SIGMAG - N°39 - Décembre 2023 - 16

ENQUÊTE
de Bolbec (11.422 habitants). Il
insiste sur plusieurs points essentiels et
pistes d'amélioration. En commençant
par l'impératif d'une prise de conscience
du risque et des impacts sur la durée
pour les élus et les techniciens : « non,
ça n'arrive pas qu'aux autres et non,
on ne tourne pas un bouton et c'est
reparti » ! Parmi les axes d'amélioration
suggérés : disposer de procédures, plans
de reprise autant en interne qu'avec les
services de l'État, pour pouvoir rétablir
rapidement les flux de gestion financière
et autres téléprocédures. Cédric Grenet,
invite aussi à réaliser des exercices de
crises conjointement avec l'ensemble
des acteurs et à prévoir un budget
« cyber » qui permette de pérenniser les
ressources techniques et humaines qui
s'avèrent essentielles pour faire face à
ce type d'événements de plus en plus
courants.
PROTÉGER ET SÉCURISER
En ef fet, avec la prolifération des
ser v ice s en l igne, en par t ic ul ier
du SaaS et l' interdépendance des
systèmes d'information, les points
d'entrée se sont multipliés. « Les SI
des entreprises sont généralement
bien protégés, confie Thomas Lejars.
Mais le Cloud est un véritable Far West,
qui offre la possibilité d'ouvrir des
comptes un peu partout pour tenter
de s'infiltrer dans une organisation ».
Les développements réalisés sur des
progiciels ou des plates-formes peuvent
être détournés et un contrôle qualité est
indispensable. Chez arx iT, qui mène
de nombreux projets autour des SIG,
David Beni constate une évolution très
nette dans les exigences de ses clients,
obligeant l'entreprise à s'adapter.
« En cinq ans, les choses ont évolué
drastiquement, affirme le fondateur et
dirigeant. Nous avons de plus en plus
de projets avec audit de code. Parfois,
les clients demandent à une société
tierce de vérifier la vulnérabilité de
nos développements avant le moindre
déplo iement ». Ces cont rôleu r s
cherchent les failles, les portes d'entrée :
un mot de passe stocké, pas de doubles
identifications, ouverture de mauvais
ports sur le réseau... L'entreprise doit
aussi accepter des audits. « Le client
peut se présenter dans nos bureaux
pour y vérifier la gestion des accès
au bâtiment, demander à regarder
la messagerie, les habilitations du
personnel... » Dans d'autres cas, les
MONTER UNE RED TEAM GEODATA
Le Red Teaming est une pratique consistant à tester la sécurité des systèmes en
essayant de les attaquer. L'objectif principal de cette initiative, lancée en avril
2023 sur la plate-forme Discord, est de faire se rencontrer les communautés
francophones de la géomatique et du hacking pour explorer ensemble des
scénarios stratégiques et opérationnels. Il s'agit d'ouvrir des opportunités pour
les développeurs dans les nombreux secteurs d'activités du génie géomatique
et faire monter en compétence les géomaticiens.
Une autre ambition est de créer des équipes de pentesting spécialisées dans les
SIG. Cette technique (contraction de penetration testing) consiste à chercher les
points d'entrée, les vulnérabilités des systèmes.
La Red Team va exploiter ces résultats pour tenter de pénétrer en profondeur le système et atteindre une cible,
qui servira de preuve d'atteinte. À l'origine de ce projet se trouve Pierre François Blin, fondateur de BCBGéo,
passionné de géomatique et de cybersécurité. Après plusieurs expériences professionnelles dans les SIG,
il a décidé de faire une pause pour réaliser une thèse pluridisciplinaire sur ses deux sujets de prédilection.
Encadré par l'École Navale de Brest et Mines Telecom Atlantique, ce travail est mené en partenariat avec
l'Université Gadjah Mada en Indonésie où Pierre François a noué des contacts. Ce pays est particulièrement
sensibilisé aux questions de cybersécurité, notamment suite à l'attaque d'une des principales banques du
pays. Il lui donne l'occasion d'aborder en particulier des questions sur la protection des données relatives
à la propriété (Land Registry) en simulant les effets d'opérations telles que la déformation du bornage, la
distorsion des limites. En effet, de telles actions (ne serait-ce que sur quelques mètres de décalage) pourraient
avoir des incidences économiques énormes. La règle du jeu pour cette Red Team Geodata est donc celle de
l'imagination, de l'anticipation : il faut se mettre dans la peau des Hackers et ne négliger aucune piste, ouvrir
toutes les portes de la géomatique pour savoir comment la sécuriser...
16
Utilisation d'ArcGIS
Insight pour mettre
en évidence les
cyberattaques à
partir de l'adresse
IP des Hackers et de
leurs cibles.
développeurs doivent travailler dans les
bureaux du client ou avec du matériel
mis à disposition et sécurisé. Pour une
ESN de taille moyenne comme arx iT,
c'est un gros investissement et une
démarche forcément coûteuse, mais
elle s'avère très vertueuse. « Avec la
certification ISO 27001 qui impose
à toute organisation de ne travailler
qu'avec des sous-traitants également
certifiés, tout le monde doit s'aligner et
par effet domino tous les fournisseurs
sont impactés... la sécurité y gagne »,
reconnait David Beni.
En mat ière de c ybersécuri té, de
l 'admini s t rateur à l 'ut i l i sateur en
passant par les développeurs, chacun
doit avoir conscience que la moindre
erreur, la moindre faille, peut avoir
des conséquences. Ces nouvelles
responsabilités supposent un degré
de connaissance qui passe par des
formations et des mises en œuvre très
pratiques. Il faut aussi élargir le champ
des risques, considérer la sécurité dans
son ensemble, et dans ce cadre le SIG
et les Données Géolocalisées ont un
rôle essentiel. Comme le fait remarquer
Gabriel Vatin au Dépar tement des
Alpes-Maritimes : « après avoir essuyé
les tempêtes Alex et Aline, subi les
effets du Covid, notre cyberattaque
de fin 2022 montre combien les SIG
peuvent nous manquer en situation de
crise. Plus question de se connecter sur
Internet pour trouver des informations
vitales ! Travailler en mode dégradé
revient à imaginer des situations où
l'on a besoin de savoir de quel matériel
on dispose et /ou de connai t re la
localisation des agents, des sites à
secourir, des accès... Il faut se mettre en
capacité de répondre à des situations
totalement off line : prévoir des solutions
sur des portables, avec un cliché de la
base de données qui puisse fournir les
informations essentielles. Même avec
une semaine de décalage elles resteront
très utiles ». Un enseignement à tirer
pour mieux se préparer à répondre à
une nouvelle crise ! MICHEL BERNARD

SIGMAG - N°39 - Décembre 2023

Table des matières de la publication SIGMAG - N°39 - Décembre 2023