C’est un sujet qui malheureusement revient de plus en plus fréquemment. Hôpitaux, collectivités sont devenus des cibles d’attaques cyber. La question n’est plus de savoir si votre institution se fera cyber-attaquer mais quand. Alors comment s’en prémunir ? Comment réagir ? Nous avons rencontré Baptiste Sorin, chef adjoint de la division communication de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) regroupant 600 personnes. Après presque 10 ans en tant que spécialiste de la communication dans des établissements d’enseignement supérieur et de la recherche il a intégré cette autorité nationale rattachée aux services de la première ministre en 2016.
Il existe une solution pour effectuer un audit simple. L’ANSSI a lancé en décembre 2022 un tout nouveau service : MonServiceSécurisé. C’est une solution de cybersécurité pour aider les entités publiques à sécuriser et à homologuer rapidement leurs sites web, applications mobiles et API. MonServiceSécurisé leur permet de gagner en efficacité grâce à une liste personnalisée de mesures de sécurité à mettre en œuvre, un indice cyber final pour évaluer le niveau de sécurité et une homologation clé-en-main.
Quelles mentions peut-on ajouter dans son CCTP lors d’une refonte de site pour avoir le socle fondamental de sécurisation ?A minima, il faut inscrire dans le CCTP que les normes édictées par l’ANSSI doivent être prises en considération. Ensuite, il est essentiel de se faire accompagner et conseiller. En tant que professionnels de la communication, nous ne sommes pas des spécialistes en sécurité numérique. Au sein de vos organisations, vous avez forcément une personne qui gère les systèmes d’information. Elle peut échanger avec vous sur vos besoins et pourra ainsi mieux vous orienter dans vos choix en matière de sécurité informatique pour vos outils numériques.
Enfin, lors des entretiens, ou au moment de la remise des mémoires techniques, si les prestataires abordent la partie cybersécurité, ils témoignent ainsi de leur sensibilité à traiter ce sujet.
L’idée est plutôt de l’anticiper que d’être en réactif ! On le sait tous et toutes : une crise est toujours mieux gérée quand elle a pu être anticipée et préparée ! Il est important en amont d’avoir échangé avec la personne responsable de la sécurité des systèmes d’information (RSSI) pour être en capacité de bien réagir…