Foire aux questions

Convention cybersécurtié entre le Canton et les communes

La convention ne prévoit pas de gestion automatisée des logs des commune et associations de communes. Comme indiqué à l’art. 1, « Les prestations de support, d'installation ou d'intégration informatiques de produits ou services de sécurité aux communes ou associations intercommunales sont également exclues du support du CSIRT ».

Il est très compliqué en raison de l’évolution technique rapide dans le domaine de pouvoir nous avancer sur un développement des prestations que pourrait fournir le Canton à l’avenir.

Des prestations complémentaires de cybersécurité que le Canton pourrait mettre à disposition des communes peuvent bien sûr être développées. Aujourd’hui, une analyse centralisée de journaux informatiques (logs) n’est pas l’option privilégiée par la DGNSI en raison de la complexité de sa mise en œuvre (implémentation, maintenance, accès aux données ; le SOC souhaiterait plutôt valoriser un concept MDR (Managed Detection & Response) proposant de remplacer les antivirus existants d’une institution communale et organiser une surveillance active centralisée des alertes au SOC. Elle aurait l’avantage d’une mise en place et d’une maintenance simplifiée et d’apporter une réponse performante face aux cyberrisques les plus probables (blocage automatique des menaces et visibilité maximale lors d’un incident).

Oui, il est prévu de mettre à disposition des sets de documents facilitant la compréhension et la mise en place des prérequis comme par exemple : des modèles de documents (standards, directives, plan de continuité, …), des fiches de contrôle (checklist), ...

Dans la convention, il est mentionné au point « 5.2 Autres prestations : Prérequis technologiques et organisationnels »

  • « Pour garantir la bonne délivrance des prestations fournies par l’Etat de Vaud, les mandants s’engagent à ce que les communes et les associations intercommunales respectent les étapes suivantes  … » : il n’est pas possible d’imposer un niveau d’exigence mais, sans la couverture de ces prérequis, la bonne délivrance des prestation ne pourra être garantie (donc plus d’impacts opérationnels / financiers pour l’entité communale victime) 

De plus, pour rappel, comme mentionné au chap « 6.1 Principes d’intervention et de collaboration » :

  • « Les Mandants reconnaissent que le CSIRT est tenu à une obligation générale de moyens dans le cadre de ses prestations. Le CSIRT travaille sur un principe de subsidiarité en mode "meilleur effort" (ne peut pas sauver une entité qui n'aurait par exemple pas de sauvegarde pour ses données). »

Oui, l’analyse forensique fait partie intégrante des tâches de la force d’intervention CSIRT. En cas de cyberattaque, il est en effet absolument nécessaire d’analyser les traces numériques pour clarifier le plus précisément possible : par où les criminels ont pénétré le système informatique ? qu’ont-ils possiblement compromis ? et y a-t-il une exfiltration de données ? Ces analyses sont aussi nécessaires pour établir un plan d’actions correctives et d’amélioration post-attaque.

Le risque financier lié à la rémunération des spécialistes à engager et à l’évolution des contrats avec les partenaires privés est entièrement pris par le Canton dans la convention qui vous est soumise. Le fait de déterminer un prix fixe pour l’ensemble des communes (CHF 410'000.-) était une condition pour pouvoir aller de l’avant. La répartition entre les communes pourra en revanche être amenée à évoluer selon l’évolution relative de la population. Cela reste cependant assez marginal sur la durée initiale (4 ans) de la convention.

Ni les communes ni le Canton ne souhaitent créer une base légale qui donnerait le pouvoir pour le Canton d’intervenir sur l’informatique communale ou qui lui donnerait la possibilité de facturer directement un montant pour les prestations listées dans la convention.

Dès lors la solution retenue est de passer par la signature des associations faitières qui se chargeront de prélever auprès de leurs membres la contribution. C’est une solution flexible, plus rapide, adaptée au domaine en constante évolution et qui peut être revue sur une base périodique.

Ainsi, nous portons l’objet à notre AG du 27 juin pour décision et l’UCV signera ou non cette convention en fonction du résultat. 

Pour autant que la convention soit validée par l’AG, chaque commune recevra une facture de la part de l’association faitière, quel que soit son vote individuel.
 

La logique adoptée suit la logique de nos cotisations. Si la mutualisation est rendue nécessaire pour les communes de plus petite taille, les communes plus importantes engagent déjà de leur côté des ressources spécifiques dans ce domaine. Ajoutons aussi que la convention couvre les intercommunales, composées souvent de communes plus petites, sans qu’un prélèvement ne soit fait à ce niveau. 

Tout est discutable, mais l’intérêt pour l’ensemble des communes et intercommunales est que toutes les (ou un maximum de) communes acceptent de faire partie de la convention. De ce point de vue la répartition proposée nous parait équilibrée.
 

Les associations intercommunales sont inclues dans la couverture des prestations et le financement définis dans la Convention (sauf si un arrangement particulier aurait été convenus entre les faitières et leurs communes en direct mais ce n'est pas le cas à ma connaissance).

Cette liste est tenue à jour par la DGAIC en collaboration avec les Préfectures. Elle sera mise à jour régulièrement par la DGAIC durant l’existence de la présente convention. Vous pouvez nous transmettre votre demande de modification que nous relayerons ou la signaler directement à l’adresse affaires-communales(at)vd.ch.

Le CSIRT apporte son support à la Municipalité, direction de l’Administration ou de l’association intercommunale pour gérer une crise en incluant toutes les parties prenantes, y compris bien sûr les prestataires externes : société de services en ingénierie informatique (SSII ou SS2I), fournisseurs télécom, service informatique / informaticien de la commune, etc,