GOUVERNANCE ET SOCLES TECHNOLOGIQUES

Héberger ses données à l’abri des lois extraterritoriales

Description de la proposition

Freepik

Description de la proposition

Pourquoi mettre ses données à l'abri des lois extraterritoriales?

Pour une collectivité, l’hébergement de données sensibles sur un serveur à distance (technologies Cloud) peut être un enjeu de souveraineté numérique. Il existe des recommandations à suivre pour une protection optimale des données, notamment contre les lois extraterritoriales des autres pays.

Les collectivités territoriales sont amenées à héberger des données sensibles : c’est le cas par exemple pour les données personnelles d’état civil. Or, les territoires ne sont pas épargnés par la cybercriminalité. Selon un rapport de l’ANSSI (lien externe, nouvelle fenêtre) (Agence de sécurité des systèmes d’information), tous les échelons de compétences territoriales peuvent être visés par une attaque résultant dans la compromission de données sensibles : 20% des cyberattaques sur des collectivités concernent la destruction de données, et 14% le vol de données.

Aussi, le recours à un hébergement des données à distance, donc aux technologies Cloud (ou informatique en nuage), est appelé à se généraliser au sein des administrations publiques. Le risque de compromission des données, potentiellement hébergées à l’étranger, devient alors un enjeu de souveraineté nationale. En effet, les offreurs de services Cloud peuvent être soumis à l’application de lois extraterritoriales étrangères, c’est-à-dire être obligés de fournir les données hébergées aux États qui en feraient la demande dans le cadre de poursuites judiciaires.

Dès lors, sécuriser l’hébergement de ces données pour éviter les attaques à but d’espionnage, devient un enjeu central pour toutes les collectivités.

En quoi consiste la proposition ?

L’hébergement des données sensibles des collectivités : un enjeu de souveraineté numérique

En octobre 2023, l’ANSSI a publié une synthèse à propos des cyberattaques subies par les collectivités territoriales. Entre janvier 2022 et juin 2023, on a enregistré 187 cyberattaques, dont une majorité (131) sur des communes et des établissements publics de coopération intercommunale. Parmi les types d’attaques recensés, il y a les attaques à but d’espionnage, majoritairement réalisées par des groupes opérant pour le compte d’États. Ainsi, même à l’échelle d’une commune, la souveraineté numérique est une véritable problématique qu’il convient de prendre en compte en sécurisant ses données.

Pour héberger des volumes importants de données, les technologies Cloud (hébergement à distance) présentent de nombreux avantages : rempart contre la perte de données, externalisation des infrastructures et des tâches, plus de problèmes de sécurité posés par le télétravail. Mais comment s’assurer que la solution Cloud choisie soit adaptée aux enjeux de souveraineté numérique ?

Cloud de confiance et norme SecNumCloud : des garanties contre les lois extraterritoriales étrangères

Afin de proposer des pistes pour renforcer la souveraineté numérique française, la Commission supérieure du numérique et des postes a publié en septembre 2023 un rapport, dans lequel elle fait entre autres des recommandations concernant les collectivités. La Commission conseille ainsi que les données des collectivités soient cartographiées et qu’elles se conforment aux exigences de la doctrine Cloud de l'État, appelée « Cloud au centre ». Aujourd’hui, elle est avant tout destinée à l’administration centrale, mais les collectivités aussi « sont invitées à se saisir des avantages procurés par le cloud computing ».

Actualisée en 2023 pour inclure la notion de « données sensibles », la doctrine « Cloud au centre » (lien externe, nouvelle fenêtre) fait du Cloud la technologie par défaut d’hébergement des données des administrations, et propose des règles à suivre pour faciliter le recours au Cloud. Comment cette circulaire peut-elle aider les collectivités pour héberger leurs données en toute sécurité ? Deux idées sont à retenir :

La doctrine stipule que tous les services numériques des administrations doivent être hébergés sur un Cloud interne à l’État, ou bien sur une offre de Cloud faisant partie du catalogue d’industriels satisfaisant aux critères de sécurité déterminés par l’ANSSI : on parle alors de Cloud de confiance. Les collectivités territoriales ne peuvent pas recourir au Cloud interne de l’État, mais elles peuvent accéder à l’offre de Cloud de confiance sur le site de l’UGAP (lien externe, nouvelle fenêtre) (Union des groupements d’achats publics).

Cette offre de Cloud de confiance respecte impérativement la qualification SecNumCloud élaborée par l’ANSSI. SecNumCloud est un référentiel proposant des règles de sécurité qui garantissent un haut niveau d’exigence technique, opérationnel et juridique des offres Cloud qualifiées. Une offre Cloud labellisée SecNumCoud est notamment immunisée contre l’accès non autorisé des États tiers (application de lois extraterritoriales), diminuant considérablement le risque d’espionnage.

À noter : ces solutions d’hébergement de confiance ne dispensent pas de s’assurer que l’infrastructure informatique interne ainsi que les sites web utilisés soient également sécurisés.

Quels sont les moyens à mettre en place pour déployer la proposition?

Mettre en place une solution Cloud de confiance pour héberger les données sensibles des collectivités

Pour évaluer l’intérêt de recourir au Cloud, l’ANSSI recommande (lien externe, nouvelle fenêtre) de mener une étude d’impact métier et juridique, comportant une analyse de risques. Celle-ci doit évaluer le niveau de menaces potentielles auxquelles sont exposées les données, les risques de l’hébergement Cloud, le niveau de sensibilité des données concernées et le risque juridique extraterritorial.

Quelles sont les étapes de mise en œuvre ?

Étape 1 : Sur la base de l’étude d’impact, évaluer les besoins en hébergement de données : quel volume ? Quels types de données ? Quel niveau de protection ?

Étape 2 : Sélectionner l’offre Cloud commerciale appropriée : le portail Nuage public (lien externe, nouvelle fenêtre) propose un catalogue d’offres Cloud avec tarifs préférentiels pour les acteurs du service public.

Étape 3 : Sélectionner au sein de l’offre les services et licences pertinents pour les besoins de la collectivité.

Étape 4 : S’assurer de la sécurisation du Cloud : par exemple, configuration des services de filtrage et de contrôle d’accès, mise en place d’une clause de réversibilité pour faciliter la migration d’un service Cloud à un autre.

Étape 5 : Formation des équipes techniques et des chefs de projet à l’usage des technologies Cloud, sensibilisation de l’ensemble des agents à la cybersécurité.

Comment mesurer le succès de l’action ?

Répertorier les cyberattaques éventuelles et mesurer leur évolution :

  • Baisse du nombre d’incidents de sécurité liés aux données sensibles, mesurée en nombre d’incidents recensés par an.
  • Part des données sensibles hébergées sur une solution Cloud de confiance (SecNumCloud), mesurée en pourcentage du volume total de données sensibles.
  • Taux d’agents formés à la sécurité et à la souveraineté numérique, mesuré en pourcentage d’agents formés parmi les effectifs concernés.

Quels sont les résultats attendus ?

Un hébergement Cloud sécurisé pour toutes les données sensibles de la collectivité

Quelques données clés sur le projet

Part des cyberattaques sur des collectivités concernant le vol de données
14%
Part des cyberattaques sur des collectivités concernant la destruction de données
20%

Proposition applicable pour les collectivités suivantes

  • Urbain
  • Péri-Urbain
  • Rural
  • Montagne
  • Littoral