Cybersécurité : l'urgence d'une prise de conscience des collectivités

Philippe Pottiée-Sperry
Image
Partager sur

Le 10 juin 2021, la délégation sénatoriale aux entreprises rendait public un rapport sur l'ampleur du risque cyber pour les entreprises mais aussi pour toutes les organisations publiques, en particulier les collectivités. Ce sujet a fait ensuite l'objet d'une table-ronde conduite conjointement avec la délégation aux collectivités territoriales et à la décentralisation, le 28 octobre dernier. Le rapport, réalisé par les deux délégations sénatoriales, et rendu public courant décembre, pointe en particulier la nécessité de sensibiliser les élus et les fonctionnaires territoriaux à l'existence de lourdes conséquences en cas de cyber-attaques : dysfonctionnement des services publics locaux, perte de données, conséquences humaines et financières...

Le rapport plaide également pour améliorer leur information sur les moyens de prévention en matière de cybersécurité et de solutions en cas d'attaque. « Loin d'être purement technique, ce sujet majeur doit faire partie intégrante de la stratégie de toute organisation privée comme publique », estime le rapport sénatorial. Il est intéressant en proposant des solutions concrètes mais aussi en contenant une synthèse des auditions de plusieurs collectivités de toutes tailles ayant été victimes de cyberattaques

Manque de budget et de personnels

En 2020, près de 30 % des collectivités ont été victimes d’une attaque au rançongiciel selon une étude du Clusif (association de référence de la sécurité du numérique en France). En effet, cette même année a vu le nombre de cyberattaques contre des collectivités augmenter de 50 % par rapport à 2019. En mai 2020, Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), s’est déclaré « inquiet » pour la cybersécurité des collectivités. Pourtant, la cybersécurité était, en 2018, loin d’être une préoccupation centrale des collectivités. Selon un sondage Ifop pour l’Observatoire des politiques publiques, en janvier 2020, seulement 33 % des fonctionnaires territoriaux interrogés déclaraient que leur organisation avait mis en place un programme de cybersécurité. Le manque de budget et de personnes qualifiées justifie en partie les difficultés des collectivités en matière de cyberprotection de leurs outils et données numériques. Les élus locaux prennent désormais, et de manière croissante, la pleine mesure de ce risque. Le rapport sénatorial évoque néanmoins « une prise de conscience tardive et insuffisante de l’ampleur des cybermenaces ».

Le choix judicieux de la mutualisation

Les associations d’élus accompagnent la prise de conscience des collectivités, qui demeure inégale sur le territoire. Par exemple, l’AMF a édité en novembre 2020 un guide avec l’ANSSI intitulé « Cybersécurité : toutes les communes et les intercommunalités sont concernées ». Faute de temps mais surtout de compétences et de moyens humains, les petites communes se contentent parfois d’installer ponctuellement un anti-virus, alors que la cybersécurité doit être mise à jour en permanence. Or, la pénurie de compétences est telle que l’ANSSI a lancé un « observatoire des métiers de la cybersécurité » afin d’aider les acteurs concernés dans leur politique de recrutement et de formation. Dans ce contexte, la mutualisation au plus près des collectivités concernées s’avère être « un choix judicieux pour mettre en commun les efforts, affronter les pénuries de professionnels qualifiés et ainsi mettre en place une protection collective », estiment les sénateurs. Selon eux, il peut s'agir du niveau intercommunal ou départemental. Et d’ajouter : « Cette recommandation suppose toutefois de lever les freins psychologiques tenant à la sensibilité des données des communes et à la crainte corrélative du transfert de ces dernières ».

Le rapport plaide également pour revaloriser les fonctions de RSSI (responsable de la sécurité des systèmes d'information) dans les collectivités d'une certaine taille. Il s’agirait d’en faire un véritable « directeur de la sécurité numérique » dont les fonctions ne seraient pas juste techniques et avec un rattachement direct, si possible à la direction générale.

Volet cybersécurité de France Relance

Le bouclier mis en place s’articule autour de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et d’un réseau de CERT (Computer Emergency Response Team), organismes officiels chargés d’assurer des services de prévention des risques et d’assistance aux traitements d’incidents. Ces CERT sont des centres d’alerte et de réaction aux attaques informatiques, dont les informations sont accessibles à tous. L’objectif du volet cybersécurité de France Relance, lancé en septembre 2020 et dont le pilotage a été confié à l’ANSSI, doit renforcer la sécurité des administrations, des collectivités, des établissements de santé et autres organismes publics, tout en dynamisant l’écosystème industriel français.

Doté d’un fonds de 136 M€, il comprend tout d’abord un parcours de cybersécurité visant à renforcer la sécurité des systèmes d’information des bénéficiaires en proposant un pré-diagnostic et un accompagnement par des prestataires compétents, de la maîtrise d’ouvrage jusqu’à la mise en œuvre. Il propose aussi des appels à projets, pour certaines collectivités dont le niveau de cybersécurité est suffisamment mature et le besoin assez clair pour que le projet soit mené hors du cadre des « Parcours de cybersécurité ». Basés sur le cofinancement et destinés à sécuriser des systèmes d’information existants, ces projets peuvent être des prestations d’audit, d’analyse de risque, d’acquisition et de déploiement de produits...

Par ailleurs, le réseau des CSIRT régionaux (Computer security incident response team), centres de réponse aux incidents cyber, doit traiter des demandes d’assistance des acteurs de taille intermédiaire, dont les collectivités, et les mettre en relation avec des partenaires de proximité.

Un programme de sensibilisation pour les élus

Depuis 2017, la plateforme Cybermalveillance.gouv.fr du GIP ACYMA, dispositif national de sensibilisation, prévention et assistance aux victimes d’actes de cybermalveillance pour les particuliers, entreprises et collectivités, est porté par un partenariat public-privé. Outre l’ANSSI et les principaux ministères, cette plateforme rassemble de nombreux acteurs de la société civile comme des associations de consommateurs ou d’aides aux victimes, des représentations professionnelles… Face à la recrudescence des cyberattaques contre les collectivités, Cybermalveillance.gouv.fr a créé un groupe de travail dédié à ce public composé de l’ANSSI, l’Avicca, la Banque des Territoires, le CoTer Numérique et Déclic ont lancé un programme de sensibilisation à destination des élus. Il comporte trois étapes : menaces et réflexes essentiels pour la sécurité numérique des collectivités ; vigilance face aux cyberattaques : les collectivités sont toutes concernées ; sensibilisation aux risques numériques : les collectivités se mobilisent.

P.P.-S.

👉 Découvrez le dernier ZePros Territorial

👉 Abonnez-vous gratuitement au journal numérique et à sa newsletter

Philippe Pottiée-Sperry
Partager sur

Inscrivez-vous gratuitement à nos newsletters

S'inscrire