Convention cybersécurité Canton-Communes

Face aux défis croissants liés à la cybersécurité, la Convention Cybersécurité Canton-Communes vise à renforcer la résilience des collectivités vaudoises en encourageant la collaboration et l’adoption de bonnes pratiques en matière de sécurité informatique.

Objectifs stratégiques :

Promouvoir une culture de la cybersécurité : Créer une culture de la sécurité de l'information au sein des communes et associations intercommunales, où la sécurité est perçue comme une responsabilité partagée par tous les membres du personnel et intégrée dans les processus quotidiens.

Renforcer la résilience cyber des communes et associations intercommunales : Augmenter la capacité des communes à faire face aux cybermenaces en renforçant leurs infrastructures, leurs politiques et leurs pratiques en matière de sécurité de l'information.

Favoriser la collaboration : Encourager la collaboration et l'échange d'informations entre les communes, les autorités cantonales, les partenaires privés et académiques pour mieux appréhender les cybermenaces et coordonner la réponse en cas d'incident.

Table des matières

Objet de la convention : Mise en œuvre d’une force d’intervention cantonale pour soutenir les communes et associations intercommunales dans la lutte contre les cyber risques, contre rémunération de l’Etat (obligation générale de moyens)

Champ d’application de la convention : L’ensemble des 300 communes vaudoises et environ 140 associations intercommunales

Comité de pilotage : Comité opérationnel avec 4 représentants du Canton (avec présidence à la DGNSI) et 4 représentants des communes

Financement : Un financement des membres couvrant les coûts de 2 experts cybersécurité et la mise à disposition d’une réponse technique d’urgence au travers de prestaires privés locaux.

Entrée en vigueur : Signée en juillet 2023, pour un démarrage opérationnel au 1er janvier 2024 et jusqu’à fin 2027 (pour le premier cycle)

Grâce à la signature de la Convention, la force d'intervention cybersécurité cantonale (CSIRT) se dote de deux experts cybersécurité supplémentaires pour compléter l'équipe du Centre opérationnel de sécurité du Canton (SOC).

L'équipe du CSIRT (de l'anglais : Computer Security Incident Response Team) est au cœur de la stratégie de réponse aux cyber-incidents et est soutenue par des spécialistes de la cybercriminalité de la Police Cantonale Vaudoise et des experts en gestion de crise de l'État-major cantonal de conduite (EMCC).

Équipe du CSIRT :

  • S’assurer de la bonne délivrance des prestations contractualisées et proposer une méthodologie pour la délivrance du service aux communes
  • Définir et faire évoluer le service
  • Assurer un suivi des prestations et faire remonter un statut régulier aux membres du COPIL
  • Agir en tant que point de contact privilégié pour tous les échanges liés au service CSIRT
  • Organiser et participer à des évènements pour promouvoir la cybersécurité

Pendant une crise :

  • Gérer le pilotage de la crise
  • Assurer une réponse à incident efficace

  • Mobiliser et superviser les prestataires IRFA (si applicable)

Commune :

  • Gérer son système d’information de la manière la plus diligente possible (y compris en cas d’externalisation des prestations informatiques)
  • S’aligner sur les prérequis sécurité du Centre National pour la Cybersécurité (NCSC) / du Canton
  • Se tenir informé des actualités et des communications du CSIRT
  • Participer à leur bon vouloir aux évènements organisés dans le cadre de la Convention
  • Remonter régulièrement de l’information utile au répondant cybersécurité

Pendant une crise :

  • Autoriser le pilotage de la crise par l’équipe du service CSIRT
  • Prendre les décisions nécessaires à la gestion de crise
  • S’assurer de respecter les exigences légales (annonce à l’Autorité de la protection des données, dépôt de plainte, etc…) 
  • Gérer la communication de crise (communiqué de presse, informations aux employées, etc…)

Répondant(e) cybersécurité :

  • Agir en tant que point de contact privilégié entre la commune et le service CSIRT
  • Collaborer activement aux échanges ou demandes du CSIRT pour les actions à effectuer/implémenter
  • S’assurer de la mise en place des prérequis sécurité du Centre National pour la Cybersécurité (NCSC) / Canton
  • Remonter du feedback au CSIRT sur les besoins identifiés ou les points à améliorer dans les prestations
  • Prendre connaissance des documents fournis par le CSIRT et relayer l’information aux personnes concernées
  • Participer à son bon vouloir aux évènements organisés dans le cadre de la Convention

Pendant une crise :

  • Prendre contact avec le 117 en cas de suspicion d’incident critique (cyberattaque)
  • Annoncer les cyberincidents impactant l’entité ou un de ses prestataires externes au CSIRT
  • Activer la cellule de crise communale
  • Gérer la coordination avec les prestataires IT
 
 

    Cyber-prévention :

    • Formation : Mise à disposition de modules en ligne, d'une formation en présentiel via l'UCV et d'organisation d'exercice de gestion de crise (par exemple CYBER24)
    • Communauté : Organisation d'événement autour de la cybersécurité et renforcement du partenariat public-privé

    Cyber-résilience :

