte
A la suite à une expérimentation de la ville de Boulogne-
Billancourt, dans un esprit de mutualisation, une réflexion a
été ouverte par le Club des RSSI des collectivités,
l’association COTER Numérique, Yogosha, Capgemini, en
relation avec l’ANSSI pour mener un audit en mode bug
bounty d’une liste d’applications web et mobile largement
utilisées par les collectivités.
L’enjeu
L’enjeu est alors de mener ces tests une seule fois sur la
même application et d’en partager les résultats afin d’éviter
que chaque collectivité membre fasse exécuter les mêmes
pentests ou de bug bounty dans ses projets propres.
15. Le projet de mutualisation
Le financement
Co-financement
70% via le Plan de
Relance (Bug Bounty
Yogosha, Pilotage et suivi
technique Capgemini)
30% pour les éditeurs
(Remédiation et suivi
technique)
La durée
Prévu Initialement : 12
mois pour 15 applications
Durée par application : 4
mois (Préparation : 1
mois, Audit Technique : 1
mois, Plan de remédiation
: 2 mois).
Réellement : 18 mois en 2
phase pour 15
applications de 15
Editeurs
16. Le projet de mutualisation
Objectif général
Déployer des services aux usagers et des solutions auprès de
leurs collaborateurs intégrant un niveau de sécurité maximum
et un haut niveau de disponibilité.
Accompagner l’augmentation du niveau de sécurité global des
collectivités en impliquant les éditeurs clés et en insufflant une
dynamique que ces derniers seront incités à poursuivre.
Partager les résultats d’audit
Objectif technique
Identifier des failles de sécurité sur les applications et
s’assurer que les éditeurs les corrigent.
17. ANSSI
Suivi de la demande de
financement et financement.
Le projet de mutualisation :
Les acteurs
01
02
03
Club des RSSI CSNC et COTER
Numérique
Liste des 30 applications les plus utilisées
avec des éditeurs différents pour en
sélectionner à minima 15 à 20 au final.
Communiquer en fin de projet sur les
solutions auditées (Pour motiver les éditeurs).
Yogosha & Capgemini
Fourniture de licences à sa plateforme & de
chercheurs de faille sélectionnés.
Pilotage du projet
04
05
3 Collectivités porteuses : Boulogne
Billancourt, CD 31, Chelles
Portage administratif de la commande UGAP
divisée en 3 (5 applications suivies par ville)
Réception des fonds par les 3 villes.
Éditeurs
Engagement de remédiation transmis par courriel
signé par le CoTer Numérique.
Pas de charge de déploiement. Test sur des
applications déjà déployées (accessibles en ligne ou
« on premise »).
Remédiation des vulnérabilités.
18. IXPARAPHEUR
Société SRCI
Porteur Chelles.
Le projet de mutualisation :
Le périmètre Phase 1
01
02
03
PORTAIL CITOYEN FAMILLE
Société ARPEGE
Porteur Chelles
CIVIL NetEnfance
Société CIRIL GROUP
Porteur Boulogne Billancourt
04
05
IPARAPHEURPo
Société ADULACT
Porteur Boulogne Billancourt .
ESIRIUS
Société ESII
Porteur Boulogne Billancourt.
19. AIRDELIB - NOMAD
Société DIGITECH
Porteur Chelles.
Le projet de mutualisation :
Le périmètre Phase 2
06
07
09
MUNICIPOL
Société LOGITUD
Porteur Chelles
PELEHAS
Société AFI
Porteur Boulogne Billancourt
08
10
GMA protocole
Société GMA
Porteur Chelles
Beneylu
Société Beneylu
Porteur Boulogne Billancourt
KOSMOS Education
Société KOSMOS
Porteur CD31
11
12
14
GDA
Société MGDIS
Porteur Haute-Garonne (CD31)
IODAS
Société INETUM
Porteur Haute-Garonne (CD31)
13
15
La suite de logiciel E-grc
Société Berger-Levrault
Porteur Haute-Garonne (CD31)
CRM SECTEUR PUBLIC
Société EUDONET
Porteur Haute-Garonne (CD31)
21. Lancement en quelques heures
Qu’est ce que le Bug Bounty ?
Flexibilité
Un bug bounty est une chasse aux
vulnérabilités, un défi lancé aux hackers
éthiques.
Trouvez un bug, gagnez une récompense.
Plus la vulnérabilité est critique, plus la prime
est élevée.
Rentabilité
Diversité
de skills
Continuité
Efficacité
Paiement aux résultats.
Récompensez uniquement les
vulnérabilités exploitables
Plus d’humains = plus de
compétences.
Découvrir des vulnérabilités
complexes et à haut risque non
détectées par les audits.
Tests en continue & Intégration
DevSecOPs
22. Le hacking éthique
Black Hat =
Pirate
Mène des
actions illégales
et criminelles en
s’introduisant
sur des
systèmes.
Grey Hat
Recherche de
vulnérabilités
sans intention
malhonnête,
mais sans
l’accord des
organisations
ciblées.
White Hat =
Hacker éthique
/ Hunter
Recherche des
failles de
sécurité de
manière légale
avec l’accord
des
organisations.
