"La numérisation de la société appelle une action résolue de l'Etat. C'est devenu avant tout une question politique", a déclaré la conseillère d'Etat en charge du dossier, Nuria Gorrite, à Renens, dans les locaux de la Direction du numérique et des systèmes d'information (DGNSI). Elle a rappelé que Vaud avait été pionnier en se dotant d'un centre opérationnel de sécurité (SOC), investissant dès 2013 près de 9 millions de francs dans la sécurité numérique.
Le gouvernement vaudois s'est aussi saisi des enjeux politiques du numérique, tels que la souveraineté, la protection des données ou la cybersécurité, fin 2018, en adoptant sa stratégie numérique. Il a depuis créé le poste de Déléguée au numérique et a institué en 2019 la DGNSI, chargée de coordonner la mise en ½uvre de la stratégie numérique et employant environ 440 personnes.
Le SOC emploie, lui, une équipe de cinq analystes en cybersécurité, en combinaison avec un prestataire privé qui assure un système de surveillance 24h/24 et 7 jours/7. Au total, environ 35 personnes gravitent autour du SOC, pièce centrale du système de cybersécurité: il organise la surveillance ("monitoring"), prévient les incidents, identifie les vulnérabilités et apporte support et coordination en cas de cybercrise.
Vers un cloud souverain?
Le gouvernement a ensuite lancé en 2019 une deuxième étape de travaux sur cinq ans, estimés à 9,5 millions de francs et notamment axés sur la protection des données personnelles, grand défi pour l'administration cantonale. Il s'agit en effet de se doter d'une véritable "politique de la donnée" (protection, sécurité, gestion, identification, accès, stockage, destruction, etc).
En collaboration avec les autres cantons latins, une réflexion est d'ailleurs en cours et une étude de faisabilité sera menée dans l'idée de créer un cloud souverain, a annoncé Mme Gorrite. Ces travaux seront conduits par la déléguée au numérique Catherine Pugin et la DGNSI. Ce "coffre-fort de données" impliquera les communes et les entreprises. Objectif: garantir une souveraineté numérique.
Vingt millions sur dix ans
Sur dix ans, ce sont donc déjà près de 20 millions de francs qui ont été investis pour tout ce qui touche à la cybersécurité, a pour sa part souligné Patrick Amaru, directeur du DGNSI. Pour lui, c'est clairement "une nouvelle mission publique".
Et celle-ci doit se poursuivre et se renforcer, en accompagnant au mieux la société dans cette transition numérique, a affirmé la ministre du Département des infrastructures et des ressources humaines (DIRH). Le canton lance à cet effet une campagne de sensibilisation aux risques en ligne, sur ses canaux de communication et les réseaux sociaux.
Elle consistera en quatre capsules vidéo rappelant les bonnes pratiques en matière d'empreintes numériques laissées sur internet, de sites malveillants, d'hameçonnage (phishing) et de mots de passe.
Trois modèles pour les communes
S'agissant des communes, récemment plusieurs fois victimes de cyberattaques, un groupe de travail a été créé en novembre dernier entre le canton et les deux faîtières des communes, a indiqué Marc Barbezat, directeur de la sécurité numérique à la DGNSI. L'accent est mis sur les mesures d'urgence à prendre lors d'attaques et d'incidents numériques.
Elles ont en gros le choix entre trois modèles: demander l'aide du SOC tout en payant la sollicitation de son personnel, se doter elles-mêmes d'une équipe en cybersécurité ou via leurs faîtières, ou alors passer un contrat avec une société informatique spécialisée dans le domaine. L'Etat peut et veut renforcer son accompagnement, proposer son expertise, mais en aucun cas financer la cybersécurité des communes, a souligné Mme Gorrite.
Enfin, au niveau fédéral, Vaud, tout comme Genève, s'engage particulièrement pour que la transformation numérique des administrations publiques se fasse dans le respect de la souveraineté des cantons et de l'ordre constitutionnel suisse.
www.vd.ch/portail-securise-des-prestations-en-ligne/securite-en-ligne/