A propos de la Convention Cybersécurité Canton-communes

Via le numéro d'urgence 117 pour l'unité cybercrime de la Police cantonale vaudoise

Si une priorisation des interventions doit être faite, par exemple en cas de cyberattaques simultanées sur plusieurs entités communales, intercommunales et/ou cantonales, le CSIRT analyse les impacts potentiels sur les entités concernées et fixe seul ses priorités d’intervention (exemple de critères d’analyse : type d’attaque, statut de l’attaque, prestations impactées, …).

Pour rappel, le CSIRT travaille sur un principe de subsidiarité en mode "meilleur effort" (ne peut pas sauver une entité qui n'aurait par exemple pas de sauvegarde pour ses données). De plus, tel que précisé au sein de la Convention cybersécurité, le CSIRT est tenu à une obligation générale de moyens dans le cadre de ses prestations. Le CSIRT s’engage bien sûr à s’acquitter de ses obligations avec une diligence, compétence et prudence d’un niveau professionnel.

Oui, toute commune ou association intercommunale peut faire appel à la force d’intervention cantonale CSIRT.

Les prérequis sont à voir comme des activités anticipées permettant en particulier de réduire la probabilité et l’impact sur l’entité victime d’une cyberattaque.

Non, le Canton met à disposition une force d’intervention CSIRT en cas de cyberattaque mais ce n’est pas une obligation pour la commune ou la société intercommunale de l’utiliser.

Le CSIRT propose également un prestataire pour la réponse technique. La commune ou l’association intercommunale peut disposer de son prestataire qui s’intégrera alors au dispositif de gestion de crise.

⚠Le Canton s’attend néanmoins à être principalement contacté en cas de cyberattaques et à coordonner les crises et réponses techniques associées.

En cas de cyberattaque traitée sans l’intervention du CSIRT, ce dernier attend néanmoins des informations sur la gestion de la cybercrise (rapport d’incident) afin de s’assurer du bon traitement des cyberincidents (ex : annonces NCSC et APDI en cas de risque de violation de données).

Computer security incident response team (prononcé C-SIRT), soit l'équipe de réponse aux incidents (cyberattaques) de sécurité du Canton de Vaud. 

Le CSIRT propose la mise à disposition d’une réponse technique d’urgence au travers de prestataires privés locaux en cas de cyberattaque sur une entité communale.

• Le CSIRT finance le contrat mutualisé permettant d’assurer une intervention en support technique et forensique d’urgence auprès de toutes les communes et associations intercommunales vaudoises (Principe d’une assistance à distance 24x7 sous 3h puis sur site 24x7 sous 8h si nécessaire).
• La commune et l’association intercommunale assume les coûts des prestataires privés engagés pour la cyberattaque qui dépend notamment de la durée de leur intervention et des compétences des experts impliqués (le CSIRT intervient en coordination avec l’entité victime dans un souci de réduction optimale de ces coûts).

Tels que définis au sein de la Convention, les principaux prérequis technologiques et organisationnels attendus sont :

• Etablissement d’une cellule de crise communale ou intercommunale intégrant un / des représentants de l’Autorité politique et de l’administration communale en charge de l’informatique ;
• Un point de contact opérationnel cybersécurité avec un suppléant par commune et association intercommunale couverte par cette convention ;
• La définition d’un plan de continuité des activités (PCA) permettant de maintenir, en mode dégradé, les activités critiques de l’entité sans informatique.
• Bonnes pratiques de sécurité et en particulier la prise en compte des 5 mesures de prévention promues par le Centre National pour la Cybersécurité (NCSC) :

1. Sécurisation des accès à distance et authentification forte activée ;
2. Sauvegardes hors ligne ou équivalent ;
3. Gestion des correctifs et des cycles de vie des actifs informatiques ;
4. Blocage des pièces jointes et liens à risque dans les courriels et les flux Internet ;
5. Surveillance régulière des fichiers journaux (logs), en particulier pour les accès à distance, pour identifier dès que possibles des événements anormaux à investiguer.

Au même titre que toutes les autres tâches d’une administration ou d’une association intercommunale, la gestion de la cybersécurité et de la sécurité des informations est de la responsabilités des autorités, respectivement de la Municipalité ou de la direction de l’entité.

Le CSIRT n’est pas responsable de la cybersécurité des communes et associations intercommunales. En sus de son implication pour gérer la crise en cas de cyberattaque, le CSIRT apporte son soutien la mise en place et au développement de mesures de prévention et de protection pour réduire les risques de cyberattaques et leurs impacts (sensibilisation, boite à outils, …).