Depuis l’essor du télétravail et l’entrée en vigueur de la Loi 25 sur la protection des renseignements personnels, les Municipalités sont de plus en plus conscientes de l’importance d’adopter des mesures rigoureuses en matière de cybersécurité. Si le risque zéro n’existe pas, le spécialiste en cybersécurité Jean-Philippe Racine, président du Groupe CyberSwat, rappelle qu’il est néanmoins possible de mettre en place des mécanismes efficaces afin de limiter les conséquences d’un incident.
Les attaques visant les organisations publiques et parapubliques se multiplient et font régulièrement les manchettes : vols de données, paralysie de services essentiels, demandes de rançon. Mais un incident de cybersécurité est-il nécessairement synonyme de négligence ? Pas toujours. La sécurité absolue n’existe pas. Chaque jour, au Québec, des brèches surviennent, qu’elles impliquent ou non des renseignements personnels. Une organisation peut avoir implanté de bonnes pratiques et être tout de même touchée. L’enjeu n’est donc pas uniquement d’éviter l’incident, mais aussi d’en réduire les impacts.
Comment les organisations municipales peuvent-elles se protéger ?
La première étape consiste à identifier clairement les risques et les menaces liés à leurs activités, puis à déployant des mesures adaptées. Une Municipalité qui met en place des contrôles de sécurité, des protocoles de protection des données et des plans d’intervention réduit non seulement les probabilités d’incident, mais aussi son ampleur en cas de compromission. Par exemple, la limitation des accès aux données sensibles ou la segmentation des systèmes peut restreindre la portée d’une attaque et en faciliter la gestion.
Quels sont les principaux risques pour une administration municipale ?
Ils varient selon la taille de l’organisation, ses infrastructures numériques et ses responsabilités locales. Une grande ville ne présente pas les mêmes vulnérabilités qu’une petite municipalité. De plus, la nature des services offerts – gestion de l’eau, transport, urbanisme, taxation, archives citoyennes, etc. – influence le niveau de criticité des systèmes et des informations à protéger.
Pour établir des priorités, il faut d’abord évaluer la valeur stratégique des données et des systèmes, puis estimer les conséquences d’un bris de disponibilité, d’intégrité ou de confidentialité. Que se passe-t-il si l’accès aux données opérationnelles est interrompu ? Si des renseignements sont modifiés ou divulgués ? Cette analyse permet de dresser un portrait des principaux risques à surveiller au sein de l’organisation et d’orienter les efforts de protection.
Existe-t-il des cadres de référence en sécurité de l’information ?
Oui. Les normes ISO 27001 et ISO 27002 constituent des références reconnues pour structurer les pratiques organisationnelles en sécurité de l’information. Elles reposent sur une approche d’amélioration continue, la mise en place de contrôles appropriés et leur suivi régulier.
Toutes les organisations n’ont pas nécessairement besoin d’obtenir une certification ISO. Toutefois, ces normes demeurent de précieux guides pour orienter les décisions, structurer les démarches et justifier les investissements auprès des gestionnaires et des élus. Elles permettent également de démontrer que les actions entreprises s’appuient sur des standards reconnus.
Les organisations municipales sont-elles suffisamment sensibilisées ?
Les dernières années ont contribué à faire progresser la vigilance, notamment en raison du télétravail, de l’augmentation des tentatives d’intrusion et du resserrement des obligations légales. Toutefois, la cybersécurité exige un engagement continu qui repose autant sur la formation et la sensibilisation du personnel que sur l’allocation de ressources financières adéquates pour soutenir les projets technologiques.
Les ingénieur·e·s et les gestionnaires municipaux qui participent à la planification des infrastructures, à la mise en œuvre de systèmes numériques et à la gestion des services publics et des infrastructures critiques doivent désormais intégrer la cybersécurité à leurs initiatives.
Envie de renforcer la résilience de votre organisation face aux cybermenaces ? La formation Démystifier la cybersécurité : le top 10 des risques et menaces propose un cadre concret pour mieux comprendre les enjeux, établir des priorités et agir efficacement.