A propos de la Convention Cybersécurité Canton-communes

La cybersécurité est un enjeu majeur pour les communes et associations intercommunales du canton de Vaud. En effet, ces organisations sont des cibles privilégiées des cyberattaques, qui peuvent avoir des conséquences graves, tant sur le plan financier que sur le plan de la réputation.

Pour renforcer la cybersécurité des communes et associations intercommunales, le canton de Vaud et l'Union des Communes Vaudoises (UCV) ont signé une convention de cybersécurité le 4 juillet 2023.

Cette convention prévoit la mise en place d'une force d'intervention cantonale pour soutenir les communes et associations intercommunales en cas de cyberattaque.

Convention cybersécurité - informations utiles

Convention signée le 4 juillet 2023 (pdf, 19.87 Mo)

Objet de la convention : Mise en œuvre d’une force d’intervention cantonale pour défendre les communes et associations intercommunales contre les cyberrisques, contre rémunération de l’Etat (obligation générale de moyens)

Champ d’application de la convention : L’ensemble des communes vaudoises et les associations intercommunales

Comité de pilotage : Comité opérationnel avec 4 représentants du Canton (avec présidence à la DGNSI) et 4 représentants des communes

Financement : Un financement couvrant les coûts de 2 experts cybersécurité et la mise à disposition d’une réponse technique d’urgence au travers de prestaires privés locaux

Autres informations : Un démarrage opérationnel au 1er janvier 2024 et jusqu’en 2027 pour le premier cycle

    Foire aux questions

    Comment demander le support de la force d'intervention cantonale? 

    Via le numéro d'urgence 117 pour l'unité cybercrime de la Police cantonale vaudoise

    Que signifique l'acronyme CSIRT?

    Computer security incident response team (prononcé C-SIRT), soit l'équipe de réponse aux incidents (cyberattaques) de sécurité du Canton de Vaud. 

    Est-il obligatoire de faire appel à la force cantonale d'intervention CSIRT en cas de cyberattaque?

    Non, le Canton met à disposition une force d’intervention CSIRT en cas de cyberattaque mais ce n’est pas une obligation pour la commune ou la société intercommunale de l’utiliser.

    Le CSIRT propose également un prestataire pour la réponse technique. La commune ou l’association intercommunale peut disposer de son prestataire qui s’intégrera alors au dispositif de gestion de crise.

    ⚠Le Canton s’attend néanmoins à être principalement contacté en cas de cyberattaques et à coordonner les crises et réponses techniques associées.

    En cas de cyberattaque traitée sans l’intervention du CSIRT, ce dernier attend néanmoins des informations sur la gestion de la cybercrise (rapport d’incident) afin de s’assurer du bon traitement des cyberincidents (ex : annonces NCSC et APDI en cas de risque de violation de données).

    Qui est responsable de la cybersécurité des communes et associations intercommunales?

    Au même titre que toutes les autres tâches d’une administration ou d’une association intercommunale, la gestion de la cybersécurité et de la sécurité des informations est de la responsabilités des autorités, respectivement de la Municipalité ou de la direction de l’entité.

    Le CSIRT n’est pas responsable de la cybersécurité des communes et associations intercommunales. En sus de son implication pour gérer la crise en cas de cyberattaque, le CSIRT apporte son soutien la mise en place et au développement de mesures de prévention et de protection pour réduire les risques de cyberattaques et leurs impacts (sensibilisation, boite à outils, …).

    Quels sont les prérequis technologiques et organisationnels attendus pour une commune ou association intercommunale AVANT un cyberattaque (préparatifs)?

    Tels que définis au sein de la Convention, les principaux prérequis technologiques et organisationnels attendus sont :

    • Etablissement d’une cellule de crise communale ou intercommunale intégrant un / des représentants de l’Autorité politique et de l’administration communale en charge de l’informatique ;
    • Un point de contact opérationnel cybersécurité avec un suppléant par commune et association intercommunale couverte par cette convention ;
    • La définition d’un plan de continuité des activités (PCA) permettant de maintenir, en mode dégradé, les activités critiques de l’entité sans informatique.
    • Bonnes pratiques de sécurité et en particulier la prise en compte des 5 mesures de prévention promues par le Centre National pour la Cybersécurité (NCSC) :
    1. Sécurisation des accès à distance et authentification forte activée ;
    2. Sauvegardes hors ligne ou équivalent ;
    3. Gestion des correctifs et des cycles de vie des actifs informatiques ;
    4. Blocage des pièces jointes et liens à risque dans les courriels et les flux Internet ;
    5. Surveillance régulière des fichiers journaux (logs), en particulier pour les accès à distance, pour identifier dès que possibles des événements anormaux à investiguer.

    Est-ce qu'une commune qui ne remplit pas les prérequis technologiques et organisationnels attendus peut solliciter l'intervention du CSIRT?

    Oui, toute commune ou association intercommunale peut faire appel à la force d’intervention cantonale CSIRT.

    Les prérequis sont à voir comme des activités anticipées permettant en particulier de réduire la probabilité et l’impact sur l’entité victime d’une cyberattaque.

    En cas de cyberattaques simultanées sur plusieurs communes et/ou associations intercommunales, quels sont les principes de priorité d'intervention du CSIRT?

    Si une priorisation des interventions doit être faite, par exemple en cas de cyberattaques simultanées sur plusieurs entités communales, intercommunales et/ou cantonales, le CSIRT analyse les impacts potentiels sur les entités concernées et fixe seul ses priorités d’intervention (exemple de critères d’analyse : type d’attaque, statut de l’attaque, prestations impactées, …).

    Pour rappel, le CSIRT travaille sur un principe de subsidiarité en mode "meilleur effort" (ne peut pas sauver une entité qui n'aurait par exemple pas de sauvegarde pour ses données). De plus, tel que précisé au sein de la Convention cybersécurité, le CSIRT est tenu à une obligation générale de moyens dans le cadre de ses prestations. Le CSIRT s’engage bien sûr à s’acquitter de ses obligations avec une diligence, compétence et prudence d’un niveau professionnel.

    Quels sont les coûts à charge du CSIRT et des communes ou associations intercommunales en cas de cyberattaque?

    Le CSIRT propose la mise à disposition d’une réponse technique d’urgence au travers de prestataires privés locaux en cas de cyberattaque sur une entité communale.

    • Le CSIRT finance le contrat mutualisé permettant d’assurer une intervention en support technique et forensique d’urgence auprès de toutes les communes et associations intercommunales vaudoises (Principe d’une assistance à distance 24x7 sous 3h puis sur site 24x7 sous 8h si nécessaire).
    • La commune et l’association intercommunale assume les coûts des prestataires privés engagés pour la cyberattaque qui dépend notamment de la durée de leur intervention et des compétences des experts impliqués (le CSIRT intervient en coordination avec l’entité victime dans un souci de réduction optimale de ces coûts).

    Partager la page

    Partager sur :