�

Mme LA MAIRE DE PARIS. - La premi�re question d'actualit� est pos�e par le groupe Radical de gauche, Centre et Ind�pendants.

M. Jean-Bernard BROS, son pr�sident, a la parole.

M. Jean-Bernard BROS. - Merci, Madame la Maire.

Mes chers coll�gues, peu nombreux, mais n�anmoins, l'actualit� r�cente nous montre que la question de la s�curit� des r�seaux num�riques d'une collectivit� doit �tre une pr�occupation majeure.

Le premier fait r�cent auquel nous pensons est le piratage des panneaux informatifs de la Ville, avec message adress� � un ancien candidat � la pr�sidentielle. Cet �pisode sans grande cons�quence et plut�t humoristique a cependant montr� la vuln�rabilit� de nos syst�mes d'information. Nous souhaiterions donc, tout d'abord, savoir si la Ville en sait plus sur ce piratage et si les dispositions ont �t� prises pour emp�cher une telle intrusion.

Un autre fait pr�occupant nous vient de l'actualit� nationale�: des informations personnelles, s�curis�es ont �t� diffus�es sur les r�seaux par des "hackers" mal intentionn�s et ces donn�es sont encore, � ce jour, publiques. La Ville de Paris a su prendre le pas de l'innovation en utilisant de plus en plus fr�quemment le num�rique pour sa communication notamment, mais aussi dans sa relation aux administr�s et dans la gestion des services publics. Nous saluons, bien entendu, cette �volution. Il ne s'agit pas l� de la mettre en cause. Cependant, cela augmente notre vuln�rabilit� aux cyberattaques. Dans son dernier rapport d?activit�, l'Agence nationale de la s�curit� des syst�mes d'information (A.N.S.S.I.) r�sumait le sujet ainsi�: "Les technologies num�riques procurent des gains de productivit� et sont donc sources de richesse et de comp�titivit� pour notre pays, mais elles induisent �galement des vuln�rabilit�s nouvelles. La cyber-s�curit� est devenue, de ce fait, une condition structurante, non seulement de la sauvegarde de notre patrimoine �conomique et intellectuel, mais aussi de la protection physique de nos citoyens." Les collectivit�s sont devenues des cibles des cyberattaques et ce, � plusieurs titres. De par leur visibilit� sur Internet, elles offrent des surfaces pour des messages de revendication et propagande, comme cela a �t� le cas sur les panneaux informatifs. Elles h�bergent aussi de nombreuses donn�es personnelles qui pourraient �tre sabot�es ou r�cup�r�es � des fins p�cuniaires ou malveillantes. Les collectivit�s d�tiennent notamment l'�tat civil. Il ne faudrait pas qu'un jour, ces fichiers puissent �tre modifi�s par des attaquants. Enfin, d'autres domaines comme les objets connect�s que sont les smartphones repr�sentent une augmentation de la surface d'attaque. Si ces objets ne sont pas correctement configur�s et s�curis�s, ils offrent une porte d'entr�e � d'�ventuels attaquants. Face � cela, les acteurs publics se mobilisent. L'A.N.S.S.I. est devenue un support pour les collectivit�s. Elle a indiqu� avoir re�u plus de 50 % de signalements en plus entre 2014 et 2015, prouvant la n�cessit� de se pencher sur la question. En outre, pour que les collectivit�s s'�quipent contre le risque num�rique, la l�gislation a �t� grandement renforc�e. La loi pour une R�publique num�rique ainsi que la r�glementation europ�enne ont rendu obligatoire la protection des donn�es personnelles afin de responsabiliser les acteurs qui les traitent. Les sanctions � leur �gard ont �t� renforc�es et les amendes pourront s'�lever � 20 millions d'euros, notamment pour les collectivit�s. Ainsi, les �lus du groupe R.G.C.I. souhaitent savoir si la Ville a subi des attaques ou tentatives d'attaque, de quel ordre ont �t� ces piratages et surtout quels sont les dispositifs de d�fense et de protection mis en place. Je vous remercie.

Mme LA MAIRE DE PARIS. - C'est moi qui vous remercie, Monsieur le Pr�sident.

Je donne la parole � M. Emmanuel GR�GOIRE pour vous r�pondre.

M. Emmanuel GR�GOIRE, adjoint. - Merci beaucoup, Madame la Maire.

Merci, Monsieur le Pr�sident, pour votre question sur un sujet s�rieux dont on ne parle jamais, � part dans les moments o� survient un drame ou des menaces objectiv�es.

Tout d?abord, pour vous dire que le piratage et la s�curisation des syst�mes d'information, c?est une zone de risque ancienne, mais in�dite par l'ampleur qu'a pris le ph�nom�ne et par la sophistication des menaces d�ploy�es.

La Ville, depuis longtemps, a travaill� � un plan de s�curisation informatique et c'est l'occasion pour moi de vous faire un point complet sur le sujet.

