LMI. Comment s'organise la cybersécurité de la ville et de l'agglomération de Dreux ?
Stéphane Cappelaere. Aujourd'hui, au niveau de la DSI, nous sécurisons tout ce qui est connecté sur notre réseau et nous surveillons tout ce qui rentre et qui sort. Pour assurer cette sécurité, nous avons une équipe informatique composée de 17 personnes : des administrateur réseaux-systèmes, des techniciens d'intervention, des chefs de projet, et également des assistants qui gèrent toute la partie administrative.
Il y a quelques temps nous avons subi de nombreuses attaques. Mais elles n'ont pas abouti et n'ont pas eu de conséquence. Suite à cela, nous avons choisi d'externaliser la surveillance de notre réseau à une société extérieure qui est en contact permanent avec les administrateurs réseau-système pour faire remonter les alertes afin que l'on puisse mener toutes les opérations de remédiation qui sont faites.
Quelles technologies de sécurité existantes étaient en place avant 2020 ?
Dans le cadre de notre mutualisation, nous avions des équipements dissociés entre la ville et l'agglomération. Il a été décidé de tout centraliser, d'avoir des équipements communs pour les deux systèmes d'information. Avec, sur le poste de travail par exemple un antivirus commun, Kaspersky. Nous avions également 4 firewalls, 2 à la ville et 2 à l'agglo, de marque différente que nous avons décidé en 2020 de migrer vers une seule, Palo Alto. Au niveau réseau, nous n'avions pas d'outils pour analyser tout le trafic entrant et sortant et d'avoir de l'analyse comportementale de nos utilisateurs. Nous ne pouvions pas non plus bloquer toutes les attaques extérieures que nous pouvions subir.
Il faut savoir que depuis 2020, on s'est aperçu que nous avions énormément d'attaques, de plus en plus fréquentes. En entendant aussi tout ce qui se passe dans d'autres collectivités, hôpitaux, entreprises, on a donc décidé de mettre en place l'outil Cortex de Palo Alto qui assure la surveillance de notre réseau. Et également d'externaliser l'analyse avec un SOC pour aider à accompagner nos administrateurs réseau-système qui n'avaient pas forcément le temps de mener les opérations de surveillance et de remédiation en temps réel.
Quels bénéfices retirez-vous du SOC ?
Aujourd'hui nous avons une société qui nous accompagne et prémâche un peu le travail, puisque c'est elle qui assure la surveillance, l'analyse du trafic, des logs sur nos systèmes et qui, en temps réel, averti de la moindre problématique les administrateurs réseau système. Cela permet de réagir en temps et de prendre toutes les mesures nécessaires pour éviter des cyberattaques. Le SOC fait remonter un peu de tout : des faux positifs, des faux négatifs... On peut réagir en temps réel et assurer une sécurité accrue de notre système.
Au-delà de la réactivité, cela vous a donc apporté de la proactivité grâce à l'analyse comportementale ?
On n'en n'avait pas. En fait, nous manquions de personnel à l'époque et les recrutements n'étaient pas forcément évidents. Donc on s'est retrouvé à un moment donné avec un seul administrateur réseau-système pour gérer un parc d'à peu près 1 100 objets connectés, ce qui est quand même assez conséquent. Cette surveillance ne pouvait donc pas être assurée par une seule personne. Nous avons donc externalisé cette partie de surveillance et de gestion des alertes auprès d'une société extérieure.
Quel service avez-vous retenu et pour quelle raison ?
Nous sommes passés par une consultation, par un marché. Nous avons sélectionné la société NextiraOne qui avait justement les capacités et qui connaissaient aussi déjà notre réseau puisque c'est un des prestataires avec lequel nous travaillons régulièrement. Nous avons eu quelques réponses d'autres sociétés mais dont les prérequis nécessitaient de checker notre réseau, de bien le comprendre, d'avoir une bonne connaissance des outils qui étaient installés... Ce qui à notre sens nous aurait fait perdre un petit peu de temps, puisque l'on avait vraiment besoin d'une société qui soit opérationnelle très rapidement pour assurer cette surveillance et cette remontée d'informations.
Le SOC a-t-il plutôt été fait dans une optique de remplacement ou de complémentarité par rapport à vos équipes internes ? Comment avez-vous fait pour attirer ces talents dans un contexte pénurique ?
Effectivement, le SOC nous a apporté une complémentarité des compétences. Notre service administrateur réseau-système était composé que d'une seule personne, donc il ne pouvait pas mener toutes les actions et toutes les opérations à lui seul. C'est une vraie complémentarité de compétences. Depuis quelques mois nous avons eu ce pôle administrateur réseau-système qui s'est agrandi avec 2 recrutements supplémentaires, basés sur la remise à niveau du SI et également toutes les actions à mener amenées au niveau de la cybersécurité.
Nous sommes inscrits notamment aussi dans le plan France Relance Cyber, qui va nous permettre d'avoir un audit et également de nous apporter des conseils sur les solutions qui vont où devront être mises en place pour avoir un niveau de sécurité acceptable, en tout cas pour notre type de de collectivité. Le SOC nous permet aussi également d'apporter aussi des compétences supplémentaires. Car les outils que nous avions mis en place, du fait de manque de personnel, n'étaient pas forcément maîtrisés par la personne qui était en poste, on ne les exploitait pas forcément de la manière qu'il fallait. Le fait d'avoir un accompagnement avec une société extérieure permet aussi de donner un petit peu plus de compétences aux personnes qui sont en place aujourd'hui.
Sur quels projets cybersécurité travaillez-vous pour les mois à venir et quels sont vos chantiers pour 2023 ?
Aujourd'hui, comme je vous le disais, nous sommes dans le parcours cyber France Relance, donc nous sommes dans la phase d'audit avec une société qui va être qualifiée d'ici peu. Cette société va nous apporter son expertise, son analyse de la situation au niveau de la sécurité de notre SI. Ensuite, se dégagera des orientations pour choisir des solutions où améliorer celles que nous avons en place pour l'année 2023.