Comme prévu dans la convention, la nouvelle force d’intervention cybersécurité est active depuis le 1er janvier 2024 et intègre deux nouveaux experts au sein du Centre opérationnel de sécurité (SOC) du canton. Voici tout ce que vous devez savoir sur ce nouveau service CSIRT.
Le périmètre du service CSIRT
Créé pour mettre en application la convention cybersécurité qui unit le canton, les communes et les associations intercommunales (ci-après résumées par les communes) dans leur lutte conjointe contre les cybermenaces, le service CSIRT (pour Computer Security Incident Response Team) vise aujourd’hui à couvrir les six domaines d’activités illustrés dans le schéma ci-dessous.
Formation
A. Des vidéos de sensibilisation et des modules e-learning sont mis à disposition sur notre site internet : vd.ch/cybersecurite, puis sur la page Collectivités > Ressources de sensibilisation et de formation. Vous pouvez utiliser librement ces contenus de formation pour vos collaborateurs·trices.
B. Le service CSIRT collabore avec l’UCV, dès maintenant, pour proposer une nouvelle journée de formation cybersécurité le jeudi 21 novembre 2024. Inscrivez-vous sans plus tarder : ucv.ch/formations.
Veille cybersécurité
C. L’exploitation de vulnérabilités IT par les cybercriminels demeure un vecteur d’attaque majeur. Si ce n’est pas encore fait, téléchargez l’application mobile « Cybersécurité Vaud » par laquelle le service CSIRT annonce les vulnérabilités les plus critiques. Certaines communes bénéficient également d’alertes personnalisées par l’intermédiaire du répondant cybersécurité, en cas de détection par le SOC. Un grand nombre de cyberattaques peuvent être évitées en installant rapidement les correctifs de sécurité et les mises à jour nécessaires.
D. Pour mieux comprendre l’évolution des cybermenaces, nous vous invitons à consulter régulièrement « la revue mensuelle des cybermenaces » publiée sur notre site internet et sur l’application mobile. C’est une bonne opportunité de se tenir informé·e des actualités internationales et suisses, ainsi que des nouvelles méthodes d’attaque.
Communauté cybersécurité
E. Un des buts premiers de la convention cybersécurité est de mutualiser les efforts pour construire un « monde numérique » plus sûr. Le service CSIRT vise à créer une communauté locale mettant en relation les répondants cybersécurité et le tissu économique vaudois pour répondre aux besoins spécifiques des communes.
F. L’organisation d’événements offrira une plateforme propice aux acteurs du monde économique, aux représentants des communes et aux répondants cyber de se rencontrer, de collaborer et de tirer profit des connaissances et des expériences mutuelles, afin de créer un réseau professionnel solide.
Renforcement cybersécurité
G. La convention vise non seulement à renforcer la préparation en cas de cyberattaque mais surtout à réduire ce risque en améliorant le niveau de maturité cyber des communes. Le service CSIRT souhaite guider les communes dans leur démarche de sécurité de l’information grâce à la mise à disposition de standards minimaux pour faciliter l’implémentation de contrôles de sécurité efficaces.
H. L’équipe du CSIRT se tient à la disposition des communes pour les accompagner et les conseiller dans leur démarche de sécurité de l’information ainsi que pour les renseigner sur les activités du service.
Réponse à incident
I. Gérer une cybercrise ne s’improvise pas et représente un élément déterminant pour rétablir le plus rapidement possible l’état normal, tout en minimisant l’impact pour la commune victime. Le CSIRT se tient prêt à accompagner la commune dans sa gestion de crise, en coordonnant simultanément la réponse technique à incident, les actions pour la continuité des activités critiques et la dimension essentielle qu’est la communication de crise.
J. La réponse technique d’un cyberincident requiert l’application d’une méthodologie rigoureuse visant à minimiser l’impact et à préserver les traces numériques pouvant être nécessaires lors de procédures judiciaires. Le CSIRT se tient à disposition pour coordonner tactiquement les opérations avec le soutien d’experts privés pré-contractualisés.
K. Afin de ne pas être paralysé lors d’une cyberattaque, il est primordial que chaque commune prépare son plan de continuité des activités critiques. Il s’agit de se poser les bonnes questions avant qu’une crise arrive. Notamment, quelles activités critiques faut-il absolument maintenir pendant une crise ? Quels sont les prérequis pour maintenir ces activités en termes de matériel IT, de logiciels, mais également de données ?
Pilotage
L. Selon la convention, une réunion officielle avec le comité de pilotage (COPIL) est organisée deux fois par année. Le comité de pilotage est
représenté par quatre membres du canton et quatre membres des communes. Le premier COPIL aura lieu le 28 juin prochain. Pour le démarrage, des réunions de synchronisation complémentaires trimestrielles ont été mises en place.
Qu’est-ce qui est attendu des communes et associations intercommunales ?
- Gérer son système d’information de la manière la plus diligente possible, y compris en cas d’externalisation des prestations informatiques ;
- Assimiler les enjeux liés à la sécurité de l’information et mettre en place les bonnes pratiques pour respecter une certaine hygiène informatique ;
- Se tenir informé des actualités du CSIRT et participer autant que possible aux événements organisés ;
- Remonter régulièrement de l’information utile au répondant cyber.
Et plus spécifiquement du répondant cybersécurité ?
- Agir en tant que point de contact privilégié entre la commune et le CSIRT ;
- Collaborer activement aux échanges ou demandes du CSIRT pour les actions à effectuer ;
- Prendre connaissance des documents fournis par le CSIRT et relayer l’information aux personnes concernées dans son organisation ;
- Collecter et faire des retours au CSIRT sur les besoins identifiés ou les points d’amélioration.
Quels sont les travaux en cours du service CSIRT ?
L’équipe CSIRT est en train de travailler sur les éléments suivants :
- Un document de gouvernance du service CSIRT détaillant les objectifs, le périmètre et les rôles et responsabilités des différentes parties prenantes ;
- Une réflexion autour du suivi des vulnérabilités pour les communes ;
- Une amélioration des processus de réponse à incident avec la création d’une procédure spécifique pour les communes ;
- Des présentations des activités du CSIRT, par exemple aux syndics et préfets du canton ;
- Un exercice de gestion d’une cybercrise qui aura lieu le jeudi 5 décembre prochain. Les informations suivront pour les inscriptions des communes volontaires ;
- Un questionnaire à destination des communes pour une première récolte d’informations afin de sonder plus précisément leurs besoins et attentes vis-à-vis du CSIRT.
En conclusion, à l’heure où la digitalisation imprègne tous les aspects de notre société, la prise de conscience liée aux cybermenaces est devenue incontournable ! En restant vigilants, informés et en adoptant des pratiques de sécurité minimales, nous avons le pouvoir de renforcer notre résilience collective contre les défis cyber d’aujourd’hui et de demain.
Les informations essentielles à retenir
- Appelez le 117 en cas de cyberattaque ou de suspicion
- Téléchargez l’application mobile « Cybersécurité Vaud »
- Consultez régulièrement notre site internet : vd.ch/cybersecurite
- Prenez contact avec le CSRIT pour toutes vos questions (hors crise) : csirt@vd.ch
Article rédigé par Fiona Ponzo, Experte cybersécurité, responsable communes pour le CSIRT.