La DSTI, la Direction des Syst�mes et Technologies de l'Information de la Ville, a mis en place une cellule S�curit� charg�e de veiller, de mani�re prescriptive et pr�ventive, � la mise en place d'un certain nombre de pare-feu - pour reprendre un mot de s�curit� - afin d'anticiper et de pr�venir le risque.

Comment le fait-on�? On le fait par la formation tout d'abord de l'ensemble des agents car l'une des causes principales d'introduction dans les syst�mes d'information, c?est en faisant appel � la cr�dulit� ou � l'incompr�hension des usagers�; on d�clenche donc un acte volontaire d'une personne autoris�e qui permet ensuite, via diff�rents dispositifs complexes et vari�s, de s'introduire frauduleusement dans les syst�mes d'information.

Comment a-t-on proc�d�? Vous l'avez �voqu�, je le reprends donc�: nous utilisons le guide des bonnes pratiques de l?A.N.S.S.I., l?Agence nationale de s�curit� des syst�mes d'information qui � la fois �dicte des r�gles de bonnes pratiques en mati�re de param�trage et de pr�vention du risque d'introduction frauduleuse et aussi via la certification d'un certain nombre de prestataires qui peuvent �tre amen�s � faire des audits et des contr�les externes, ce qui est fait r�guli�rement.

Le deuxi�me pilier de la politique en mati�re de s�curit� - �videmment, je redis qu'il a pris une importance particuli�re du fait de la croissance du nombre de services num�riques, du stockage des donn�es, y compris pour faciliter la vie des usagers, mais il est donc du devoir de la Ville de garantir la s�curit� totale de ces donn�es -, c'est la formation des agents eux-m�mes en mati�re de s�curit� informatique et, au-del�, des usagers.

Toutefois, nous avons des zones de risques � certains endroits et notamment, nous externalisons un certain nombre de services publics ou nous coop�rons des services publics avec des partenaires ext�rieurs. Nous devons donc r�guli�rement aller surveiller la s�curit� de ces syst�mes d'information et, par d�finition, le risque 0 n'existe pas.

Cela permet de revenir sur votre question pr�cise�: y a-t-il eu des attaques et des tentatives de piratage�? Oui, il y en a r�guli�rement. Pour la plupart, ce sont des choses tout � fait mineures et assez m�diocres en termes de qualit� technique, � l'exception d'un qui a fait l'objet d'une m�diatisation et que vous avez bien en t�te. Il ne serait pas grave s'il n'�tait pas une atteinte probl�matique � la d�mocratie. Il s'agit du piratage du syst�me de panneaux lumineux, Lumiplan.

Nous avions proc�d� � un premier audit de la s�curit� de ces panneaux d'information suite � un premier piratage qui avait eu lieu dans la ville de Lille, pour v�rifier que nous n'�tions pas fragilis�s sur le m�me type de dispositifs. A l'�poque, il s'agissait d'un piratage hertzien�: les panneaux �taient actualis�s par message radio et les pirates, en se mettant � proximit�, avaient utilis� un signal radio pirate pour mettre le message qu'il souhaitait. Nous sommes � l'abri de ce risque car � la Ville, c?est un dispositif enti�rement filaire.

Cependant, il y a une enqu�te et un d�p�t de plainte. Je ne vais pas, � ce stade, rentrer dans le d�tail, les investigations sont en cours. N�anmoins, il s'agit d'une introduction frauduleuse sur l'applicatif qui sert, par Internet - pour le dire clairement -, � introduire les messages qui sont ensuite affich�s. L'enqu�te dira - je ne veux pas �tre plus pr�cis ici - dans quelles conditions et par qui, si les policiers arrivent � le d�couvrir.

C'est � la fois montrer que nous sommes en fragilit�, mais aussi montrer que l'on a r�agi tr�s vite car il n'a fallu que quelques minutes pour que la DSTI, d�s qu?elle en a �t� alert�e, fasse les correctifs le plus vite avec la Direction de la communication�; et vous adresser un message � la fois de vigilance et de confiance sur la s�curit� de notre infrastructure de syst�mes d'information qui fait l'objet d'un suivi vraiment extr�mement rigoureux de la DSTI.

J?en profite d?ailleurs pour les remercier car, parfois, ce n'est pas du piratage, mais cela peut �tre un "bug" informatique. Ils sont disponibles 24 heures 24, 7 jours sur 7 pour faire red�marrer les machines quand il le faut.

C'est en vigilance et il faut constamment dialoguer avec l'A.N.S.S.I. et les prestataires sp�cialis�s de la s�curit� informatique pour s'assurer que, si le risque minimum n'existe pas, l'obligation de moyens que nous devons aux Parisiens est bien mobilis�e.

Mme LA MAIRE DE PARIS. - Merci beaucoup.

Est-ce que, Monsieur le Pr�sident, vous souhaitez reprendre la parole�?

M. Jean-Bernard BROS. - Je remercie Emmanuel GR�GOIRE pour sa parole, qui est tout � fait conforme � ce que je souhaitais. Merci.

Mme LA MAIRE DE PARIS. - Merci beaucoup.

