ODHAC 87 : Sécurité IT & PRA pour Office Public Habitat

Le contexte : des enjeux critiques pour un organisme public

L’ODHAC 87 (Office Départemental de l’Habitat et de la Construction de la Haute-Vienne) assure une mission de service public essentielle. Cette structure gère le logement social dans le département. Elle accompagne les locataires au quotidien. Elle administre un patrimoine immobilier conséquent.

Cette activité génère des données sensibles multiples. D’abord, les informations personnelles des locataires nécessitent une protection maximale. Ensuite, les dossiers administratifs doivent rester accessibles en permanence. Par ailleurs, les données financières exigent une sécurité renforcée. Enfin, la continuité du service aux usagers ne souffre aucune interruption.

En tant qu’organisme public, l’ODHAC 87 fait face à des obligations réglementaires strictes. Le RGPD impose des règles précises sur la protection des données personnelles. Les référentiels de sécurité des systèmes d’information du secteur public s’appliquent également. Dans ce contexte, l’organisation recherchait un partenaire capable de l’accompagner avec des solutions fiables et conformes aux bonnes pratiques.

Les problématiques identifiées

Plusieurs enjeux majeurs avaient été identifiés avant la mise en place de la solution :

✓ Protection des données sensibles : tout d’abord, les informations des locataires nécessitaient une sécurisation renforcée. Les dossiers administratifs et financiers devaient être protégés contre toute perte ou compromission

✓ Continuité de service : en outre, l’accès permanent aux systèmes d’information s’avérait indispensable. Une interruption de service impacterait directement les locataires et les équipes

✓ Absence de plan structuré : par ailleurs, aucun plan de reprise d’activité formalisé n’existait. En cas d’incident majeur, l’organisation ne disposait pas de procédures claires

✓ Sauvegardes non vérifiées : de plus, les sauvegardes existantes n’étaient pas testées régulièrement. Leur efficacité en situation réelle restait incertaine

✓ Conformité réglementaire : de surcroît, l’organisme devait démontrer sa conformité aux exigences du RGPD et des référentiels publics

✓ Besoin d’expertise certifiée : enfin, l’ODHAC 87 recherchait un partenaire avec une reconnaissance officielle de ses compétences en cybersécurité

La solution déployée : une approche globale de la sécurité

Limousin Informatique, labellisé ExpertCyber, et l’ODHAC 87 ont collaboré pour déployer une solution complète. Cette approche répond aux besoins spécifiques des organismes publics de l’habitat en matière de sécurité et de continuité.

Supervision et sauvegardes externalisées

Le dispositif repose d’abord sur une supervision continue du système d’information. Serveurs, applications métier et infrastructure réseau font l’objet d’une surveillance permanente. Cette supervision permet de détecter rapidement les anomalies. Elle permet également d’anticiper les problèmes avant qu’ils n’impactent les services.

Parallèlement, un dispositif de sauvegardes automatisées a été mis en place. Ces sauvegardes sont hébergées dans des datacenters externes sécurisés. L’externalisation garantit ainsi la protection des données même en cas de sinistre physique touchant les locaux de l’organisme.

Chaque sauvegarde fait l’objet d’un contrôle automatique. Le système vérifie l’intégrité et la complétude des données sauvegardées. De plus, des tests de restauration sont effectués régulièrement. Ces tests garantissent que les sauvegardes fonctionneront le jour où l’organisation devra vraiment les utiliser.

Un plan de reprise d’activité documenté et testé

Au-delà des sauvegardes, l’ODHAC 87 a élaboré un véritable plan de reprise d’activité. Ce PRA a été soigneusement documenté et formalisé. D’abord, il définit des scénarios précis d’incident. Cyberattaque, panne matérielle ou sinistre naturel : chaque situation dispose de sa procédure.

Ensuite, le plan identifie les étapes de restauration pour chaque scénario. Il fixe également les délais de reprise (RTO) acceptables pour chaque service critique. Les dossiers locataires doivent être accessibles rapidement. Les systèmes de gestion doivent redémarrer dans des délais maîtrisés.

