Cybermenaces : les municipalités peuvent renforcer leur préparation
Un récent webinaire organisé par NATIONAL en collaboration avec la Fédération Québécoise des Municipalités (FQM), et animé par l’auteur, a réuni des experts pour sensibiliser les gestionnaires municipaux aux enjeux grandissants de la cybersécurité. Face à la multiplication des cyberattaques visant les organisations publiques, une stratégie globale alliant prévention, détection, intervention rapide et communication transparente s’avère indispensable.
« Les municipalités sont des cibles de choix pour les cybercriminels », a expliqué Xavier Trépanier de Palo Alto Networks. Il ajoute que « les cyberattaques contre les municipalités représentent un risque bien réel et grandissant. Selon les experts, près de 39 % des organisations gouvernementales et municipales ont déjà été victimes d’une cyberattaque, plaçant le secteur public parmi les plus ciblés, tout juste derrière le transport et la logistique. Bien que la détection des intrusions devienne plus rapide, les attaquants utilisent l’IA pour améliorer des techniques classiques comme le rançongiciel, l’hameçonnage ou l’exfiltration afin de dérober des données confidentielles des citoyens ou paralyser des systèmes critiques. »
Les obligations de la Loi 25 – aussi pour les municipalités
Une préparation en amont est cruciale. « Les municipalités doivent connaître leurs obligations légales et mettre en place des mesures de protection appropriées », a souligné Me Natacha Boivin, associée, RPRP du Groupe TJC Inc. « Cela passe notamment par la mise en place d’une gouvernance des données conforme à la Loi 25 sur la protection des renseignements personnels, l’adoption de politiques de sécurité encadrant l’utilisation des technologies, ainsi que le chiffrement et la sauvegarde régulière des données sensibles. »
La Loi 25 impose désormais des obligations strictes en cas d’incident de confidentialité, telle que l’évaluation des risques de préjudice, la notification des personnes concernées si nécessaire, l’avis à la Commission d’accès à l’information, et la tenue d’un registre des incidents. Le non-respect de ces obligations peut entraîner de lourdes sanctions, tant financières que réputationnelles. Les municipalités doivent donc se tenir informées des évolutions réglementaires et s’assurer de respecter scrupuleusement ces exigences légales, peu importe leur taille.
Se préparer en amont
Un plan de réponse aux incidents doit également être élaboré, incluant la création d’une cellule de crise assignée regroupant des représentants de différents services clés comme les TI, les communications, les ressources humaines et le légal.
« En cas d’incident, il est recommandé de faire appel à un “breach coach” », souligne Roxanne Carrier, avocate spécialisée en protection des données chez Norton Rose Fulbright. « Nous jouons le rôle de chef d’orchestre pour coordonner la réponse à l’incident, s’assurer du respect des obligations légales, protéger certaines informations grâce au secret professionnel. »
La gestion de la communication est également primordiale. Il faut préparer des modèles de communiqués avant une crise, identifier les porte-parole, prévoir les canaux de communication alternatifs, et être transparent avec les parties prenantes. Une communication mal maîtrisée peut aggraver la crise et entacher durablement la réputation de la municipalité, ce qui peut entraîner des conséquences sur la confiance des citoyens et des partenaires. Il est donc essentiel de former les équipes à la communication de crise et de mettre en place des procédures claires et efficaces.
« La communication en situation de crise est essentielle, autant à l’interne pour mobiliser les troupes qu’avec les parties prenantes externes comme les citoyens, les médias et les autorités concernées », a insisté Sabrina Duguay, vice-présidente chez NATIONAL.
Lors d’un incident majeur, une stratégie de communication bien rodée permet d’informer rapidement et de façon transparente sur la situation, d’éviter la propagation de fausses informations et de préserver la réputation de l’organisation. Une simulation d’attaque permet de tester et d’améliorer le plan d’intervention, mais encore faut-il qu’il existe et soit à jour. « Il faut s’entraîner pour être prêt à réagir rapidement et efficacement en cas d’incident », a ajouté Sabrina Duguay.
Éviter les maux de tête
La cybersécurité est un enjeu complexe qui nécessite une approche globale impliquant tous les niveaux de l’organisation municipale. « Il faut une volonté politique forte et un leadership engagé de l’administration municipale pour mettre en place une véritable stratégie de cyberdéfense », déclare Sabrina Duguay. L’allocation de ressources financières et humaines dédiées à la gestion de crise est indispensable, tout comme l’établissement de partenariats avec des experts externes au besoin.
Face à la multiplication des cybermenaces, les municipalités doivent donc adopter un plan d’action complet alliant prévention, détection, intervention rapide et communication transparente. Une préparation adéquate, incluant des simulations, peut éviter bien des maux de tête et des coûts importants liés à une cyberattaque majeure paralysant des services essentiels. La formation des employés, le renforcement des mesures de sécurité et une stratégie de communication de crise bien rodée sont donc des éléments clés pour assurer la résilience et la continuité des opérations des organisations municipales face aux menaces cybernétiques grandissantes.