Précisez votre recherche (les choix sont cumulatifs) :
> PAR ANNÉE  
Mai 2017
> PAR TYPE DE CONSEIL (MUNICIPAL / GÉNÉRAL)  
Conseil Municipal
> Type de document (Débat / Délibération)  

I - Question d'actualité posée par le groupe Radical de Gauche, Centre et Indépendants à Mme la Maire de Paris relative à la sécurité des systèmes d'information de la Ville de Paris.

Débat/ Conseil municipal/ Mai 2017


 

Mme LA MAIRE DE PARIS. - La première question d'actualité est posée par le groupe Radical de gauche, Centre et Indépendants.

M. Jean-Bernard BROS, son président, a la parole.

M. Jean-Bernard BROS. - Merci, Madame la Maire.

Mes chers collègues, peu nombreux, mais néanmoins, l'actualité récente nous montre que la question de la sécurité des réseaux numériques d'une collectivité doit être une préoccupation majeure.

Le premier fait récent auquel nous pensons est le piratage des panneaux informatifs de la Ville, avec message adressé à un ancien candidat à la présidentielle. Cet épisode sans grande conséquence et plutôt humoristique a cependant montré la vulnérabilité de nos systèmes d'information. Nous souhaiterions donc, tout d'abord, savoir si la Ville en sait plus sur ce piratage et si les dispositions ont été prises pour empêcher une telle intrusion.

Un autre fait préoccupant nous vient de l'actualité nationale : des informations personnelles, sécurisées ont été diffusées sur les réseaux par des "hackers" mal intentionnés et ces données sont encore, à ce jour, publiques. La Ville de Paris a su prendre le pas de l'innovation en utilisant de plus en plus fréquemment le numérique pour sa communication notamment, mais aussi dans sa relation aux administrés et dans la gestion des services publics. Nous saluons, bien entendu, cette évolution. Il ne s'agit pas là de la mettre en cause. Cependant, cela augmente notre vulnérabilité aux cyberattaques. Dans son dernier rapport d?activité, l'Agence nationale de la sécurité des systèmes d'information (A.N.S.S.I.) résumait le sujet ainsi : "Les technologies numériques procurent des gains de productivité et sont donc sources de richesse et de compétitivité pour notre pays, mais elles induisent également des vulnérabilités nouvelles. La cyber-sécurité est devenue, de ce fait, une condition structurante, non seulement de la sauvegarde de notre patrimoine économique et intellectuel, mais aussi de la protection physique de nos citoyens." Les collectivités sont devenues des cibles des cyberattaques et ce, à plusieurs titres. De par leur visibilité sur Internet, elles offrent des surfaces pour des messages de revendication et propagande, comme cela a été le cas sur les panneaux informatifs. Elles hébergent aussi de nombreuses données personnelles qui pourraient être sabotées ou récupérées à des fins pécuniaires ou malveillantes. Les collectivités détiennent notamment l'état civil. Il ne faudrait pas qu'un jour, ces fichiers puissent être modifiés par des attaquants. Enfin, d'autres domaines comme les objets connectés que sont les smartphones représentent une augmentation de la surface d'attaque. Si ces objets ne sont pas correctement configurés et sécurisés, ils offrent une porte d'entrée à d'éventuels attaquants. Face à cela, les acteurs publics se mobilisent. L'A.N.S.S.I. est devenue un support pour les collectivités. Elle a indiqué avoir reçu plus de 50 % de signalements en plus entre 2014 et 2015, prouvant la nécessité de se pencher sur la question. En outre, pour que les collectivités s'équipent contre le risque numérique, la législation a été grandement renforcée. La loi pour une République numérique ainsi que la réglementation européenne ont rendu obligatoire la protection des données personnelles afin de responsabiliser les acteurs qui les traitent. Les sanctions à leur égard ont été renforcées et les amendes pourront s'élever à 20 millions d'euros, notamment pour les collectivités. Ainsi, les élus du groupe R.G.C.I. souhaitent savoir si la Ville a subi des attaques ou tentatives d'attaque, de quel ordre ont été ces piratages et surtout quels sont les dispositifs de défense et de protection mis en place. Je vous remercie.

Mme LA MAIRE DE PARIS. - C'est moi qui vous remercie, Monsieur le Président.

Je donne la parole à M. Emmanuel GRÉGOIRE pour vous répondre.

M. Emmanuel GRÉGOIRE, adjoint. - Merci beaucoup, Madame la Maire.

Merci, Monsieur le Président, pour votre question sur un sujet sérieux dont on ne parle jamais, à part dans les moments où survient un drame ou des menaces objectivées.

Tout d?abord, pour vous dire que le piratage et la sécurisation des systèmes d'information, c?est une zone de risque ancienne, mais inédite par l'ampleur qu'a pris le phénomène et par la sophistication des menaces déployées.