De plus, le PRA détermine clairement les responsabilités de chacun. Qui fait quoi en cas d’incident ? Qui coordonne les actions ? Qui communique avec les parties prenantes ? Toutes ces questions ont trouvé leurs réponses dans le document.

Surtout, ce plan ne reste pas théorique. Des exercices de restauration sont organisés régulièrement. Ces exercices permettent de vérifier l’efficacité du PRA. Ils permettent également d’identifier les points à améliorer. Ainsi, le plan évolue et s’améliore continuellement.

Le label ExpertCyber : un gage de confiance

Pour l’ODHAC 87, le choix d’un partenaire labellisé ExpertCyber représentait un critère important. Ce label, délivré par l’État, atteste de compétences reconnues en matière de cybersécurité. Il garantit que le prestataire maîtrise les bonnes pratiques applicables aux organismes publics.

Cette labellisation apporte plusieurs garanties. Premièrement, elle certifie une expertise technique avérée. Deuxièmement, elle valide la connaissance des référentiels de sécurité du secteur public. Troisièmement, elle assure une mise à jour régulière des compétences face aux menaces émergentes.

Pour un organisme public soumis à des obligations strictes, cette reconnaissance officielle facilite également les démarches d’audit et de conformité. Elle constitue un élément rassurant pour les instances de contrôle.

Un accompagnement pédagogique et réactif

L’accompagnement ne se limite pas aux aspects techniques. Limousin Informatique apporte une dimension pédagogique essentielle. D’une part, l’équipe explique les enjeux de sécurité de manière claire et accessible. D’autre part, elle forme les collaborateurs aux bonnes pratiques.

Par ailleurs, la réactivité constitue un point fort du partenariat. En cas d’incident ou de questionnement, l’équipe répond rapidement. Cette disponibilité rassure les équipes de l’ODHAC 87. Elle leur permet de se concentrer sur leur mission de service public.

Enfin, l’accompagnement stratégique aide l’organisme à faire évoluer son dispositif de sécurité. Les recommandations sont priorisées et expliquées. L’ODHAC 87 peut ainsi prendre des décisions éclairées sur les investissements IT.

La démarche : une transformation progressive et structurée

Plutôt que de tout bouleverser d’un coup, la FOL 23 et Limousin Informatique ont choisi une approche par étapes. Cette méthode consistait à construire progressivement les fondations puis à ajouter des couches de protection de plus en plus sophistiquées.

Étape 1 : poser les bases avec une politique d’usage

La première action consistait à établir un cadre clair. L’équipe a donc élaboré une politique d’usage définissant les bonnes pratiques numériques pour tous les collaborateurs. Comment gérer ses mots de passe ? Comment identifier un email suspect ? Quels comportements à risque faut-il éviter ? Que faire en cas de doute ?

Cette politique ne ressemble pas à un document juridique indigeste. Au contraire, c’est un guide pratique et compréhensible. Il aide chacun à adopter les bons réflexes au quotidien. Sa construction a pris en compte les réalités du terrain : les usages réels, les contraintes métier et le niveau de maturité numérique des équipes.

Ce socle de bonnes pratiques constitue la première ligne de défense. Effectivement, la majorité des incidents de sécurité proviennent d’erreurs humaines. Par conséquent, former et sensibiliser les collaborateurs s’avère aussi important que déployer des outils techniques.

Étape 2 : superviser et durcir les environnements

Une fois le cadre posé, il fallait renforcer techniquement les défenses. L’équipe a donc mené deux chantiers en parallèle.

D’un côté, elle a mis en place une supervision complète des environnements : serveurs, postes de travail et réseau. Cette surveillance continue permet désormais de détecter les anomalies rapidement. Elle assure également le suivi des performances. Surtout, elle identifie les failles potentielles avant que quiconque ne les exploite.

