Accueil Revues Revue Numéro Article

Gestion et management public

2013/1 (Volume 1/n°3)

  • Pages : 64
  • DOI : 10.3917/gmp.003.0024
  • Éditeur : AIRMAP

ALERTES EMAIL - REVUE Gestion et management public

Votre alerte a bien été prise en compte.

Vous recevrez un email à chaque nouvelle parution d'un numéro de cette revue.

Fermer

Article précédent Pages 24 - 39 Article suivant

Introduction

1

Les collectivités territoriales sont des entités multidimensionnelles, parties prenantes des évolutions de la société dans son ensemble et de l’environnement économique. Les élus locaux étant devenus les dépositaires d’attentes souvent divergentes -voire antagonistes- ils demeurent, plus que jamais, les garants de l’intérêt général, ce qui les contraint à une quasi-obligation de résultat, relativement à un impératif de développement harmonieux du territoire dont ils ont la charge. Or, depuis une dizaine d’années, ces territoires sont soumis à des mutations sans précédent sous l’influence conjuguée d’évolutions sociétales majeures et de restrictions budgétaires dont l’impact simultané obligent les élus locaux à revoir en profondeur leurs processus de management ainsi que leur approche de l’environnement extérieur au travers, notamment, d’un recours accrue aux traitements informatisés de données. De surcroît, cette nécessaire évolution se trouve encore catalysée par la volonté de l’Union Européenne de favoriser le développement des territoires, au travers du rapprochement entre les citoyens et les instances locales.

2

Bien que le concept de Système d’Information (SI) existe depuis longtemps a véritablement commencé à être formalisé à la suite des travaux de chercheurs comme H.A. Simon (1960). Puis, à partir des années 90, les problématiques liées aux SI devinrent un thème majeur des sciences de gestion, notamment à partir de l’ouvrage de M.S. Scott Morton (1991). De nombreuses définitions ont été proposées et peuvent globalement être résumées de la manière suivante : « Ensemble des moyens, des modèles et des méthodes, destinés à assurer, dans une organisation, le stockage, le traitement et la circulation des données, informations et connaissances dans le but d’aider à prendre des décisions » (Lebraty, 2007).

3

Pour autant, le management SI au sein des collectivités territoriales constitue un champ de recherche largement inexploré alors même qu’elles représentent un cas assez particulier de regroupement de très grandes quantités de données à caractère personnel et que l’ensemble des compétences dorénavant exercées, que se soit en matière de simplification administrative (« e-administration »), de démocratie participative (« e-démocratie »), ou encore d’optimisation de la commande publique (dématérialisation des appels d’offres), les obligent à mettre en place de multiples traitements informatisés spécifiques, souvent sans réfléchir à leur nécessaire étanchéité.

4

Cette utilisation chaque jour plus étendue des SI par les collectivités territoriales conduit assez naturellement à s’interroger sur le niveau de prise en compte du risque numérique par ces dernières : comment assurent-elles la sécurité des données numériques qui leur sont ainsi confiées et dont le traitement constitue dorénavant une part prépondérante de leur activité quotidienne ? Eu égard à l’importance des collectivités territoriales dans l’organisation administrative française et de leur rôle croissant en matière de valorisation économique et d’aménagement du territoire, la question de la sécurisation de leurs SI paraît d’autant plus pertinente qu’il n’existait, jusqu’alors, aucune recherche académique en sciences de gestion traitant spécifiquement de ce sujet, alors même que les attaques informatiques contre les collectivités connaissent un accroissement régulier (rien que durant le mois d’août 2012, les portails Internet de trois communes situées respectivement dans l’Ain, la Drôme et l’Oise ont été pénétrés et dénaturés).

5

On assiste aujourd’hui à l’émergence d’un phénomène nouveau en termes d’attaques numériques. En effet, si les sites des grandes agglomérations sont de plus en plus souvent attaqués, il ne semble plus pertinent d’établir une dichotomie entre les attaques selon le seul critère d’importance de la collectivité : des communes et Etablissements Publics de Coopération Intercommunale (EPCI) de taille modeste en font désormais les frais, à l’image de la ville de Gaillac (81) ou du village de Croisilles (62).

6

Fondé sur la première étude longitudinale spécifiquement menée sur le sujet auprès d’un échantillon représentatif de collectivités territoriales d’une région déterminée : le Nord-Pas-de-Calais, notre travail se structurera autour de deux parties : après avoir, dans un premier temps, mis en évidence la réalité des menaces numériques auxquelles sont dorénavant confrontées les collectivités territoriales et exposer le cadre conceptuel de notre étude, nous présenterons notre enquête de terrain et les résultats de notre analyse.

1 - La gestion des risques numériques

1.1 - Du « Risk-management » aux risques numériques

7

La gestion des risques numériques est un sous ensemble d’une théorie plus vaste de la gestion des risques (Risk-management) qui a fait son apparition à la fin des années 1950 aux États-Unis dans le domaine financier, en relation avec des questions assurantielles (Dubois, 1996).

8

En l’absence de définition académique unanimement acceptée relativement à la notion de risk-management, on peut se référer à la définition de l’International Standardization Organisation (ISO), dans le cadre de son guide ISO 73 :2009 et selon laquelle le celle-ci correspond à l’ensemble « des activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du risque », le risque étant entendu comme « l’effet de l’incertitude sur l’atteinte des objectifs ». Cette définition pour le moins étendue se justifie par le fait qu’à l’image des scénarios des crises actuelles, le concept de risque franchit allègrement les frontières interdisciplinaires (Larkeche, 2011) : alors qu’on le cantonne trop souvent à la finance, il traverse le champ de la philosophie, de l’économie comme des techniques. Il intéresse également l’anthropologie, la sociologie et le droit. Il concerne aussi bien l’individu que la société, la nature et les activités humaines. Il en découle une profondeur et une complexité difficiles à appréhender, illustrées par exemple par les liens malcommodes à dénouer entre risques naturels et risques liés aux activités humaines. Le concept de risque varie également dans le temps et l’espace, d’où l’intérêt d’une histoire du risque considéré et de ses liens avec le territoire (Allard, 2000).

