Une nouvelle force d’intervention au service des communes et associations intercommunales en cas de cyberattaques

Dès le 1er janvier 2024, la nouvelle force d’intervention cantonale sera active pour soutenir les communes et associations intercommunales en cas de cyberattaques. Retour sur les contours de cette coopération intelligente qui s’intègre parfaitement dans le dynamique écosystème vaudois de la cybersécurité et de la confiance numérique.

Publié le 11 décembre 2023

Le 4 juillet dernier, Canton et communes vaudoises affirmaient leur volonté de renforcer leur lutte contre les cybermenaces en signant une convention pour la cybersécurité.

Pour ce faire, une force d’intervention, appelée CSIRT pour Computer Security Incident Response Team sera opérationnelle dès le 1er janvier 2024. Composée d’experts cybersécurité du centre opérationnel de sécurité (SOC) de la Direction générale du numérique et des systèmes d’information (DGNSI), elle pourra être renforcée, selon les situations de crise et leur gravité, par les experts de la cybercriminalité de la Police Cantonale Vaudoise (PolCant) ainsi que de spécialistes de la gestion de crise de l’Etat-major cantonal de conduite (EMCC).

Des cyber-pompiers pour éteindre les feux allumés par les cybercriminels

Une bonne prévention et des mesures efficaces de sécurité pour une bonne cyberhygiène sont essentielles pour réduire la probabilité et l’impact d’une cyberattaque. Malheureusement le risque zéro n’existe pas et, à l’image de l’importance des pompiers pour combattre les feux, la réponse à une cyberattaque nécessite le soutien de spécialistes. En effet, se défendre contre une cyberattaque requiert d’adopter des procédures d’intervention précises permettant un retour à la normale maîtrisé, tout en préservant les traces numériques nécessaires à la justice.

En s’appuyant sur les expériences de la force d’intervention CSIRT, les rôles des différentes parties en cas de cyberattaque (partie droite de l’illustration ci-dessous) sont prévus de la manière suivante :

En cas de situation extraordinaire de crise, la force d’intervention CSIRT déploie une structure de conduite de crise permettant (1) de coordonner les actions et forces en présence pour réduire au maximum les impacts et rétablir la situation au plus vite et (2) d’apporter une analyse de la situation et des points de situation afin que la municipalité ou la direction de l’entité victime puisse prendre rapidement les meilleures décisions.

Il est important de rappeler que, si le CSIRT a pour but d'apporter une aide d'urgence pour la gestion d'une cyberattaque, il s’appuie aussi sur le support d’experts externes pour la réponse technique et les premières analyses forensiques. La force d’intervention ne remplace ainsi pas les sociétés privées spécialistes en cybersécurité, qui sont et restent des acteurs complémentaires essentiels pour maintenir et renforcer la sécurité des systèmes d’information des différentes organisations présentes dans le canton.

En cas de cyberattaque : appeler le 117

En cas de cyberattaque, la procédure est claire : il faut appeler le 117. Les experts du cybercrime de la Police cantonale se mettront ensuite en contact avec le centre opérationnel de sécurité (SOC) de la DGNSI, qui coordonnera la suite des opérations.

En amont : des préparatifs essentiels pour prévenir les attaques

Du côté des communes et associations intercommunales, il est attendu qu’elles identifient un point de contact opérationnel cybersécurité qui permettra de centraliser les échanges et communications avec le CSIRT principalement hors de période de crise. Il est important de rappeler ici que le CSIRT travaille sur un principe de subsidiarité en mode "meilleur effort" et qu’il ne peut, par exemple, pas sauver une entité qui n'aurait pas de sauvegarde pour ses données.

Pour garantir la bonne délivrance des prestations fournies par le CSIRT, il est ainsi important de rappeler les préparatifs essentiels pour les organisations et en particulier de :

  • Définir un plan de continuité des activités (PCA) permettant de maintenir, en mode dégradé, les activités critiques de l’entité sans informatique.
  • Appliquer les bonnes pratiques de sécurité et en particulier la prise en compte des 5 mesures de prévention promues par le Centre National pour la Cybersécurité (NCSC) :
  1. Sécurisation des accès à distance et authentification forte activée ;
  2. Sauvegardes hors ligne ou équivalent ;
  3. Gestion des correctifs et des cycles de vie des actifs informatiques ;
  4. Blocage des pièces jointes et liens à risque dans les courriels et les flux Internet ;
  5. Surveillance régulière des fichiers journaux (logs), en particulier pour les accès à distance, pour identifier dès que possibles des événements anormaux à investiguer.

En synthèse, cette Convention cybersécurité est une réponse pragmatique et évolutive pour construire un partenariat gagnant-gagnant entre le Canton, les communes, les associations intercommunales. Elle s’appuie sur les nombreuses sociétés locales hautement spécialisées en cybersécurité et l’écosystème vaudois dynamique autour de la cybersécurité et de la confiance numérique. C’est ainsi une opportunité unique de créer un cercle économique local vertueux et surtout de devenir ensemble plus cyberrésilients.

Direction générale du numérique et des systèmes d'information (DGNSI)

Une app mobile et un site pour informer sur la cybersécurité

L’app mobile Cybersécurité Vaud continue d’évoluer et est maintenant disponible sur les app-store Android et iOS. Elle a pour objectif de devenir dès maintenant la plateforme d’information du Canton de Vaud en matière de cybersécurité et de confiance numérique.

En parallèle, le contenu cybersécurité s’étoffe sur le site de l’Etat de Vaud pour devenir une base de connaissance et une boite à outils de cybersécurité.

La Convention cybersécurité en bref

Objet de la convention :

  • Mise en œuvre d’une force d’intervention cantonale pour défendre les communes et associations intercommunales contre les cyberrisques, contre rémunération de l’Etat (obligation générale de moyens)

Champ d’application de la convention :

  • L’ensemble des communes vaudoises et les associations intercommunales

Comité de pilotage :

  • Comité opérationnel avec 4 représentants du Canton (avec présidence à la DGNSI) et 4 représentants des communes

Financement :

  • Un financement couvrant les coûts de 2 experts analystes cybersécurité et la mise à disposition d’une réponse technique d’urgence au travers de prestaires privés locaux

Autres informations :

Un démarrage opérationnel au 1er janvier 2024