Close
  • Français
  • English

09/01/2014Collectivités locales et cyberdéfense [par Jean-Fabrice Lebraty et Rémy Février]

Au 1er septembre 2013, on comptait 36681 communes en France. Derrière ce chiffre, on trouve une multitude de situations (Métropole, Etablissements Publics de Coopération Intercommunale (EPCI), ou encore Syndicat d’agglomération nouvelle).

Les collectivités territoriales sont donc des entités multidimensionnelles, parties prenantes des évolutions de la société française et ayant un impact certain sur l’environnement économique. Les élus locaux étant devenus les dépositaires d’attentes variées et souvent divergentes, ils demeurent, plus que jamais, les garants de l’intérêt général. Ces élus sont donc soumis à une quasi-obligation de résultat en répondant aux attentes de la population ainsi qu’à un impératif de développement harmonieux du territoire dont ils ont la charge.

Or, depuis une dizaine d’années, les territoires sont soumis à des mutations sans précédent sous l’influence conjuguée d’évolutions sociétales majeures et de restrictions budgétaires. Ces contraintes obligent les élus locaux à revoir en profondeur leurs processus de management ainsi que leur approche de l’environnement extérieur au travers, notamment, d’un recours accrue aux traitements informatisés de données. En effet, en première approche, les technologies de l’information (TI) sont perçues comme une solution à de nombreux problèmes tout en augmentant la satisfaction des utilisateurs. A titre d’exemple, n’est-il pas satisfaisant de demander par Internet un extrait de naissance ?

De surcroît, cette nécessaire intégration des TI répond à la volonté de l’Union Européenne de favoriser le développement des territoires, au travers du rapprochement entre les citoyens et les instances locales.

Tout cela va dans le bon sens, si ce n’est que les technologies de l’information constituent un outil surpuissant qui peut très vite se retourner contre son propriétaire. Nous nous proposons donc d’aborder, dans cette communication, la question suivante : sur quels cadres théoriques peut se fonder la réponse des collectivités locales face à des cyber-attaques ?

Répondre à cette question nécessite de prendre en compte les six éléments suivants :

  • – Epistémologique
  • – Historique
  • – Humain au niveau individuel
  • – Humain au niveau de la foule
  • – Organisationnel
  • – Inter-organisationnel

Nous prendrons donc chacun de ces  éléments séparément et essaierons d’en extraire des cadres théoriques pertinents et des conseils à destination des acteurs en charge de mettre en œuvre des stratégies de cyberdéfense.

L’épistémologie en science des technologies

L’épistémologie peut être entendue comme une discipline qui tente de comprendre les fondements méthodologiques d’une science (Lemoigne, 2002). Trois grandes approches peuvent être envisagées : le positivisme, l’interprétativisme et le constructivisme.

Une recherche s’inscrit plutôt dans l’un ou l’autre de ces courants. Or, la posture épistémologique n’est pas neutre. En effet, elle conditionne la manière avec laquelle la science cherche à répondre à des grands enjeux. D’une manière assez simpliste, nous pouvons dire que, globalement, les  recherches en « sciences dures », dont l’informatique, suivent des approches positivistes. Il va donc s’agir de trouver « la » bonne solution qui se trouve être « la » meilleure. Ainsi, dans le cadre de la mise en œuvre d’une politique de sécurité, il va s’agir de trouver le meilleur système quel que soit l’humain qui va l’utiliser. Ce dernier sera appréhendé comme une contrainte nécessaire dont la nuisibilité doit être minimisée. Menus déroulant indiquant tous les cas possibles, fenêtres bloquantes pour être certains que l’utilisateur a compris le message, tutoriaux et fonctions d’aide minimalistes, sont des exemples que nous connaissons tous et qui sont les résultantes de ce type de postures.

Ainsi, dans le cadre de cette approche, l’humain est un facteur parmi d’autres. Sans minimiser les apports de la méthode positiviste, il convient toutefois d’en observer les limites lorsqu’elle en vient à s’intéresser au facteur humain. Dans ce cas précis, il serait selon nous opportun d’évoquer l’approche interprétative (Klein & Myers, 1999). Cette posture épistémologique stipule que, si les faits existent et que leur étude s’avère indispensable, il demeure néanmoins essentiel d’étudier la perception que les individus ont de ceux-ci. Le sens accordé à un concept ou à un évènement est aussi important que l’évènement lui-même.

