Si l’idée de « ville numérique » se développe de plus en plus et peut apparaître incontournable de nos jours, comment l’appréhender ?

Pour les élus, rendre leur collectivité « numérique », l’informatiser, va souvent de pair avec la nécessité d’une certaine technicité qui peut rebuter de prime abord. Pourtant, la maîtrise de cette évolution est cruciale. D’ailleurs, les récentes préoccupations du législateur avec des réglementations en matière de données personnelles ou d’ouverture des données (« Open Data ») le démontrent.  

L’actualité quotidienne illustre malheureusement la nécessité de cette maîtrise du numérique, plus particulièrement sous l’angle de la cybersécurité.

Une vulnérabilité accrue face à la crise sanitaire

On ne compte plus, hélas, les exemples de villes dans le monde que des cyberattaques ont momentanément paralysées. En France, ce sont plus de 1200 collectivités qui ont été la cible d’attaques en 2019 (Source : Cybermalveillance.gouv.fr) et la tendance semble être à l’accélération pour 2020. Sans même parler de cybermenace, le redouté « bug », qui peut être une panne ou une simple maladresse, peut suffire à mettre à plat des services numériques à la conception parfois fragile.

Le contexte sanitaire actuel, qui a considérablement augmenté le recours au télétravail, n’a fait qu’augmenter ces fragilités.

Grandes, médianes ou petites, toutes les villes et intercommunalités sont concernées par cette problématique de « confiance numérique », ainsi que les départements et les régions. C’est notamment vrai au travers de services d’état civil, d’urbanisme, de gestion administrative déjà largement digitalisés. Et toutes ces collectivités le seront de plus en plus au fur et à mesure que s’informatiseront leurs infrastructures de transport, énergie, eau et télécommunications, leur signalisation routière, leur éclairage, leurs systèmes de vidéoprotection, etc. Le contexte de la crise sanitaire actuelle accélère cette transition, et rend cette question de confiance plus urgente encore.

Une mise en situation vaut mieux qu’un long discours : imaginons une grande ville confrontée à un problème dans l’encart ci-dessous.

Eléments de réponse : S’il est impératif d’informer les citoyens, la mise en place de solutions de secours peut parfois s’avérer très coûteuse, et la demande d’une compensation au prestataire ne dépend que de sa bonne volonté si rien n’a été prévu contractuellement.

En amont, quelques mesures auraient pu être exigées par l’élu : des garanties en termes de fiabilité et de délais de réaction, et plus encore un audit technique de la solution innovante retenue, pour s’assurer de sa bonne conception. Le coût correspondant à ces mesures ne doit pas être vu comme optionnel, mais comme propre au nouveau projet.

Le présent article et plus encore le guide de la Banque des Territoires ont pour ambition d’aider   de façon plus large à répondre et, mieux encore, à éviter ce genre d’événements critique.

 

Le premier rôle revient à l’élu, pour impulser l’effort collectif

Face à cet enjeu crucial qu’est la confiance numérique, il est de la responsabilité de l’élu d’impulser la dynamique qui seule permet à la collectivité de mettre en place un projet cohérent, maîtrisé et sûr. A cette fin, il n’est nul besoin que l’élu comprenne les rouages techniques du sujet : il doit même accepter de ne pas être un expert. Il lui faut cependant définir le cap et mobiliser ses cadres et agents territoriaux.

Mais comment s’y prendre ? L’élu doit s’assurer que la confiance numérique soit prise en compte selon cinq grands axes :

  • Formation ;
  • Etat des lieux numériques ;
  • Stratégie et priorités en matière de numérique : une réflexion sur les nouveaux projets numérique à mener qui n’occulte pas les nécessités de mise à niveau du numérique existant ;
  • Nouveaux projets numériques fiables et pérennes : une exigence de fiabilité (qualité de conception, niveau de sécurité) et de pérennité (maintenance, maîtrise de la dépendance technologique à un ou plusieurs prestataires, capacité de réaction en cas de crise numérique, etc.) – cf. encart du présent article ;
  • Préparation au pire : se préparer à la crise numérique – que préparer pour mieux faire face au cas les ordinateurs ne redémarrent plus, où des données sont volées, où des services municipaux ne fonctionnent plus, où des infrastructures (signalisation routière, eau, transport) dysfonctionnent ?

 

  • Former et sensibiliser

Les parties prenantes – partenaires, agents, sans oublier les élus eux-mêmes – doivent être formées ou sensibilisées. La formation doit être simple, et adaptée aux différents métiers : tout le monde n’a pas besoin d’être expert !

Concernant cette problématique clé, on recommandera notamment les références suivantes :

 

  • Se forger une vision globale et définir des priorités

Quoi de pire qu’une mosaïque de services numériques issus d’autant d’initiatives différentes, et déployés sans vision d’ensemble ? Cela donne une ville numérique impossible à maîtriser, sans cesse plus coûteuse à opérer et à maintenir, et in fine une proie idéale pour les cyberattaques !

Pour éviter une telle situation, l’élu doit idéalement s’assurer que la collectivité connaisse l’état des lieux numérique de sa ville, ce qui est nécessaire pour la maîtriser au quotidien. Et, lorsqu’elle vient à se doter de nouveaux services numériques, que la collectivité sache pourquoi, dans quel but, de quelle manière, et quels sont les risques numériques induits – cadrage indispensable pour mener des projets fiables et pérennes.