La Ville, depuis longtemps, a travaillé à un plan de sécurisation informatique et c'est l'occasion pour moi de vous faire un point complet sur le sujet.

La DSTI, la Direction des Systèmes et Technologies de l'Information de la Ville, a mis en place une cellule Sécurité chargée de veiller, de manière prescriptive et préventive, à la mise en place d'un certain nombre de pare-feu - pour reprendre un mot de sécurité - afin d'anticiper et de prévenir le risque.

Comment le fait-on ? On le fait par la formation tout d'abord de l'ensemble des agents car l'une des causes principales d'introduction dans les systèmes d'information, c?est en faisant appel à la crédulité ou à l'incompréhension des usagers ; on déclenche donc un acte volontaire d'une personne autorisée qui permet ensuite, via différents dispositifs complexes et variés, de s'introduire frauduleusement dans les systèmes d'information.

Comment a-t-on procédé ? Vous l'avez évoqué, je le reprends donc : nous utilisons le guide des bonnes pratiques de l?A.N.S.S.I., l?Agence nationale de sécurité des systèmes d'information qui à la fois édicte des règles de bonnes pratiques en matière de paramétrage et de prévention du risque d'introduction frauduleuse et aussi via la certification d'un certain nombre de prestataires qui peuvent être amenés à faire des audits et des contrôles externes, ce qui est fait régulièrement.

Le deuxième pilier de la politique en matière de sécurité - évidemment, je redis qu'il a pris une importance particulière du fait de la croissance du nombre de services numériques, du stockage des données, y compris pour faciliter la vie des usagers, mais il est donc du devoir de la Ville de garantir la sécurité totale de ces données -, c'est la formation des agents eux-mêmes en matière de sécurité informatique et, au-delà, des usagers.

Toutefois, nous avons des zones de risques à certains endroits et notamment, nous externalisons un certain nombre de services publics ou nous coopérons des services publics avec des partenaires extérieurs. Nous devons donc régulièrement aller surveiller la sécurité de ces systèmes d'information et, par définition, le risque 0 n'existe pas.

Cela permet de revenir sur votre question précise : y a-t-il eu des attaques et des tentatives de piratage ? Oui, il y en a régulièrement. Pour la plupart, ce sont des choses tout à fait mineures et assez médiocres en termes de qualité technique, à l'exception d'un qui a fait l'objet d'une médiatisation et que vous avez bien en tête. Il ne serait pas grave s'il n'était pas une atteinte problématique à la démocratie. Il s'agit du piratage du système de panneaux lumineux, Lumiplan.

Nous avions procédé à un premier audit de la sécurité de ces panneaux d'information suite à un premier piratage qui avait eu lieu dans la ville de Lille, pour vérifier que nous n'étions pas fragilisés sur le même type de dispositifs. A l'époque, il s'agissait d'un piratage hertzien : les panneaux étaient actualisés par message radio et les pirates, en se mettant à proximité, avaient utilisé un signal radio pirate pour mettre le message qu'il souhaitait. Nous sommes à l'abri de ce risque car à la Ville, c?est un dispositif entièrement filaire.

Cependant, il y a une enquête et un dépôt de plainte. Je ne vais pas, à ce stade, rentrer dans le détail, les investigations sont en cours. Néanmoins, il s'agit d'une introduction frauduleuse sur l'applicatif qui sert, par Internet - pour le dire clairement -, à introduire les messages qui sont ensuite affichés. L'enquête dira - je ne veux pas être plus précis ici - dans quelles conditions et par qui, si les policiers arrivent à le découvrir.

C'est à la fois montrer que nous sommes en fragilité, mais aussi montrer que l'on a réagi très vite car il n'a fallu que quelques minutes pour que la DSTI, dès qu?elle en a été alertée, fasse les correctifs le plus vite avec la Direction de la communication ; et vous adresser un message à la fois de vigilance et de confiance sur la sécurité de notre infrastructure de systèmes d'information qui fait l'objet d'un suivi vraiment extrêmement rigoureux de la DSTI.

J?en profite d?ailleurs pour les remercier car, parfois, ce n'est pas du piratage, mais cela peut être un "bug" informatique. Ils sont disponibles 24 heures 24, 7 jours sur 7 pour faire redémarrer les machines quand il le faut.

C'est en vigilance et il faut constamment dialoguer avec l'A.N.S.S.I. et les prestataires spécialisés de la sécurité informatique pour s'assurer que, si le risque minimum n'existe pas, l'obligation de moyens que nous devons aux Parisiens est bien mobilisée.

Mme LA MAIRE DE PARIS. - Merci beaucoup.

Est-ce que, Monsieur le Président, vous souhaitez reprendre la parole ?

M. Jean-Bernard BROS. - Je remercie Emmanuel GRÉGOIRE pour sa parole, qui est tout à fait conforme à ce que je souhaitais. Merci.

Mme LA MAIRE DE PARIS. - Merci beaucoup.