[box style=’info’] Proposition managériale n°1 :

La solution doit tenir compte des perceptions des acteurs avant d’être technique [/box]

Historique

Quand un ordinateur commence à avoir des problèmes de software et qu’il a un comportement erratique, tout technicien support tente d’y remédier en effectuant, dans un premier temps, un petit nettoyage puis, en cas d’échec, procède à une réinstallation totale. Ce technicien sait parfaitement qu’il est toujours plus long d’essayer de corriger un problème en « bidouillant » l’existant plutôt que de tout réinstaller.

Malheureusement, ce qui s’applique au monde des machines, ne peut s’appliquer à une organisation humaine. Tenir compte de l’histoire d’une institution permet de mieux comprendre les différents jeux d’acteurs et donc d’intégrer les caractéristiques spécifiques du système. Toutes les organisations ne sont pas identiques en termes d’histoire. Dans le cas des collectivités territoriales, les flux d’informations ont été conçus de manière particulière. En effet, l’ensemble de ces flux passe par des canaux bien définis et, à ce titre, les flux entrants ou sortants sont particulièrement spécifiés. Or, deux éléments nouveaux entrent en conflit avec cet ancien modèle. D’une part, il existe une forte augmentation des flux officiels en raison du processus de dématérialisation et de la création des nouveaux services afférents. D’autre part, dans le cas de cyberattaques, l’ensemble du parc installé, (Postes de travail, portables, tablettes, serveurs, imprimantes, routeurs etc.) devient une cible potentielle. La collectivité, à l’image d’autres organisations, doit se défendre face à des attaques qui peuvent directement apparaître en son sein sans passer par un filtre périphérique. La figure suivante illustre ce constat.

image

Figure 1 : Evolution des collectivités en termes de flux d’information

Ce passage s’est opéré rapidement et conduit à ce que d’anciens reflexes et d’anciennes procédures soient appliqués à cette nouvelle donne. Des concepts comme interne/externe, propriété des données et des informations ou encore localisation physiques des données et des informations diffèrent selon qu’ils s’agissent d’éléments numériques ou d’éléments physiques (papiers principalement). Mettre en place des systèmes de sécurité adaptés au monde numérique lorsque ces concepts sont compris par les acteurs sous un angle exclusivement « physique » conduit à des incohérences de comportement. Prenons l’exemple d’un agent qui veut conserver une copie papier d’un document fait une photocopie. Transposé au monde numérique, il garde une copie du fichier sur son disque dur. Seulement, un simple mail avec une pièce jointe adressée à 50 personnes peut conduire à avoir 50 fichiers sur autant de disques durs. Il s’en suit confusion, redondance et risque accru de fuite. Les normes actuelles poussent à avoir des serveurs de documents (type MS Sharepoint) dans lesquels les fichiers sont accessibles et classés. Malheureusement, l’application d’une telle « bonne pratique » couplée avec l’ancien reflexe conduit les utilisateurs à conserver des copies locales des fichiers sur leurs disques car ils pensent ainsi « posséder » les fichiers en question.

[box style=’info’] Proposition managériale n°2 :

La solution doit tenir compte de l’historique de l’organisation en termes de management de l’information [/box]

 

Humain au niveau individuel

L’humain est au centre de tous systèmes d’information. Sans humain, il n’y a pas d’information. Aussi, ce point sera le plus détaillé. Il couvrira trois aspects : les compétences, le comportement et la relation face à la technologie.

Les compétences

Le management de l’information et notamment la sécurité de l’information nécessite des compétences spécifiques. En environnement largement numérisé, ces compétences sous-entendent d’avoir une conscience préalable de la situation. En effet, une grande partie des failles ne provient pas de comportements intentionnellement nuisibles, mais bien plutôt de la méconnaissance des effets des actions engagées. Par exemple, suivre un lien dans un mail qui semble, certes étrange mais plausible ou encore insérer une clé USB auparavant prêtée à des amis sont des modes comportementales évidentes. C’est pourquoi des procédures doivent être mises en œuvre, à l’image du blocage des ports USB ou encore du filtrage des mails. Sachant que ces procédures contribuent à déresponsabiliser un peu plus les utilisateurs, il peut être intéressant de mesurer les connaissances et compétences de ces derniers en termes d’usage des technologies de l’information.

