Comment la province de Gelderland aide 42 municipalités à devenir résilientes Cyber.

Renforcer la résilience Cyber des municipalités de Gelderland

La cybercriminalité est un défi croissant, y compris pour les municipalités néerlandaises. La province de Gelderland souhaitait aider les municipalités de la province à accroître leur résilience Cyber. Elle l'a fait en partenariat avec le Bureau Veritas Cybersecurity. Le projet Troy a été un grand succès. Il était difficile d'estimer à l'avance le nombre de municipalités qui participeraient au projet. Nous sommes donc très heureux que 42 municipalités se soient inscrites. Cela montre que l'intérêt pour ce sujet est énorme", déclare Marjolein Zeeman, chef de projet dans la province de Gelderland.

Qu'est-ce que le projet Troje ?

Le projet Troje est un cyberdéfi lancé dans la province de Gelderland", explique Marjolein Zeeman. Elle travaille comme chef de projet pour la résilience dans la province de Gelderland et supervise les projets de lutte contre la subversion criminelle dans la province. 'L'objectif principal était de sensibiliser à la cybercriminalité. Nous constatons, comme tout le monde, que la cybercriminalité augmente énormément. Nous voulions faire quelque chose à ce sujet.

Une mesure de référence comme base

Le défi, qui s'est déroulé jusqu'à la fin de l'année 2023, comprenait deux parties, explique M. Zeeman : Nous avons proposé aux municipalités qui souhaitaient participer - la participation était volontaire - une mesure de référence. Dans six domaines, leur niveau actuel de résilience Cyber a été testé. Les municipalités ont ensuite reçu des recommandations sur les améliorations à apporter en fonction des résultats obtenus". Ces mesures de référence ont été réalisées par Bureau Veritas Cybersécurité.

Floris Duvekot de Bureau Veritas Cybersecurity explique ce qui a été mesuré : 'Nous avons mesuré, par exemple, l'état de la sécurité technique et des processus. Nous avons également mesuré la manière dont les employés de la municipalité géraient la sécurité. Au cours de l'une des mesures, l'un de nos ingénieurs sociaux éthiques a tenté de s'introduire dans les municipalités participantes. Les trois municipalités qui ont obtenu les meilleurs résultats en matière de sécurité ont été récompensées par une "red teaming assessment", c'est-à-dire une "red cell", une version compacte de la "red teaming", explique M. Zeeman. Ces municipalités - Aalten, Arnhem et Doesburg - ont été entièrement contrôlées par Bureau Veritas Cybersecurity.

Un besoin énorme

À l'avance, M. Zeeman ne savait pas combien de municipalités participeraient au défi : "Gelderland compte 51 municipalités. Nous ne savions pas à l'avance si une ou 51 municipalités participeraient", ce qui a rendu la préparation et l'appel d'offres pour le projet difficiles. Nous ne nous attendions pas à ce que 42 municipalités s'inscrivent : cela représente plus de 80 % des municipalités de Gelderland. Cela montre que les besoins sont énormes dans cette région. Nous sommes très heureux d'avoir pu aider autant de municipalités à faire un pas vers l'augmentation de leur résilience Cyber.'

Point de contact : Les RSSI

Mme Zeeman et son équipe ont choisi d'approcher les RSSI des municipalités de Gelderland comme point de contact pour le projet. Ils ressentent mieux que quiconque l'urgence de cette question. Ils sont également les mieux placés pour communiquer avec le reste de l'organisation". Inviter personnellement tous les RSSI des municipalités a été un travail intensif, mais nous y sommes parvenus : "En fin de compte, nous avons parlé à tous les RSSI en tête-à-tête pour répondre à leurs questions. Ils étaient également présents à la réunion de lancement. Ce projet a donc eu pour effet secondaire la formation d'un réseau de RSSI des municipalités de Gelderland.

Coopération avec Bureau Veritas Cybersecurity

Après que Mme Zeeman et son équipe ont approché toutes les municipalités de Gelderland, que les municipalités ont signé et que tous les documents de sauvegarde et les accords de traitement ont été organisés, Bureau Veritas Cybersécurité a pris en charge la mise en œuvre du projet. J'ai beaucoup apprécié de travailler avec Bureau Veritas Cybersecurity", déclare M. Zeeman. L'équipe a bien géré le projet.

Floris Duvekot, chef de projet chez Bureau Veritas Cybersecurity, déclare à propos de la collaboration : "Comme la province a supervisé le lancement du projet et a effectué une grande partie du travail préliminaire, les municipalités ont eu suffisamment de temps pour poser leur candidature. Cela nous a également donné le temps de préparer correctement les mesures de référence. En discutant mensuellement des progrès avec la province, la coopération a été très transparente. Ce qui était unique dans ce projet, c'est que la province n'avait pas accès aux résultats des mesures de référence. Son rôle était totalement facilitateur. J'ai beaucoup apprécié la confiance mutuelle dans cette collaboration".

Ce qu'il faut faire et ce qu'il ne faut pas faire

Zeeman reçoit de nombreuses questions de la part d'autres provinces et organisations à propos de ce projet. J'ai l'habitude de dire : allez-y, faites-le. Nous avons constaté qu'il y a un énorme besoin de partage des connaissances sur ce sujet". conseille Zeeman :

• Investissez dans des contacts personnels avec les RSSI et les autres personnes concernées. Cela prend du temps, mais l'investissement en vaut la peine. N'oubliez pas d'inclure également le conseil d'administration, afin que le sujet soit vraiment pris en compte par ce groupe".
• Prenez beaucoup de temps. C'est vraiment nécessaire pour un projet d'une telle ampleur. Nous avons passé un an entre le lancement et la clôture de l'appel d'offres. La mise en œuvre a ensuite pris plus d'un an.