Selon une étude publiée récemment par l’éditeur Harfang Lab, 37 % des collectivités territoriales ont déjà été victimes d'une ou plusieurs attaques informatiques. Et près d’un tiers d’entre elles s’estiment en retard sur le sujet. Le département du Tarn fait partie des collectivités ayant pris le problème à bras le corps. Il dispose déjà d’un dispositif de cybersécurité robuste, mais a annoncé sa décision de le renforcer encore en intégrant la solution NDR (Network Detection & Response) de Custocy.
« Pour l'instant, nous ne nous en tirons pas trop mal, nous avons déjà enregistré quelques attaques mais jamais connu de périodes d'indisponibilité de notre SI », explique Paul Charrière, DSI du conseil départemental. L’attaque la plus marquante a sans doute eu lieu lors de la création de la ZAD de Sivens, pendant la contestation du projet de barrage (en 2015). « Cela nous avait mis un petit coup de fouet à l’époque et nous avions alors décidé de relever notre niveau de sécurité, notamment en matière de pare-feu, de cloisonnement réseau, et de gestion des droits », poursuit Paul Charrière, « nous avions ensuite installé des solutions EDR (Endpoint Detection & Response, ndlr), mais nous sentions qu’il y avait encore un trou dans la raquette au niveau de la détection interne ».
Les algorithmes d’IA ont appris le fonctionnement du réseau pendant plusieurs mois
Précisément, le département redoutait de ne pouvoir détecter un attaquant cherchant à mettre en place dans son réseau un canal de communication avec l’extérieur, dans l'objectif de réaliser ultérieurement des opérations à bas bruits. « Notamment des élévations de privilèges visant à attraper des identifiants, afin de pouvoir ensuite se latéraliser, se déplacer dans le réseau », détaille Paul Charrière, « bien sûr, ce type d’attaques génère tout de même des comportements un peu anormaux mais ceux-ci passent le plus souvent sous les radars ».
Un POC a donc été initié fin 2023 avec Custocy qui dispose pour ce type de problématiques d’une solution de détection d’intrusion réseau s’appuyant sur l’IA. Les algorithmes ont appris le fonctionnement du réseau pendant plusieurs mois avant de commencer à déceler les petites variations dues à des activités inhabituelles.
« À l’issue de ce POC, nous avons décidé de retenir la plateforme Custocy, qui est vraiment complémentaire de l’ensemble des solutions de cybersécurité déjà implémentées », indique Paul Charrière. Et le conseil départemental ne compte pas s'arrêter en si bon chemin. Il travaille désormais sur le sujet de la gestion de crise et de la résilience, notamment avec l’éditeur Armoring. Parallèlement, le département avance sur sa mise en conformité avec la directive européenne NIS 2 qui renforce le niveau d’exigence demandée aux collectivités territoriales (entre autres) en matière de cybersécurité.