Convention cybersécurité Canton-Communes

Face aux défis croissants liés à la cybersécurité, la Convention Cybersécurité Canton-Communes vise à renforcer la résilience des collectivités vaudoises en encourageant la collaboration et l’adoption de bonnes pratiques en matière de sécurité informatique.

Objectifs stratégiques :

Promouvoir une culture de la cybersécurité : Créer une culture de la sécurité de l'information au sein des communes et associations intercommunales, où la sécurité est perçue comme une responsabilité partagée par tous les membres du personnel et intégrée dans les processus quotidiens.

Renforcer la résilience cyber des communes et associations intercommunales : Augmenter la capacité des communes à faire face aux cybermenaces en renforçant leurs infrastructures, leurs politiques et leurs pratiques en matière de sécurité de l'information.

Favoriser la collaboration : Encourager la collaboration et l'échange d'informations entre les communes, les autorités cantonales, les partenaires privés et académiques pour mieux appréhender les cybermenaces et coordonner la réponse en cas d'incident.

Table des matières

Objet de la convention : Mise en œuvre d’une force d’intervention cantonale pour soutenir les communes et associations intercommunales dans la lutte contre les cyber risques, contre rémunération de l’Etat (obligation générale de moyens)

Champ d’application de la convention : L’ensemble des 300 communes vaudoises et environ 140 associations intercommunales

Comité de pilotage : Comité opérationnel avec 4 représentants du Canton (avec présidence à la DGNSI) et 4 représentants des communes

Financement : Un financement des membres couvrant les coûts de 2 experts cybersécurité et la mise à disposition d’une réponse technique d’urgence au travers de prestaires privés locaux.

Entrée en vigueur : Signée en juillet 2023, pour un démarrage opérationnel au 1er janvier 2024 et jusqu’à fin 2027 (pour le premier cycle)

Grâce à la signature de la Convention, la force d'intervention cybersécurité cantonale (CSIRT) se dote de deux experts cybersécurité supplémentaires pour compléter l'équipe du Centre opérationnel de sécurité du Canton (SOC).

L'équipe du CSIRT (de l'anglais : Computer Security Incident Response Team) est au cœur de la stratégie de réponse aux cyber-incidents et est soutenue par des spécialistes de la cybercriminalité de la Police Cantonale Vaudoise et des experts en gestion de crise de l'État-major cantonal de conduite (EMCC).

Équipe du CSIRT :

  • S’assurer de la bonne délivrance des prestations contractualisées et proposer une méthodologie pour la délivrance du service aux communes
  • Définir et faire évoluer le service
  • Assurer un suivi des prestations et faire remonter un statut régulier aux membres du COPIL
  • Agir en tant que point de contact privilégié pour tous les échanges liés au service CSIRT
  • Organiser et participer à des évènements pour promouvoir la cybersécurité

Pendant une crise :

  • Gérer le pilotage de la crise
  • Assurer une réponse à incident efficace

  • Mobiliser et superviser les prestataires IRFA (si applicable)

Commune :

  • Gérer son système d’information de la manière la plus diligente possible (y compris en cas d’externalisation des prestations informatiques)
  • S’aligner sur les prérequis sécurité du Centre National pour la Cybersécurité (NCSC) / du Canton
  • Se tenir informé des actualités et des communications du CSIRT
  • Participer à leur bon vouloir aux évènements organisés dans le cadre de la Convention
  • Remonter régulièrement de l’information utile au répondant cybersécurité

Pendant une crise :

  • Autoriser le pilotage de la crise par l’équipe du service CSIRT
  • Prendre les décisions nécessaires à la gestion de crise
  • S’assurer de respecter les exigences légales (annonce à l’Autorité de la protection des données, dépôt de plainte, etc…) 
  • Gérer la communication de crise (communiqué de presse, informations aux employées, etc…)

Répondant(e) cybersécurité :

  • Agir en tant que point de contact privilégié entre la commune et le service CSIRT
  • Collaborer activement aux échanges ou demandes du CSIRT pour les actions à effectuer/implémenter
  • S’assurer de la mise en place des prérequis sécurité du Centre National pour la Cybersécurité (NCSC) / Canton
  • Remonter du feedback au CSIRT sur les besoins identifiés ou les points à améliorer dans les prestations
  • Prendre connaissance des documents fournis par le CSIRT et relayer l’information aux personnes concernées
  • Participer à son bon vouloir aux évènements organisés dans le cadre de la Convention

Pendant une crise :

  • Prendre contact avec le 117 en cas de suspicion d’incident critique (cyberattaque)
  • Annoncer les cyberincidents impactant l’entité ou un de ses prestataires externes au CSIRT
  • Activer la cellule de crise communale
  • Gérer la coordination avec les prestataires IT
 
 

    Cyber-prévention :

    • Formation : Mise à disposition de modules en ligne, d'une formation en présentiel via l'UCV et d'organisation d'exercice de gestion de crise (par exemple CYBER24)
    • Communauté : Organisation d'événement autour de la cybersécurité et renforcement du partenariat public-privé

    Cyber-résilience :

    • Conseils spécialisés : Support à la demande sur des thématiques liées à la cybersécurité
    • Standards minimaux : Création de standards minimaux cybersécurité pour supporter les membres dans leur démarche de sécurité de l'information et leur montée en maturité cyber
    • Veille et alertes : Notifications de vulnérabilités critiques et diffusion de bulletins sur les cyber-menaces

    Cyber-réaction :

    • Intervention 24/7 : Mobilisation du CSIRT via le numéro d'urgence 117
    • Conduite de crise : Pilotage de la crise et méthodologie d'intervention
    • Communication : Accompagnement dans la gestion de la communication interne et externe lors d'un incident
     

    FAQ - Convention

    Rechercher dans les questions

    Questions

    Avant toute cyberattaque, chaque commune ou association intercommunale devrait avoir désigné un point de contact cybersécurité avec un suppléant, disposer d'une cellule de crise intégrant des représentants de l’exécutif ou de la direction et de l’informatique, et élaborer un plan de continuité des activités (PCA) pour assurer la poursuite des services critiques en mode dégradé.