9

Alors que l’importance de la Sécurité des Systèmes d’Information (SSI) est reconnue depuis une dizaine d’années comme faisant intégralement partie des problématiques de sécurité économique (Bournois & Romani, 2000), le livre blanc sur la défense et la sécurité nationale publié le 17 juin 2008 [2][2] http://lesrapports.ladocumentationfrancaise.fr/BRP... a élevé, pour la première fois, la potentialité d’une cyberattaque au rang de risque majeur à l’encontre des infrastructures nationales françaises pour les quinze prochaines années. Il a également été l’occasion de souligner la nécessité, pour le pays, de se doter des moyens d’identifier les menaces potentielles et de les contrer. Afin de mener à bien cette mission, un nouvel organisme gouvernemental à été créé par le décret n°2009-834 du 7 juillet 2009 [3][3] http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000020828212&dateTexte... : l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

10

Si le niveau réel de préjudice subit par les organisations victimes d’attaques informatiques demeure encore excessivement difficile à chiffrer, force est de constater que ce type de criminalité connait une croissance soutenue et qui ne fera qu’augmenter à mesure que les criminels prendront conscience de la différence de traitement judicaire et l’échelle des peines existant entre un délit commis « physiquement », avec ou sans violence et l’atteinte à un SI encore bien moins lourdement sanctionné.

11

Alors que, par le passé, les intrusions d’origine externe étaient surtout le fait de pirates isolés agissant, avant tout, par goût du défi et ne portaient qu’un préjudice relatif aux SI pénétrés, on assiste, depuis quelques années, à une montée en puissance du cyberdélinquant dont le but est véritablement de porte atteinte à l’intégrité des données des organisations cibles. On peut citer, à ce titre, certains pirates ou groupes de pirates dont l’action de pénétration des systèmes et de destruction des données se place, avant tout, dans une perspective d’activisme sociétal et dont les désormais célèbres "Anonymous" ne constitue qu’une faible part. Les hackers sont les bras armés de ces nouvelles formes de menaces : ils ont accès à l’ensemble des moyens et connaissances techniques (Filiol, 2011). Ce nouveau type d’attaque vise avant tout à dégrader l’image d’une institution ou d’une entité économique dont l’action est jugée inadéquate. Cela peut se traduire, dans les faits, par des dysfonctionnements majeurs au sein des SI attaqués, pouvant aller jusqu’à leur indisponibilité complète et vol de données.

1.2 - La Sécurité des Systèmes d’Information

12

Avant d’évoquer la gestion des risques relatifs aux systèmes d’information, il convient de définir un certain nombre de thèmes relatifs à la réalité de la SSI et notamment les notions de vulnérabilités et de menaces, pour finir par les multiples risques pesant sur les SI. Le concept de vulnérabilité est directement lié à celui de sécurité des SI. Il est possible de dire qu’une vulnérabilité est une faille potentielle qui, si elle est exploitée de manière volontaire ou involontaire, met en péril la sécurité du SI. (Patel, Graham, & Ralston, 2008).

Vulnérabilités

13

Les SI, à l’image de n’importe quel autre système humain ou conçu par l’Homme, sont vulnérables et le danger provient de failles techniques que l’attaquant va rechercher et exploiter afin de pénétrer le réseau et compromettre son bon fonctionnement, voire y corrompre les données stockées. Cette notion de vulnérabilité est fondamentale car elle rappelle qu’en parallèle des apports dorénavant incontestés des SI en matière d’organisation, d’aide à la décision et de création de valeur, ces derniers ont connu une exposition nouvelle à des menaces jusqu’alors inconnues. On peut schématiquement classer les fragilités d’un SI selon une dichotomie simple mais pertinente : les vulnérabilités techniques et les vulnérabilités humaines.

14

Les vulnérabilités techniques relèvent, le plus souvent, soit d’un manque de rigueur dans la conception initiale du SI, soit d’une absence de prise en compte globale de la SSI par inconscience des risques encourus ou souci d’économie, ou encore d’un manque de compétences, qu’elles soient d’ordre interne ou externe (sous-traitance).

15

Les utilisateurs, quel que soit leur niveau hiérarchique, peuvent également être source de menaces pour l’intégrité du SI et des données contenues. Dans ce cas, c’est le comportement du collaborateur qui va être à l’origine des problèmes. Or, ce qui se traduisait, naguère, par de la négligence relativement à la nécessité de préserver les informations confidentielles de l’organisation, devient de plus en plus problématique du fait de la conjonction de trois événements majeurs : l’augmentation des matériels et moyens de communication mise à disposition des collaborateurs, l’accroissement sensible des menaces et enfin la montée en puissance des réseaux sociaux.

Menaces

16

A image de n’importe quel autre actif d’une organisation, les SI peuvent faire l’objet de menaces particulières, c’est-à-dire d’événements susceptibles de porter atteinte à leur fonctionnement ou à l’intégrité des données. Ces menaces font l’objet de nombreuses classifications fondées notamment sur leur origine ou leur impact final sur le SI. Nous établirons, à ce propos, une distinction simple et qui nous semble pertinente relativement à la nature des nouveaux risques pesant sur les systèmes d’information. Nous distinguons donc les menaces en fonction de l’existence potentielle d’un élément intentionnel sous-jacent.

Menaces à caractère non-intentionnel

17

Les menaces à caractère non intentionnel peuvent globalement se scinder en deux catégories : les accidents et les erreurs.

18

Les accidents sont la conséquence de risques extérieurs a l’organisation en elle-même, par exemple un incendie, une pollution ou un phénomène climatique majeur comme une inondation, une secousse sismique ou une tornade : dans l’ensemble de ces cas les dégâts induits peuvent s’avérer considérables.

19

Les erreurs, quant à elles, peuvent trouver leur origine dans une mauvaise manipulation des outils (matériels ou logiciels), de l’information elle-même (mauvaise manipulation, non-respect des procédures de sauvegarde…), de pannes ou de dysfonctionnements dans la gestion quotidienne du SI (perte brutale d’alimentation électrique, câblage défectueux…). Ces dysfonctionnements peuvent également avoir une origine externe, notamment en cas de mauvais choix des sous-traitants.

Menaces à caractère intentionnel

20

Les menaces d’ordre intentionnel sont essentiellement dûes à de la malveillance. Cette dernière pouvant s’envisager au travers d’une subdivision simple liée à son origine : interne ou externe.

21

Concrètement, la malveillance d’origine interne peut prendre deux formes : la destruction ou le vol de données. La destruction de données relève le plus souvent d’un passage à l’acte suite à un sentiment de jalousie ou d’aigreur vis-à-vis d’un collègue que l’on cherche à mettre en difficulté, ou encore à une volonté de vengeance vis-à-vis de l’organisation suite à une décision perçue comme injuste (avertissement, licenciement…). L’impact de cette menace sera d’autant plus grand selon que la personne qui en est à l’origine dispose d’un accès plus ou moins large au SI et en maîtrise le fonctionnement.

22

Le vol de données, quant à lui, ne vise pas le même objectif. Il ne s’agit pas, ici, d’une attaque directe contre l’organisation, mais plutôt de la volonté de monnayer des informations stratégiques susceptibles de faire l’objet d’une revente avec profit à des concurrents ou des parties prenantes. Ce genre de procédé, directement inspiré de l’espionnage économique, peut gravement nuire à l’entité : qu’elles soient publiques ou privées, toutes les structures disposent de données sensibles dont le traitement est inhérent à leur activité quotidienne.

