Et pourtant, la menace cyber concerne toutes les collectivités territoriales et peut entraîner des conséquences lourdes pour les administrations mais aussi pour les administrés (interruption de service, perte de données ou perte financière…).

Denis Kientz, expert en nouvelles technologies du groupe SVP, service historique d’information et d’aide à la décision des organisations privées et publiques (6 000 structures clientes), fait le point sur les risques visant la sécurité des réseaux et systèmes d’informations des collectivités et les actions que celles-ci peuvent entreprendre pour limiter ce risque.

• Le risque cyber est-il important pour les collectivités locales ? Sont-elles de plus en plus visées par les hackers ?

Les résultats de l’étude Cybermalveillance.gouv.fr sont relativement inquiétants : 1 collectivité sur 10 déclare avoir déjà été victime d’une ou plusieurs cyberattaques au cours des 12 derniers mois.

Les attaques par hameçonnage représentent à elles-seules près de la moitié de ces attaques (46%). Et dans plus d’un tiers des cas (37%), la source de l’attaque n’est même pas identifiée, ce qui pourrait démontrer une faille plus grave encore de la sécurité des systèmes d’information.

Selon une étude du CLUSIF, les collectivités déplorent le manque de personnel qualifié et des budgets insuffisants pour la conduite des missions de sécurité de l’information. En effet, les budgets des collectivités restent faibles, voire très faibles (1/3 alloue moins de 2 000€ à leur budget informatique), et 81 % des plus petites collectivités ne dépassent pas les 5 000 € de budget annuel.

D’autre part, le tissu territorial français est constitué d’une majorité de collectivités disposant de peu de ressources, tant en termes d’agents que d’équipements informatiques.

Certes, il est très compréhensible que les budgets des collectivités de moins de 5 000 habitants ne soient pas aussi élevés que ceux de grandes agglomérations mais, malheureusement, le risque cyber est aussi important pour celles-ci car elles sont des cibles plus faciles.

• Existe-t-il des obligations réglementaires à la mise en place d’une sécurisation des systèmes d’information ?

En juillet 2016, la directive européenne NIS (Network and Information Systems) établissait des mesures visant à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne. Cette directive ne visait toutefois pas les collectivités, en dehors des ministères et entités publiques étatiques.

En décembre 2022, une nouvelle mouture, dite Directive NIS 2, a élargi grandement son champ d’application. Elle prévoit en effet que sont concernées toutes les administrations publiques centrales mais également, en fonction de ce que chaque état membre décidera, les entités de l’administration publique au niveau régional.
L’intégration de l’ensemble des administrations locales et des établissements d’enseignements est laissée à l’arbitrage des Etats membres. En France, c’est l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui doit définir, dans les mois qui viennent, ces critères d’application de la NIS 2 pour les collectivités locales françaises.

• Quelles sont les actions qui peuvent être mise en œuvre pour réduire le risque ?

Selon Cybermalveillance.gouv.fr, des démarches de sensibilisation ont déjà été effectuées dans 78% des communes. Mais plus de la moitié de celles-ci estiment avoir besoin de diagnostic et de conseil et 55% d’outils et de solutions concrètes.

Dans un premier temps, il apparait essentiel de :

• réaliser des analyses de risques et des audits de sécurité des systèmes d’information, mettre en place une PSSI (politique de sécurité des systèmes d’information) ;
• rédiger un PCA (plan de continuité d’activité) décrivant les processus après une attaque ou un PRA (plan de reprise d’activité) avec une surveillance de la mise à jour des sauvegardes ;
• sensibiliser et former l’ensemble des utilisateurs aux bonnes pratiques de cyber-hygiène et à la politique de cybersécurité dans l’organisation.

Pour aller plus loin, les collectivités peuvent également :

• identifier les documents et processus nécessitant un chiffrement, au sein du Système d’information (SI) ;
• vérifier les règles d’acquisition, de développement et de maintenance du SI et des réseaux ;
• instaurer une politique de gestion et de contrôle des accès avec des solutions d’authentification forte ;
• prévoir l’utilisation de systèmes de communication sécurisés et de communication d’urgence après une attaque ;

Ces mesures de sécurité s’inspirent fortement les normes ISO/27000 relatives aux systèmes de management de la sécurité de l’information, il est donc bienvenu de s’assurer que les règles contenues dans ces normes soient connues.