La transformation numérique est vitale pour les municipalités du Québec. Elle présente plusieurs avantages, tels que l’amélioration de l’efficacité administrative, une meilleure gestion des ressources et une interaction facilitée avec les citoyens. Elle a le potentiel de contribuer à répondre à des défis locaux et à améliorer la qualité de vie des communautés. Cependant, cette transition comporte aussi des risques importants qu’il est crucial de prendre en compte.
Les administrations municipales sont de plus en plus conscientes des avantages liés à
l’utilisation des technologies dans la gestion de leurs infrastructures et des services rendus aux
citoyens. Néanmoins, puisque de nouveaux risques émergent avec l’utilisation de celles-ci, des mesures
doivent être prises pour garantir la sécurité des réseaux, protéger les données de même que
s’assurer que le personnel et les citoyens prennent part au processus.
La planification est la clé du succès quand vient le temps d’entreprendre des démarches de
transformation technologique. Avant d’entamer un projet de transformation numérique, il est
important de se doter d’une vision et d’une stratégie à court, moyen et long termes, en
fonction des priorités, afin d’être en mesure de bien évaluer les risques.
Sécurité des données confidentielles
Cyberattaques
Le risque premier est celui de la sécurité des données. Plus les technologies sont présentes dans les
municipalités, plus les risques de cyberattaques sont élevés et plus les dommages peuvent être
coûteux1. Les outils numériques sont vulnérables à plusieurs types d’attaques qui peuvent gravement
compromettre la sécurité des informations sensibles des citoyens et des partenaires de la municipalité.
Les cyberattaques contre de petites et moyennes municipalités sont de plus en plus fréquentes. Les
cybercriminels peuvent pénétrer les systèmes municipaux pour voler, modifier ou détruire des
données confidentielles. Ils peuvent aussi utiliser des logiciels de rançon (ransomware) pour chiffrer
les données municipales et exiger un paiement pour leur déchiffrement.
Similairement, un employé peut être ciblé par une campagne de phishing, où des attaquants tentent
d’obtenir des informations sensibles par tromperie. Les cybercriminels peuvent aussi utiliser des techniques d’ingénierie sociale pour manipuler les employés afin d’obtenir un accès aux systèmes protégés et ainsi voler ou trafiquer des données confidentielles.
Fuite de données
Il arrive que les informations confidentielles détenues par une municipalité soient volées par des employés ou par des tiers. Les données peuvent également être partagées involontairement par des employés non formés ou même par simple négligence.
Comme les solutions des villes intelligentes sont généralement développées en collaboration avec
des entreprises informatiques privées, celles-ci en viennent à gérer d’immenses bases de données
qui contiennent beaucoup d’informations confidentielles.
Les municipalités doivent veiller à la protection des données personnelles conformément aux
lois en vigueur, comme la Loi sur la protection des renseignements personnels. Dans un premier
temps, la municipalité doit s’assurer que les données collectées sont utilisées de manière éthique et
transparente, en respectant la vie privée des citoyens. Elles doivent également être transparentes sur la manière dont les données sont collectées, utilisées et protégées.
Faille de sécurité
Il peut arriver que des logiciels utilisés par les municipalités présentent des vulnérabilités qui
peuvent être exploitées par des attaquants. Il est important de bien gérer les logiciels installés sur les
postes de travail et de contrôler l’accès.
Mesures de sécurité défaillantes
Par manque de ressources financières et humaines ou par manque de connaissances ou de formation, il
peut arriver qu’il y ait une inadéquation des mesures de sécurité visant les systèmes informatiques des
municipalités. Certains manquements au niveau de la sécurité augmentent considérablement les chances
que des cybercriminels aient accès aux données confidentielles, notamment :
› L’absence de politiques et de protocoles de
sécurité robustes;
› L’absence de mesures de sécurité physique
adéquates pour protéger les serveurs et
autres équipements importants;
› Le contrôle inadéquat des accès aux logiciels;
› L’utilisation de mots de passe trop faibles ou
facilement prévisibles;
› L’absence de chiffrement des données critiques.
Risques humains
Communauté
Il est essentiel qu’une municipalité puisse communiquer avec l’ensemble des citoyens sur son
territoire. Or, tous les citoyens n’ont pas un accès égal aux technologies numériques, ce qui peut
creuser la brèche numérique et exclure certaines populations des services municipaux.
De plus, certains citoyens ayant des handicaps doivent être considérés dans le virage numérique.
Les plateformes doivent être accessibles à tous également.
Employés
Avec tout grand changement vient une certaine résistance. La nécessité d’acquérir rapidement
de nouvelles compétences peut être source de stress et de pression pour les employés, ce qui
peut nécessiter des stratégies de gestion du changement.
L’hyperconnectivité, l’état d’être constamment connecté aux technologies numériques et aux
réseaux de communication, peut devenir un risque important pour les employés. Les impacts
peuvent se faire ressentir sur leur santé mentale et physique, sur l’équilibre travail-vie personnelle et
sur leur productivité au travail.
Comment mitigier les risques?
Pour atténuer les risques d’attaques contre les systèmes informatiques et les serveurs,
les municipalités doivent mettre en oeuvre les meilleures pratiques en matière de cybersécurité.
Cela implique d’implémenter des mesures de sécurité robustes, telles que :
› Des politiques de sécurité claires et détaillées
couvrant tous les aspects de la sécurité des
données;
› Des mesures de sécurité physique pour
protéger les installations et les équipements
contenant des données critiques;
› Des méthodes d’authentification
multifactorielle pour accéder aux systèmes
critiques;
› Des solutions de gestion des identités et
des accès pour gérer les droits d’accès des
utilisateurs en fonction de leurs rôles;
› Des protocoles de chiffrement robustes
pour protéger les données lors de leur
transmission et lorsqu’elles sont stockées;
Des mises à jour et des correctifs de sécurité
pour l’ensemble des logiciels et systèmes
d’exploitation;
› Des sauvegardes régulières des données
critiques;
› Des systèmes de surveillance pour détecter
et prévenir les intrusions et les activités
suspectes;
› Des technologies d’intelligence artificielle
et de machine learning pour détecter les
anomalies et les menaces de manière
proactive;
› Un plan de réponse aux incidents pour gérer
efficacement les violations de données et
minimiser leur impact;
› Un plan de reprise après sinistre pour
garantir la continuité des opérations en cas
d’incident majeur.
L’implication des employés n’est pas à négliger. Ils doivent être sensibilisés aux cyberrisques et formés
aux bonnes pratiques de sécurité informatique afin d’éviter qu’ils commettent des erreurs qui
compromettraient la sécurité des données. L’instauration de programmes de formation continue est un des meilleurs moyens de protéger les municipalités contre les nouvelles menaces. Il
est également important de prévoir une politique de droit à la déconnexion pour mitiger les risques
d’hyperconnectivité des employés.
Le service de cybersécurité de la Fédération québécoise des municipalités (FQM) offre au
monde municipal des solutions de calibre mondial à prix compétitifs afin de les soutenir dans leur
transformation numérique tout en minimisant les risques. De plus, le Fonds d’assurance des
municipalités du Québec offre une assurance des cyberrisques conçue pour protéger les municipalités
qui seraient victimes d’une attaque.
1 Deloitte, Des villes intelligentes et sécuritaires : un potentiel énorme et
de grands défis