Protégez votre autorité

La protection contre les cyberattaques est du ressort des cadres communaux. En fait partie la sensibilisation du personnel. Les secrétaires communaux endossent beaucoup de responsabilités au sein de l'administration communale et doivent prendre de plus en plus de décisions de nature informatique. Il est recommandé de former les secrétaires communaux spécialement dans ce domaine et d'investir dans des programmes de sensibilisation à la sécurité destinés au personnel administratif et aux membres de milice. Organisez-les de concert avec d'autres communes ou votre association cantonale des communes. Cela peut réduire le travail et les coûts. 

Nommez dans votre administration un ou une responsable des différentes tâches concernant la sécurité des systèmes informatiques. Clarifiez également les rôles et les responsabilités relatifs à l'organisation des cas d'urgence ou de crise ainsi que leurs compétences respectives. Vous devez au préalable identifier les interfaces avec vos partenaires afin de vous concerter au niveau des processus. Définissez avec votre responsable informatique les incidents sécuritaires, dont vous voulez absolument être informé(e). C'est le cas des incidents touchant votre propre infrastructure ou celle de votre prestataire informatique.

Une bonne stratégie contre les cyberattaques commence avant tout incident: des processus bien rodés et des voies de recours à la hiérarchie sont indispensables pour garder le contrôle. Définissez quels fichiers journaux (PV des événements informatiques) sont enregistrés et combien de temps. Le mieux serait de les centraliser. Des fichiers journaux détaillés aident à saisir l'origine de l'attaque, à obtenir des informations sur les systèmes infectés dans votre propre réseau et à prendre des mesures correctives. Vu leur importance, les aspects relatifs à la protection des données des fichiers journaux ne doivent en aucun cas être négligés. Clarifiez les questions concernant les fichiers journaux et la détection d'attaques avec votre responsable informatique.

Faites un inventaire de vos données et informations et définissez-en les éléments sensibles. Concevez un plan de protection pour ces éléments. Les dispositions cantonales et communales relatives à la protection des données peuvent être consultées sur le site Internet de votre canton et de votre association des communes.

Réfléchissez bien aux informations que vous publiez sur votre site Internet ou sur les réseaux sociaux, car elles sont récoltées par les pirates. La personne responsable des affaires financières ayant accès à l'e-banking ne devrait pas être mentionnée sur votre site Internet. Par principe, aucune information ou donnée confidentielle ne devrait être transmise via des canaux impersonnels, tels que téléphone ou courriel. Les informations confidentielles destinées à un service externe devraient être systématiquement cryptées ou envoyées par courrier.

Montrez-vous prudent(e) dans l'utilisation des services de cybernuage employés par de nombreux programmes. Demandez-vous quelles données doivent être enregistrées localement et lesquelles dans le cybernuage. Les données sensibles ne devraient jamais être confiées à un cybernuage sans être cryptées. Avant toute utilisation d'un service de cybernuage, lisez les conditions générales (CG) du prestataire et veillez aux dispositions légales en matière de protection des données, car celles-ci ne peuvent pas être transmises, par exemple à des fins commerciales. Renseignez-vous auprès de votre préposé(e) à la protection des données. Vous trouvez une aide en matière de protection des données et la liste d'adresses des préposés sur le site de privatim de la Conférence des Préposé(e)s suisses à la protection des données, 

www.privatim.ch

Définissez des règles contraignantes pour les mots de passe, appliquez-les systématiquement et demandez à votre personnel d'en faire autant. Un mot de passe devrait compter douze signes au minimum et comporter majuscules, minuscules, chiffres et caractères spéciaux. Dans l'idéal, il est généré arbitrairement et ne se rapporte pas à des informations personnelles, comme le nom ou la date de naissance.

Une authentification à deux facteurs procure une protection supplémentaire.

Évitez absolument d'utiliser le même mot de passe à plusieurs endroits! S'il est difficile de se rappeler de plusieurs mots de passe, il vaut la peine de recourir à un gestionnaire de mots de passe. En suivant ces règles, vous n'êtes pas obligé(e) de changer périodiquement de mots de passe. Par contre, il faut les changer dès que des tiers pourraient en avoir eu connaissance ou qu'un membre du personnel quitte l'administration communale.

