Alors que les institutions ou structures publiques sont de plus en plus connectées et offrent aux utilisateurs des procédures largement numériques (paiement d’impôt en ligne, demande de carte d’identité…), elles offrent surtout de nouvelles occasions pour les hackers ou les criminels informatiques de prouver leur capacité de résilience. Si le secteur public constitue une cible de choix, cela est dû à plusieurs raisons.
Les raisons de la colère
La grande majorité des structures publiques traitent et gèrent au quotidien des millions de données de citoyens français. Dossiers médicaux, coordonnées bancaires, adresse, identité, bien immobilier… Au quotidien, l’implication des technologies informatiques dans le regroupement et le traitement des données des citoyens est de plus en plus palpable. Les services des impôts et de la sécurité sociale concentrent à eux seuls des données qui peuvent être compromettantes pour les citoyens si elles venaient à être dérobées. A titre d’exemple, des données médicales peuvent valoir entre 50 et 250 dollars sur le marché noir, contre 50 dollars pour des données bancaires.
Autre risque : les institutions politiques peuvent être les victimes d’attaques informatiques à connotation politique, qu’elles viennent de l’intérieur ou d’un Etat extérieur. Déjà en décembre 2018, plusieurs sites internet institutionnels, dont celui de l’URSSAF et du ministère de la Justice, ont été touchées par des attaques de type DDoS (fermeture d’un site web à cause d’une surcharge de trafic) attribuées à des hacktivistes. Ce type d’attaque, en plus d’engendrer des dommages financiers, peut également porter atteinte à la prestation de services publics essentiels.
Ces deux risques majeurs pour le service public sont aggravés par la vulnérabilité générale du parc informatique des organisations. Au sein de ces structures, le matériel informatique est renouvelé moins souvent et le respect du budget et des normes étatiques induit des chaînes de décision plus longues. Ce qui explique que de nombreux terminaux accusent un sérieux retard technologique et ne sont pas à jour dans leur cyberdéfense.
Les recommandations pour une sécurité performante
Au même titre que les entreprises privées, les organisations publiques doivent bâtir une cybersécurité efficiente et complète.
Pour cela, il convient de se fournir en solutions de sécurité « fondamentales », notamment des firewall, anti-virus… Cependant, depuis que les structures publiques utilisent de plus en plus les communications numériques (mails…) en interne ou en externe, il est indispensable d’acquérir des logiciels de protection mails afin de traiter en amont les courriers contaminés par un virus.
La gestion des données représente un enjeu de taille pour le secteur public, il est donc nécessaire de choisir des protections spécifiques afin de les mettre en sûreté. Les solutions de chiffrement des données, des échanges et des mails sont des outils adéquats pour ce type de structures.