23. Sélection des hunters d’élite
Inscription
Plateforme
Profil
Complété
Inscription
test
Liste
d’attente
Candidature
Acceptée
Passe
le Test
Bienvenue au sein
de la YSF!
Identité & Background
Check
24. Quelle différence avec un Pentest ?
Pentest
Une démarche ponctuelle
Un à deux hunters
Paiement au forfait
Lancement +/- rapide
Bug Bounty
Une démarche continue
Plusieurs dizaines de
hunters
Paiement à la prime
Lancement immédiat
Intégration DevSecOps /
CI-CD
Un test d’intrusion – ou
penetration test – est une
cyberattaque simulée et
limitée dans le temps,
effectuée sur un système
pour en évaluer la sécurité.
25. CoTer
numérique
-
2022
•Les retours des premiers Bug Bounty
vision collectivité.
• Christophe Vergeron DGA Boulogne Billancourt & Antoine Trillard
président CoTer Numérique, DSI ville de Chelles
29. La cybersécurité dans les
collectivités territoriales
• Introduction à la cybersécurité dans les
collectivités territoriales
• Une mutualisation innovante dans les
collectivités
• Un PCA Métier incontournable
La cybersécurité dans les collectivités territoriales
30. Objectifs
Proposer une démarche pour évaluer les éléments nécessaires au
maintien d’une activité à minima dans les directions en cas de sinistre
informatique
• Pour les directions métiers : Définir des procédures de
continuité d’activité
• Prendre conscience des conséquences d’un sinistre informatique sur leur
activité
• Imaginer des modes dégradés de fonctionnement
• Inventorier les dispositifs à mobiliser
• Préparer des dispositifs d’information alternatifs
• Pour la DSITN :
• Accompagner les directions sur le cadre méthodologique
• Identifier les moyens informatiques et télécoms internes impactés
• Identifier les moyens alternatifs à mobiliser pour assurer cette continuité
d’activité
• Définir une cellule de crise
Être en capacité d’activer un plan d’urgence sur un périmètre critique défini
par les directions préalablement
31. Les phases d’un PCA Métier
Sinistr
e
Les directions
La cellule
de crise
La DSITN
Arrêt total
TeleAlerte
porter plainte
CNIL (DPD)
Alertée
Mobilisation
Diagnostic
ANSSI
(Forensic)
PCA Métier
Assainir et
durcir les
systèmes
d’information
distribution équipement
de secours
Arrêt total / SI de secours
Reprise
partielle
Plan de Reprise
d’Activité
Décision plan
secours
Retour
normal
Fonctionnement
Normal
Relancer
progressivement le SI
et réouverture des
services numériques
Axe du temps (moyenne constatée)
~2 jours
~1 à 2
semaines
~1 mois
~2 mois
Plan de communication
Décision de reprise
progressive
Mécanisme de
récupération
32. Démarche proposée pour assurer
un plan de continuité
1. Le périmètre : Quelles directions et activités prioritaires
devant avoir un plan de continuité :
Exemple : La paie, Les achats, Les instances, Les services à la population,
la police municipale, la com externe et interne…
2. Pour chaque activité stratégique, identifier :
Les informations et documents clés nécessaires aux activités essentielles
les processus associés aux activités vitales en identifiant les flux d’informations
et de documentation
les ressources minimales nécessaires de substitution pour assurer un
fonctionnement dégradé
3. Identifier les partenaires internes et externes nécessaires au
maintien de l’activité critique
4. Mettre en place un dispositif d’information alternatif
(affichage…)
33. Tests du PCA et amelioration continue
•Mise en
œuvre de la
continuité
sur la base
des
procédures
•Tests,
simulations
•mesurer,
auditer
• Planification de
la continuité
par la direction
•définir un panel
d’exercices
permettant de
valider le PCA
• Amélioration
continue
• Bilan de
chaque
exercice mené
• Réviser le PCA
pour Intégrer
les actions
nécessaires
• Partage du
retour
d’expérience
4. Act
1.
Plan
2. Do
3.
Check
Développer des exercices ou tests pour vérifier la cohérence du PCA
34. Organisation
• La DG : valider les missions / activités critiques
• La direction :
• Identifier un référent métier dans chaque direction pour réaliser son PCA
• Mettre en œuvre le cadre proposé P5
• Remonter à la DSITN les ressources informatiques à mobiliser
• effectuer des campagnes de test
• Réactualiser ses procédures
• La DSITN :
• Construire le cadre de la démarche proposé en p5
• Capitaliser et enrichir le cadre après le RETEX des directions pilotes
• Approvisionner les équipements requis
• Tenir un tableau de bord pour la DG de l’état d’avancement du PCA par
direction
• Enrichir le référentiel des activités des directions
35. Calendrier prévisionnel
• Phase 1 : mise en œuvre dans 3 directions pilotes (Direction
des archives, MA9, Dir Financière)
• Phase 2 : Simulation de cyber attaque & bilan avec les
directions pilotes
• Phase 3 : Présentation des objectifs, démarches, bilan en DG
pour mise en œuvre potentielle dans d’autres directions
• Phase 4 : déploiement dans les directions retenues en DG