23

La malveillance origine externe, quant à elle, a considérablement évolué au cours des dernières années. Alors qu’il y a encore cinq ou dix ans, cette dernière se limitait à la volonté de nuire à l’organisation, on assiste aujourd’hui à l’émergence de nouvelles motivations, ainsi qu’à de nouveaux profils d’attaquants. Les cibles, les méthodes, les vecteurs et la personnalité des attaquants ont évolué. On est passé d’une très large majorité de pirates solitaires cherchant à prouver leurs compétences informatiques à une palette beaucoup plus large englobant également des organisations criminelles de type mafieuses, des officines payées par la concurrence, des services de renseignement étrangers, ou encore des activistes politiques. La mutation de cette forme de délinquance conduit à un accroissement des menaces auxquelles sont confrontés les DSI, ainsi qu’à un élargissement de l’assiette des cibles attaquées.

Impact

24

La mesure des atteintes aux systèmes d’informations est une question excessivement difficile à aborder, car les vecteurs utilisés sont emprunt d’une telle diversité qu’il est très difficile d’évaluer, a priori, les conséquences d’une d’attaque sur le service rendu par le SI ou sur le système lui-même. La mesure de cet impact prend compte trois paramètres potentiels de nature très différente et une connaissance parfaite de ces derniers s’avère indispensable pour véritablement mesurer l’impact sur l’intégrité du SI. Il s’agit, d’une part, d’avoir connaissance d’une attaque, ce qui n’est pas toujours évident et de connaître, d’autre part, l’ensemble des données ayant fait l’objet d’un vol ou d’une compromission et, enfin, de mesurer avec précision les conséquences de cette dégradation ou de ce vol sur le SI lui-même et sur l’activité de l’organisation.

25

En ce qui concerne le premier point, on se heurte souvent à la volonté de l’organisation de dissimuler le préjudice, ou, dans le meilleur des cas, de le minimiser. En effet, les dirigeants renoncent souvent à divulguer une pénétration de leur SI, le préjudice subi leur apparaissant la plupart du temps bien inférieur à celui qui pourrait potentiellement découler du fait de porter les faits délictueux constatés à la connaissance de l’ensemble de ses partenaires ou des pouvoirs publics. C’est la raison pour laquelle, de nombreuses sinistralités informatiques restant dissimulée, on en est réduit à une approche probabiliste du risque.

26

On peut résumer cette approche au travers de la formule de Bernouilli : Risque = vulnérabilité x menace x impact, sachant que dans ce cadre, la menace et l’impact sont deux valeurs définies sous forme probabiliste et fonction de leur potentialité respective de réalisation (Tableau 1).

Tableau 1 - Exemples de risques numériquesTableau 1

Critères de sécurité

27

Le niveau de sécurité d’un SI peut s’interpréter comme sa capacité à demeurer inaccessible à l’ensemble des risques auxquels il est exposé, que ce soit en termes de contenant (structure) ou de contenu (données). On considère généralement que la SSI se traduit par le respect de trois critères fondamentaux : la disponibilité, l’intégrité et la confidentialité des données (McLeod et Schell, 2008).

28

La disponibilité de l’information revient à s’assurer que tous les utilisateurs potentiels de celle-ci puissent en disposer en permanence, autant que de besoin.

29

L’intégrité des données doit également être garantie : elles ne doivent faire l’objet d’aucune altération de quelque nature que ce soit et conserver leurs caractéristiques intrinsèques.

30

La confidentialité correspond au fait que seuls les utilisateurs disposant de l’autorisation ou de la nécessité d’accéder à des données numériques sont effectivement les seuls à pouvoir en disposer.

Normes relatives à la SSI

31

Afin de permettre aux organisations de disposer d’un ensemble de procédures et de règles à suivre afin d’assurer une meilleure sécurisation de leur patrimoine informationnel, plusieurs normes internationales spécifiques ont vu le jour. Nous citerons, à ce titre, les deux plus importantes que sont l’ISO/IEC 27000 et l’ISO/IEC 15408 édictées par l’ISO, sur le modèle des célèbres normes ISO/IEC 90xx relatives à la gestion de la qualité.

32

Parallèlement à ces normes issues du secteur privé, la Direction Générale de la Modernisation de l’Etat [4][4] Organisme dépendant du Ministère du Budget (DGME), consciente des conséquences néfastes que pourraient avoir des failles de sécurité sur l’avenir de l’administration électronique, a mis au point, avec l’ANSSI, un remarquable Référentiel Général de Sécurité (RGS). Ce document est extrêmement complet et vise un objectif beaucoup plus large que la seule sécurisation des traitements liés à l’e-administration. Il constitue néanmoins un outil complet à la disposition des DSI institutionnels et permet d’appréhender l’ensemble des problématiques liées à la SSI.

33

Traiter de l’ensemble des menaces et vulnérabilités évoquées ci-dessus nécessiterait un ouvrage entier, nous limiterons donc notre propos à la prise en compte des menaces intentionnelles pesant dorénavant sur les SI des collectivités territoriales.

2 - Les SI des collectivités territoriales : une étude spécifique

2.1 - Conception de l’étude

34

Notre sujet d’étude, le management de la sécurité des systèmes d’information dans les collectivités territoriales, constitue une problématique particulière qui se situe à l’intersection de trois univers particuliers : politique, administratif et technique. A cela s’ajoute deux autres dimensions supplémentaires : économique et juridique. Les interactions complexes régissant l’univers territorial font qu’il est extrêmement difficile d’obtenir des données fiables et objectives, a fortiori lorsqu’il s’agit d’un sujet aussi sensible que la sécurisation des données personnelles ou la cybercriminalité. Bien que les risques d’escroqueries via Internet puissent également exister dans le cas des collectivités territoriales, elles apparaissent négligeables eu égard aux problématiques liées à la compromission de données : qu’elles soient liées à l’état-civil, la santé, le développement économique, l’habitat, la sécurité publique, les infrastructures, la recherche, l’aide sociale ou la démocratie électronique, les données recueillies par les collectivités sont confidentielles, sensibles et stratégiques.

Historique

35

Avoir la possibilité de disposer d’une légitimité administrative suffisante vis-à-vis de décideurs locaux naturellement rétifs à évoquer un sujet souvent mal maîtrisé et dont l’absence de prise en compte est susceptible de nuire à leur crédibilité, s’avère excessivement difficile. Nous précisons que la notion de dirigeants territoriaux nous semble devoir aller au-delà des élus locaux étant donné le caractère transverse et technique de la problématique considéré. Notre expérience personnelle d’ancien élu local nous à incité à élargir notre cible en prenant également en considération l’avis et l’approche des hauts fonctionnaires territoriaux et ce pour au moins deux raisons précises : d’une part l’étroite imbrication des deux strates (politique et administrative) en matière de prise en décision au sein d’une collectivité et, d’autre part, le caractère éminemment technique de la notion de SSI.