    • Conseils spécialisés : Support à la demande sur des thématiques liées à la cybersécurité
    • Standards minimaux : Création de standards minimaux cybersécurité pour supporter les membres dans leur démarche de sécurité de l'information et leur montée en maturité cyber
    • Veille et alertes : Notifications de vulnérabilités critiques et diffusion de bulletins sur les cyber-menaces

    Cyber-réaction :

    • Intervention 24/7 : Mobilisation du CSIRT via le numéro d'urgence 117
    • Conduite de crise : Pilotage de la crise et méthodologie d'intervention
    • Communication : Accompagnement dans la gestion de la communication interne et externe lors d'un incident
     

    FAQ - Convention

    Rechercher dans les questions

    Questions

    Via le numéro d'urgence 117 pour l'unité cybercrime de la Police cantonale vaudoise

    Si une priorisation des interventions doit être faite, par exemple en cas de cyberattaques simultanées sur plusieurs entités communales, intercommunales et/ou cantonales, le CSIRT analyse les impacts potentiels sur les entités concernées et fixe seul ses priorités d’intervention (exemple de critères d’analyse : type d’attaque, statut de l’attaque, prestations impactées, …).

    Pour rappel, le CSIRT travaille sur un principe de subsidiarité en mode "meilleur effort" (ne peut pas sauver une entité qui n'aurait par exemple pas de sauvegarde pour ses données). De plus, tel que précisé au sein de la Convention cybersécurité, le CSIRT est tenu à une obligation générale de moyens dans le cadre de ses prestations. Le CSIRT s’engage bien sûr à s’acquitter de ses obligations avec une diligence, compétence et prudence d’un niveau professionnel.

    Oui, toute commune ou association intercommunale peut faire appel à la force d’intervention cantonale CSIRT.

    Les prérequis sont à voir comme des activités anticipées permettant en particulier de réduire la probabilité et l’impact sur l’entité victime d’une cyberattaque.

    Non, le Canton met à disposition une force d’intervention CSIRT en cas de cyberattaque mais ce n’est pas une obligation pour la commune ou l'association intercommunale de l’utiliser.

    Le CSIRT propose également un prestataire pour la réponse technique. La commune ou l’association intercommunale peut disposer de son prestataire qui s’intégrera alors au dispositif de gestion de crise.

    ⚠Le Canton s’attend néanmoins à être principalement contacté en cas de cyberattaques et à coordonner les crises et réponses techniques associées.

    En cas de cyberattaque traitée sans l’intervention du CSIRT, ce dernier attend néanmoins des informations sur la gestion de la cybercrise (rapport d’incident) afin de s’assurer du bon traitement des cyberincidents (ex : annonces NCSC et APDI en cas de risque de violation de données).

    Computer security incident response team (prononcé C-SIRT), soit l'équipe de réponse aux incidents (cyberattaques) de sécurité du Canton de Vaud. 

    Le CSIRT propose la mise à disposition d’une réponse technique d’urgence au travers de prestataires privés locaux en cas de cyberattaque sur une entité communale.

    • Le CSIRT finance le contrat mutualisé permettant d’assurer une intervention en support technique et forensique d’urgence auprès de toutes les communes et associations intercommunales vaudoises (Principe d’une assistance à distance 24x7 sous 3h puis sur site 24x7 sous 8h si nécessaire).
    • La commune et l’association intercommunale assume les coûts des prestataires privés engagés pour la cyberattaque qui dépend notamment de la durée de leur intervention et des compétences des experts impliqués (le CSIRT intervient en coordination avec l’entité victime dans un souci de réduction optimale de ces coûts).

    Tels que définis au sein de la Convention, les principaux prérequis technologiques et organisationnels attendus sont :

    • Etablissement d’une cellule de crise communale ou intercommunale intégrant un / des représentants de l’Autorité politique et de l’administration communale en charge de l’informatique ;
    • Un point de contact opérationnel cybersécurité avec un suppléant par commune et association intercommunale couverte par cette convention ;
    • La définition d’un plan de continuité des activités (PCA) permettant de maintenir, en mode dégradé, les activités critiques de l’entité sans informatique.
    • Bonnes pratiques de sécurité et en particulier la prise en compte des 5 mesures de prévention promues par le Centre National pour la Cybersécurité (NCSC) :
    1. Sécurisation des accès à distance et authentification forte activée ;
    2. Sauvegardes hors ligne ou équivalent ;
    3. Gestion des correctifs et des cycles de vie des actifs informatiques ;
    4. Blocage des pièces jointes et liens à risque dans les courriels et les flux Internet ;
    5. Surveillance régulière des fichiers journaux (logs), en particulier pour les accès à distance, pour identifier dès que possibles des événements anormaux à investiguer.

    Au même titre que toutes les autres tâches d’une administration ou d’une association intercommunale, la gestion de la cybersécurité et de la sécurité des informations est de la responsabilités des autorités, respectivement de la Municipalité ou de la direction de l’entité.

    Le CSIRT n’est pas responsable de la cybersécurité des communes et associations intercommunales. En sus de son implication pour gérer la crise en cas de cyberattaque, le CSIRT apporte son soutien la mise en place et au développement de mesures de prévention et de protection pour réduire les risques de cyberattaques et leurs impacts (sensibilisation, boite à outils, …).

    Partager la page

    Partager sur :