    Afin de diminuer au maximum le risque d’une cyberattaque il est recommandé d’appliquer les bonnes pratiques, telles que la sécurisation des accès distants, les sauvegardes hors ligne, la gestion régulière des correctifs, le filtrage rigoureux des courriels, etc.

    Le répondant cybersécurité agit comme relais privilégié entre la commune ou l’association intercommunale et le CSIRT. En cas de suspicion d’incident critique, le répondant cybersécurité :

    1. Contacte immédiatement le service d’urgence (117) ;
    2. Informer la cellule de crise communale pour coordonner la réponse ;
    3. Supervise la collaboration avec les prestataires IT afin de contenir et résoudre l’incident.

    Non, faire appel au CSIRT n’est pas obligatoire. En revanche, il est vivement recommandé d’informer la force cantonale d’intervention cybersécurité de tout cyberincident afin :

    • D’assurer une coordination et une surveillance au niveau cantonal ;
    • De faciliter la communication si d’autres communes ou associations intercommunales sont concernées.

    En cas de cyberattaque, il convient de composer le 117 afin d'être mis en relation avec l’unité cybercrime de la Police cantonale vaudoise, qui évaluera la situation et pourra solliciter l’intervention du CSIRT. Pour des incidents moins critiques, le répondant cybersécurité peut directement contacter le CSIRT par l'adresse e-mail dédiée.

    Les premières mesures seront données par la police, puis le CSIRT qui rappellera dans les meilleurs délais. Les premières actions recommandées sont notamment de déconnecter les équipements affectés, de déconnecter les sauvegardes, de préserver toutes les preuves disponibles sans effectuer de modifications sur les systèmes compromis, et d’informer la cellule de crise communale.

    Après l’alerte, le CSIRT assure une première réponse dans les meilleurs délais en rappelant la victime pour mettre en œuvre une assistance immédiate à distance. Si nécessaire, une intervention sur site sera organisée le jour même, ou dès le lendemain en cas d’alerte durant la nuit.

    Oui, le CSIRT intervient également en cas d’attaques de phishing ou de fraudes par email, même sans compromission majeure. Il peut analyser l’incident, conseiller sur les actions immédiates (blocage de compte, suppression d’e-mail, communication aux utilisateurs) et proposer des mesures de prévention renforcées.

    En cas d’attaques multiples, le CSIRT fixe seul l'ordre des priorités d'intervention, en s’appuyant sur des critères objectifs tels que la gravité de l’attaque, le type de services impactés, le statut de la menace et la sensibilité des données concernées. Le CSIRT agit selon un principe de subsidiarité et avec une obligation de moyens.

    Depuis le 1er avril 2025, les exploitants d’infrastructures critiques doivent déclarer toute cyberattaque ayant un impact sur la confidentialité, l’intégrité, ou la disponibilité du système informatique à l’OFCS dans les 24 heures suivant leur détection. L’annonce doit être faite via cette page https://www.report.ncsc.admin.ch/fr/ accessible directement depuis la page web d’accueil de l’OFCS.

    La LPrD (LPrD ; BLV 172.65) n’impose pas aux communes et aux associations intercommunales de notifier l’APDI en cas de fuite de données personnelles.

    Il est également recommandé de contacter la Police cantonale pour effectuer un dépôt de plainte.
    Le CSIRT peut accompagner les communes ainsi que les associations intercommunales dans ces démarches.

    Afin de minimiser l’impact d’une cyberattaque, toute attaque critique devrait être signalée immédiatement via le 117. La force cantonale d’intervention cybersécurité est joignable 24h sur 24 et 7 jours sur 7 au travers de l’appel au 117.

    Si la situation n’est pas critique, le répondant cybersécurité peut contacter le CSIRT par e-mail pour demander un support technique ou des conseils.

    La convention CSIRT couvre gratuitement l’accompagnement et la réponse d’urgence. La commune ou l’association intercommunale n’a aucun coût à prévoir pour cette prestation. Seuls les frais liés à l’intervention de prestataires externes (temps passé, expertise spécialisée, etc.), que la victime choisit librement, seront facturés à la commune ou l’association intercommunale. Le recours à ces prestataires reste facultatif.

    L’activité du CSIRT lors d’une cyberattaque s’arrête après la phase d’analyse et lorsque la gestion de crise est en place. Les phases de redémarrage des activités de la commune ou l’association intercommunale et de reconstruction de l’infrastructure informatique se poursuit selon les plans établis avec l’équipe informatique.

    Néanmoins le CSIRT peut mettre en place des prestations complémentaires pour tirer les enseignements de l’incident et renforcer votre sécurité :

    • RETEX (RETour d’EXpérience)
      Organisation d’une séance de retour d’expérience pour analyser le déroulement de la crise, identifier les enseignements clés et capitaliser sur ces retours.
    • Plan d’actions d’amélioration
      Accompagnement à la définition d’un plan d’actions correctives et d’améliorations, basé sur les vulnérabilités exploitées et les points faibles mis en évidence lors de l’attaque.

    Note : Le CSIRT s’arrête à l’élaboration de ce plan ; la mise en œuvre opérationnelle (reconstruction du système d’information, déploiement des correctifs, audits techniques approfondis, etc.) relève des prestataires IT ou intégrateurs choisis par la commune ou l’association intercommunale.

    Partager la page

    Partager sur :