36

Nous avons pu bénéficier d’une opportunité liée à la volonté de la Région de Gendarmerie Nord-Pas-de-Calais et du Conseil Régional de conjuguer leurs efforts en matière de sensibilisation des décideurs territoriaux aux menaces numériques. S’appuyant sur un maillage territorial sans équivalent, ceux-ci disposent de fait d’une légitimité incontestée vis-à-vis des collectivités territoriales régionales (1547 communes, regroupés en 91 EPCI).

37

Dans le cadre de cette mission d’intérêt général un groupe de travail ad hoc s’est constitué afin de traiter cette problématique. L’objectif étant de mener la première étude quantitative spécifique en vue de disposer d’un véritable état des lieux de la prise en compte de la SSI par les collectivités territoriales.

Structure de l’enquête

38

Le support a été élaboré au travers de l’expérience conjuguée des membres du groupe de travail, tous professionnels aguerris de la SSI et disposant d’une expérience personnelle de l’univers territorial. La confrontation de leurs observations personnelles a été de nature à favoriser une prise en compte élargie de l’ensemble des diverses problématiques liées à la sécurisation des SI.

39

L’enquête a été structurée autour de deux parties, l’une « technique » et l’autre « comportementale », chacune d’entre elles étant composée de trois sous-ensembles de questions dont le but était de couvrir l’ensemble des problématiques inhérentes au management de la SSI en environnement territorial (Tableau 2) :

Tableau 2 - Structuration de l’enquêteTableau 2

Partie « technique »

40

Cette première partie regroupe trois items successifs choisis selon une logique de cercles concentriques établie autour d’une approche technicienne des SI qui, après avoir évalué l’organisation interne du SI de la collectivité, se concentre finalement sur la réalité des précautions mises en place en termes de sauvegarde des données.

41

Usage des TIC dans le cadre privé et professionnel : ce premier ensemble avait pour but d’évaluer le niveau d’appropriation des élus et fonctionnaires territoriaux en matière de technologies mais aussi d’usages liés à ces dernières. Les questions de cette partie abordaient de nombreux points relatifs aux technologies en elles-mêmes, que ce soit dans un cadre professionnel ou familial. Les outils de mobilité sont également évoqués afin de faciliter une translation ultérieure vers les notions de sécurité et de confidentialité.

42

Organisation interne et équipements : il s’agissait ici de percevoir l’organisation des collectivités territoriales en matière de mise en place et de gestion de leur SI. L’objectif de cette partie était de disposer d’une vision minimale de la réalité quotidienne de gestion des SI au sein des collectivités territoriales, a fortiori de taille modeste. Les questions choisies, tout en étant volontairement

43

limitées en nombre, tendaient à regrouper l’ensemble des grandes problématiques d’administration d’un SI autour de demandes simples et compréhensibles par tous.

44

Données relatives à la SSI : ce troisième bloc abordait les problèmes de la sécurité du SI, tant sur le plan physique que sur le plan organisationnel. On s’est attaché, ici, à sensibiliser le répondant : les mots « perte de données », « sauvegarde », « destruction » sont volontairement utilisés, afin d’éveiller la curiosité des sondés.

Partie « Comportementale »

45

Cette partie quitte l’univers technologique stricto sensu pour s’intéresser aux aspects comportementaux des utilisateurs des SI en cherchant à connaître leur degré de sensibilité à l’ensemble des menaces inhérentes à un recours de plus en plus poussé aux TIC dans le cadre professionnel.

46

Menaces liées aux systèmes d’information : cette partie visait à évaluer les habitudes et connaissances des utilisateurs quant au caractère protéiforme et évolutif des menaces pesant sur les SI. Sont ainsi abordées des notions plus complexes concernant les frontières existantes entre le SI de la collectivité et le monde extérieur. Le but de cette partie étant de susciter des interrogations liées aux notions de sécurité et de confidentialité des données.

47

Connaissance de la législation : cette partie visait à mesurer le niveau de connaissance, par les dirigeants de collectivités, des risques juridiques liés à l’utilisation d’un SI, notamment en termes de données à caractère personnel, de gestion de celles-ci et de responsable de traitement. Bien qu’empreintes d’une grande simplicité dans leur formulation, les questions relatives aux différents aspects juridiques liés à l’utilisation optimale d’un SI, étaient néanmoins extrêmement précises relativement à la connaissance et l’application des différentes réglementations auxquelles sont soumises les collectivités territoriales.

48

Connaissance des risques numériques : les risques liés à l’utilisation des outils numériques -qu’on définit sous le vocable global de « risques numériques »- sont relativement récents. L’innovation technologique perpétuelle produit chez l’utilisateur et le manager une posture assez peu propice à une nécessaire prise de recul, notamment en termes de préhension de l’environnement global lié à la connaissance des enjeux juridique et technique. Il convenait donc d’interroger directement les dirigeants, non seulement sur leur connaissance personnelle des risques encourus, mais également de connaître leur appétence éventuelle pour des formations spécifiques ou des échanges informels sur le sujet.

49

Afin de bénéficier d’un fort aval institutionnel, le questionnaire final a fait l’objet d’un envoi direct de la part du conseil régional Nord-Pas-de-Calais auprès d’un échantillon de 350 collectivités représentatives du tissu territorial local de par leurs caractéristiques intrinsèques (type et taille).

2.2 - Résultats et enseignements des statistiques descriptives

50

L’analyse quantitative a fait l’objet d’un traitement statistique effectué à l’aide du logiciel Statistical Analysis System (SAS), Version 9. Après avoir évalué la représentativité de l’échantillon traité, deux types de traitements ont été menés : une première approche des données a été réalisée au travers d’une analyse statistique simple (tris à plat et tris croisés), puis une approche ordinale de recherche de corrélation au sens de Spearman.

51

Sur 350 questionnaires envoyés, les services du Conseil régional ont reçu 67 réponses, soit un taux de retour de 19,1%, ce qui apparaît tout à fait satisfaisant étant donné le caractère très sensible de la problématique traitée.

