Secu
La sécurité des collectivités en mode bug bounty
Par François Jeanne, publié le 27 juin 2022
Le CoTer Numérique, association des DSI des collectivités territoriales, vient d’obtenir une subvention de l’ANSSI pour tester la sécurité de 15 progiciels d’usage courant dans le secteur public. Une démarche originale qui vise à une meilleure protection des données des citoyens, en nouant un partenariat véritable avec les éditeurs.
Il suffit d’avoir fréquenté les allées des congrès annuels du CoTer Numérique pour le comprendre : cette association de DSI de collectivités est parvenue à établir une vraie relation de confiance avec les fournisseurs de son écosystème.
Or la confiance, face à des cybercriminels s’acharnant contre les SI des collectivités ou des hôpitaux, est une denrée précieuse. Comment faire pour garantir la sécurité des données personnelles des citoyens utilisant les portails publics ? Comment éviter également des dépenses colossales pour recouvrir les systèmes et les données en cas d’attaque ?
Pour répondre, le CoTer Numérique a eu une démarche pour le moins originale. « Dans un premier temps, un de nos adhérents a tenté de monter une campagne de tests en mode bug bounty [chasse aux bugs par des hackers éthiques, éventuellement motivés par des primes, NDLR] et de la faire subventionner par l’ANSSI dans le cadre du Plan de relance. Mais le reste à charge, environ 30 %, était trop important », raconte le président de l’association Antoine Trillard, par ailleurs DSI de la ville de Chelles (94).
Du coup, l’association prend le relais et repropose le dossier à l’ANSSI, en y intégrant cette fois la remédiation des failles découvertes par les hackers de la plateforme Yogosha. « Ainsi, la partie tests ne représente plus que 70 % du total du projet, et les éditeurs prennent en charge les 30 % restants en améliorant leurs produits. »
Quinze éditeurs sélectionnés dans un premier temps
L’accord obtenu auprès de l’ANSSI porte sur une quinzaine d’applications (mobiles, web, front ou back-office) de 15 éditeurs différents, pour un montant global de 750 k€ (cf encadré). « Pour des raisons juridiques, les subventions seront portées par certains de nos adhérents, mais c’est bien le CoTer Numérique qui pilote le projet techniquement, avec l’appui de Capgemini pour son suivi », précise Antoine Trillard.
Mais quinze applications, c’est une goutte d’eau dans l’océan du parc de logiciels installés dans les collectivités. Lors d’un récent reportage, Bordeaux Métropole nous avait confié qu’au moment de la fusion de ses différentes DSI, la collectivité avait recensé 1 600 applicatifs utilisés avant mutualisation ! Et la ville de Chelles, autre exemple, en compte une centaine.
Dès lors, quel sens donner à la démarche du CoTer Numérique ? Et d’ailleurs, est-ce aux contribuables de payer pour renforcer la sécurité des progiciels d’éditeurs privés ?
« Certains d’entre eux n’ont pas les moyens, ou l’organisation adéquate, pour faire face à la montée de la cybercriminalité », explique le DSI de la ville de Chelles. « En lançant ce projet, nous les aidons certes financièrement mais, surtout, nous espérons leur mettre le pied à l’étrier pour de futures améliorations sur les autres produits de leurs gammes. »
Ce qui sera profitable à tout le monde : certaines attaques récentes sur des SI de collectivités ont conduit à des dépenses de plusieurs centaines de milliers d’euros en frais de recouvrement.
Dans la même logique de renforcement de l’écosystème, le CoTer Numérique n’entend pas publier les résultats de ces tests, ne voulant pas se « tirer une balle dans le pied » en révélant des fragilités potentielles dans les SI de ses adhérents. « Nous allons en revanche nourrir la base de données de la Dinum, qui recense les progiciels disponibles pour les administrations, en renseignant la partie sécurité », concède Antoine Trillard.
Et donner aussi l’envie à d’autres d’engager des démarches similaires, par exemple dans les hôpitaux ?
Six premières applications ont été sélectionnées à ce jour…
Sur les 15 applications prévues d’être testées, 6 sont déjà connues :
> IXParapheur de SRCI : solution de dématérialisation des circuits de validation et signature.
> Portail Citoyen Famille d’Arpege, qui permet de gérer la relation citoyen d’une ville.
> Publik d’Entrouvert, une plate-forme modulaire pour simplifier leurs interactions entre administrations et citoyens.
> Civil Netenfance du Groupe CIRIL, Gestion de la relation citoyen autour des services à l’enfance.
> I-Parapheur d’Adullact, Parapheur électronique
> Esirius(ESII)., logiciel de réception client et de gestion des files d’attente.
Les neuf autres progiciels seront choisis à l’automne.