De l’autre côté, un travail de durcissement approfondi a ciblé les outils collaboratifs. Messagerie, partage de fichiers et espaces de travail communs ont tous bénéficié d’améliorations. L’équipe a renforcé l’authentification, restreint les partages externes et appliqué les correctifs de sécurité. Elle a également désactivé les fonctionnalités inutiles qui augmentent la surface d’attaque.

Étape 3 : instaurer une hygiène de messagerie

La messagerie électronique représente toujours la porte d’entrée privilégiée des cyberattaques. Phishing, pièces jointes piégées, usurpation d’identité : les menaces sont multiples. Par conséquent, il était crucial de renforcer ce maillon faible.

L’équipe a déployé des filtres anti-spam et anti-phishing avancés. Des bannières d’alerte signalent désormais automatiquement les emails provenant de l’extérieur. Par ailleurs, des contrôles vérifient l’authenticité des expéditeurs. Surtout, les équipes ont reçu une sensibilisation complète pour reconnaître les tentatives de manipulation.

Cette hygiène de messagerie réduit drastiquement le risque de compromission initiale. En effet, celle-ci constitue souvent le point de départ d’une attaque plus large.

Étape 4 : encadrer les accès et harmoniser les configurations

Un audit complet des accès a été réalisé. Qui a accès à quoi ? Ces droits sont-ils encore justifiés ? Des anciens collaborateurs ont-ils encore des comptes actifs ? Des accès administrateurs sont-ils utilisés au quotidien alors qu’ils devraient être réservés à des opérations exceptionnelles ?

Ce travail de nettoyage et de révision a permis de réduire significativement les risques. Les accès ont été harmonisés selon des rôles clairs, les comptes inutiles supprimés, et des contrôles réguliers instaurés pour maintenir cet ordre dans la durée.

En parallèle, les configurations ont été standardisées pour faciliter la gestion et garantir un niveau de sécurité homogène sur tous les postes et tous les environnements.

Étape 5 : déployer un SOC managé avec MDR

Une fois les bases consolidées, la FOL 23 était prête pour passer à un niveau supérieur : le déploiement d’un SOC (Security Operations Center) managé avec capacité de détection et de réponse (MDR – Managed Detection and Response).

Concrètement, cela signifie qu’une équipe d’experts en cybersécurité surveille en continu l’infrastructure de la fédération, 24 heures sur 24 et 7 jours sur 7. Tous les événements suspects sont analysés, les menaces potentielles identifiées, et surtout, une réponse guidée est apportée en cas d’incident avéré.

Pour une fédération associative, c’est un atout majeur. Impossible de maintenir une équipe de sécurité interne avec ces compétences et cette disponibilité. Le service managé apporte cette expertise professionnelle à un coût maîtrisé.

La capacité MDR va au-delà de la simple détection. En cas d’incident, l’équipe du SOC ne se contente pas d’envoyer une alerte : elle accompagne la FOL 23 dans la réponse, suggère les actions à mener, aide à contenir la menace et à rétablir la situation.

Cette surveillance continue apporte une vraie assurance opérationnelle. Les équipes peuvent se concentrer sur leurs missions associatives en sachant qu’une vigie professionnelle protège leurs systèmes.

Étape 6 : sécuriser la reprise d’activité

Dernier volet de la transformation : la révision complète du dispositif de sauvegarde et du plan de reprise d’activité.

Les sauvegardes existaient déjà, mais elles n’étaient ni supervisées activement ni testées régulièrement. Impossible donc de garantir qu’elles fonctionneraient le jour où il faudrait vraiment les utiliser.

Le nouveau dispositif repose sur plusieurs piliers :

• Supervision active des sauvegardes avec alertes en cas d’échec
• Tests périodiques de restauration pour vérifier l’intégrité des données
• Scénarios de redémarrage documentés qui définissent comment réagir selon différents types d’incidents
• Procédures claires qui identifient les responsabilités et les étapes à suivre

Cette résilience gagne toute son importance pendant les périodes sensibles : rentrées scolaires, campagnes d’inscription, bouclages administratifs. La FOL 23 ne peut pas se permettre une interruption de service prolongée pendant ces moments critiques.

Le témoignage de la FOL 23