Degré de prise en compte de la menace numérique

52

Sachant qu’en matière numérique, le risque zéro n’existe pas, une échelle simple du risque numérique, peut être définie au travers de la définition de trois niveaux successifs, faible (perte de données involontaire et limitée ou indisponibilité très limitée du réseau), fort (pénétration du SI ayant donné lieu à la destruction de certaines données exclusivement internes à la collectivité, ou indisponibilité du SI supérieure à 12H) et critique (vols d’informations à caractère personnel ou d’indisponibilité prolongée du SI). Toutefois, l’intérêt de cet outil s’avère grandement limité, à la fois du fait de la grande multiplicité des risques numériques potentiel, ainsi que par le caractère difficilement mesurable de certaines atteintes à l’intégrité d’un SI (impact sur l’image de la collectivité et de ses élus, perte de confiance des administrés…).

53

Il apparaît donc plus intéressant de considérer les risques numériques comme un concept global et de mettre l’accent sur une typologie relative au niveau de prise en compte du risque numérique. Cette problématique faisant intervenir de nombreux paramètres allant des contraintes techniques aux obligations juridiques en passant par le management des SI, nous définirons, dans ce cas, cinq niveaux successifs : très faible, faible, moyen, bon et très bon.

54

Nous avons établi une dichotomie entre prise en compte effective de la SSI et intention de prise en compte de celle-ci.

Prise en compte effective de la SSI

55

La première étape de notre étude a consisté à mesurer la prise en compte effective de la SSI -au travers de l’analyse des mesures effectivement prises pour réduire l’exposition aux menaces- et les résultats obtenus permettent d’établir un état des lieux relativement à la prise en compte de la SSI par les collectivités territoriales, au travers de la mise en évidence de plusieurs faits marquants :

56

Seuls 1/3 (32,84%) des collectivités disposent d’un responsable informatique. Cet état de fait, directement corrélé à la taille de la collectivité, influe directement sur le niveau de sécurisation des données, y compris dans les cas ou leur gestion est externalisée ;

57

Si une très forte proportion des collectivités redoute la perte de données (80,6%), plus de la moitié d’entre elles n’ont nulle vision sur leur criticité (52,24%) et n’ont, de même, mené aucune réflexion sur une quelconque hiérarchisation ou un cloisonnement (53,73%). Cette absence de compartimentation des informations est de nature à nuire fortement à leur protection et constitue un facteur de vulnérabilité susceptible d’être exploité, le cas échéant, par un pirate ;

58

Une absence de connaissance globale des risque peut être mise en évidence : si près de 90% des dirigeants interrogés (89,55%) ont déjà entendu parler de pirate informatique et que plus des 4/5ème redoutent les attaques virales (86,57%), les précautions minimales sont ignorées par les collectivités, que ce soit en matière de formation (10,45%), de budget dédié à la sécurité informatique (25,37%), de mise en place d’une démarche de sécurité spécifique (37,31%), ou encore de sécurisation des réseaux sans-fil (35,82%). Cela va même, pour près d’un tiers d’entre elles, jusqu’à ignorer à qui s’adresser en cas d’attaque (31,34%) ;

59

Ces premiers résultats tendent à montrer que le niveau réel de prise en compte effective de la SSI par les collectivités françaises se situe, selon l’échelle préalablement définie, entre faible et très faible.

Intention de prise en compte de la SSI

60

Cet état de fait rend d’autant plus nécessaire de tenter d’appréhender l’intention de prise en compte de la SSI par les décideurs locaux, sachant que l’intention de prise en compte, s’est traduit par un ensemble de question touchant à la volonté potentielle des dirigeants territoriaux de se renseigner sur les enjeux de la SSI et de partager leurs expériences respectives en matière de risques numériques.

61

L’analyse des résultats des questions relatives à l’intention de prise en compte de la SSI montre un réel embarras des dirigeants qui se traduit, à la fois, par une demande d’accompagnement institutionnel ainsi que par une propension limitée à évoquer explicitement l’exposition de leur propre collectivité aux risques numériques.

62

En effet, si près des deux tiers des collectivités territoriales interrogés (71,64%) n’ont jamais eu de contacts institutionnels sur le sujet, elles sont très intéressées par le fait de bénéficier d’une sensibilisation à la SSI, que ce soit au travers d’une implication directe du Conseil régional littéralement plébiscitée (80,6%), de l’organisation de séances d’information régulières (71,64%), ou encore de séminaires inter-collectivités (71,21%).

63

Pour autant, cette volonté de disposer d’aide se heurte à une certaine méfiance dès lors qu’il s’agit de partager effectivement son expérience (40,3%) ou d’échanger avec des professionnels de la SSI à des fins prospectives (46,27%). Sachant que ce phénomène ne peut qu’être alimenté par l’absence globale de prise de conscience, par les dirigeants des collectivités, des impératifs juridiques liés à l’utilisation d’un SI : près de 60% d’entre eux (59,70%) n’ont quasiment aucune idée des obligations légales qui leur échoient et la proportion monte à 85% si l’on y ajoute ceux qui n’en ont qu’une vague notion.

64

Cette mesure de l’intention de prise en compte de la SSI met en relief une certaine ambiguïté des dirigeants territoriaux à l’égard des opportunités qui leur sont soumises en termes d’accompagnement : alors même que la plupart d’entre eux reconnaissant une certaine vulnérabilité de leur SI et estime avoir besoin de conseils, ces deniers demeurent néanmoins circonspects envers les acteurs du métier et apparaissent réservés à l’idée de partager leur expérience personnelle.

Facteurs de prise en compte : « attitude » et « normes subjectives »

65

Afin d’affiner notre analyse, il nous est apparu opportun d’intégrer deux autres paramètres susceptibles de constituer des facteurs pertinents de prise en compte de la SSI par les dirigeants territoriaux que sont « l’attitude » et les « normes subjectives ».

66

Par « attitude », nous entendons les croyances et évaluation des menaces numériques, en tant que synthèse des connaissances relatives aux menaces numériques menace (virus, pirates…), ainsi que de l’expérience directe éventuelle en tant que victime de piratage ou de pertes de données.

67

La notion de « normes subjectives » correspond, quant à elle, à la connaissance des normes de protection ainsi qu’à la volonté de les respecter. Dans ce cadre sont retenues les questions portant sur la connaissance -et le respect- de l’ensemble des obligations légales en matière de SSI et des instances spécialisées en charge de cette problématique ;

68

Ainsi, d’autres traitements statistiques ont été réalisés afin de mesurer l’existence de relations potentielles entre, respectivement, l’attitude des dirigeants et les normes subjectives et l’intention de prise en compte de la SSI. Toutefois, étant donné l’absence de données antérieures à notre étude ainsi que d’hypothèses préalables quant à la distribution des variables, il est apparu opportun de procéder à un changement de variable au travers de la mise en place d’une échelle ordinale (affectation de rangs) et de rechercher les corrélations monotones éventuelles entre ceux-ci.