Il apparait donc intéressant de mesurer l’écart existant entre compétences et potentialités des TI. Du côté des compétences bureautiques, par exemple, le constat est souvent assez sombre. Dans une collectivité territoriale[1], le pourcentage d’agents de catégories C, B ou même A qui maîtrise le concept et la mise en œuvre d’une opération de publipostage en Excel et Word semble assez faible. Si l’on entre dans le détail en observant la manière avec laquelle sont conçus les documents Word et Excel, on constate que moins de 20% des fichiers sont réalisés de manière rationnelle. Ainsi, pour un document Word, les « feuilles de styles » sont peu utilisés ce qui interdit, de fait, toute opération de traitement automatique (table des matières, sommaire, exportation de données spécifiques etc.). A l’identique, concernant les fichiers Excel, nombreux comportent des fusions de cellules alors même que des lignes vides sont insérées « pour aérer » le texte, que la casse diverge selon les lignes ou encore que le format de cellule change selon les colonnes du tableau…Si cet état de fait, aisé à établir, est très majoritairement connu du service informatique les équipes d’informaticiens, il demeure, en revanche, le plus souvent ignoré de managers dont le niveau de maîtrise des outils bureautiques est souvent basique. Or, rappelons-nous que la bureautique est aujourd’hui au cœur de l’activité d’un service administratif. D’un autre côté, les outils évoluent relativement vite. Dans le cadre de MS Office par exemple, une nouvelle version est proposée en moyenne tous les 3. L’écart déjà grand, tend donc à s’accroître. Ainsi, le pourcentage d’agents qui peuvent convenablement appréhender ce que signifie l’option « enregistrer dans l’ordinateur ou dans le cloud » sur la dernière version d’Office est, de fait, limité.

Comme nous l’avons mentionné plus haut, le danger est alors de tenter de réduire au maximum le rôle de ce « facteur » humain. De notre point de vue, cette position est doublement risquée car, d’une part, elle facilitera la tâche des agresseurs éventuels et, d’autre part, elle conduira à une démotivation évidente des agents. Une des solutions réside, lors de la phase de recrutement, dans le fait de mettre fortement l’accent sur une maîtrise avérée de ces technologies -principalement de la bureautique- tout en favorisant l’apprentissage interne par diffusion des bonnes pratiques de ces nouveaux entrants.

[box style=’info’] Proposition managériale n°3a :

La solution doit s’adapter au niveau de compétences des utilisateurs tout en offrant une certaine flexibilité pour permettre à ces utilisateurs de ne pas se laisser distancer. [/box]

[box style=’info’] Proposition managériale n°3b :

Lors du recrutement, il est essentiel de s’assurer de la parfaite maîtrise des outils technologiques disponibles. [/box]

 

Le comportement face à une menace

Comme l’a montré R. Février, (Février, 2013), les collectivités peuvent apparaître fragiles face au risque numérique. Peu à peu, les élus locaux et fonctionnaires territoriaux prennent conscience de ce risque auquel ils doivent dorénavant faire face. Dans ce cadre, un courant théorique peut être pertinent à visiter : celui de la théorie du coping (Hartmann, 2008; Lazarus & Folkman, 1984; Park, Armeli, & Tennen, 2004). Le coping est une théorie issue de la psychologie qui vise à comprendre comment des personnes se comportent face à un traumatisme. Cela apparaît singulièrement pertinent dans ce cadre, dans la mesure où cette théorie prend en compte le comportement de la personne et ce, aussi bien avant que pendant le déroulement d’un problème. L’on parle alors de stratégies de coping, certaines étant qualifiées de proactives et d’autres de réactives. Ces stratégies sont assez bien identifiées et peuvent être transposées au cas de responsables de collectivités face à la menace numérique.

[box style=’info’] Proposition managériale n°3c :

La solution doit prendre en compte les stratégies de coping des acteurs des collectivités. [/box]

La relation face à la technologie

Mettre en place une nouvelle technologie engendre toujours de la résistance de la part de l’utilisateur. Cette période de résistance au changement peut être plus ou moins longue. Depuis longtemps, un modèle prédisant si un utilisateur va ou non accepter une technologie existe. Il s’agit du modèle d’acceptation des technologie (Venkatesch, Morris, Davis, & Davis, 2003). Ce modèle, qui a évolué au fils des ans, comprend au moins deux éléments-clés à prendre en compte : la perception que la technologie est utile pour le travail de la personne et la perception que cette technologie sera facile à utiliser. Dans ce cadre, les technologies qui visent à assurer la sécurisation du système d’information sont souvent « mal aimées » et engendrent donc de la défiance. En effet, ces technologies sont souvent perçues comme gênant le travail quotidien (lenteur, procédures contraignantes etc.) et délicates à utiliser (menus avec des noms peu clairs, notamment). Ce modèle s’appliquant à la perception d’une technologie qui va être mise en œuvre, il nous semble important de mener à bien une telle démarche avant de mettre en œuvre une nouvelle solution technologique de sécurité des SI. Selon les résultats de l’étude, une action sur les perceptions pourra alors être mise en œuvre afin de faciliter l’acceptation de la technologie.