Les logiciels malveillants atterrissent sur votre ordinateur souvent à travers des pièces jointes, camouflées en pseudo-factures ou en dossiers de candidature. Bloquez la réception de pièces jointes dangereuses. Vous trouvez une liste détaillée et actualisée de telles pièces jointes sur Informations sur GovCERT. Assurez-vous qu'aucune macro d'origine incertaine ne puisse s'exécuter dans les documents Office. Parlez-en avec votre responsable informatique.

Définissez par quels moyens de communication votre personnel peut annoncer des événements douteux (courriel, ordinateur, appel téléphonique, etc.) et activez, si possible, une fonction pour annoncer des courriels douteux.

Faites preuve de vigilance lorsque vous communiquez avec les citoyennes et citoyens. N'envoyez des courriels qu'en texte brut et montrez-vous économe en pièces jointes. Évitez les documents Office dotés de macros, préférez les documents PDF. Fournissez des liens mais ne renvoyez pas à des sites exigeant nom d'utilisateur, mot de passe ou d'autres données. La majorité des courriels frauduleux ne sont pas personnalisés, par conséquent adressez-vous si possible à vos citoyennes et citoyens en mentionnant leurs noms et prénoms.

Pour vos paiements, utilisez un ordinateur séparé, avec lequel vous ne surfez pas sur Internet ni ne recevez de courriels. Parlez avec votre responsable informatique de la possibilité de procéder à vos versements en ligne dans un secteur séparé des autres applications (technique du bac à sable, sandbox) ou dans un système virtuel spécifique, particulièrement bien protégé. Clarifiez l'ensemble des processus relatifs au trafic des paiements. Ceux-ci doivent être respectés par le personnel dans tous les cas. Par exemple, le principe du double contrôle et/ou la signature collective: ici, les paiements doivent être visés par un utilisateur ou une utilisatrice supplémentaire de l'e-banking avant d'être déclenchés. C'est d'autant plus nécessaire si plusieurs membres du personnel peuvent effectuer des paiements. Discutez avec votre banque des mesures de sécurité possibles.

Établissez une liste détaillée de votre infrastructure informatique. Vous savez ce que vous devez protéger et surveiller, seulement si vous connaissez votre infrastructure informatique, vos services, ordinateurs, utilisateurs et utilisatrices, etc. Il est notamment essentiel de savoir quels systèmes sont reliés à Internet et donc visibles pour le public, car ces derniers doivent être hautement sécurisés.

Définissez un processus réglant la sauvegarde régulière de vos données (back-up) et respectez-le systématiquement. Évaluez la quantité de données en nombre de jours, que vous pouvez vous permettre de perdre et stockez une copie supplémentaire de votre sauvegarde séparément (offline) et hors murs (offsite). Exercez-vous – ainsi que la personne qui assure votre suppléance – de temps en temps à restaurer une sauvegarde, afin que ce processus vous soit familier en cas de besoin. Assurez-vous de conserver les sauvegardes antérieures durant plusieurs mois.

Un vieux logiciel est une porte d'entrée prisée par les logiciels malveillants. Assurez-vous que vos systèmes soient toujours actualisés, également votre système de gestion de contenu (Content Management System, CMS) de vos pages Internet. La plupart des CMS offre une fonction de mise à jour automatique et simple à activer.

Installez un logiciel antivirus sur chaque ordinateur et activez la protection en temps réel.

Veillez à ce qu'il soit actualisé régulièrement et qu'il effectue un examen complet du système chaque jour.

L'accès à distance à votre réseau ne devrait jamais être protégé par une authentification simple (nom d'utilisateur et mot de passe). Utilisez au moins une authentification à deux facteurs ou installez une liaison sûre via un réseau privé virtuel (VPN). C'est également valable pour l'accès de responsables informatiques externes.