69

Un traitement statistique spécifique au travers du calcul, pour chaque couple de variables considérés (X, Y), du coefficient de corrélation de rang (rho (?) ou coefficient de Spearman), suivi de l’analyse du caractère significatif ou non du coefficient déterminé par couples de variables traitées avec le niveau de signification (?).

70

L’hypothèse (H0) initiale relative au calcul du coefficient de Spearman postulera classiquement l’absence de corrélation significative entre les variables successivement considérées (soit X et Y sont indépendantes).

71

Après transformation ordinale et traitement, il apparaît que plusieurs corrélations au sens de Spearman (rejet de l’hypothèse nulle H0) peuvent être mises en évidence, aux travers de quatre relations particulières :

72

L’Influence de l’attitude (croyance et évaluation des menaces numériques) sur la prise en compte de la SSI.

73

La croyance et l’évaluation des menaces numériques (attitude) semble influer directement, non pas sur l’intention de prise en compte de la SSI, mais directement sur la prise en compte de cette dernière.

74

Vraisemblablement induit, en grande partie, par le caractère de plus en plus récurrent et médiatisé des attaques numériques, deux facteurs influent significativement sur la prise en compte de la SSI par les dirigeants : la peur de pertes de données et la crainte d’une attaque virale :

75

La perte de données : le fait de redouter les pertes de données influe positivement sur le fait d’adopter une démarche de sécurité informatique (? = 0,323 avec ? = 5%) ;

76

Le fait d’avoir entendu parler de cyberpirate ou de hacking conduit à la mise en place précautions particulière en matière de protection des postes de travail au sein de la collectivité (mots de passe, anti-virus…) (? = 0,296 avec ? = 5%) ;

L’Influence des normes subjectives

77

En matière de connaissance des normes et de volonté de les respecter (normes subjectives), les résultats font apparaitre deux liaisons simultanées : l’une vis-à-vis de l’intention de prise en compte de la SSI et l’autre relativement à sa prise en compte effective.

Sur le développement de l’intention de prise en compte de la SSI

78

Les traitements réalisés permettent de mettre en évidence une corrélation de rang entre l’existence de normes subjectives et l’intention de prise en compte de la SSI par les collectivités et ce, au travers de deux variables distinctes : l’existence de l’ANSSI d’une part et l’interrogation relativement à l’existence de contacts entre la collectivité et les institutions en charge de la SSI d’autre part.

79

La connaissance de l’existence d’une agence étatique spécialisée dans la lutte contre les menaces numériques apparaît corrélée à l’intention d’échanger des informations et des expériences avec d’autres collectivités sur le sujet (? = 0,235 avec ? = 5%). Cette relation est d’autant plus remarquable qu’elle nécessite de dépasser une réticence naturelle des dirigeants territoriaux à évoquer un sujet aussi sensible. Deux autres liaisons supplémentaires apparaissent entre la connaissance de l’ANSSI et, respectivement, le souhait de bénéficier de séances d’informations ou le simple échange d’information avec d’autres collectivités mais sans être toutefois suffisamment significatives (? = 0,126 avec ? =20%, ? = 0,142 avec ? = 17,4%).

80

Le fait de questionner les dirigeants des collectivités sur le fait d’avoir des échanges institutionnels antérieurs en rapport avec la cybercriminalité semble avoir une influence directe sur des échanges d’informations avec d’autres collectivités (? = 0,276 avec ? = 3,1%), ainsi que sur la volonté de partager des expériences et retour d’expériences (? = 0,402 avec ? = 1%).

Sur la prise en compte effective de la SSI

81

En ce qui concerne la prise en compte effective de la SSI, les facteurs de corrélation résident dans la découverte de la structure gouvernementale dédiée à la lutte contre le piratage informatique et du RGS :

82

La connaissance des actions menées par les pouvoirs publics contre les menaces numériques (au travers du RGS…), incite les collectivités à entamer une démarche de sécurisation de leur SI (? = 0,316 avec ? = 1%) ;

83

La connaissance du RGS favorise également la mise en place de précautions particulières en termes de contrôle d’accès (? = 0,232 avec ? = 5%) ;

84

La connaissance de l’existence d’un service étatique spécialisé de lutte contre les menaces numériques influe également positivement sur la propension des répondants de réfléchir à une démarche de sécurisation de leur SI (existence d’un responsable informatique, hiérarchisation des données…) (? = 0,234 avec ?=5%) ;

L’influence de l’intention sur la prise en compte de la SSI

85

L’influence de l’intention sur la prise en compte de la SSI peut être établie au travers de deux corrélations distinctes :

86

La relation existante entre le fait de bénéficier de séances d’informations sur la SSI et la mise en place d’une démarche de sécurité informatique (? = 0,295 avec ?=2,8%) ;

87

La relation existante entre le fait d’être intéressé par des échanges d’informations avec d’autres collectivités et la mise en place d’une démarche de sécurité (? = 0,243 avec ?=6,3%).

88

D’autres relations apparaissent, notamment entre le fait de prendre certaines précautions d’utilisation des postes de travail et la volonté de bénéficier de séances d’informations ou encore vis-à-vis d’échanges informationnels, néanmoins elles ne peuvent valablement être considérées comme significatives du fait de la marge d’erreur résultante (? = 0,16 avec ?=15%, ? = 0,147 avec ?=16,5%).

89

Ces considérations peuvent être synthétisées au travers d’un schéma rendant compte de la réalité observée quant à l’influence respective de l’attitude et des normes subjectives respectivement sur l’intention de prise en compte et la prise en compte de la SSI (Figure 1) :

Figure 1 - Synthèse des relations constatées expérimentalementFigure 1
90

Bien que notre recherche se veuille avant tout exploratoire et qu’il convienne de demeurer prudent dans l’analyse des phénomènes observés, il apparaît néanmoins indispensable de replacer les résultats obtenus dans le cadre d’un modèle théorique potentiellement pertinent.

3 - Interprétation théorique

91

La SSI fait intervenir un ensemble de problématiques organisationnelles d’origine diverse et empreintes de complexité ainsi que de problématiques humaines qui sont liées à une "hyper-complexité" (Morin, 1990). Si l’on en croit Damien Bruté de Rémur, (2003), la prise en compte de la SSI dépend de l’organisation et des aspects humains bien davantage que de la technique. Or, il apparaît clairement qu’au moins deux facteurs tendent à influencer l’intention effective de prise en compte de la SSI par les collectivités territoriales : l’attitude et la connaissance des normes subjectives.

3.1 - L’apport de la Théorie de l’Action Raisonnée

92

Cet état de fait nous conduit à utiliser le cadre conceptuel de la Théorie de l’Action Raisonnée (TAR) (Fishbein & Ajzen, 1975), afin d’expliciter les résultats de notre étude exploratoire. Ce modèle, directement issu de la psychologie sociale, stipule que le comportement et les performances d’une personne peuvent être appréhendés au travers de la connaissance de son attitude face à une problématique, ainsi que des normes subjectives relatives à son comportement.