[box style=’info’] Proposition managériale n°3d :

Avant de mettre en œuvre une nouvelle solution technologique de sécurité des SI, il convient de mesurer par questionnaire l’acceptation de cette solution par les agents. [/box]

Humain au niveau du groupe

Quand les individus sont en groupe et que l’on veut étudier leur comportement, et notamment, la manière avec laquelle ils apprennent, un cadre théorique émerge vite : celui de l’apprentissage organisation mis en avant par C. Argyris et D. Schon (Argyris, 1999). Ce cadre montre les deux types d’apprentissage : en simple ou double boucle. De manière résumée, l’on peut dire que l’apprentissage en simple boucle vise à créer des routines organisationnelles et à apprendre ces routines, tandis que l’apprentissage en double boucle vise à changer les règles du jeu et à casser les routines pour en mettre en place de nouvelles qui seront ensuite à leur tour démantelées par la suite.

Les collectivités locales, comme d’autres administrations bureaucratiques, suivent les principes mis en évidence par Max Weber il y a près de cent ans. Toutefois, si ces principes apparaissent parfaitement adaptés aux environnements stables, le choc lié aux nouvelles  technologies conduit à repenser les routines organisationnelles et, dans ce cadre, un apprentissage en double boucle s’avère un point de vue pertinent.

[box style=’info’] Proposition managériale n°4 :

La solution doit prendre en compte les routines organisationnelles existantes et les faire évoluer pour qu’elles s’adaptent aux nouvelles solutions technologiques. [/box]

Organisationnel

La recherche sur la résilience d’une organisation face à un choc est assez riche. Un courant émerge ici, celui des « High Reliability Organization » (HRO) que l’on peut traduire par Organisations à Haute Fiabilité (Weick & Sutcliffe, 2007).  Ce courant part du constat que certaines organisations fortement exposées à des risques connaissent moins de défaillances que d’autres. Suite à cette constatation, des équipes de chercheurs ont étudié les dites organisations afin de déterminer les causes de cette résilience. Ce courant s’adapte bien aux organisations de Défense (Lebraty & Pâris, 2013). En effet, ces organisations sont habituées à subir des chocs et des contextes hostiles. Les collectivités locales différant de ce type d’organisation, se pose alors la question de savoir si l’on peut s’inspirer des principales des HRO et les mettre en œuvre dans ce cadre.

Rappelons les cinq principes qui guident ces HRO :

  1. Un souci majeur lié à l’étude des échecs et notamment de ceux qui pourraient être considérés comme anodins et ne portant pas à conséquence.
  2. Une volonté d’éviter les simplifications de situations complexes.
  3. Une sensibilisation forte aux opérations. Ce qui implique que les différents niveaux hiérarchiques ne séparent pas la prise de décision de sa mise en œuvre.
  4. Une volonté de survivre. Les auteurs parlent ici d’engagement pour la résilience, c’est-à-dire le souci de traverser les épreuves et de ne pas se laisser abattre.
  5. Un respect fort de l’expertise. Il s’agit de faire primer l’avis de l’expert.

Les caractéristiques n°4 et n°5 nous semblent bien adaptées. Les caractéristiques n°1 et n°2 peuvent faire l’objet d’un apprentissage par les collectivités et notamment la n°1 qui nous semble relativement aisée à mettre en œuvre. En revanche, la caractéristique 3 nécessite une certaine réorganisation qui n’est pas facile appréhender. Pour compenser cette contrainte, une autre approche peut être mobilisée, il s’agit du courant de l’alignement stratégique (Luftman & Brier, 1999). Il s’agit d’une méthode visant à mettre en cohérence stratégie de l’organisation et stratégie en termes de systèmes d’information. Sans entrer dans un trop important niveau de détails, une telle réflexion (la stratégie de la collectivité est-elle alignée avec celle menée en matière de SI ?) mérite d’être posée.

