C’est un sujet qui malheureusement revient de plus en plus fréquemment. Hôpitaux, collectivités sont devenus des cibles d’attaques cyber. La question n’est plus de savoir si votre institution se fera cyber-attaquer mais quand. Alors comment s’en prémunir ? Comment réagir ? Nous avons rencontré Baptiste Sorin, chef adjoint de la division communication de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) regroupant 600 personnes. Après presque 10 ans en tant que spécialiste de la communication dans des établissements d’enseignement supérieur et de la recherche il a intégré cette autorité nationale rattachée aux services de la première ministre en 2016.
Comment s’assurer que son site est sécurisé ? Nous sommes de nombreux communicants à nous poser cette question !
Il existe une solution pour effectuer un audit simple. L’ANSSI a lancé en décembre 2022 un tout nouveau service : MonServiceSécurisé. C’est une solution de cybersécurité pour aider les entités publiques à sécuriser et à homologuer rapidement leurs sites web, applications mobiles et API. MonServiceSécurisé leur permet de gagner en efficacité grâce à une liste personnalisée de mesures de sécurité à mettre en œuvre, un indice cyber final pour évaluer le niveau de sécurité et une homologation clé-en-main.
Quelles mentions peut-on ajouter dans son CCTP lors d’une refonte de site pour avoir le socle fondamental de sécurisation ?
A minima, il faut inscrire dans le CCTP que les normes édictées par l’ANSSI doivent être prises en considération. Ensuite, il est essentiel de se faire accompagner et conseiller. En tant que professionnels de la communication, nous ne sommes pas des spécialistes en sécurité numérique. Au sein de vos organisations, vous avez forcément une personne qui gère les systèmes d’information. Elle peut échanger avec vous sur vos besoins et pourra ainsi mieux vous orienter dans vos choix en matière de sécurité informatique pour vos outils numériques.
Enfin, lors des entretiens, ou au moment de la remise des mémoires techniques, si les prestataires abordent la partie cybersécurité, ils témoignent ainsi de leur sensibilité à traiter ce sujet.
Justement, comment doit-on s’organiser lorsque l’attaque arrive ?
L’idée est plutôt de l’anticiper que d’être en réactif ! On le sait tous et toutes : une crise est toujours mieux gérée quand elle a pu être anticipée et préparée ! Il est important en amont d’avoir échangé avec la personne responsable de la sécurité des systèmes d’information (RSSI) pour être en capacité de bien réagir et d’être tout de suite efficace quand la crise commence. Elle vous permettra d’appréhender le sujet cyber, d’envisager des scénarios d’attaques cyber contre votre organisation et pourquoi pas de mettre sur pied des actions de sensibilisation en interne à destination de vos collègues.

Quand la crise arrive, que faire ?
Avant tout, il faut faire une analyse de risque : Est-ce que c’est grave ? Quelles types de données sont hébergées sur les serveurs attaqués ? Des informations personnelles ou juste des formulaires anonymes ? Cela vous permettra d’évaluer le niveau de gravité de l’attaque. En cas d’attaque avérée, déclarez la à l’ANSSI via https://www.ssi.gouv.fr/en-cas-dincident/.
Quel rôle la communication externe et interne peut-elle jouer ?
La fonction communication doit être intégrée à la cellule de crise interne dès son activation. Il est très important de ne pas oublier la communication interne… car les premières personnes impactées dans leur quotidien par une cyberattaque seront vos collègues ! Il ne faut pas non plus sous-estimer le traitement post-attaque : quel niveau de détail donner à la presse ? Pour vous accompagner, l’ANSSI a publié un guide « Anticiper et gérer sa communication de crise cyber » en décembre 2021 avec le soutien de l’association Cap’ Com. N’hésitez pas à le télécharger, le lire, le feuilleter, le partager avec les membres de votre équipe. Il vous sera forcément d’une aide précieuse, je l’espère en tout cas !
Peux-tu nous parler du Cybermoi/s ?
Le Cybermoi/s est une campagne nationale de sensibilisation à la sécurité numérique pilotée et coordonnée par l’ANSSI depuis 2017. Pour l’édition 2023, c’est cybermalveillance.gouv.fr qui prendra le relais de l’ANSSI. Cette campagne se décline en 5 visuels, avec 5 personnages et 5 slogans dédiés.
Les objectifs :
· Impliquer la France dans une campagne européenne de sensibilisation
· Sensibiliser les citoyens et citoyennes aux enjeux de sécurité numérique
· Mobiliser les acteurs français du numérique autour d’une marque commune le « Cybermoi/s »
Quels sont les principaux conseils à retenir de cette campagne ?
Dans nos usages quotidiens des outils numériques, il existe trois réflexes essentiels :
- utiliser des mots de passe forts et uniques (un mot de passe = un compte)
- faire des sauvegardes régulières et stockées hors ligne
- appliquer les mises à jour des logiciels et applications
En appliquant ces recommandations, chaque citoyen et citoyenne contribuera à élever le
niveau de cybersécurité en France.
Une vidéo sympa à regarder, réalisée en lien avec le Service d’information du gouvernement
en 2017 (ça date, mais c’est toujours d’actualité !) – https://www.dailymotion.com/video/x62zoyt
Question bonus : on a tous plein de mots de passe (son poste informatique, les réseaux sociaux, les outils online…). Quelles sont tes recommandations à ce sujet ?
Définissez des mots de passe composés d’au moins 12 caractères, mélangeant majuscules, minuscules, chiffres et caractères spéciaux (* % ! etc) et n’ayant aucun lien avec vous (comme votre nom, date ou lieu de naissance).
Pour construire un mot de passe « fort » on peut utiliser :
- la méthode des premières lettres : « Un tiens vaut mieux que deux tu l’auras » deviendra « 1tvmQ2tl’A »
- la « phrase de passe » : par exemple « La_coupe_du_Monde_de_Quidditch_aura peut-être_lieu_le_26/09/2032_en_Bretagne
N’utilisez pas le même mot de passe pour tout, notamment pour accéder à votre banque en ligne et votre messagerie personnelle ou professionnelle. Et pour vous souvenir de l’ensemble de vos mots de passe, vous pouvez faire appel à l’aide d’un coffre-fort de mots de passe.
Baptiste Sorin est chef adjoint de la division communication de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Propos recueillis par Thibaud Lemire, rédacteur en chef du blog de l’Observatoire.
NB : cet article est en accès libre pendant une semaine puis réservé aux membres de l’Observatoire (inscription gratuite ici).
⭐️ Retrouvez tous les articles de notre blog collaboratif. Une idée de sujet ? Contactez-nous pour rejoindre le club des auteurs !
Ressources :
✔️ La sécurisation des sites Internet
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/securisation-sites-internet
✔️ Le MOOC de l’ANSSI
https://secnumacademie.gouv.fr
✔️ Assistance et prévention du risque numérique au service des publics
https://www.cybermalveillance.gouv.fr
✔️ Défis et enjeux de la cybersécurité
https://www.fun-mooc.fr/fr/cours/defis-et-enjeux-de-la-cybersecurite
https://www.fun-mooc.fr/fr/actualites/5-raisons-de-suivre-le-cours-defis-et-enjeux-de-la-cybersecurite
✔️Cybersécurité : les bonnes pratiques sur lesquelles il ne faut pas transiger
https://www.lagazettedescommunes.com/854704/cybersecurite-les-bonnes-pratiques-sur-lesquelles-il-ne-faut-pas-transiger