93

Selon cette théorie, l’attitude de l’individu va être déterminée par ses croyances envers les conséquences d’un comportement donné et par sa propre évaluation de ces conséquences. Les normes subjectives dépendant, quant à elles, des croyances normatives de l’individu et de sa motivation à suivre ses normes. Ce modèle, qui a fait notamment ses preuves en matière de systèmes d’information, nous a semblé mieux adapté à notre sujet d’étude que celui de l’acceptation des technologies (Davis et al. 1989) pour deux raisons principales : du fait, d’une part, de l’absence de notion de « facilité » dans le cas de la SSI et d’autre part, du caractère purement indirect que revêt la notion d’ « efficacité » en termes de sécurité informatique.

94

Selon la TAR, deux facteurs tendent à influer sur l’intention d’effectuer un comportement :

95

L’attitude envers le comportement, relevant elle-même à la fois des croyances de l’individu relativement à ce comportement et de l’évaluation des conséquences de ce comportement ;

96

Des normes subjectives, déterminées par une croyance normative ainsi que par une motivation à se conformer à celles-ci.

97

Dans cette perspective, nous synthétisons l’attitude envers le comportement par la prise en compte des croyances des dirigeants territoriaux relativement aux menaces numériques ainsi qu’à leur évaluation.

98

Etant donné la complexité du domaine SSI, les croyances normatives sont assimilées, quant à elles, à la connaissance des normes et instances spécialisées (RGS, ANSSI…), ainsi qu’aux différentes obligations légales faites aux responsables de traitements informatisés en matière de protection des données à caractère personnel (CNIL…).

99

Conformément au modèle TAR, rejoignant en cela nos observations empiriques :

  • Il existe un lien entre l’attitude face aux menaces numériques (croyances personnelles quant aux conséquences de ces menaces) et l’intention de prise en compte de celles-ci par les dirigeants territoriaux ;

  • Il existe un lien entre les normes subjectives (motivation à se conformer aux normes professionnelles, à faire ce que chaque personne référent attend) et l’intention de prise en compte de la SSI par les dirigeants territoriaux.

3.2 - Vers un modèle plus large

100

Toutefois, si la TAR semble être un cadre conceptuel intéressant relativement à l’impact respectif de l’attitude et des normes subjectives, il n’en demeure pas moins que ce modèle théorique ne peut permettre raisonnablement d’expliciter de manière satisfaisante l’ensemble des relations mises en évidence dans le cadre de notre étude.

101

Bien que notre recherche se veuille avant tout exploratoire et qu’il convienne de demeurer prudent dans l’analyse des phénomènes observés, il nous apparaît néanmoins opportun d’émettre plusieurs explications relatives à la causalité des relations mises en évidence au travers de la corrélation des rangs.

102

En ce qui concerne l’influence directe relevée entre l’attitude et la prise en compte de la SSI (1), il convient de remarquer que les variables sous-jacentes à cette relation sont doubles : la peur de la perte de données et la crainte du hacking. Or, si l’on se réfère aux observations qualitatives qu’il nous a été donné d’effectuer en amont de l’élaboration de l’enquête, l’exposition médiatique de plus en plus fréquente des risques liées à une pénétration des SI semble jouer un rôle majeur dans l’évaluation personnelle des dirigeants de collectivités et, par là-même, dans la décision de mettre en place -à défaut d’une politique SSI éminemment structurée- de certaines actions de sécurisation des SI. Ainsi, l’impact émotionnel (en l’occurrence de la peur) semble conduire à une réponse directe en matière sans étape de réflexion préalable ni de recueil d’expériences faites par autrui et permettant d’apprécier de façon plus pertinente les enjeux liés à la SSI.

103

Les relations existantes entre la connaissance des normes effectives et l’intention de prise en compte de la SSI (2) d’une part (échange d’expériences avec des pairs), ou de sa prise en compte effective (3), nous semblent en grande mesure issues d’une certaine prise de conscience par les dirigeants de collectivités de l’existence de normes et textes juridiques (forme de contraintes usuelles dans le cadre de leurs fonctions) spécialement dédiées à la sécurisation des SI.

104

Ces considérations nous amènent, par conséquent, à tenir compte de l’impact de ce que nous avons appelé « émotion » afin de le rendre plus conforme à la réalité observée quant à l’influence de l’attitude et des normes subjectives respectivement sur l’intention de prise en compte et la prise en compte de la SSI (Figure 1).

105

Mais, au-delà de la structuration de la prise de décision des dirigeants locaux en matière de SSI, notre recherche met en exergue le niveau extrêmement faible de la sécurisation des SI des collectivités territoriales françaises. Cet état de fait pose clairement le problème du management de la sécurité des SI en univers territorial et nécessite d’énoncer quelques pistes d’amélioration adéquates.

Conclusion

106

Le niveau réel de prise en compte des risques numériques par les collectivités territoriales varie, selon les cas, de faible à très faible et l’intention de prise en compte de la SSI par les dirigeants, au premier rang desquels les élus, apparaît dépendant de l’attitude face aux menaces numériques et de leur approche des normes subjectives. Même si l’on excepte des conseils généraux et régionaux, plus structurés et moins concernées par le traitement d’informations à caractère personnel, cette situation est fortement préoccupante pour au moins trois raisons majeures :

107

L’extrême morcellement du tissu administratif territorial français (36680 communes et 14430 EPCI), constitué en majorité de communes de moins de 2000 habitants (86%) et ne disposant pas des ressources financières indispensables à la mise en place d’une politique performante de SSI ;

108

Une dématérialisation croissante des échanges d’informations avec les administrés et les administrations, qui nécessitent un recours sans cesse accru à un SI performant.

109

Enfin, une volonté des instances de l’Union Européenne -largement relayée par les pouvoirs publics nationaux- de profiter de la diffusion croissante d’Internet pour fournir à l’ensemble des usagers des services publics une qualité de service dématérialisés uniforme sur l’ensemble du territoire de l’UE.

110

Il est indispensable d’accepter les risques numériques comme étant dorénavant consubstantiels à l’activité de n’importe quelle organisation moderne, qu’elle soit publique ou privée. Plutôt que d’essayer de les nier ou de tenter de les minimiser, il convient au contraire de les affronter sereinement, au travers de la mise en place d’un véritable management de la SSI, qui devra permettre d’intégrer le traitement des menaces numériques dans une politique de gestion territoriale des risques, au même titre que les risques d’origines naturelle ou industrielle. Si l’externalisation de la gestion des SI s’avère souvent être nécessaire, notamment pour des raisons de coûts, il convient néanmoins de remarquer que la sécurité n’est pas toujours un critère déterminant dans le choix du prestataire, alors même qu’il s’agit là d’un impératif qui ne fera que se renforcer. Aussi apparaît-il nécessaire de fixer clairement les obligations du délégataire au travers d’un ensemble de clauses spécifiques intégrées dans le contrat initial et de prévoir des possibilités de contrôle de la part de la collectivités cliente.

