«Mieux vaut prévenir que guérir » : lorsqu’en 2016 l’office public de l’habitat de Rochefort Océan a procédé au renouvellement de sa flotte informatique, il a immédiatement placé la cybersécurité et la protection des données au cœur de sa stratégie. Le bailleur a fait appel à Soluris, opérateur public de services informatiques créé sous la forme d’un syndicat mixte par le conseil départemental de Charente-Maritime pour accompagner les collectivités territoriales et organismes publics du territoire.
Un audit a été conduit afin de déceler les vulnérabilités du système. L’office s’est aussi enjoint les services d’un délégué à la protection des données (DPO), prestataire privé qui l’accompagne depuis sur le plan technique comme sur celui de la sensibilisation et de la formation de ses personnels.
« En tant que bailleur social, nous détenons beaucoup de données personnelles relatives à nos locataires, ce sont des informations sensibles et les enjeux sont grands », remarque Véronique Pavageau, directrice générale de Rochefort Habitat Océan, office dont le patrimoine est constitué de 2 600 logements.
Son plan d’action repose sur une mise à jour et un renouvellement annuels de certains serveurs et logiciels, et de tout ce qui contribue à la sécurisation du système comme la climatisation, indispensable au bon fonctionnement de l’outil numérique. La sauvegarde est aussi un enjeu de taille. Elle se fait quotidiennement sur le serveur, mais une fois par semaine, le système est déconnecté et les données sauvegardées sur un disque dur externe, donc protégé des virus qui pourraient faire intrusion dans le système durant l’opération.
« La sensibilisation des personnels est apparue comme un axe essentiel afin que chaque utilisateur prenne conscience des enjeux », poursuit la directrice générale. Un groupe de travail « sécurité informatique » a été créé, avec la participation de représentants des quatre directions de l’organisme et du DPO, conduisant à l’élaboration d’une affiche explicitant les pratiques essentielles à mettre en œuvre : éteindre son poste de travail, être attentif à l’origine des e-mails reçus, ne pas activer de liens douteux…
Cela ne suffit pourtant pas ; il faut régulièrement revenir sur le sujet avec chaque année de nouvelles actions de sensibilisation abordant des thèmes précis comme la gestion des mots de passe. Une newsletter trimestrielle est également envoyée aux collaborateurs pour rappeler les règles de sécurité.
En 2020, les personnels équipés de téléphones portables par l’Office ont participé à une réunion portant sur les cybermenaces et sur les pratiques de sécurité à adopter avec les smartphones. « Même si le risque zéro n’existe pas, la cybersécurité est à la fois une attention du quotidien et une action au long cours », conclut Véronique Pavageau.