[box style=’info’] Proposition managériale n°5 :

La solution doit s’inspirer des principes des HRO et vérifier que la stratégie de la collectivité et celle en matière de SI sont alignées. [/box]

Inter-organisationnel

Considérer les collectivités territoriales comme des entités isolées est trompeur. En effet, il existe des relations inter-collectivités territoriales -ne serait-ce que dans le cadre des EPCI- pour la mise en œuvre de projets communs par exemple. Ainsi, plutôt que de voir 36000 collectivités indépendantes, il convient de prendre en compte un niveau inter-organisationnel. Certes les liens ne sont pas forcément forts, mais selon la célèbre démonstration de M.S. Granovetter (Granovetter, 1973), il est établi que les liens faibles jouent un rôle prépondérant dans l’évolution des relations interpersonnelles. Il apparaît, dès lors, pertinent de tenir compte de l’ensemble des liens existant entre collectivités pour œuvrer ensemble à l’élaboration de contre-mesures face à des cyberattaques.

[box style=’info’] Proposition managériale n°6 :

La solution doit tenir compte des liens horizontaux entre collectivités. [/box]

Conclusion

En introduction, nous proposions de répondre à la question suivante : sur quels cadres théoriques peut se fonder la réponse des collectivités locales face à des cyber-attaques ? Arrivé au terme de cette communication, nous avons proposé plusieurs cadres et notamment la théorie du coping ou encore l’apprentissage en double boucle. Ce type de cadre pourrait surprendre le lecteur en quêtes de normes ISO 27000 ou de méthode EBIOS. Bien évidemment ces approches sont utiles et pertinentes. Cependant, elles ne doivent pas faire oublier qu’elles vont s’appliquer à des hommes et des femmes réelles travaillant dans des collectivités territoriales souvent différentes. Prendre en compte ce contexte spécifique implique, selon nous, que les équipes en charge de la Sécurité des SI aient en tête de telles approches. Ensuite, le professionnalisme des agents de l’Etat et la motivation des élus permettront de répondre aux défis et même de saisir de nouvelles opportunités. En effet, des collectivités qui profitent des potentialités des technologies de l’information deviennent des forces de propositions, sources d’innovations territoriales.

Bibliographie

Argyris, C. (1999). On Organizational Learning (2nd ed., p. 560). Boston: Blackwell Publishers.

Février, R., & Raymond, P. (2010). Intelligence Economique et Collectivités Territoriales. Paris. Ellipses, 262 p.

Février, R. (2013). Les Collectivités Territoriales face aux menaces numériques. Gestion et management public, 1(3), 24–39.

Granovetter, M. S. (1973). The strength of weak ties. The American Journal of Sociology, 78(6), 1360–1380.

Hartmann, a. (2008). Les orientations nouvelles dans le champ du coping. Pratiques Psychologiques, 14(2), 285–299. doi:10.1016/j.prps.2008.01.002

Klein, H. K., & Myers, M. D. (1999). A Set of Principles for Conducting and Evaluating Interpretive Field Studies in Information System. Management Information System Quaterly, 23(1), 67–94.

Lazarus, R. S., & Folkman, S. (1984). Stress, appraisal, and coping. New York: Springer.

Lebraty, J.-F., & Pâris, J. (2013). Le fonctionnement en mode dégradé pour les forces consécutif à une cyber-attaque. Défense & Sécurité Internationale, Hors-Série(32), 78–82.

Lemoigne, J. L. (2002). Le Constructivisme, Tome 1. L’Harmattan.

Luftman, J., & Brier, T. (1999). Achieving and Sustaining Business-IT Alignment. California Management Review, 42(1), 109–122.

Park, C. L., Armeli, S., & Tennen, H. (2004). Appraisal-coping goodness of fit: a daily internet study. Personality & social psychology bulletin, 30(5), 558–69. doi:10.1177/0146167203262855

Venkatesch, V., Morris, M. G., Davis, G. B., & Davis, F. D. (2003). User acceptance of information technology: Toward a unified view. MIS Quarterly, 27(3), 425–478.

Weick, K. E., & Sutcliffe, K. M. (2007). Managing the unexpected : resilient performance in an age of uncertainty (2nd ed., p. xii, 194 p.). San Francisco: Jossey-Bass. Retrieved from http://www.loc.gov/catdir/toc/ecip0720/2007024496.html


[1] Le test pourrait être fait dans d’autres administrations publiques et aussi dans nombre d’entreprises privées.