111

La problématique de la sécurisation des SI des collectivités territoriales nous semble constituer le symptôme de la nécessaire adaptation des structures publiques aux défis induits par l’émergence d’une société de la connaissance. Or, si toute organisation met un certain temps à s’approprier une innovation, ainsi qu’à en mesurer les enjeux sous-jacents, les collectivités territoriales sont dorénavant soumises à de nouvelles contraintes qu’elles ne maîtrisent que très imparfaitement. Le manque de moyens structurels des collectivités les plus modestes, associée à l’absence de prise de conscience par les dirigeants territoriaux de l’ampleur de l’effort à accomplir afin de sécuriser les informations qui transitent par leur SI, rend d’autant plus indispensable le recours à l’Etat, seul à même de définir et de mettre en place une politique publique de sécurisation des SI des collectivités territoriales.


Bibliographie

  • ALLARD P., 2000, « Eléments pour une problématique de l’histoire du risque. Du risque accepté au risque maîtrisé. Représentations et gestion du risque d’inondation en Camargue, XVIIIe-XIXe siècles », Ruralia, 2000-06.
  • BOURNOIS F., ROMANI P-J., 2000, L’intelligence économique et stratégique dans les entreprises françaises. Economica, Paris.
  • DAVIS F.D., 1989, « Perceived Usefulness, perceived ease of use, and user acceptance of information technology », MIS Quarterly, 13, 3, pp. 319-340.
  • DUBOIS J-L., 1996, « Quel système d’information pour les politiques de lutte contre la pauvreté ? », Cahier des Sciences Humaines, 32, pp. 869-891.
  • FILIOL E., 2011, « Aspects opérationnels d’une cyberattaque : renseignement, la planification et de conduite », In Ventre D. Warfare cyberguerre et de l’information, John Wiley and Sons, New-York.
  • FISHBEIN M., AJZEN I., 1975, Belief, attitude, intentions and behavior : An introduction to theory and research, Addison-Wesley, Boston.
  • LARKECHE S., 2011, « L’intérêt de l’approche pragmatique dans l’analyse du risque », Colloque ORIANE, septembre, IUT de Bayonne.
  • LEBRATY J-F., 2007, « Décision et intuition », Education & Management, 33.
  • MCLEOD R., SCHELL G., 2008, Management Information Systems, Pearson Education, New-York.
  • MOREL C., 2002, Les décisions absurdes, Gallimard, Paris.
  • MORIN E., 1990, Introduction à la pensée complexe, ESF, Paris.
  • PATEL S.C, GRAHAM J.H & RALSTON P. A.S., 2008, « Quantitatively assessing the vulnerability of critical information systems : A new method for evaluating security enhancements », International Journal of Information Management, 28, 483-491.
  • PUPION P-C. & G., 2012, Statistiques pour la gestion avec applications sous EXCEL, SPSS, AMOS et SMARTPLS, Dunod, Paris.
  • PUPION P-C. & G., 2010, Méthodes statistiques applicables aux petits échantillons, Hermann, Paris.
  • SCOTT MORTON, M.S., 1991, « The Corporation of the 1990s. Information Technology and Organizational Transformation », Oxford University Press, New York
  • SIMON H.A. & NEWELL A., 1960, « What have computers to do with management ? » In G.P.
  • SHULTZ AND T.L. WHISLER (Eds.), Management organization and the computer, 39-60.The Free Press, Glencoe (IL).

Notes

[1]

Docteur en sciences de gestion. Qualifié par le CNU en 2013, Maître de conférences associé à l’Université Paris I-Panthéon Sorbonne

remy.fevrier@univ-paris1.fr

[4]

Organisme dépendant du Ministère du Budget

Résumé

Français

La dématérialisation croissante des échanges entre les collectivités territoriales et leur environnement pose directement la question du management de la Sécurité de leur Système d’Information (SSI) et notamment de l’influence de la perception de dirigeants territoriaux encore peu au fait de la réalité de menaces numériques en forte progression.

Mots-clés

  • collectivités territoriales
  • dématérialisation
  • menaces numériques
  • Systèmes d’Information
  • SSI

English

Local authorities facing the digital risksThe growing dematerialization of exchanges between local authorities and their environment directly raises the question of the management of their Information Systems Security (ISS), particularly the influence of the perception of the representatives of local authorities still little understanding of the reality of strong growth in digital threats.

Keywords

  • local authorities
  • digital risk dematerialization
  • Information Systems
  • ISS

Plan de l'article

  1. Introduction
  2. 1 - La gestion des risques numériques
    1. 1.1 - Du « Risk-management » aux risques numériques
    2. 1.2 - La Sécurité des Systèmes d’Information
      1. Vulnérabilités
      2. Menaces
        1. Menaces à caractère non-intentionnel
        2. Menaces à caractère intentionnel
      3. Impact
      4. Critères de sécurité
      5. Normes relatives à la SSI
  3. 2 - Les SI des collectivités territoriales : une étude spécifique
    1. 2.1 - Conception de l’étude
      1. Historique
      2. Structure de l’enquête
        1. Partie « technique »
        2. Partie « Comportementale »
    2. 2.2 - Résultats et enseignements des statistiques descriptives
      1. Degré de prise en compte de la menace numérique
      2. Prise en compte effective de la SSI
      3. Intention de prise en compte de la SSI
      4. Facteurs de prise en compte : « attitude » et « normes subjectives »
        1. L’Influence des normes subjectives
        2. Sur le développement de l’intention de prise en compte de la SSI
        3. Sur la prise en compte effective de la SSI
        4. L’influence de l’intention sur la prise en compte de la SSI
  4. 3 - Interprétation théorique
    1. 3.1 - L’apport de la Théorie de l’Action Raisonnée
    2. 3.2 - Vers un modèle plus large
  5. Conclusion

Pour citer cet article

Février Rémy, « Les Collectivités Territoriales face aux menaces numériques », Gestion et management public, 1/2013 (Volume 1/n°3), p. 24-39.

URL : http://www.cairn.info/revue-gestion-et-management-public-2013-1-page-24.htm
DOI : 10.3917/gmp.003.0024


Article précédent Pages 24 - 39 Article suivant
© 2010-2014 Cairn.info
back to top
Feedback