Ce n’est que sur la base d’un tel état des lieux qu’il est possible de mener une réflexion efficace sur les prochains projets numériques de la ville, et de définir des priorités en la matière. Cette réflexion doit prendre en compte les spécificités de la collectivité et celles de son existant numérique.

Enfin, cette réflexion doit s’ouvrir et rechercher autant que possible des axes de mutualisation, tant dans la phase de conception qu’en matière de moyens : intercommunalités, syndicats, services communs, associations peuvent s’avérer des alliés précieux pour faire face ensemble aux défis du numérique.

Sans cette vision globale qui seule permet la bonne maîtrise d’une ville numérique, il s’avère difficile d’instaurer la confiance numérique dans la durée.
 

  • Mener des projets numériques fiables et pérennes

Il s’agit d’une évidence : un projet de service numérique, ou, à l’échelle plus vaste, de ville ou territoire numérique, nécessite une gestion de projet maîtrisée comme tout autre projet d’une collectivité.

L’élu devrait notamment demander que l’équipe chargée de définir le projet – maîtrise d’ouvrage en premier lieu – prenne en compte différents critères de confiance numérique, et veiller à ce que les prestataires mettent en place des garanties pour y faire face.

L’encadré en fin du présent article détaille davantage les questions pouvant être posées à un maître d’ouvrage, une SSII (ou ESN) un prestataire du projet.
 

  • Maîtriser la ville numérique au quotidien

Sitôt que la ville devient numérique, ne serait-ce que partiellement, il est nécessaire pour la municipalité de disposer d’un suivi de l’activité numérique. On parle de supervision.

La supervision est double, à la fois technique pour s’assurer en continu de la bonne santé du service, à la fois opérationnel sur son efficacité, à des fins de pilotage et d’optimisation.

Afin que ce suivi soit de qualité, il incombe aux élus de s’assurer que ce suivi est pensé en amont, avant même l’intégration des nouveaux services numériques, d’une façon pragmatique qui répondent aux besoins de pilotage.
 

  • Être prêt au pire et savoir réagir

En matière de confiance numérique, la meilleure façon de faire face au pire est de s’y être préparé ! Lorsque des systèmes informatiques « tombent », tout va très vite et l’élu, qui n’est pas un expert en numérique, se retrouve vite submergé. Quelques précautions peuvent s’avérer salvatrices lorsque survient le jour J : disposer de contacts d’urgence, avoir préparé des canaux de communication de crise, connaître ses obligations juridiques, disposer au format papier de documents clés et d’un annuaire municipal, etc.

Pour se préparer, la marche à suivre peut se simplifier ainsi :

  1. réunir les acteurs qui auraient à gérer la crise ;
  2. répondre ensemble à la question : « Quelles sont, pour les principaux systèmes numériques de la collectivité, les conséquences de dysfonctionnements, de sabotage, de fuite de données, etc. ? » ;
  3. réfléchir alors aux principales mesures qui seraient nécessaires pour endiguer la situation lorsque la crise se produit.

Selon les ressources dont il dispose, l’élu pourra pousser à un approfondissement de la démarche à partir de la littérature disponible - notamment le tout récent guide ANSSI-CCA d'exercice à la gestion de crise cyber -  et le cas échéant avec une aide externe.

 

Un guide pour les élus des collectivités

La Banque des Territoires a travaillé à un court guide, pratique et pédagogique, pour porter ces messages aux élus. Ce guide entend les informer et les plonger dans différentes situations pour les faire appréhender le sujet, ses enjeux en matière de risques et de responsabilités juridiques, et les premiers réflexes à mettre en œuvre pour offrir aux citoyens des services de confiance. Pour aller plus loin, des perspectives sur les défis à venir sont également abordés.

Ce guide n’aurait pas pu voir le jour sans le soutien précieux de son comité stratégique composé d’associations d’élus, d’industriels et d’administrations, dont l’ANSSI et le groupement d’intérêt public Cybermalveillance.gouv.fr. Il a également bénéficié d’expertises ponctuelles des cabinets Cepheïd Consulting et Bird & Bird.

Pour illustrer ces questions difficiles, on trouvera également quelques mises en situation tirées d’exemples réels dans les vidéos suivantes réalisées en collaboration avec cyvermalveillance.gouv.fr

Collectivités et confiance numérique : rançongiciel

Si vous souhaitez continuer et lire nos vidéos,
vous devez nous donner votre accord en cliquant sur le bouton ci-dessous.

Collectivités et confiance numérique : problème de feux de circulation

Si vous souhaitez continuer et lire nos vidéos,
vous devez nous donner votre accord en cliquant sur le bouton ci-dessous.

Collectivités et confiance numérique : fuite de données

Si vous souhaitez continuer et lire nos vidéos,
vous devez nous donner votre accord en cliquant sur le bouton ci-dessous.

Collectivités et confiance numérique : problème d’arrosage public

Si vous souhaitez continuer et lire nos vidéos,
vous devez nous donner votre accord en cliquant sur le bouton ci-dessous.

L'auteur

François Charbonnier est investisseur dans la confiance et la souveraineté numériques, ainsi que dans la legaltech. Ingénieur et actuaire de formation, il a intégré le groupe Caisse des Dépôts début 2019, après avoir travaillé à l’Agence nationale de sécurité des systèmes d’information (ANSSI) auprès des secteurs privés et des réglementations cyber afférentes.