B3.

1 Protéger
les données à SÉCURISER LES ÉQUIPEMENTS ET LES USAGES DES
caractère UTILISATEURS
personnel

Rappel du contexte :
La mairie du Mans est organisée en différents services : dont le cabinet du maire, la direction
générale des services, la direction voirie et espaces publics, des espaces verts, la direction
des systèmes d'informations (DSI) etc....
Pour mener à bien leurs missions, les agents de la mairie doivent manipuler une grande
quantité d'informations dans des domaines variés. Cela inclut des données à caractères
personnel (Des habitants, des employés, des entreprises localisées dans la ville ou partenaire
etc....) ou des données sensibles concernant l'activité générale de toute la municipalité.
L'activité de la ville repose sur un système d'information (SI) administré par la DSI. Ce
service, dirigé par M Smith, s'articule en 4 pôles

⮚ Le pôle sécurité et infrastructure réseaux (2 administrateurs réseaux, 1 Ingénieur

système, 1 technicien)
⮚ Le pôle infrastructure système (1 responsable d'exploitation et 2 techniciens
systèmes)
⮚ Le pôle support aux utilisateurs (4 techniciens helpdesk)
⮚ Le pôle application métiers (4 Chef de projet informatique + 2 développeurs)

Vous travaillez en tant que technicien réseaux et sécurité dans le pôle du DSI.
Le système d'information de la ville compte plus de 1 500 postes de travail et 2 000 comptes
utilisateurs gérés par un annuaire Microsoft Active Directory.

Le Directeur Général des services interroge le service informatique concernant la

sécurisation de son SI. Il souhaite que vous lui fassiez un rapport sur les solutions à mettre en
place au sein de la collectivité pour réduire les risques de Phishing / CryptoLocker ainsi
qu'une proposition de notice ou procédure à destination des différents agents des services et
les élus pour les sensibilisés aux risques du numérique.
Les agents disposent tous d’un poste de travail sous Windows, les élus de tablette IPAD.

Travail attendu :
Un document en deux parties. La première partie comprend un rapport pour répondre à
l'interrogation du DGS (Attention à la forme de votre document), puis une seconde partie où
vous devez rédiger une notice, une procédure, une feuille conseil.... Libre de choix. La mise
en forme de vos deux parties doit refléter la collectivité où vous travaillez. (Voir moodle
dossier Images)
A vous de faire en sorte que le document donne envie aux utilisateurs d’en prendre
connaissance afin de les sensibiliser à l'usage de la messagerie, leurs identifiants, les
données utilisateurs, l’échange de données, le stockage et/ou archivage des documents.
Attention aux équipements entre les agents et les élus.
Il est important que dans la note à destination du DGS, d’utiliser l’ensemble de vos
connaissances acquis lors des derniers TP de Cyber, mais aussi de vous référez aux bonnes
pratiques de l’ANSSI et d’en mentionnez certaines. (Voir liens ressources)

Quelques liens ressources

https://www.lagazettedescommunes.com/854704/cybersecurite-les-bonnes-pratiques-sur-le
squelles-il-ne-faut-pas-transiger/

https://www.lagazettedescommunes.com/491411/cybersecurite-les-collectivites-territoriales-
des-cibles-potentielles-sous-surveillance/

https://www.lagazettedescommunes.com/780768/cybercriminalite-nous-ne-voulons-plus-quu
n-elu-nous-dise-je-ne-savais-pas/

https://www.lagazettedescommunes.com/509409/cybersecurite-quand-les-collectivites-pren
nent-la-mesure-du-probleme/

https://www.cybermalveillance.gouv.fr/bonnes-pratiques

https://cyber.gouv.fr/
Objet : Sécurisation du Système d'Information de la Mairie du Mans

Cher Directeur Général des services,

En tant que membre du pôle réseaux et sécurité au sein de la Direction des Systèmes
d'Informations (DSI) de la Mairie du Mans, nous partageons votre préoccupation quant à la
sécurité du système d'information (SI) de notre institution, qui gère un volume important de
données sensibles.

Suite à votre demande d'information, nous avons réalisé une analyse approfondie et identifié
des mesures cruciales pour réduire les risques de Phishing et de CryptoLocker (Ransomware)
au sein de notre SI. Nous souhaitons vous présenter ces recommandations et discuter de leur
mise en œuvre au sein de notre environnement.

I. Sensibilisation et Formation :
La sensibilisation des utilisateurs constitue la première ligne de défense contre des attaques
telles que le Phishing. Nous recommandons la mise en place d'une campagne de formation
continue destinée à tous les agents et élus, axée sur les points suivants :

● Identification des tentatives de Phishing

● Prévention des attaques de type CryptoLocker
● Gestion de mots de passe robustes

II. Mise en Place de Filtrage et de Pare-feu :

Pour contrer les attaques dès leur origine, nous suggérons d'implémenter des solutions de
filtrage des e-mails et de renforcer le pare-feu du réseau. Ces dispositifs contribueront à
bloquer les tentatives de Phishing et à limiter la propagation de logiciels malveillants.

III. Utilisation de la Double Authentification (2FA) :

Nous préconisons l'adoption de la double authentification (2FA) pour renforcer la sécurité des
comptes utilisateurs. Cette mesure offre une couche supplémentaire de protection en
demandant une confirmation via un second moyen d'identification, réduisant ainsi les risques
liés aux accès non autorisés.

IV. Mises à Jour Régulières et Gestion des Privilèges :

Il est impératif de maintenir à jour l'ensemble des systèmes et logiciels, y compris les
tablettes iPad des élus. Par ailleurs, nous recommandons la mise en place d'une politique de
gestion des privilèges visant à limiter l'accès aux données sensibles aux seules personnes
nécessitant ces informations dans le cadre de leurs missions.

V. Sauvegardes Régulières et Plan de Reprise d'Activité :

La mise en place de sauvegardes régulières revêt une importance cruciale pour minimiser les
risques liés aux attaques de type CryptoLocker (Ransomware). Nous préconisons également
l'élaboration d'un plan de reprise d'activité afin d'assurer la continuité des services en cas
d'incident majeur.

Nous sommes disponibles pour discuter plus en détail de ces recommandations et collaborer
étroitement à la mise en œuvre de ces mesures au sein de la Mairie du Mans. La sécurité de
notre système d'information étant une priorité partagée, nous sommes déterminés à
renforcer ensemble notre posture de sécurité.

Cordialement,

Goualard Melvyn, technicien réseaux et sécurité dans le pôle du DSI

p. 3