Témoignage Ville de Tournai. Quand la cybersécurité devient l'affaire de tous

Parmi les actions prioritaires menées par l'Agence du Numérique dans le cadre du programme Cyberwal by Digital Wallonia, figure la sensibilisation des pouvoirs locaux face aux risques de cybersécurité. Comment la ville de Tournai est-elle devenue un exemple à suivre en matière de sensibilisation et de formation afin de renforcer la cybersécurité ?

Le secteur public n'échappe évidemment pas à la transformation numérique. Par la position spécifique de ce secteur, cette transformation a en outre un impact direct sur chaque entreprise et chaque citoyen.

Les risques de cybersécurité pour les services du secteur public sont nombreux et peuvent avoir des conséquences graves sur le fonctionnement des administrations, la protection des données personnelles des citoyens, la confiance dans les institutions et la "souveraineté" nationale ou régionale.

Un engagement fort et permanent en matière de cybersécurité n'est pas seulement une nécessité, mais aussi un impératif moral pour protéger les intérêts et les données publiques.

Comment protéger efficacement une administration publique contre les cybermenaces en constante évolution ?

À la ville de Tournai, la réponse a été claire : en sensibilisant chaque agent à l'importance de la cybersécurité.

Face à une montée des risques liés à la cybercriminalité, la ville a décidé de prendre les devants.

L'expérience unique de sensibilisation à la cybersécurité menée au sein de cette administration est un projet qui devrait inspirer d'autres collectivités.

Lorsque Sébastien Castiaux, Directeur informatique à la ville et au CPAS de Tournai, a pris ses fonctions il y a dix ans, la cybersécurité était un sujet rarement évoqué dans les administrations publiques. Face aux défis de la transition numérique, l’accent a d'abord été mis sur la modernisation d'une infrastructure vieillissante, bien avant que les préoccupations liées aux cybermenaces ne s'imposent. À cette époque, les menaces étaient perçues comme lointaines, ne concernant que de grandes entreprises ou des institutions spécifiques.

Au fil des années, les cyberattaques se sont multipliées en Belgique, visant les hôpitaux et les services publics. Conscient de cette évolution, Sébastien Castiaux et son équipe ont œuvré pour sensibiliser les décideurs de Tournai à l'urgence de se protéger contre de potentielles attaques.

Grâce à cette prise de conscience, la cybersécurité est passée d'un sujet secondaire à une priorité, bénéficiant d'une attention particulière et de ressources spécifiques. Dès lors, des actions visant à protéger à la fois l'infrastructure technique et, plus important encore, les utilisateurs finaux à savoir les agents de la ville de Tournai furent mises en place.

Une fois l'infrastructure technique modernisée et sécurisée, l’équipe informatique a rapidement compris qu'une protection efficace devait aller au-delà des seules mesures techniques. En effet, peu importe la robustesse des systèmes de défense mis en place, si les agents communaux, les utilisateurs finaux, ne sont pas correctement formés et sensibilisés aux risques, les efforts peuvent être réduits à néant.

Dans un premier temps, l'accent a été mis sur la sécurisation de l'infrastructure informatique de la ville et du CPAS. Des dispositifs logiciels et matériels sophistiqués ont été déployés pour filtrer les emails, surveiller le réseau et protéger les serveurs.

Cependant, il est vite apparu que ces protections ne suffiraient pas à elles seules pour garantir une sécurité optimale.

Sébastien Castiaux et son équipe ont alors décidé de se concentrer sur un élément crucial de la cybersécurité : l'humain. Ils ont réalisé que pour prévenir efficacement les cyberattaques, il était indispensable de sensibiliser le personnel communal aux bonnes pratiques et aux dangers potentiels.

En 2023, un séminaire de sensibilisation à grande échelle a été organisé, ciblant environ 700 agents administratifs de la ville et du CPAS. L'objectif était clair : rendre la cybersécurité accessible et pertinente pour tous, en ancrant les bons réflexes tant dans la vie professionnelle que personnelle des agents.

Ce séminaire, fruit d'une collaboration avec la société REDSYSTEM, spécialisée en cybersécurité, a été conçu pour être à la fois instructif et engageant. Les participants ont pu assister à des ateliers pratiques et interactifs, où des cas concrets d'attaques informatiques leur ont été présentés. Des experts, dont un chef de service Regional Computer Crime Unit (RCCU) Mons-Tournai, ont partagé des anecdotes marquantes, permettant ainsi de rendre la menace plus tangible et immédiate.

Pour renforcer l'impact de cette formation, l'approche choisie a été de sensibiliser les agents tant sur le plan professionnel que privé. En leur fournissant des conseils pour sécuriser leurs activités en ligne, leurs achats ou encore la protection de leurs données personnelles, l'équipe a misé sur une sensibilisation globale.

L'idée était simple : si les agents adoptent de bonnes pratiques dans leur vie personnelle, ils seront d'autant plus enclins à les appliquer dans leur environnement professionnel.

Les efforts déployés pour sensibiliser les équipes communales à la cybersécurité ont rapidement porté leurs fruits. Les retours des participants au séminaire ont été largement positifs, et plusieurs changements de comportements ont été observés au sein de l'administration.

L'un des premiers signes de succès a été l'augmentation significative des actions sécuritaires prises par les agents après le séminaire. Par exemple, de nombreux agents ont modifié leurs mots de passe pour les rendre plus sécurisés, suite à une démonstration marquante lors des ateliers sur la force des mots de passe. En outre, plusieurs agents ont signalé la découverte de clés USB suspectes trouvées sur les parkings, préférant les remettre à l'équipe informatique plutôt que de les insérer dans leurs ordinateurs, ce qui démontre une prise de conscience accrue des risques.

Les agents ont également commencé à poser plus de questions concernant les données personnelles qu'ils manipulent dans le cadre de leur travail. Un exemple concret est celui d'un agent qui a remis en question la nécessité de fournir un numéro de registre national pour une simple commande de chaussures de sécurité. Cette démarche proactive a permis de revoir des procédures internes pour mieux protéger les données sensibles des agents.

Bien que le succès du séminaire ne se mesure pas uniquement par des statistiques, certains indicateurs montrent une véritable évolution dans les mentalités.

Parmi ces indicateurs, on note une réduction des erreurs humaines susceptibles de compromettre la sécurité informatique et une meilleure vigilance face aux tentatives de phishing et autres attaques. Le séminaire a également permis de renforcer la communication entre les agents et le service informatique, facilitant ainsi la mise en place de bonnes pratiques au quotidien.

Les témoignages des participants ont confirmé l'efficacité de cette approche. Nombreux sont ceux qui ont admis être venus au séminaire avec réticence, mais en sont ressortis convaincus et motivés à adopter des comportements plus sécurisés. Ce changement de perception a été l'une des plus grandes victoires pour Sébastien Castiaux et son équipe.

La sensibilisation à la cybersécurité menée à Tournai ne s’arrête pas au séminaire de 2023. Sébastien Castiaux a bien conscience que la cybersécurité est un enjeu permanent qui nécessite une vigilance continue et des actions régulières pour maintenir le niveau de sécurité des agents et de l'infrastructure.

Pour aller au-delà d'une action ponctuelle, l'arrivée en 2025 d'une stagiaire de l'IFAPME, une structure de formation en alternance, est planifiée, avec pour mission de définir une stratégie de sensibilisation à long terme. Cette stratégie visera à instaurer une culture de la cybersécurité durable au sein des services de l’administration. L'une des idées envisagées est de renouveler régulièrement les séminaires, par exemple tous les trois à quatre ans, pour réactiver les connaissances et les bonnes pratiques chez les agents.

En parallèle, l’équipe envisage de mettre en place des outils de sensibilisation plus fréquents et interactifs, tels que des rencontres informelles sur l’heure de midi, des témoignages de victimes d’attaques ou encore des plateformes en ligne avec des vidéos éducatives suivies de quiz obligatoires. L'objectif est de trouver des formats ludiques et engageants qui inciteront à rester vigilants et informés.

Malgré les succès, les défis restent nombreux. Sébastien et son équipe sont bien conscients que la cybersécurité est un processus en perpétuelle évolution, et qu'il faudra constamment ajuster les mesures et les méthodes pour rester en phase avec les nouvelles réalités du monde numérique.

L'expérience menée par la ville de Tournai en matière de sensibilisation à la cybersécurité démontre que la sécurité numérique ne se limite pas à l'installation de pare-feu ou de logiciels sophistiqués. Elle repose avant tout sur une prise de conscience collective et sur l'implication de chaque membre de l'organisation. Grâce à la détermination de Sébastien Castiaux et de son équipe, les agents de la ville de Tournai ont non seulement pris conscience des risques liés à la cybercriminalité, mais ont également adopté de nouveaux comportements plus sûrs.

Cette initiative pourrait servir de modèle pour d'autres administrations publiques qui cherchent à renforcer leur sécurité numérique. En investissant dans la formation et la sensibilisation, Tournai a montré qu'il est possible de transformer une menace complexe en une opportunité d'amélioration continue.

À l'heure où les cyberattaques se multiplient, il devient crucial que chaque collectivité suive cette voie, en s'assurant que la cybersécurité devienne un réflexe, partagé par tous, au cœur même de leur fonctionnement quotidien. La route est encore longue, mais l'exemple de Tournai prouve qu'avec la bonne approche, les résultats sont non seulement possibles, mais aussi durables.